Cómo montar una red Wi-Fi en casa

por Nogha.- Miér Dic 15, 2010 5:20 pm

1. Introducción

Wi-Fi (Wireless Fidelity) es una de las tecnologías de comunicación inalámbrica (sin cables - wireless) más extendidas. También se conoce como WLAN o como IEEE 802.11
Los subestándares de Wi-Fi que actualmente más se están explotando en el ámbito comercial son:
- 802.11b:

· Pionero en 1999 y actualmente el más extendido.
· Opera en la banda de los 2.4 GHz.
· Alcanza una velocidad máxima de 11 Mb/sg.

- 802.11g:

· Estrenado en 2003.
· Opera en la banda de los 2.4 GHz.
· Alcanza una velocidad máxima de 54 Mb/sg.

Cuando compremos nuestro hardware Wi-Fi debemos fijarnos para qué subestándar fue diseñado, porque de nada nos sirve tener un Access Point .11b (11 Mb/sg) y un accesorio Wi-Fi .11g (54 Mb/sg) ya que de todas maneras nos estaremos conectando a 11 Mb/sg.

2. Conceptos básicos:

Repasemos la terminología que usaremos en este y otros futuros tutoriales:

Access Point: (Punto de Acceso o AP)

Es el dispositivo que hace de puente entre la red cableada y la red inalámbrica. Podemos pensar que es, de alguna manera, la antena a la que nos conectaremos.
Accesorio Wi-Fi:

Es el accesorio adicional que usaremos para incoporar el estándar 802.11 a nuestro equipo (PDA, ordenador portátil o de sobremesa), en caso de no tener Wi-Fi integrado.
Estos accesorios pueden encontrarse en formato de tarjetas PCMCIA (para portátil), PCI y USB (para ordenador de sobremesa) y esperamos que muy pronto en formato SD (Secure Digital) para nuestros PDAs Palm OS.

Dirección IP: (IP Address)

Una dirección IP es una serie de números que identifica a nuestro equipo dentro de una red.

Distinguimos entre IP pública (ej. 80.20.140.56), cuando es la dirección que nos identifica en Internet (por ejemplo la IP de tu router ADSL en Internet) e IP privada (ej. 192.168.0.2 ), que es la dirección que identifica a un equipo dentro de una red local (LAN).

Si, por ejemplo, pensamos en una red local con un router ADSL, los PCs o equipos conectados a la red tendrán sólo IP privada, mientras que el router tendrá una IP pública (su identificación en Internet) y una IP privada (su identificación en la red local).

Máscara de subred: (Subnet address)

Cifra de 32 bits que especifica los bits de una dirección IP que corresponde a una red y a una subred. Normalmente será del tipo 255.255.255.0

Puerta de enlace: (Gateway)

Es la dirección IP privada de nuestro router.

Servidores DNS: (DNS server)

Las páginas web también tienen su dirección IP pública y es a través de ésta dirección como en realidad nos conectamos a ellas. Pero claro, es más sencillo memorizar o escribir el nombre del dominio ([Tienes que estar registrado y conectado para ver este vínculo] que su dirección IP (216.239.59.104).

Para no memorizar la retahíla de números tenemos los servidores DNS. Un servidor DNS es un servidor en donde están almacenadas las correlaciones entre nombres de dominio y direcciones IP.
Cada vez que cargamos una página web, nuestro equipo (PDA, portátil u ordenador de sobremesa) envía una petición al servidor DNS para saber la dirección IP de la página que queremos cargar, y es entonces cuando hace la conexión.
Probablemente estaréis familiarizados con eso de "servidor DNS primario" y "servidor DNS secundario". El primario es el "principal" y el secundario es el de emergencia que usará nuestro ordenador en caso de que el primario no funcione.

WEP: (Wired Equivalent Privacy)

Es el tipo de encriptación que soporta la tecnología Wi-Fi. Su codificación puede ir de 64 bits hasta 128 bits.

WEP está deshabilitado por defecto.

SSID: (Service Set Identification)

Nombre con el que se identifica a una red Wi-Fi. Este identificador viene establecido de fábrica pero puede modificarse a través del panel de administración del Punto de Acceso.

