Aquí están las reglas básicas para la protección de una red inalámbrica.
– tengan siempre presente que una red inalámbrica es por su misma naturaleza siempre posible de interceptar y vulnerable. Las ondas de radio irradiadas por sus antenas se difunden en el éter y pueden llegar a cualquier lugar, incluso donde no quisiéramos. Nunca se sientan 100% seguros, no está dicho que un sistema de seguridad considerado inexpugnable hoy no pueda ser vulnerado mañana. – apaguen el ADSL Wireless Router o el Access Point cuando no se utilice: independientemente de que esté protegido o no, evitarán dejarlo a merced de personas malintencionadas incluso cuando no lo estén usando. Algunos dispositivos, lamentablemente no todos, además tienen la posibilidad de limitar la conexión por franjas horarias, por lo que podrían restringir el acceso solamente durante el horario laboral. Además, en muchos Access Point es posible configurar la potencia de transmisión. Redúzcanla al mínimo posible, limitando así al indispensable el campo de acción. Si logran bajar la potencia sin penalizar el rendimiento de la red inalámbrica, evitarán conexiones abusivas adicionales. – desactiven el broadcast del SSID: de esta forma evitarán conexiones ocasionales por parte de alguien que se encuentre dentro del rango de acción de su red. Naturalmente, sus clientes deberán haber configurado y guardado previamente una conexión predeterminada con el nombre (es decir, el SSID) del Access Point, de lo contrario ni siquiera ellos podrán conectarse. – cambien la contraseña de acceso al panel administrativo de su Access Point. Muchos dispositivos nuevos tienen una contraseña por defecto conocida por varias herramientas de ataque, o incluso desactivada. Esto para evitar el acceso al panel administrativo por parte de posibles intrusos. – activen el filtro sobre las direcciones MAC de las tarjetas inalámbricas que se conectan, pues cada tarjeta inalámbrica añade a los paquetes transmitidos en el éter un código único identificativo de la tarjeta misma, que es detectado por el access point y puede ser tratado para conceder o negar la conexión a los distintos clientes. Pero cuidado, no se consideren seguros una vez configurada esta lista, ya que la dirección MAC, con algunos conocimientos informáticos, puede ser fácilmente falsificada, por lo cual un eventual intruso podría infiltrarse en su red simplemente haciéndose pasar por otra identidad y tener acceso al sistema. – desactiven el servidor DHCP del Access Point (o Wireless Router) y cambien la dirección IP por defecto del dispositivo, de hecho, cambien la numeración de toda la red local si pueden, y en las configuraciones de red de los PC que deben conectarse ingresarán los datos manualmente, pues el servidor DHCP es el mecanismo que permite asignar automáticamente las IPs a todos los ordenadores que se conectan. El sistema es muy cómodo para ustedes, pero también para quien desea conectarse ilícitamente. En cuanto a la configuración de IPs estáticas en toda la red local, usen direcciones del tipo 10.0.0.0 y máscara de subred 255.0.0.0, para hacer más difícil posible la búsqueda de las IP correctas. – instalen un firewall hardware que permita, entre otras funciones, realizar un control granular de todo lo que pasa en la red, y ser eventualmente avisados por email a través de una serie de alertas (por ejemplo el Zyxel ZyWALL 5 UTM, pero hay muchos otros). Si disponen de poco dinero para gastar y un PC viejo para recuperar, podrían instalar una distribución de Linux hecha especialmente para crear un firewall de gran potencia. Existen dos distribuciones que puedo recomendarles, una se llama IPCOP (disponible en www.ipcop.org), y la otra se llama Endian Firewall (disponible en www.efw.it). Una vez instalado y configurado según sus necesidades uno de estos dos sistemas operativos, habrán convertido el PC en un firewall potente y versátil. Entre las dos distribuciones, Endian Firewall, a pesar de ser un software gratuito, es soportado comercialmente por la empresa productora (que además está en la provincia de Bolzano) y ofrece soporte profesional al producto. – activen los sistemas de transmisión criptográfica. Los sistemas disponibles actualmente son WEP, WPA y WPA2. Estos sistemas se basan en claves compartidas configuradas tanto en el Access Point (y naturalmente también en el Wireless Router) como en el PC cliente. Eviten cuidadosamente el WEP (Wired Equivalent Protocol), es el sistema más antiguo y ya ha sido vulnerado. El WPA (Wi-Fi Protected Access) es un protocolo transitorio, introducido para limitar las fallas del anterior, se basa en un subconjunto de las especificaciones 802.11i y comparte con el WEP el algoritmo de cifrado RC4. Para uso doméstico o de pequeñas oficinas se implementa el WPA-PSK. A recomendar, siempre que todos los dispositivos de la red lo soporten, es WPA2. Es cronológicamente el más reciente, desarrollado específicamente para proporcionar una capa de seguridad a las comunicaciones basadas en el estándar 802.11, y utiliza como algoritmo criptográfico AES, que significa Estándar Avanzado de Cifrado. Recuerden siempre configurar la clave de cifrado más larga y complicada posible, sin excluir caracteres especiales y particulares.
Pubblicato in Herramientas digitales
Sé el primero en comentar