Hola, acabo de terminar la instalación de suse 9.3 (oooooooooooh, ni un solo problema, me reconoce, mi mas profundo temor, hasta la tarjeta wireless belkin F5D7000 'out of the box' ). Habia estado leyendo historias de miedo sobre ndiswrapper que no funcionaria, pero no he tenido que hacer NADA para configurarla. El caso es que tengo una red wireless en casa, totalmente abierta, y claro, no es plan. Quiero asegurarla un poco y no tengo ni idea de por donde empezar. He estado leyendo que si WEP, que si por filtro de MACs, que si el passphrasse, pero no me entero de nada. Por ejemplo, como le digo al router cual es la passphrase, es decir, yo puedo configurar mi cliente para usar la passphrase correcta, pero no se como el router comprueba que lo es. Ahora mismo la red son dos pc's (suse 9.3 y wxp), un portatil con w2k (aunque tal vez le pueda meter suse tambien) y pronto habrá otro pc con suse. Y quiero que el router este bien asegurado, pues montare una pequeña 'server farm' detras del router. En fin, que cualquier link, expliación, lo que sea, será mas que bienvenida. Gracias. -- Saludos, miguel
El 29/05/05, miguel gmail escribió:
El caso es que tengo una red wireless en casa, totalmente abierta, y claro, no es plan. Quiero asegurarla un poco y no tengo ni idea de por donde empezar.
Entra al punto de acceso como si fuera un router a través del navegador. Hay encontrarás todo lo que necesitas para proteger tu red wifi. Dependiendo del tipo de aparatejo que tengas verás unas opciones u otras, pero las más comunes en materia de seguridad son: - Cambiar el nombre que trae de fábrica - Ocultarlo para que no aparezca visible - Cifrado WEP de 128 bits - Filtrado por direcciones MAC (no me gusta mucho esta opción) Aquí te dejo un artículo de la revista Consumer donde se habla del tema: http://www.consumer.es/web/es/tecnologia/internet/2005/04/04/140924.php Saludos, -- Camaleón
Hola!
Entra al punto de acceso como si fuera un router a través del navegador. Hay encontrarás todo lo que necesitas para proteger tu red wifi. Dependiendo del tipo de aparatejo que tengas verás unas opciones u otras, pero las más comunes en materia de seguridad son:
- Cambiar el nombre que trae de fábrica
Vale, pondre un nombre que se me ocurra. Esto también hay que ponerlo en los clientes?
- Ocultarlo para que no aparezca visible
Esto que significa? Que efecto tiene? No entiendo muy bien que es esta opción.
- Cifrado WEP de 128 bits
Uhm, he leido esta semana (en barrapunto?) que WEP se puede romper en 3 minutos. Puede que sea mas con equipos normales, pero el hecho es que se puede romper. Y me he dado cuenta que mi router, de Telefonica - Zyxel, _sólo_ da WEP y no WPA (mas seguro): http://barrapunto.com/article.pl?sid=05/05/20/1118203
- Filtrado por direcciones MAC (no me gusta mucho esta opción)
Por? porque se pueden alterar las MAC del cracker en cuestion? Es que como no se, pregunto...
Aquí te dejo un artículo de la revista Consumer donde se habla del tema:
http://www.consumer.es/web/es/tecnologia/internet/2005/04/04/140924.php
MUY BUENO el articulo, me ha aclarado todas las dudas que tenía! -- Saludos, miguel
El 29/05/05, miguel gmail escribió:
Vale, pondre un nombre que se me ocurra. Esto también hay que ponerlo en los clientes?
No. Sólo en el punto de acceso.
Esto que significa? Que efecto tiene? No entiendo muy bien que es esta opción.
Pues que de forma predeterminada los puntos de acceso suelen "anunciarse" a todos los dispositivos inalámbricos que estén en su rango de detección. A no ser que seas un "hot spot" y vendas un servicos de conexión, no creo que quieras anunciar tu punto de acceso a todo el mundo. Es como decir, ¡eh, mi red está aquí! :-)
Uhm, he leido esta semana (en barrapunto?) que WEP se puede romper en 3 minutos. Puede que sea mas con equipos normales, pero el hecho es que se puede romper. Y me he dado cuenta que mi router, de Telefonica - Zyxel, _sólo_ da WEP y no WPA (mas seguro):
Sí, pero si nos empezamos a volver paranoicos lo mejor sería desconectar el cable de red.
