Recomendaciones para redes cableadas

La implementacin de una red WLAN no debe alterar arquitecturas y

recomendaciones ya existentes en el lugar que se va a llevar acabo el
despliegue. Debe ser hecha respetando polticas existentes en cuanto a
seguridad
Las redes LAN no son substituidas por las redes WLAN. Las redes WLAN
deben emplearse para aumentar la flexibilidad y la disponibilidad actuales de
la red proporcionando una extensin a la red existente
Mantener una poltica de contraseas adecuada. El administrador debe
prestar atencin a las contraseas. Una contrasea debe ser se
suficientemente larga y contener caracteres no alfa numricos y ser
cambiada peridicamente
Realizar inspecciones fsicas peridicas y emplear herramientas de gestin de
red para revisar la red rutinariamente y detectar la presencia de puntos de
acceso no autorizados
Utilizar perfiles de usuario que permitan el control de acceso para usuarios
internos o empleados y usuarios invitados (clientes, proveedores, etc.)

Recomendaciones para una configuracin de red inalmbrica

Para implementar una red inalmbrica personal segura, es necesario tener un
encaminador o punto de acceso que permita el cifrado WPA2. E, incluso
entonces, se debe escoger una frase secreta poderosa, que resista los
ataques de descifrado de contraseas por fuerza bruta.
Asignar un SSID (Service Set IDentifier, Identificador del conjunto de
servicios) nico a la red: este es el nombre que ser visible a quienes buscan
una red inalmbrica disponible. Hay que comunicar la frase secreta de WPA2,
de un modo seguro a las personas autorizadas que se conectarn a esta red
(clientes), o configurar manualmente los parmetros de acceso de dichos
clientes, y especificarles que se conecten nicamente con el nombre
especificado.
Monitorizar la aparicin de nuevos puntos de acceso en las proximidades, y
recordar a los clientes mviles los peligros de conectarse a un punto de
acceso equivocado o malicioso. Estos, podran incluir piratas informticos
leyendo el trfico desde y hacia los clientes, e incluso tomando el control de
una red cableada si el cliente est conectado simultneamente a una red
local Ethernet.
Habilitar el filtrado de IP y MAC en la configuracin del encaminador. El
filtrado MAC permite incluir manualmente los adaptadores de red con sus
nmeros de identificacin especficos en una lista de dispositivos autorizados.
De este modo, cualquier identificador que no se encuentre en la lista, tendr
prohibido el acceso a la red. El filtrado IP utiliza el mismo principio: solo se les

permitir la conexin a los clientes con los nmeros de IP autorizados, pero

para esto es necesario desactivar el servidor DHCP (Dynamic Host
Configuration Protocol, Protocolo de configuracin dinmica de servidores) en
el encaminador, y asignar manualmente los nmeros IP permitidos.
Adems, podra ser til definir el nmero de clientes que se pueden conectar
al encaminador, limitando los nmeros de subred al mnimo necesario, y
especificar intervalos de tiempo durante los cuales el dispositivo de conexin
permitir que el cliente acceda a la red. Esta ltima opcin podra no estar
disponible en algunos los encaminadores.
Limitar el rango de la distribucin de seal del punto de acceso, de modo que
los clientes puedan conectarse solo hasta cierta distancia: pasado el lmite
establecido no habr seal disponible. Esta funcionalidad est disponible
nicamente en algunos dispositivos.
Considerar la ocultacin de SSID, opcin presente en la pgina de
configuracin del encaminador, de modo que la red no aparezca en la lista de
redes disponibles cuando los clientes realizan una nueva bsqueda. As, se
aplicarn todos los parmetros configurados previamente en el cliente, y los
ordenadores que ya han sido asociados con el SSID, tendrn la capacidad de
continuar detectando esta estacin

