Pequeño tutorial para poder personalizar el nivel de seguridad en nuestra wireless net. Como bien dice el manual, el propósito es asegurar correctamente un punto de acceso para cortar el paso desde el exterior a nuestra red a personas que no tienen el permiso de entrada.

El texto ha sido extraído de un PDF que se encuentra en el blog de comprawifi.com.

Una red wireless es por definición más difícil de proteger que una red convencional entre otras cosas porque el medio es el aire y así como en una LAN tenemos unas tomas de red determinadas y controladas, en principio, en una WLAN se puede acceder desde cualquier punto que permita la antena.
A pesar de esto siempre se pueden establecer una serie de medidas básicas pero efectivas no en el 100% de los casos pero se impide el acceso a la gran mayoría de los intrusos. Para establecer este nivel básico de seguridad podemos realizar los siguientes pasos:

1. Colocación de la Antena

El primer paso para cerrar el acceso no autorizado a nuestro punto de acceso es colocar la antena de este de manera que limite el alcance de la antena a nuestra área de trabajo. Nunca hay que colocar una antena cerca de una ventana ya que el cristal no bloquea la señal. Un esquema ideal seria colocar la antena en el centro del área dejando que sólo una leve señal escape a través de los muros o ventanas de la oficina o lugar de trabajo. Si es imposible controlar este factor todavía se pueden tomar otras medidas de
seguridad adicionales.

2. Usar WEP

Wired Equivalent Privacy (WEP) es una encriptación estándar utilizada para cifrar el tráfico a través de una red inalámbrica. A pesar de no ser una encriptación muy potente (es facilmente ‘hackeable’), es suficiente para para a los intrusos casuales que pudieramos tener en nuestra red.
Lo normal es que los equipos soporten 64 y 128 bits de cifrado, aunque hay marcas que tienen cifrados de 152, 256 y hasta 512 bits, haciendo aún más difícil de romper la seguridad de la red.

3. Cambiar el SSID y deshabilitar su Broadcast

El Service Set Identifier (SSID) es la cadena de identificación usada por los clientes de un access point para ser capaces de iniciar una conexión. Este identificador viene predefinido por el fabricante y cada uno viene con una cadena por defecto, por ejemplo los 3Com vienen con “101”, DLINK con
“Default” y Buffalo con la MAC del equipo.
Los intrusos que conozcan estas cadenas por defecto pueden acceder con relativa facilidad a una WLAN y hacer un uso de ella, generalmente algo no muy bueno.
Por cada punto de acceso que instalemos se debe seleccionar un SSID complicado y suprimir el envío por Broadcast de este id a través de nuestra antena.

4. Deshabilitar el servicio DHCP

En un principio puede parecer extraño pero en una WLAN es más importante de lo que parece. Mediante este paso un intruso puede descifrar nuestra dirección IP, mascara de subred, y otros parámetros TCP/IP relevantes y con los cuales podria obtener acceso a nuestra WLAN.

5. Deshabilitar o modificar la configuración SNMP

Si nuestro access point soporta SNMP deberemos deshabilitar o cambiar tanto la cadena privada como la pública (Public and Private Community String).
Un intruso podria obtener información relevante sobre nuestra red mediante este servicio.

6. Usar listas de control de acceso

Para un control más efectivo de nuestra red es interesante el uso de ACL o listas de control de acceso. Esta es una opción que no todos los access point ofrecen por lo que deberemos de tenerla en cuenta a la hora de comprar el punto de acceso.

7. Utilizar VPN’s

Es una de las mejores maneras de mantenerse a salvo, ya que las comunicaciones cifradas por medio de una VPN son algo muy difícil de romper, y más aún cuanto más alto sea el cifrado. Podrá ver algunos
equipos que permiten montar túneles VPN en este enlace.

8. Usar servidores de Autenticación

Los servidores RADIUS son una opción ideal, permiten dar de alta usuarios y controlarlos individualmente permitiendo, según el servidor, controlar aspectos avanzados como: consumo de ancho de banda por usuario, restringir horas de acceso, y una serie de controles avanzados que pueden resultar de extrema utilidad.

9. Usar WPA

WPA es la versión mejorada de WEP. Su nivel de seguridad es mucho más alto. Para WPA, se requiere el cifrado con el protocolo TKIP. El protocolo TKIP sustituye a WEP con un algoritmo de cifrado nuevo más seguro que el algoritmo de WEP que, sin embargo, utiliza las utilidades de cálculo de los dispositivos inalámbricos existentes para realizar las operaciones de cifrado.

10. Actualizar los firmwares

También es recomendable mantener actualizado el firmware de los puntos de acceso y el software de los dispositivos clientes: muchas veces el fabricante incorpora nuevos métodos de seguridad o simplemente arregla problemas en sus anteriores versiones.