Zero13
30/06/2006, 00:55
Seguridad Inalambrica en el Router Wireless Zyxel 660 HW
Primero vamos a explicar una serie de conceptos basicos, que son los que despuas manejaremos.
SSID: Nombre de nuestra WLAN (red inalambrica). Los puestos que deseen conectar por wireless al router, tienen que conocer este nombre y colocarlo en el apartado correspondiente de su configuración wireless.
ESSID Broadcast: Hace que nuestro SSID sea poblico, es decir, cualquiera que entre dentro del radio de acción de nuestro router, podra ver nuestro SSID (Y conectarse a nuestra WLAN si no utilizamos encriptación).
Dirección MAC: Es un nomero que identifica a cada una las tarjetas de red.
Filtrado de direcciones MAC: Permite especificar qua ordenadores pueden entrar en la red. Cuando se active esta caracteristica, hay que introducir las direcciones MAC de cada cliente de la red (tarjeta inalambrica) para permitirles el acceso a la red.
Encriptación: Hay varios tipos de encriptación.
WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado. Nos ofrece dos niveles de seguridad, encriptación a 64 o 128 bit. La encriptación usa un sistema de claves. La clave del ordenador debe coincidir con la clave del router.
WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este matodo se basa en tener una clave compartida de un minimo de 8 caracteres alfanumaricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinamico de claves entre estos puestos (Con servidor). Es una opción mas segura, pero no todos los dispositivos wireless lo soportan.
CONFIGURACIíƒÆ’í†â€™íƒÂ¢í¢â€šÂ¬í…“N POR DEFECTO DEL ROUTER
Vamos a analizar la configuración del router tal y como esta despuas de desenvolverlo y ponerlo a funcionar.
Dirección IP del router: 192.168.1.1
Servidor DHCP Activado. (El servidor DHCP asigna automaticamente una dirección IP dentro de su propio rango a todo aquel ordenador que lo solicite).
Wireless activado. (En el caso del Zyxel 660 HW-61 de Telefónica, viene desactivado)
Difusión ESSID activada.
SSID: Wireless
Claves de acceso al router: Usuario 1234 ó admin. Contraseña: 1234.
Sin filtrado de direcciones MAC
Sin encriptación.
Es decir, la configuración perfecta para que cualquier vecino un poco avispado tenga completo acceso a nuestro router, nuestra adsl e incluso los pcs de nuestra red.
Para acceder al router pondremos en el navegador su dirección IP (habitualmente sera la puerta de enlace de nuestra red local), por defecto 192.168.1.1. Para poder conectar con al deberemos configurar nuestra tarjeta de red en el mismo rango (o en "Obtener una dirección IP automaticamente" si tenemos el servidor DHCP activado). Esto lo hacemos en la pantalla de propiedades del protocolo TCP/IP de nuestra tarjeta de red.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/1.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/1.jpg
Nos pedira Usuario y Contraseña. Si no las hemos cambiado, seran las que dijimos antes.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/2.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/2.jpg
Accederemos a la pagina de configuración. Puede haber leves diferencias en las capturas que a continuación se muestran, ya que el manual se ha realizado con un Zyxel 660. Pero basicamente las opciones, menos y procedimientos de configuración son los mismos. Esta sera la primera pantalla:
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/3.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/3.jpg
MEDIDAS DE SEGURIDAD RECOMENDADAS.
Si vamos a utilizar el router sólamente mediante cable debemos desactivar la caracteristica wireless del router. Esto lo haremos en el apartado Advanced Setup, meno Wireless.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/4.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/4.jpg
Ahora entraremos en el submeno Wireless.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/5.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/5.jpg
Quitaremos la marca de la casilla Enable Wireless Lan para desactivar la emisión. Despuas pulsaremos en Apply.
Esta es la medida mas drastica que podemos tomar, porque normalmente utilizaremos el router para montar una red inalambrica.
Las acciones que vamos a describir a continuación se pueden realizar independientemente unas de otras segon nuestras necesidades de seguridad a la hora de configurar la red inalambrica. Tambian se pueden usar varias de ellas en combinación o incluso todas juntas.
1.- Cambiar las claves de acceso por defecto.
Para evitar accesos indeseados al router es imprescindible cambiar las claves por defecto, asi que cambiaremos la contraseña. Para ello vamos al meno Advanced Setup -> Password.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/6.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/6.jpg
Introduciremos la contraseña actual y en los campos de abajo 2 veces la nueva.
Para activar los cambios pulsaremos en Apply. La próxima vez que entremos a la configuración deberemos usar la nueva clave.
2.- Cambiar y desactivar SSID Broadcast (Difusión).
