¿Cómo asegurar una red WiFi?

Navega tus respuestas
29

¿Qué debo hacer para proteger una red WiFi? ¿Hay alguna práctica óptima?

Se me recomendó usar el cifrado WPA2 en el enrutador, ¿es eso suficiente? ¿Qué puedo hacer para mejorar aún más la seguridad? ¿Se recomienda solo permitir direcciones MAC específicas o no es necesario?

He escuchado que si alguien más configura una red WiFi con el mismo SSID y una potencia de señal más fuerte, mi computadora se conectará a esa red en lugar de la mía. ¿Qué puedo hacer para protegerme contra eso?

    
pregunta Jonas 23.11.2010 - 22:45
fuente

7 respuestas

17
  • Lo tomo cuando dices WPA2 que quieres decir WPA2-Personal. Es suficiente en la mayoría de los casos en este momento, siempre y cuando se combine con una contraseña realmente buena. enlace es un buen generador para ellos.
  • Deshabilitar la configuración protegida de Wi-Fi (WPS). De lo contrario, un atacante solo necesita romper un PIN de 8 dígitos, y eso es perfectamente factible.
  • Cubra su SSID. No detendrá a un atacante determinado, pero detendrá a algunos de los guionistas, como los atacantes.
  • Solo permitir direcciones MAC específicas puede ser un buen paso para administrar el acceso de los usuarios. Pero, una vez más, realmente no ralentizará a un atacante determinado, ya que solo pueden ver qué direcciones MAC están actualmente conectadas a la red inalámbrica en texto plano de todos modos.
  • Si es posible, una buena táctica para reducir la posibilidad de que su WiFi sea atacado es posicionar bien su punto de acceso inalámbrico para que se transmita la mínima cantidad de señal fuera de su edificio. De esa manera, el atacante debe estar más cerca para iniciar el ataque, a menos que haya mejorado las antenas inalámbricas para agarrar desde millas de distancia.

Sí, la gente puede transmitir una señal más fuerte para intentar que te conectes con ellos en lugar de tu punto de acceso deseado real utilizando herramientas como Karma . No conozco ninguna forma específica de protegerme contra esto, excepto que no permita asociaciones automáticas. Cada vez que desee conectarse a una red inalámbrica, debe hacerlo manualmente y verificar que se está conectando al punto de acceso correcto.

    
respondido por el Mark Davidson 24.11.2010 - 00:46
fuente
11

Depende de la red / entorno. Para las redes inalámbricas SOHO, WPA 2 Personal con una contraseña segura utilizada para el PSK debería ser suficiente.

Para redes empresariales o redes que manejan información confidencial, se deben usar los siguientes controles:

  • WPA 2 Enterprise vinculado a IEEE 802.1X / EAP
  • Red inalámbrica segregada de la red interna
  • Vigilancia de WIPS y registro implementada para detectar / prevenir ataques locales
  • Los clientes inalámbricos que necesitan acceso interno deben tener que conectarse a través de VPN
  • Limite la cobertura a lo que es absolutamente necesario a través de los controles físicos y / o la manipulación de la intensidad de la señal
respondido por el sdanelson 24.11.2010 - 04:44
fuente
10

Estoy de acuerdo con todos los puntos mencionados hasta ahora, y como Mark Davidson y sdanelson han mencionado la cobertura de radio, solo quería ampliar esto, ya que hay un par de áreas:

Fuerza de la señal : por lo general, desea utilizar la potencia de señal mínima posible en un área en particular, por lo que un atacante que se encuentre fuera de su lado no puede acceder, pero esto puede dejarlo abierto a una Evil Twin ataca si un punto de acceso malicioso copia su SSID y usa una intensidad de señal mucho mayor.

Una solución es pensar en sus rutas de propagación : ubicar sus puntos de acceso alrededor del exterior de su sitio con antenas configuradas para ser direccionales hacia su sitio le ayudará mucho, ya que puede aumentar el punto de acceso. intensidad de la señal (para que los clientes se vean más fuertes) sin propagar su señal tan lejos del lado.

