seguridad y confindencialidad en redes wlam
1 view
Skip to first unread message
leydis garcia
Jul 2, 2011, 4:27:02 PM7/2/11
to UNEFA-RedesTelecom
buenas tardes, buscando informacion acerca de la seguridad en redes me
encontre con muchos pasos o medidas para q podamos tener nuestra red
segura, pero me llamo la atencion la seguridad en redes wlam y tambien
q es facil de realizar sin tener necesidad de utilizar medidas tan
complejas.
Existen muchos métodos para garantizar la seguridad y confidencialidad
en una WLAN, Muchas de estas soluciones requieren una configuración
mínima en los equipos, los que las hace sencillas de implementar
incluso por personal no profesional:
Se indicaran a continuacion
Filtrado de direcciones MAC: Se trata de una opción de autentificación
adicional, que ofrecen muchos puntos de acceso, en la cual solo se
permite la conexión de ciertas tarjetas de red identificadas a partir
de su dirección MAC. Estamos ante una medida muy fiable de identificar
físicamente a los equipos, ya que es muy difícil que dos tarjetas de
red tengan la misma MAC, de la misma manera resulta muy apta para
entornos pequeños (pequeñas redes domésticas o de oficina). Sin
embargo si la red ya presenta un tamaño considerable y el número de
equipos que acceden a ella es muy grande, se puede volver difícil de
gestionar.
Utilización de redes privadas virtuales (VPN): Como sabemos las VPN
emplean tecnologías de cifrado para crear un canal virtual privado, de
forma que aprovechan una infraestructura pública para simular una red
privada. De este modo las VPN se pueden utilizar para proteger redes
inalámbricas ya que proporcionan una doble funcionalidad. Por un lado
se encarga de autentificar y autorizar a todos los clientes
inalámbricos, y por otro lado se encargará de encriptar el tráfico
desde y hacia esos clientes, mediante el empleo de IPSec de este modo
no será necesario hacer uso del débil cifrado WEP.
Limitar la potencia de emisión de los puntos de acceso: Debemos de
adecuar la potencia de emisión de las antenas de los puntos de acceso
a nuestras necesidades reales. No resulta sensato, en lo que a la
seguridad se refiere que nuestra antena de un radio de cobertura de
cientos de metros si solamente se pretende dar servicio en una pequeña
red doméstica o de oficina. Si el punto de acceso tiene un radio de
cobertura muy amplio, todo aquel que pretenda sacar provecho de
nuestra WLAN, no necesitará ni siquiera ni acceder al recinto físico
donde se encuentra ubicada, podrá llevar a cabo sus intentos de acceso
ilegal cómodamente desde cualquier otro lugar sin que nadie sea
advertido de ello.
Habilitar el PA en modo pasivo: Es la manera de funcionamiento de los
PA en el que no revelan su identificador de red (SSID) cuando se les
pregunta. El SSID sirve para distinguir una red inalámbrica de otra.
Un determinado cliente inalámbrico que se quiera conectar a una red,
deberá conocer el SSID de dicha red para asociarse a ella. Como norma
general los PA responden con su SSID indicando si están activos cuando
un cliente les manda un paquete de prueba. Este es el funcionamiento
de los puntos de acceso en modo activo. Aunque el punto de acceso se
encuentre funcionando en modo pasivo resulta considerablemente
sencillo averiguar su SSID analizando los paquetes de radio que
circulan por la WLAN, pero no deja de ser una medida adicional que
dificulta la tarea a los posibles asaltantes.
Entonces podemos enumerar una serie de medidas que se deberían tener
en cuenta para introducir una seguridad razonablemente alta a nuestra
red wireless. Estas medidas no requieren de conocimiento profesional
también puede ser utilizada por cualquier usuario.
1. Habilitar cifrado mediante WEP en el punto de acceso. Se debería
poder acceder a la interfaz de usuario del PA mediante el navegador, y
de este modo poder activar el cifrado WEP, e indicar una serie de
parámetros como puede ser la longitud de las claves y sus valores. En
el caso de la longitud de las claves sería conveniente que fueran de
64 bits como mínimo, y a la hora de establecer las claves, también
sería conveniente hacerlo como cadenas de texto de forma que se
facilite en mayor medida el transporte de las claves a los clientes.
2. Habilitar los mismos parámetros de configuración WEP en los
clientes. Una vez completado este paso permitiremos a las tarjetas de
red comunicarse con el punto de acceso inalámbrico compartiendo los
mismos parámetros de configuración con el punto de acceso.