Por? porque se pueden alterar las MAC del cracker en cuestion? Es que como no se, pregunto...
Porque no lo veo práctico, es muy engorroso para configurar y tampoco es 100% seguro. Imagina que viene un amigo a tu casa con un portátil y se quiere conectar a tu red wifi. Tendrías que añadir su dirección MAC para darle acceso...
MUY BUENO el articulo, me ha aclarado todas las dudas que tenía!
Sí, suelen sacar artículos muy interesantes y bien hechos. Por cierto, se me olvidada decirte que si eres muy paranoico :-P, puedes utilizar un "sniffer" para ver los paquetes que circulan por tu red. Kismet es uno de ellos: http://www.kismetwireless.net Saludos, -- Camaleón
acabo de terminar la instalación de suse 9.3 (oooooooooooh, ni un solo problema, me reconoce, mi mas profundo temor, hasta la tarjeta wireless belkin F5D7000 'out of the box' ). Habia estado leyendo historias de miedo sobre ndiswrapper que no funcionaria, pero no he tenido que hacer NADA para configurarla.
Felicidades, eres afortunado. :-)
He estado leyendo que si WEP, que si por filtro de MACs, que si el passphrasse, pero no me entero de nada.
WEP es una clave de cifrado de los paquetes, habitualmente en 64 0 128 bits. El filtro MAC es el nombre físico del dispositivo La passphrasse que dices, es el password del cifrado WEP. Este paswword debe ser el mismo tanto en el punto de acceso como en los ordenadores conectados por WiFi
Por ejemplo, como le digo al router cual es la passphrase, es decir, yo puedo configurar mi cliente para usar la passphrase correcta, pero no se como el router comprueba que lo es.
Depende del modelo de router. La mayoría de "routers" pueden configurarse, además del programa-engendro para Windows, a traves de página Web y/o por Telnet. Tienes que mirar en el manual del router cual es su dirección IP privada que viene predeterminada de fábrica. (por ejemplo para un Amper Xavi de Timoafonica es 192.168.249.1) y para entrar en la configuración del router sería: http://192.168.249.1 Es importante que en la configuración WiFi del cliente del punto de acceso haya una dirección IP privada en el mismo rango 192.168.249.xx para poder conectar por web o telnet al router En cuanto al password para WEP dependerá del router, pero normalmente son una serie de números hexadecimales hasta la longitud predeterminada en función de si la clave es de 64 o de 128. algunos modelos permiten el uso de palabras, pero como la mayoría de clientes WiFi no tienen esa función, mejor será apuntar la clave en papel e ir poniéndola "a mano". El router WIFI no tiene que comprobar el password, simplemente codificará los paquetes con él y será "problema" del cliente hacer la codificación. Por cierto, cuanto más largo es el código de cifrado más se tarda en descifrarlo .... Efectivamente existen programas para descodificar las transmisiones, siendo, a mi entender, el más conocido AirSnort (para Linux y con alguna versión con binarios para Windows XP) El tema de los filtrados MAC se puede usar si la red es totalmente privada y no va a venir el amiguete de turno a conectar su ordenador en la misma. Se basa en permtir el acceso solo a los dispositivos físicos que esten listados en la tabla de admisiones del router mediante su correspondiente código MAC. Otras medida adicionales de seguridad son: 1.- Cambiar el nombre del identificador del router (SSID) con lo que evitas que se pueda identificar el modelo de aparato que está utilizando. Hay modelos de router que permiten esconder este identificador, sin embargo no se como afecta eso a los clientes Windows. 2.- Deshabilitar el servidor DHCP del punto de acceso y utilizar IPs privadas fijas para cada máquina. Por ejemplo, en el Amper Xavi la IP predeterminada era 192.168.249.1 Entonces, por ejemplo se sustituiria por: Router AMper Xavi. IP pasarela predeterminada 192.168.33.1 Ordenador 9.3: 192.168.33.2 Portalir w2k 192.168.33.3 Ordenador XP 192.168.33.4 Portatil Suse: 192.168.33.5 Estableciendo en los respectivos cortafuegos de cada máquina que solo las IP en el rango 192.168.33.1 a 192.168.33.5 tengan acceso a la red. Evidentemente hay que cambiar tambián los nombres de usuario y de acceso al router que vienen preestablecidos de fábrica. Más medidas adicionales pueden ser deshabilitar la respuesta automática a los comandos "trace" y "ping" que el router pueda hacer y abrile SOLO los puertos que te hagan falta.
