Linux: Seguridad – Ataque a nuestra seguridad Wifi

Nivel

Soporte

Distribución

Seguridad Wifi

Sin desanimaros, antes de nada os diré que no hay ninguna forma segura al 100% de proteger nuestras contraseñas de nuestra Wifi ante un ataque de un intruso. Pero, si que podemos hacerlo algo más tedioso a quien desee introducirse en nuestra red y opten por animarse a buscar otras redes más accesibles.

En esta entrada vamos a aprender a defendernos de los intrusos que deciden entrar en nuestra red Wifi de casa o trabajo, tirarlos de nuestro acceso y dificultarles su ingreso en nuestra Red Wifi. Vamos a seguir una serie de pasos bajo un Terminal, (Ctrl + Alt + T en Ubuntu) y averiguar si tenemos nuestra red vulnerada. Las encriptaciones Wifi basadas en la seguridad WEP es la más inestable, pudiéndose romper la clave (descifrar la contraseña) en los ciberataques en cuestión de muy pocos segundos, por lo tanto aquellos que aún la uséis, a partir de ahora mi recomendación es que modifiquéis los parámetros desde vuestro router para configurar una WPA2.

Acceso al router

Si conocéis vuestra puerta de enlace para acceder al router, saltaros el apartado a) y pasar al b).

a) Abrid un Terminal y escribid:

$ route
alejandro@alejandro-System-Product-Name:~$ route
Tabla de rutas IP del núcleo
Destino         Pasarela        Genmask         Indic       Métric    Ref    Uso    Interfaz
default         192.168.1.1   0.0.0.0              UG          100          0        0       enp1s32f3
link-local      *                     255.255.0.0      U            1000        0        0       enp1s32f3
192.168.1.0 *                     255.255.255.0  U            100          0        0       enp1s32f3

este comando nos mostrará el dato que necesitamos. Este pudiera ser un ejemplo del resultado del comando route, comprobad lo que está marcado en rojo, default: es la dirección de la puerta de enlace (acceso a nuestro router).

Abrid vuestro navegador y en la barra de direcciones teclead http:// más vuestra dirección que os haya salido:

b) Una vez dentro de la página de configuración, dirigirse al apartado Wifi donde podáis modificar el Tipo de Cifrado, por una más segura: WPA2 / PSK. Mi consejo, es que en vuestras contraseñas no utilicéis palabras de diccionario: saltamontes, violaceo, e incluso supercalifragilisticoespialidoso, por muy largo que sea. Los ataques por fuerza bruta utilizan palabras de diccionario usadas de forma común o singulares como la última. Olvidaros del 0000, 1234567890 y ese tipo de combinaciones numéricas. Una buena y fuerte contraseña es la que no tiene un significado coherente, que mezcle letras mayúsculas y minúsculas alfanuméricamente  junto a símbolos o caracteres ASCII con una extensión de ocho caracteres o más (tened cuidado con algunos símbolos que no se encuentren en el teclado de un móvil o tablet). Un ejemplo:

#*/Igf75-JKy$F"n;r.

Es importante remarcar de no olvidar configurar también este parámetro en la Wifi 5G (Wifi Plus en Movistar) en las últimas generaciones de routers que añaden la banda ancha de 5G, para el acceso a alta velocidad en un corto alcance.

Detectando al intruso con Nmap

por defecto Nmap viene instalado de base en nuestra Distro. Bajo Debian y similares si no viene instalado o no lo tenemos:

$ sudo apt-get update && sudo apt-get install nmap

Primero obligamos a una actualización del listado de programas en los Repositorios y segundo instalamos Nmap.

En el primer paso sería recomendable averiguar cuantos dispositivos (personas o aparatos) están en nuestra red:

$ nmap -sn IP  <- ejemplo del comando
$ nmap -sn 192.168.1.1 <- lo que teclearíais en el Terminal, cada uno con su puerta de enlace

donde IP, es nuestra puerta de enlace. Un reporte normal pudiera ser este como ejemplo:

alejandro@alejandro-System-Product-Name:~$ nmap -sn 192.168.1.1
Starting Nmap 7.01 ( https://nmap.org ) at 2017-09-23 17:56 CEST
Nmap scan report for 192.168.1.1
Host is up (0.00069s latency).
Nmap done: 1 IP address (1 host up) scanned in 13.01 seconds
alejandro@desvan-System-Product-Name:~$

Marcado en rojo, compruebo que solo existe una IP activa, lógicamente con la que estamos navegando. Y no tendríamos que hacer nada más porque no tenemos intrusos. Sin embargo, no esta demás pasar más adelante y revisar con Nmap, seguid leyendo.

