1

MAXIMA SEGURIDAD
EN REDES DOMESTICAS
Por Alberto Susin


2

Vamos a configurar un router para obtener la mxima seguridad en una red domstica, sin elementos
adicionales para protegernos de atacantes que quieran entrar en nuestra red mediante wifi y que un usuario de
calle pueda aplicarlo y tambin se darn unos consejos por si consiguieran acceder.
Para esta prctica usaremos un simulador router online, el modelo TL-WA801N de tp-link y un router Alpha
ASL2655 para explicar las medidas que vamos a implementar. Simulador

Introduccin:
Cuando tenemos una wifi domestica necesitamos introducir una clave para acceder a nuestra red, Y si alguien
ajeno quiere conectarse a nuestra red para navegar, robar nuestras cuentas personales, cometer delitos desde
nuestra red o descargar archivos pesados usando nuestra red?
Pues en contra de toda esta gente pondremos muros entre medio para que les sea ms difcil acceder a
nuestra red.
Medidas de seguridad que introduciremos:
Seguridad externa
Proteccin WPA2
Cambiar el SSID
Contrasea fuerte
Quitar o cambiar el pin WPS por defecto
Calibrar la intensidad de nuestra red

Seguridad interna
Desactivar el DHCP
Alejarse de las subredes convencionales
Filtrar por MAC
Cambiar las contraseas del router
Bajar los servicios que no necesitemos
Configurar el firewall integrado
Otras medidas de seguridad

1 Proteccin WPA2
Una de las cosas esenciales es poner un tipo de cifrado fuerte con el que viajaran nuestros paquetes, a da de
hoy podemos elegir entre WEP, WPA, WPA2.
El WEP tiene un serio problema y es que cuando capturas un elevado nmero de paquetes consigues la clave
con un alto nmero de xito solo comparando todos estos paquetes y al ser un cdigo de redundancia cclica
volvi a generar la misma clave como si tuviera que empezar el bucle, as que este lo descartaremos.
Entre WPA y WPA2, el WPA viendo la inseguridad que era WEP se les encargo a un grupo de criptgrafos
desarrollar un algoritmo que fuera capaz de sustituir a WEP y lo tuvieron que hacer rpido porque no podan
dejar a la gente desprotegida, aunque WPA puede darnos seguridad con algunas configuraciones previas
elegiremos WPA2 porque es una versin mejorada que solventaba algunos problemas criptogrficos que se
generaron con WPA.

3

2 Cambiar el SSID
El SSID es el nombre pblico de tu red wifi, este nombre lo cambiaremos por el que queramos aunque es
recomendable que no pongamos un nombre identificativo, por ejemplo evitaremos SSID como: Familia Prez
Martinez, con lo que ocultaremos que compaa nos da el suministro y wifi/familia, al haber cambiado el SSID
no podrn buscar informacin sobre el SSID en internet para saber qu modelo de router se enfrentan.

Criptgrafos y hackers han conseguido sacar el algoritmo sobre algunos modelos de router sobre cmo generan
las contraseas por defecto basndose en la MAC, lo ms reciente sucedi con algunos modelos de los routers
Arcadyan(Vodafone) y SMC(Ya.com).

3 Contrasea fuerte
Para protegernos de muchos ataques por diccionario, que lo que hacen es probar millones o en casos billones
de combinaciones hasta dar con la correcta, deberemos configurar una contrasea lo ms fuerte posible, pero
sabiendo que la tenemos que recordar y usar nosotros.
Para medir la fortaleza de la clave nos podemos ayudarnos de https://howsecureismypassword.net/ que nos
dir el nivel de seguridad y el tiempo que tardara un atacante con un equipo potente sacar la clave.
Lo importante es seguir unas pautas:
Ms de 13 caracteres.
Poner Maysculas y minsculas
Poner Nmeros
Poner caracteres alfanumricos

Un ejemplo de una clave segura podra ser: (BackTrack4cademy)


En nuestro simulador fcilmente configuraremos as:



4

4 Quitar o cambiar el pin WPS por defecto
WPS son las siglas de Wired Protection Setup, que en verdad no tiene nada que ver con seguridad directamente,
se utiliza para configurar dispositivos bsicos como impresoras, ipcams, scaners y algunos otros dispositivos que
se conecten a la red por wifi.