3. Utilizar claves WEP no triviales y cambiarlas regularmente. Los
consejos a la hora de elegir una contraseña son bien conocidos; como
norma general no elegir datos personales que otras personas puedan
conocer o averiguar (nombre mascota, año de nacimiento, nº de DNI,…).
También hay que ir con mucho cuidado de no elegir cualquier palabra
que pueda aparecer en un diccionario ya que puede resultar muy fácil
para un ordenador averiguarla por fuerza bruta.
4. No utilizar TCP/IP para compartición de archivos e impresoras. Si
algún intruso consigue conectarse a nuestro punto de acceso, estará
dentro de nuestra LAN como cualquier otro cliente legítimo, esto
quiere decir que estará utilizando el protocolo TCP/IP en su conexión,
y con esta opción activada no podrán acceder a nuestra información
privada. De este modo deberemos utilizar otro protocolo para hacer uso
de la compartición de archivos e impresoras (ej. NetBEUI).
5. Establecer autentificación compartida. La autentificación
compartida, se refiere al método de autentificación por clave
compartida, que aunque no es el más seguro del mundo resulta más
conveniente que dejar la autentificación abierta. Este parámetro puede
ser establecido en las propiedades avanzadas de nuestro punto de
acceso que debe aparecer como “Shared Key”.
6. Ocultar el SSID. Esta medida nos protegerá de posibles intrusos que
puedan descubrir de manera sencilla nuestra red, y como consecuencia,
puedan aprovecharse de ella o bien intentar atacarla para dejarla
fuera de servicio. En el punto de acceso esto se consigue
habilitándolo en modo pasivo, y para conseguir esto se establecerá
como falso el parámetro “SSID broadcast”
7. Restringir el acceso solo a determinadas tarjetas de red. La forma
de conseguir esto es indicarle al PA que realice un filtrado de
direcciones MAC, es decir, que solo permita la conexión a las
direcciones MAC que tiene en su lista de control de acceso (ACL). La
configuración del PA para conseguir esta restricción es muy sencilla,
simplemente basta con seleccionar de una lista la dirección MAC a la
cual queramos dar acceso y añadirla a la lista de direcciones
permitidas.
8. Limitar la potencia de emisión del PA. De este modo el alcance del
punto de acceso será menor y de ese modo también lo será la
posibilidad de que cualquier atacante pueda recibir la señal de forma
trivial y sin que nos percatemos de ello.
encontre con muchos pasos o medidas para q podamos tener nuestra red
segura, pero me llamo la atencion la seguridad en redes wlam y tambien
q es facil de realizar sin tener necesidad de utilizar medidas tan
complejas.
Existen muchos métodos para garantizar la seguridad y confidencialidad
en una WLAN, Muchas de estas soluciones requieren una configuración
mínima en los equipos, los que las hace sencillas de implementar
incluso por personal no profesional:
Se indicaran a continuacion
Filtrado de direcciones MAC: Se trata de una opción de autentificación
adicional, que ofrecen muchos puntos de acceso, en la cual solo se
permite la conexión de ciertas tarjetas de red identificadas a partir
de su dirección MAC. Estamos ante una medida muy fiable de identificar
físicamente a los equipos, ya que es muy difícil que dos tarjetas de
red tengan la misma MAC, de la misma manera resulta muy apta para
entornos pequeños (pequeñas redes domésticas o de oficina). Sin
embargo si la red ya presenta un tamaño considerable y el número de
equipos que acceden a ella es muy grande, se puede volver difícil de
gestionar.
Utilización de redes privadas virtuales (VPN): Como sabemos las VPN
emplean tecnologías de cifrado para crear un canal virtual privado, de
forma que aprovechan una infraestructura pública para simular una red
privada. De este modo las VPN se pueden utilizar para proteger redes
inalámbricas ya que proporcionan una doble funcionalidad. Por un lado
se encarga de autentificar y autorizar a todos los clientes
inalámbricos, y por otro lado se encargará de encriptar el tráfico
desde y hacia esos clientes, mediante el empleo de IPSec de este modo
no será necesario hacer uso del débil cifrado WEP.
Limitar la potencia de emisión de los puntos de acceso: Debemos de
adecuar la potencia de emisión de las antenas de los puntos de acceso
a nuestras necesidades reales. No resulta sensato, en lo que a la
seguridad se refiere que nuestra antena de un radio de cobertura de
cientos de metros si solamente se pretende dar servicio en una pequeña
red doméstica o de oficina. Si el punto de acceso tiene un radio de
cobertura muy amplio, todo aquel que pretenda sacar provecho de
nuestra WLAN, no necesitará ni siquiera ni acceder al recinto físico
donde se encuentra ubicada, podrá llevar a cabo sus intentos de acceso
ilegal cómodamente desde cualquier otro lugar sin que nadie sea
advertido de ello.
