Seguridad Básica y Avanzada en Redes WIFI

Seguridad Informática – Redes y WIFI. Pág. 1 de 3
www.GitsInformatica.com
WIFI. Configuración segura de redes.
¿Qué es WiFi?
Es lo que comúnmente se conoce como red inalámbrica y permite la conexión a Internet sin cables. Es decir, la transmisión de
la información se realiza por ondas, al igual que lo hace una radio o la televisión.
¿ En qué casos en recomendable instalarla?
La utilización de este tipo de conexión ofrece innumerables ventajas
asociadas a la movilidad, y está especialmente recomendado en las
siguientes situaciones:
Debido a los posibles riesgos de seguridad que puede llevar consigo una red
inalámbrica, se recomienda comprobar la necesidad de disponer de este tipo
de red.




Cuando necesitas conectarte en distintos sitios en tu domicilio y
donde no siempre es sencillo llevar cables.
Cuando los cables no son considerados “estéticos” con la
decoración de tu domicilio.
Cuando necesitas conexión y movilidad al mismo tiempo.
Cuando el número de equipos que se conectan en su domicilio es
variable.
¿ Cómo proteger la red WiFi?
A la hora de instalar una red inalámbrica se debe tomar ciertas medidas para reducir los riesgos de un incidente de seguridad;
como puede ser que personas ajenas accedan a tu información privada, que sea victima de un fraude, que utilicen su red para
fines maliciosos - con las consideraciones legales que esto puede suponer - o simplemente que terceros consuman ancho de
banda afectando al rendimiento.
Podemos disponer de redes WiFi con un nivel de seguridad más que aceptable si se utilizan correctamente los medios de
protección disponibles.Una red WiFi sin protección puede provocar que personas ajenas la usen para acceder a información
privada o cometer algún fraude.
Para entender mejor como podemos asegurar nuestra red inalámbrica primero veremos como se realiza la conexión de un
nuevo dispositivo a la misma.Para asegurar la red se deberán proteger los diferentes pasos que se realizan durante la
conexión del dispositivo al router.
Medidas básicas de seguridad
Definimos este concepto cuando se tratan de aquellas medidas mínimas necesarias a tomar para disponer de una red WiFi
segura. Se pueden abordar con unos conocimientos básicos y los manuales de uso de los dispositivos.
Planifique el alcance de la instalación.
El objetivo de esta planificación es controlar el alcance de la red, ya que cuanto menos difusión de las ondas fuera de sus
instalaciones tenga menores serán las posibilidades de una intrusión en la red. Los puntos esenciales a tener en cuenta son:




Responder a las necesidades de la empresa (cobertura, ubicación, etc).
No dejarlos al acceso directo de cualquier persona.
Deberán estar en lugares relativamente difíciles de acceder (techos, sobre falso techo, en cajas con cerradura,
etc) .
Cambie los datos de acceso al Router.
Los routers y puntos de acceso que recibe cuando contrata el servicio WiFi con algún proveedor, suelen tener una
contraseña por defecto para acceder a la administración y configuración del dispositivo. Esta contraseña, a veces
denominada “clave del administrador”, debe cambiarse cuanto antes por otra contraseña.
Con esta medida evitaremos que atacantes que hacen uso de esas contraseñas por defecto puedan tomar el control
del router desde fuera vía Internet y modificar nuestra configuración de seguridad.

Oculte el nombre de su red.
Cuando usted intente conectarse a una red, le aparecerán todas las que se encuentran a su alrededor,
independientemente si pertenecen o no a su organización, y esto mismo le ocurrirá a cualquier persona que vea todas
las redes inalámbricas, incluida la suya.
Seguridad Informática – Redes y WIFI. Pág. 2 de 3
www.GitsInformatica.com
Para evitar ésto al configurar el SSID de nuestra red en el “Router”, o en el punto de acceso, lo haremos de forma
que no se difunda el nombre de la red. De esta manera si alguien quiere conectarse a ella, solo podrá hacerlo
si conoce el SSID de antemano. Con esta sencilla medida aseguramos el punto 2 de la conexión.
Sólo podrán conectarse a su red aquellos usuarios
autorizados que conozcan el nombre de red de su
empresa.

Use protocolos de seguridad.
Mediante protocolos de seguridad que permiten el cifrado en función de una contraseña conseguiremos proteger tanto
el acceso a la red, como las comunicaciones entre dispositivos
Los dos sistemas más comunes para asegurar el acceso a la red WiFi son mediante el procolo WEP (Wired
Equivalent Privacy) y el protocolo WPA (WiFi Protected Access).
El protocolo WEP es el más simple y lo implementan prácticamente todos los
dispositivos, pero ya han sido reportadas algunas vulnerabilidades que permiten
saltarse su protección.
En cambio, el protocolo WPA utiliza un cifrado más fuerte que hace que sea
más robusto, aunque no todos los dispositivos ni los sistemas operativos lo
soportan (consultar documentación del dispositivo). También es posible
implementar el protocolo WPA2 que es la evolución definitiva del WPA, es el
más seguro de los tres pero tampoco todos los dispositivos lo implementan.
Use el protocolo que use, la forma de trabajo es similar, si el punto de acceso o
router tiene habilitado el cifrado los dispositivos receptores que traten de
acceder a él tendrán que habilitarlo también. Cuando el punto de acceso
detecte el intento de conexión solicitará la contraseña que previamente
habremos indicado para el cifrado.
Utilice SIEMPRE un protocolo de seguridad, y en lo posible el protocolo WPA.
Para lograr una mayor seguridad se deben cambiar las contraseñas de acceso
cada cierto tiempo y usar contraseñas fuertes.
Esto es una forma de asegurar el paso tres, comprobación de credenciales.

