InfoLinux

Lunes, 13 de febrero de 2006

SECURIZANDO IMAGENIO

Versión PDF:

Dificultad (Sobre 5): star star halfstar

Veremos cómo configurar nuestro router de Telefónica, tanto en Linux como en Windows, para evitar que los vecinos u otros atacantes, nos roben ancho de banda, puedan ver Imagenio por la cara, o peor aún, naveguen en Internet con nuestra identidad.

ÍNDICE:

Motivaciones del atacante
Barreras preliminares
Habilitando WPA-PSK
Configurando nuestro adaptador inalámbrico (En Windows y Linux) para WPA. En concreto una IPW2200 b/g

MOTIVACIONES DEL ATACANTE:

Recientemente instalaron en mi casa Imagenio de Telefónica, como muchos ya sabréis, viene con WEP por defecto (de hecho la clave se encuentra escrita en la parte de abajo del router, y solamente varía en unos dígitos intermedios con otros routers de Telefónica).
Lo cual hace demasiado fácil que un atacante con unos conocimientos mínimos, pueda:

Robarnos ancho de banda
Acceder a la configuración del router
Ver Imagenio en el ordenador.
Navegar en Internet con nuestra identidad

Como estoy estudiando fuera de mi ciudad natal, Burgos, tuve que esperar a este fin de semana, para poder enfretarme al asunto de dar seguridad a mi red inalámbrica familiar. Voy a explicar los pasos que he dado, los manuales que referencio, están realizados en Windows, pero del mismo modo se pueden usar para Linux, simplemente con otro browser diferente.

BARRERAS PRELIMINARES:

1.- Cambiar el ESSID por defecto y deshabilitar el broadcasting:
Las redes Imagenio tienen un nombre de red, que comienza siempre por WLAN_ y ofrecen algo más que simple ancho de banda. Esto aumenta el interés del atacante. Así que lo primero es cambiar el nombre de red o ESSID. Si deshabilitamos el broadcasting nuestro nombre de red no será visible en un escaneo con Windows (lo que significa que no será visible para un atacante, siempre y cuando este use Windows, ya que Linux es capaz de detectar este tipo de redes escondidas). En este caso será necesario configurar el ESSID manualmente.

2.- Cambiar la contraseña del router por defecto:
Esta es aún más importante. El router de Telefónica, tiene como nombre de usuario:1234 y contraseña:1234 por defecto. Yo mismo he comprobado en redes cercanas, la facilidad de acceder al router, con todo lo que esto conlleva. Por favor, un poco de ética, y nunca tocar nada, sino sabéis de qué se trata.

3.- Desactivar DHCP:
Esta es una barrera más, para desanimar al atacante. Consiste en no proporcionale en una dirección por defecto. Normalmente se le añade el poner la IP del gateway en una dirección no estándar, como puede ser 192.168.1.1 , por lo que en este caso no nos servirá de mucho, ya que no podremos cambiar la IP, ya que el router se encuentra en red con el deco, y la configuración es demasiado compleja. Por lo que este paso, resulta opcional, y puede interesar no llevarlo a cabo, por comodidad.

4.- Filtrado de direcciones MAC:
Como ya sabemos, las medidas 3 y 4, no son impedimentos reales en un ataque.
Todos estos pasos vienen recogidos en un manual ilustrado que encontré de ADSLAyuda, y que seguro viene genial a los indecisos, principiantes e inseguros.

HABILITANDO WPA-PSK:

Estas son simples obstáculos, salvables por un atacante. Ahora pasemos a la acción, vamos a habilitar la más sencilla de las configuraciones más seguras que WEP, WPA-PSK. Sobre qué es WPA-PSK, hay mucho escrito en la red, documentación técnica y detallada, así que no entraré en materia.

¿Por qué digo que es la más fácil? Porque las demás necesitan un servidor RADIUS, esto a mí particularmente no me parece muy difícil de configurar, digo esto porque en varios sitios en Internet se pueden leer posts que dicen que estos sistemas sólo se encuentran en empresas,pymes...

1.- Habilitando WPA-PSK:
Esto también lo he encontrado totalmente detallado en otro manual de ADSLAyuda. Cabe decir que WPA-PSK, es un protocolo también inseguro, pero no tanto como WEP, y limitaremos el rango posible de atacantes a usuarios avanzados, que normalmente usan sus conocimientos de forma ética.