Habilitar el PA en modo pasivo: Es la manera de funcionamiento de los
PA en el que no revelan su identificador de red (SSID) cuando se les
pregunta. El SSID sirve para distinguir una red inalámbrica de otra.
Un determinado cliente inalámbrico que se quiera conectar a una red,
deberá conocer el SSID de dicha red para asociarse a ella. Como norma
general los PA responden con su SSID indicando si están activos cuando
un cliente les manda un paquete de prueba. Este es el funcionamiento
de los puntos de acceso en modo activo. Aunque el punto de acceso se
encuentre funcionando en modo pasivo resulta considerablemente
sencillo averiguar su SSID analizando los paquetes de radio que
circulan por la WLAN, pero no deja de ser una medida adicional que
dificulta la tarea a los posibles asaltantes.
Entonces podemos enumerar una serie de medidas que se deberían tener
en cuenta para introducir una seguridad razonablemente alta a nuestra
red wireless. Estas medidas no requieren de conocimiento profesional
también puede ser utilizada por cualquier usuario.
1. Habilitar cifrado mediante WEP en el punto de acceso. Se debería
poder acceder a la interfaz de usuario del PA mediante el navegador, y
de este modo poder activar el cifrado WEP, e indicar una serie de
parámetros como puede ser la longitud de las claves y sus valores. En
el caso de la longitud de las claves sería conveniente que fueran de
64 bits como mínimo, y a la hora de establecer las claves, también
sería conveniente hacerlo como cadenas de texto de forma que se
facilite en mayor medida el transporte de las claves a los clientes.
2. Habilitar los mismos parámetros de configuración WEP en los
clientes. Una vez completado este paso permitiremos a las tarjetas de
red comunicarse con el punto de acceso inalámbrico compartiendo los
mismos parámetros de configuración con el punto de acceso.
3. Utilizar claves WEP no triviales y cambiarlas regularmente. Los
consejos a la hora de elegir una contraseña son bien conocidos; como
norma general no elegir datos personales que otras personas puedan
conocer o averiguar (nombre mascota, año de nacimiento, nº de DNI,…).
También hay que ir con mucho cuidado de no elegir cualquier palabra
que pueda aparecer en un diccionario ya que puede resultar muy fácil
para un ordenador averiguarla por fuerza bruta.
4. No utilizar TCP/IP para compartición de archivos e impresoras. Si
algún intruso consigue conectarse a nuestro punto de acceso, estará
dentro de nuestra LAN como cualquier otro cliente legítimo, esto
quiere decir que estará utilizando el protocolo TCP/IP en su conexión,
y con esta opción activada no podrán acceder a nuestra información
privada. De este modo deberemos utilizar otro protocolo para hacer uso
de la compartición de archivos e impresoras (ej. NetBEUI).
5. Establecer autentificación compartida. La autentificación
compartida, se refiere al método de autentificación por clave
compartida, que aunque no es el más seguro del mundo resulta más
conveniente que dejar la autentificación abierta. Este parámetro puede
ser establecido en las propiedades avanzadas de nuestro punto de
acceso que debe aparecer como “Shared Key”.
6. Ocultar el SSID. Esta medida nos protegerá de posibles intrusos que
puedan descubrir de manera sencilla nuestra red, y como consecuencia,
puedan aprovecharse de ella o bien intentar atacarla para dejarla
fuera de servicio. En el punto de acceso esto se consigue
habilitándolo en modo pasivo, y para conseguir esto se establecerá
como falso el parámetro “SSID broadcast”
7. Restringir el acceso solo a determinadas tarjetas de red. La forma
de conseguir esto es indicarle al PA que realice un filtrado de
direcciones MAC, es decir, que solo permita la conexión a las
direcciones MAC que tiene en su lista de control de acceso (ACL). La
configuración del PA para conseguir esta restricción es muy sencilla,
simplemente basta con seleccionar de una lista la dirección MAC a la
cual queramos dar acceso y añadirla a la lista de direcciones
permitidas.
8. Limitar la potencia de emisión del PA. De este modo el alcance del
punto de acceso será menor y de ese modo también lo será la
posibilidad de que cualquier atacante pueda recibir la señal de forma
trivial y sin que nos percatemos de ello.
Reply all
Reply to author
Forward
0 new messages