Autor Tema: Seguridad Hotspot  (Leído 5928 veces)

0 Usuarios y 1 Visitante están viendo este tema.

maxlan83

  • Visitante
Seguridad Hotspot
« en: 25-01-2008, 16:04 (Viernes) »
Hola Gente, la verdad que estoy por meter un hotspot, y tengo dos dudas importantes sobre la seguridad.
Les cuento brevemente, se trata de brindar a un pueblito de una conexion intranet, siempre con wifi, con la idea de que puedan tener un portal de discucion, e-learning, etc.
El problema 1 seria como dimensionar la seguridad, para que que Host1 NO se pueda comunicar directamente con el host2. Con esto quisiera evitar, que dos usuarios de la red usen el wifi para pasarse info directamente entre ellos, o mismo que se pongan a jugar en red, y la colapsen. Pero el tema es que tambien quiero dar VoIP, asi que si deniego la solucion P2P, cada vez que realice una llamada, tendria que ruterse toda la info hasta el router central y de ahi ir hasta el otro host destino...me explico? alguna solucion?

El problema 2, seria como manejar la seguridad de encriptacion entre el nodo y los usuarios. La idea es poner un servidor Radius que gestione la autenticacion, pero no se como establecer la seguridad (el metdo de encriptacion) entre los usuarios y el AP. Puntualizando, se puede dar una clave WPA-psk diferente para cada usuario?

Gracias,
Saludos



ediaz

  • Visitante
Re: Seguridad Hotspot
« Respuesta #1 en: 02-02-2008, 17:22 (Sábado) »
La verdad que tus dudas son complicadas y largas de responder, lo mejor es que consultes a alguna  (o a varias) empresas que instalen wifi, si quieres hacerlo tu mismo empieza por leer y aprender, porque para montar lo que quieres hacer necesitas aprender bastante del tema (no te lo tomes a mal).

es como preguntar el un foro de medicos, "perdon, pero me gustaria hacer transplante de riñon, vamos que abrir, quitar el riñon, poner el nuevo y cerrar, no?? como lo hago??"

:-)

saludos!!

*dudux

  • Visitante
Re: Seguridad Hotspot
« Respuesta #2 en: 02-02-2008, 17:28 (Sábado) »
Hola Gente, la verdad que estoy por meter un hotspot, y tengo dos dudas importantes sobre la seguridad.
Les cuento brevemente, se trata de brindar a un pueblito de una conexion intranet, siempre con wifi, con la idea de que puedan tener un portal de discucion, e-learning, etc.
El problema 1 seria como dimensionar la seguridad, para que que Host1 NO se pueda comunicar directamente con el host2. Con esto quisiera evitar, que dos usuarios de la red usen el wifi para pasarse info directamente entre ellos, o mismo que se pongan a jugar en red, y la colapsen. Pero el tema es que tambien quiero dar VoIP, asi que si deniego la solucion P2P, cada vez que realice una llamada, tendria que ruterse toda la info hasta el router central y de ahi ir hasta el otro host destino...me explico? alguna solucion?



Gracias,
Saludos

parece interesante el proyecto maxlan.....

una pregunta antes de empezarl........que APs has pensado usar y con que firmware?
lo digo pq ddwrt oermite regular trafico p2p y muchas restricciones......que  tal vez te puedan sacar de dudas........




Citar
El problema 2, seria como manejar la seguridad de encriptacion entre el nodo y los usuarios. La idea es poner un servidor Radius que gestione la autenticacion, pero no se como establecer la seguridad (el metdo de encriptacion) entre los usuarios y el AP. Puntualizando, se puede dar una clave WPA-psk diferente para cada usuario?


WPA fue diseñado para utilizar un servidor de autentificación (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a través del protocolo 802.1x ); sin embargo, también se puede utilizar en un modo menos seguro de clave pre-compartida ([PSK] - Pre-Shared Key) para usuarios de casa o pequeña oficina. La información es cifrada utilizando el algoritmo RC4 (debido a que WPA no elimina el proceso de cifrado WEP, sólo lo fortalece), con una clave de 128 bits y un vector de inicialización de 48 bits.

http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access


me interesa el tema......ya que desconozco el sistema de hotspotl......cuentanos

ediaz

  • Visitante
Re: Seguridad Hotspot
« Respuesta #3 en: 02-02-2008, 17:43 (Sábado) »
no trae la version 24 de dd-wrt unos cuantos clientes integrados?? Wifidog  Sputnik

