Securizar una red Wifi
Compartir en Facebook Compartir en Twitter Compartir en Whatsapp

Securizar una red Wifi

publicado el 27-09-2017 08:55:44

Cuando ponemos una red Wifi en casa, normalmente la configuración de la misma, viene dada por la compañía con la que contratamos el servicio. Esta configuración suele ser una por defecto y la mayoría de los usuarios no la cambia.

Casualidades de la vida, la semana pasada tuve que dar una sesión sobre seguridad y salió el tema de las redes Wifi, en dicha charla, les hablé un poco del estudio que realicé sobre las redes Wifi de Donosti y aspectos muy básicos de la seguridad en las mismas.

Viendo la necesidad de securizar nuestras conexiones voy a intentar dar unas recomendaciones para que nuestras redes sean un poco más seguras.

Comenzamos...

Yo actualmente soy cliente de Euskaltel y realizaré todo el artículo basándome en su router Technicolor TC7230, recomiendo que eches un vistazo al artículo que escribí sobre el mismo y del fallo de seguridad que encontré de salto de credenciales, a fin de no alargar demasiado este artículo y no cometer dicho fallo al realizar la configuración. Seguramente tu router tenga un menú distinto, pero las opciones se llamarán muy parecidas, es trabajo tuyo buscarlas un poco.

Partimos también de la base que tenemos toda la configuración por defecto y que la IP del router es 192.168.0.1, sabiendo eso, iniciamos el navegador web e introducimos la IP del router.

Usuario y contraseña

En este router, el usuario por defecto es vacío y la contraseña es admin, como en el router X serán usuario xxx y contraseña xxx. Lo primero que deberemos hacer es cambiar esto para que nadie pueda acceder a la configuración con unos credenciales por defecto. Para ello accedemos al menú del router y buscamos la opción de cambio de usuario y contraseña.

Cambio de usuario por defecto
Cambio de usuario por defecto

Una vez introducidos los datos que deseamos, le damos a "Apply", guardar, salvar o cómo aparezca en nuestra pantalla.

Hecho esto, debería desconectarse nuestra sesión y volver a pedirnos los credenciales de acceso, ahora si introducimos los nuevos deberíamos ser capaces de entrar de nuevo al menú del router.

Importante que te acuerdes del usuario y contraseña que pusiste, por si en un futuro necesitas volver a iniciar sesión.

Configuración de las opciones del Wifi

Toca el turno ahora de cerrar posibles vías de entrada a nuestra red, para ellos empezamos con el WPS, que lo desactivaremos del todo. En mi router, esta opción se encuentra en el apartado Wireless. Nos aseguramos que esté deshabilitado.

Deshabilitar WPS, cambiar red y password
Deshabilitar WPS, cambiar red y password

Vamos también a cambiar el nombre de la red, el objetivo es no dar pistas sobre quién nos da el servicio, para que no pueda saber configuraciones por defecto, en Euskaltel, suelen ser nombres de redes estilo Euskaltel-XXXX, Movistar usa la nomenclatura MOVISTAR_XXXX y Orange suelen ser Orange-XXXX. En el caso de mi router se encuentra en la misma pantalla, así que aprovecharemos a cambiarlo antes de guardar los cambios.

Otra de las cosas que deberemos cambiar es el tipo de red a WPA/WPA2 y la contraseña del Wifi, por muy larga, compleja y segura que nos resulte la que viene por defecto, NO lo es, responde a una operación matemática y se puede sacar muy fácilmente en cuestión de segundos. Introduce una contraseña segura y acuérdate de ella, en el momento que salves los cambios, todos los dispositivos de tu red conectados mediante Wifi serán desconectados y tendrás que conectarlos uno a uno.

En este apartado también encontramos la posibilidad de ocultar el nombre de la red, es una medida recomendable, aunque si es cierto que después al realizar la conexión de los distintos dispositivos deberás indicar manualmente el nombre de la red.

La última opción que quiero comentar de este apartado es el AP Isolate, esta opción, si la activamos, hará que los dispositivos se conecten con normalidad al Wifi, pero no podrán comunicarse entre ellos. Para un entorno doméstico no le veo mucha utilidad, pero para una red de invitados, por ejemplo en un bar, si me parece algo a tener en cuenta.

Finalmente en este apartado vemos tambien que existe la posibilidad de tener una red 5Ghz, si realmente no la vamos a utilizar, lo mejor es desactivarla para evitar posibles puntos de entrada a nuestra red. Si decidimos dejarla activada, deberemos realizar el mismo proceso tanto para la red de 2,4Ghz como para la de 5Ghz.

IP, máscara y DHCP

Ahora es el turno de jugar un poco con las IPs. Como hemos comentado, lo mejor es cambiar todo lo que esté por defecto, de esto tampoco se librá ni la IP del router. Lo normal es que la IP del mismo sea 192.168.0.1 es por ello que vamos a cambiarlo.