Tiene dos posibles configuraciones: Sincronizacin por botn o por pines.
El pin es una clave de 4 u 8 nmeros, que si lo dejamos por defecto es como dejar la contrasea principal por
defecto y un probable xito del atacante. Algunos programas para mviles y de ataque como la suite aircrack-
ng, reaver, goyscriptWPS y muchos ms tienen un diccionario con las claves por defecto para cada modelo de
router, el pin de la mayora de estos routers es 12345670.
Depende de nuestras necesidades lo deshabilitaremos o cambiaremos el pin, como consejo si dejamos el pin,
generamos hasta que sea un numero alto, por tema de
fuerza bruta.
Para un atacante es ms rpido hacer fuerza bruta a un pin
de 8 nmeros que sabes que tendrs xito a medio plazo y
que obtendr la clave wifi mejor que por diccionario a la
principal que puede ser inhumana de sacar.

La sincronizacin hace sincronizar los dos dispositivos que pones a emitir y ellos mismos al preguntarse se
asocian.

5 Desactivar el DHCP
El DHCP es el encargado de dar a los nuevos usuarios de la red una ip para poder comunicarse con otras
mquinas en la red y tener conexin a internet, el objetivo de desactivar DHCP es que si alguien entra en nuestra
red esta deber introducir manualmente una ip valida.
Esta medida puede ser contraproducente, pues para algunos usuarios o el administrador de la red puede ser
engorroso ir por cada nuevo dispositivo a configurarle una ip dentro del rango valido.



5

6 Alejarse de las subredes convencionales
Como suplemento de seguridad a la medida anterior deberemos cambiar las redes ms normales que se usan
por defecto, las redes por defecto suelen tener rangos en 192.168.0.0 /24 y la 192.168.1.0/24. Siendo el router
el 192.168.0.1 o el 254 en la red.
El 24 hace referencia a la mscara de red (255.255.255.0) que especifica que el rango de direcciones es desde la 0 a la 255.
La ip address referencia la ip del router, y el Gateway, es la puerta de acceso a internet, que por regla general
utilizaremos la misma.
Diseamos una red 192.168.40.16/28, en la que nuestras ips para nuestros equipos van desde 17 a 30, esto nos
acortara el rango de direcciones a supervisar.


Una vez tenemos la red diseada lo introducimos en nuestro router.
- Ip Address: Es la ip del router
- Subnet Mask: El rango de direcciones
- Gateway: Es el dispositivo que nos da acceso a internet, lo que ser el mismo que Ip Address.





6

7 Filtrado por MAC o IP
Esta medida restringir el acceso a los dispositivos que especifiquemos, la MAC es un numero nico que
identifica al dispositivo y la IP es como el ticket de la cola de una carnicera que te identifica para ese router que
suele darlo en DHCP.
En los filtrados tenemos 2 opciones:
Solo permitir las MAC/IP que se especifique para tener acceso a la red.
Solo denegar las MAC/IP que se especifique para que no acceda a la red.


En esta imagen vemos como denegamos a 2 intrusos que haban tenido a nuestra red y que los detecte porque el DHCP les
dio una ip y quedaron reflejados en el panel.

Estas medidas son buenas medidas de seguridad para aquellos que han conseguido la clave de la red wifi y con
los filtrados les denegamos el acceso, pero con buenos conocimientos estas medidas pueden ser esquivadas.
Desde el punto de vista el atacante veremos cmo este monitorizara todas las redes wifi que estn en el aire y
ve aquellos routers que estn emitiendo y tambin los clientes con el router o punto de acceso asociado, con lo
que sabr la MAC valida del cliente para ese router.