CONFIGURAR EL ADAPTADOR INALÁMBRICO:

Lo que no viene bien explicado, es cómo configurar nuestros adaptadores inalámbricos, para que accedan a la red.

1.- En Windows:
Para ello usaré el propio configurador de redes inalámbricas de Windows XP. Debemos ir a Panel de Control >> Conexiones de red >> Botón derecho sobre Redes inalámbricas >> Propiedades >> Ir a la pestaña redes inalámbricas >> Seleccionar nuestra red >> Dar al botón inferior Propiedades.
Nos saldrá la siguiente ventana, que debemos configurar como se describe en la imagen.

Dificultad especial

2.- En Linux:
En muchos foros de seguridad inalámbrica o Linux sin cables, se explica cómo debemos asociarnos a nuestra red si tiene WEP. Pero en muy pocos sitios se hace referencia a cómo lograrlo con WPA. Ahora veremos el método para conseguirlo detallado paso a paso.
La instalación está hecha en una Ubuntu Breezy 5.10 con una tarjeta inalámbrica IPW2200 B/G.

Necesitaremos el paquete wpasupplicant. Antes de nada, conviene comprobar que nuestra tarjeta o driver es compatible con este demonio. Este es un programa, que en el momento en que escribo estas líneas, está en fase beta, aunque funcione de manera bastante estable.

Lo instalaré con el gestor de paquetes apt. Para ello, abrimos una consola:

sudo apt-get install wpasupplicant
En otras distribuciones, podremos usar diferentes gestores de paquetes: emerge, yum... o también bajarnos los binarios y compilarlos en nuestra máquina, esto es a gusto del lector.
1.- Después necesitaremos generar nuestro psk válido:

wpa_passphrase "SSID o nombre de red" "nuestra clave"
Nos devolverá algo similar a lo siguiente:

network={
ssid="El nombre de red que pusiste"
#psk="La clave que pusiste"
psk=15671de34216d794948baa03b0
f3d9a0564763f698fbb716c75ccfcb5f6197aa
}
Es esta sarta de números y letras la que nos interesa. Copiamos el psk.

2.- Ahora editaremos el archivo wpa_supplicant.conf. Debería encontrarse en /etc/wpa_supplicant.conf , de no hacerlo, siempre podremos usar el comando find o locate para encontrar la ruta del fichero.
Lo editamos con nuestro editor preferido, en mi caso VI, aunque para principiantes resulta mucho más sencillo gedit, como root, por supuesto.

sudo gedit /etc/wpa_supplicant.conf
Ahora debemos colocar lo siguiente en nuestro fichero:

ap_scan=2
network={
ssid="Tu nombre de red"
key_mgmt=WPA-PSK
proto=WPA
pairwise=TKIP
group=TKIP
psk=15671de34216d794948baa03b0f3
d9a0564763f698fbb716c75ccfcb5f6
}
Es en psk donde pondremos lo que acabamos de copiar, el resto del fichero se deja tal cual viene por defecto.
Si tenemos el SSID oculto, tendremos que cambiar el valor Scan_ssid=1.

3.- Ahora ya está todo listo, así que vamos a asociarnos y autenticarnos frente a la red. Para ello escribiremos:

sudo wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf -d -D madwifi -w
En mi caso que uso una ipw2200 b/g, el comando quedaría así:

sudo wpa_supplicant -i eth1 -c /etc/wpa_supplicant.conf -d -D ipw -w
Después de este comando, el paquete wpasupplicant nos informará de los pasos que esté llevando a cabo. Si no consigue conectar, nos informará de los motivos, es recomendable, comprobar que:
1. Es necesario tener una versión reciente del driver, que tenga la posibilidad de WPA incorporada. Si nuestro driver no soporta WPA probablemente obtengamos algo una línea que diga:
  
  ioctl[IPW_IOCTL_WPA_SUPPLICANT]: Invalid argument
2. Comprobar todos los pasos anteriores, tener especial cuidado en no confundirse en los datos al generar el psk.
Después deberemos pedir una ip por DHCP con:

dhclient eth1
Y si lo tenemos puesto en modo manual, como root:

ifconfig eth1 inet 192.168.1.5 # La IP estática en la red
ifconfig eth1 up
route add default gw 192.168.1.1 #La IP del router

Podéis encontrar más material interesante sobre el router Zyxel 660 HW de Telefónica, en ADSLAyuda: Manuales sobre cómo configurar el DDNS para montar un servidor, NATear puertos, actualizar firmware...

