Cómo proteger nuestra red inalambrica de un “vecino hacker”

La ultima charla que he dado en la pasada Campus Party Colombia 2013 titulada “mi vecino hacker”, ha tenido muy buena aceptación en el público en general, muy posiblemente por ser una situación que cualquier persona puede vivir en el día a día o porque en el fondo todos sospechamos alguna vez de nuestro vecino; El caso es que esto ha causado una real avalancha de preguntas vía mail a mi casilla de correo, de personas preocupadas de la seguridad en sus redes inalámbricas.

Vecino Hacker

En esta nota trataré de dar respuestas a todas las preguntas que me han realizado en dichos mails y explicar “como protegerse de un vecino hacker”, ya que en Colombia y muchos países de Latinoamérica son los mismos proveedores de internet los responsables de dejarnos desprotegidos, con configuraciones por defecto, mala política de contraseñas y hasta capando los dispositivos para que nosotros no podamos cambiar estos problemas.

Recomendaciones de seguridad en redes inalámbricas caseras:

WEP-WPS

Contrasena-Fuerte

  • Configurar la red con WPA o WPA2 con AES y una contraseña fuerte, lo que nos lleva a la siguiente recomendación.
  • Utiliza contraseñas fuertes, siempre he dicho que una buena clave es la que es fácil de recordar y difícil de adivinar, muchos ponen en práctica esos consejos y toman por ejemplo una frase de su canción preferida, le suman unas cuantas comas y números para conseguir algo como “avecesmesientoenelshowdetruman;123” fácil de recordar y seguramente muy difícil de adivinar, otros en cambio preferieren que una maquina les genere una buena contraseña, para esto existen muchos servicios, uno  de los más populares es lastpass.com porque permite, además de generar la clave, administrarlas con un buen nivel de seguridad, implementar un factor de doble autenticación, generar contraseñas desechables y un largo número de funcionalidades que terminan cautivando al usuario, además en el pasado han demostrado transparencia y aceptado sus errores lo que se agradece siempre. (Cualquier otra empresa simplemente lo negaría)

Hasta aquí tenemos la configuración básica que toda red casera debería tener, ahora empezaremos a realizar un poco de hardening o procesos adicionales para dificultar aún más la tarea a un posible “vecino hacker”.

Hardening

Las tareas primordiales a la  hora de hacer asegurar una red inhalámbrica casera pueden ser las siguientes:

  • Ocultar el nombre de la red o el SSID
  • Reduzca la potencia de su router, tratando de que abarque solo su hogar (algunos routers tienen la opción en su configuración para hacer esto, también puedes intentar quitándole las antenas al router, si las tiene o ubicándolo mejor)
  • Realice un filtrado por Mac de tipo lista blanca, donde solo podrán acceder los equipos que se encuentren en ella.
  • Deshabilitar el DHCP y configurar manualmente sus equipos en un rango diferente a los “tradicionales”
  • Una vez realizados todos los cambios y recomendaciones en la configuración de tu router, realiza un backup de la misma y deshabilite los servicios que pueda tener el dispositivo, normalmente son FTP, TELNET y un servidor WEB (busca la documentación según la referencia del router para deshabilitarlo, también puedes mirar el archivo de configuración que bajaste como backup y deshabilitar manualmente estas opciones).

Recuerda que implementar una sola de las recomendaciones no sería suficiente, porque muchas de ellas, de forma independiente, se pueden saltar (por ejemplo el filtro por Mac, el DHCP, el SSID oculto), es la unión de estos obstáculos que pones lo que hacen que tu red este un poco más segura.

Sospecho que ya entraron a mi red ¿qué puedo hacer?

Lo primero que debes hacer es realizar las recomendaciones planteadas anteriormente, especialmente las del primer bloque, pórque si ya entraron a tu red posiblemente sea por una mala configuración en tu router.

Revisa constantemente tu red, puedes hacer de muchas formas, aquí algunas:

Escaneando la red con nmap en busca de máquinas que no sean tuyas:

nmap -sS -sV -Pn 192.168.0.1-255

O automatizando el proceso como ha hecho nuestro amigo paulino calderón con este script en bash que cualquier cambio en los equipos de nuestra red, los notifica por correo.

