¿Medidas de seguridad para un punto de acceso WiFi?

11

Estoy planeando comprar un programa que viene con una aplicación que te permite controlar el programa por teléfono. El desarrollador me dijo que la conexión se realizará a través de una caja WIFI adicional que se conectará a mi computadora. Planeo dar esta contraseña de WIFI a amigos y familiares.

Preguntas:

  1. ¿Esto abre mi PC a los ataques?

  2. Mi PC se conecta a la red doméstica por cable. ¿La apertura de un WIFI como este expone mi red doméstica a ataques?

  3. ¿Hay alguna forma de evitar que las personas se conecten a esta red WIFI con otros dispositivos que no sean un teléfono (en general me preocupan las computadoras portátiles infectadas)?

pregunta user1296058 25.03.2013 - 22:58
fuente

3 respuestas

5

Sí. Tener un punto de acceso hace que su red doméstica sea vulnerable porque, en última instancia, los dispositivos que se conectan a su PC a través de wifi se convertirán en parte de su red doméstica (parte de la misma subred). Algunas medidas de seguridad que se deben tener en cuenta al configurar un punto de acceso son

  1. NO use WEP (Privacidad equivalente por cable) - Puede ser fácilmente hackeado por un script para niños. Use WPA2 (esto es lo mejor que obtendrá) o WPA (acceso protegido a WiFi).
  2. Siempre cambie la contraseña predeterminada para AP.Utilice una contraseña que no esté basada en el diccionario.
  3. Habilitar filtrado de MAC : como mencionó, se conectará a su AP utilizando un número limitado de dispositivos (teléfonos inteligentes que pertenecen a usted y su familia). Esto restringirá la red para que solo permita conexiones desde los dispositivos cuya dirección MAC ingresó (las direcciones MAC pueden ser falsificadas por un experto)
  4. Es posible que desee habilitar HTTPS para administrar su punto de acceso, para que sus nombres de usuario y contraseñas no se transmitan en texto sin cifrar.
  5. También debe deshabilitar la transmisión de SSID (el AP envía transmisiones para que las estaciones inalámbricas que buscan una conexión de red puedan descubrirla). Puede conectarse manualmente a sus dispositivos inalámbricos. Esto lo protegerá de wardriving hasta cierto punto, pero de nuevo no puede impedirle un ataque sofisticado.

del comentario:

  

¿Puede decirme si ayuda con una subred diferente en el cuadro de WIFI?

Básicamente, la aplicación de su teléfono necesita comunicarse con la aplicación principal (instalada en su PC). Por lo que puedo entender, no se pueden mantener en subredes diferentes. Si están en diferentes subredes, necesitará un dispositivo de capa 3 (enrutador) para habilitar su comunicación.

Recomendaría configurar su punto de acceso teniendo en cuenta los puntos anteriores y seguir cambiando sus contraseñas regularmente. Las personas se vuelven perezosas y mantienen la misma contraseña por edades. Y sí, comparte tu contraseña solo con personas de confianza.

    
respondido por el Shurmajee 26.03.2013 - 06:04
fuente
7

La respuesta de Mayank tenía la parte más importante correcta: usar WPA2 (no WEP y no sin contraseña). Sin embargo, quiero añadir algunos puntos.

  1. No debe usar una "palabra no basada en diccionario" para su "contraseña" de AP, sino que use una frase de contraseña de varias palabras . No reutilice esta frase de contraseña para ninguna otra cosa (que desee mantener en privado) ya que la compartirá (la necesidad de un amigo visitante para conectar su computadora portátil) y sus dispositivos la almacenarán de forma recuperable. (Y algunos dispositivos incluso almacenarán de forma predeterminada sus contraseñas de wifi en la nube !) Sugiero la contraseña, ya que es más fácil dígale a alguien " grapa correcta de la batería del caballo " (todos los espacios en minúsculas, entre palabras), que "T mayúscula, r minúscula, cero, ub minúscula, número cuatro, dor en minúsculas, ampersand, número tres "y la frase de contraseña tiene una entropía más alta (también vea la discusión aquí ). Los ataques a los apretones de manos wifi observados se pueden hacer fuera de línea, por lo que se necesitan frases de contraseña seguras.

