16 noviembre 2011

15 cosas que debes revisar en tu Router WiFi (802.11a/b/g/n) relacionadas con Seguridad

Basado en http://www.stumbleupon.com/su/2MxEVq/blog.jdpfu.com/pages/wifi-security

Apaga el router si no estás usando WiFi. Tu conexion wifi es segura solo si no está encendida. Tene en cuenta que algunos routers se volverán a encender después de un corte de energía eléctrica, por lo que deberias ver si tu router WiFi se comporta de esa manera. Las conexiones cableadas son más rápidas y 50 veces más seguras de todos modos.

Cambia el nombre SSID de fabrica por algo único que no contiene tu nombre, dirección o el tipo de router.

Cambia el identificador del usuario administrativo y la contraseña predeterminada. A veces sólo la contraseña se puede cambiar. Que sea buena, al azar y más de 20 caracteres. No dejes "admin-admin" o cosas asi que vienen de fabrica...

Deshabilitar la gestión vía WAN o WLAN.

No uses una DMZ de ninguna manera, incluso si estás ejecutando un servidor.

Utiliza la función de NAT (Network Address Translation). Evita modos "bridge" u otros. Vos queres que la IP pública y las direcciones IP internas sean muy diferente, no cierres en absoluto las redes 10.×.×.x o x 172.×.×.x o 192.168.×.x que son redes internas.

Habilitar HTTPS o SSH para la gestión del router. No deseas utilizar HTTP o Telnet porque son altamente inseguros.

Deshabilitar UPnP. ¡ESTO ES MUY IMPORTANTE! UPnP puede ser utilizado para abrir puertos en el router sin que lo sepas. Un poco de Javascript es todo lo que se necesita. Una vez que se ejecuta desde el PC dentro de la red... Se puede hacer casi cualquier cosa que quieras sin necesidad de autenticación o TU conocimiento. Algunas consolas de juegos y otros dispositivos no informáticos pueden requerir configuración manual de red con UPnP deshabilitado.

Deshabilitar WEP, WPA, y WiFi abierta, a menos que esté ejecutando un servidor RADIUS para acceso a la red. Sí, WPA no es seguro ya.

Utiliza sólo cifrado WPA2-AES (personal o empresarial). Esto probablemente cambiará cuando AES este quebrada, pero hoy en día, se cree estar a salvo... Todavía...

Elegi una contraseña única, y completamente al azar, tipo de 40 caracteres, con signos de puntuación, digitos, de acuerdo con la PSK (Pre-Shared Key). Cada vez que utilices una PSK, cualquiera en tu red puede ver todo el tráfico. Pensa en los cafés y los hoteles donde usaste wifi... Y en quien te dijo la clave del mismo...

Elegi un server DNS en el router, pero para utilizar el servidor DNS más rápido posible, y que no sea tu proveedor de Internet (privacidad). Mi ISP captura todas las consultas DNS, forzándolas a los servidores DNS de el mismo. Llamé, me queje y nada. Definitivamente validar que DNS que están usando. Esto es crítico para la seguridad en Internet.
  • no usar el de Google (Privacidad)
  • que sea de tu confianza (OpenDNS puede ser una opción)

Configurar el router a no responder a ninguna peticiones ICMP (ping) de afuera, y no abrir ningún puerto de entrada.

Si se utiliza el servidor DHCP en el router, limitar el rango de direcciones DHCP a no más de 3 veces el número de dispositivos que se conectarán en un período de 24 horas. 3 a 6 IPs en el rango sería más que suficiente para la mayoría de los hogares, excepto durante los días festivos, 10 IPs es un rango seguro. Yo prefiero usar direcciones IP estáticas para mis sistemas internos. DHCP es sólo para los dispositivos de prueba.

Habilitar el Firewall SPI - Estado-completo Packet Inspection Firewall en el dispositivo para que las conexiones se cierren más rápido. Esto es por lo general sólo una casilla.

Comproba si tu firmware tiene actualizaciones de seguridad del proveedor cada pocos meses. Si hay, los aplicas. Otras actualizaciones se pueden ignorar, si tu router está funcionando de la manera que queres. Establecer un recordatorio periódico para hacer esto en tu calendario es una buena práctica.

