Han publicado un paper muy interesante en Infosecwriters.
Se titula The Securities and Insecurities of Wireless Networks Today, y es un documento en el que se analizan los factores claves a la hora de obtener redes inalámbricas seguras.
El autor plantea estos retos de seguridad ejemplarizando el caso a través de la configuración de todo un clásico, un router / punto de acceso WiFi Linksys modelo WRT54G. En ese proceso de configuración se narran las acciones usuales para fortificar uan red inalámbrica, cambio de SSID, seguridad WPA, filtrado MAC ... es decir, lo habitual. Tambíen se comentan, a título introductorio, los orígenes de las redes WiFi.
Muy aconsejable para los poseedores de esta aparamenta de red Linksys, y en general, para cualquier usuario de redes WiFi con ganas de repasar lo básico.
Descarga del PDF
The Securities and Insecurities of Wireless Networks Today
Es una lástima que el documento se refiera exclusivamente al firmware que por defecto viene con los equipos Linksys. Yo esperaba encontrar alguna referencia a OpenWRT que es lo que utilizo en todos mis equipos Linksys.
Comentario Autor: Felipe Alfaro Solana — 30 Mayo 2006 @ 9:22 pm
Sergio,
Esto podría abrir un interesante debate sobre si las redes inalámbricas son más inseguras que las cableadas.
Me explico: dado que las redes inalámbricas se consideran inseguras por naturaleza, se presta más antención a la seguridad (no me refiero, desde luego, a entornos residenciales ni a empresas descuidadas).
Vayamos al caso de una empresa media, que tiene una red cableada convencional. Si voy con un portátil infectado de virus a una de sus salas de reuniones y lo conecto a una de sus tomas de red (quizá un SQL Slammer), ¿qué pasará? De acuerdo que he de estar en esa sala de reuniones, pero los visitantes y sus anfitriones tienen muchas ideas…
Por otro lado, propongo un caso a la inversa. Tenemos al típico “listillo” administrador de sistemas al que su compañía le proporciona un portátil con Wi-Fi. Este figurín, disfruta conectándose a redes inalámbricas no protegidas desde su coche, a la red inalámbrica del vecino, etc. Lo cuenta como una hazaña en la oficina.
El único problema es que, en su portátil, trabaja con una cuenta de administrador (recemos por que sea sólo local), utiliza Windows sin los últimos parches de seguridad (quizá ni siquiera XP SP2, aunque ni siquiera eso ayuda mucho). Además tiene compartidos dos o tres directorios con datos importantes, etc.
El tío se jacta de ser más listo que nadie (un Kevin Mitnick de bolsillo), pero a lo mejor es el cazador cazado (la red Wi-Fi, ¿es insegura por descuido o es una tela de araña?) Al día siguiente, va al trabajo con su portátil, lo conecta a la LAN cableada y…¡¡¡¡¡tachán!!! Infección al canto o, lo que es peor, bonito troyano.
Solamente son reflexiones, pero basadas en hechos que pudieron llegar a mayores y no llegaron. ¿Qué opinas?
Comentario Autor: Manu — 30 Mayo 2006 @ 10:57 pm
Felipe,
Si que es una lástima, sobre todo por ser ese Linksys el abanderado de la libertad firmware. Entiendo que el documento tenga poca utilidad para usuarios avanzados, como me consta eres tú, pero bueno, no está mal para el usuario más novel
Manu,
He leído infinidad de papers sobre seguridad WiFi. Blogs, foros, cursos. Pero la explicación más tangible de cómo está la seguridad WiFi la he visto en este blog.
Y no es mía la explicación. Echa un ojo y después si quieres hablamos del tema
Comentario Autor: Sergio Hernando — 1 Junio 2006 @ 4:30 pm
Sí, efectivamente la seguridad WiFi está como está, y estoy más o menos de acuerdo con lo dicho en los comentarios sobre “Redes WiFi seguras”. Sin embargo, la intención de mi post no era técnica, sino más bien de concepto.
