SEGURIDAD INALÁMBRICA EN EL Router Thomsom 580 (1ª PARTE)

Primero vamos a explicar una serie de conceptos básicos, que son los que después manejaremos.

SSID: Nombre de nuestra WLAN (red inalámbrica). Los puestos que deseen conectar por wireless al router, tienen que conocer este nombre y colocarlo en el apartado correspondiente de su configuración wireless.

ESSID Broadcast: Hace que nuestro SSID sea público, es decir, cualquiera que entre dentro del radio de acción de nuestro router, podrá ver nuestro SSID (Y conectarse a nuestra WLAN si no utilizamos encriptación).

Dirección MAC: Es un número que identifica a cada una las tarjetas de red.

Filtrado de direcciones MAC: Permite especificar qué ordenadores pueden entrar en la red. Cuando se active esta característica, hay que introducir en el apartado correspondiente del router las direcciones MAC de cada cliente de la red (tarjeta inalámbrica) para permitirles el acceso a la red.

CONFIGURACIÓN POR DEFECTO DEL ROUTER

Vamos a analizar la configuración del router tal y como está después de desenvolverlo y ponerlo a funcionar (esta es la configuración por defecto para el router proporcionado por Wanadoo)

  • Dirección IP del router: 192.168.0.1
  • Sin claves de acceso al router.
  • Servidor DHCP Activado. (El servidor DHCP asigna automáticamente una dirección IP dentro de su propio rango a todo aquel ordenador que lo solicite).
  • Wireless activado con los siguientes parámetros:
  • Difusión ESSID activada.
  • SSID: SpeedTouchxxxxxx (viene en la pegatina bajo el router).
  • Encriptación WPA. La clave está en la pegatina bajo el router.
  • Sin filtrado de direcciones MAC.
  • Selección de canal automática.

En el caso de este router, la seguridad de la conexión inalámbrica se consigue gracias a la encriptación WPA, pero podemos aumentarla. En los modelos no proporcionados por Wanadoo, la seguridad WPA no está activada.

Para acceder por primera vez al router pondremos en el navegador su dirección IP (habitualmente será la puerta de enlace de nuestra red local), por defecto 192.168.0.1. Para poder conectar con él deberemos configurar nuestra tarjeta de red en el mismo rango (o en "Obtener una dirección IP automáticamente" si tenemos el servidor DHCP activado). Esto lo hacemos en la pantalla de propiedades del protocolo TCP/IP de nuestra tarjeta de red.

 

Nos pedirá Usuario y Contraseña si lo hemos configurado previamente con ellas. En caso contrario, entrará directamente a la web de configuración.

 

La primera página a la que accedemos es la siguiente:

 

MEDIDAS DE SEGURIDAD RECOMENDADAS.

Si vamos a utilizar el router sólo mediante cable debemos desactivar la  característica wireless del router. Esto lo haremos en el menú Básico, apartado Inalámbrico.

 

Desmarcaremos la casilla Interfaz inalámbrica habilitada y pulsaremos el botón Aplicar. (Hay que pulsar en Guardar todo para hacer los cambios permanentes).

Esta es la medida más drástica que podemos tomar, porque normalmente utilizaremos el router para montar una red inalámbrica.

Las acciones que vamos a describir a continuación se pueden realizar independientemente unas de otras según nuestras necesidades de seguridad a la hora de configurar la red inalámbrica. También se pueden usar varias de ellas en combinación o incluso todas juntas.

 

1.-  Cambiar las claves de acceso por defecto.

Para evitar accesos indeseados al router es imprescindible cambiar las claves por defecto. Para ello vamos al menú Avanzadas apartado Contraseña del sistema.

 

Una vez aquí, nos pedirá que introduzcamos un Identificador de usuario y dos veces la Contraseña para confirmarla. Pulsamos en Aplicar para establecer las claves.

 

2.- Cambiar y desactivar SSID Broadcast (Difusión).

Siendo uno de los datos que es necesario para poder conectar a nuestra red es importante no estar divulgándolo de manera tan evidente. Incluso sería necesario cambiarle el nombre, puesto que los programas habituales de búsqueda de redes son capaces de identificar la marca del router, y por tanto se puede deducir el nombre por defecto.

Desactivar la difusión del nombre de red lo hacemos en el menú Básico, apartado Inalámbrico. Hay que marcar la casilla Sólo pueden conectarse las estaciones con nombre de red correcto (SSID).

 

Para cambiar el nombre modificaremos el que aparece en el campo Nombre de red (SSID). Pulsamos en Aplicar.

Ahora, para agregar un nuevo puesto a nuestra red wireless tendremos que introducir a mano en cada uno de los aparatos el nombre de la red (SSID). (Hay que pulsar en Guardar todo para hacer los cambios permanentes).

 

3.- Desactivación del servidor DHCP.