Corrijo, mas bien trae los server, vamos que con el dd-wrt casi lo tienes (aunque dudo que una vez conectado puedas evitar que se conecten entre ellos. (aunque no se porque deberia poderse conectar entre ellos).
« Última modificación: 02-02-2008, 17:46 (Sábado) por ediaz »

yonmax

  • Visitante
Re: Seguridad Hotspot
« Respuesta #4 en: 03-02-2008, 18:25 (Domingo) »
haaber si te montas un Hotspot no creo que sea necesario utilizar incriptacion con un servidor radios, puesto que creeas cuentas por casa usuario asignandole clave y user para que accedan al sistema, por ejemplo te conectas a la señal, abres el navegador te carga la pagina del hotspot en dodne te solicite un user y un pasw, y lito :D, ademas si le pones incriptacion a la señal corres el riego que te hagan atauqes a los nodos, como denegacion de servio, falsa autentificacion,etc provocando saturacion y caidas continuas, en especial si utilizas AP linksys.

   Ademas si quieres controlar p2p, el linksys con el dd-wrt no es muy bueno =(,,de echo se te van a caer los nodos cuando algen aplike la Mula xD, te recomiendo comprar un ap Mikrotik con su licencia :-) yo he obtenido muy buenos resultados con ellos en WISP, inclusive, dependiendo del level de la licencia, puedes manejar el firewall a nivel capa 7  ;D  .... abra algo mejor que mikrotik? I love mikrotik  :D

maxlan83

  • Visitante
Re: Seguridad Hotspot
« Respuesta #5 en: 04-02-2008, 12:06 (Lunes) »
Gracias por sus respuestas. Evidentemente no fui muy claro, porque todos entendieron que lo que queria bloquear era la mula al referirme con conexion p2p. En verdad lo que quise decir fue bloquear el trafico Point to point, es decir, que dos amiguillos utilicen la red wifi, para pasarse datos entre ellos, o que se pongan a jugar en red.

 
haaber si te montas un Hotspot no creo que sea necesario utilizar incriptacion con un servidor radios, puesto que creeas cuentas por casa usuario asignandole clave y user para que accedan al sistema, por ejemplo te conectas a la señal, abres el navegador te carga la pagina del hotspot en dodne te solicite un user y un pasw, y lito :D, ademas si le pones incriptacion a la señal corres el riego que te hagan atauqes a los nodos, como denegacion de servio, falsa autentificacion,etc provocando saturacion y caidas continuas, en especial si utilizas AP linksys.


Si si, es lo que estoy montando. Un radius que de autentificacion. Pero una vez logueado, la informacion estaria viajando en texto claro, sino utilizo encriptacion correria riesgos de que cualquiera pudiese ver, modificar, los datos enviados por los usuarios.  Como metodo de encriptacion tendria que ser WAP, ya que todos sabemos la debilidad de los IVs de wep, pero el tema es como repartir las claves de encripcion para cada uno de los clientes.

Saludos y gracias,


hsirc

  • Visitante
Re: Seguridad Hotspot
« Respuesta #6 en: 18-02-2008, 18:50 (Lunes) »
Si usas encriptación, te van a bombardear tu AP inyectandote trafico para querer obtener la llave provocando la caida de tus AP, yo creo que es mejor que uses la autentificación del RADIUS server, y por filtrado MAC parece que el radius server permite una vez que te conectes registra tu MAC.


Sobre lo que comentas que entre usuarios puedan hacer uso de tu red wifi para poder jugar entre ellos, no debe ser posible ya que cuando uno se conecta al hotspot no tiene acceso a ninguna IP y ningun puerto distinto al de la pagina del hotspot(opcionalmente puedes añadir y permitir otras paginas de ejemplo como google).


SAlu2.


yonmax

  • Visitante
Re: Seguridad Hotspot
« Respuesta #7 en: 18-02-2008, 19:44 (Lunes) »
sepp, llo mejor es qe utilizes servidor radius y filtrado mac, aunqe sinceramente igual algen podria pasar esas barreras, es facil xD, pero bueno si sucede lo mas probable que cuando este conectado, no podra concectarce el usuario que en realidad tiene esa autentificacion, y ante ese caso te llamarian, y ahy tu podrias facilmente kikearlo(botarlo) al qe esta conectado, le das una nueva clave a tu usuario y lito :D

//FINAL Y MÁS DOS RESPUESTAS