jueves, 27 de junio de 2019

Seguridad en Redes WiFi

Seguridad en Redes WiFi

seguridad en redes wifiWi-Fi es un punto de entrada que los piratas informáticos pueden utilizar para ingresar en tu red sin poner un pie dentro de tu casa. La tecnología inalámbrica es mucho más abierta que las redes cableadas, lo que significa que debes de ser mucho más cuidadoso con la seguridad para evitar el ataque de los temibles hackers..
Recordamos que una red inalámbrica WiFi es aquella en la que varios ordenadores o dispositivos están interconectados por medio de un Punto de Acceso a la red (AP). Normalmente el punto de acceso a la red suele ser un router inalámbrico.
Se puede hacer mucho más que establecer una contraseña para la seguridad de una red Wi-Fi. Aprender y aplicar medidas de seguridad puede convertir tu red WiFi en una red mucho mejor protegida.
En esta página te proponemos 12 Consejos para Mejorar la Seguridad de tu Red Wi-Fi
USAR UN NOMBRE DE RED NO COMÚN(SSID)

Asigna un nombre a la red (SSDI) de manera inteligente. Utiliza algo genérico pero no demasiado común y sin revelar la ubicación.

Todos los dispositivos de una misma red WiFi deben compartir el miso SSDI (Service Set Identifier). El SSDI es conocido vulgarmente como «nombre de red», aunque su nombre real es el de identificador de paquetes de servicios (SSID)
EL SSDI puede estar formado por un máximo de 32 caracteres ASCII, es decir, letras, números y símbolos, aunque lo más normal es utilizar solo letras y números, formando parte de las configuraciones más básicas de una red Wi-Fi.
Es en el Router WiFI de nuestra casa, oficina, lugar de trabajo, etc donde tenemos que cambiar este nombre de red. Es importante para esta y otras medidas de seguridad que luego vamos a explicar, que sepas como entrar en tu router para cambiar la configuración.
En la mayoría de los router podremos acceder a su configuración utilizando nuestro propio navegador de Internet y escribiendo los números 192.168.1.1 en la barra de direcciones. Los números finales pueden variar según el modelo concreto.
Verás que aparece una ventana en la que necesitamos el usuario y la clave de administración para entrar a la configuración del router. Ésta viene con el kit de instalación, en una pegatina en el router o en la documentación adjunta. Búscala y a configurarlo Tengamos en cuenta que para entrar en la configuración del router debemos estar conectados a la red.
Si no lo tienes claro también puedes buscar por Internet «Cambiar SSDI + nombre del router» y podrás ver como se hace.
Bien, ahora que ya estamos en la configuración del router ya podemos cambiar el nombre SSDI en su configuración. La forma de cambiar el SSDI depende del tipo de router y modelo que tengas, pero en todos los casos suele venir la palabra SSDI o nombre de red y es donde hay que cambiarla. Recuerda: «Utiliza algo genérico pero no demasiado común y sin revelar la ubicación».
Aunque no parece que el nombre de la red pueda comprometer la seguridad, ciertamente puede hacerlo. El uso de un SSID demasiado común, como «inalámbrico» o el nombre predeterminado del proveedor, puede hacer que sea mucho más fácil para alguien descifrar el modo personal de seguridad WPA o WPA2.
Esto se debe a que el algoritmo de cifrado que incorpora el SSID, y los diccionarios de descifrado de contraseñas utilizados por los piratas informáticos están precargados con SSID comunes y predeterminados. Usar uno de estos nombres de redes comunes, lo único que hace es facilita el trabajo del hacker.
En cuanto a la ubicación, aunque podría tener sentido que el nombre del SSID sea algo fácilmente identificable, como el nombre de la empresa, la dirección o incluso el número de portal o del piso, pero puede que tampoco sea la mejor idea.
Esto se debe tener especialmente en cuenta si la red está en un edificio compartido o cerca de otros edificios o redes. Si los piratas informáticos quieren escanear redes WiFi en un área determinada y ven una docena de redes Wi-Fi diferentes, es probable que se dirijan a la que sea más fácil de identificar. No permitas que identifiquen fácilmente la tuya.
Por último decir que es posible desactivar el SSID, haciendo que el nombre de la red sea invisible, pero no se recomienda hacer esto. Esto hará que los usuarios tengan que ingresar manualmente el SSID, y además tendrá un efecto negativo en el rendimiento de las solicitudes de sondeo en el Wi-Fi. Esta táctica generalmente tiene más desventajas que ventajas.
CAMBIAR LA CONTRASEÑA PREESTABLECIDA
Ya que estamos en la configuración del router también te recomendamos cambiar la contraseña de la red que viene preestablecida de fábrica.
Para la contraseña utiliza una combinación de números, letras en mayúsculas y en minúsculas, e incluso caracteres especiales.
SEGURIDAD FÍSICA
La seguridad inalámbrica no se trata solo de tecnologías y protocolos sofisticados. Puedes tener el mejor cifrado posible y aún así ser vulnerable a los ataques. La seguridad física es una de esas vulnerabilidades.
La primera medida es bloquear los armarios del cableado y donde están situados los puntos de acceso de la red wifi, como los routers y los switches. Pero OJO, esto por sí solo no es suficiente.
Recordamos:
  • El  switch envía la información proveniente del ordenador de origen hacia el ordenador de destino en una misma red.
  • El router es el dispositivo que se encarga de reenviar los paquetes de información entre distintas redes. Son capaces de interconectar varias redes y generalmente trabajan en conjunto con los switchs. Nuestro router conecta nuestra red interna con las otras redes exteriores a la nuestra, ya sea de forma cableada (ADSL) o inalámbrica.
La mayoría de los puntos de acceso  tienen un botón de reinicio que alguien puede presionar para restablecer la configuración predeterminada de fábrica, eliminando la seguridad establecida en nuestra red Wi-Fi y permitiendo que cualquiera se conecte.
Por lo tanto, los puntos de acceso (AP) distribuidos en todas sus instalaciones también deben estar físicamente asegurados para evitar la manipulación. Asegúrate de que estén siempre fuera del alcance y considera usar cualquier mecanismo de bloqueo ofrecido por el proveedor del punto de acceso para limitar físicamente el acceso a sus botones y a sus puertos.
Otro problema de seguridad física con el Wi-Fi es cuando alguien agrega un punto de acceso no autorizado a la red, que generalmente se denomina «AP no autorizado». Esto se puede hacer por razones legítimas si alguien por ejemplo desea agregar más cobertura Wi-Fi, pero siempre que sea autorizado.
Para ayudar a prevenir este tipo de puntos de acceso no autorizados, asegúrate que los puertos Ethernet no utilizados están deshabilitados.
Algo más fácil es eliminar (desconectar) físicamente los puertos o cables que no utilizamos directamente en el router.
Si realmente desea reforzar la seguridad, habilita la autenticación 802.1X en el lado cableado si tu router lo admite, por lo que cualquier dispositivo que se conecte a los puertos Ethernet debe ingresar las credenciales de inicio de sesión para obtener acceso a la red. Esto lo veremos más adelante.
APAGA LA RED SI NO LA USAS
Para proteger tu red, te recomendamos que desabilites o apagues la red inalámbrica en caso de que no se utilice durante un período de tiempo prolongado o cuando no te encuentres en casa. Debes hacer lo mismo con todos tus dispositivos que utilizan cables Ethernet.
Al hacer esto, está cerrando cualquier oportunidad al atacante. Los piratas informáticos malintencionados podrían intentar acceder a ella mientras estás ausente. Al apagar tus dispositivos de red, minimizas las posibilidades de convertirte en un objetivo para los piratas informáticos.
Además otra de las ventajas es la protección contra sobre tensiones: cuando apagas tu dispositivo de red o router, también reduces la posibilidad de sufrir daños por las posibles sobrecargas eléctricas.
CONTROLA LOS DISPOSITIVOS QUE SE CONECTAN ALA RED
Una forma de proteger las redes inalámbricas es no permitir que cualquier dispositivo se conecten a ellas. Hay dos maneras de hacer esto.
Algunos routers utilizan la configuración protegida de Wi-Fi (WPS). Con esta configuración, debe presionar un botón en el router para conectar un nuevo dispositivo por primera vez. Esto significa que necesita tener acceso físico al enrutador para poder conectar dispositivos. No use WPS si tu router no tiene un botón físico y, en cambio, permite que los dispositivos se conecten con un PIN corto.
Otra opción es decirle al router que solo ciertos dispositivos pueden conectarse. Para ello, tienes que hacer una lista de los dispositivos con su dirección MAC. MAC es un identificador único que tiene cada dispositivo de red.
La dirección MAC es de 12 caracteres con dos puntos como separadoresLa mayoría de los routers te permiten limitar qué dispositivos pueden conectarse al router, usar esas direcciones para identificarlos y evitar la conexión de nuevos dispositivos que no están en la lista.
