Sobre la seguridad para las redes de invitados en puntos de acceso, se siguen encontrando redes de ‘invitados’ que requieren una clave precompartida WPA2-AES. Esto en realidad no tiene sentido y crea una falsa sensación de seguridad. La lógica del uso de una clave precompartida es que un pirata informático que detecta transmisiones de radiofrecuencia sin cifrar puede interceptar el tráfico de datos; esto es verdad. Desafortunadamente, el uso de cifrado de clave precompartida no resuelve el problema.
Un pirata informático que tiene la clave precompartida y que captura el intercambio de asociación (que no está cifrado) entre un dispositivo cliente y un punto de acceso cuando se conecta a la red puede usar la información colectiva para descifrar el tráfico del dispositivo cliente. Además, la mayoría de los problemas de seguridad en las redes de invitados/puntos de acceso no requieren detectar la frecuencia de radio, sino que provienen del “lado cableado” de la red.
El cifrado de Wi-Fi sólo se produce entre el dispositivo del cliente y el punto de acceso, ya que el AP descifra todo el tráfico de datos antes de pasarlo a la infraestructura de red cableada. Si el aislamiento del cliente en la red no está configurado correctamente (un problema demasiado común), un hacker inalámbrico puede simplemente conectarse a otro dispositivo cliente inalámbrico a través de la red cableada.
Entonces, lo único que realmente proporciona una clave precompartida de WPA2-AES es un mayor trabajo para el personal, que tiene que dar la frase de contraseña a todos los invitados. Si desea permanecer seguro cuando utiliza una red de punto de acceso de invitados, asegúrese de estar utilizando seguridad de nivel de aplicación, como https para navegar por la web y SSL para su servicio de correo electrónico. Las VPN personales o corporativas también son apropiadas y efectivas.
Muchos dispositivos enrutadores inalámbricos de consumo, como la Serie EnGenius ESR, y puntos de acceso inalámbricos empresariales, como la mayoría de los AP EnGenius® en la serie EAP/ ECB/ ENS/ ENH y EWS, tienen la capacidad de configurar una ‘red de invitados’ con una subred separada y un rango de DHCP.
Esto permite que el punto de acceso cree una barrera de capa 3 (IP) entre la red de invitados y la red de operaciones para aislarlos unos de otros. ¿Por qué no usar esto en lugar de una VLAN? Esta característica sólo es apropiada para redes AP únicas. En las redes que constan de múltiples AP, esta configuración evita el roaming entre los AP, ya que cada uno está creando una red de invitados independiente.
Esto permite que el punto de acceso cree una barrera de capa 3 (IP) entre la red de invitados y la red de operaciones para aislarlos unos de otros. ¿Por qué no usar esto en lugar de una VLAN? Esta característica sólo es apropiada para redes AP únicas. En las redes que constan de múltiples AP, esta configuración evita el roaming entre los AP, ya que cada uno está creando una red de invitados independiente.
Cualquier cliente que intente roaming en la ‘red de invitados’ tendrá que restablecer una conexión de Capa 3, interrumpiendo así las aplicaciones de transmisión. Por lo tanto, en redes multi-AP, las VLAN siempre deben usarse para proporcionar redes de visitantes/invitados.
Ing. Aarón Levario
Product Manager| SYSCOM®
Mail: alevario@syscom.mx
|
---|