En el siguiente apartado, pondré un ejemplo de dos dispositivos y un intruso robándonos nuestra Wifi. Hipotéticamente tenemos nuestro portátil y un teléfono móvil y nada más.

alejandro@alejandro-System-Product-Name:~$ nmap -sn 192.168.1.1
Starting Nmap 7.01 ( https://nmap.org ) at 2017-09-23 18:06 CEST
Nmap scan report for 192.168.1.1
Host is up (0.00074s latency).
Nmap done: 4 IP address (1 host up) scanned in 21.46 seconds
alejandro@alejandro-System-Product-Name:~$

Si sabemos que solo dos dispositivos usan Wifi en nuestra red, el tercero es un infiltrado y necesitamos averiguar quien es. Lanzaremos en el Terminal el siguiente comando, donde lo escrito en rojo corresponde a vuestras tres primeras cifras del acceso al router. 0/24 es inamovible, porque este es un rango que completa todas las IPs posibles desde el número 0 al 255.

$ nmap -v -sn 192.168.1.0/24 | grep down -v

Con este comando junto a sus atributos me reporta el siguiente registro:

alejandro@alejandro-System-Product-Name:~$ nmap -v -sn 192.168.1.1/24 | grep down -v
Starting Nmap 7.01 ( https://nmap.org ) at 2017-12-18 20:12 CET
Initiating Ping Scan at 20:12
Scanning 256 hosts [2 ports/host]
Completed Ping Scan at 20:12, 2.40s elapsed (256 total hosts)
Initiating Parallel DNS resolution of 256 hosts. at 20:12
Completed Parallel DNS resolution of 256 hosts. at 20:12, 13.00s elapsed
Nmap scan report for 192.168.1.1
Host is up (0.00054s latency).
Nmap scan report for 192.168.1.10
Host is up (0.000086s latency).
Nmap scan report for 192.168.1.11
Host is up (0.000032s latency).
Nmap scan report for 192.168.1.200
Host is up (0.0016s latency).
Read data files from: /usr/bin/../share/nmap
Nmap done: 256 IP addresses (3 hosts up) scanned in 15.42 seconds
alejandro@alejandro-System-Product-Name:~$

Aprendamos a diferenciar las IPs: es muy fácil dudar de quien es quien a no ser que nosotros mismos hayamos configurado en nuestros dispositivos con una IP estática en cada uno de ellos, sin embargo tenemos el dato que hay un intruso… Los marcados en verde corresponden a nuestra puerta de enlace y nuestros dos dispositivos. En rojo el que supuestamente no debería estar.

Tirando a los intrusos

Por la red se pueden encontrar diferentes pautas a seguir, pero mi recomendación más directa es la de averiguar las MACs de nuestros dispositivos y configurar nuestro router para navegar solo con aquellas MACs que autoricemos a tener acceso Wifi.

Cada router, tiene su propia personalización y configuración, tantas variantes que no es posible poner ejemplo de cada uno de los que existen en el mercado, ayudaros de vuestros amigos informáticos o de llamar a vuestra operadora de telefonía para que os guíen en realizar un filtrado MAC de vuestros dispositivos, lo que si os puedo guiar es a averiguar estas MACs.

Arp, es un comando que nos dirá la MAC que corresponde a cada IP que le solicitemos:

# arp -n 192.168.1.10
alejandro@alejandro-System-Product-Name:~$ arp -n 192.168.1.10
Dirección            TipoHW         DirecciónHW         Indic Máscara        Interfaz
192.168.1.10      ether              3f:34:a7:4b:dd:3e   C                              enp1s32f3

Comprobad que DirecciónHW reporta la MAC de los dispositivos en este ejemplo es 3f:34:a7:4b:dd:3e correspondiente a uno de nuestros dispositivos.

Para estos últimos pasos sobre el filtrado MAC, es muy importante cambiaros el SSID del router temporalmente (nombre que sale en vuestra Red Wifi) junto a una fuerte contraseña y volver a testear todo de nuevo y así cercioraros que no cogéis ninguna MAC infiltrada. Después podéis dejar vuestra SSID con el nombre que queráis.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.