Charlas Inalámbricas - Artículos y Comentarios sobre Redes Inalámbricas WIFI
LOS MEJORES CONSEJOS PARA DISEÑAR UNA RED INALÁMBRICA WIFI DE BAJA CALIDAD Y NADA SEGURA
Siga estos sencillos consejos y su Red Inalámbrica WIFI funcionará...casi nunca y, estará a disposición de hackers y vecinos...casi siempre !!!
14) Ahórrese el Servidor RADIUS y no autentique a los usuarios según el estándar IEEE 802.1x
Una de las medidas de seguridad wifi más importantes para proteger una red inalámbrica es la utilización de un Servidor RADIUS para autenticar y autorizar a los usuarios que se conectan a la red según lo establece el estándar IEEE 802.1x , como se explica en detalle en el curso gratis de Redes Inalámbricas WIFI . El proceso de autenticación y autorización se realiza por medio de los protocolos EAP de los que existen diversas variantes. Las más difundidas son EAP-PEAP, EAP-TLS, EAP-TTLS y EAP-PEAP. El lector que esté interesado en profundizar y leer más sobre autenticación y autorización puede descargar el white paper sobre seguridad wifi o consultar los capítulos 802.1x / Autenticación, Servidor RADIUS, Autenticación EAP y Suplicantes del curso gratis de Redes Inalámbricas WIFI.
|
|
||||||||||
|
||||||||||
La utilización de un servidor RADIUS requiere, ciertamente, conocimientos avanzados, pero es una herramienta crítica y fundamental para controlar el acceso de hackers y piratas informáticos a la red inalámbrica wifi. |
||||||||||||||
También la aplicación de los protocolos de autenticación EAP requiere conocimientos avanzados. Para poder efectuar la autenticación es necesario que todos los equipos clientes cuenten con un software de conexión que el estándar 802.1x denomina "Suplicante". De este software hay versiones libres y versiones comerciales. También de los servidores RADIUS, existen versiones libres, por ejemplo en Linux y versiones comerciales como la de CISCO, Microsoft y Juniper. El servidor RADIUS nos permite, además de autenticar y autorizar a los usuarios antes de que estos se puedan conectar a nuestro servidor, rotar dinámicamente las claves de encriptación de WEP, WPA y WPA2. Esta rotación es de vital importancia en el caso en que se esté utilizando la encriptación WEP. La fragilidad de este protocolo de encriptación es muy grande y en pocos minutos se puede descifrar o crackear la clave WEP. Nuestro "Mal" consejo: Ahórrese siempre el servidor RADIUS y la aplicación del estándar 802.1x. Como lo dije más arriba, su uso no es sencillo, entonces aproveche varias de las excusas que ya otros inventaron: "Es muy complicado" "Hace falta capacitación" "Nos podemos ahorrar esos miles de dólares", "Se necesita un Certificado Digital", "Tenemos un buen Firewall", que por supuesto no sirve para reemplazar al servidor RADIUS, ni para autenticar a los usuarios. |
||||||||||||||
Este es uno de los errores más grandes que cometen muchas empresas: No utilizar servidores RADIUS para autenticar y autorizar. El diseño de una red inalámbrica wifi robusta y con una seguridad informática profesional, requiere conocimientos y capacitación. No es sencillo y no es en nada similar a las redes cableadas. Elementos como el servidor RADIUS y los protocolos EAP, son características exclusivas de las redes wifi. Es una tecnología nueva y es normal que muchos la desconozcan. Entonces, también es normal que para asegurar buenos resultados se deba consultar a expertos asesores que ya tengan experiencia en este tipo de instalaciones. 15) Invite a todos sus usuarios, proveedores y clientes a traer sus propios equipos y conectarlos a la red wifi de la organizaciónLos equipos para conectarse a una red inalámbrica wifi empresarial, deben estar debidamente configurados. Si se aplica el estándar 802.1x y se utiliza un servidor RADIUS para autorizar y autenticar a cada uno que se conecte al servidor de la organización, los clientes deben tener un software "suplicante" y este debe estar configurado con el EAP correspondiente: EAP-PEAP, EAP-LEAP, EAP-TLS o EAP-TTLS. Los equipos wifi de los visitantes pueden ser notebooks, PDA y hasta teléfonos móviles con tecnología WIFI. Cómo puede uno saber qué tipo de suplicante tienen? Cómo puede uno saber si están limpios de virus informáticos, spyware, virus troyanos, keyloggers? Una vez conectado ese equipo "visitante" a nuestra red, como sabemos que no se conectará a un access point hostil del vecindario o de un hacker y filtrará información vital de nuestra empresa? O quizás establezca una red ad-hoc, voluntaria o involuntariamente con algún vecino o pirata informático? En la actualidad, son muchas las empresas e instituciones que "facilitan" a los visitantes como proveedores, auditores, clientes, etc. la utilización de recursos y la conexión a la red empresarial. Estos computadores, suelen ser la causa de muchas infecciones de virus de PC y/o pérdidas de información "inexplicables". El permitir la conexión a todo tipo de computadores "visitantes", por los riesgos que conlleva, debe ser una decisión que debe estar refrendada por algún alto ejecutivo de la organización y no una decisión "alegre" adoptada por el departamento de sistemas. Es más, es un tema que debería estar expresamente autorizado o denegado en el manual de políticas de la organización. Entonces, no se olvide, nuestro último "Mal " consejo, para que lo ponga en práctica cuanto antes, si es que ya no lo ha hecho: Invite a todos sus usuarios, proveedores y clientes a traer sus propios equipos y a conectarlos a la red wifi de la organización. Autor del Artículo:
D. Eduardo Tabacman
Los Mejores "Malos Consejos sobre Redes Inalámbricas WIFI:
|
||||||||||||||
Visitantes de la Página consultaron también:
