En Xataka On hemos hablado muchas veces sobre las redes WiFi domésticas, los diferentes algoritmos de autenticación, la “falsa” seguridad de las mismas, cómo averiguar las contraseñas,... pero nunca hemos hablado de cómo configurar correctamente una red WiFi. Por ese motivo vamos a explicaros cómo configurar nuestra red WiFi para que sea totalmente segura.
Hablaremos de todos los parámetros de configuración. Desde cómo cambiar el SSID (nombre de la red) hasta cómo configurar el filtrado de direcciones MAC y el cifrado a utilizar. De este modo, no sólo mejoraremos la seguridad de nuestra red, además, aprenderemos para qué sirven cada una de las opciones.
Para la realización de este tutorial hemos utilizado un router Comtrend VR-3025-un, aunque es válido para la mayoría de routers Comtrend. Para el resto podéis tomar como referencia los parámetros y opciones que hemos elegido en el tutorial, pero la apariencia y el menú no serán iguales.
Accediendo al Router
Abrimos una ventana del navegador web e insertamos la siguiente dirección:
http://192.168.1.1
En este punto, se nos requerirá un nombre de usuario y una contraseña. En este caso son:
Usuario: admin
Contraseña : admin
En el caso de que lo estemos haciendo en un router diferente podemos probar con los anteriores o con los siguientes: admin/1234, 1234/1234. Ya que son los más utilizados en las configuraciones por defecto.
Llegaremos a una página como la siguiente:
Cambiar SSID
Lo primero de todo será cambiar el nombre de nuestra red. Aunque no lo parezca, el nombre que ponen los operadores por defecto aporta mucha información sobre nuestra red, por este motivo es mejor modificarlo por otro completamente distinto. Para hacerlo vamos a:
Wireless -> Basic
En esta página debemos modificar el parámetro SSID. Lo ideal es usar un nombre que sea fácilmente reconocible y que no tenga relación alguna con nosotros. En muchas ocasiones me he topado con gente que ponía como SSID su dirección o su nombre, esto es un grave error porque este nombre señala directamente al propietario de la red. Yo elegiría nombres como: Chocolate o MiWiFi, de este modo reconoceríamos nuestra red rápidamente y no daríamos información alguna sobre nosotros.
Cambiar el sistema de autenticación
El siguiente paso es cambiar el sistema de autenticación. Normalmente los routers tienen una configuración buena de fábrica, pero su clave es conocida, es decir, tenemos una caja fuerte muy segura pero con la combinación escrita en un post-it al lado. Para solucionarlo, vamos a:
Wireless -> Security
En esta página los únicos parámetros que nos preocupan son: Network Authentication, WPA/WAPI passphrase y WPA/WAPI Encryption.
- Network Authentication: Aquí especificamos el sistema de autenticación que usaremos. Debemos tener en cuenta si nuestros dispositivos soportan el sistema que usemos, normalmente sí, pero si son muy antiguos puede que no soporten el más fuerte y tengamos que bajar un poco la seguridad. Para que no haya dudas, os los ordeno de mejor a peor: WPA2-PSK, WPA-PSK y WEP. A día de hoy WEP ya lo consideraría inseguro, pero si no nos queda más remedio…
- WPA/WAPI passphrase: Aquí debemos especificar la frase que vamos a utilizar de contraseña. Lo recomendable es que no sean palabras que se puedan encontrar en un diccionario, que tenga números y símbolos. Si tenéis problemas para recordarlo podéis pegarlo en un papel debajo del router.
- WPA/WAPI Encryption: En el desplegable seleccionamos el típo de cifrado que vamos a usar, en nuestro caso elegiremos “AES”.
Verificamos que en el desplegable “Select SSID” esté seleccionada nuestra red y pulsamos el botón “Apply/Save” para guardar los cambios.
Una vez aplicados los cambios tendremos que volver a configurar todos los dispositivos que se conecten vía WiFi. En entradas posteriores veremos cómo podemos configurar nuestro filtro de direcciones MAC, por si queremos hacer nuestra red más segura todavía.
En Xataka On | Tutoriales
Comentarios
Gracias por la info...todo facil y perfectamente explicado!
Si se puede yo también activaría la opción para ocultar el ESSID. Y poner un espacio al final del ESSID tampoco estaría demás.
-- editado por última vez a las 22:07
Excelente articulo y lo mejor que es el primero de varios, de la misma manera estaría perfecto que explicaran como ampliar la cobertura de red, ya sea con un punto de acceso AP, o con otro router.
Si, que algunos todavía tenemos que ir tirando cables por toda la casa, para disgusto del resto de familiares.
Excelente artículo. No obstante debo recalcar que WPA2-PSK aún es incompatible con algunos dispositivos (Conozco casos en las PSP) y hace poco he tenido problemas con un smartphone Android por el problema entre el TKIP-AES y el rekey interval (Me conectaba pero se me colgaba. Aumentando el rekey y cambiando a TKIP de momento cero problemas. No he tenido que prescindir de WPA2 menos mal).
Yo tenía un vecino un poco tocapelotas que usaba mi red Wi-Fi para bajarse pelis sin acaparar su ancho de banda. Ahora mi red tiene una contraseña WPA-PSK y un ESSID diferente, así que pensará que mi red ha desaparecido. Lástima que mi router Zyxel sólo me dejaba poner seguridad WPA y no WPA2. Lástima. Muchísimas gracias por la entrada. Espero ansioso las entradas posteriores. ¿He dicho gracias ya?
no te olvides de añadir filtrado MAC permitiendo únicamente las MACS de tus PCS/moviles etc
Filtrado de macs no sirve de nada. El atacante ve que mac estan conectadas y las suplanta cambiando la suya, es trivial.
Y respecto a que pensara que la red ha desaparecido, pues no. Solo tiene que ver la mac del router, del dia que la crackeo, sera la misma. De todas maneras WPA es bastante seguro, pero pon una contraseña muy larga, puede que se entretenga con un ataque de fuerza bruta.
-- editado por última vez a las 18:24
El filtrado de MACs es muy útil cuando el AP no tiene clientes conectados, en ese caso no tiene ninguna que clonar.
Algunos APs permiten el cambio de MAC o incluso al creación de wlans internas virtuales.
También, se me ocurre sobre la marcha se podría hacer que cuando haya una MAC duplicada el router hiciera una comparación con algo que solo tu ordenador puede tener (nombre de pc por ejemplo) y echar al otro. Pero esto ya con pocos routers.
Una contraseña alfanumérica de mas 20 valores aleatorios (aleatorio de verdad) no se van ni a molestar, es solo una red domestica, demasiadas molestias.
Desactiva el broadcast del ESSID, desactiva el DHCP y da tu las IPs a mano y cambia el rango de ips.
Gracias a todos!
@gil13, me ha gustado tu idea del espacio a final porque daría algún quebradero de cabeza a un posible atacante...
@binario, estamos en ello :D
De hecho tened en cuenta que si vuestro router soporta el protocolo 802.11n ES OBLIGATORIO poner WPA2 + AES.
De lo contrario no pasareis de los 54Mbps...
Ya se que esto lleva mucho tiempo puesto pero si alguien lee mi comentario necesito ayuda urgente. he tocado sin querer algo de mi router y he puesto creo que algo de wpa2 y al darle ha desaparecido mi red tanto por cable como por wifi y tampoco puedo acceder al menu del riouter porque no me aparece mi red, es como si hubiera desaparecido. Ayuda por favor.
Olvidadlo le he dado al reset y fin
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect