TUTORIAL: Cómo hacer más segura nuestra red WINDOWS USER
TABLA DE CONTENIDOS INTRODUCCIÓN 3 CAMBIAR CONTRASEÑA 5 MODIFICAR EL SSID (Service Set IDentifier) 5 MODIFICAR EL CANAL 6 DESACTIVAR EL BROADCASTING SSID 6 CIFRADO WEP O WPA 6 ACTIVAR FILTRADO POR DIRECCIÓN MAC 7 DESACTIVAR SERVIDOR DHCP 8 CAMBIAR LA POTENCIA DE LA SEÑAL 13 REFERENCIAS 15 FIGURAS 15 2
INTRODUCCIÓN En este tutorial vamos a ver cómo es posible hacer nuestra red wireless más segura. Para ello vamos a dar una serie de consejos a nivel general, debido a que éstos cambian dependiendo de cada fabricante de routers o puntos de acceso, incluso es posible que alguno de estos dispositivos no dispongan de todas las opciones. Para asegurarnos de las funcionalidades de nuestro nuevo dispositivo debemos consultar el manual del fabricante. Una vez tengamos nuestro punto de acceso inalámbrico lo primero que tenemos que hacer, para aumentar la seguridad de nuestra red wireless, es conectar mediante un cable el nuevo punto de acceso y nuestro ordenador, de esta forma nos aseguraremos que los cambios realizados en la configuración del dispositivo sólo serán visibles por nuestro equipo (no está conectado a la red). Una vez conectado el nuevo dispositivo y nuestro ordenador, debemos acceder a nuestro router vía navegador, para ello sólo necesitamos conocer la dirección IP de éste de la siguiente forma: - Haremos clic sobre, luego en - Escribimos cmd: 3
- En la nueva pantalla escribiremos ipconfig /all, y obtendremos una salida similar a la siguiente: La dirección IP del router vendrá especificada como puerta de enlace predeterminada, en este caso es: 192.168.1.1 Una vez conocemos la dirección IP de nuestro router bastará con ir a nuestro navegador y escribir la dirección IP, menos los dos últimos dos dígitos y dar a intro. Una vez realizado esto ya habremos accedido a nuestro router. Ahora podemos realizar las siguientes operaciones en el orden que deseemos ya que no tienen ningún orden predeterminado, incluso podemos, si es lo que 4
deseamos, no realizar alguna de ellas ya que no afectará al funcionamiento de las otras (todas son independientes). 5
CAMBIAR LA CONTRASEÑA Una medida bastante importante para la seguridad de una red es cambiar la contraseña que viene por defecto con el router o punto de acceso inalámbrico ya que estas contraseñas pueden ser conocidas por los intrusos. Como ya nos encontramos en la página de configuración de nuestro nuevo equipo inalámbrico, bastara con ir a System Tools/Admin password e insertar el nombre de usuario y contraseña, aportados en el manual del fabricante. Después de esto podremos cambiar la contraseña del dispositivo en la opción habilitada para ello. NOTA: Para conseguir una contraseña segura deberemos tener en cuenta lo siguiente: - Debe tener como mínimo 7 caracteres. - No debe ser una palabra que venga en el diccionario. - Debe tener letras, números y caracteres especiales combinados entre sí. - Debe alternar mayúsculas y minúsculas. - No debe ser conocida por nadie. - Debe ser renovada periódicamente. MODIFICAR EL SSID (Service Set IDentifier) Este identificador es el nombre que tiene nuestra red, es un código de cómo máximo 32 caracteres alfanuméricos el cual deberán conocer todos los dispositivos que vayan a comunicarse. Los fabricantes por defecto ponen un nombre a sus dispositivos, por lo tanto, si lo modificamos estaremos dificultando el acceso a nuestra red. Para ello 6
deberemos acceder a la opción Wireless Settings y cambiar este nombre que viene por defecto por el que deseemos que posea nuestra red. MODIFICAR EL CANAL Para modificar el canal deberemos acceder a la opción Wireless Settings y aquí elegir el canal que deseemos de los disponibles (siempre y cuando nuestro proveedor de Internet lo permita). DESACTIVAR BROADCAST DEL SSID Con esta opción nuestra red parecerá que es invisible, ya que no será visible para el resto de la gente. Esto nos protege de intrusos pero tiene un problema bastante importante y es que nuestra red puede tener muchas colisiones con la información de redes vecinas, ya que al no ser visible puede que nuestra