Como hacker, ¿cómo configura su enrutador doméstico inalámbrico para seguridad?

No soy un hacker, sin embargo, estando en la industria de la seguridad durante una década, entiendo el núcleo de la misma.

Aquí hay configuraciones clave para la seguridad.

Contraseña segura de Wi-Fi : configure el cifrado WPA2-PSK AES con contraseña segura.

Cambiar contraseña de administrador : configure una contraseña segura para la consola web de administrador en el enrutador.

Deshabilite funciones sofisticadas : WPS y UPnP son funciones sofisticadas que rara vez se usan y que debilitan la seguridad de Wi-Fi. Solo deshabilítalos

Actualizar firmware : actualice el firmware más reciente desde el sitio del fabricante. Esto generalmente soluciona cualquier problema de seguridad y rendimiento.

Cambiar el nombre predeterminado de Wi-Fi / SSID : configure un nombre único de Wi-Fi

El resto de los puntos son generalmente mitos y puedes ignorarlos de forma segura. Por ejemplo, deshabilitar la transmisión SSID, el filtrado MAC, deshabilitar DHCP. Estos pueden ser resueltos fácilmente por buenos hackers. Además, en nombre de la seguridad, puede causarle inconvenientes.

Si tiene un enrutador OpenWRT, el método de prueba completa es instalar el firmware de NetSequre, que está orientado a la seguridad y la privacidad.

Solía ​​ser hacker.

Esto es lo que debe hacer: desconecte el enrutador y conecte el cable directamente a su computadora.

Con cada beneficio que obtienes, también pierdes algo. Esta es una ley del universo. Con las computadoras, lo que se pierde es la seguridad.

Harvey Schoenman lo ha clavado. Dicho esto, hay algunas cosas con las que no estamos de acuerdo. No he consultado ningún estudio, así que estas son solo sugerencias:

Uno, el SSID no va a importar porque su BSID o la dirección mac de su enrutador siempre permanecerán iguales (a menos que cambie el firmware). De lo contrario, deberá respetar los enrutadores cada vez que se conecte a ellos.

dos, SIEMPRE cambie la contraseña predeterminada y hágalo con frecuencia. Asegúrese de utilizar al menos 10 caracteres con: números, signos de puntuación, letras mayúsculas, minúsculas y al menos un espacio. (SÍ, es TAN serio). Hay una cosa llamada fuerza bruta. Una persona puede literalmente pasar por cada combinación de letras hasta que encuentre su contraseña, al igual que alguien haría un masterlock. Es aún peor si están usando un grupo de beowolf. Utilice siempre el cifrado WPA en su enrutador. WEP se puede descifrar en cuestión de minutos a horas. Peor aún, tampoco se necesitan hackers para hacerlo. Los niños aburridos pueden hacerlo. Hay videos en línea sobre cómo descifrar una contraseña wifi.

NO permita que nadie en su wifi en quien no confíe no robe su información. Imagina a un chico que está hablando por teléfono en McDonald’s. Está sentado allí gritándote toda la información que la otra persona está diciendo. Y luego tienes que gritarle su respuesta. ESTO ES EXACTAMENTE CÓMO FUNCIONA WIFI. El cifrado (contraseñas) le permite hablar en código entre sí, pero todavía está gritando todo. Desea un cifrado seguro para que el idiota que se sienta a su lado no sepa lo que está diciendo. Si dejas entrar a alguien en el cifrado, ¿qué sentido tiene tenerlo? Haga que todos los que usan su wifi usen la red de invitados. Se supone que están aislados de todo lo demás en la red real. Si no tiene una red de invitados, vaya a Walmart y obtenga un enrutador con una red de invitados.

Aprende todo lo que puedas sobre computadoras. La gente es estúpida hoy y no hay necesidad de eso. ¿Pondría a sus hijos en un automóvil sin entender cómo conducirlo? Sin embargo, ¿está perfectamente dispuesto a poner todo lo importante para usted en una máquina que no tiene idea de cómo operar? La forma principal en que los piratas informáticos entran es la estupidez del usuario. Después de aprender lo que estás haciendo, CAMBIA TODO. No hay nada que un pirata informático adore más que la configuración predeterminada. Significa que no tengo que pensar como tú ni engañarte para nada. Todo lo que tengo que hacer es descargar el manual del usuario de su dispositivo.

Acepte que las computadoras no son seguras. Si desea una computadora segura, desenchúfela. Los piratas informáticos, cuando hablan en términos de seguridad, no significan que algo no pueda ser forzado. Significan que tomaría un millón de años hacerlo y no tienen ese tipo de tiempo. La seguridad se trata de cuánto tiempo tomaría obtener acceso, no hacer que algo sea inaccesible.

Nunca opere ninguna computadora con acceso de administrador. Windows, Linux o Mac. Cree una segunda cuenta con solo los derechos que desee. Deje la cuenta principal sola y cuando tenga que instalar algo, como sugirió Harvey, escriba la contraseña de administrador en ese momento.

