Volviendo al título ¿son seguras las redes wi-fi? Si, sin duda. Una red wi-fi (con los dispositivos actuales) se puede configurar con relativamente muy poco esfuerzo de forma que sea absolutamente infranqueable para el 99,99% de los mortales. Y no vamos a tener la mala fortuna de que la simpática y guapa vecina del piso de al lado no sea la azafata que dice ser y disponga de tecnología secreta de la CIA y un super-ordenador para utilizarla. ¿Te has fijado si baja la intensidad de la luz de tus bombillas cuando ella llega a casa?
Hacer seguras las comunicaciones con un router wifi casero es bastante sencillo. Existen unas pocas de medidas que simplemente serviran para hacer desistir al vecino que se ha leído el útimo artículo de PC-WORLD pero que no está de más utilizar, a saber:
- Ocultar el identificador (SSID) de nuestra red
- Deshabilitar el DHCP del router y asignar direcciones manualmente a los dispositivos de nuestra red
- Limitar el número de direcciones IP posibles en nuestra LAN (¿para que diablos queremos una clase C completa?)
- Realizar filtrados de accesos por MAC
Aparte de estas ‘argucias’ existen dos medidas que son las que realmente nos garantizan la seguridad en nuestra red:
- Asegurar el acceso a nuestro router.
- Usar un protocolo seguro y correctamente configurado para el cifrado de las comunicaciones inalámbricas.
Sólo dos. No hace falta nada más.
Asegurar el acceso a nuestro router es bien sencillo. Lo primero que debemos de hacer es cambiar la contraseña de acceso al mismo. No seamos ‘rácanos’ en esto. Se trata de una contraseña que no tenemos que memorizar porque estará en nuestra casa y a salvo de miradas indiscretas. Basta con escribirla en un pos-it y guardarla pegada tras la portada de uno de nuestros libros favoritos, así que usaremos una cadena de caractéres absolutamente ininteligible del tamañó máximo permitido por nuestro router, generada automáticamente por un programa y que use letras mayúsculas y minúsculas, números y signos. Existen múltiples utilidades para esta labor: os indico una pero a vuestro aire. Una pequeña manía personal: yo elijo siempre una password que empieze por un símbolo en lugar de por una letra o número. Casi todos los programas que realizan ataques por fuerza bruta comienzan probando números y cifras así que esto retrasará unos cuantos meses el trabajo de tú vecina. A continuación debemos de limitar el acceso a la interfaz de configuración del router. Deberíamos de deshabilitar el acceso a través de la WAN (por motivos diferentes al tratado en este post) y, en cuanto a la LAN, limitaremos el acceso a la configuración del mismo exclusivamente a través de la IP de nuestro equipo (no olvideis que hemos tenido que deshabilitar anteriormente el DHCP y asignar IP’s manualmente)
La segunda medida absolutamente necesaria es el cifrado: olvidaros del WEP, por favor, y elegid WPA o WPA2. En este punto y, según vuestro router, os podeis encontrar diferentes opciones: WPA, WPA2, WPA-PSK, WPA-EAP, etc. ¿cuál diablos es la buena? Vayamos por partes.
WPA y WPA2 (Wi-Fi Protected Access) proporcionan autenticación en el acceso y privacidad en las comunicaciones. A grandes rasgos tienen dos modos de funcionamiento: el llamado «modo empresarial» o EAP (Extensible Authentication Protocol) que precisa de un servidor de autenticación externo y el modo personal o PSK (Pre Shared Key) que no lo necesita. Existen cinco standards diferentes de autenticación EAP cuyos detalles, si os interesan, podeis consultar aquí o aquí. La nomenclatura en los routers con los que he trabajado no suele ser demasiado clara: normalmente cuando sólo pone WPA se están refiriendo al modo empresarial y cuando lo hacen al modo personal pone WPA-PSK, pero en algunas ocaciones me he encontrado que el modo personal es WPA y el empresarial WPA-EAP. Un lío, pero para identificarlos basta una nota: si se están refiriendo al PSK nos exigirá una frase password mientras que si se refieren al EAP nos pedirá la dirección de un servidor de autenticación. ¿Fácil no?
Nos centramos en el PSK, pues. Todo lo dicho para la contraseña de administración del router es válido para la frase password que nos proporcionará la autenticación y que es necesario introducir en ambos extremos de la comunicación. Nada de elegir la ya manida «En un lugar de la mancha de cuyo nombre no quiero acordarme» ni, por supuesto la también muy explotada «Muchos años después, frente al pelotón de fusilamiento, el coronel Aureliano Buendía había de recordar aquella tarde remota en que su padre lo llevó a conocer el hielo». Usad una frase o un dicho ‘familiar’ o usado entre vuestros amigos y que no tenga mucho significado fuera de vuestro entorno.
Como protocolos se suelen ofrecer dos opciones: TKIP o AES. ¿Cual elegimos? Si disponemos de las dos opciones en cliente y servidor AES, sin lugar a dudas, que es un verdadero algoritmo de cifrado. TKIP es, en realidad, un ‘apaño’ que se lanzó para reemplazar el cifrado usado por WEP sin necesidad de reemplazar el hardware. Pero no temais: se trata de un mecanismo suficientemente seguro (por el momento, al menos) para la labor que realiza.
Y por último ¿cuál es la diferencia entre WPA y WPA2? En la forma, WPA fue definido por la Wi-Fi alliance y WPA2 estandarizado por la IEEE en forma de la norma 802.11i. En el fondo se reemplazó el código de autenticación de mensajes que usaba WAP WPA (llamado Algoritmo de Michael) por CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) y RC4 es sustituido por AES como algoritmo de cifrado. Aquí los fabricantes también suelen introducir cierta confusión: me he encontrado routers que, por ejemplo, te permiten elegir WPA y AES o WPA2 y TKIP lo cual no es muy coherente pero teniendo las cosas claras la configuración es bien sencilla: preferimos WPA2 antes que WPA y AES por delante de TKIP aunque podemos estar tranquilos de que si escogemos una frase password adecuada la combinación más débil (WPA y TKIP) es lo suficientemente segura como para no tener que preocuparnos de nadie. Salvo de la vecina, ya sabeis…
Para quien, una vez configurado, quiera auditar la seguridad de sus comunicaciones existen dos herramientas básicas para ello: aircraft (disponible para GNU/LINUX y windows) y cowpatty un proyecto semiabandonado hecho en C standard e independiente de la plataforma.
ACTUALIZACI?N: Durante estos cinco años se ha encontrado alguna vulnerabilidad en WPA que lo hacen bastante menos seguro que WPA2. En Security by Default han publicado recientemente un buen resumen de las caracterÃsticas de este último.