Estas aquiForos / Foros de Seguridad / Seguridad wireless / Configuración WiFi por defecto... a mi pesar
Configuración WiFi por defecto... a mi pesar
Por Andy
Viernes 12 de junio de 2009. Me levanto tarde. Normalmente enciendo mi PC antes de salir de casa para consultar el correo personal. Hoy no puedo, no tengo tiempo. Antes de irme las luces del cable-router me llaman la atención. La luz de CABLE está apagada, no tiene conexión a Internet. Lo observo unos segundos, enseguida enciende, ha vuelto a sincronizar. Ya veré luego qué ha pasado, ahora tengo que irme.
Llego a la oficina. Trato de conectarme por SSH al Unix que hay detrás del cable-router. Nada. No conecta. Lo intento más tarde. Nada. O falla el cable-router o falla el Unix. Bueno, esperaré. Cuando llegue mi hija a casa y quiera acceder a Internet ya me llamará, je je...
Se hace la hora, no me llama. Se hace más tarde aún, no me llama. Llamo yo.
Resulta que el acceso a Internet funciona normalmente. Eso quiere decir que tanto el router como el Unix están funcionando. (WTF?) Vuelvo a probar a acceder por SSH mientras aún estoy al teléfono. No funciona. Pero desde mi casa hacia Internet si. Bueno, ya lo veré luego.
Llego a casa, enciendo mi PC. Increíblemente la salida a Internet funciona. Verifico el Unix al que me conecto desde fuera. Funciona perfetamente (WTF?). Miro el cable-router. Normal. WAIT! No está "normal". Es un cable-router con WiFi. Normalmente tengo el WiFi apagado. Ahora está encendido.
Voy a entrar al router para apagar el WiFi. Intento entrar al router para apagar el WiFi. No puedo entrar, no reconoce la clave (WTF?). Esto ya comienza a cabrearme. Pruebo la clave anterior. Nada. De pronto me viene la inspiración. Pruebo a acceder sin clave. Funciona (WTF?).
Reviso el WiFi. Hay un cliente conectado. ¿Cómo? Miro los filtros WiFi. No security. No encryption. No MAC filtering. No nada. Apago el WiFi. Reviso el desvío de los puertos entrantes. Todos deshabilitados. Por eso no funcionaba el SSH desde la oficina.
Por alguna razón, el router perdió TODA la configuración y se quedó con la que viene de fábrica. La salida a Internet funcionaba correctamente, pero al no tener los puertos entrantes apuntando donde se debe, no hay acceso desde el exterior. Lo más triste es que la configuración WiFi por defecto apesta. Sin seguridad, totalmente abierta. A saber para qué habrán usado mi conexión y mi IP.
Por suerte lo único que hay conectado directamente al router es el Unix, todos los demás equipos y periféricos en red cuelgan de otra placa del Unix y todo el tráfico está controlado por éste. La conexión WiFi del router está en la misma red (en bridge) que la conexión Ethernet. A no ser por el Unix, todos mis equipos hubiesen estado expuestos (en red) con cualquiera que se conecte por WiFi.
Hay algún tipo de lección que aprender aquí, aunque se me escapa.
Versión para imprimir
la mejor lección a aprender es:
reiniciar router... reiniciar ordenador... llamar al servicio técnico... reiniciar router... xDDDDD
Cuando el router se ha reiniciado sin motivo aparente o cuando alguien lo ha reiniciado a lo bestia. Afortunadamente, se puede exportar la configuración.
Mi router era un Xavi de Telefónica. Bastante malo, para mi gusto.º
Mi router es un cable-router Scientific Atlanta modelo WebStar. No es ADSL sino de cable.
El cable utiliza un standard muy distinto y una de las consecuencias es que no eres totalmente dueño del mismo (de hecho, ONO lo alquila, no lo vende). Tienes una clave con la que puedes entrar para administrar el mismo, pero en general puedes tocar pocas cosas. Por ejemplo: me consta que mi router puede gestionarse por SNMP, enviar alarmas, Syslog y todas esas cosas, pero eso no lo puedo gestionar yo porque está en la parte "privada" que gestiona el provedor.
Andy, no se lo que ha pasado ,pero apostaría mi gordo culo a que tu hija tiene que ver con el asunto. De forma indirecta, claro.