Si desea una contraseña segura, abra un diccionario y coloque el dedo en un lugar aleatorio con los ojos cerrados. Haz esto unas tres veces. Ponga un número en algún lugar de cada palabra, use espacios entre las palabras y ponga un signo de puntuación antes, después o antes y después de cada palabra. También puede exrapolar este proceso para incluir tantas palabras como desee ← ¡HÁGALO!

Esta es una guía general que uso cuando configuro un enrutador. No es demasiado técnico y proporcionará una buena protección. No está en ningún orden.

1. Conéctese directamente al enrutador con un cable. Use la configuración predeterminada para iniciar sesión en las páginas de administración del enrutador.

2. Vaya a la sección Inalámbrica y desactive la conexión inalámbrica (radio) temporalmente.

3. Actualice el firmware. La actualización del firmware proporciona correcciones de seguridad y, a veces, nuevas características.

4. Desactivar WPS. Esto es muy defectuoso y fácil de descifrar.

5. Si solo tiene 1 o 2 dispositivos, use direcciones IP fijas en la computadora y desactive el servidor DHCP. Si tiene muchos dispositivos, habilite el servidor DHCP. Limite la cantidad de conexiones a la cantidad de dispositivos que tiene más un par de más (es decir, si tiene 12 dispositivos, configure la cantidad de dispositivos en 15). A veces solo tiene que ajustar el grupo de direcciones IP.

6. Configure los ajustes DNS primario y secundario en OpenDNS o GoogleDNS. Busca direcciones IP. Estos servicios pueden filtrar malware a nivel de DNS.

7. Desactive UPnP a menos que sea específicamente necesario.

8. Habilite el firewall SPI.

9. Bloquee el ping de WAN.

10. Cambie el nombre de usuario y contraseña predeterminados para acceder al enrutador. Si puede cambiar el nombre de usuario, cámbielo a algo único con al menos 10-12 caracteres mixtos. Haga que la contraseña tenga al menos 12 caracteres (mayúsculas / minúsculas, números, símbolos) que no se puedan adivinar y que sean difíciles de forzar.

11. Deshabilitar la gestión remota.

12. Habilite la sección inalámbrica. Cambiar SSID a nombre único. Habilite al menos el cifrado WPA2 AES. Haga que la contraseña de cifrado tenga al menos 16 caracteres (mayúsculas / minúsculas, números, símbolos) que no se puedan adivinar y que sean difíciles de forzar. Esto debería ser diferente de la contraseña de acceso de su enrutador.

13. Configure la red de invitados si otras personas fuera de su hogar utilizarán su WIFI de vez en cuando. Asegúrese de que esté aislado de su red principal (por lo general, está por defecto). Utilice el cifrado WPA2 AES con una contraseña adecuada.

No soy un hacker

Pero, en general y para todos …

• Siempre cambie el nombre SSID.
• Siempre cambie la contraseña predeterminada y cree una frase de paso bastante larga.
• También puede limitar la cantidad de conexiones simultáneas a solo 2–3 más que la cantidad de dispositivos que tiene, o incluso solo a la cantidad de dispositivos que tiene.
• Nunca opere una computadora con Windows como administrador. Configure una cuenta de usuario estándar separada y úsela. Cuando necesite acceso de administrador, Windows solicitará el administrador p / w en un cuadro de diálogo seguro.
• En cualquier computadora, nunca opere sin una contraseña y nunca use contraseñas fáciles de adivinar como “contraseña”, “123456”, apellidos, etc. Lo mismo ocurre con los sitios web seguros donde debe iniciar sesión.
• No use la misma identificación de usuario y contraseña para todos los sitios web.
• Considere usar un administrador de contraseñas.

Estos no son infalibles, pero le brindarán una medida de protección.

Estoy diciendo lo que he hecho, corrígeme si crees que algo necesita mejorar:

1. Deshabilitar pin WPS
2. Establezca una contraseña larga con diferentes tipos de caracteres y números.
3. Habilitar el filtrado de MAC
4. Habilite la protección de DOS (y todo lo demás en la sección)
5. No es tan importante, pero si puede mantener su SSID oculto (es decir, un punto de acceso oculto)
6. Limite la cantidad de dispositivos que pueden conectarse al enrutador.

Supongo que eso sería suficiente para proteger cualquier intrusión y siéntase libre de escribir cualquier mejora que considere necesaria en los comentarios.

Cambie el SSID a algo sin sentido.

Cambie la contraseña a una contraseña de 20 caracteres con fuerza militar.

No difunda el SSID.

Conecte todos sus dispositivos, luego limite el número de conexiones al número que ha conectado.

Si puede, configure un servidor RADIUS y úselo para el cifrado.

Sé que puede sonar idiota: descarta todas las configuraciones de seguridad de tu enrutador. No use la cuenta de administrador de Windows. Enfrenta tu vida como un libro abierto. No use la banca por Internet. Cuida tus comentarios en Internet. No guarde datos personales en su computadora. No tome ni envíe imágenes de desnudos. La privacidad no importa. Ese es otro enfoque. solo esto.