red y alguna vecina compartan el mismo canal de transmisión. Esta decisión la deberá tomar el arrendatario dependiendo de sus intereses. Si se elige desactivar el broadcasting SSID entonces se deberá insertar en los equipos el nombre que posea la red, ya que no se podrá consultar automáticamente en el equipo de acceso inalámbrico. Para desactivar el broadcasting SSID, al igual que las opciones anteriores, encontraremos esta opción en las propiedades inalámbricas (Wireless Settings), en este caso tan sólo deberemos desabilitarlo (disable). CIFRADO WEP O WPA Cuando nos conectamos inalámbricamente a Internet, estamos enviando y recibiendo información por el aire. Ésta puede ser captada por un intruso para conseguir nuestras contraseñas, números bancarios o cualquier información que intercambiemos, para evitar esto tenemos la opción de activar el cifrado por WEP o por WAP. 7
El cifrado por WEP tiene algunos errores que lo hacen vulnerable, aunque para ello es necesario realizar escuchas muy largas para conseguir la clave, por ello es mejor elegir la opción de WAP si está disponible. Si se elige WAP, lo primero que se debe hacer es elegir una clave que tendremos que meter en el punto de acceso y en los equipos que se van a comunicar con él. Cuanto más larga (puede tener hasta 63 caracteres) y complicada sea esta clave mejor. Para ello, por ejemplo, se puede apuntar en un papel. Una vez finalizado este paso, bastará con romper dicho papel ya que no va a ser necesario recordarla posteriormente y así nadie conocerá la clave. Para cambiar el tipo de cifrado tendremos que ir a la opción Encryption de Wireless Settings del menú de configuración de nuestro router. Una vez aquí, deberemos seleccionar Security Mode y elegir el cifrado que deseemos, WEP, WPA-PSK o WPA2 y aceptaremos (Apply), en la nueva ventana deberemos introducir la clave y aceptar (Apply). NOTA: Al igual que ocurre con las contraseñas, la clave del punto de acceso es aconsejable que sea cambiada periódicamente. ACTIVAR EL FILTRADO DE DIRECCIONES MAC Esto permite filtrar el acceso al dispositivo inalámbrico de forma que sólo pueda ser utilizado por los ordenadores autorizados. Para autorizar a un ordenador se debe conocer el identificador de la tarjeta de red, o MAC (un conjunto de ocho pares de caracteres separados por dos puntos) que es único para cada equipo. Para averiguar cuál es la dirección MAC de nuestro equipo, realizaremos los mismos pasos que cuando deseábamos conocer nuestra dirección IP, es decir: - Haremos clic sobre, luego en - Escribimos cmd: 8
- En la nueva pantalla escribiremos ipconfig /all, y obtendremos una salida similar a la siguiente: La dirección MAC del router vendrá especificada como dirección física, en este caso es: 00-12-F0-56-E0-3D 9
Para activar el filtrado por MAC, debemos acceder a la opción Firewall (deberá estar activado - enable) y a Mac Address Filtering, ahora tendremos que seleccionar esta casilla y la de Access rule for registered Mac Address, una vez realizado esto permitiremos (Allow) y escribiremos las direcciones Mac que deseamos autorizar. NOTA: Esto deberá hacerse desde cada equipo que vaya a usar el punto de acceso inalámbrico. DESACTIVAR EL SERVIDOR DHCP DHCP (Dynamic Host Configuration Protocol), es el Protocolo Dinámico de Configuración de Puestos. Este protocolo fue diseñado por Microsoft, para asignar automáticamente las direcciones IP a los diferentes puestos de trabajo en una red TCP/IP. Si nuestro router tiene esta opción activada, estaremos permitiendo que cualquier equipo que tenga su tarjeta de red configurada para Obtener una IP automáticamente y éste dentro de la cobertura de nuestra red, pueda tener acceso a ella. Para deshabilitar esta opción, deberemos acceder a Lan Settings, y seleccionar Off, ahora deberemos asignarle las direcciones IPs de nuestros equipos manualmente. En IP Address escribiremos la dirección IP del router (192.168.1.1), en el apartado Beginning IP, pondremos la siguiente a la del router, en nuestro caso, 192.168.1.2. Y como End IP, escribiremos 192.168.1.X, donde X en este caso es 1(router)+el número de equipos a los que queremos dar acceso. Por ejemplo, si tenemos dos equipos, X será 4. Ahora, a los equipos que queramos conectar les deberemos asignar la dirección IP de forma manual, y esta deberá pertenecer al rango que hemos habilitado. A continuación pondremos limitaciones a las direcciones IPs mediante Subnetting, que consiste en modificar la máscara de subred y de esta forma restringir el número máximo de equipos que pueden conectarse a nuestra red. 10