Sin embargo, esto no es infalible, ya que las direcciones MAC pueden ser falsificadas. En la configuración de tu router, probablemente encontrará una lista de dispositivos conectados; Verás su dirección IP y su dirección MAC y tal vez qué tipo de dispositivo son.
Puede encontrar la dirección IP para cada uno de sus MAC en Preferencias del sistema> Red, y para dispositivos iOS en Configuración> WiFi.
USA EL CIFRADO DE RED WPA2
Las redes WiFi tienen los llamados «Protocolos de Autentificación» o también llamados «Protocolos de Seguridad Inalámbrica«.
Estos protocolos no sólo evitan que las partes no deseadas se conecten a tu red inalámbrica, sino que también encriptan tus datos privados enviados a través de las ondas de radio. El protocolo de autentificación o cifrado de red más utilizado en las redes inalámbricas es el WPA en su versión 2, WPA2. Pero hay dos tipos de WPA2: WPA2 Personal y WPA2 Empresarial.
OJO Nunca utilices los protocolo más viejos llamado solo WEP o WPA sin el 2 detrás. Ya está empezando a funcionar el WPA3 que será el mejor de todos, pero de momento no se suele utilizar.
En WPA2 Personal PSK las redes con este protocolo WPA utilizan una clave precompartida (PSK), denominada con mayor frecuencia WPA Personal. Este modo es apropiado para la mayoría de las redes inlalámbricas domésticas.
En el modo WPA2 Personal PSK, se establece una contraseña en el router inalámbrico o punto de acceso inalámbrico (AP) y los usuarios deben ingresarla cuando se quieran conectar a la red Wi-Fi.
En este modo, el acceso inalámbrico no se puede administrar de forma individual o central. Una contraseña se aplica a todos los usuarios, y debe cambiarse manualmente en todos los clientes inalámbricos una vez que se modifique manualmente en el router inalámbrico original.
Esta contraseña se almacena en el router. Por lo tanto, cualquier persona desde su ordenador puede conectarse a la red y también ver la contraseña.
Para redes compartidas, por ejemplo en oficinas o lugares de trabajo, es mucho más seguro el modo WPA2 Empresarial, que luego veremos.
Uno de los mecanismos de seguridad Wi-Fi más beneficiosos que puedes implementar es implementar el modo empresarial de seguridad Wi-Fi WPA2-Enterprise, en Castellano  WPA Empresarial,  ya que autentifica a cada usuario individualmentetodos pueden tener su propio nombre de usuario y contraseña de Wi-Fi.
WPA Enterprise utiliza un servidor de autentificación para la generación de claves y certificados.
En la empresarial, cuando los usuarios intentan conectarse a la red, deben presentar sus credenciales de inicio de sesión. Es más complicado de configurar, pero ofrece control individualizado y centralizado sobre el acceso a tu red Wi-Fi. 
Si un ordenador portátil o dispositivo móvil se pierde o es robado, o si un empleado deja la empresa, todo lo que tienes que hacer es cambiar o revocar los inicios de sesión de ese usuario en particular.
Por el contrario, en el modo personal, todos los usuarios comparten la misma contraseña de Wi-FI, por lo que cuando los dispositivos desaparecen o los empleados se van, tienes que cambiar la contraseña para todos, lo que supone una gran molestia.
Otra gran ventaja del modo empresarial es que a cada usuario se le asigna su propia clave de cifrado. Eso significa que los usuarios solo pueden descifrar el tráfico de datos para su propia conexión, sin interceptar el tráfico inalámbrico de nadie más.
Evidentemente el hardware de un punto de acceso (router) no tiene la capacidad para almacenar y procesar toda esta información por lo que es necesario recurrir a otros elementos de la red cableada para que comprueben unas credenciales. Ahí es donde entra en juego el servidor RADIUS y el protocolo IEEE 802.1X.
Este es el gran inconveniente del modo empresarial, que necesita un servidor de autenticación RADIUS externo y unos conocimientos más amplios, normalmente tener conocimientos de un «administrador de red»
Ten en cuenta que algunos puntos de acceso proporcionan un servidor RADIUS incorporado básico, pero sus límites de rendimiento y funcionalidad limitada generalmente los hacen útiles solo para redes muy pequeñas.
Puedes implementar un servidor RADIUS independiente, pero primero debes verificar si tus otros servidores (como un servidor Windows) ya proporcionan esta función. Si no, considera un servicio RADIUS alojado o basado en la nube.
Todo esto sería muy largo de explicar por lo que si te interesa en Internet puedes buscar más información.
