Filtrado MAC

Hola Yanis237 

No hemos vuelto a tener noticias tuyas en unos días, por lo que entendemos que ya está solucionado o has podido contactar con tu compañía. Recuerda que para cualquier duda o consulta, aquí estamos a tu disposición. 

Un saludo. 

Ruth. 

Theliel 

Muchas gracias de nuevo por todo.

Buenas Yanis237 

Es que no tiene absolutamente nada que ver.

1º. Para poder acceder al Router requieres ANTES estar conectado a la red, o por cable o por WIFI. Si es por cable lo controlas, ergo no es problema. Si es por WIFI, tiene por otro lado sus propios protocolos de seguridad. Ergo no existe problema alguno en ello ni cuello. Si permites a sabiendas un dispositivo en tu propia red cable/WIFI, dándole la clave WIFI o permitiéndole conectarse a tu red, el problema no es el Router no es la contraseña, eres tú si no confías en él.

2º. ¿Que consideras una clave segura? No es necesario escribir una contraseña de 32 caracteres alfanuméricos para que se considere segura. Por ejemplo, simplemente una contraseña de 12 caracteres comprendidos entre Aa-Zz y 0-9, se puede considerar bastante bastante segura, y hablo de 12 caracteres, incluso "solo" 8 sería bastante segura si tenemos en cuenta el punto 1º. Obviamente la seguridad a usar depende en todo momento de lo expuesto que pueda estar un dispositivo y otras medidas de seguridad.

3º. Los HGU, como casi cualquier Router del mercado, tienen implementado de forma sencilla protecciones ante intentos de fuerza bruta. Si intentes unos cuantas veces seguidas, el Router bloquea la interfaz durante un tiempo. Con lo que prácticamente también hace cuanto menos complicado el acceso al Router.

4º. Es más, el punto 2º y 3º son cuanto menos poco preocupantes, teniendo en cuenta como he dicho el punto primero, dado que hay formas infinitamente más rápidas y mejores de obtener la contraseña del Router, por ejemplo capturando el tráfico dentro de la red local ya que la mayoría de las interfaces Web de los Router domésticos no suelen ir bajo HTTPS, con lo que capturar la contraseña es trivial. Aun cuando se usase HTTPS un atacante en la misma red local también le sería "sencillo" obtenerla incluso por HTTPS, o podría intentar acceder o atacar al Router de otros modos.

Todo ello sin contar, de nuevo, que si tienes un usuario mal intencionado en tu propia red, lo último que te va a preocupar es el Router, te lo aseguro. En entornos empresariales o redes más grandes es otro cantar, y esto pasa a ser mucho más importante. Pero en estos entornos existen en los dispositivos medidas mucho más robustas, no solo de contraseñas, sino de controles de acceso, listas ACL...

@Theliel

Muchas gracias por todo el esmero, el conocimiento que has compartido y el tiempo invertido en tu respuesta.

Cumplo los 3 puntos  a) a c) de tu apartado 1º

En cuanto al wi-fi: Me parece que el "cuello de botella" de la seguridad es la contraseña del router. Quiero decir que la contraseña del mismo es de 32 caracteres como máximo y NO ACEPTA caracteres especiales.

Entonces, ¿de qué me sirve poner una contraseña complejísima de 63 caracteres, con caracteres especiales incluidos en la red wifi de 5 GHz, si pueden verla una vez que tengan acceso, a través de 192.168.1.1, a mi router con una contraseña como he dicho, de mucha menor complejidad?

Hola Yanis237 

Gracias por remitirnos tu consulta y bienvenido a la Comunidad Movistar. Agradecemos también a Theliel su colaboración.

Esperamos que sus aportes te hayan resultado de utilidad. en todo caso si como nos indicas tú línea pertenece a O2, has de contactar con ellos para poder recibir más información.

Un saludo.

Fernando.

Buenas Yanis237 

Un filtrado MAC no sirve absolutamente para nada en cuanto a seguridad se refiere a día de hoy. Ni mucho ni poco, simplemente NADA. Cualquier potencial intento de un tercero de aprovecharse de cualquier red, fuese por WIFI o por cable, se saltaría un filtrado MAC en más o menos 2 segundos. Si quieres una analogía sencilla, es como si quieres evita que un escritor pueda leer un texto, y lo que usas para protegerlo es escribirlo todo en minúsculas. Pues hombre, igual para un niño pequeño pueda valerte, para prácticamente a cualquiera que sepa "leer" ese idioma, es posible que ni siquiera se percate de ello 🙂

-----------------------

Por otro lado y con total independencia de ello, te doy un consejo sobre las suites de seguridad de terceros como pueda ser lo que dices de Karspersky. Puedes ignorarlo, puede serte útil o lo que estimes, y obviamente cada uno es totalmente libre de hacer lo que estime... normalmente no entraría en estas cuestiones, pero es algo que llevo muchos años "bregando" y me "quema" lo que hacen las empresas.