Siendo uno de los datos que es necesario para poder conectar a nuestra red es importante no estar divulgandolo de manera tan evidente. Incluso seria necesario cambiarle el nombre, puesto que los programas habituales de bosqueda de redes son capaces de identificar la marca del router, y por tanto se puede deducir el nombre por defecto.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/7.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/7.jpg
Esto lo haremos en el meno Advanced Setup, Wireless (o Wireless LAN), apartado Wireless.
En ESSID, pondremos otro diferente al definido por defecto.
En Hide ESSID pondremos Yes.
Para guardar los cambios, pulsar Apply.
Ahora, para agregar un nuevo puesto a nuestra red wireless tendremos que introducir a mano en cada uno de los aparatos el nombre de la red (ESSID).
3.- Desactivar el servidor DHCP.
Si tenemos esta opción activada y ninguna otra medida de seguridad configurada en el router, cualquier ordenador que tenga su tarjeta de red configurada en "Obtener una IP automaticamente" tendra acceso a nuestra red.
Seria conveniente no sólo desactivar esta opción sino, tambian, cambiar la IP local que trae el router por defecto, ya que siendo 192.168.1.1, es demasiado evidente.
Esto lo haremos en el meno Advanced Setup, LAN.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/8.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/8.jpg
Para desactivar el servidor DHCP, pondremos el campo DHCP en None.
Para cambiar la IP local del router, pondremos en el campo IP Address el valor que deseemos para nuestra red local. Evidentemente, tendremos que cambiar tambian la configuración de red de los ordenadores. Si el router lo colocamos como en la imagen (192.192.2.1), tendremos que cambiar las IPs locales en 192.192.2.2, 192.192.2.3, y sucesivas.
Para guardar y activar cambios pulsaremos en Apply. Si hemos cambiado la IP de red local del router deberemos cambiar tambian las IP de los PCs. Para volver a acceder a la configuración tendremos que introducir en el navegador la nueva IP asignada al router.
4.- Filtrado de direcciones MAC.
Cada tarjeta de red posee una dirección MAC (Media Access Control), que en teoria es onica para cada una de ellas. Esta formada por 48 bits que se suelen representar mediante digitos hexadecimales que se agrupan en seis parejas (cada pareja se separa de otra mediante dos puntos ":" o mediante guiones "-"). Por ejemplo, una dirección MAC podria ser E1:B1:CF:3D:4A:AA . Normalmente viene impresa en la tarjeta de red, aunque tambian se puede consultar mediante el comando ipconfig /all en ms-dos.
Para consultar la dirección MAC de los equipos, por tanto, habra que hacer lo siguiente:
En Windows 98 pulsamos en Inicio -> Ejecutar -> command. Se abrira la ventana del intarprete MS-DOS. Introducimos el comando winipcfg. En el desplegable del cuadro que aparece debemos seleccionar nuestro adaptador de red.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/9.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/9.jpg
En Windows 2000 o XP pulsamos en Inicio -> Ejecutar -> cmd. Se abrira la ventana del intarprete MS-DOS, en la que introducimos el comando ipconfig /all.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/10.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/10.jpg
Al activar el filtrado de direcciones MAC del router estamos autorizando el acceso al mismo onicamente a las tarjetas de red que introduzcamos en la lista. Iremos al meno Advanced Setup, Wireless y dentro de al al apartado MAC Filter.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/11.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/11.jpg
Debemos poner la casilla Active en YES. El campo Action debe estar en Allow Association, para que permita el acceso a las direcciones listadas debajo. A continuación iremos introduciendo las direcciones MAC de los ordenadores de nuestra red. Una vez finalicemos pulsamos en Apply.
A partir de ahora, para dar de alta una nueva dirección MAC de algon ordenador que queramos añadir a la red, deberemos acceder al router a travas de alguno de los ordenadores que ya tenga conexión.
Ninguna de estas medidas por si sola es segura, todas se pueden saltar. Pero todas ellas combinadas dificultara mucho que nuestra red sea accesible. La oltima que podemos aplicar, la encriptación, la trataremos en otro documento independiente.
NOTA: Es muy posible que durante la aplicación de alguna de los pasos anteriores, sobre todo si no lo hemos hecho nunca, perdamos el acceso al router. En algunas de estas ocasiones (por ejemplo: nos hemos equivocado al escribir la dirección MAC del onico pc) no nos quedara mas remedio que resetear el router para devolverlo a sus valores de fabrica y asi poder empezar de nuevo. Para ello pulsaremos el botón Reset de la parte posterior durante 10 segundos. El router recuperara de esta manera la configuración inicial, tal como la hemos descrito al principio.
Manual realizado por Ar03 para www.adslayuda.com (http://www.adslayuda.com). © 12/02/2005.http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/adslayuda.jpg
Depósito Legal GI.342-2005
Primero vamos a explicar una serie de conceptos basicos, que son los que despuas manejaremos.
