Contacto
Mapa del sitio
IngresarSeguridad en Access Points
Si estás pensando en comprar o instalar un equipo inalámbrico, estas son algunas cuestiones de seguridad que deberías tomar en consideración.
Difusión de BSSID
El BSSID es un nombre que identifica a un equipo que ofrece el servicio de red inalámbrica, este es difundido a través de señales inalámbricas para que dispositivos móviles se conecten a éste.
Si la red que estas ofreciendo es para una red local privada, una opción es desactivar la difusión del BSSID, para que equipos sólo autorizados que conocen el BSSID se conecten a tu red.
Implicaciones: Los dispositivos inalámbricos cliente, deben de saber el nombre de la red(BSSID), ya que la primera vez que se conecten se les será solicitado este nombre.
Nota: Sujeto a compatibilidad de ciertos modelos, revisa si tu modelo lo soporta.
A continuación como ejemplo se muestra la configuración del modelo Linksys wap54g y el modelo Thomson.
En la página de administración del AP, en el apartado Wireless>Basic Wireless Settings, se puede deshabilitar la difusión del nombre de la red como se muestra en la imagen:
Configuración en el modelo Thomson TG582n:
Filtrado MAC
Sabías que..
Si compartes las credenciales de acceso del AP, podrían difundirse no sólo en tu comunidad y tu Access Point podría estar recibiendo más usuarios de los que soporta.
Una medida mas de seguridad configurable en ciertos modelos, es restringir el acceso sólo a ciertos equipos mediante el filtrado MAC.
MAC: Es la dirección física de tu tarjeta de red, que permite identificar tu equipo en la red.
¿Donde encontramos la dirección mac?
Se requiere abrir una terminal.
Para equipos Linux y Mac con el comando ifconfig
Ubicar la tarjeta física del equipo, en este caso se llama “en0”.
Para equipos windows con la terminal CMD, y el comando ipconfig.
Para más información de la dirección MAC consulte:
http://www.ccg.unam.mx/en/uati/node/1400
Implicaciones: Cada equipo autorizado a conectarse deberá ser configurado en el Access Point.
Nota: Sujeto a compatibilidad de ciertos modelos, revisa si tu modelo lo soporta.
A continuación como ejemplo se muestra la configuración del modelo Linksys wap54g.
Configuración en el modelo Thomson TG582n:
Configuraciones por Defecto
Sabías que..
La mayoría del éxito de intrusiones en los sistemas se debe a que al ofrecer un servicio, no se modifican las configuraciones que traen los dispositivos por defecto.
Algunas configuraciones por defecto que son aconsejables cambiar al poner un Access Point son:
Usuario: Nombre de usuario que está permitido a administrar el dispositivo.En algunos modelos por defecto es admin.
Contraseñas: Clave solicitada por el sistema para permitirle el acceso a este.En algunos modelos no vienen con contraseña o es encontrable mediante el modelo en los buscadores.
Tipo de Cifrado: Permite que la información que viaja entre tu dispositivo y el Access Point viaje cifrada.En algunos modelos el cifrado por defecto es WEP o sin cifrado.
Características Adicionales: Algunos modelos vienen con más características, que pudieran no ser utilizadas, un ejemplo de ello es el acceso al sistema mediante TELNET.
Ejemplo:
Realizando una búsqueda, se puede encontrar que el modelo lynksys wap54g, las credenciales de acceso por defecto son:
usuario:
contraseña:admin
Referencia: http://www.dahousecat.net/resetear-contrasena-y-acceder-al-panel-de-configuracion-del-linksys-wap54g/
Medidas a tomar:
Cambiar la clave de acceso al Panel de Administración en el del Access Point lynksys wap54g.
En el apartado Administration>Managment se puede cambiar la clave en el campo “Password”, en el siguiente campo se pide la confirmación de la clave.
Contraseñas Débiles
Sabías que..
Muchos de los ataques cibernéticos se logran efectuar con éxito debido a que existen cuentas que fueron creadas con contraseñas de patrones fáciles de adivinar.
admin hola admin123 mariana97 carlos
No seas parte del problema, se parte de la solución, configura tu access point con contraseñas robustas.
Para más información haz clic aqui: http://www.seguridad.unam.mx/usuario-casero/eduteca/main.dsc?id=185
Administración Restringida
Sabías que:
Algunos modelos de dispositivo Access Point puede ser administrados remotamente con alguno de los siguientes protocolos de red:
- Telnet: Puerto 21
- SSH: Puerto 22
- HTTP: Puerto 80, servicio web
Algunas medidas que deberías considerar:
- Cambiar nombre de defecto del Usuario.
