it-swarm-es.com

¿Cómo asegurar una red WiFi?

¿Qué debo hacer para asegurar una red WiFi? ¿Hay alguna mejor práctica?

Me recomendaron usar el cifrado WPA2 en el enrutador, ¿es eso suficiente? ¿Qué puedo hacer para mejorar aún más la seguridad? ¿Se recomienda permitir solo direcciones MAC específicas, o no es necesario?

He escuchado que si alguien más configura una red WiFi con el mismo SSID y una potencia de señal más fuerte, mi computadora se conectará a esa red en lugar de la mía. ¿Qué puedo hacer para protegerme de eso?

29
Jonas
  • Supongo que cuando dices WPA2 te refieres a WPA2-Personal. Es lo suficientemente bueno en la mayoría de los casos en este momento, siempre que se combine con una contraseña realmente buena. https://www.grc.com/passwords.htm es un buen generador para ellos.
  • Desactiva la configuración protegida de Wi-Fi (WPS). De lo contrario, un atacante solo necesita romper un dígito de 8 dígitos PIN - y eso es perfectamente factible.
  • Encubra su SSID. No detendrá a un atacante determinado, pero detendrá algunos de los guiones infantiles como atacantes.
  • Solo permitir direcciones MAC específicas puede ser un buen paso para administrar el acceso de los usuarios. Pero, una vez más, realmente no disminuirá la velocidad de un atacante determinado, ya que de todos modos pueden ver qué direcciones MAC están conectadas actualmente a la tecnología inalámbrica en texto plano.
  • Si es posible, una buena táctica para reducir la posibilidad de que su WiFi sea atacado es posicionar bien su punto de acceso inalámbrico para que la cantidad mínima de señal se transmita fuera de su edificio. De esa forma, el atacante debe estar más cerca para comenzar el ataque a menos que haya mejorado las antenas inalámbricas para tomar desde millas de distancia.

Sí, las personas pueden transmitir una señal más fuerte para intentar que te conectes a ellas en lugar de tu punto de acceso deseado real usando herramientas como Karma . No conozco ninguna forma específica de protección contra esto, excepto para no permitir asociaciones automáticas cada vez que desee conectarse a la red inalámbrica, debe hacerlo manualmente y verificar que se está conectando al punto de acceso correcto.

17
Mark Davidson

Depende de la red/entorno. Para redes inalámbricas SOHO WPA 2) Personal con una contraseña fuerte utilizada para el PSK debería ser suficiente.

Para redes empresariales o redes que manejan información confidencial, se deben utilizar los siguientes controles:

  • WPA 2 Enterprise vinculado a IEEE 802.1X/EAP
  • Red inalámbrica segregada de la red interna
  • WIPS y monitoreo de registros en el lugar para detectar/prevenir ataques locales
  • Los clientes inalámbricos que necesitan acceso interno deberían tener que conectarse a través de VPN
  • Limite la cobertura a lo que sea absolutamente necesario a través de controles físicos y/o manipulación de la intensidad de la señal.
11
sdanelson

Estoy de acuerdo con todos los puntos mencionados hasta ahora, y como Mark Davidson y sdanelson han mencionado la cobertura de radio, solo quería ampliar ligeramente esto, ya que hay un par de áreas:

Intensidad de la señal - generalmente desea utilizar la intensidad de señal mínima posible en un área en particular, por lo que un atacante fuera de su lado no puede obtener acceso, pero esto puede dejarlo abierto a un ataque Evil Twin si un punto de acceso malicioso copia su SSID y utiliza una señal mucho más alta.

Una solución es pensar en sus rutas de propagación : ubicar sus puntos de acceso alrededor del exterior de su sitio con antenas configuradas para ser direccionales en su sitio ayudará a mucho, ya que puede aumentar la intensidad de la señal del punto de acceso (por lo que se ve más fuerte para los clientes) sin propagar su señal tan lejos del lado.

Una solución más simple pero más efectiva que he visto (que puede ser exagerado para usted, lo he visto usado en un establecimiento muy sensible) son las paredes revestidas de metal y el techo con malla en las ventanas. cero RF fuga!

La seguridad a través de la oscuridad, en este caso ocultar balizas SSID, le da una falsa sensación de seguridad. Su punto de acceso seguirá transmitiendo SSID, pero no en los marcos de baliza. Muchos usuarios comunes aún podrán conectarse ya que los controladores para muchas plataformas aún identificarán el SSID, y todos los atacantes podrán encontrarlo como lo harían normalmente: pruebe cualquiera de las herramientas en Russix LiveCD y funcionarán bastante felices con la transmisión SSID deshabilitada.

10
Rory Alsop

Solo para tirar esto aquí.

El mejor modelo de seguridad "inalámbrico" es reemplazar esos enrutadores inalámbricos con cableado CAT-5 regular.

El siguiente mejor elemento es garantizar que todo el tráfico entre las máquinas esté asegurado usando kerberos además del cifrado proporcionado por el enrutador inalámbrico. Esto se puede hacer con la configuración de la directiva de grupo en dominios de Windows.

Hagas lo que hagas, no confíes de forma nativa en ninguna máquina que pueda autenticarse contra tu enrutador.

4
NotMe

Suponiendo que este es un enrutador inalámbrico para un hogar o una pequeña empresa, tendría que recomendar lo siguiente:

  • Como regla general, cambie todo lo predeterminado en el enrutador, incluidos, entre otros, el SSID y la interfaz web.

  • Debe usar WPA2 solo con cifrado AES y una clave segura con contraseña alfanumérica que contenga más de 8 caracteres. No necesita una contraseña de 63 caracteres para proteger su red doméstica.

  • Use el Filtrado inalámbrico de Mac para permitir que los dispositivos inalámbricos permitidos se conecten a la red. Esta información se conoce como la dirección física o la dirección MAC y se puede encontrar en una máquina Windows escribiendo ipconfig/all desde el símbolo del sistema.

  • Si su enrutador inalámbrico lo admite, debe limitar su alcance dentro de los límites de su propiedad para reducir el área en la que un hacker podría ubicarse.

  • Por último, ocultar el SSID no hará nada para proteger su red y, de hecho, la hará más susceptible a los ataques. Además, cualquier persona que sea capaz de descifrar una contraseña WPA2 segura no será disuadida por un SSID oculto. Para obtener más información sobre esto, consulte el siguiente artículo: http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more- seguro /

3

La buena defensa está en capas, por lo que no habrá una guía para gobernarlos a todos. Para la conexión inalámbrica en particular, puede consultar las guías de implementación de DISA. Deberá incluir otras tecnologías para la autenticación de puntos, etc., pero este es un buen comienzo.

http://iase.disa.mil/stigs/content_pages/wireless_security.html

O bien, puede ejecutar una caída y eliminar un lote de estos problemas.

2
pboin

Si está dispuesto a ejecutar su propio software AP (lo que probablemente significará hostapd), puede configurar EAP basado en contraseña.

Luego puede tener una contraseña por MAC que conozca, y una contraseña predeterminada que rota con frecuencia de lo contrario. Personalmente, creo que es una alternativa razonable al filtrado MAC, pero podría implementar ambos.

No es tan fuerte como un enfoque en capas adecuado, pero para SOHO y los ligeramente preocupados, razonables (utilicé un Pi3 para esto).

Definitivamente recomendaría hacer que una VPN sea obligatoria para cualquier cosa importante (es decir, algo más que navegar por sitios web públicos) si eso es una preocupación.

0
iwaseatenbyagrue