1. solo haga que su contraseña sea imposible de descifrar.
2. nunca revele su contraseña a nadie
3. nunca use encriptación WEP
4. deshabilitar el PIN de WPS , tiene fallas de seguridad pero depende del modelo de enrutador
5. simplemente siéntate, relájate y toma un café. No puedes construir una pared para bloquear tu señal de WiFi, irá tan lejos como quieras. Para cooperar en la red, hay un firewall de próxima generación para detectar y bloquear todo este tipo de cosas, pero para el usuario doméstico debe depender de la función de seguridad incorporada en su dispositivo WiFi
6. solo asegúrese de que su contraseña no se vea comprometida, deje que el pirata informático capture los paquetes de red WiFi tanto como quiera, pero es inútil hacerlo a menos que tenga su contraseña WiFi para descifrarlo

Ocultar el filtrado SSID y MAC funcionará para el usuario normal, pero para el usuario experimentado esto es como un juego de escondite

Apago el wifi.

Wifi no es seguro independientemente de la configuración que utilice. Cualquier persona con tiempo suficiente puede romperlo fácilmente.

Si realmente necesito wifi, tengo un segundo enrutador con wifi habilitado pero sin WAN. Está emparejado con mi dispositivo de firewall principal (Cisco ASA) donde todos los paquetes se descartan a menos que sea tráfico de VPN. Sí, uso una VPN para hacer un túnel seguro desde el dispositivo wifi a mi red principal. Funciona muy bien y muy difícil de vencer.

También uso esta técnica con clientes si realmente se requiere WiFi (tabletas de atención médica, etc.). Nada toca la red interna sin la VPN.

No estoy realmente paranoico con respecto a la tecnología inalámbrica porque no hay mucho que puedas hacer.

Puede intentar limitar el alcance de su red, apagar su enrutador cuando no lo necesite o evitar que se ejecute en momentos inusuales.

Por supuesto, cuanto más fuerte sea su contraseña, mejor.

Todas las otras soluciones que he visto son un poco delirantes.

Ocultar su SSID no hace nada. Es suficiente husmear a través de Wireshark, Tshark o tcpdump para encontrar los marcos de baliza, donde su BSSID se muestra en texto sin formato.

En realidad, es un comando bastante fácil de ejecutar en Kali Linux.

Lo mismo ocurre con el filtrado de Mac.

Las direcciones de Mac se transmiten en texto sin formato y simplemente puedo tomarlas olfateando la red. En ese punto, cambiar la dirección de Mac en consecuencia a través de Macchanger es pan comido.

Vería un nuevo dispositivo que tiene una dirección MAC autorizada, por lo que ni siquiera notará nada malo.

Me gusta usar contraseñas para canciones memorables y tomar la primera letra de cada palabra y usarla es mi contraseña … por ejemplo (No, no estoy usando esta)

“Hay una dama que está segura de que todo lo que brilla es oro

Y ella está comprando una escalera al cielo”

Esto se vería así:

[correo electrónico protegido] @ [correo electrónico protegido] @ 52h

Fácil de recordar y para todos los demás parece un montón de mumbo jumbo

# En primer lugar, evitaré la transmisión SSID. Esto puede suceder si deshabilitamos la transmisión inalámbrica SSID.

# Enlazaré la dirección Mac de cada dispositivo en mi enrutador para que ningún dispositivo no autorizado pueda acceder a mi enrutador aunque tenga información de SSID inalámbrico y contraseña.

# Cambiaré la contraseña de inicio de sesión de la página de IU de mi enrutador Contraseña de inicio de sesión, por lo que en caso de que una persona autorizada no pueda acceder a la IU para intentar cambiar la contraseña y otras restricciones

# Estableceré en PROTOCOLOS DE SEGURIDAD INALÁMBRICA WPA2 (Acceso protegido a Wi-Fi versión 2 para contraseña altamente segura)

# Elegiré sabiamente la contraseña wifi Como las contraseñas deben tener un mínimo de ocho caracteres, cuanto más al azar, mejor. Apunte a una combinación de letras, números y símbolos, pero evite frases, nombres o lugares comunes. En otras palabras, omita Fido123.

# Voy a elegir la ubicación física del dispositivo en un lugar seguro en un lugar seguro en casa.

Siga este paso. Ningún cuerpo puede hackear su contraseña de Wirelees. hasta que tenga acceso físico a su dispositivo.

“Como hacker, ¿cómo configura su enrutador doméstico inalámbrico para seguridad?”

Tengo 2 redes inalámbricas en mi casa.

El primero está protegido con contraseña, pero comparto la contraseña con visitantes y amigos.

El segundo tiene un nombre inocuo como “Doug’s wireless” o “The Smith’s”. Tiene una contraseña que es, bueno, compleja y también está limitada a las direcciones MAC de los hosts que quiero en la red.

-Doug

La conexión inalámbrica es inherentemente insegura. Lo mejor que puedes hacer es revestir tus paredes con plomo. Mejor aún, solo use un cable.

La seguridad es el hecho principal para todo el tiempo. Configuraré mi enrutador y la opción de filtrado de mac para que nadie pueda obtener acceso no autorizado