DHCP:

Tecnología utilizada en redes que permite que los equipos que se conecten a una red (con DHCP activado) auto-configuren los datos dirección IP, máscara de subred, puerta de enlace y servidores DNS, de forma que no haya que introducir estos datos manualmente.

Por defecto la mayoría de los routers ADSL y los Puntos de Acceso tienen DHCP activado.

Dirección MAC: (MAC address - Media Access Control address)

Es el código único de identificación que tienen todas las tarjetas de red. Nuestro accesorio Wi-Fi o nuestro PDA con Wi-Fi integrado, al ser un dispositivo de red, también tendrá una dirección MAC única.

Las direcciones MAC son únicas (ningún dispositivo de red tiene dos direcciones MAC iguales) y permanentes (ya que vienen preestablecidas de fábrica y no pueden modificarse).

Infraestructura:

Modo de conexión en una red wireless que define que nuestro equipo (PDA, portátil u ordenador de sobremesa) se conectará a un Punto de Acceso. El modo de conexión deberá de especificarse en la configuración de nuestro equipo o del accesorio Wi-Fi.

Por defecto viene activado este modo.

Ad-Hoc: (Punto a Punto)

Modo de conexión en una red wireless que define que nuestro equipo (PDA, ordenador portátil o de sobremesa) se conectará directamente a otro equipo, en vez de hacerlo a un Punto de Acceso.

Ad-Hoc es una forma barata de tener conexión a Internet en un segundo equipo (por ejemplo un PDA) sin necesidad de comprar un Punto de Acceso. Para este uso la configuración se dificulta ya que tenemos que configurar en el ordenador que tiene la conexión a Internet un programa enrutador o una conexión compartida.

3. ¿Qué necesito para montar una red Wi-Fi en casa?

La mejor configuración es partir de una conexión ADSL con router, aunque también podremos montar una red Wi-Fi en casa a partir de otras configuraciones (cable, etc.).

Si ya contamos con esto, necesitaremos además:

* Punto de Acceso Wi-Fi.
* Si nuestro ordenador o portatil no incluye WiFi, necesitaremos un accesorio que nos de este tipo de conectividad.

4. Configuración del Access Point

La forma de ajustar los siguientes parámetros dependerá de los fabricantes, así que hablaré de ellos genéricamente.

1. Sacar el AP de su caja y conectarlo a la red eléctrica con el alimentador incluido en la caja.

2. Conectar el AP al router ADSL con el cable cable de red del AP (también incluido en la caja).

3A. Si tenéis DHCP activado en el router ADSL en principio no habrá que configurar ningún parámetro adicional en el AP.

Cómo se si tengo DHCP activado?

Al tenerlo activado, el router asigna automáticamente una dirección IP al equipo que se está conectando, sin necesidad de especificar algunos datos en la configuración de red del equipo (IP, puerta enlace, etc.). Todos estos datos los proporciona el router de forma automática.

3B. Si no tenéis DHCP activado, tendréis que establecer en el AP la IP privada que tendrá, la puerta de enlace (IP del router), la máscara de subred y los servidores DNS.

En todos los Puntos de Acceso se puede entrar al panel de administración a través de un navegador web. Algunos incluyen además un programa de Windows para hacer esta configuración.

En cualquier caso consultar el manual del AP para información detallada.

5. Configuración de nuestro equipo

La configuración de un PDA Palm OS lo veremos en detalle en un próximo tutorial. Para conectar un ordenador portátil o de sobremesa, consulta el manual de usuario para información detallada de la configuración.

Lo más normal es que tengáis una herramienta de gestión de la conexión Wi-Fi, incluida con el accesorio, donde podáis configurar los parámetros necesarios, así como ver la potencia de la señal.

Si tenéis DHCP activado sólo tendréis que abrir este programa, escanear las redes disponibles, seleccionar la vuestra y conectaros a ella. La configuración se realizará automáticamente.