SSID: Nombre de nuestra WLAN (red inalambrica). Los puestos que deseen conectar por wireless al router, tienen que conocer este nombre y colocarlo en el apartado correspondiente de su configuración wireless.
ESSID Broadcast: Hace que nuestro SSID sea poblico, es decir, cualquiera que entre dentro del radio de acción de nuestro router, podra ver nuestro SSID (Y conectarse a nuestra WLAN si no utilizamos encriptación).
Dirección MAC: Es un nomero que identifica a cada una las tarjetas de red.
Filtrado de direcciones MAC: Permite especificar qua ordenadores pueden entrar en la red. Cuando se active esta caracteristica, hay que introducir las direcciones MAC de cada cliente de la red (tarjeta inalambrica) para permitirles el acceso a la red.
Encriptación: Hay varios tipos de encriptación.
WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado. Nos ofrece dos niveles de seguridad, encriptación a 64 o 128 bit. La encriptación usa un sistema de claves. La clave del ordenador debe coincidir con la clave del router.
WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este matodo se basa en tener una clave compartida de un minimo de 8 caracteres alfanumaricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinamico de claves entre estos puestos (Con servidor). Es una opción mas segura, pero no todos los dispositivos wireless lo soportan.
CONFIGURACIíƒÆ’í†â€™íƒÂ¢í¢â€šÂ¬í…“N POR DEFECTO DEL ROUTER
Vamos a analizar la configuración del router tal y como esta despuas de desenvolverlo y ponerlo a funcionar.
Dirección IP del router: 192.168.1.1
Servidor DHCP Activado. (El servidor DHCP asigna automaticamente una dirección IP dentro de su propio rango a todo aquel ordenador que lo solicite).
Wireless activado. (En el caso del Zyxel 660 HW-61 de Telefónica, viene desactivado)
Difusión ESSID activada.
SSID: Wireless
Claves de acceso al router: Usuario 1234 ó admin. Contraseña: 1234.
Sin filtrado de direcciones MAC
Sin encriptación.
Es decir, la configuración perfecta para que cualquier vecino un poco avispado tenga completo acceso a nuestro router, nuestra adsl e incluso los pcs de nuestra red.
Para acceder al router pondremos en el navegador su dirección IP (habitualmente sera la puerta de enlace de nuestra red local), por defecto 192.168.1.1. Para poder conectar con al deberemos configurar nuestra tarjeta de red en el mismo rango (o en "Obtener una dirección IP automaticamente" si tenemos el servidor DHCP activado). Esto lo hacemos en la pantalla de propiedades del protocolo TCP/IP de nuestra tarjeta de red.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/1.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/1.jpg
Nos pedira Usuario y Contraseña. Si no las hemos cambiado, seran las que dijimos antes.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/2.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/2.jpg
Accederemos a la pagina de configuración. Puede haber leves diferencias en las capturas que a continuación se muestran, ya que el manual se ha realizado con un Zyxel 660. Pero basicamente las opciones, menos y procedimientos de configuración son los mismos. Esta sera la primera pantalla:
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/3.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/3.jpg
MEDIDAS DE SEGURIDAD RECOMENDADAS.
Si vamos a utilizar el router sólamente mediante cable debemos desactivar la caracteristica wireless del router. Esto lo haremos en el apartado Advanced Setup, meno Wireless.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/4.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/4.jpg
Ahora entraremos en el submeno Wireless.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/5.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/5.jpg
Quitaremos la marca de la casilla Enable Wireless Lan para desactivar la emisión. Despuas pulsaremos en Apply.
Esta es la medida mas drastica que podemos tomar, porque normalmente utilizaremos el router para montar una red inalambrica.
Las acciones que vamos a describir a continuación se pueden realizar independientemente unas de otras segon nuestras necesidades de seguridad a la hora de configurar la red inalambrica. Tambian se pueden usar varias de ellas en combinación o incluso todas juntas.
1.- Cambiar las claves de acceso por defecto.
Para evitar accesos indeseados al router es imprescindible cambiar las claves por defecto, asi que cambiaremos la contraseña. Para ello vamos al meno Advanced Setup -> Password.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/6.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/6.jpg
Introduciremos la contraseña actual y en los campos de abajo 2 veces la nueva.
Para activar los cambios pulsaremos en Apply. La próxima vez que entremos a la configuración deberemos usar la nueva clave.
2.- Cambiar y desactivar SSID Broadcast (Difusión).
Siendo uno de los datos que es necesario para poder conectar a nuestra red es importante no estar divulgandolo de manera tan evidente. Incluso seria necesario cambiarle el nombre, puesto que los programas habituales de bosqueda de redes son capaces de identificar la marca del router, y por tanto se puede deducir el nombre por defecto.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/7.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/7.jpg
Esto lo haremos en el meno Advanced Setup, Wireless (o Wireless LAN), apartado Wireless.
