Seguridad para Wireless (Wi-Fi 802.11g)
I.P.-
No sé si mi pregunta es muy general, artificial quizás,
pero lo cierto es que necesitaria montar 5 Acess Point's, de momento,
y no sé ni por donde atacar con el tema de la seguridad.
Los AP's seguramente seran CISCO pero la seguridad
me gustaria implantarla 100% MS Windows.
Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
Parece ser que lo tipico que sabemos de las claves WEP + filtrado de MAC's
según algunos, eso ni es seguridad ni es ná.
Seríais tan amables de orientarme un poco en este tema y indicarme
algo de material de lectura?
Los AP's estaran en planta y las conexiones seran atraves de PDA's
industriales
para gestiones de producción.
RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
gastar con software de terceros, si se puede? Nada mas por aprovechar
toda la inversión de windows que tengo.
Gracias por vuestra atención,
I.P.-
Guillermo Delprato [MS-MVP]
http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx
que hay mucha información realmente
En esa dirección he visto alguna documentación realmente muy buena
--
Saludos
Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.
------------------------------------------------
clemente
Del lado WIFI y de forma general te sugeriría que tanto los PA como los
terminales PDA soportasen los estandares de seguridad sigueintes:
Ocultar el SSID del sistema wifi.
Filtrado de MACs.
IEEE 802.11i que te va a permitir establecer un canal muy robusto (al día de
la fecha infranqueble) a nivel de enlace entre los diferentes puntos de
acceso y las pda. Este estandar te va a permitir aprovechar una serie de
técnicas de cifrado de paquetes mediante las cuales cada paquete cambia la
clave de cifrado (TKIP), además las claves de cifrado se encuentran en
valores de 128 y 256 bits sobre AES.
IEEE802.1X que te va a ofrecer unas técnicas de control de acceso a los
puertos del PA mediante la autentificación del usuario (EAP).
Si además este proceso de autentificación lo apoyas en "certificados
digitales" y finalmente estableces tuneles IPSec o SSL, el sistema sería un
bunker.
Verdad es que IPSec carga mucho las comunicaciones por ello dependiendo del
tipo de información y procesos que se realicen podría usarse túneles SSL y
en ultima situación tuneles PPTP sin cifrar, dado que que en el enlace wifi
hemos establecido una fuerte seguridad.
Finalmente este proceso de autentificación (ademas de autorizaciones y
auditoria) lo podrías efectuar en un servidor w2k/w2k3 server que corra los
servicios servidores radius (ias).
Sería bueno disponer de dos servidores radius, si los procesos son criticos.
Podrías también usar el mismo servidor w2k/w2k3 server para:
Base de datos de usuario.
Servidor VPN (en modo PPTP - sin cifrar o modo L2TP/IPSec con cifrado).
Si usases certificados digitales para la autentificación de los usuarios o
para establecer un tunel VPN L2TP/IPSec necesitarias un servidor w2k/w2k3
adicional para crear una PKI (entidad emisora de certificados).
Espero te oriente.
un saludo
clemente
"Guillermo Delprato [MS-MVP]"
<guillermo.delprato__BORRAR__@___BORRAR_mug.org.ar> escribió en el mensaje
news:eaIqDwNR...@TK2MSFTNGP09.phx.gbl...
I.P.-
Muchas gracias por tu aportación.
Llevo 2 días con este tema y entiendo o empiezo a entender al complejidad
del mismo.
Cuando digo 2 días, me refiero que no hace mucho que estoy buscando una
solución
mas profesional a la estructura WiFi de la empresa.
Para que tengas un idea, ayer mismo, con los S.O. de la MSDN que tengo aquí,
empecé a hacer pruebas. Monté un Win2k3 Server + AD + Certificados + RADIUS.
Parece ser que todo funciona bien, aún que si te digo la verdad, no tengo
mucha experiencia
con Certificados y RADIUS. El problema creo que tengo ahora con el CISCO
Aironet
Serie 1200. Tiene infinidad de parametrización y seguro que estaré haciendo
algo mal
porque no logro conectarme.
Las PDA's que dispongo son modernas, por lo que todas llevan protocolos de
seguridad
bastante actualizados. Yo de todo lo que estuve leyendo me incliné, y desde
luego
no por conocerlo, a adoptar el sistema EAP-TLS.
Parece sencillo. Un AD + Servidor de certificados + MS RADIUS + Punto de
Acceso Configurado.
Pero vaya tela tiene todo este tema. Es bastante mas complicado de lo que
parece y si uno aún no
esta muy 'adentrao' en esos 'medios de seguridad', como que vas un poco
perdido.
Encima los de CISCO son muy 'puristas' y no es muy facil encontrar doc's
sobre configuraciones
de una manera un poco mas PRATICA.
Estoy en ello. Agradezco tu ayuda y atencion. Si quieres comentarme algo
sobre lo que te escribo
te agradeceria.
Si veo que me vuelvo a perder, te pido ayuda.
Muchas gracias y un Saludo,
I.P.-
"clemente" <msnews.microsoft.com> escribió en el mensaje
news:OlBK2QRR...@tk2msftngp13.phx.gbl...
I.P.-
Un Saludo.
"Guillermo Delprato [MS-MVP]"
<guillermo.delprato__BORRAR__@___BORRAR_mug.org.ar> escribió en el mensaje
news:eaIqDwNR...@TK2MSFTNGP09.phx.gbl...
clemente
1.- Es importante tener claro el concepto de autentificación mediante
EAP-TLS, lo que como su nombre indica te permitirá autentificarte, solo
autentificarte es decir enviar usuario y contraseña de forma segura. Si
además has activado la autentificación IEE802.1x sobre EAP, esto te va a
permitir controlar la apertura y cierre de los puertos del PA.
2.- Una vez autentificado, el siguiente problema es cifrar todos los datos
de información que envias desde las PDAs.
Aqui tienes digamos que dos opciones principales:
a.- Cifrar los datos de forma robusta mediante los protocoles del nivel de
enlace que utilizan los PA-PDA (estandar IEEE802.11i (TKIP- AES. etc) lo que
te permitiría utilizar un protocolo menos robusto en niveles superiores.
Podrías por ejemplo podrías usar VPN PPTP (con el propio cifrado MPPE de
MS).
Recuerda que este estandar es muy reciente y te diría que en PDAS (de
ajecutivos) muchos modelos no lo contemplan así mismo sucede con muchos PA.
b.- Cifrar de forma menos robusta el nivel de enlace (PA-PDA) como por
ejemplo WEP o WPA y posteriormente cifrar los datos mediante un tunel IPSec
(a nivel de red) o mediante un tunel SSL.
Te recuerdo que IPSec carga mucho la red y las comunicaciones.
Yo ando trabajando en una prueba piloto en un escenario parecido al tuyo.
1.- Vamos a asegurar las comunicaciones a nivel de enlace (entre PA y PDs)
mediante el estandar IEEE802.11i. El proceso de autentificación lo haremos
sobre EAP-TLS y a través de un servidor IAS_RASDIUS de MS. El control de
acceso a puertos del PA mediante IEE802.1x (EAP). Finalmente estableceremos
un tunel SSL entre las PDAs y un servidor IIS de MS donde se decargarán los
datos. Los certificados digitales los emitimos desde un servidor PKI de MS.
Todo va a ser con tecnología MS.
Siento no poderte dar más indicaciones sobre el PA de Cisco....nosotros
trabajaremos en la prueba piloto con 3Com
un saludo y suerte
clemente
--------------------------------------------------------------------------
"I.P.-" <spy...@hotmail.com> escribió en el mensaje
news:eZtNPwY...@TK2MSFTNGP15.phx.gbl...
Guillermo Delprato [MS-MVP]
Clemente está justo justo en el tema
Juan Carlos
plantea es si vale la pena gastar dinero y tiempo en comprar y saber manejar
los dispositivos Cisco, ya q como bien dices, son muy puristas y según digo
yo van un poco por libre por querer ser especiales.
Es algo así como comparar un ferrari con un mercedes, cisco es ferrari otra
compañia como 3com o dlink son mercedes. Ambos son buenos coches pero ¿vale
la pena gastarse en un ferrari un montón de pasta si con mercedes vas más q
bien servido? Yo prefiero mercedes (lease dlink o 3com) porque van sobrados,
es más 3Com tengo entendido q está evolucionando bien y rápido.