"Los bancos tienen muchos numeros en el ordenador, pero poca pasta"
Desde que el router perdió la configuración (según mis registros, cerca de las 2:30AM) hasta que he vuelto a casa y lo he reconfigurado, el mismo quedó trabajando con la configuración por defecto.
Con la misma se puede navegar normalmente desde la red interna, aunque la seguridad del router queda seriamente comprometida (WiFi abierto sin seguridad, clave de administración en blanco, etc).
De haberlo querido, cualquiera podría haber reconfigurado mi router accediendo al mismo por WiFi, posiblemente cambiando la clave de administración. Por suerte no ha sido así en este caso...
Una solución, si no utilizas nunca el WiFi, es quitar la antena. El alcance de la señal se degrada tanto que aunque no esté limitado en la configuración de base, es casi imposible que nadie se conecte. En mi router WiFi sin la antena el alcance no llega a más de 5-10 metros sin atravesar paredes.
De todas maneras creo que en general esto de limitar la potencia de la señal es una forma muy fácil de aumentar la seguridad de una red WiFi (yo la tengo a un 25% con lo que me conecto con buena calidad desde donde coloco mi portatil) y complicas mucho que alguien desde fuera lo consiga ya que sencillamente no recibe la señal.
El router no está en un sitio precisamente accesible, al menos por la parte donde se encuentra la antena WiFi.
Ocasionalmente (en general los fines de semana) utilizo el acceso WiFi, asi que necesito la antena conectada en esos casos y como te comentaba más arriba, es bastante incómodo poner y quitar la antena.
Lo que creo que terminaré haciendo es agregar una placa WiFi al Unix y desconectar la antena WiFi del router.
Si piensas retirar la antena, lo correcto sería colocar una resistencia de 50 ohmios entre la masa y el vivo. Estas cargas se pueden conseguir fácilmente en una tienda de componentes de electrónica. Así la etapa final del amplificador del equipo no se queda sufriendo y recalentándose todo el tiempo. La carga consumirá toda la energía transmitida para la antena y la señal que sale al aire es 0.
En mi zona están cambiando las cabeceras de las ADSL por equipos compatibles ADSL2+ adecuados para el despliegue de televisión por cable, en teoría estos equipos son compatibles con los router ADSL antiguos, pero lo cierto es que algunos están dando problemas con reinicios constantes.
Tras llamar varios cienes de veces a la compañía suministradora, al final me instalaron un router "monopuerto", que es compatible con ADSL2+ y que ha sustituido temporalmente a mi fiel CISCO 800 que tan buen servicio me ha proporcionado durante años.
Pues mejor que no cuente la configuración por omisión que traía el equipo, sobre todo, en lo que se refería al acceso remoto, al cortafuegos integrado y Quality of Service, todo ello, aderezado por unas estupendas contraseñas de administración por omisión. Al igual que en tu caso, esta configuración se activa por defecto si se selecciona la opción configuración de fábrica. Supongo que esa configuración en manos de un usuario que no tenga demasiada idea, sería un serio problema de seguridad.
La verdad es que los usuarios no tienen porqué tener idea. Es el deber del fabricante del equipo que la configuración por defecto sea razonablemente segura.
No puede ser que en la configuración por defecto el WiFi esté totalmente abierto. Debería estar configurado con seguridad, quizás con una clave inicial aleatoria que deberías cambiar por medio de la interfaz administrativa. O si esto no es posible, que por defecto el WiFi esté apagado y que haya que encenderlo a posta.
También me parece una aberración que la interfaz Web administrativa carezca de clave en la configuración por defecto. Si sólo fuese accesible por el puerto ethernet, esto no sería tan grave. Pero también se puede gestionar por WiFi... sin clave, claro... De terror.
Como he puesto en el artículo, en mi router el WiFi y el ethernet interno están conectados directamente (como si fuese un "hub"), por lo que si dejas el WiFi totalmente abierto, cualquiera puede ganar acceso a lo que sea que tengas conectado en el puerto ethernet. Esto es inexcusable teniendo en cuenta que por defecto el WiFi está habilitado y sin seguridad alguna.
Por suerte yo sólo tengo un Unix bastante securizado (creo) conectado directamente al router, todo lo demás cuelga de otra placa del Unix. Pero imagina a un usuario "normal" con un PC quizás con Windows no muy actualizado...