Espero, que este manual, os sirva para securizar vuestra red, y evitar posibles gorrones. Si tenéis alguna duda, posteadla como comentario, y espero poder ayudaros.
Si os interesan manuales como este, o información relativa a algo sobre Linux sin cables, dejad un comentario al respecto.

Hasta la próxima

PUBLICADO EN:

El sitio especializado en seguridad Shell Security, publicaba el 16 de febrero de 2006, una noticia sobre este manual (con más de 4000 visitas).

Error500, publicaba en su recopilatorio de blogs semanal XXXIII, un enlace recomendando este blog.

Por: Miguel Araujo | Wireless | Comentarios (5) | Referencias (3)

Comentarios

Hola, soy nilp0inter, me he currado un pequeño programa que genera un diccionario con las posibles contraseñas por defecto de las famosas redes WLAN_XX. Este programa en conjuncion con WepAttack saca la contraseña con solo un paquete IV en unos 10 segundos.
El programa en cuestion se llama WlanDecrypter y os lo podeis descargar de http://www.rusoblanco.com
Espero que lo disfruteis. ;)

nilp0inter | 04-04-2006 13:16:17

Hola , soy infernal, y conozco el programa de nilpointer, lo uso a menudo (muchisimas gracias tio), con slax backtrack. La cuestión es que queria decir, que no soy ningun vago de mierda , trabajo, sin embargo no me llega la pasta para contratar una linea telefonica e internet.

Lo que hace telefonica con los precios en españa y todas las subcompañias, se llama ROBO. Yo pienso que internet debe ser un medio libre accesible y de uso personal para el 100% de la población, de la misma manera que lo puede ser una biblioteca.

Dadas las circunstancias, me veo obligado a acceder a internet a través de la linea de otros.

Aqui viene lo duro del asunto. Yo no abuso de los vecinos, lo uso para navegar, y las justas consultas.
Quizás algo de mensajeria instantanea, y alguna partida en red cuando hay tiempo,como hacen mis compañeros.
Pero sin colapsar su ancho de banda con miles de descargas o similares.

Por lo tanto, me parece bien, que los usuarios que lean tu blog, habiliten mas seguridad en sus redes, de todos modos, no hay que pintarlo como si esto fuese un atraco, tan solo es un pequeño hurto.

PORQUE SON LAS COMPAÑIAS Y LOS GOBIERNOS , los que consienten esta basura.

Queria decir,que si algun atacante hiciese alguna gorda, con la identidad de alguien, cabe decir que alcance de una wiffi es muy pequeño, y la policia tiene medios. Asi que esto no se trata de una pelicula de Hackers.

Por cierto, nilpointer, cojonudo el wlandestroy, y el wlaninject. Gracias de nuevo por tu trabajo.

INFERNAL | 30-04-2007 15:32:33

Píntalo como quieras, INFERNAL, pero si usas los recursos que otro paga para tu beneficio le estás robando a él... hablar de que la culpa es de otros es como el asesino que dice "la culpa no es mía, es de la sociedad".

chuskas | 07-05-2007 10:18:08

Cita de INFERNAL:
Yo pienso que internet debe ser un medio libre accesible y de uso personal para el 100% de la población, de la misma manera que lo puede ser una biblioteca.
-------------------

¿Desde cuando las bibliotecas estan al alcance del 100% de la población?

Menos mal que tener un coche no lo ves como un derecho inalienable de la persona humana, si no andarías "hurtando" los coches de tus vecinos para ir a trabajar.

chmod777 | 01-06-2008 21:30:07

Estoy totalmente de acuerdo. Por esa misma regla todo sería válido. Coches, tiendas, joyerias.... "es que como la situacion esta mal, pues ala al que esta jodido pagando un ADSL le quitamos un poquito que no pasa nada...." Que jodio, aquí el "susodicho".

triki | 16-02-2009 16:19:23