"I.P.-" <spy...@hotmail.com> escribió en el mensaje
news:utFMN1YR...@TK2MSFTNGP10.phx.gbl...
I.P.-
Tengo somente 10 min y contestaré a Juan Carlos, los demas esta tarde ;-)
Hola Juan Carlos,
Realmente CISCO tiene que ser una gozada cuando llevas 25 años trabajando
con sistemas avanzados de redes y
conozca muy bien los productos. La verdad es que tiene que ser una maravilla
la cantidad de posibilidades que tienes
con esos aparatos.
Bueno, si tu dices que CISCO son los ferrari's, acabo de hacer un mal
negocio, porque tenia antes Aston Martin's (creo q son mas caros que los
ferrari's) y los cambié por algo mas asequible (CISCO).
Puede que estes preguntando que clase de equipos serian mas caros que CISCO,
no? Pues los hay...
Puntos de Acceso industriales de INTERMEC por ejemplo. Te puedo decir que el
ultimo PA comprado me costó mas de 1.400 ? y ahora con los ciscos, no llego
ni a la mitadad de precio.
Porque esos PA's? Muy simple. Aqui en verano, donde tengo instalados los
PA's llegamos a mas de 50 grados tranquilamente. En invierno, bajamos de 0
fijo. Para que tengas una idea, la ultima nevada que tuvimos, habia 1 palmo
de nieve encima del PA. (un fallo del tejado desde luego, pero así fué y
imaginate la temperatura que estaria operando el PA. Crees que un 3Com o
Dlink aguentaria?) y no tuve ningún problema. Los PA's de INTERMEC aún
llegan a temperaturas mas extremas que los de CISCO, quizás por eso sean mas
caros, y tambien son tremendamente robustos.
Quizás no me justifique el precio tan elevado pero aún asi con CISCO puede
que me quede tirado por temperaturas extremas.
En cuanto a limitaciones tecnologicas y de seguridad, estoy completamente de
acuerdo contigo que para el dia a dia, 3Com no le tiene que invidiar nada a
CISCO. (a no ser que sean movidas muy especiales, digo yo!!)
Continuamos en contacto,
Gracias por tu post...
I.P.-
"Juan Carlos" <ma...@airtel.net> escribió en el mensaje
news:d45ufo$t85$1...@nsnmpen2-gest.nuria.telefonica-data.net...
I.P.-
He aprendido algo mas con tus explicaciones. Es decir, hasta ahora todo el
dolor de cabeza que tengo es simplemente para lograr una autentificacion
segura. Lo de proteger el trafico de informacion es aún outra historia?
madre mia, que nos pillen confesados!!! ;-)
Vale, he localizado una persona que parece ser, controla muy bien los
equipos de CISCO y me va a echar un cable con el PA.
Aun no sé si me tengo que enseñar la config por WEB o por CLI (asi llaman
ellos el hiperterminal). Por lo visto, cuando se trata de configuraciones
del tipo AAA, es todo por consola. (vamos, que lo voy a pasar un poco
mal...)
Encuanto a los Standares que me comentas, dispongo de todos. Mis PDA's son
todas industriales. INTERMEC y SYMBOL que por cierto es mucho mas barata,
menos robusta pero mucho mas practicas para trabajar, me gusto mucho la
calidad de ellas, pero el lector de codigo de barras es pesimo. Así que me
tendré que conformar con las de Intermec.
Intermec aconseja el protocolo EAP-TTLS por ser mas sencillo, aun no se
puede violar, no requiere certificado en los clientes y por tener
autenticacion segura contra bbdd de Windows.
Ahora que ya he empezado con el EAP-TLS, seguiré con él, también como sé que
tu estas tirando por ahi, siempre me podrás echar un cable si algo me sale
mal. Por cierto, en que plataforma estas probando, 2k o 2k3 ?
