Como complemento al post con titulo "Buenas Prácticas de Seguridad en Redes Inalámbricas" presentamos otra lista de recomendaciones generada de la lista base de una publicación de tuxero.com de cómo hacer una red WiFi más Segura:
En el AP
- Cambiar el SSID por defecto. No conviene dejar aquellos que vienen de fábrica (ej: Linksys, 3COM, etc.)
- Cambiar la contraseña del AP. Es relativamente fácil determinar el modelo del AP, y de ahí saber cuál es la contraseña del administrador por defecto.
- Desactivar el broadcasting del SSID. Esto no agrega mucha seguridad, pero desalienta al 'hacker casual'.
- Usar WPA o WPA2 con esto aumenta la complejidad y el tiempo que toma a un atacante romper la llave. [WEP es vulnerable, de todas maneras, si no se cuenta con WPA o WPA2 (en la actualidad hay dispositivos que no los soportan), WEP es mejor que nada]
- Filtrar por MAC Address. Con esta configuración solamente las direcciones autorizadas pueden asociarse al access point [si bien puede cambiarse la MAC de una placa de red, esto es más complicado para el común de la gente]. En redes wireless de acceso público esto no funciona porque representa una carga administrativa considerable.
- Desactivar DHCP. A menos que no sea posible, utilizar direcciones de IP fijas en la red.
- Limitar el número máximo de IPs en el DHCP. Esto limitaría la cantidad de dispositivos que se conectan a la red (de todas maneras más dispositivos pueden agregarse con IPs fijas).
- Apagar el AP cuando no esté en uso. Esto no siempre es posible. Para redes hogareñas, esta opción es buena, siempre y cuando uno no deje la estación de trabajo prendida para acceder a ella desde internet.
- Cambiar las claves regularmente. Con el tiempo las claves pueden ser obtenidas. Cambiarlas regularmente es una buena práctica.
- Limitar la potencia del AP. Esto es bastante efectivo, siempre es conveniente bajar la potencia al mínimo posible (verificando que el dispositivo más alejado pueda conectarse correctamente). Esto baja las posibilidades de conexión de dispositivos distantes (por ejemplo que estén en la calle).
- Ubicar el AP adecuadamente. Conviene dejar el AP en el centro de la residencia, lejos de las ventanas y paredes exteriores (ver punto anterior).
- Usar contraseñas seguras. Conviene usar palabras clave que mezclen letras (mayúsculas y minúsculas), números y signos. Si fuera posible, utilizar contraseñas enteramente aleatorias en hexadecimal.
- Deshabilitar administración remota en el AP. Esto previene que alguien desde fuera de la red gane acceso al AP.
- Activar el Firewall en el AP.
- Cambiar el SSID por defecto. No conviene dejar aquellos que vienen de fábrica (ej: Linksys, 3COM, etc.)
- Cambiar la contraseña del AP. Es relativamente fácil determinar el modelo del AP, y de ahí saber cuál es la contraseña del administrador por defecto.
- Desactivar el broadcasting del SSID. Esto no agrega mucha seguridad, pero desalienta al 'hacker casual'.
- Usar WPA o WPA2 con esto aumenta la complejidad y el tiempo que toma a un atacante romper la llave. [WEP es vulnerable, de todas maneras, si no se cuenta con WPA o WPA2 (en la actualidad hay dispositivos que no los soportan), WEP es mejor que nada]
- Filtrar por MAC Address. Con esta configuración solamente las direcciones autorizadas pueden asociarse al access point [si bien puede cambiarse la MAC de una placa de red, esto es más complicado para el común de la gente]. En redes wireless de acceso público esto no funciona porque representa una carga administrativa considerable.
- Desactivar DHCP. A menos que no sea posible, utilizar direcciones de IP fijas en la red.
- Limitar el número máximo de IPs en el DHCP. Esto limitaría la cantidad de dispositivos que se conectan a la red (de todas maneras más dispositivos pueden agregarse con IPs fijas).
- Apagar el AP cuando no esté en uso. Esto no siempre es posible. Para redes hogareñas, esta opción es buena, siempre y cuando uno no deje la estación de trabajo prendida para acceder a ella desde internet.
