Cómo configurar la red inalámbrica Wi-Fi de un FRITZ!Box de forma segura
Los routers FRITZ!Box incorporan por defecto una configuración inalámbrica bastante segura. De forma predeterminada nos vienen con una clave predeterminada y el tipo de cifrado usado es WPA, sin embargo, el router nos permite ajustar otros parámetros para aumentar la seguridad de la red inalámbrica. En este artículo os vamos a enseñar cómo proteger la red Wi-Fi adecuadamente.
Para configurar correctamente la red inalámbrica, lo primero que tenemos que hacer es entrar vía web a la interfaz del router, la dirección IP por defecto es 192.168.178.1. A continuación nos vamos a la sección «Red inalámbrica/Red inalámbrica» donde veremos el nombre de la red y podremos ver también los dispositivos que se han conectado anteriormente y los que están en línea actualmente.
AVM Stick & Surf
El AVM Stick & Surf nos permite conectarnos con un adaptador Wi-Fi USB de FRITZ! de forma automática sin necesidad de introducir ninguna clave ni tampoco activar el WPS, con tan sólo conectar el adaptador inalámbrico a un puerto USB del router, se copiará la configuración Wi-Fi de forma automática.
AP Isolation y Filtrado MAC
En la parte inferior de la misma pantalla encontramos los dispositivos inalámbricos «conocidos», es decir, los dispositivos que se han conectado anteriormente al router y también los que actualmente están conectados.
La opción que indica «Los dispositivos Wi-Fi podrán comunicarse entre sí«, es la conocida opción «AP Isolation». Si desmarcamos la casilla, los equipos que se conectan vía Wi-Fi no se podrán comunicar entre sí, perfecto para proteger nuestra privacidad. Si estamos en un ámbito doméstico, esta opción es recomendable que la tengamos marcada para que sí se puedan comunicar entre ellos.
Las otras opciones que tenemos en esta parte inferior, es el filtrado MAC del router FRITZ!Box. Si queremos habilitar el filtrado MAC deberemos seleccionar la opción «Solo permitir el acceso a la red inalámbrica Wi-Fi a los dispositivos conocidos«, y a continuación hacer una selección de las MAC que se han guardado, y si queremos añadir algún equipo nuevo deberemos hacerlo manaulmente. Esta opción es útil para mantener bajo control todos los equipos conectados, pero si un posible atacante tiene la clave de acceso, le será muy sencillo clonar una MAC permitida y tener acceso al router.
Una vez que hayamos hecho los cambios, basta con pinchar en «Aplicar» para que se apliquen de forma instantánea, sin necesidad de reiniciar el router.
WPA2 Pre Shared Key con tipo de cifrado AES (CCMP) en Wi-Fi
La combinación de seguridad más robusta para este router es utilizar un cifrado WPA2 PSK y tipo de cifrado AES. En la sección «Red inalámbrica/Seguridad» tendremos todas las opciones que nos proporciona este FRITZ!Box. Debemos elegir en primer lugar «Cifrado WPA (Máxima seguridad)«. A continuación, debemos elegir en la parte inferior el «Modo WPA: WPA2 (CCMP)» e introducir una clave entre 8 y 63 caracteres alfanuméricos.
Para elegir una buena clave de seguridad es recomendable que mezclemos letras mayúsculas, minúsculas, números y símbolos. Asimismo, también os recomendamos utilizar nuestro generador de claves WPA aleatorias hecho en Java. En ese artículo tenéis cómo funciona el programa y también el enlace directo de descarga.
Una vez que hayamos hecho los cambios, basta con pinchar en «Aplicar» para que se apliquen de forma instantánea, sin necesidad de reiniciar el router.
Desactivar WPS para mayor seguridad
La funcionalidad WPS (Wi-Fi Protected Setup) nos permite sincronizar los dispositivos inalámbricos con el router de forma fácil y rápida, sin necesidad de introducir ninguna contraseña. Sin embargo, es posible que justo en el lapso de tiempo que lo estamos utilizando, un usuario ilegítimo se pueda conectar. Además, no debemos olvidar la vulnerabilidad WPS de los routers, que con un ataque de fuerza bruta y algo de tiempo se puede llegar a conseguir el número PIN y acceder al equipo sin necesidad de usar la clave WPA. De hecho, esta vulnerabilidad está tan extendida que incluso hay aplicaciones para dispositivos móviles con Android que inyectan las claves, ya sea por diccionario o fuerza bruta.
Por este motivo, os recomendamos deshabilitar el WPS.
Una vez que hayamos hecho los cambios, basta con pinchar en «Aplicar» para que se apliquen de forma instantánea, sin necesidad de reiniciar el router.
Configuración de la red de Invitados en un FRITZ!Box
Los routers FRITZ!Box nos permiten crear una segunda red inalámbrica separada completamente de la red principal. Gracias a esta red de invitados podremos proporcionar conectividad Wi-Fi a nuestras visitas. En la sección «Red inalámbrica/Acceso de invitado» tendremos las principales configuraciones que podremos realizar en esta red.
Es recomendable usar también un cifrado WPA2 AES (CCMP) para nuestras visitas, y sobre todo si la red Wi-Fi va a estar activada permanentemente. La clave Wi-Fi no tiene que ser tan compleja como la de la red principal, con que tenga unos 12 caracteres alfanuméricos es suficiente. Existen opciones para ver si un Wi-Fi es seguro.
FRITZ!Box nos proporciona varias opciones adicionales para la red de invitados, como por ejemplo mandarnos un e-mail con las conexiones que se realicen y limitar las aplicaciones de Internet para sólo permitir correo electrónico y navegación vía web (así no se pondrán a realizar descargas).
Otras opciones muy interesantes es activar el AP Isolation en esta red de invitados, de tal forma que no se puedan comunicar entre ellos. Esta opción es recomendable para proteger a los propios invitados de ellos mismos. Asimismo, también podremos configurar la desactivación de la red Wi-Fi de invitados tras un cierto tiempo sin ser usada por los invitados.
Por último, FRITZ!OS versión 6 nos proporciona un código QR para que los invitados lo escaneen con su aplicación de móvil favorita y se conecten sin necesidad de introducir una clave de paso. FRITZ!OS nos permite incluso imprimir una hoja para indicarle a nuestras visitas cómo deben conectarse a la red Wi-Fi.
Una vez que hayamos hecho los cambios, basta con pinchar en «Aplicar» para que se apliquen de forma instantánea, sin necesidad de reiniciar el router. En un tutorial explicamos cómo configurar la tarjeta de red en Windows.
De esta forma tendremos nuestra red Wi-Fi protegida frente a amenazas externas y también permitiremos a los invitados acceder a Internet sin necesidad de que entren en nuestra red local. Sería un gran punto a favor que AVM incorporara un servidor RADIUS de tipo EAP-TTLS para aumentar aún más la seguridad de nuestra red inalámbrica, sería el único fabricante en integrarlo en el firmware por defecto.
Os recomendamos leer nuestro tutorial sobre configurar una red Mesh con FRITZ!Mesh y routers AVM.