Volviendo al tema tecnico, aun me lio con tantas siglas. Como tu comentas, a
nivel de enlace, no me valdria tu soluccion SSL porque yo hago consultas al
IIS como tu pero tambien 'directas' a SQL. Despues de 2 años de experiencias
con las dichosas PDA's vimos que algunos trabajos haciendolos directamente
sobre SQL eran mucho mas rapido que por IIS (XML en mi caso) por ejemplo.
Entonces pregunto yo. Si no quiero hacer la seguridad (a nivel de enlace)
por VPN, que me queda disponible? Y tambien por lo que me comentas, lo unico
que me garantiza seguridad 100% es la VPN, es eso?
Otra consulta, si me permites?!?!?! Trabaja los PA y PDA's dentro del mismo
rango de IP's de tu RED local (clientes + Servidores) ???
Bueno, creo que esta bien ya de tanto escribir...y de marearte tambien.
Gracias a todos vosotros por el apoyo.
Estaremos en contacto.
Un Saludo,
I.P.-
"clemente" <a@a> escribió en el mensaje
news:Oh33ecZR...@TK2MSFTNGP12.phx.gbl...
clemente
He estado ausente unos dias.....cosas de la vida.
1.- Quizas te estoy liando un poco con tanta sigla.......
Primero se debe establecer un enlace de comunicaciones ente la PDA y el PA,
parecido a un PC y un Switch Ethernet. Este enlace lo debes asegurar todo lo
que puedas y si las PDA y AP lo permiten usa IEEE802.11i (TKIP y cifrado AES
de128 bits). esto te va a garantizar seguridad a nivel de enlace.
Haciendo esto estas cifrando todos los paquetes de datos que van por el aire
entre el PA y la PDA.
Hay situaciones en las que este nivel de seguridad es suficiente. Es decir a
nivel de enlace.
2.- Si necesitas más seguridad que la establecida a nivel de enlace,
entonces debes pensar en aplicarla en los niveles superiores al de enlace,
es decir a nivel de red (IP) o a nivel de transporte/sesion/aplicación (TLS,
TTLS, HTTPS).
3.- Es decir si cifras a nivel de enlace y cifras a nivel de red
(IP)....estas cifrando dos veces cualquier proceso que realices, en nuestro
caso el de autentificarte y el de cifrar datos. Claro esta si uno fallo o
cae en malas manos está el otro, pero también la carga en la red es mayor.
Por eso hay que sopesar el esquema de seguridad que necesitas.
4.- Si suponemos que necesitamos seguridad en ambos niveles (enlace y red)
entonces estamos hablando de establecer tuneles VPN IPSec. En esta situación
antes de autentificarse y de cifrar los datos se establece una "asociación
de seguridad" cotejando los certificados digitales IPSec de cada máquina. Te
decía que el cifrado IPSec carga mucho la red y el equipo que ofrece los
túneles. Además cada PDA debe tener instalado un cliente VPN IPSec, aunque
MS incluye el suyo hay algunos servidores de tuneles que no van bien.
5.- Si suponemos que necesitamos seguridad en ambos niveles (enlace y
transporte) entonces estamos hablando de establecer tuneles VPN SSL o TLS.
En esta situación también antes de autentificarse y de cifrar los datos se
establece una "asociación de seguridad" cotejando los certificados digitales
de usuario y/o servidor. Este tipo de esquema de cifrado es mas libiano que
IPSec, cargando mucho menos la red y el equipo que ofrece los túneles.
Además cada PDA no necesita un programa cliente, pudiendose utilizar un
simple Explorado Web.
6.- Nosotros, todas las pruebas las estamos haciendo con pda pocket pc (hp)
y una Intermec.
7.- Los servidores son : dos DC (w2k server), dos Radius (w2k3 server), uno
IIS (w2k server), uno PKI (w3k server) y uno BD SQL (w2k server).
8.- Los puntos de acceso son de 3Com...más que puntos de acceso son "Puertos
de Acceso" como se les llama a los que no llevan "inteligencia". estos
puertos/puntos de acceso van conectados a un Switch Seguridad WLAN, que es
donde reside la inteligencia y gestión centralizada. Y de aqui a los
switches ethernet de nuestra intranet.
9.- referente a las PDA y el protocolo de autentificación EAP_TTLS, estoy
de acuerdo, si no necesitas una seguridad tan estricta a nivel de usuario.
