Tengo sospechas de que se cuelan en mi Wi-Fi

Question

Tengo sospechas de que se cuelan en mi Wi-Fi

DavidPSN 06 mar 2012 23:17

隻眼の王

3.450 mensajes
desde mar 2010
en Tokyo-3

Desde hace días que me va algo lenta la red, entonces me ha dado por mirar en la lista DHCP de mi router, donde teniendo yo 2 aparatos conectados, me mostraba 3, y ademas uno de ellos con una dirección MAC que no correspondía a ninguno de los aparatos de la casa (me parece). El "ladrón" en cuestión tiene la ip 192.168.1.3 pero al hacerle ping da host de destino inaccesible.
Yo pensaba que si fuera así, cambiar SSID y contraseña y además hacerlo oculto, mas un filtrado de mac ya que estamos.
No soy muy experto en estos temas y me gustaría que alguien me aconseje o me eche un cablecillo, ya que si fuera ocasionalmente no me importa que alguien se conecte a mi red, pero si pudiese coger datos míos y observar lo que hago no me hace ninguna gracia.
Un saludo

13 respuestas

Answer 1 · 2012-03-06T22:45:43+00:00

El servidor DHCP en los routers que he visto mantiene un tiempo en la lista los equipos que le ha pedido IP, aunque ya no esten conectados. (por eso al hacerle ping te da error probablemente)

Si entra a la red y tienes carpetas compatidas podrá entrar en ellas, si tienes impresoras compartidas podrá imprimir, etc... vamos como cualquier equipo en red.

Answer 2 · 2012-03-06T23:43:04+00:00

Con que cambies la contraseña y pongas encriptado WPA2 ya vas sobrado. Lo del filtrado MAC ya es sólo para rizar el rizo.

Respecto a lo otro, con tener un firewall en condiciones ya podrías detener sus ataques. Pero vamos en resumen es lo que te ha dicho Darumo. Al tener acceso a la red es como cualquier otro equipo, puede acceder hasta donde la tengas configurada.

Answer 3 · 2012-03-07T00:07:57+00:00

Cambia el nombre a la red y ponle una contraseña resistente
ya lo he dicho otra vez pero

nombre de la red por defecto más clave por defecto se saca en 1 segundo literalmente

Answer 4 · 2012-03-07T02:36:58+00:00

Ponle WPA2 con cifrado AES y una contraseña fuerte. Las demás medidas son casi de adorno.

Con contraseña fuerte entender que ademas de ser larga con letras mayúsculas, minúsculas, números y caracteres especiales, también debe ser algo que sea invulnerable a diccionarios. Por ejemplo el nombre de una canción sería una contraseña débil, por muy complejo que sea su nombre.

El único problema con WPA2 es que hay dispositivos des-actualizados que no lo soportan, en ese caso creo que hay routers que pueden usar WPA y WPA2 a la vez, otra opción sería usar 2 SSID a la vez y cada uno con su propia seguridad. Pero si todos tus dispositivos lo soportan usa solamente WPA2 con cifrado AES. (Pues se han encontrado fallas en el cifrado TKIP)

Eso de desactivar el SSID, bueno está bien a nivel psicológico xD pero sinceramente creo que es más efectivo disminuir la potencia de señal que ocultar el SSID, ya que al menos podrías forzar al atacante a comprarse/fabricarse una antena especial. Si vas a ocultar el SSID mejor usa algo que no sea común, básicamente porqué no sería bueno que un vecino por desconocimiento usará el mismo SSID y eso puede generar algunos problemas con desconexiones. Por ejemplo, si un vecino tuyo tiene oculto el SSID ¿Cómo sabes que no estás usando el mismo? Si no te pones a rastrear ni te enteras.

Del filtrado Mac, sinceramente creo que sólo sirve para sacar a la hermana de internet o algo así, pero a los piratas haces perder más tiempo desactivando el DHCP que filtrando la Mac.