- Cambiar las claves regularmente. Con el tiempo las claves pueden ser obtenidas. Cambiarlas regularmente es una buena práctica.
- Limitar la potencia del AP. Esto es bastante efectivo, siempre es conveniente bajar la potencia al mínimo posible (verificando que el dispositivo más alejado pueda conectarse correctamente). Esto baja las posibilidades de conexión de dispositivos distantes (por ejemplo que estén en la calle).
- Ubicar el AP adecuadamente. Conviene dejar el AP en el centro de la residencia, lejos de las ventanas y paredes exteriores (ver punto anterior).
- Usar contraseñas seguras. Conviene usar palabras clave que mezclen letras (mayúsculas y minúsculas), números y signos. Si fuera posible, utilizar contraseñas enteramente aleatorias en hexadecimal.
- Deshabilitar administración remota en el AP. Esto previene que alguien desde fuera de la red gane acceso al AP.
- Activar el Firewall en el AP.
- Implementar portales cautivos de acceso. Este método funciona muy bien en redes publicas, como hoteles y universidades donde los usuarios son cambiantes, y en organizaciones donde se desea que el acceso siga al usuario, y no este atado a un equipo. La desventaja de este método es que requiere de mayor inversión en infraestructura, sin embargo, cuando la seguridad importa el presupuesto no escasea. Mediante el uso de portales se vuelve opcional el uso de encriptación WAP, aunque si no se utiliza la transferencia de datos es susceptible de interferencias.
- Implementar VPNs sobre el aire. Con esta solución se evita la posibilidad de interferencia en el flujo de datos. Esta es la opción que ofrece el mayor nivel de protección, ya que además de la encriptación WAP (opcional), los datos van dentro de un túnel. La desventaja de esta alternativa es que requiere su costo, que la configuración es un poco mas compleja y el rendimiento en la transferencia de datos es inferior.
En la estación de trabajo
- Verificar quién instaló el AP. Existen APs que están para captar el tráfico de red de las estaciones de trabajo. Debe verificar que sea un AP legítimo.
- Navegando por internet no ingresar contraseñas o información sensible en páginas no seguras. Antes de ingresar números de tarjetas de crédito, contraseñas bancarias o de correo electrónico, verificar que la dirección del sitio que visita empiece con 'https://'.
- No tener carpetas compartidas públicas. Esto es un error bastante común: dejar carpetas compartidas mientras uno se conecta a una red inalámbrica (pública).
- Verificar tener un firewall activo. Cuando uno se conecta en redes WiFi públicas está expuesto al ataque de otras estaciones de trabajo dentro de la red.
- Apagar la placa de red inalámbrica cuando no esté en uso. Más allá del obvio ahorro de energía, un atacante podría crear una red ad-hoc con la placa de red activa.
- Utilizar una VPN. Si uno cuenta con una VPN (generalmente disponible en entornos corporativos), esto hace más segura la conexión de la estación de trabajo.
- Verificar quién instaló el AP. Existen APs que están para captar el tráfico de red de las estaciones de trabajo. Debe verificar que sea un AP legítimo.
- Navegando por internet no ingresar contraseñas o información sensible en páginas no seguras. Antes de ingresar números de tarjetas de crédito, contraseñas bancarias o de correo electrónico, verificar que la dirección del sitio que visita empiece con 'https://'.
- No tener carpetas compartidas públicas. Esto es un error bastante común: dejar carpetas compartidas mientras uno se conecta a una red inalámbrica (pública).
- Verificar tener un firewall activo. Cuando uno se conecta en redes WiFi públicas está expuesto al ataque de otras estaciones de trabajo dentro de la red.
- Apagar la placa de red inalámbrica cuando no esté en uso. Más allá del obvio ahorro de energía, un atacante podría crear una red ad-hoc con la placa de red activa.
- Utilizar una VPN. Si uno cuenta con una VPN (generalmente disponible en entornos corporativos), esto hace más segura la conexión de la estación de trabajo.
Link relacionados
No hay comentarios:
Publicar un comentario