Cómo asegurar un punto de acceso wifi abierto

5

He visto enormes cantidades de guías sobre cómo protegerse cuando utiliza una conexión inalámbrica pública de Internet, pero nada sobre cómo proteger su punto de acceso público de usuarios malintencionados.

Un poco de fondo. Compré esta Raspberry Pi y todavía no tengo nada útil que hacer, y una Dongle USB WiFi de repuesto (con una antena). Así que decidí compartir mi conexión a Internet cuando no la estoy usando. Así que instalé hostapd, uso dnsmasq para dhcp, un servidor proxy de calamar (transparente con iptables que redirecciona el puerto 80 a 3128). Tenga en cuenta que soy consciente de lo breve que será la vida útil de mi tarjeta SD. Otro punto que no debe considerar es el consumo de uso de ancho de banda, ya que he configurado QoS en mi puerta de enlace y tengo internet ilimitado (estándar aquí, en Francia)

Lo que me preocupa es que no tengo idea de qué tipo de política de seguridad debo configurar para evitar, por ejemplo, que alguien inyecte un programa malicioso dentro de la frambuesa pi que luego no infectará solo cada cliente nuevo en la subred inalámbrica, pero cualquier computadora que haya conectado a la LAN local.

También me siento preocupado por cómo proteger cualquier host conectado de otro usuario wifi malicioso. Habiendo tenido la misma preocupación una vez en el trabajo, todo lo que pensé sería que ARP envenenara a cada host y les dijera que cualquier dirección MAC diferente a la de ellos es el punto de acceso, pero eso parece excesivo e ineficiente.

Aquí están mis ideas:

  • Bloquee el puerto 443 en cualquier conexión
  • Instale SquidGuard para hacer cumplir los sitios web autorizados / no autorizados (lo intenté, demasiado intensivo de CPU para un RPi)
  • Restrinja las interacciones en la red local (excepto la puerta de enlace de Internet) a SSH desde mi computadora y HTTP para mis herramientas de monitoreo

Lo que ya tengo como medida de seguridad:

  • contraseñas no estándar para usuarios locales
  • sshd no escucha en la interfaz inalámbrica
  • httpd no escucha en la interfaz inalámbrica
  • Las copias de seguridad regulares de mis registros squid en un medio sin conexión en caso de que alguna fuente legal los solicite?

Entonces, ¿qué más debo configurar, según usted?

    
pregunta mveroone 08.08.2013 - 21:07
fuente

3 respuestas

5

Un punto de acceso público es public . Esto significa que cualquiera puede conectarse a él y usarlo. Por lo tanto, "proteger el punto de acceso contra usuarios malintencionados" no es un objetivo bien definido. El punto de acceso no tiene datos secretos para mantener en secreto, ni un servicio restringido para ofrecer solo a usuarios autorizados. Es público.

Lo que podría querer es proteger a los usuarios unos de otros : no desea que un usuario del punto de acceso público pueda escuchar a otros usuarios, o alterar sus datos, o incluso simplemente interrumpiendo las comunicaciones. Esta es una problemática de los sitios grandes que realmente desean proporcionar "WiFi gratis" para muchas personas, pero tienen un problema recurrente de usuarios antisociales.

Resulta que no puedes . Los elementos criptográficos en el protocolo WiFi están destinados a:

  1. Implemente la autenticación, manteniendo a las personas fuera de la conexión si el punto de acceso es no público, pero requiere autenticación.

  2. Evite las escuchas ilegales en la conexión de usuarios debidamente conectados de personas que están no conectadas.

Sin embargo, nada en el protocolo WiFi fue diseñado para evitar que dos usuarios conectados se espíen unos a otros. Con un WiFi público, todos pueden conectarse (por definición), para que todos puedan espiar a todos.

paralizando su punto de acceso, por ejemplo, al bloquear el puerto 443, no brindará ninguna seguridad, excepto en el siguiente sentido: si el punto de acceso se vuelve inutilizable debido a restricciones demasiado estrictas, entonces la gente no lo usará y, por lo tanto, el problema del espionaje desaparece: no hay ataques usuario si no hay ningún usuario en absoluto . Pero para los usuarios restantes, el bloqueo del puerto 443 simplemente empeora su situación peor : no solo no evita que otros usuarios espíen su tráfico, sino que también evita que se defiendan utilizando la navegación HTTPS cuando sea posible .