Apagar el router o punto de acceso cuando no se vaya a utilizar
De esta forma reduciremos las probabilidades de éxito de un ataque contra la
red inalámbrica y por lo tanto de su uso fraudulento.
WI-FI: Medidas avanzadas de seguridad
En esta sección se tratan las medidas a adoptar para tener una garantía “extra” de seguridad. Para implementarlas es
necesario disponer de conocimientos técnicos avanzados o contar con personal técnico adecuado.
Recuerde que a veces no valoramos bien lo crítica que es nuestra información. Piense en lo que pasaría si su información
estuviera a disposición de terceros. ¿Sería entonces importante?

Utilizar la lista de control de acceso (ACL) por MAC
La lista de control de acceso, consiste en crear una lista con las direcciones MAC de los dispositivos que
queremos que tengan acceso a nuestra red. La dirección MAC es un identificar único de los dispositivos de red de
nuestro equipos (Tarjerta de red, móviles, PDA, router,...). Así que si cuando solicitamos la conexión nuestra MAC
está en la lista, podremos acceder a la red, en caso contrario seremos rechazados al no disponer de la credencial
apropiada.
Seguridad Informática – Redes y WIFI. Pág. 3 de 3
www.GitsInformatica.com
De esta forma aseguramos el paso tres, presentación de credenciales.

Deshabilite el DHCP en el Router y utilice IP estáticas
Para dificultar la conexión de terceros a la red se puede desactivar la asignación de IP dinámica por parte del router
a los distintos dispositivos inalámbricos.
Cuando un equipo trata de conectarse a una red, ha de tener una dirección IP que pertenezca al rango de IPs de la
red a la que queremos entrar. El servidor DHCP se encarga de dar una dirección IP adecuada, siempre que el
dispositivo esté configurado para obtenerla en modo dinámico mediante servidor DHCP.
Al deshabilitar el DHCP en el router cuando un nuevo dispositivo solicite una
dirección IP, éste, no se la dará, por lo tanto, si quiere conectar deberá indicar el
usuario una dirección IP, una máscara de subred y una dirección de la pasarela o
gateway (dirección del Router) de forma aleatoria, lo que implica que las
posibilidades de acertar con la IP de la red deberían ser casi nulas.
De esta forma aseguramos el paso 4 .
 Cambie la dirección IP para la red local del Router
Para dificultar en mayor medida que personas ajenas se conecten a a su red
inalámbrica de manera ilegitima también es recomendable cambiar la IP interna
que los router traen por defecto, normalmente 192.168.0.1. Si no se realiza el
cambio el atacante tendrá más posibilidades de acertar con una IP valida y por lo
tanto de comprometer la red.

Autentique a las personas que se conecten a su red, si lo considera necesario
La autenticación de usuarios tiene sentido en entornos donde los usuarios serán siempre los mismos. Si es el caso de
su empresa, recomendamos optar por la autenticación de personas.
Si es necesario autenticar a las personas que acceden a su red, se recomienda utilizar el protocolo 802.1x
En caso de necesidad de autenticar a las personas que se conectan a la red, se recomienda la implementación del protocolo
802.1x (Contactar con personal especializado si no se tienen los conocimientos necesarios)
Este protocolo es complicado de implantar, pero es bastante seguro. Su funcionamiento se centra en certificados digitales,
(como por ejemplo los facilitados por la Fábrica Nacional de Moneda y Timbre FNMT o el recién implantado e-DNI). Estos
certificados se instalan en los ordenadores de los usuarios, y cuando se quieren conectar a la red, los certificados se
transmiten de forma segura hacia la entidad u organismo que ha firmado los certificados y verifica que son válidos. A partir de
ahí, los clientes pueden acceder a la red (ya que ya se han autenticado) y de forma segura (los certificados ayudan a
proporcionar un canal de comunicación seguro).
______________________________________
Encontrará más documentos en la Sección de Descargas de Seguridad GITS Informática.
Gits mira por tus derechos. Gits es Pro-Vida.
Por razones ecológicas y económicas, imprima este documento solo si es necesario y, a ser posible, en papel reciclado.
Recomendamos la visualización de este documental: http://www.youtube.com/watch?v=SWRHxh6XepM.
Gracias por su colaboración con el medio ambiente.
Copyright (c) 2003. Gits Informática. All rights reserved.