Son una trampa. El 99.99% de las veces no valen absolutamente para nada, es más, son contraproducente, son alarmistas, no te informan realmente de nada, simplemente dan avisos que por lo general el usuario no tiene ni idea de que implica, si realmente es algo "peligroso" o que es. Su juego es sencillo, es siempre el mismo, y esto va sobre todo dirigido a entornos doméstico, obviamente.

Si pagas una suscripción de X al mes/año por un software de seguridad de este tipo, y pasa el año y jamás ves una sola notificación de nada, ni alerta ni advertencia, puedes pensar dos cosas igualmente malas para ellos: La primera, que obviamente no necesitas nada de eso, cuando tu red o tu dispositivo jamás tienen problemas. La segunda, que es un producto nefasto que no encuentra nada. Ambos pensamientos te hacen o irte a la competencia o usar simplemente las herramientas que tienen integrados los propios dispositivos.

¿Que es lo que hacen prácticamente todas las suite de seguridad de este tipo? Son alarmista, dan información vaga o genérica. Esto no quiere decir que sea información falsa muchas veces, a veces la información es real, pero eso no significa que dicha información realmente tenga la más mínima repercusión, es más, puede ser totalmente normal, y que aparezca como algo negativo.

Las empresas ante esto, que saben bien, se "defienden" haciendo alusión de que ciertas cuestiones si que son POTENCIALMENTE dañinas o peligrosas. Y sí, lo son, en circunstancias que no tienen absolutamente nada que ver en el 99.99% de la población.

--------------------

Lo que te dice el programa, hay varias lecturas de ello, y tan solo una, y extremadamente rara, que sea realmente de importancia:

1º. Supongamos que realmente hay dos intrusos en tu red. Esto no es imposible, esto es un peligro "posible". O se usa una conexión por cable o se usa por WIFI. Si es por cable, tan solo tienes que miar los cables conectados al Router. Si es por WIFI, proteger a día de hoy una red por WIFI para que no pueda acceder nadie no autorizado es extremadamente sencillo y simple... y no, no implica nada de filtrado MAC:
 a) Deshabilitar WPS en las redes WIFI que se emitan
 b) Seguridad WPA2-PSK AES o superior
c) Una contraseña que obviamente no sea de niños de 3 años. Una frase corta de 8-10 letras más que suficiente

No se requiere absolutamente nada más para proteger tu red.  Y por cierto, dudo enormemente que este sea tu caso. Por cierto, de ser cierto, también aparecería como es natura en el Router.

2º. No pocos dispositivos usan direcciones MAC pseudoaleatorias para proteger la privacidad. Lo que implica que la dirección MAC de estos cambian dependiendo de la conexión a la que se conecten. Esto no es en absoluto ni nada nuevo ni nada [....]. Es algo extremadamente útil sobre todo con redes ajenas, porque permite evitar un seguimiento de dispositivo por la MAC. Si cualquier dispositivo está configurado internamente para ello, o el Driver... ya tienes ahí mismo dispositivo diferente MAC

3º. Lo anterior va dirigido a dispositivos usando el mismo adaptador de red. No obstante, esto no sólo se aplica al mismo adaptador de red. Los dispositivos suelen tener DIFERENTES adaptadores de red, cada uno de ellos con una MAC diferente. Ejemplo sencillo, el PC con el que escribo ahora mismo, actualmente está usando 5 direcciones MAC diferentes, de las cuales 2 de ellas sí son interfaces de red en uso, las otras 3 no por lo general. Pero esas 3 sí pueden verse en determinados momentos, las interfaces son reales. Obviamente como el nombre del equipo es único, todas ellas podrían aparecer dentro del mismo nombre. Esto no es exclusivo de Windows, sucede lo mismo en Android, iOS....

4º. Que no sean ciertos los datos que te da dicha suite. Es más, estas Suite son extremadamente lesivas con la privacidad de uno, y enormemente dañinas para el rendimiento de los equipos. Pueden ser datos simplemente equivocados o mal interpretados mapeados. Por ejemplo, la técnica usada por lo general para hacer esto es capturar el tráfico ARP de la red, puesto que el tráfico ARP es visible para toda la red (broadcast), y es el protocolo encargado de traducir IP<->MAC. El problema con ARP es que en cualquier momento un dispositivo puede responder con una MAC incluso que no sea siquiera de él. Un dispositivo pregunta a la red: Quien es la IP 192.168.1.33? (por ejemplo), y realmente cualquier dispositivo de la red puede responder a esa petición, con la MAC que quiera. Es más, esto se ha usado extensamente en el pasado y aun a día de hoy para engañar en muchas redes y suplantar IPs. Dicho de otro modo... es mucho más probable a día de hoy que se cumpla este punto, a que se cumpla el primer punto :).

Saludos.