La implementacin de una red WLAN no debe alterar arquitecturas y
recomendaciones ya existentes en el lugar que se va a llevar acabo el despliegue. Debe ser hecha respetando polticas existentes en cuanto a seguridad Las redes LAN no son substituidas por las redes WLAN. Las redes WLAN deben emplearse para aumentar la flexibilidad y la disponibilidad actuales de la red proporcionando una extensin a la red existente Mantener una poltica de contraseas adecuada. El administrador debe prestar atencin a las contraseas. Una contrasea debe ser se suficientemente larga y contener caracteres no alfa numricos y ser cambiada peridicamente Realizar inspecciones fsicas peridicas y emplear herramientas de gestin de red para revisar la red rutinariamente y detectar la presencia de puntos de acceso no autorizados Utilizar perfiles de usuario que permitan el control de acceso para usuarios internos o empleados y usuarios invitados (clientes, proveedores, etc.)
Recomendaciones para una configuracin de red inalmbrica
Para implementar una red inalmbrica personal segura, es necesario tener un encaminador o punto de acceso que permita el cifrado WPA2. E, incluso entonces, se debe escoger una frase secreta poderosa, que resista los ataques de descifrado de contraseas por fuerza bruta. Asignar un SSID (Service Set IDentifier, Identificador del conjunto de servicios) nico a la red: este es el nombre que ser visible a quienes buscan una red inalmbrica disponible. Hay que comunicar la frase secreta de WPA2, de un modo seguro a las personas autorizadas que se conectarn a esta red (clientes), o configurar manualmente los parmetros de acceso de dichos clientes, y especificarles que se conecten nicamente con el nombre especificado. Monitorizar la aparicin de nuevos puntos de acceso en las proximidades, y recordar a los clientes mviles los peligros de conectarse a un punto de acceso equivocado o malicioso. Estos, podran incluir piratas informticos leyendo el trfico desde y hacia los clientes, e incluso tomando el control de una red cableada si el cliente est conectado simultneamente a una red local Ethernet. Habilitar el filtrado de IP y MAC en la configuracin del encaminador. El filtrado MAC permite incluir manualmente los adaptadores de red con sus nmeros de identificacin especficos en una lista de dispositivos autorizados. De este modo, cualquier identificador que no se encuentre en la lista, tendr prohibido el acceso a la red. El filtrado IP utiliza el mismo principio: solo se les
permitir la conexin a los clientes con los nmeros de IP autorizados, pero
para esto es necesario desactivar el servidor DHCP (Dynamic Host Configuration Protocol, Protocolo de configuracin dinmica de servidores) en el encaminador, y asignar manualmente los nmeros IP permitidos. Adems, podra ser til definir el nmero de clientes que se pueden conectar al encaminador, limitando los nmeros de subred al mnimo necesario, y especificar intervalos de tiempo durante los cuales el dispositivo de conexin permitir que el cliente acceda a la red. Esta ltima opcin podra no estar disponible en algunos los encaminadores. Limitar el rango de la distribucin de seal del punto de acceso, de modo que los clientes puedan conectarse solo hasta cierta distancia: pasado el lmite establecido no habr seal disponible. Esta funcionalidad est disponible nicamente en algunos dispositivos. Considerar la ocultacin de SSID, opcin presente en la pgina de configuracin del encaminador, de modo que la red no aparezca en la lista de redes disponibles cuando los clientes realizan una nueva bsqueda. As, se aplicarn todos los parmetros configurados previamente en el cliente, y los ordenadores que ya han sido asociados con el SSID, tendrn la capacidad de continuar detectando esta estacin
Como romper las configuraciones red inalmbricas
Red abierta: Una red abierta sin contrasea. Cualquiera puede conectar obviamente a la red y utilizar su conexin a Internet sin proporcionar una contrasea. Cuando una red no esta protegida con una contrasea, todo su trfico ser enviado de forma plana, y eso ser lo suficiente como para que el atacante sea capaz de sniffear todos los datos que interactan con esta red. Solo las conexiones HTTPS, como las que usan los certificados SSL, sern las nicas conexiones que protegern los datos del usuario. Una de las herramientas conocidas para realizar el rastreo de datos es WireShark. Red inalmbrica oculta: Ocultar una red no es un mtodo eficiente para protegerla. Es posible encontrar redes inalmbricas ocultas con herramientas como Kismet, que muestran las redes inalmbricas cercanas. El SSID del red inalmbrica, o un nombre, se mostrarn en blanco en muchas de estas herramientas. Los atacantes pueden enviar una trama deauth a un dispositivo, la cual es la seal de un punto de acceso enviara si estuviera cerrando. El dispositivo intentar conectarse a la red de nuevo, y lo har utilizando el SSID de la red. El SSID puede ser capturado en este momento. Asi es, aunque ocultes tu red, el dispositivo que use esta red terminaria revelando el SSID que has ocultado. Red con direccin MAC
Las herramientas de anlisis de red, tambin mostrara el trfico el dispositivo
conectado a un punto de acceso visible en los paquetes que viajan de ida y vuelto. Si un dispositivo est conectado al punto de acceso, y el atacante conoce la direccin MAC del dispositivo, creme que este suplantara la identidad de tu dispositivo. Los atacantes esperaran a que el usuario desconecte o lo obligaran a hacerlo, luego, se conectarian a la red Wi-Fi con su propio dispositivo. Red con encriptacin WEP o WPA1 Existen ataques conocidos que pueden romper el cifrado WEP WPA1 (WPA1 se refiere a menudo simplemente como encriptacin WPA, pero que utilizan WPA1 aqu hacer hincapi en que estamos hablando de la versin anterior de WPA y WPA2 que es ms seguro). El propio sistema de cifrado es vulnerable y, con bastante trfico capturado, el cifrado puede ser analizado y roto. Despus de monitorear un punto de acceso durante aproximadamente un da y capturar sobre todo un da de trfico, un atacante puede ejecutar un programa de software que rompe el cifrado WPA1, en el caso del cifrado WEP, es menor el tiempo de vulnerabilidad. El cifrado WEP es bastante inseguro y hay otras maneras de romper ms rpidamente engaando al punto de acceso. WPA1 es ms seguro, pero sigue siendo vulnerable. Encriptacin WPS Un atacante tambin podra entrar en la red mediante la explotacin del Wi-Fi Protected Setup o WPS. Con WPS, el router tiene un nmero PIN de 8 dgitos que un dispositivo puede utilizar para conectar en lugar de proporcionar la contrasea codificada. El PIN se comprueba en dos grupos, en primer lugar, el router comprueba los cuatro primeros dgitos, y le dice al dispositivo si es correcto, y luego el router comprueba los ltimos cuatro dgitos y le dice al dispositivo si es correcto. Hay un nmero bastante reducido de posibles nmeros de cuatro dgitos, por lo que un atacante puede usar fuerza bruta para vulnerar la seguridad WPS, tratando cada nmero de cuatro dgitos hasta que el router les dice que ha adivinado la correcta. Encriptacin De WPA2 Este tipo de ataque, lo que hace es usar un diccionario, en el cual se tendrn palabras que se han agregado, para luego automticamente revisar una por una al intentar conectar con un encriptado WPA2. La mayora de usuarios no hacen una gestin segura de la configuracin de su red Wi-Fi, por lo que tendrn contraseas simples y fciles de descifrar. Supongamos, un usuario podra usar password; aunque este en ingles, la palabra es insegura. Para evitar esto, el usuario debe usar una combinacin de letras minsculas y maysculas en su contrasea, junto con una combinacin de nmeros y uno que otro smbolo.