Lo que puede hacer más insegura a un red cableada frente a una wifi es la autocomplacencia del administrador. Hablo de entornos empresariales. Dada la mala fama de las redes wifi, cualquier administrador medianamente profesional se tomará la seguridad en serio, y al menos hará un mini-análisis de riesgos, medidas técnicas para paliar vulnerabilidades, etc. Con una red cableada no suele ser éste el caso: se da por segura sin más.
Los dos ejemplos que propuse en mi anterior post ilustran que el perímetro de la red interna es cada día más difuso. Personal con portátiles, acceso de visitantes que pueden conectar vete a saber qué a una toma de red cableada…Esto por no mencionar qué nos entra por los navegadores, los clientes de correo electrónico, etc. (pero eso es otra historia).
Esa desintegración del perímetro de la red interna, exige, en mi opinión, un cambio de planteamiento. Ya no se trata del perímetro duro y la red interna blandita y con pocas medidas de seguridad. La red interna debe auto-defenderse (no digo nada original con esto y me acerco peligrosamente a la publicidad de una cierta multinacional; soy consciente de ello, pero realmente el concepto que proponen es acertado, desde mi punto de vista).
En ese sentido, creo que se tiende más a ese enfoque en las redes wifi que en las cableadas, precisamente por la consciencia del riesgo. En las redes cableadas casi siempre se da por sentado que nada puede pasar, pero la verdad es que pasan cosas.
Pongámonos en lo peor: imaginaos que alguien llega y te conecta un punto de acceso inalámbrico en una toma de red cableada. Lo peor de los dos mundos, vaya. Si solamente se administra una red con usuarios de a pie, no es probable. Pero si hay varios departamentos de informática enganchados… Es adrelanina pura…
Comentario Autor: Manu — 1 Junio 2006 @ 9:37 pm
Manu,
Perdona por no haber captado la idea de tu mensaje. Mis disculpas. Te comento lo que opino sobre lo que has escrito
1. La autocomplacencia a la que haces referencia también se complementa (negativamente, claro) con el desconocimiento. Muchos administradores y usuarios dan por sentado que un cifrado WEP ya vale para estar tranquilos. Y eso los que intentan asegurar las redes, claro, todos sabemos que el porcentaje de redes abiertas sin deseo de que estén abiertas es muy elevado
2. Las redes internas son, al menos para mí, la fuente principal de incidentes de seguridad, precisamente por lo que citas: son difusas, mucho dispositivo móvil, mucha ausencia de políticas de seguridad, terminales en los que cualquiera se sienta y hace lo que quiere, etc. Y es que el enemigo puede estar dentro. Los ataques externos son también importantes, pero siempre están limitados a un sistema o una aplicación y un estado de vulnerabilidad determinado. En redes internas el abanico se abre hasta puntos insospechados.
3. Sigo confiando en las DMZs bien administradas. Si el perímetro es seguro e internamente hay control y gestión, no tiene por que haber problemas. Los problemas sólo acontecen cuando no hay gestión de la seguridad. Yo tengo este terminal absolutamente desmilitarizado, sin antivirus, sin firewall, sin antispyware, nada, absolutamente nada. Confío mi protección a la capa de defensa externa, donde sí que tengo esas medidas de salvaguarda. Y sin problema, oiga
4. Yo creo que las WiFis se están popularizando exclusivamente por que representan la independencia del cable. Te hablo de instalaciones en general, obviamente no de instalaciones hechas por profesionales, que sí que tienden no sólo a eliminar cable, sino a fortificar.
5. El caso que narras es de lo más frecuente. He visto multitud de casos en los que por exigencias de los empleados y la directiva, se han conectado puntos de acceso a la red sin tener en cuenta la seguridad, proporcionando acceso libre e ilimitado a la red de la oficina desde el edificio de enfrente. Si a esta vía de entrada le añades una configuración de red local deficitaria, más de un Lotus Notes, más de un CRM y más de un ERP se pueden manipular a diestro y siniestro sentado cómodamente en un banco de la calle.