No voy a explicar como funcionan las IPs, ni las subredes, pero deberás elegir una IP que esté dentro del rango de direcciones reservadas para asignarsela al router. Los rangos van de 10.0.0.0 - 10.255.255.255 (Clase A), 172.16.0.0 - 172.31.255.255 (Clase B) o 192.168.0.0 - 192.168.255.255 (Clase C). Para salirnos aún más de lo que es lo "habitual", puedes si quieres, crear una subred, con ello complicaremos un poco la vida a un posible intruso.

Cambio de IP, máscara y DHCP
Cambio de IP, máscara y DHCP

Otra de las recomendaciones en este apartado, será deshabilitar el servicio DHCP, dicho servicio asigna IPs automáticamente a cada cliente que se conecte. Con ello deshabilitado, conseguiremos que en caso de que un intruso acceda a la red, tenga que saber en que rango de IPs se mueve nuestra red (para posteriormente configurarla manualmente) y si ya hicimos una subred lo tendrá más complicado.

Hecho esto, guardamos los cambios y se nos desconectará la conexión a internet, deberemos primero, asignar una IP a nuestro adaptador de red de modo manual. Entraremos de nuevo en la dirección IP del router para acceder a su menú y continuar con la securización.

Control de acceso

Una de las opciones que tienen los routers habitualmente, son los llamados controles de acceso, en el mío viene en el apartado de Wireless.

Normalmente la gente lo utiliza para bloquear MACs de los equipos. Pero si pensamos al revés podremos hacer nuestra red un poco más segura.

La idea es, en vez de denegar la conexión a las MACs indicadas, permitir sólo a las indicadas, que puedan realizar la conexión.

Para ello, deberemos hacer un inventario del hardware que deseamos conectar en nuestro domicilio y obtener la MAC de cada uno de los equipos (tanto móviles, tablets, televisiones y ordenadores). Indicaremos todas las MAC en sus casillas y en el MAC Restrict Mode, pondremos Allow.

Control de acceso
Control de acceso

Existe otra opción "Administration Web Page Access" que al tenerla activada permite a cualquier equipo que se conecte por Wifi acceder al menú del router. Si lo desactivamos, sólamente los equipos conectados por cable directamente al router tendrán acceso al mismo.

Guardamos los cambios y ahora sólamente podrán realizar la conexión en nuestra red los equipos que hayamos indicado.

Red de invitados

Cuando viene gente a nuestra casa, solemos darles alegremente la clave de nuestra red para que puedan conectarse con el móvil o con el PC. Esto, aunque lo hagamos con la mejor intención del mundo, puede ser muy mala idea.

Imagina que el dispositivo del familiar que ha venido a verte, dispone de algún tipo de malware que se propaga por una red local. Al tener acceso a nuestra red privada, podría infectarnos el resto de los equipos que componen dicha red.

Es por ello que algunos routers disponen de las llamadas, redes de invitados, que permiten crear una red Wifi separada de nuestra red personal, para que nuestras visitas puedan conectarse sin generarnos ningún problema.

Mi router no dispone de esta opción, pero si disponemos de algún router antiguo que tengamos guardado por ahí, podemos configurarlo y crear una red Wifi totalmente distinta y sin tantas restricciones (DHCP, red visible, contraseña fácil) para que nuestras visitas se sientan como en casa y nosotros no tengamos que preocuparnos de accesos no autorizados o infecciones.

Como recomendación, al ser una red que podríamos considerar insegura, tenla activa el tiempo imprescindible, es decir, lo que dure la visita.

Ultimos consejos

Para terminar el artículo, me gustaría darte unos últimos consejos.

Si no vas a usar el Wifi un tiempo largo, desactívalo. Es un punto de entrada a tu red y tus datos, si no lo vas a usar no hay necesidad de dejarlo expuesto.

La mayoría de los routers tienen la opción de hacer backups de la configuración del mismo, utilizala!

Es cierto que securizar una red Wifi da mucho trabajo y requiere configurar uno a uno todos los dispositivos, pero compensa el esfuerzo y aunque no hay nada 100% seguro, con estas medidas colarse en tu red, será un poquito más complicado que antes y podrás respirar más tranquilo.


Comentarios

Cargando

Quizá te interese...

Reutilizar un Móvil Antiguo (Parte 1)

Reutilizar un Móvil Antiguo (Parte 1)

17-09-2017 06:14

Seguro que tienes por ahí algun smartphone antiguo guardado en un cajón o cogiendo polvo en una estantería. Vamos a darle una segunda vida a esos móviles y montarnos por ejemplo, un sistema de video vigilancia.

Leer más
USB Instalación de Win10

USB Instalación de Win10

10-09-2017 16:59

Te has planteado instalar Windows 10 desde cero, o actualizarlo y ¿no dispones ningún medio para hacerlo? No te preocupes, te enseño como crear un disco USB de instalación original de Windows 10 en unos minutos.

Leer más
Whatsapp PC Portable

Whatsapp PC Portable

03-09-2017 10:50

¿Sabes que se puede usar Whatsapp en tu PC como una aplicación más y sin navegador? Descubre como hacerlo y además aprenderás a hacerlo portable para usarlo en cualquier PC.

Leer más

Aceptar