Si tenéis DHCP desactivado tendréis que establecer manualmente la dirección IP de vuestro equipo, la puerta de enlace, la máscara de subred y los servidores DNSs. Después de hacer esto abrid el programa de configuración de Wi-Fi de vuestro equipo o del accesorio que hayáis instalado y seguíd los pasos del párrafo anterior.

6. Consideraciones y consejos sobre alcance y cobertura

El alcance de la señal de nuestra red Wi-Fi dependerá de:

* La potencia del Punto de Acceso.
* La potencia del accesorio o dispositivo Wi-Fi por el que nos conectamos.
* Los obstáculos que la señal tenga que atravesar (muros o metal).

Cuanto más lejos (linealmente) quieras llegar, más alto deberás colocar el Punto de Acceso. Muchos de los actuales APs vienen preparados para poderlos colgar en la pared.

Si quieres llegar lejos, evita también interferencias como microondas o teléfonos inalámbricos.

Si la señal te llega debilitada, utiliza un amplificador de señal o si es posible, monta una nueva antena de más potencia al AP (los Puntos de Acceso de gama baja NO lo permiten) o una antena exterior al accesorio (normalmente sólo para formatos PCMCIA o PCI).

Seguridad en WiFi

En general no tenemos conciencia de lo poco privados que son los datos que circulan por nuestras redes.
Las ventajas de una red inalámbrica no tienen precio, pero la seguridad es un tema clave, si el cable ya es poco seguro, menos seguro es que nuestros datos estén siendo transmitidos en el aire.
Esta serie de artículos tiene el propósito de abrir los ojos sobre este asunto de particular importancia.

¿Tan seguro como el cable?

No.
WEP es la sigla de Wired Equivalent Privacy. Aún para los que no saben mucho inglés se deja entrever el caracter del término. Un lector desinformado pensará: "Si uso ésto, entonces tendré la misma privacidad que en un cable". Lamentablemente no es así.
El primer error consiste en creer que un cable es totalmente seguro. Por diversas razones que no trataremos en detalle aquí, no lo es. Es cierto que varias violaciones a la privacidad de los datos que circulan por un cable requieren intervención física, pero no es el único tipo de vulnerabilidad que un sistema cableado puede presentar. Acuñar un término comparativo como WEP ha sido a mi entender una decisión de marketing con consecuencias lamentables para los usuarios de la tecnología.
Recapitulemos: los cables no son seguros, y se ofrece una tecnología llamada WEP que supuestamente brinda una seguridad equivalente a la de un cable. ¿Es así? Cuando pensamos en violación a la privacidad de una comunicación lo primero que se nos viene a la cabeza es la idea, arrastrada de la era de la telefonía, de la tristemente célebre -especialmente en Argentina- "pinchadura de cable" y ese es el único propósito de WEP, prevenir que alguien "pinche" nuestra comunicación. Sin embargo, veremos que la efectividad de WEP en esta tarea es lamentablemente nula.

WEP en profundidad

Formalmente, WEP es un algoritmo de cifrado criptográfico diseñado para proveer seguridad a los usuarios de redes inalámbricas 802.11 y fue desarrollado por un grupo de voluntarios de la IEEE. La intención es ofrecer seguridad en la red mientras la información fluye de un lado a otro en forma de ondas de radio. WEP fue usado para proteger la privacidad de una comunicación inalámbrica (confidencialidad), prevenir el acceso no autorizado a la red (control de acceso) y prevenir la alteración maliciosa de los datos durante la transmisión (integridad).
La técnica criptográfica utilizada en WEP es el cifrado de flujo (stream cipher) RC4 combinando una clave WEP de 40 bits con un vector aleatorio de 24 bits, conocido como vector de inicialización (IV). Quien envía realiza una operación XOR entre los datos del flujo cifrado con los datos reales para producir el texto cifrado (ciphertext). El paquete combinado con el vector de inicialización combinado con el texto cifrado, es entonces enviado al receptor. El receptor decifra el paquete utilizando la clave WEP y el vector de inicialización adosado.
Es de notar que tanto quien envía como quien recibe debe conocer la clave, por lo cual nos encontramos en presencia de lo que se denomina una técnica criptográfica simétrica.
Lamentablemente WEP no fue sometido a una buena cantidad de revisión antes de ser puesto en producción y esto significó que fallas de seguridad muy serias estuvieran presentes en el protocolo. Aunque la aplicación de WEP puede mantenernos a salvo de husmeadores ocasionales, los hackers experimentados pueden romper las claves de WEP en alrededor de 15 minutos en una red con bastante tráfico. En general WEP es considerado un protocolo quebrado.

La vulnerabilidad de WEP puede atribuirse a:

1) Recuperación de la clave WEP - Se utiliza siempre la misma clave WEP y un vector de inicialización diferente para cifrar los datos. El vector de inicialicación tiene un rango limitado de casi 17 millones de combinaciones. Eventualmente se comenzarán a reutilizar los vectores de inicialización en el flujo de datos, lo que permitirá que un atacante recolecte suficiente información como para quebrar la clave WEP (es decir, revelarla).

2) Descifrado no autorizado y violación de integridad de los datos - Una vez que el atacante obtiene la clave WEP, el mismo adquiere la capacidad de transformar los datos cifrados en datos originales y comprender el significado de los mismos. Utilizando el mismo algoritmo, el atacante puede convertirse en un impostor, utilizando la clave WEP para modificar el texto cifrado y enviar un mensaje modificado al receptor.

3) Pobre administración de las claves - Una clave adecuada se tipea en un dispositivo inalámbrico para habilitar su acceso a la red. Desafortunadamente no existen mecanismos previstos por el protocolo para renovar la clave WEP almacenada. Cada vez que una clave WEP está comprometida (descubierta por un enemigo) es necesario cambiarla para mantener la seguridad. El cambio manual de claves puede ser aplicable en un hogar o un pequeño negocio, sin embargo en un entorno empresarial con miles de dispositivos móviles asociados a la red inalámbrica, este método se vuelve imposible.

Si WEP no sirve ¿Entonces qué hago?

Tras revelarse la naturaleza insegura de WEP aparecieron varias soluciones tratando de emparchar el asunto. Entre las mismas pueden nombrarse el uso de claves WEP más grandes (256 bits, USRobotics, D-Link) y medidas complementarias como control de las direcciones MAC y similares, que en definitiva no solucionan los problemas de fondo.
Afortunadamente la industria reaccionó a tiempo y un nuevo protocolo llamado WPA (Wireless Protected Access) fue creado.

Conectores usados en conexiones de 2.4 Ghz

Para interconectar los elementos en la etapa de RF de los dispositivos WiFi de 2.4 Ghz se utilizan varios tipos de conectores aunque todos deben tener una adaptación de impedancia de 50 Ohm al igual que los cables y antenas utilizados.

Preguntas Frecuentes

¿Qué es WiFi?

WiFi, la abreviatura de Wireless Fidelity, es la denominación genérica para los productos que incorporan cualquier variante de la tecnología inalámbrica 802.11, que permite la creación de redes de trabajo sin cables también conocidas como WLAN, Wireless Local Area Netwoks. En un principio, la expresión Wi-Fi era utilizada únicamente para los dispositivos con tecnología 802.11b, el estándar dominante en el desarrollo de las redes inalámbricas, que funciona en una banda de frecuencias de 2,4 GHz. Con el fin de evitar confusiones en la compatibilidad de los aparatos y la interoperabilidad de las redes, el término Wi-Fi se extendió a todos los dispositivos provistos con tecnología 802.11 (ya sea 802.11a, 802.11b, 802.11g, 802.11i, 802.11h, 802.11e, con diferentes frecuencias y velocidades de transmisión).

¿WiFi realmente funciona o es experimental?

WiFi de ninguna manera es una tecnología experimental sino que se trata de tecnología madura y probada avalada por los estándares 802.11 de la IEEE. Los dispositivos están completamente normalizados y su interoperabilidad asegurada por los estándares anteriormente mencionados, en particular el estandar WiFi para los dispositivos 802.11b.

¿Qué alcance tienen los equipos?

