Autor Tema: Seguridad Hotspot (Leído 6717 veces)

maxlan83 · « **en:** 25-01-2008, 16:04 (Viernes) »

Hola Gente, la verdad que estoy por meter un hotspot, y tengo dos dudas importantes sobre la seguridad.
Les cuento brevemente, se trata de brindar a un pueblito de una conexion intranet, siempre con wifi, con la idea de que puedan tener un portal de discucion, e-learning, etc.
El problema 1 seria como dimensionar la seguridad, para que que Host1 NO se pueda comunicar directamente con el host2. Con esto quisiera evitar, que dos usuarios de la red usen el wifi para pasarse info directamente entre ellos, o mismo que se pongan a jugar en red, y la colapsen. Pero el tema es que tambien quiero dar VoIP, asi que si deniego la solucion P2P, cada vez que realice una llamada, tendria que ruterse toda la info hasta el router central y de ahi ir hasta el otro host destino...me explico? alguna solucion?

El problema 2, seria como manejar la seguridad de encriptacion entre el nodo y los usuarios. La idea es poner un servidor Radius que gestione la autenticacion, pero no se como establecer la seguridad (el metdo de encriptacion) entre los usuarios y el AP. Puntualizando, se puede dar una clave WPA-psk diferente para cada usuario?

Gracias,
Saludos

ediaz · « **Respuesta #1 en:** 02-02-2008, 17:22 (Sábado) »

La verdad que tus dudas son complicadas y largas de responder, lo mejor es que consultes a alguna (o a varias) empresas que instalen wifi, si quieres hacerlo tu mismo empieza por leer y aprender, porque para montar lo que quieres hacer necesitas aprender bastante del tema (no te lo tomes a mal).

es como preguntar el un foro de medicos, "perdon, pero me gustaria hacer transplante de riñon, vamos que abrir, quitar el riñon, poner el nuevo y cerrar, no?? como lo hago??"

:-)

saludos!!

*dudux · « **Respuesta #2 en:** 02-02-2008, 17:28 (Sábado) »

Cita de: maxlan83 en 25-01-2008, 16:04 (Viernes)

Hola Gente, la verdad que estoy por meter un hotspot, y tengo dos dudas importantes sobre la seguridad.
Les cuento brevemente, se trata de brindar a un pueblito de una conexion intranet, siempre con wifi, con la idea de que puedan tener un portal de discucion, e-learning, etc.
El problema 1 seria como dimensionar la seguridad, para que que Host1 NO se pueda comunicar directamente con el host2. Con esto quisiera evitar, que dos usuarios de la red usen el wifi para pasarse info directamente entre ellos, o mismo que se pongan a jugar en red, y la colapsen. Pero el tema es que tambien quiero dar VoIP, asi que si deniego la solucion P2P, cada vez que realice una llamada, tendria que ruterse toda la info hasta el router central y de ahi ir hasta el otro host destino...me explico? alguna solucion?

Gracias,
Saludos

parece interesante el proyecto maxlan.....

una pregunta antes de empezarl........que APs has pensado usar y con que firmware?
lo digo pq ddwrt oermite regular trafico p2p y muchas restricciones......que tal vez te puedan sacar de dudas........

Citar

El problema 2, seria como manejar la seguridad de encriptacion entre el nodo y los usuarios. La idea es poner un servidor Radius que gestione la autenticacion, pero no se como establecer la seguridad (el metdo de encriptacion) entre los usuarios y el AP. Puntualizando, se puede dar una clave WPA-psk diferente para cada usuario?

WPA fue diseñado para utilizar un servidor de autentificación (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a través del protocolo 802.1x ); sin embargo, también se puede utilizar en un modo menos seguro de clave pre-compartida ([PSK] - Pre-Shared Key) para usuarios de casa o pequeña oficina. La información es cifrada utilizando el algoritmo RC4 (debido a que WPA no elimina el proceso de cifrado WEP, sólo lo fortalece), con una clave de 128 bits y un vector de inicialización de 48 bits.

http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access

me interesa el tema......ya que desconozco el sistema de hotspotl......cuentanos

ediaz · « **Respuesta #3 en:** 02-02-2008, 17:43 (Sábado) »

no trae la version 24 de dd-wrt unos cuantos clientes integrados?? Wifidog Sputnik

Corrijo, mas bien trae los server, vamos que con el dd-wrt casi lo tienes (aunque dudo que una vez conectado puedas evitar que se conecten entre ellos. (aunque no se porque deberia poderse conectar entre ellos).