Answer 5 · 2012-03-07T03:55:56+00:00

A todo lo que te dicen, pues añade el filtrado MAC y si son capaces de meterse en tu WiFi... pues no sé que hacen siendo tus vecinos en vez de estar cobrando un pastizal por trabajar para la CIA.
No es tan difícil, añades las MACs de los equipos que tengas al filtro y listo. Yo tengo 7 equipos metidos (3 ordenadores, 2 móviles, una tablet y un ebook) y de maravilla... Si alguna vez viene alguien a casa y quiere utilizar mi WiFi (con mi permiso), pues meto su MAC en un momento y listo.

Para generar una clave WPA "indescifrable" puedes usar http://www.speedguide.net/wlan_key.php
Escoge ahí 504 bit WPA key (63 characters) y revisa que la clave generada no contenga el caracter 'comillas' (") porque algunos routers no lo admiten. Sustitúyelo por otro cualquiera... y te recomiendo que copies la clave en un archivo txt, por si acaso, para hacer copiar-pegar cuando lo necesites.

WPA2-PSK-AES (clave fuerte) + Filtrado MAC + SSID oculta + DHCP desactivado = WiFi virtualmente imposible de hackear.
Si tu vecino te la hackea, proponle ser su representante y buscarle trabajo. Te forrarás.

Answer 6 · 2012-03-07T10:08:59+00:00

Con la contraseña en WPA2 ya te vale, ten cuidado con el cifrado AES que no todos los dispositivos lo soportan, y sobre el filtrado de mac yo lo veo innecesario por el hecho cuanto cuesta saltarselo, casi veo mas efectivo deshabilitar el dhcp xD

Answer 7 · 2012-03-07T10:39:57+00:00

Al final lo que he hecho esta mañana antes de ir al trabajo ha sido cambiar + ocultar SSID y le he puesto otra contraseña. Me parece que esta cifrado en WPA-PSK porque el router no me da otra opción. Al seleccionar WPA sale 802.11, wpa-hex y wpa-string o algo asi (para contraseñas). No creo que este tan encabronado conmigo como para entrar a toda costa a mi red, asi que supongo se irá a por algun vecino de aqui, que hay 3 o 4 redes más xD

DNKROZ 08 mar 2012 14:41 MegaAdicta!!! **12.757** mensajes desde **jul 2002** · Answer 8 · 2012-03-08T12:41:32+00:00

A ver, para los que recomendáis el filtrado mac... no sirve de una mierda a pocas luces que tenga el atacante, sólo tiene que ver algún otro dispositivo asociado al AP, forzar la reautorización de todos, enmascarar la mac (muchos interfaces lo permiten y es algo realmente sencillo de hacer en Linux) poniendo la de uno de los que ha visto... y hasta la cocina.

No os compliquéis, poned un WPA2 con una clave que siga las buenas prácticas (mínimo 8 caracteres, un carácter especial, una mayúscula, un número...) y listos, y algo que puede parecer una chorrada, pero que deja mucha gente fuera por vagancia... deshabilitar el servidor de DHCP y poned un direccionamiento estático fuera de los rangos que usa la timo para la parte privada (192.168.x.x) como por ejemplo 10.0.x.x

Eso no para a nadie pero muchos sólo por no tener que ponerse a averiguar el rango de ips que está trabajando ahí... ya pasan del tema, lo mismo que llevar la gateway a una dirección que NO acabe en .1

Otra opción es hacer como hacía yo, dejar una red "petable", bien accesible y a la vista, con un honeypot detrás o similar, para cazar aquellos incautos y lameruzos que tenía alrededor, sólo por motivos estadísticos claro [sonrisa]

, así después podía entretenerme un poco yo con sus equipos [+risas]

Un saludo.

Answer 9 · 2012-03-08T15:05:11+00:00

Exastamente, el filtrado mac es una mierda, en el software para estas cosas se pueden ver los clientes, si tienes el cliente asociado a la bssid que buscas ya tienes la mac, lo dificil es saltarse la wpa2 que si no esta en un diccionario olvidate.