Esta pregunta no tiene respuesta sencilla dado que el alcance está dado principalmente por el sistema de antena utilizado y las características propias del equipo (potencia de transmisión y sensibilidad de recepción). Para comprender la respuesta es necesario explicar algunas cosas, lo que haremos con una analogía a continuación: Imagínese a dos personas que intentan comunicarse vocalmente a distancia. Estas personas utilizan su boca para emitir y sus oídos para recibir. Que la comunicación suceda en ambas direcciones depende fundamentalmente del volumen de voz empleado por cada uno y también de la sensibilidad del oído de cada uno para oir lo que llega de la voz del otro. Los factores ambientales, como por ejemplo el ruido también deben ser tenidos en cuenta ya que afecta adversamente la calidad de la comunicación. La relación entre señal y ruido, comunmente expresada con la sigla SNR (Signal to Noise ratio) es un valor sumamente importante que determina la calidad de una comunicación y expresa cuánto se distingue el volumen de la voz de uno de nuestros interlocutores del ruido circundante. Cuanto más alto sea este valor, tanto mejor. Si ambos personajes se encuentran en un cuarto cerrado, este valor será altísimo, pero si en cambio se encuentran en un estadio de futbol durante un partido River-Boca este valor será extremadamente bajo. En el caso de los equipos 802.11b cada equipo tiene una determinada potencia de salida especificada en dBm (decibeles miliwatt) o directamente en miliwatts, que puede ser directamente comparada con volumen de la voz en nuestra analogía anterior. Un incremento de 3 unidades en la escala de dB equivale, aproximadamente, al doble de la potencia expresada en miliwatts o lo que es lo mismo, el doble de volumen. Las unidades dB también sirven para especificar la sensibilidad de los receptores, lo que sería volumen de voz más bajo que nuestros personajes de la analogía son capaces de oir inteligiblemente. Es por esta razón que la respuesta no es sencilla, dado que deben tenerse en cuenta la mayor cantidad posible de factores intervinientes para poder realizar un cálculo que permita determinar a priori si una conexión puede funcionar o no. Muchas veces esto no es suficiente y es necesario realizar pruebas concretas en el lugar para poder responder esta pregunta, especialmente si la condición de que exista una línea recta libre de obstáculos entre los puntos a conectar no se cumple. Algunos valores de referencia típicos para un emisor de 15 dBm y receptor con sensibilidad de -82 dBm equipados con un sencillo dipolo de 2 dBi a 11 Mbps son: 30 metros en interiores 150 metros en exteriores.

¿Qué signfican dBm, mW, dBi?

db es una medida de potencia, muy adecuada para expresar intensidad de señales, llamada decibel en honor a Alexander G. Bell. dBm es la unidad "decibel miliwatt" que es directamente convertible a watts, es una unidad de potencia. dBi es la unidad utilizada para expresar la ganancia de las antenas. La energía entregada por los equipos es irradiada al espacio a través de las antenas, el valor de dBi corresponde a la ganancia respecto de una antena ideal (teórica) que sólo se limite a irradiar la potencia recibida del equipo y transmitir al mismo las señales recibidas desde el espacio sin sumar ni restar potencia. Según su diseño una antena puede aumentar el nivel de las señales transmitidas y recibidas (ganancia) al igual que variar la selectividad del espacio irradiado por la misma (direccionalidad).

¿Cómo aumento el alcance: puedo cambiar la antena?

A prácticamente cualquier equipo se le puede conectar una antena externa. Por supuesto que si el equipo tiene un conector con ese propósito es algo muy práctico y nos permite mantener la garantía del equipo si eso es algo que nos preocupa. Uno de los problemas más importantes es la longitud del cable entre el equipo y la antena. Para la norma 802.11b se utilizan cables de 50 Ohm de impedancia. Sin embargo existen diferentes calidades de cable que tienen que ver con diferentes dimensiones físicas y diferente cantidad de pérdida (expresada en dB) por metro de conductor. Por ejemplo un cable barato como el RG58 tiene típicamente una pérdida de señal a 2.4 Ghz de aproximadamente 1,2 dB por metro.

¿Como aumento el alcance: puedo usar un amplificador?