Si tenemos el servidor DHCP activado y ninguna otra medida de seguridad configurada en el router, cualquier ordenador que tenga su tarjeta de red configurada en "Obtener una IP automáticamente" tendrá acceso inmediato a nuestra red.

Sería conveniente no sólo desactivar esta opción sino, también, cambiar la IP local que trae el router por defecto, ya que siendo 192.168.0.1, es demasiado evidente.

Para desactivar el servidor DHCP iremos al menú Avanzadas, DHCP en la columna de la izquierda. Seleccionamos la pestaña Configuración del servidor, marcamos la casilla Sin DHCP y pulsamos en Aplicar.

Previamente debemos haber configurado el protocolo TCP/IP de las tarjetas de nuestros ordenadores con una IP de red local estática, máscara de subred, puerta de enlace y DNS, o si no perderemos la conexión.

 

Si necesitamos que en nuestra red esté activo un servidor DHCP, este apartado no podremos emplearlo, tendremos que buscar otras medidas.

Para modificar la dirección IP del router haremos un manual independiente: Modificación de los valores de la red local.

Para hacer los cambios permanentes pulsaremos el botón Guardar todo.

 

4.- Filtrado de direcciones MAC.

Cada tarjeta de red posee una dirección MAC (Media Access Control), que en teoría es única para cada una de ellas. Está formada por 48 bits que se suelen representar mediante dígitos hexadecimales que se agrupan en seis parejas (cada pareja se separa de otra mediante dos puntos ":" o mediante guiones "-"). Por ejemplo, una dirección MAC podría ser E1:B1:CF:3D:4A:AA . Normalmente viene impresa en la tarjeta de red, aunque también se puede consultar mediante el comando ipconfig /all en ms-dos.

Para consultar la dirección MAC de los equipos, por tanto, habrá que hacer lo siguiente:

  • En Windows 98 pulsamos en Inicio -> Ejecutar -> command. Se abrirá la ventana del intérprete MS-DOS. Introducimos el comando winipcfg. En el desplegable del cuadro que aparece debemos seleccionar nuestro adaptador de red.

 

  • En Windows 2000 o XP pulsamos en Inicio -> Ejecutar -> cmd. Se abrirá la ventana del intérprete MS-DOS, en la que introducimos el comando ipconfig /all.

 

Al activar el filtrado de direcciones MAC del router estamos autorizando el acceso al mismo únicamente a las tarjetas de red que introduzcamos en la lista. Iremos al menú Inalámbrico, pestaña Seguridad, Control de acceso.

 

En el Modo de acceso ACL (Access Control List) o Lista de Control de Acceso tenemos 3 modalidades:

  • No se permiten nuevas estaciones. La más restrictiva y la recomendada.
  • Nuevas estaciones permitidas (automáticamente). Permite a cualquier estación la conexión con el router. Esta es la más insegura.
  • Nuevas estaciones permitidas (mediante registro). Usando el botón Registrar permite el acceso a todas las estaciones que encuentra. Luego habría que eliminar las que no son nuestras.

Es recomendable usar la opción No se permiten nuevas estaciones. Pero esto nos obliga a autorizar manualmente y una a una todas las tarjetas a las que queramos dar acceso. Elegimos esa opción y pulsamos en Aplicar. La pantalla cambiará a:

 

Ahora iremos introduciendo las direcciones MAC de los ordenadores de nuestra red.

  • Name: El nombre para identificar qué estación es.
  • Dirección MAC: La de la tarjeta de ese ordenador.
  • Permitida: Las que tengan acceso deben tener el valor SI.

Pulsamos en Aplicar cada vez que introduzcamos una nueva entrada. Para guardar los cambios tenemos que pulsar, como siempre en Guardar todo.

A partir de ahora, para dar de alta una nueva dirección MAC, deberemos acceder al router a través de alguno de los ordenadores que ya tenga conexión (o mediante cable).

Ninguna de estas medidas por sí sola es segura. Pero todas ellas combinadas dificultará mucho que nuestra red sea accesible. La última que podemos aplicar, la encriptación, la trataremos en otro documento independiente.

NOTA: Es muy posible que durante la aplicación de alguna de los pasos anteriores, sobre todo si no lo hemos hecho nunca, perdamos el acceso al router. En algunas de estas ocasiones (por ejemplo: nos hemos equivocado al escribir la dirección MAC del único pc) no nos quedará más remedio que resetear el router para devolverlo a sus valores de fábrica y así poder empezar de nuevo.  Para ello pulsaremos el botón Reset de la parte posterior. El router recuperará de esta manera la configuración inicial, tal como la hemos descrito al principio.

Manual realizado por Ar03 para www.adslayuda.com. © 11/2005.

Depósito Legal GI.1411-2005

Te puede interesar

Social

Encuesta

  • ¿Para qué utilizas más el Internet de tu móvil?

    Resultados Encuestas

    Votos: 4652

Entrevistas