COLOCACIÓN DEL ROUTER
Probablemente no haya pensado en esto al principio, pero…. ¿ la situación física del router en tu casa u oficina puede tener un impacto en su seguridad?. Pues la respuesta es SI.
Coloca el router inalámbrico lo más cerca posible del centro de tu casa, oficina o lugar de trabajo. ¿Por qué?
En primer lugar, proporcionará acceso igualitario a Internet a todas las habitaciones del local.
En segundo lugar, no deseas que el alcance de tu señal inalámbrica llegue demasiado lejos de tu casa u oficina, donde puede ser fácilmente interceptado por personas malintencionadas.
Por este motivo, te recomendamos que no coloque el router inalámbrico cerca de una ventana, ya que no hay nada que impida que la señal salga de la casa o de la oficina.
CAMBIAR LA IP DEL ROUTER
Cambiar la dirección IP predeterminada por una menos común es otra cosa que debe considerar para proteger mejor tu red doméstica y dificultar el seguimiento de los piratas informáticos.
Para cambiar la dirección IP de un router, debe seguir estos pasos:
  • Inicia sesión en la consola de su enrutador como administrador. Estos pasos básicos le enseñarán cómo conectarse fácilmente a su red doméstica como administrador. Normalmente, el tipo de barra de direcciones se ve como http://192.168.1.1 o http://192.168.0.1
  • Una vez que estés allí, inserta el nombre de usuario y la contraseña en la página de inicio de sesión;
  • Luego seleccione Red> LAN que está en el menú del lado izquierdo;
  • Cambia la dirección IP a preferencia, luego haga clic en Guardar.
Después de cambiar la dirección IP, deberás escribir la nueva dirección IP en la barra del navegador web.
DESHABILITA EL ACCESO REMOTO
La mayoría de los enrutadores le permiten acceder a su interfaz solo desde un dispositivo conectado. Sin embargo, algunos de ellos permiten el acceso incluso desde sistemas remotos.
Una vez que haya desactivado el acceso remoto, los actores malintencionados no podrán acceder a la configuración de privacidad de tu router desde un dispositivo que no esté conectado a tu red inalámbrica.
Para realizar este cambio, acceda a la interfaz web y busque » Acceso remoto » o » Administración remota «.
MANTÉN SIEMPRE ACTUALIZADO EL SOFTWARE DE TU ENRUTADOR
El software es una parte esencial de la seguridad de tu red inalámbrica. El firmware del router inalámbrico, como cualquier otro software, contiene fallos que pueden convertirse en vulnerabilidades importantes y ser explotadas despiadada mente por piratas informáticos.
Desafortunadamente, muchos enrutadores o routers inalámbricos no vienen con la opción de actualizar automáticamente su software, por lo que tienes que pasar por la molestia de hacerlo manualmente.
E incluso para las redes Wi-Fi que pueden actualizarse automáticamente, todavía se requiere que actives esta configuración. Sin embargo, te recordamos la importancia de la aplicación de parches de software y la negligencia de no hacer esto puede dejar las puertas abiertas a los ciber delincuentes para explotar varias vulnerabilidades.
UN FIREWALL PUEDE AYUDAR A PROTEGER SU RED WI-FI
Los firewalls  no son solo programas de software utilizados en su PC, sino que también vienen en la variedad de hardware.
Un firewall de hardware hace prácticamente lo mismo que un software, pero su mayor ventaja es que agrega una capa adicional de seguridad.
La mejor parte de los firewalls de hardware es que la mayoría de los mejores routers inalámbricos tienen un firewall incorporado que debería proteger tu red de posibles ataques cibernéticos. 
Si tu router no tiene uno, puede instalar un buen dispositivo de firewall en tu router para proteger tu sistema de intentos de piratería maliciosos contra su red doméstica.
UTILIZAR UN SISTEMA DE PREVENCIÓN DE INTRUSOS O WIPS
Una buena idea es habilitar cualquier tipo de detección fraudulenta ofrecida por tu proveedor de acceso inalámbrico (AP).
El método de detección y la funcionalidad exactos varían, pero la mayoría escaneará las ondas por lo menos periódicamente y le enviará una alerta si se detecta un nuevo AP dentro del alcance de los AP autorizados.
Además, si se trata de un verdadero WIPS que ofrece protección en lugar de un WIDS que ofrece solo la detección , debería poder tomar contramedidas de forma automática, como desasociar o bloquear a un cliente inalámbrico sospechoso para proteger la red bajo ataque.
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)