06 enero 2010

Red inalámbrica con varias zonas para Home y Pymes

Durante los últimos años las redes inalámbricas han tenido un gran crecimiento gracias su flexibilidad y bajo coste.

La diferencia principal con las redes cableadas es el perímetro, es decir, cualquiera que esté en su radio de alcance puede ser un potencial intruso.

Por ello estamos expuestos a diversos ataques pasivos como sniffing, análisis de tráfico, y activos como suplantación, modificación, reactuación y DoS.

Por este motivo, debemos seguir una serie de recomendaciones de seguridad al configurar nuestros puntos de acceso inalámbricos:
  • Utilizar mecanismos de seguridad WPA2, con AES e intercambio dinámico de claves.
  • Cambiar el SSID que viene by default en los puntos de acceso.
  • Deshabilitar la emisión broadcast del SSID.
  • Deshabilitar el DHCP. Asignar IPs privadas fijas y que no sean las típicas 192.168.[0|1|2].[0-24] usar por ejemplo 172.17.x.x o 10.0.x.x
  • No poner como default gateway el .1 o .254
  • Actualizar el firmware de los puntos de acceso.
  • Desactivar los puntos de acceso durante un periodo de inactividad largo (por ejemplo: ausentarse por vacaciones)
  • Utilizar IPSec, VPN, firewalls y monitorizar los accesos.
Además de protegernos contra los intrusos externos al perímetro, también debemos tener un control de las personas que hacen uso de la red inalámbrica de nuestra casa o Pyme.

En una red cableada podríamos implantar una arquitectura utilizando NAC y una configuración de firewalls con políticas que decidan entre zonas trust y untrust, (hay que mencionar en este punto que la filosofía de las políticas de firewall ha cambiado desde que Netscreen empezó a implantar el trabajar por zonas en vez de red a red)

Si queremos montar una red inalámbrica en casa o Pyme que contenga diferentes zonas, podemos hacer uso del estándar 802.11n y los routers inalámbricos como por ejemplo el AsusRT-N11.

La mayoría de los routers inalámbricos tienen configurados como mucho el nombre de la red y la seguridad que va a utilizar. Esta no es la solución más segura si por ejemplo queremos ofrecer acceso a un amigo que viene a casa. El AsusRT-N11 permite la creación tres zonas adicionales, cada una con su correspondiente SSID, el tipo de seguridad y el ancho de banda que deseamos ofrecer.

Por ejemplo podríamos conectar todos nuestros dispositivos a una de las zonas utilizando WPA2 con una contraseña robusta y ancho de banda ilimitado, y disponer otra zona con un ancho de banda limitado, evitando así saturar la nuestra.

Mencionar además las ventajas del estándar 802.11n que ya viene incorporado en la Xbox 360 y en los últimos ordenadores Mac. Sin duda la ventaja de la norma es su mayor velocidad y mayor alcance. Hasta 10 veces más rápida que una red con 802.11a y 802.11g, y cerca de 40 veces más rápida que una red bajo el estándar 802.11b.

El estándar 802.11n ha supuesto una enorme mejora en el mundo de las redes WiFi, que poco a poco las sitúa más cerca de las redes cableadas.

2 comments :

SpamLoco dijo...

Excelentes consejos, aunque dudo que me estén esnifeando por el lugar donde vivo, nunca se sabe, en la WiFi de casa uso WPA2 con AES, una clave fuerte, filtrado MAC y DHCP deshabilitado.

La clave la suelo cambiar a menudo.

Muy bueno lo del AsusRT-N11, no lo conocía, esmuy útil lo de las zonas.

Anónimo dijo...

@SpamLoco: Muchas gracias! :)