Una solución más simple, pero más efectiva que he visto (que puede ser una exageración para usted, he visto que se usa en un establecimiento muy sensible) son las paredes revestidas de metal y el techo con malla en las ventanas - un estudio de sitio inalámbrico de esto sitio recogido cero fugas de RF!

Seguridad a través de la oscuridad (en este caso, ocultando balizas SSID) le da una falsa sensación de seguridad. Su punto de acceso seguirá transmitiendo SSID, pero no en los marcos de baliza. Muchos usuarios normales podrán seguir conectándose, ya que los controladores de muchas plataformas seguirán identificando el SSID y todos los atacantes podrán encontrarlo como lo hacen normalmente. Pruebe cualquiera de las herramientas en Russix LiveCD y funcionarán muy bien con el SSID deshabilitado .

    
respondido por el Rory Alsop 20.12.2010 - 19:44
fuente
4

Sólo para lanzar esto aquí.

El mejor modelo de seguridad "inalámbrico" es reemplazar esos enrutadores inalámbricos con cableado CAT-5 regular.

El siguiente mejor elemento es garantizar que todo el tráfico entre máquinas se proteja con kerberos además del cifrado proporcionado por el enrutador inalámbrico. Esto se puede hacer con la configuración de la directiva de grupo en los dominios de Windows.

Hagas lo que hagas, no confíes de forma nativa en ninguna máquina que pueda autenticarse contra tu enrutador.

    
respondido por el NotMe 21.12.2010 - 17:00
fuente
3

Suponiendo que se trata de un enrutador inalámbrico para una casa o una pequeña empresa, tendría que recomendar lo siguiente:

  • Como regla general, cambie todo lo que sea predeterminado en el enrutador, incluidos, entre otros, el SSID y la interfaz web.

  • Debería usar WPA2 solo con cifrado AES y una clave segura con contraseña alfanumérica que contenga más de 8 caracteres. No necesita una contraseña de 63 caracteres para proteger su red doméstica.

  • Use el Filtrado de Mac inalámbrico para permitir que solo los dispositivos inalámbricos permitidos se conecten a la red. Esta información se conoce como la dirección física o la dirección MAC y se puede encontrar en una máquina con Windows escribiendo ipconfig / all desde el símbolo del sistema.

  • Si su enrutador inalámbrico lo admite, debe limitar su alcance dentro de los límites de su propiedad para reducir el área en la que un pirata informático podría posicionarse a sí mismo.

  • Por último, ocultar el SSID no hará nada para proteger su red y, de hecho, lo hará más susceptible a los ataques. Además, cualquiera que sea capaz de descifrar una contraseña WPA2 fuerte no será disuadido por un SSID oculto. Para obtener más información sobre esto, consulte el siguiente artículo: enlace

respondido por el Brian Winning Jr. 03.05.2012 - 16:00
fuente
2

La buena defensa está en capas, por lo que no habrá una guía para gobernarlos a todos. En particular, para la tecnología inalámbrica, es posible que desee echar un vistazo a las guías de implementación de DISA. Querrá incluir otras tecnologías para la autenticación de puntos, etc., pero este es un buen comienzo.

enlace

O, simplemente puede ejecutar una gota y eliminar un lote de estos problemas.

    
respondido por el pboin 24.11.2010 - 16:40
fuente
0

Si está dispuesto a ejecutar su propio software AP (lo que probablemente signifique hostapd), puede configurar un EAP basado en contraseña.

Luego puede tener una contraseña por MAC que conozca, y una contraseña predeterminada que rote con frecuencia de lo contrario. Personalmente, creo que es una alternativa razonable al filtrado de MAC, pero podría implementar ambos.

No es tan fuerte como un enfoque de capas adecuadas, pero para SOHO y el poco preocupado, razonable (usé un Pi3 para esto).

Definitivamente recomendaría hacer una VPN obligatoria para cualquier cosa significativa (es decir, algo más que navegar por sitios web públicos) si eso es una preocupación.

    
respondido por el iwaseatenbyagrue 28.02.2017 - 01:03
fuente

Lea otras preguntas en las etiquetas

¿Es la conversión indeseable de un número científico una vulnerabilidad? ¿Chrome y Firefox envían valores aleatorios en lugar de la marca de tiempo real en ClientHello de TLS?