Usar el filtrado de MAC ADDRESS. Esto no es realmente seguridad, pero es como poner el techo en un vehículo descapotable antes de entrar en un bar, y al mismo tiempo dejar el coche abierto. Hacer spoofing de MAC ADDRESS es trivial y cada paquete RF incluye la dirección MAC en plano.

Después de que cada dispositivo se ha conectado, deshabilitar la difusión del SSID. Para algunos dispositivos, esto no funcionará y no se que tanto las  conexiones. En realidad no es de seguridad, pero si un "no a la difusión" que vos estas ahí, tal vez, sólo tal vez, alguien tratando de entrar en una red, no lo intente con la tuya al "no verte". Todavía habrá visto el tráfico de RF y cualquiera que realmente desee encontrarlo puede. No me molesto con esto y creo que puede ralentizar la red hacia abajo bastante.

Guardar los ajustes

Hace una copia de seguridad de la configuración (backup) y guardala en un lugar seguro. Si vas a configurar esto para tu abuela, o alguna otra persona, no lo guardes en la computadora de ella, hacele un favor a todos y anota la configuración en un papel de 7 × 12, a continuación, pegalo en la parte posterior o inferior del router. Por favor, no bloquees las ranuras de ventilación. El año que viene cuando vuelvas, querrás saber:

  • IP del Router
  • Submáscara de red del router
  • Rango IP del server DHCP
  • Usuario Administrativo y contraseña
  • SSID
  • Contraseña WPA2-PSK - esta debe ser fea y poco intuitiva y más de 40 caracteres
  • URL de acceso HTTPS del Router, por ejemplo. https://192.168.0.254/

Prueba de seguridad

Visita GRC.com y hace clic en Shields Up desde el interior de tu red doméstica, por detrás de tu router. Las pruebas realizadas sólo prueba unos pocos de los ajustes que hemos cambiado antes, pero se mostrará lo que el router le parece a alguien en China o Inglaterra o Rusia. Todos los puertos deben estar listados como cerrado o stealth. Esto no comprueba si tu vecino puede hackear la red. Si utilizas contraseña WPA2-AES y de 40 caracteres, palabras, completamente al azar, entonces deberia ser lo suficientemente bueno para el uso casero.

Selección de canales

Si estas en Argentina, sólo hay tres canales reales WiFi para routers 2.4GHz B/G/N. Los los demás son la superposición con estos tres. Deberías verificar los canales y la intensidad de la señal utilizada por las redes WiFi existentes en tu área y trata de elegir el canal 1, 6, u 11 si no se utilizan, o si los otros son de muy baja potencia. Si los canales son utilizados con una buena señal, te vas a ver obligado a seleccionar un canal con superposición. ¿Qué canal es el mejor? Es realmente un tema de ensayo-error. Las condiciones climáticas y el uso de WiFi de los vecinos tienen su impacto también.

Si sos un usuario avanzado, hay muchas otras maneras de proteger una red wifi fuera del router. Un servidor RADIUS con cifrado desde el cliente sería preferible a todas las recomendaciones sobre acceso a la red siempre que se le niegue la entrada si no accedio al RADIUS.

¿Queres saber más?

Fije la configuración del navegador

Aquí hay un link en Cómo hackear WPA y otro con el paso a paso de hacking para WEP y WPA. En estos días, la mayoría de la gente que hace la hacking está utilizando una que otra distribución de Linux con todo lo que cualquiera puede descargar de forma gratuita y arrancar desde un CD-ROM. Realmente es muy trivial que hacer, por lo que los pasos que se indican en esta página son importantes. Saltearse uno de ellos como no tener una contraseña fuerte AES es un error crítico. Básicamente, cualquier persona con una WiFi compartida está abierta a los ataques MITM, Man In The Middle, si no se utiliza una VPN. No estoy diciendo WiFi abierta, porque eso sería peor que la wifi que se necesita una llave. Sin embargo, en los hoteles y otros lugares que dan la clave wifi para más de 4 personas en un mes, debería ser sospechoso, y debería ser utilizada una VPN. Siempre.

No hay comentarios: