La tecnología Wi-Fi puede ser segura, siempre y cuando se utilicen las medidas de seguridad adecuados. Por desgracia, la web está llena de consejos y mitos obsoletos, por lo que ofrecemos aquí una lista de principios que muestran qué hacer y qué no con respecto a la seguridad Wi-Fi, que rebaten algunos de los ellos.
1. No utilice WEP
La seguridad WEP (Wired Equivalent Privacy) murió hace mucho tiempo. Su codificación subyacente puede ser rota de forma rápida y fácilmente por el más inexperto de los piratas informáticos.Por lo tanto no debe usar WEP en absoluto. Si es así, actualícese inmediatamente a WPA2 (WiFi Protected Access) con 802.1X autenticación 802.11i.
Si tiene clientes de versiones anteriores o puntos de acceso que no son compatibles con WPA2, intente actualizar el firmware o simplemente reemplace el equipo.
2. No utilice WPA/WPA2-PSK
El modo de clave de seguridad WPA y WPA2 pre-compartida (PSK) no es seguro para los entornos de negocio o empresa. Cuando se utiliza este modo, la misma clave pre-compartida se debe introducir en cada cliente. Así, el PSK tendría que ser cambiado cada vez que un empleado se va, o cuando un cliente la pierde o es robada. Es poco práctico para la mayoría de entornos.
3. Implemente 802.11i
El modo EAP (Extensible Authentication Protocol) de WPA y WPA2 utiliza la autenticación 802.1X en lugar de PSK, proporcionando la capacidad de ofrecer a cada usuario o cliente sus propias credenciales de acceso: usuario y contraseña y/o un certificado digital.
Las actuales claves de cifrado son cambiadas e intercambiadas con regularidad pero en un segundo plano. Así, para cambiar o revocar el acceso de usuarios, todo lo que tiene que hacer es modificar las credenciales de inicio de sesión en un servidor central, en lugar de cambiar la PSK en cada cliente.
La única sesión por teclas también evita que los usuarios espíen el tráfico de los demás -que ahora es fácil con herramientas como el complemento de Firefox Firesheep y la aplicación Android DroidSheep. Para habilitar la autenticación 802.1X es necesario tener un servidor RADIUS/AAA.
Si está ejecutando Windows Server 2008 y versiones posteriores, puede utilizar el servidor de directivas de redes (NPS), o Internet Autentication Service (IAS) de versiones anteriores del servidor. Si no se está ejecutando un servidor de Windows, tenga en cuenta el servidor de código abierto FreeRADIUS.
4. Haga configuraciones seguras del cliente 802.1X
El modo de EAP WPA/WPA2 sigue siendo vulnerable a ataques conocidos como "man-in-the-middle". Sin embargo, puede ayudar a prevenir estos ataques, asegurando la configuración EAP del cliente.
Por ejemplo, en los ajustes de EAP de Windows puede permitir la validación de certificados de servidor al seleccionar el certificado de CA, especifique la dirección del servidor, y desactive la obligación de los usuarios de confiar en los nuevos servidores o certificados de CA.
