Mitos sobre las redes Wifi (II)

Con la proliferación de los routers inalámbricos se dan cada vez más casos de personas que detectan que les están quitando ancho de banda mediante conexiones sin permiso. A raíz de esto han nacido mitos sobre la manera más segura de proteger las redes frente a accesos y usos indeseados.

Filtrado MAC

Por muchos considerado el mejor sistema de protección para accesos no deseados.
Una MAC es una dirección física escrita en nuestro adaptador de red (router, ethernet, …). Esa dirección debería ser única, e identifica el proveedor y otros datos como pueden ser el país de fabricación, el número de série, etc… Tiene una ventaja respecto a la dirección IP. La dirección MAC es (a priori) única e inmutable.

El filtrado MAC impide la conexión al router a determinadas MACs. Normalmente se puede configurar de dos maneras:

  • Denegar las MACs listadas: con esa opción impedimos que se nos conecten algunas direcciones MAC que no queremos que usen nuestros sistemas.
  • Aceptar sólo MACs listadas: con esa opción se impide el acceso a todo el mundo menos a las direcciones MAC listadas.

Mito: Es la forma más efectiva de impedir accesos no deseados.
Realidad: es la peor de todas las protecciones.
Explicación: El filtrado MAC es equivalente a tener un portero en la entrada con una lista de nombres. El portero pregunta al cliente cuál es su nombre. Cuando el cliente le dice el nombre el portero mira la lista y si el cliente está permitido, le deja pasar. En caso contrario, le deniega la entrada.

No se puede saber quién está en la lista, pero sí quién ha entrado alguna vez, por lo tanto se puede modificar la MAC del adaptador para simular ser alguien que ha podido acceder con anterioridad. Es fácil obtener estas MAC, es tan simple que cualquier programa sniffer proporciona ese dato.
Conclusión: Es la peor de las protecciones, pues es de las más recomendadas y a la vez la más fácil de romper.

Ocultar SSID

El SSID es el identificador de nuestra red inalámbrica, para conectar a una red necesitamos especificar el SSID.

Mito: Ocultar dicha información dificulta el acceso a personas que no conocen el SSID por adelantado.
Realidad: el SSID se sigue transmitiendo.
Explicación: Desactivando la opción SSID broadcasting (u ocultación de SSID) sólo evita lo que se llama SSID beaconing en el punto de acceso.
Básicamente hay 5 mecanismos que envían el SSID haciendo broadcast, el SSID beaconing es sólo uno de ellos. Por lo tanto esa opción sólo evita que el punto de acceso se vaya anunciando, pero cuando haya tráfico en dicha red el SSID se mostrará.
Sólo permanecerá el SSID oculto en caso de que nadie esté asociado ni realizando peticiones para asociarse a dicho punto de acceso.
Conclusión: Es totalmente ineficaz en términos de seguridad.

Desactivar DHCP

El DHCP es el protocolo de auto-configuración para los clientes de red. Permite que un cliente configure los DNS, gateway, IP, máscara de red y otros parámetros de configuración de forma automática.

Mito: Combinado con usar IPs poco frecuentes (por ejemplo un subrango de 10.0.0.0/12) dificulta al hacker para configurar la red.
Realidad: No, es muy fácil descubrir qué IPs usan los clientes ya asociados y deducir la máscara de red y el gateway a partir de ahí.
Explicación: En las tramas IP se encapsulan las direcciones IP por lo que con un sniffer es muy simple ver qué IPs generan tráfico e incluso qué gateway utilizan.
Conclusión: Suele ser mayor la molestia que la posible seguridad que ofrece.

Articulos relacionados :

Twitter Digg Delicious Stumbleupon Technorati Facebook

2 Responses to “Mitos sobre las redes Wifi (II)”