- Modificar la contraseña por defecto por contraseñas robustas.
- Restringir el acceso de administración desde ciertos equipos.
- Deshabilitar Protocolos de administración que no se vayan a utilizar.
- Deshabilitar servicios no utilizados, DNS,DHCP.
Nota: Sujeto a compatibilidad de ciertos modelos, revisa si tu modelo lo soporta.
Cifrado
Sabías que...
En una red inalámbrica tu información viaja en forma de ondas desde y hacia el access point, y puede ser interceptada y leída por equipos en la misma red si no se ha configurado un protocolo de cifrado en el equipo Access Point.
A continuación se muestran algunos protocolos de cifrado posiblemente configurables en tu equipo Access Point.
WEP(Wired Equivalent Privacy): Es un protocolo de seguridad para redes inalámbricas,presenta varias vulnerabilidades entre las cuales se encuentra la reutilización del vector de inicialización (IV), que permiten a un atacante realizar ataques estadísticos para recuperar la clave y no se recomienda utilizar.
WPA(Wi-Fi Protected Access): Al igual que WEP hace uso de una clave precompartida, entre una de sus mejoras, es la implementación del Protocolo de Integridad de Clave Temporal (TKIP), el cual cambia las claves dinámicamente a medida que el sistema es utilizado, conjuntamente con el uso de un vector de inicialización (IV) mucho más grande, evitando ataques de recuperación de clave a los que es susceptible WEP.
WPA2(Wi-Fi Protected Access 2): Creado para corregir las vulnerabilidades detectadas en WPA.
Nota: Sujeto a compatibilidad de ciertos modelos, revisa si tu modelo lo soporta.
Para mas información consulta:
http://revista.seguridad.unam.mx/numero-11/crees-que-tu-red-inal%C3%A1mbrica-es-segura
http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf
http://www.telmex.com/web/hogar/tips-seguridad-wifi
Redes Abiertas
Son redes abiertas al público general sin ningún tipo de restricción ni algún protocolo de cifrado, son inseguras ya que la información viaja en texto claro(sin cifrar) si no se maneja algún protocolo de cifrado al navegar como HTTPS, por lo cual no se recomienda dejar un access point en modo red abierta.
Para más información consulta:
http://www.celtatechnology.com/index.php/blogs/78-red-wifi-abierta
Recomendaciones Generales para el uso de un AP en la Facultad:
Las siguientes son recomendaciones generales, que ayudan a evitar afectar a terceros usuarios de la red debido a malas configuraciones de Access Point.
¿Como conectar un AP en la Facultad de Ciencias?
Conexión Física de un Access Point:
Sabías que...
Algunos modelos de Access Point vienen con dos puertos de conexión, uno etiquetado como puerto LAN o Ethernet y otro como WAN o Internet.
¿Te has preguntado cual es el puerto correcto para conectarlo a la red?
A continuación describimos los puertos y la correcta instalación en la Facultad.
Puerto WAN
Este puerto es por lo general utilizado para añadir físicamente un equipo de red como el Access Point con un nodo de la organización el cual te ofrece el servicio de internet.
Para el caso de la Facultad, esta conexión se realiza del puerto WAN del Access Point hacia el nodo que la facultad te ha asignado para ofrecerte el servicio de internet comúnmente llamado “roseta”.
Puerto LAN
Los puertos restantes se utilizan para conectar equipos normales de cómputo al Access Point.
Un ejemplo se muestra en la siguiente imagen:
Conectándolo correctamente evitarás que se generen problemas de red en la facultad, afectandote a ti y/o a la comunidad.
Configuración del DHCP del Access Point en la Facultad de Ciencias
También se debe establecer correctamente el servidor de DHCP, que ofrezca el servicio solo en la LAN local del Access Point.
Notas Adicionales:
Existen diferentes modos de operación de un access point(Infraestructura, Bridge, Repetidor), dependiendo la forma en que lo configures puede que algún consejo no sea aplicable para ese modo. Los consejos arriba descritos fueron tomados en cuenta para un AP que trabaja en modo Infraestructura.
Para más información llame a la extensión 24961 o envíenos un correo a:
Facebook
Twitter
Youtube