Conexión de un punto de acceso a la red existente, ¿se puede asegurar?

2

Solía trabajar para una compañía que hacía puntos de acceso inalámbricos, y este es el desafío que me fue dado un día. No creo que haya una solución segura para ello, pero todavía me molesta por alguna razón.

Queríamos enviar un dispositivo de punto de acceso inalámbrico (una placa ALIX con monowall) a una ubicación donde no sabemos nada sobre la red, por lo que no tenemos idea de qué direccionamiento IP están usando, y poder tener una el usuario no técnico simplemente lo conecta a su enrutador existente y Just Work.

Todas las redes serían simples enrutadores módem / NAT para pequeñas oficinas, por lo que el punto de acceso puede usar DHCP en su lado WAN para conectarse a Internet. Señalé que cualquier persona en el punto de acceso también podría acceder a las computadoras de la oficina, ya que considera que eso es solo otra parte de Internet. El punto de acceso es un acceso inalámbrico abierto y gratuito para cualquier persona dentro del alcance, un objetivo encantador para un atacante.

Por más que lo intenté, no pude encontrar una manera de resolverlo que considerara lo suficientemente segura. Al final, me negué a configurarlos de esta manera, y tuvimos que salir y reconfigurar las cosas para que nuestro enrutador se conectara antes de las máquinas de la oficina y pudiera aislar la red de la oficina y los clientes inalámbricos. Pero el problema todavía me molesta de vez en cuando.

Entonces, mi pregunta es, ¿existe alguna forma de configurar de forma segura la red en el diagrama a continuación si solo tiene el control del dispositivo de punto de acceso y no sabe nada sobre el resto de la red de antemano?

A los efectos de esta pregunta, no me preocupa lo que pueden hacer las personas en la red inalámbrica, o lo que pueden hacer en Internet. La única preocupación es proteger las PC de la oficina de las personas conectadas al punto de acceso.

    
pregunta Grant 22.08.2012 - 15:31
fuente

3 respuestas

2

La única solución en la que puedo pensar es ejecutar dos redes aisladas: una para los puertos con cable, una para los clientes en el punto de acceso wifi. Esto permite a los clientes wifi hablar con clientes wifi e Internet, y las computadoras de la oficina pueden hablar con las computadoras de la oficina e Internet, pero no hay interacción entre las dos. En términos de direccionamiento, probablemente deba colocarlos en subredes separadas, por ejemplo. 10.0.1 / 24 y 10.0.2 / 24.

    
respondido por el Polynomial 22.08.2012 - 16:04
fuente
2

Sé que esta pregunta es un poco antigua y ya tiene una respuesta aceptada. Pero pensé que podría agregar algo para aquellos que aún lo encuentran.

Es posible que falte algo aquí ya que no soy un experto en redes, pero como está ejecutando m0n0wall, tiene acceso a algunas funciones avanzadas de firewall y enrutamiento. Como nota al margen, pfSense es una bifurcación de m0n0wall que ha recibido mucha más atención últimamente y podría ser más fácil de usar.

Suponiendo que usted tiene el control total de los dispositivos y que tienen un enrutamiento muy configurable, debería poder bloquear todas las direcciones IP no enrutables públicamente. Esto haría que cualquier persona que se conecte en el punto de acceso pueda ser enrutada a direcciones de Internet, pero no a nada interno, ya que las direcciones IP internas (con raras excepciones, generalmente mal planificadas) estarán en el espacio de direcciones no enrutable.

Los rangos reservados para dichas redes internas (a las que bloquearía el enrutamiento del punto de acceso) son los siguientes:

IANA-reserved private IPv4 network ranges

10.0.0.0    10.255.255.255  
172.16.0.0  172.31.255.255  
192.168.0.0 192.168.255.255

Además, debería poder configurar múltiples puntos de acceso inalámbrico desde este único dispositivo para que también proporcione el servicio adicional de una conexión enrutable INTERNAL segura. El punto de acceso público se bloquearía de las direcciones internas, pero no se bloquearía a nadie que se conecte a la otra señal segura. Esto es genial con tantos usuarios comerciales que confían en las conexiones wifi para evitar el inconveniente de conectar los cables a todo.

Cuando pienso más en ello, estoy bastante seguro de que muchos enrutadores inalámbricos de nivel de consumidor tienen funciones de red de invitado integradas que hacen exactamente esto cuando conectas la WAN en su puerto WAN y el resto de la red en los puertos LAN . Pero si está agregando funciones personalizadas, algo así como pfSense es el camino a seguir.

    
respondido por el shanemgrey 29.06.2013 - 07:11
fuente
1

La única solución que puedo ver (y esto no es tan seguro como una red separada) es configurar el enrutador para forzar a que los datos salgan de su puerto AP a Internet, impidiendo la interacción. Esto todavía puede ser pasable con una dirección de hardware falsificada. El riesgo podría reducirse de alguna manera con el acceso al firmware.

La implementación podría simplificarse mediante:

a) Envío de nuevos enrutadores con la configuración correcta
b) (Dependiendo de la cantidad de acceso al firmware que tenga) Lance una actualización a sus enrutadores

Quizás no sean las mejores soluciones, pero mejor que nada.

    
respondido por el November 23.08.2012 - 03:38
fuente

Lea otras preguntas en las etiquetas