  2. El filtrado de direcciones MAC es trivial para evitar y molesto para administrar. las direcciones MAC se utilizan para el direccionamiento de capa 2 (nivel de enlace); así que en wifi esa es la señal de radio entre su enrutador y cualquier receptor que escucha. Incluso cuando tienes una conexión encriptada; los datos se están cifrando, no los encabezados de paquetes de capa 2. Por lo tanto, si un enrutador está utilizando el filtrado de direcciones MAC, es bastante fácil recolectar un paquete enviado desde el enrutador (a una dirección MAC permitida) y el atacante puede cambiar su dirección MAC para clonar la dirección MAC permitida observada. (Sí, dos computadoras diferentes que usan la misma dirección MAC al mismo tiempo podrían causar problemas, pero puede esperar hasta que ya no la estén usando). Además, el filtrado de direcciones MAC es molesto de administrar, porque tendrá que ingresar la configuración de su enrutador cada vez que agregue un nuevo dispositivo a su red y copie la dirección MAC de 12 dígitos hexadímicos (y se moleste en averiguar cómo obtener una dirección MAC en cada dispositivo wifi aleatorio). Las personas que usan el filtrado de direcciones MAC también se sienten atraídas al pensar que es muy seguro y luego toman decisiones débiles para la frase de contraseña o piensan que está bien usar WEP o WPS u otras vulnerabilidades.

  3. La desactivación de la transmisión de SSID conlleva una pérdida de funciones sin un beneficio concreto en la seguridad . Sus dispositivos móviles no podrán conectarse automáticamente a la red wifi. Su teléfono celular no puede cambiar de radio 3G / 4G a wifi más veloz y con menos energía cuando llega a casa, a menos que presione manualmente los botones para cambiar a la red no transmitida, o si el dispositivo está configurado para emitir con frecuencia, estoy buscando SSID 'sdfasdfasdf' que lo deja vulnerable a los atacantes con puntos de acceso deshonestos que contestarán que soy yo. (Concedido con WPA2, no deberían poder completar el protocolo de enlace de 4 vías con usted; pero, dependiendo de su dispositivo, puede permitir una conexión al mismo SSID que de repente no es WPA2). Al igual que las direcciones MAC, puede escuchar a escondidas el SSID observando a otros clientes que se conectan a la red que no transmite, incluso si WPA2 está habilitado.

  4. Asegúrese de que WPS (Configuración protegida de Wifi) esté desactivada . Muchos enrutadores vienen con WPS habilitado de forma predeterminada, y esto permite que un atacante entre en su red en menos de 11000 conjeturas . Los enrutadores más nuevos reconocidos pueden tener tiempos de espera en intentos consecutivos que pueden hacer esto más difícil; pero el estándar sugiere solo un tiempo de espera de los 60, lo que solo retrasa los intentos de los atacantes por un par de días).

Además, por un poco de seguridad adicional, sugeriría cambiar el SSID de su punto de acceso del predeterminado (por ejemplo, linksys / NETGEAR) a algo poco común. El punto de acceso se usa como la sal de la PMK (clave maestra por pares) en WPA2-PSK antes de que pase por el HMAC, por lo tanto, un atacante que haya observado un apretón de manos de cuatro vías y haya atacado una red similar previamente podría potencialmente salvarse. tiempo almacenando los PMK de varias contraseñas comunes con la sal conocida (dado que aún tendrán que encontrar el PMK que genera el PTK para que coincida con el apretón de manos de 4 vías ).

TL; DR : utilice WPA2 con una frase de contraseña segura, desactive WPS en su enrutador (y cambie su SSID para que no sea algo muy común). Si lo desea, puede usar el filtrado de direcciones MAC o deshabilitar la transmisión de SSID, aunque cualquier interlocutor de un paciente puede omitir fácilmente cualquier protección.

    
respondido por el dr jimbob 29.03.2013 - 19:46
fuente
3

Mayank Sharma ya cubrió muchos de los riesgos en la publicación. Solo quiero agregar esto diciendo que la relación de confianza de los clientes de wifi con el punto de acceso está muy influenciada por la intensidad de la señal, es decir, la proximidad entre el cliente y el punto de acceso.

Este es el caso cuando su computadora portátil con wifi habilitada y configurada para conectarse automáticamente (su configuración predeterminada), cuando se coloca cerca de un punto de acceso abierto, siempre intentará conectarse a esa estación.

Siempre debe estar atento a este comportamiento, ya que en muchos casos ocurre sin la interacción del usuario. La mejor manera de evitar esto es configurar su cliente para que siempre se conecte solo al punto de acceso preferido (puede hacerlo en las opciones de configuración) Algosimilaraloquesedaaquí(observelacasilladeverificación"Solicitar unirse")

    
respondido por el Saladin 26.03.2013 - 10:17
fuente

Lea otras preguntas en las etiquetas