Cómo proteger nuestra red inalámbrica de un "vecino hacker"
Cómo proteger nuestra red inalámbrica de un "vecino hacker", la última charla que he dado en la pasada Campus Party Colombia 2013 titulada "mi vecino hacker", ha tenido muy buena aceptación en el público en general, muy posiblemente por ser una situación que cualquier persona puede vivir en el día a día o porque en el fondo todos sospechamos alguna vez de nuestro vecino, el caso es que esto ha causado una real avalancha de preguntas vía mail a mi casilla de correo, de personas preocupadas de la seguridad en sus redes inalámbricas.
Cómo proteger nuestra red inalámbrica de un "vecino hacker" y los proveedores de Internet
En esta nota trataré de dar respuestas a todas las preguntas que me han realizado en dichos mails y explicar "como protegerse de un vecino hacker", ya que en Colombia y muchos países de Latinoamérica son los mismos proveedores de internet los responsables de dejarnos desprotegidos, con configuraciones por defecto, mala política de contraseñas y hasta capando los dispositivos para que nosotros no podamos cambiar estos problemas.
Recomendaciones de seguridad en redes inalámbricas caseras:
- Desde hace más de una década el cifrado WEP está roto, por lo que la primera recomendación es evitar su uso.
- Inicialmente WPS (Wi-Fi Protected Setup) se diseñó para facilitar a los usuarios la configuración segura de sus dispositivos, pero recientemente se encontró la forma de atacarlo por fuerza bruta (como lo comentamos en la comunidad), lo que permite a un atacante, en pocas horas, tener acceso a tu contraseña sin importar la complejidad de esta, por tanto su desactivación es más que recomendada.
Configurar la red WPA o WPA2 con AES
Configurar la red con WPA o WPA2 con AES y una contraseña fuerte, lo que nos lleva a la siguiente recomendación.
Utiliza contraseñas fuertes
Utiliza contraseñas fuertes, siempre he dicho que una buena clave es la que es fácil de recordar y difícil de adivinar, muchos ponen en práctica esos consejos y toman por ejemplo una frase de su canción preferida, le suman unas cuantas comas y números para conseguir algo como "avecesmesientoenelshowdetruman;123" fácil de recordar y seguramente muy difícil de adivinar.
Otros en cambio prefieren que una máquina les genere una buena contraseña, para esto existen muchos servicios, uno de los más populares es lastpass.com porque permite:
- Generar la clave
- Administrarlas con un buen nivel de seguridad
- Implementar un factor de doble autenticación
- Generar contraseñas desechables
- Y un largo número de funcionalidades que terminan cautivando al usuario
Cómo proteger nuestra red inalámbrica de un "vecino hacker", hasta aquí tenemos la configuración básica que toda red casera debería tener.
Ahora empezaremos a realizar un poco de hardening o procesos adicionales para dificultar aún más la tarea a un posible "vecino hacker".
Tareas primordiales que debes tener presente
Las tareas primordiales a la hora de hacer asegurar una red inhalámbrica casera pueden ser las siguientes:
- Ocultar el nombre de la red o el SSID
- Reduzca la potencia de su router, tratando de que abarque solo su hogar (algunos routers tienen la opción en su configuración para hacer esto, también puedes intentar quitándole las antenas al router, si las tiene o ubicándolo mejor)
- Realice un filtrado por Mac de tipo lista blanca, donde solo podrán acceder los equipos que se encuentren en ella.
- Deshabilitar el DHCP y configurar manualmente sus equipos en un rango diferente a los "tradicionales"
Realizar Backup
Una vez realizados todos los cambios y recomendaciones en la configuración de tu router, realiza un backup de la misma y deshabilite los servicios que pueda tener el dispositivo, normalmente son FTP, TELNET y un servidor WEB (busca la documentación según la referencia del router para deshabilitarlo, también puedes mirar el archivo de configuración que bajaste como backup y deshabilitar manualmente estas opciones).
Recuerda que implementar una sola de las recomendaciones no sería suficiente, porque muchas de ellas, de forma independiente, se pueden saltar (por ejemplo el filtro por Mac, el DHCP, el SSID oculto), es la unión de estos obstáculos que pones lo que hacen que tu red este un poco más segura.
Cómo proteger nuestra red inalámbrica de un "vecino hacker" Sospecho que ya entraron a mi red ¿qué puedo hacer?