7


Para ips simplemente tendra que asignarse otra ip distinta a la que le hemos baneado.
Ambas medidas tanto filtrado por IP como por MAC son peligrosas, porque una mala configuracin puede dejar
a todos los clientes sin conexin. Aparte pueden ser muy engorrosas si hacemos que solo las IP/MAC que
deseemos tengan acceso. As que debemos valorar si implementarla con los pros y contras que nos aportan
como administradores.

8 Cambiar las contraseas del router
El acceso al router es como tener acceso al poder absoluto de la red, si este acceso cae en malas manos puede
ser letal, no hace falta que sea mal intencionado, un parmetro mal configurado puede dejarnos sin acceso
como vimos en filtrados por ip y Mac, para que esto no ocurra debemos cambiar la cuenta por defecto que traen
los routers, en su gran mayora son admin-admin o 1234-1234.

Para este apartado mencionar, que esta medida puede ser atacada con exploits pblicos que hay para cada
router y modelo. La pgina de referencia para exploits en routers es http://routerpwn.com

Exploit: ASL-26555 Remote Administration Password Disclosure

Tambin deberemos tener el firmware del router a la ltima versin estable oficial de nuestro fabricante, as
podemos defendernos de la mayora de estos ataques.


8

9 Bajar servicios que no necesitemos
Muchos routers traen varias rutas para acceder a l: HTTP,HTTPs, Telnet, FTP, Samba, ICMP, SSH para darle un
buen nivel de seguridad desactivaremos todos menos SSH, pero sabemos que para un administrador el HTTP
acceder a un panel de control grafico es ms intuitivo con lo que lo dejamos activo, el resto los desactivaremos,
ya que no aportan funcionalidades diferentes a lo que hacemos.



10 Configurar el firewall
Si nuestro router cuenta con un servicio de firewall podremos configuralo, deberemos ver que es cada opcin y
ponerlo restrictivo pero que afecte lo menos posible al trfico de la red.

Enable SPI: Es un inspeccionador de paquetes que examina los paquetes que contienen informacin para prevenirse que no son
maliciosos de un atacante.

11 Calibrar la intensidad de nuestra red
Por ltimo calibraremos la intensidad de nuestra red wifi para que tenga una seal menos lejana pero que en
nuestro hogar llegue buena seal. En el caso de no llegar a puntos de nuestro hogar podemos incluir puntos de
acceso para tener varios puntos wifi en el que conectarse y repita la seal al router, tambin debemos mirar que
alcance tiene para cubrir la zona que necesitemos pero sin excederse demasiado, los routers funcionan mejor
en plantas bajas y como consejo tenerlo en un lugar centrado del hogar y en ltimo caso poner puntos de acceso
wifi.


9

12 Otras medidas
Apagar wifi temporalmente
Una buena medida es aplicar las medidas por lgica y sentido comn, al haber configurado un cifrado WPA2 y
una contrasea fuerte los atacantes usaran fuerza bruta generada, diccionarios o tablas rainbow para probar las
combinaciones hasta acertar, si apagamos nuestra wifi cuando no la estemos usando como puede ser por las
noches hasta que llegamos a medioda, esto les cortara el ataque.

Ver clientes conectados
Para saber si alguien ha entrado usaremos programas que nos monitorice a todos los que estn en la red.
Podemos ayudarnos de programas como Softperfect(PC), Nmap(PC) y Fing(Todas las plataformas).

Revisar los logs
Ante un suceso extrao podemos ir a consultar los logs del router para saber que ha pasado, por ejemplo ante
un reinicio o desautentificacin de uno o varios usuarios, lo que nos permitir saber rpidamente porque
sucedi y quien lo hizo.

Quitar el acceso al router desde Internet
Algunos routers tienen una opcin WAN, esto significa que sabiendo la ip publica y las credenciales que le
hayamos dado de acceso se puede acceder desde cualquier punto de internet a nuestro router, as que a no ser
que sea 100% necesario lo tendremos desactivado.

Bsqueda de routers Alpha ASL-26555 a travs de shodan.

Implementando como mnimo parte de estas medidas ya podis dormir un poco ms tranquilos, a no ser que
seas un objetivo concreto, pero un atacante sediento de datos siempre ira a por la red ms fcil de acceder.
Saludos!