yonmax · « **Respuesta #4 en:** 03-02-2008, 18:25 (Domingo) »

haaber si te montas un Hotspot no creo que sea necesario utilizar incriptacion con un servidor radios, puesto que creeas cuentas por casa usuario asignandole clave y user para que accedan al sistema, por ejemplo te conectas a la señal, abres el navegador te carga la pagina del hotspot en dodne te solicite un user y un pasw, y lito

, ademas si le pones incriptacion a la señal corres el riego que te hagan atauqes a los nodos, como denegacion de servio, falsa autentificacion,etc provocando saturacion y caidas continuas, en especial si utilizas AP linksys.

Ademas si quieres controlar p2p, el linksys con el dd-wrt no es muy bueno =(,,de echo se te van a caer los nodos cuando algen aplike la Mula xD, te recomiendo comprar un ap Mikrotik con su licencia :-) yo he obtenido muy buenos resultados con ellos en WISP, inclusive, dependiendo del level de la licencia, puedes manejar el firewall a nivel capa 7

.... abra algo mejor que mikrotik? I love mikrotik

maxlan83 · « **Respuesta #5 en:** 04-02-2008, 12:06 (Lunes) »

Gracias por sus respuestas. Evidentemente no fui muy claro, porque todos entendieron que lo que queria bloquear era la mula al referirme con conexion p2p. En verdad lo que quise decir fue bloquear el trafico Point to point, es decir, que dos amiguillos utilicen la red wifi, para pasarse datos entre ellos, o que se pongan a jugar en red.

Cita de: yonmax en 03-02-2008, 18:25 (Domingo)

haaber si te montas un Hotspot no creo que sea necesario utilizar incriptacion con un servidor radios, puesto que creeas cuentas por casa usuario asignandole clave y user para que accedan al sistema, por ejemplo te conectas a la señal, abres el navegador te carga la pagina del hotspot en dodne te solicite un user y un pasw, y lito , ademas si le pones incriptacion a la señal corres el riego que te hagan atauqes a los nodos, como denegacion de servio, falsa autentificacion,etc provocando saturacion y caidas continuas, en especial si utilizas AP linksys.

Si si, es lo que estoy montando. Un radius que de autentificacion. Pero una vez logueado, la informacion estaria viajando en texto claro, sino utilizo encriptacion correria riesgos de que cualquiera pudiese ver, modificar, los datos enviados por los usuarios. Como metodo de encriptacion tendria que ser WAP, ya que todos sabemos la debilidad de los IVs de wep, pero el tema es como repartir las claves de encripcion para cada uno de los clientes.

Saludos y gracias,

hsirc · « **Respuesta #6 en:** 18-02-2008, 18:50 (Lunes) »

Si usas encriptación, te van a bombardear tu AP inyectandote trafico para querer obtener la llave provocando la caida de tus AP, yo creo que es mejor que uses la autentificación del RADIUS server, y por filtrado MAC parece que el radius server permite una vez que te conectes registra tu MAC.

Sobre lo que comentas que entre usuarios puedan hacer uso de tu red wifi para poder jugar entre ellos, no debe ser posible ya que cuando uno se conecta al hotspot no tiene acceso a ninguna IP y ningun puerto distinto al de la pagina del hotspot(opcionalmente puedes añadir y permitir otras paginas de ejemplo como google).

SAlu2.

yonmax · « **Respuesta #7 en:** 18-02-2008, 19:44 (Lunes) »

sepp, llo mejor es qe utilizes servidor radius y filtrado mac, aunqe sinceramente igual algen podria pasar esas barreras, es facil xD, pero bueno si sucede lo mas probable que cuando este conectado, no podra concectarce el usuario que en realidad tiene esa autentificacion, y ante ese caso te llamarian, y ahy tu podrias facilmente kikearlo(botarlo) al qe esta conectado, le das una nueva clave a tu usuario y lito

Noticias:

Autor Tema: Seguridad Hotspot (Leído 6717 veces)

maxlan83

Seguridad Hotspot

ediaz

Re: Seguridad Hotspot

*dudux

Re: Seguridad Hotspot

ediaz

Re: Seguridad Hotspot

yonmax

Re: Seguridad Hotspot

maxlan83

Re: Seguridad Hotspot

hsirc

Re: Seguridad Hotspot

yonmax

Re: Seguridad Hotspot