En ESSID, pondremos otro diferente al definido por defecto.
En Hide ESSID pondremos Yes.
Para guardar los cambios, pulsar Apply.
Ahora, para agregar un nuevo puesto a nuestra red wireless tendremos que introducir a mano en cada uno de los aparatos el nombre de la red (ESSID).
3.- Desactivar el servidor DHCP.
Si tenemos esta opción activada y ninguna otra medida de seguridad configurada en el router, cualquier ordenador que tenga su tarjeta de red configurada en "Obtener una IP automaticamente" tendra acceso a nuestra red.
Seria conveniente no sólo desactivar esta opción sino, tambian, cambiar la IP local que trae el router por defecto, ya que siendo 192.168.1.1, es demasiado evidente.
Esto lo haremos en el meno Advanced Setup, LAN.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/8.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/8.jpg
Para desactivar el servidor DHCP, pondremos el campo DHCP en None.
Para cambiar la IP local del router, pondremos en el campo IP Address el valor que deseemos para nuestra red local. Evidentemente, tendremos que cambiar tambian la configuración de red de los ordenadores. Si el router lo colocamos como en la imagen (192.192.2.1), tendremos que cambiar las IPs locales en 192.192.2.2, 192.192.2.3, y sucesivas.
Para guardar y activar cambios pulsaremos en Apply. Si hemos cambiado la IP de red local del router deberemos cambiar tambian las IP de los PCs. Para volver a acceder a la configuración tendremos que introducir en el navegador la nueva IP asignada al router.
4.- Filtrado de direcciones MAC.
Cada tarjeta de red posee una dirección MAC (Media Access Control), que en teoria es onica para cada una de ellas. Esta formada por 48 bits que se suelen representar mediante digitos hexadecimales que se agrupan en seis parejas (cada pareja se separa de otra mediante dos puntos ":" o mediante guiones "-"). Por ejemplo, una dirección MAC podria ser E1:B1:CF:3D:4A:AA . Normalmente viene impresa en la tarjeta de red, aunque tambian se puede consultar mediante el comando ipconfig /all en ms-dos.
Para consultar la dirección MAC de los equipos, por tanto, habra que hacer lo siguiente:
En Windows 98 pulsamos en Inicio -> Ejecutar -> command. Se abrira la ventana del intarprete MS-DOS. Introducimos el comando winipcfg. En el desplegable del cuadro que aparece debemos seleccionar nuestro adaptador de red.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/9.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/9.jpg
En Windows 2000 o XP pulsamos en Inicio -> Ejecutar -> cmd. Se abrira la ventana del intarprete MS-DOS, en la que introducimos el comando ipconfig /all.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/10.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/10.jpg
Al activar el filtrado de direcciones MAC del router estamos autorizando el acceso al mismo onicamente a las tarjetas de red que introduzcamos en la lista. Iremos al meno Advanced Setup, Wireless y dentro de al al apartado MAC Filter.
http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/11.jpghttp://www.zero13wireless.net/wireless/APs/x_Zyxel660_Seguridad/11.jpg
Debemos poner la casilla Active en YES. El campo Action debe estar en Allow Association, para que permita el acceso a las direcciones listadas debajo. A continuación iremos introduciendo las direcciones MAC de los ordenadores de nuestra red. Una vez finalicemos pulsamos en Apply.
A partir de ahora, para dar de alta una nueva dirección MAC de algon ordenador que queramos añadir a la red, deberemos acceder al router a travas de alguno de los ordenadores que ya tenga conexión.
Ninguna de estas medidas por si sola es segura, todas se pueden saltar. Pero todas ellas combinadas dificultara mucho que nuestra red sea accesible. La oltima que podemos aplicar, la encriptación, la trataremos en otro documento independiente.
NOTA: Es muy posible que durante la aplicación de alguna de los pasos anteriores, sobre todo si no lo hemos hecho nunca, perdamos el acceso al router. En algunas de estas ocasiones (por ejemplo: nos hemos equivocado al escribir la dirección MAC del onico pc) no nos quedara mas remedio que resetear el router para devolverlo a sus valores de fabrica y asi poder empezar de nuevo. Para ello pulsaremos el botón Reset de la parte posterior durante 10 segundos. El router recuperara de esta manera la configuración inicial, tal como la hemos descrito al principio.
Manual realizado por Ar03 para www.adslayuda.com (http://www.adslayuda.com). © 12/02/2005.http://www.zero13wireless.net/wireless/APs/Zyxel660_Seguridad/adslayuda.jpg
Depósito Legal GI.342-2005