6. En general, creo que la seguridad WiFi es deficitaria, pero no por la tecnología, que brinda capacidad suficiente para amortiguar la gran mayoría de los ataques, sino por que la adminsitración WiFi entraña cierta complejidad para los usuarios de a pie y esto hace que confíen demasiado en “bah, no pasa nada”. Conozco muy pocos casos donde las redes WiFi tengan las medidas básicas de seguridad: un cifrado decente, ocultación del punto de acceso y filtrado MAC. Algo que seguro que tú despliegas en 5 minutos es un mundo para muchos
Salu2.
Comentario Autor: Sergio Hernando — 1 Junio 2006 @ 11:50 pm
Una vez más, “hombre blanco hablar con lengua sabia”.
Respecto del desconocimiento, tienes razón. Me imagino que en tu trabajo te encontrarás numerosos directores de IT que son meros gestores, es decir, gente que en su día tuvo alguna especialización técnica (desarrollo de aplicaciones es la más típica), fueron ascendiendo y ahora dirigen toda una infraestructura. En empresas de mediano tamaño, esta gente suele adolecer del mal del sargento veterano (”¿qué me vas a decir a mí, que llevo quince años en esto?”).
En fin, ese sería otro debate: el director de IT, ¿debe saber de todo? Yo diría que, al menos, debe tener el sentido común de saber dejarse aconsejar por profesionales competentes, y saber quién puede ayudarle y quién le está vendiendo una moto.
Pero en esto no quiero “provocarte”, porque seguro que te arrancas y no paras.
Salu2.
Comentario Autor: Manu — 2 Junio 2006 @ 8:36 pm
Manu,
Efectivamente, me arranco y no paro
La pregunta sobre si el Director de TI debe saber de todo o no, yo soy de la opinión que obviamente, cuanto más sepa el Director de TI mejor para la organización, de eso no cabe duda.
Reunir en una misma persona capacitación técnica y de gestión es algo sumamente interesante, evidentemente. Pero si no es el caso, el Director de TI debe saber digirir y gestionar la seguridad y las tecnologías de la información. Ese es su rol. La capacitación técnica la debe suplir confiando y delegando en jefes técnicos o repsonsables técnicos, que para eso están.
Un buen Director de TI es para mí aquel que sabe gestionar adecuadamente las TI y que sabe rodearse de quien le puede suplir las carencias técnicas. No puedo estar más de acuerdo contigo: saber dejarse aconsejar por profesionales competentes, no sólo en lo técnico, sino en todo lo que tenga lo más mínimo que ver con la gestión TI: asuntos legales, asuntos gerenciales, estrategia, etc.
Saludos,
Comentario Autor: Sergio Hernando — 4 Junio 2006 @ 5:15 pm
hola a todos.
mi pregunta es la siguiente. como hago para captar señales wifi con mi router wrt54g v.1.00.06.
porque tengo un router a 6 cuadras de casa( de un primo) que me brinda acceso con un dlink. un amigo tiene una placa de red inhalambrica y la capta, y yo con el router no puedo.
poque sera?
como lo puedo configurar? ayadenmennnnnnnnnnnnnn.
gracias
Comentario Autor: dario — 2 Septiembre 2006 @ 6:05 pm
Considero que está muy bueno tu tema de la seguridad wireless, ya la implemente y funciona muy bien… pero te quisiera consultar como puedo hacer lo mismo que la wireless de permitir solo a las direcciones mac agregadas que se le permita acceso a Internet peor ahora por medio de cable, tú me podría ayudar Tengo un Wrt54g v5.
Comentario Autor: emenendez — 18 Enero 2007 @ 3:10 am
Es sencillo dario. Solo tienes que aumentar la capacidad de transmision del ap. Para eso tienes que configurarlo. Te vas a la opcion wireless y luego te vas a la otra opcion de que dice advance. Alli te aparecera la opcion de aunmetar la capacidad de transmision. Pues el limite es 84mW. Pero te recomiendo que lo pongas en 75mW para que asi no se caliente mucho el ap.