Los amplificadores son una opción, pero deberían ser la última opción a utilizar tanto por su elevado costo (u$s 300 por puesto) como por su performance (disminución del valor de SNR). Generalmente todo puede ser resuelto con el sistema de antenas indicado para cada aplicación.

¿Si quiero conectar más de 2 computadoras entre si, estoy obligada a comprar un Access Point?

No, pero un Access Point, que viene a cumplir entre otras cosas el rol de un hub inalámbrico, ayuda espacialmente a mantener la conectividad entre todas las computadoras de una red WiFi, simplificando notablemente el proceso de instalación y administración de la red.

¿Es mejor el equipo con más potencia de transmisión?

No siempre. Un valor usualmente descuidado y ocultado por los fabricantes es la sensibilidad del receptor. Si bien la potencia de transmisión para los equipos 802.11b siempre está entre los 15 y 17 dBm la sensibilidad de los receptores puede variar, según el fabricante, en hasta 10 dB entre diferentes modelos.

¿Que la línea recta entre las antenas esté libre de obstáculos es una condición indispensable?

No, pero que no haya obstáculos simplifica y asegura muchas características del enlace, como también si se mantiene despejado el radio de Fresnel (un punto lamentablemente ignorado por el público menos capacitado) que debe estar libre entre las dos antenas. Los obstáculos, dependiendo de su naturaleza material, pueden ser importantes bloqueadores de la radiación electromagnética en las frecuencias utilizadas por la norma 802.11b. De todas maneras un enlace puede funcionar a pesar de los obstáculos si la absorción de señal no es intensa y por el fenómeno de difracción.

¿Es suficiente que las antenas se vean para que el enlace funcione?

A pesar de lo que vulgarmente se cree, la respuesta es: no. Para que el enlace funcione en su máximo rendimiento teórico es necesario que además de haber una línea recta sin obstáculos entre las antenas, haya un área alrededor de esta recta libre de obstáculos también. Esta área es conocida como zona de Fresnel. El radio de esta zona depende de las características del enlace y puede ser calculado matemáticamente.

¿Qué son IEEE 802.11a,b y g?

Los tres son estándares para conexiones inalámbricas: 802.11b y 802.11g son estándares que modulan sus transmisiones en la banda ISM (Industrial, Scientific, Medical) de 2.4 Ghz. 802.11b, popularmente conocido como WiFi, funciona con conexiones hasta 11 Mbps y 802.11g lo hace hasta 54 Mbps o sea casi 5 veces más rápido que su predecesor. La nueva norma 802.11g establece que todos los equipos que la cumplan deben ser capaces de comunicarse con sus antecesores 802.11b en forma transparente lo cual la convierte en la virtual sucesora tecnológica de la norma más vieja.
802.11a modula en la banda de 5.8 Ghz y es capaz de realizar conexiones de hasta 54 Mbps. Esta tecnología requiere de infraestructura no compatible con la tecnología de 2.4 Ghz. Si bien es una ventaja que la banda de 5.8 Ghz está mucho menos contaminada radialmente, en esta frecuencia las pérdidas de señal en los cables se ve aumentada y alcance de la señal se ve disminuído. La norma 802.11g utiliza la misma técnica de modulación que la 802.11a, claro que a diferentes frecuencias.

10 puntos para tener en cuenta

Intentar reducir la seguridad de WiFi o cualquier otro tipo de tecnología de red en sólo 10 puntos es una utopía, sin embargo nunca está de más utilizar esta lista como base en nuestras instalaciones.

Regla 1: Discreción

Evite anunciar innecesariamente la presencia de su instalación WiFi. Asegúrese de cambiar el SSID de sus equipos y no dejar el que viene de fábrica. También si es posible, deshabilite la baliza (beacon) SSID.
Procure instalar las antenas de punto de acceso (AP) y los niveles de potencia de los equipos para evitar la llegada de señal a áreas donde la cobertura no es deseada ni requerida.