En fin, que cualquier link, expliación, lo que sea, será mas que bienvenida.
Una buena idea es empezar por el propio manual del router. :-) P.D. El router Amper Xavi de TimoAfónica del que hablo en este mensaje ya no existe, se quemó después de "casi" un mes (treinta dias) de duro trabajo. Como siempre mis más sinceras felicitaciones a (T) por las grandes alegrías y satisfacciones que nos da. -- Salutacions - Saludos, Josep M. Queralt
Perdonad la intrusión. La 9.3 también trae los drivers nativos de la ralink. Creo que vamos mejorando.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-05-29 a las 18:41 +0200, Josep M. Queralt escribió:
El tema de los filtrados MAC se puede usar si la red es totalmente privada y no va a venir el amiguete de turno a conectar su ordenador en la misma. Se basa en permtir el acceso solo a los dispositivos físicos que esten listados en la tabla de admisiones del router mediante su correspondiente código MAC.
La MAC es cambiable es un tris-tras en las ethernet, así que supongo que en las wi-fi, también. No es un metodo "confiable" de validación. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFCmmz2tTMYHG2NR9URAv18AJ4sEL6xm91+pVSxb59rdjaUXiQQ6ACeKCGc AYqVJIx2gduxP8+5axCnT0o= =9rfx -----END PGP SIGNATURE-----
Hola. Carlos E. R. wrote:
El tema de los filtrados MAC se puede usar si la red es totalmente privada y no va a venir el amiguete de turno a conectar su ordenador en la misma. Se basa en permtir el acceso solo a los dispositivos físicos que esten listados en la tabla de admisiones del router mediante su correspondiente código MAC.
La MAC es cambiable es un tris-tras en las ethernet, así que supongo que en las wi-fi, también. No es un metodo "confiable" de validación.
¿Y cómo haría el intruso para saber qué MAC ha de ponerse? ¿Puede investigar el tráfico si previamente no se ha introducido en la red con una MAC válida? Saludos, Andrés --
¿Y cómo haría el intruso para saber qué MAC ha de ponerse? ¿Puede investigar el tráfico si previamente no se ha introducido en la red con una MAC válida?
Saludos,
Por lo que yo he leido justo eso es lo que hacen los intrusos, sniffar el trafico, primero para desencriptar los paquetes WEP y luego segun las tramas averiguar las MAC validas. Con toda esa información pueden conseguir acceso. Como dijo Camaleon si eres un paranoico de la seguridad no enchufes el cable, perdón que no hay cable ;-)) usa un material dielectrico para evitar la microonda je je Salu2 Emo
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-06-03 a las 10:37 +0200, Emiliano Sutil escribió:
¿Y cómo haría el intruso para saber qué MAC ha de ponerse? ¿Puede investigar el tráfico si previamente no se ha introducido en la red con una MAC válida?
Para escuchar, y más via radio, no hace falta enviar nada.