Lo primero que debes hacer es realizar las recomendaciones planteadas anteriormente, especialmente las del primer bloque, porque si ya entraron a tu red posiblemente sea por una mala configuración en tu router.
Revisa constantemente tu red, puedes hacer de muchas formas, aquí algunas:
Escaneando la red con nmap en busca de máquinas que no sean tuyas:
nmap -sS -sV -Pn 192.168.0.1-255
O automatizando el proceso como ha hecho nuestro amigo paulino calderón con este script en bash que cualquier cambio en los equipos de nuestra red, los notifica por correo.
#!/bin/bash #Bash script to email admin when changes are detected in a network using Nmap and Ndiff. #Don’t forget to adjust the CONFIGURATION variables. #Paulino Calderon <calderon(arroba)websec.mx> #CONFIGURATION NETWORK=”calder0n.com” ADMIN=paulino.calderon(arroba)gmail.com NMAP_FLAGS=”-sV -Pn -p- -T4” BASE_PATH=/usr/local/share/nmap-mon/ BIN_PATH=/usr/local/bin/ BASE_FILE=base.xml NDIFF_FILE=ndiff.log NEW_RESULTS_FILE=newscanresults.xml BASE_RESULTS=”$BASE_PATH$BASE_FILE” NEW_RESULTS=”$BASE_PATH$NEW_RESULTS_FILE” NDIFF_RESULTS=”$BASE_PATH$NDIFF_FILE” NDIFF=”$BIN_PATHndiff” if [ -f $BASE_RESULTS ] then echo “Checking host $NETWORK” $NMAP_COM /usr/local/bin/ndiff $BASE_RESULTS $NEW_RESULTS > $NDIFF_RESULTS if [ $(cat $NDIFF_RESULTS | wc -l) -gt 0 ] then echo “Network changes detected in $NETWORK” cat $NDIFF_RESULTS echo “Alerting admin $ADMIN” mail -s “Network changes detected in $NETWORK” $ADMIN < $NDIFF_RESULTS fi fi
Utilizando algún software como Wireless Network Watcher de la famosa empresa NirSoft
Documentación adicional que te recomiendo ver
La charla de "Mi Vecino Hacker", donde respondo muchas de las dudas de los asistentes respecto a seguridad wifi.
Tambien te recomiendo leer este artículo en partes escritos por Deepak Daswani en el blog de Chema Alonso, que comentan un caso parecido al expuesto en la charla "mi vecino hacker".
- Hackeando al vecino hax0r que me roba la WiFi (1 de 2)
- Hackeando al vecino hax0r que me roba la WiFi (2 de 2)
Por cierto intercambié un par de correos con Deepak para advertirle sobre algunos comentarios de personas mal intencionadas que sugerían que esta charla estaba basada en su trabajo y esta fué su respuesta:
"La verdad es que me halaga mucho que haya gente a la que se le haya pasado por la cabeza, y que te hayas tomado las molestias de escribirme. Dice muchísimo de ti. Además, lo que yo he hecho no es nada técnicamente nuevo, ni he descubierto nada".
"Jamás se me ocurriría pensar que has copiado mi trabajo."
"Fue simplemente un caso real, con una sucesión de circunstancias y parámetros que derivaron en ese artículo. Además, lo que hizo que tuviera tanto éxito en la red, llegando a las 30.000 visitas en el portal Menéame, fue más el morbo de ser una pareja de abogados, en la que la chica estudiaba para oposiciones a juez robando wifi, y la manera de documentarlo y relatarlo, que la complejidad técnica del mismo".
"No había nada nuevo, ni ningún descubrimiento, como las miles de cosas que publicas tú o el gran Chema, que es un auténtico crack".
"Gracias Jaime y un fuerte abrazo desde León".
PD. Dipu (Mi nombre es Deepak, pero Dipu es un diminutivo común, como Francisco y Paco 😉 )
Además de paso he aprovechado para comprometerlo a escribir un artículo en la comunidad, así que en un futuro no muy lejano tendremos un texto de Deepak Daswani por estos lados.
Por último te recomiendo ver este divertido corto de Raúl Navarro titulado "Mucho Mega", que descubrí ayer en el handgout de seguridad wifi en el que nuestro amigo @Seifreed como representante de la comunidad participó con otros profesionales de la seguridad para hablar del tema, el cual por cierto tambien recomiendo que veas.