La máscara de subred de nuestra red la podemos ver cuando usamos el comando ipconfig. Por ejemplo, en este caso es: 255.255.255.0 Con esta máscara de subred podrían conectarse a esta nuestra red 255 equipos (el último número de la máscara es un 0). Una solución es restringir esta máscara de tal forma que sólo permita conectarse a la red al número de equipos que nosotros deseemos. Para calcular la máscara de subred que nos interesa debemos restar a 255 el número de equipos que vamos a conectar más el router. Por ejemplo, en el caso anterior en el que tenemos dos equipos (255-2-1 = 252), tendremos la máscara de subred 255.255.255.252, por lo que sólo tenemos disponibles las direcciones IP; 192.168.1.1 para el router, 192.168.1.2 para un equipo y 192.168.1.3 para el otro equipo. CÓMO PODEMOS ASIGNAR MANUALMENTE UNA DIRECCIÓN IP A UN EQUIPO? - Haremos clic sobre, luego en 11
- Clic sobre Conexiones de red e Internet - Ahora sobre Conexiones de red - Haremos clic con el botón derecho sobre Conexión de área local En la opción Estado nos aseguraremos que estamos conectados. Una vez comprobado esto iremos a Propiedades, Aquí veremos una pantalla como la siguiente: 12
- En la ventana anterior seleccionaremos Protocolo Internet (TCP/IP), como muestra la figura anterior, y haremos clic sobre Propiedades. - Aparecerá una nueva ventana, en la que tendremos que seleccionar Usar la siguiente dirección IP 13
- Ahora deberemos rellenar las direcciones con los datos anteriores: Dirección IP: aquí escribiremos la dirección IP de cada equipo, por ejemplo, 192.168.1.2 Máscara de subred: como vimos anteriormente, en nuestro caso sería 255.255.255.252, ya que sólo deseamos conectar dos equipos (más el router). Puerta de enlace predeterminada: la dirección del router, en nuestro caso, 192.168.1.1 Y finalmente pulsaremos Aceptar. 14
NOTA: Estos pasos los deberemos realizar en todos los equipos que queremos conectar manualmente a la red. CAMBIAR LA POTENCIA DE LA SEÑAL Algunos routers y puntos de acceso permiten modificar la potencia de la señal emitida. Esta opción permite modificar la zona de alcance de la señal de esta forma una zona de alcance adecuada permitirá evitar el acceso de intrusos. Es decir, si por ejemplo, tenemos nuestro punto de acceso y los equipos que acceden a él están dentro de la misma habitación es innecesario tener el punto de acceso al 100% de potencia, ya que permitiremos que intrusos puedan tener acceso a nuestra señal y acceder a nuestra red. Para evitar esto es necesario ir disminuyendo la potencia e ir probando hasta llegar a un punto en el cuál la calidad de la conexión no ha sido mermada, de esta forma también ahorraremos energía. Para realizar estos cambios en la configuración de nuestro punto de acceso tendremos una pantalla parecida a la siguiente (varía dependiendo del fabricante): 15
En este caso, con una potencia (Transmit Power) del 67% sería suficiente para cubrir nuestra necesidades. Lo único que se debe hacer ahora es desconectar el cable de red entre el ordenador y el punto de acceso inalámbrico, y conectar este último a la red (toma de red). A partir de este momento tendremos una conexión a Internet más segura, ya que habremos dificultado el acceso a intrusos a nuestra red. ADVERTENCIA: El menú de configuración del router aquí descrito puede variar dependiendo del equipo utilizado ya que estos son diseñados por cada fabricante. 16
REFERENCIAS: [1] Manual para asegurar nuestra red Wifi. 13 Abril 2007 <http://www.daboweb.com/foros/index.php?topic=30731.0> (8 Mayo 2007) FIGURAS: [1] Logo Windows. Portada <http://bouchonneau.gilles.free.fr/img/jpg/logo_windows.jpg> 17