Comentario Autor: Samil Daniel — 22 Enero 2007 @ 8:47 pm
Fernando:
Espero y poder encontrar aqui una solucion al problema que me atormenta en relacion a 5 PA y un Router Linksys.
Mi proveedor no ha podido sacarme de la duda y estoy padeciendo con la instalacion de los equipos antes mencionados, todos ellos cuentan con el firm original de fabrica, estan ubicados en la parte alta de 5 bodegas en sus respctivas cajas NEMA, pigtail y una antena omni y 4 direccionales (1 por equipo) y la omni conectada en la parte central con el router. he aqui el problema la red esta muy inestable a pesar del uso de las antenas (todas de la marca Hyperlink) y una de ellas incluso pasa varias horas sin tener conexion. utilice una configuracion tipica de Acces como Cliente colgandolos del Router, ya verifique mil veces todo sin lograr que la red este estable. Ojala y alguien me facilitara algun tip para solucionar esto.
Gracias Mil.
Comentario Autor: LNX — 27 Enero 2007 @ 1:43 am
Alguien me puede ayudar?
Yo tengo mi router WRT54G con el firmware de fabrica, mi gran duda y seguro algo sencillo para uds es lo siguiente:
El router linksys es el que se conecta a una conexion DSL por cable, lo que quiero es extender un poco la señal, tengo otro router muy sencillo (advantek networks) y no se cómo configurarlo para captar la señal, me da 3 opciones: ap, bridge y repetidor, que es lo que tendria que hacer?
El linksys que se conecta a internet esta en modo AP y tiene la IP 192.168.1.1, tendria que configurar el advantek en una IP 192.168.2.1 por ejemplo? en que modo? (ap, bridge y repetidor); tengo que configurar algo del linksys para poder enviar la señal al otro ruteador? y… una pregunta tonta jeje: voy a enviar la señal inalambricamente de ruteador a ruteador y luego colgarme con mi PC o tiene que ser por cable del linksys al advantek, y ya luego me cuelgo inalambricamente del advantek?
Son varias dudad jeje, espero que me ayuden, es muy interesante este foro.
Gracias de antemano.
Comentario Autor: Wilberth Ku — 10 Junio 2007 @ 2:45 am
hola a todos disculpen mi ignorancia amigos(as) quisiera saber como configurar el linksys pero queriendole o mejor dicho dandole la puerta de enlace ya que tengo 3 maquinas que se conectan a otro rauter para que les asigne una IP de un sistema nacional.
explicacion:
-modem (Internet)
- rauter (empresa) que asigna las direcciones IP
- Linksys el que imparte la Wi-Fi
lo e intentado casi Todo ok espero su valiosa colaboracion gracias de antemano.
Comentario Autor: el loco — 25 Marzo 2008 @ 3:48 am
TENGO UNA ANTENA QUE TIENE UN ALCANCE MAXIMO DE 8.5KM UN PIGTAIL DE 3 MTS UN ROUTER LINKSYS WRT54GL Y EL dd-wrt.v24 (MINI Y STD) GENERICO ESTOY EN ALTURAS A 5 MIN DEL CERRO Y EN BAJADA A UNOS 3 KM APROX. LOGRO VER UNA VENCINERA CON INTERNET WIFI GRATIS DESDE EL TECHO DE MI CASA USANDO UN TELESCOPIO SE VE NITIDO ¿SERA POSIBLE CONECTARSE COMO CLIENTE USANDO TODO LO MENCIONADO?, ¿NECESITARE ALGUN BOOSTER PARA LLEGAR A ELLO?
AGRADECERIA SOLUCION Y APOLLO YA QUE SOY NUEVO EN ESTO
Comentario Autor: Fernando Escobar — 3 Julio 2008 @ 4:26 am