Como romper las configuraciones red inalmbricas

Red abierta:
Una red abierta sin contrasea. Cualquiera puede conectar obviamente a la
red y utilizar su conexin a Internet sin proporcionar una contrasea. Cuando
una red no esta protegida con una contrasea, todo su trfico ser enviado
de forma plana, y eso ser lo suficiente como para que el atacante sea capaz
de sniffear todos los datos que interactan con esta red. Solo las conexiones
HTTPS, como las que usan los certificados SSL, sern las nicas conexiones
que protegern los datos del usuario.
Una de las herramientas conocidas para realizar el rastreo de datos es
WireShark.
Red inalmbrica oculta:
Ocultar una red no es un mtodo eficiente para protegerla. Es posible
encontrar redes inalmbricas ocultas con herramientas como Kismet, que
muestran las redes inalmbricas cercanas. El SSID del red inalmbrica, o un
nombre, se mostrarn en blanco en muchas de estas herramientas.
Los atacantes pueden enviar una trama deauth a un dispositivo, la cual es la
seal de un punto de acceso enviara si estuviera cerrando. El dispositivo
intentar conectarse a la red de nuevo, y lo har utilizando el SSID de la red.
El SSID puede ser capturado en este momento. Asi es, aunque ocultes tu red,
el dispositivo que use esta red terminaria revelando el SSID que has ocultado.
Red con direccin MAC

Las herramientas de anlisis de red, tambin mostrara el trfico el dispositivo

conectado a un punto de acceso visible en los paquetes que viajan de ida y
vuelto. Si un dispositivo est conectado al punto de acceso, y el atacante
conoce la direccin MAC del dispositivo, creme que este suplantara la
identidad de tu dispositivo. Los atacantes esperaran a que el usuario
desconecte o lo obligaran a hacerlo, luego, se conectarian a la red Wi-Fi con
su propio dispositivo.
Red con encriptacin WEP o WPA1
Existen ataques conocidos que pueden romper el cifrado WEP WPA1 (WPA1
se refiere a menudo simplemente como encriptacin WPA, pero que utilizan
WPA1 aqu hacer hincapi en que estamos hablando de la versin anterior de
WPA y WPA2 que es ms seguro).
El propio sistema de cifrado es vulnerable y, con bastante trfico capturado,
el cifrado puede ser analizado y roto. Despus de monitorear un punto de
acceso durante aproximadamente un da y capturar sobre todo un da de
trfico, un atacante puede ejecutar un programa de software que rompe el
cifrado WPA1, en el caso del cifrado WEP, es menor el tiempo de
vulnerabilidad. El cifrado WEP es bastante inseguro y hay otras maneras de
romper ms rpidamente engaando al punto de acceso. WPA1 es ms
seguro, pero sigue siendo vulnerable.
Encriptacin WPS
Un atacante tambin podra entrar en la red mediante la explotacin del Wi-Fi
Protected Setup o WPS. Con WPS, el router tiene un nmero PIN de 8 dgitos
que un dispositivo puede utilizar para conectar en lugar de proporcionar la
contrasea codificada. El PIN se comprueba en dos grupos, en primer lugar,
el router comprueba los cuatro primeros dgitos, y le dice al dispositivo si es
correcto, y luego el router comprueba los ltimos cuatro dgitos y le dice al
dispositivo si es correcto. Hay un nmero bastante reducido de posibles
nmeros de cuatro dgitos, por lo que un atacante puede usar fuerza bruta
para vulnerar la seguridad WPS, tratando cada nmero de cuatro dgitos
hasta que el router les dice que ha adivinado la correcta.
Encriptacin De WPA2
Este tipo de ataque, lo que hace es usar un diccionario, en el cual se tendrn
palabras que se han agregado, para luego automticamente revisar una por
una al intentar conectar con un encriptado WPA2. La mayora de usuarios no
hacen una gestin segura de la configuracin de su red Wi-Fi, por lo que
tendrn contraseas simples y fciles de descifrar. Supongamos, un usuario
podra usar password; aunque este en ingles, la palabra es insegura. Para
evitar esto, el usuario debe usar una combinacin de letras minsculas y
maysculas en su contrasea, junto con una combinacin de nmeros y uno
que otro smbolo.