Por lo que yo he leido justo eso es lo que hacen los intrusos, sniffar el trafico, primero para desencriptar los paquetes WEP y luego segun las tramas averiguar las MAC validas. Con toda esa información pueden conseguir acceso. Como dijo Camaleon si eres un paranoico de la seguridad no enchufes el cable, perdón que no hay cable ;-)) usa un material dielectrico para evitar la microonda je je
No es ninguna broma. Yo trabajé en una multinacional de telecomunicaciones en la que poco después de haber instalado unos cuantos wifi, prohibieron las redes inalámbricas en todas las máquinas internas, hasta que investigaran y homologaran un sistema de encriptación suficientemente bueno y fiable. No veas lo que fastidió en los almacenes, que usaban portatiles para control de inventario y otras zarandajas, tener que volver a usar cablecitos de unos cuantos "metros". Por supuesto, los cristales estaban blindados contra radiaciones. Ni siquiera funcionaban los móviles, hasta que pusieron repetidores internos. ¿Paranóicos? Pues no veas el mecanismo de login... - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFCoDKmtTMYHG2NR9URAn+EAKCZBWUWQ1QeH5f/qSqEMColrIpd6wCeM2Ho aVNrxfFPrZbdUt1LBWfQ5Fk= =GUTX -----END PGP SIGNATURE-----
Yo trabajé en una multinacional de telecomunicaciones en la que poco después de haber instalado unos cuantos wifi, prohibieron las redes inalámbricas en todas las máquinas internas, hasta que investigaran y homologaran un sistema de encriptación suficientemente bueno y fiable. No veas lo que fastidió en los almacenes, que usaban portatiles para control de inventario y otras zarandajas, tener que volver a usar cablecitos de unos cuantos "metros". Pues vaya pasada, ya me imagino a los operarios con la bobina de cable moviendose por los alamacenes, un poco mas y les hacen llevar el inventario en la tan util libreta y lapiz en la oreja.
Por supuesto, los cristales estaban blindados contra radiaciones. Ni siquiera funcionaban los móviles, hasta que pusieron repetidores internos.
Si no quieres intrusiones externas, es que no se me ocure otra manera, o eliminas el espectro radioelectrico o lo llevas claro
¿Paranóicos? Pues no veas el mecanismo de login...
El nivel de paranoia siempre lo pone lo que escondas y la importancia que le des claro, yo he pasado por etapas de autentica locura, Un saludo Emi
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFCoDKmtTMYHG2NR9URAn+EAKCZBWUWQ1QeH5f/qSqEMColrIpd6wCeM2Ho aVNrxfFPrZbdUt1LBWfQ5Fk= =GUTX -----END PGP SIGNATURE-----
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Los filtros MAC hace tiempo que son fácilmente reventables (no me preguntéis cómo, no soy hacker) no hace mucho que en hispasec anunciaron cómo el FBI había demostrado que se podía romper el WEP en menos de tres minutos (puede que me confunda en alguna cifra, tengo mala memoria). No recuerdo qué pega pusieron al WPA, pero el analista concluyó que lo más seguro hoy por hoy es implementar IPSec. Yo todavía no lo he hecho pero lo tengo como tarea pendiente. Román González Madrid djromy@wanadoo.es
-----Mensaje original----- De: Emiliano Sutil [mailto:emiliano.sutil@gmail.com] Enviado el: viernes, 03 de junio de 2005 13:43 Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] seguridad en redes wireless
Yo trabajé en una multinacional de telecomunicaciones en la que poco después de haber instalado unos cuantos wifi, prohibieron las redes inalámbricas en todas las máquinas internas, hasta que investigaran y homologaran un sistema de encriptación suficientemente bueno y fiable. No veas lo que fastidió en los almacenes, que usaban portatiles para control de inventario y otras zarandajas, tener que volver a usar cablecitos de unos cuantos "metros". Pues vaya pasada, ya me imagino a los operarios con la bobina de cable moviendose por los alamacenes, un poco mas y les hacen llevar el inventario en la tan util libreta y lapiz en la oreja.
Por supuesto, los cristales estaban blindados contra radiaciones. Ni siquiera funcionaban los móviles, hasta que pusieron repetidores
internos.
Si no quieres intrusiones externas, es que no se me ocure otra manera, o eliminas el espectro radioelectrico o lo llevas claro
¿Paranóicos? Pues no veas el mecanismo de login...
El nivel de paranoia siempre lo pone lo que escondas y la importancia que le des claro, yo he pasado por etapas de autentica locura,
Un saludo
Emi
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFCoDKmtTMYHG2NR9URAn+EAKCZBWUWQ1QeH5f/qSqEMColrIpd6wCeM2Ho aVNrxfFPrZbdUt1LBWfQ5Fk= =GUTX -----END PGP SIGNATURE-----
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
participants (8)
-
Camaleón -
Carlos E. R. -
Emiliano Sutil -
Josep M. Queralt -
knocte -
miguel gmail -
Román González Madrid -
Vicente González Valle