Regla 2: Protéjase de la clonación

Hoy día es fácil "convertir" un dispositivo para que se presente como otro dispositivo (impersonation). Los dispositivos perdidos o robados son también una amenaza. El filtrado por direcciones de Control de Acceso de Medios (MAC) son un método de autenticación que no puede utilizarse en forma individual. Siempre debe ser acompañado de un método de autenticación independiente de los dispositivos, como los nombres de usuarios y contraseñas, directorios de red existentes u otros esquemas de autentificación.

Regla 3: Cifre los datos

Desear privacidad es algo normal. Para ésto, los datos transmitidos inalámbricamente deben ser cifrados. El cifrado básico provisto por WiFi, conocido WEP, es relativamente débil en todas sus formas y su mantenimiento es costoso e ineficiente. En forma complementaria a este método es aconsejable utilizar tecnologías probadamente eficaces en redes como IPSec con cifrado 3DES. Siempre procure utilizar esquemas de seguridad estandar que faciliten la interoperabilidad.

Regla 4: Filtre los datos

Esta regla en realidad no es exclusiva de las redes inalámbricas, pero es útil recordarla aquí: Limite y controle a donde puede ir el tráfico de la red inalámbrica. Un firewall es la herramienta ideal para esta tarea. Si la red inalámbrica va a ser usada para un propósito determinado, como el acceso a recursos empresariales específicos, entonces configure filtros de paquetes para que los datos que provienen de la red inalámbrica no puedan llegar a lugares indeseados.

Regla 5: Limite el acceso físico a los puntos de acceso

Evite emplazar APs en escritorios u otros lugares que pueden ser fácilmente accedidos. Visitantes curiosos, inescrupulosos o empleados descuidados pueden fácilmente mover, reemplazar o resetear los APs. La seguridad no puede garantizarse si no se cuida este punto.

Regla 6: Mantenga los ojos abiertos

Monitoree activamente las configuraciones de los AP. No es suficiente con configurar un AP correctamente. Una vez configurado, el AP debe permanecer apropiadamente configurado. Considere que es fácil para alguien ejecutar un reseteo de hardware en un AP que está colocado en un escritorio o el techo. Al monitorear activamente la configuración del AP, puede asegurar que el AP es automáticamente reconfigurado ante eventos de ese tipo que pudiesen ocurrir.

Regla 7: Controle los equipos clandestinos

En muchos lugares los APs pueden ser fácilmente instalados por empleados e intrusos y atentar contra las políticas de seguridad de la red. Mantener una política activa de detección de transmisiones WiFi con software de tipo sniffer es un requerimiento operacional crítico para la seguridad

Regla 8: Extreme la atención si no usa puntos de acceso

En una red inalámbrica operando en modo Ad Hoc (o peer to peer), un intruso puede filtrarse y obtener acceso a la red simplemente usando un cliente legítimo cono un punto de entrada. Los productos conocidos como personal firewall o software firewall complementados con otras herramientas de administración de red que activamente rastreen y administren al cliente antes de permitirle el acceso mediante la LAN inalámbrica son una buena prevención.

Regla 9: Controle el uso de ancho de banda

El no cumplir esta regla lo expone a ataques de negación de servicio (DoS) o una ineficiente utilización del ancho de banda en el mejor de los casos. Hay varias maneras de regular la utilización del ancho de banda pero debe tener en cuenta que los equipos WiFi más básicos no dan ninguna solución en este punto. Esto en realidad no es un problema si ubica esta funcionalidad en otra parte adecuada de su red.

Regla 10: El tiempo es oro

Siempre que sea posible, implemente políticas de administración en tiempo real. En muchas ocasiones las redes WiFi están ampliamente distribuidas. Por ejemplo abarcan campus enteros e incorporan múltiples sitios globales. Las políticas de seguridad (p.ej. listas de usuarios validados o derechos de acceso) naturalmente cambiaran. Estos cambios deben verse reflejados en tiempo real a través de la red inalámbrica para reducir la ventana de oportunidades para la intrusión, y más importante aún, facilitar el inmediato cierre de las brechas de seguridad detectadas.

Fuente: [Tienes que estar registrado y conectado para ver este vínculo]

Espero que les guste chicos. Saludos.