Sin embargo esto no te evita el tener que usar un servidor PKI para la
emisión de certificados, dado que el servidor RADIUS necesitará uno, además
y si no mal recuerdo en cada PDA debes tener que cargar el certificado
digital con la clave publica de la PKI. Otra posibilidad es que adquieras un
certificado de terceros y te evitas el tener que mantener una PKI. Nosotros
como te dije iremos al estandar EAP-TLS pues necesitamos seguridad a nivel
de usuario....auditorias, etc.
El mantenimiento será otra cosa.
10.- Tras la autentificación, deberemos preocuparnos de cifrar los datos.
Pues bien si optas por establecer tuneles IPSec deberás de considerar las
posibilidad de montarlo sobre plataforma MS Windows u otras marcas
especialistas (cisco, enterasys, nortel, etc..) en función del número de
usuarios y volumen de la información a trasnmsitir/recibir. Como te decía la
carga que introduce IPSec es muy grande.
Nosotros utilizamos tuneles IPSec para clientes remotos que deben conectarse
desde Internet con la oficina. Utilizamos plataforma MS Windows (un servidor
RRAS con w2k server). Con la PKI que tenemos emitimos los certificados
digitales IPSec para servidores y clientes.
Sin embargo para el cifrado desde la PDAs vamos a establecer un tunel SSL
entre las PDA y el servidor Web (IIS). De este modo ciframos todos los datos
hasta este servidor, en el cual una apliacación web diseñada a medida y
vinculada con el otro servidor de BD SQL Server nos permite intercambiar de
forma seguro los datos. También se podría tener IIS y la BD SQL Server en la
misma máquina, dependiendo de la carga que deba soportar.
11.- Por lo que respecta a las IPs....puedes establecer varios esquemas de
asignación dependiendo de la seguridad que tengas en tu red (cortafuegos,
routers, etc)
Nosotros le vamos a asignar un rango de IPs distintas a las de la red final
de la empresa. Las PDAs una vez autentificadas, les asignamos IP fijas en un
segmento de red (hilo) distinto al segmento de red de la intranet de la
empresa. Entre el Switch de Seguridad WLAN y los Switches Ethernet de la
intranet tenemos un router-cortafuegos donde establecemos filtros y
politicas de seguridad.
Pues nada más por hoy..... un saludo
Clemente
"I.P.-" <spy...@hotmail.com> escribió en el mensaje
news:ui2SKGpR...@TK2MSFTNGP12.phx.gbl...
CJ
CISCO. En mi opinión se aprovecharon en su época de la coyuntura y de plan
de marketing eso si basados en unos excelentese equipos. En el día a día,
como bien dices, para redes de pequeñas o medianas empresas que son
instalaciones a las que me dedico, salvo expresa peticion del cliente, prima
precio sobre calidad, y con eso no quiero decir que DLINK o 3com sean malos,
todo lo contrario, ya que las condiciones no son tan extremas como las que
cuentas (supermercados o hiper, oficinas de 10o 12 puestos, notarias,
centros comerciales, colegios, etc...). Hasta la fecha con redes LAN o MAN
en las que me manejo los equipos de "alta gama" de DLINK, HP o 3COM no me
están dejando mal. En situaciones tan extremas como las que cuentas, en
primer lugar, no tengo experiencia, en segundo lugar evidentemente no vas a
ir con cualquier cosa. Volviendo hacer un símil es como si vas a picar
piedra con las herramientas de playa de mi hija.
Saludos
"I.P.-" <spy...@hotmail.com> escribió en el mensaje
news:e1wFG9m...@TK2MSFTNGP09.phx.gbl...
I.P.-
Pues mira, estamos de acuerdo.
Lo que pasa es que 'a veces' tengo la sensación (y no solo sensación)
de no tener ni idea de todo eso, tan y como van de rapidos con protocolos,
metodos y tacticas.
Aun estoy digeriendo todo lo que ha puesto Clemente en el Hilo.
Un Saludo,
I.P.-
"CJ" <ma...@airtel.net> escribió en el mensaje
news:d4lol0$640$1...@nsnmpen2-gest.nuria.telefonica-data.net...