Parece que está al tanto de que las "fuentes legales" pueden solicitar registros. La situación legal es realmente peor (para usted):

  • Al ejecutar voluntariamente un punto de acceso abierto, se ha convertido en un proveedor de servicios , por lo que está sujeto a todas las regulaciones adjuntas a ese estado. El ARCEP podría darle la información relevante, pero tenga en cuenta que esto va mucho más allá de los simples registros de calamar.

  • Su propio acceso a Internet se le proporcionó mediante un contrato que prohíbe explícitamente compartir más allá del "uso en el hogar". Si actúa como proveedor de servicios (eso es lo que está tratando de hacer), entonces está en clara violación de los términos de ese contrato, y su ISP puede cerrar legalmente su acceso.

  • Si alguien usa su punto de acceso para luego participar en "actividades ilegales" (por ejemplo, atacar a otros sitios), podría ser considerado cómplice. Ese es el punto de las regulaciones de ARCEP: los proveedores de servicios registrados pueden reclamar exenciones, de la manera en que las compañías telefónicas no se meten en problemas legales cuando los criminales traman el crimen telefónicamente. Esta exención no se otorga automáticamente a cualquier ciudadano al azar que conecte un punto de acceso WiFi.

Por lo tanto, administrar su propio punto de acceso público, de esa manera, realmente es una mala idea, por muy generoso que parezca el principio básico a primera vista.

    
respondido por el Tom Leek 08.08.2013 - 21:47
fuente
4

Si desea un punto de acceso seguro, no tenga un punto de acceso público.

Un punto de acceso público es, por definición, inseguro. El bloqueo del puerto 443 realmente saboteará la seguridad de las personas en su punto de acceso público. No puedes asegurar un punto de acceso público. Lo único que puede hacer es configurar un servicio de creación de cuentas que esté alojado, aislado en la red inalámbrica pública y hacer que produzca usuarios que les permitan conectarse a una red WPA de la empresa. Esto le permitiría tener diferentes claves inalámbricas para cada usuario y así mantenerlas seguras y aisladas.

Los hosts que usan su AP podrían usar conexiones VPN y SSL para canalizar su tráfico a través de la red insegura, pero como el AP no hay nada que pueda hacer. El tráfico entre el AP y el cliente debe estar sin cifrar, ya que está ejecutando un AP abierto y, por lo tanto, cualquier persona puede recoger o inyectar información en el tráfico.

Además, desea colocar físicamente el AP público fuera de su red. Configure una red pública fuera de su enrutador principal y luego con su enrutador interno, trate esa red pública de la misma manera que trata el tráfico de Internet. Usted podría lograr lo mismo con VLans si su hardware lo admite, pero lo más seguro es poner el AP público fuera de la red.

    
respondido por el AJ Henderson 08.08.2013 - 21:17
fuente
2

A medida que aparezca la nueva tecnología, agregaré otra respuesta para asegurar un punto de acceso público.

  • Ahora, algunos enrutadores le permiten hacer que su WLAN sea más segura entre cada dispositivo. Como estoy de acuerdo con Tom Leek;
  

Lo que podrías querer es proteger a los usuarios unos de otros: no lo haces   desea que un usuario del punto de acceso público pueda escuchar a escondidas   otros usuarios, o alterar sus datos, o incluso simplemente interrumpiendo   comunicaciones Esta es una problemática de los grandes sitios que realmente quieren.   para proporcionar "WiFi gratis" para mucha gente pero tiene un recurrente   Problema de los usuarios antisociales.

La cita de SonicWall para mostrar la función;

  

Por defecto, SonicWALL bloquea la comunicación entre clientes en el   Zona inalámbrica como medida de seguridad. Por lo tanto, los dispositivos inalámbricos   no se pueden comunicar entre sí.

Puede ver una KB allí , para obligarlo a editar alguna ACL para permitir la comunicación entre WLAN.

El enrutador de otra marca importante seguramente también tiene dicha característica.

  • El otro punto que sugiero fuertemente es hacer una VLAN de WLAN, para aislar completamente el tráfico de su LAN.

  • El último punto que sugiero es usar otra IP pública para la zona de esa WLAN. Como en el ejemplo, si un usuario se infecta y envía una gran cantidad de correo no deseado, su IP pública no se incluirá en la lista negra de la lista de RBL

respondido por el yagmoth555 21.03.2017 - 16:43
fuente

Lea otras preguntas en las etiquetas