WPA2 AES y si quieres cambia el nombre de la clave para que vean que tambien sabes cambiarlo.

Answer 10 · 2012-03-08T23:21:59+00:00

Para ver si hay alguien conectado a tu IP puedes usar el programa WnetWatcher y ver si pillas a alguien en el acto [fumando]

#88910# 10 mar 2012 15:58 · Answer 11 · 2012-03-10T13:58:22+00:00

Yo he probado mil veces el filtrado de mac y nunca me ha funcionado, así que te recomiendo el cambio de nombre de SSID y poner una contraseña segura.

Un saludo.

Answer 12 · 2012-03-11T14:35:49+00:00

DNKROZ escribió:A ver, para los que recomendáis el filtrado mac... no sirve de una mierda a pocas luces que tenga el atacante, sólo tiene que ver algún otro dispositivo asociado al AP, forzar la reautorización de todos, enmascarar la mac (muchos interfaces lo permiten y es algo realmente sencillo de hacer en Linux) poniendo la de uno de los que ha visto... y hasta la cocina.

No os compliquéis, poned un WPA2 con una clave que siga las buenas prácticas (mínimo 8 caracteres, un carácter especial, una mayúscula, un número...) y listos, y algo que puede parecer una chorrada, pero que deja mucha gente fuera por vagancia... deshabilitar el servidor de DHCP y poned un direccionamiento estático fuera de los rangos que usa la timo para la parte privada (192.168.x.x) como por ejemplo 10.0.x.x

Eso no para a nadie pero muchos sólo por no tener que ponerse a averiguar el rango de ips que está trabajando ahí... ya pasan del tema, lo mismo que llevar la gateway a una dirección que NO acabe en .1

Otra opción es hacer como hacía yo, dejar una red "petable", bien accesible y a la vista, con un honeypot detrás o similar, para cazar aquellos incautos y lameruzos que tenía alrededor, sólo por motivos estadísticos claro , así después podía entretenerme un poco yo con sus equipos

Un saludo.

Tomare nota de eso que has dicho por si acaso me da por hacerlo

Por cierto el que suele darte por culo intentado chupar wifi ese no se cansa las veces que pongas mucha seguridad en tu router. hay gente que por no pagar se aprovechan de la gente que paga legalmente el internet, porque como es caro, a mi por ahora el ADSL no me sale tan caro aunque siendo 6MB los que tengo si seria caro aunque en partidas online como MW3 o OnLive sin ningun problema y con videos del youtube 720p o 1080p un poco rapidos. mira lo que hay que hacer es poner muchisima seguridad a tu router aunque te digo que si te revienta la seguridad apartir de los WPA2 es denunciable y ilegal porque es como si entraran en tu casa a forzar la puerta de tu casa para robar, pues eso es lo mismo que te hace el vecino. yo el vecino del otro piso que tengo es friki y siempre va exclusivamente a por mi porque me tendra envidia o odio que incluso no se cansa de robarme la conexion.. antes se canso 1 mes o mas y ahora dando por culo cortandome la conexion y justo cuando voy a comer se me pone en red publica, pero este tio es muy friki que incluso me cotillea los pasos y el ruido de la comida. me caguen to y ¿no se le ocurre robar conexion a un bar que tenga una zona wifi gratis y tiene que tocar los cojones con la mia? deberian de poner por todas las zonas wifi gratis para estos personajes

TuPie 14 mar 2012 14:26 Adicto **119** mensajes desde **abr 2011** · Answer 13 · 2012-03-14T12:26:32+00:00

Me suscribo a lo que comentan del filtrado MAC, es casi más fácil saltárselo que un cifrado WEP que es como sujetar la puerta acorazada de un banco con un chicle.No lo dudes, cifrado WPA2 y te olvidas,como te han comentado lo mejor es que no sea vulnerable a ataques por diccionario, es decir que no sea una palabra existente o reconocible.