#!/bin/bash

#Bash script to email admin when changes are detected in a network using Nmap and Ndiff.
#Don’t forget to adjust the CONFIGURATION variables.
#Paulino Calderon <calderon(arroba)websec.mx>
#CONFIGURATION

NETWORK=”calder0n.com”
ADMIN=paulino.calderon(arroba)gmail.com
NMAP_FLAGS=”-sV -Pn -p- -T4”
BASE_PATH=/usr/local/share/nmap-mon/
BIN_PATH=/usr/local/bin/
BASE_FILE=base.xml
NDIFF_FILE=ndiff.log
NEW_RESULTS_FILE=newscanresults.xml
BASE_RESULTS=”$BASE_PATH$BASE_FILE”
NEW_RESULTS=”$BASE_PATH$NEW_RESULTS_FILE”
NDIFF_RESULTS=”$BASE_PATH$NDIFF_FILE”
NDIFF=”$BIN_PATHndiff”

if [ -f $BASE_RESULTS ]
then
echo “Checking host $NETWORK”
$NMAP_COM
/usr/local/bin/ndiff $BASE_RESULTS $NEW_RESULTS > $NDIFF_RESULTS
if [ $(cat $NDIFF_RESULTS | wc -l) -gt 0 ]
then

echo “Network changes detected in $NETWORK”
cat $NDIFF_RESULTS
echo “Alerting admin $ADMIN”
mail -s “Network changes detected in $NETWORK” $ADMIN < $NDIFF_RESULTS
fi
fi

Utilizando algún software como Wireless Network Watcher de la famosa empresa NirSoft

Wifi Network Watcher

Utilizando tu dispositivo móvil y software como wifi inspector (que permite generar listas blancas) desde tu equipo Android para detectar intrusos en la red.

Wifi Inspector

Documentación adicional que te recomiendo ver

La charla de “Mi Vecino Hacker”, donde respondo muchas de las dudas de los asistentes respecto a seguridad wifi.

 

Tambien te recomiendo leer este artículo en partes escritos por Deepak Daswani en el blog de Chema Alonso, que comentan un caso parecido al expuesto en la charla “mi vecino hacker”.

Por cierto intercambie un par de correos con Deepak para advertirle sobre algunos comentarios de personas mal intencionadas que sugerían que esta charla estaba basada en su trabajo y esta fué su respuesta:

“La verdad es que me halaga mucho que haya gente a la que se le haya pasado por la cabeza, y que te hayas tomado las molestias de escribirme. Dice muchísimo de ti. Además, lo que yo he hecho no es nada técnicamente nuevo, ni he descubierto nada”.

“Jamás se me ocurriría pensar que has copiado mi trabajo.”

“Fue simplemente un caso real, con una sucesión de circunstancias y parámetros que derivaron en ese artículo. Además, lo que hizo que tuviera tanto éxito en la red, llegando a las 30.000 visitas en el portal Menéame, fue más el morbo de ser una pareja de abogados, en la que la chica estudiaba para oposiciones a juez robando wifi, y la manera de documentarlo y relatarlo, que la complejidad técnica del mismo”.

“No había nada nuevo, ni ningún descubrimiento, como las miles de cosas que publicas tú o el gran Chema, que es un auténtico crack”.

“Gracias Jaime y un fuerte abrazo desde León”.

PD. Dipu (Mi nombre es Deepak, pero Dipu es un diminutivo común, como Francisco y Paco 😉 )

Además de paso he aprovecharlo para comprometerlo a escribir un artículo en la comunidad, así que en un futuro no muy lejano tendremos un texto de Deepak Daswani por estos lados.

Por ultimo te recomiendo ver este divertido corto de Raúl Navarro titulado “Mucho Mega”, que descubrí ayer en el handgout de seguridad wifi en el que nuestro amigo @Seifreed como representante de la comunidad participó con otros profesionales de la seguridad para hablar del tema, el cual por cierto tambien recomiendo que veas.

Sin más que decir espero que implementes estas recomendaciones para evitar ser víctima de un “vecino hacker”.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • Pingback: Bitacoras.com()

  • edwar

    Interesante articulo!

    Me gustaría preguntar una cosa sobre este tema.

    Algunos routers incorporan la función de Access Point Isolation(así se llama en mi router) que supuestamente crea una subred para los conectados a la red WiFi evitando la comunicacion con los otros equipos. Hasta que punto eso es fiable? es una opción de seguridad para añadir?

    Un saludo

  • Don Juan

    Una duda, en el video se menciona el cambio de DNS en el router para apuntar a un computador, que herramienta usaron para ello?
    Saludos

  • Malex RM

    como es lo del bash .. se guarda en .vbs??
    Asi lo hice pero dice error en la línea 1 …

  • Alexander

    Muchas gracias por esta charla

  • Dennis

    Buenas recomendaciones, sin embargo al ocultar el SSID no estaríamos exponiendo a nuestros dispositivos a un posible ataque de Evil Twin?

    Saludos.

  • Pingback: Lo mejor del 2013()

  • Pingback: Protégete en tu entorno mas cercano – Parte I()

  • Laura Barboza

    Muchas gracias, siempre es grato leerlos, compartiré este artículo con mis amistades, esta muy bueno. Les dejo este otro .. está super bueno también, hay que seguir compartiendo toda esta información para hacer nuestras redes más seguras. 😀

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES