Seguridad para Wireless (Wi-Fi 802.11g)

No es un tema que conozca demasiado, pero revisa
http://www.microsoft.com/windowsser...fault.mspx
que hay mucha información realmente

En esa dirección he visto alguna documentación realmente muy buena

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



I.P.- wrote:

Estimados Usuarios y Maestros del grupo ;-)

No sé si mi pregunta es muy general, artificial quizás,
pero lo cierto es que necesitaria montar 5 Acess Point's, de momento,
y no sé ni por donde atacar con el tema de la seguridad.
Los AP's seguramente seran CISCO pero la seguridad
me gustaria implantarla 100% MS Windows.
Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
MAC's según algunos, eso ni es seguridad ni es ná.

Seríais tan amables de orientarme un poco en este tema y indicarme
algo de material de lectura?

Los AP's estaran en planta y las conexiones seran atraves de PDA's
industriales
para gestiones de producción.

RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
gastar con software de terceros, si se puede? Nada mas por aprovechar
toda la inversión de windows que tengo.


Gracias por vuestra atención,

I.P.-

Hola y buenas.

Del lado WIFI y de forma general te sugeriría que tanto los PA como los
terminales PDA soportasen los estandares de seguridad sigueintes:
Ocultar el SSID del sistema wifi.
Filtrado de MACs.
IEEE 802.11i que te va a permitir establecer un canal muy robusto (al día de
la fecha infranqueble) a nivel de enlace entre los diferentes puntos de
acceso y las pda. Este estandar te va a permitir aprovechar una serie de
técnicas de cifrado de paquetes mediante las cuales cada paquete cambia la
clave de cifrado (TKIP), además las claves de cifrado se encuentran en
valores de 128 y 256 bits sobre AES.

IEEE802.1X que te va a ofrecer unas técnicas de control de acceso a los
puertos del PA mediante la autentificación del usuario (EAP).


Si además este proceso de autentificación lo apoyas en "certificados
digitales" y finalmente estableces tuneles IPSec o SSL, el sistema sería un
bunker.
Verdad es que IPSec carga mucho las comunicaciones por ello dependiendo del
tipo de información y procesos que se realicen podría usarse túneles SSL y
en ultima situación tuneles PPTP sin cifrar, dado que que en el enlace wifi
hemos establecido una fuerte seguridad.

Finalmente este proceso de autentificación (ademas de autorizaciones y
auditoria) lo podrías efectuar en un servidor w2k/w2k3 server que corra los
servicios servidores radius (ias).
Sería bueno disponer de dos servidores radius, si los procesos son criticos.
Podrías también usar el mismo servidor w2k/w2k3 server para:
Base de datos de usuario.
Servidor VPN (en modo PPTP - sin cifrar o modo L2TP/IPSec con cifrado).

Si usases certificados digitales para la autentificación de los usuarios o
para establecer un tunel VPN L2TP/IPSec necesitarias un servidor w2k/w2k3
adicional para crear una PKI (entidad emisora de certificados).

Espero te oriente.

un saludo

clemente


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

No es un tema que conozca demasiado, pero revisa

http://www.microsoft.com/windowsser...fault.mspx

que hay mucha información realmente

En esa dirección he visto alguna documentación realmente muy buena

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



I.P.- wrote:
> Estimados Usuarios y Maestros del grupo ;-)
>
> No sé si mi pregunta es muy general, artificial quizás,
> pero lo cierto es que necesitaria montar 5 Acess Point's, de momento,
> y no sé ni por donde atacar con el tema de la seguridad.
> Los AP's seguramente seran CISCO pero la seguridad
> me gustaria implantarla 100% MS Windows.
> Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
> Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
> MAC's según algunos, eso ni es seguridad ni es ná.
>
> Seríais tan amables de orientarme un poco en este tema y indicarme
> algo de material de lectura?
>
> Los AP's estaran en planta y las conexiones seran atraves de PDA's
> industriales
> para gestiones de producción.
>
> RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
> gastar con software de terceros, si se puede? Nada mas por aprovechar
> toda la inversión de windows que tengo.
>
>
> Gracias por vuestra atención,
>
> I.P.-

Hola Clemente ;-)

Muchas gracias por tu aportación.

Llevo 2 días con este tema y entiendo o empiezo a entender al complejidad
del mismo.
Cuando digo 2 días, me refiero que no hace mucho que estoy buscando una
solución
mas profesional a la estructura WiFi de la empresa.
Para que tengas un idea, ayer mismo, con los S.O. de la MSDN que tengo aquí,
empecé a hacer pruebas. Monté un Win2k3 Server + AD + Certificados + RADIUS.
Parece ser que todo funciona bien, aún que si te digo la verdad, no tengo
mucha experiencia
con Certificados y RADIUS. El problema creo que tengo ahora con el CISCO
Aironet
Serie 1200. Tiene infinidad de parametrización y seguro que estaré haciendo
algo mal
porque no logro conectarme.
Las PDA's que dispongo son modernas, por lo que todas llevan protocolos de
seguridad
bastante actualizados. Yo de todo lo que estuve leyendo me incliné, y desde
luego
no por conocerlo, a adoptar el sistema EAP-TLS.
Parece sencillo. Un AD + Servidor de certificados + MS RADIUS + Punto de
Acceso Configurado.
Pero vaya tela tiene todo este tema. Es bastante mas complicado de lo que
parece y si uno aún no
esta muy 'adentrao' en esos 'medios de seguridad', como que vas un poco
perdido.
Encima los de CISCO son muy 'puristas' y no es muy facil encontrar doc's
sobre configuraciones
de una manera un poco mas PRATICA.

Estoy en ello. Agradezco tu ayuda y atencion. Si quieres comentarme algo
sobre lo que te escribo
te agradeceria.

Si veo que me vuelvo a perder, te pido ayuda.

Muchas gracias y un Saludo,

I.P.-


"clemente" <msnews.microsoft.com> escribió en el mensaje
news:

Hola y buenas.

Del lado WIFI y de forma general te sugeriría que tanto los PA como los
terminales PDA soportasen los estandares de seguridad sigueintes:
Ocultar el SSID del sistema wifi.
Filtrado de MACs.
IEEE 802.11i que te va a permitir establecer un canal muy robusto (al día
de
la fecha infranqueble) a nivel de enlace entre los diferentes puntos de
acceso y las pda. Este estandar te va a permitir aprovechar una serie de
técnicas de cifrado de paquetes mediante las cuales cada paquete cambia la
clave de cifrado (TKIP), además las claves de cifrado se encuentran en
valores de 128 y 256 bits sobre AES.

IEEE802.1X que te va a ofrecer unas técnicas de control de acceso a los
puertos del PA mediante la autentificación del usuario (EAP).


Si además este proceso de autentificación lo apoyas en "certificados
digitales" y finalmente estableces tuneles IPSec o SSL, el sistema sería
un
bunker.
Verdad es que IPSec carga mucho las comunicaciones por ello dependiendo
del
tipo de información y procesos que se realicen podría usarse túneles SSL y
en ultima situación tuneles PPTP sin cifrar, dado que que en el enlace
wifi
hemos establecido una fuerte seguridad.

Finalmente este proceso de autentificación (ademas de autorizaciones y
auditoria) lo podrías efectuar en un servidor w2k/w2k3 server que corra
los
servicios servidores radius (ias).
Sería bueno disponer de dos servidores radius, si los procesos son
criticos.
Podrías también usar el mismo servidor w2k/w2k3 server para:
Base de datos de usuario.
Servidor VPN (en modo PPTP - sin cifrar o modo L2TP/IPSec con cifrado).

Si usases certificados digitales para la autentificación de los usuarios o
para establecer un tunel VPN L2TP/IPSec necesitarias un servidor w2k/w2k3
adicional para crear una PKI (entidad emisora de certificados).

Espero te oriente.

un saludo

clemente


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

No es un tema que conozca demasiado, pero revisa

http://www.microsoft.com/windowsser...fault.mspx

que hay mucha información realmente

En esa dirección he visto alguna documentación realmente muy buena

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



I.P.- wrote:
> Estimados Usuarios y Maestros del grupo ;-)
>
> No sé si mi pregunta es muy general, artificial quizás,
> pero lo cierto es que necesitaria montar 5 Acess Point's, de momento,
> y no sé ni por donde atacar con el tema de la seguridad.
> Los AP's seguramente seran CISCO pero la seguridad
> me gustaria implantarla 100% MS Windows.
> Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
> Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
> MAC's según algunos, eso ni es seguridad ni es ná.
>
> Seríais tan amables de orientarme un poco en este tema y indicarme
> algo de material de lectura?
>
> Los AP's estaran en planta y las conexiones seran atraves de PDA's
> industriales
> para gestiones de producción.
>
> RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
> gastar con software de terceros, si se puede? Nada mas por aprovechar
> toda la inversión de windows que tengo.
>
>
> Gracias por vuestra atención,
>
> I.P.-

Gracias Guillermo, aqui tengo para entretenerme un rato.

Un Saludo.


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

No es un tema que conozca demasiado, pero revisa
http://www.microsoft.com/windowsser...fault.mspx
que hay mucha información realmente

En esa dirección he visto alguna documentación realmente muy buena

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



I.P.- wrote:

Estimados Usuarios y Maestros del grupo ;-)

No sé si mi pregunta es muy general, artificial quizás,
pero lo cierto es que necesitaria montar 5 Acess Point's, de momento,
y no sé ni por donde atacar con el tema de la seguridad.
Los AP's seguramente seran CISCO pero la seguridad
me gustaria implantarla 100% MS Windows.
Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
MAC's según algunos, eso ni es seguridad ni es ná.

Seríais tan amables de orientarme un poco en este tema y indicarme
algo de material de lectura?

Los AP's estaran en planta y las conexiones seran atraves de PDA's
industriales
para gestiones de producción.

RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
gastar con software de terceros, si se puede? Nada mas por aprovechar
toda la inversión de windows que tengo.


Gracias por vuestra atención,

I.P.-

Hola de nuevo.

1.- Es importante tener claro el concepto de autentificación mediante
EAP-TLS, lo que como su nombre indica te permitirá autentificarte, solo
autentificarte es decir enviar usuario y contraseña de forma segura. Si
además has activado la autentificación IEE802.1x sobre EAP, esto te va a
permitir controlar la apertura y cierre de los puertos del PA.

2.- Una vez autentificado, el siguiente problema es cifrar todos los datos
de información que envias desde las PDAs.
Aqui tienes digamos que dos opciones principales:

a.- Cifrar los datos de forma robusta mediante los protocoles del nivel de
enlace que utilizan los PA-PDA (estandar IEEE802.11i (TKIP- AES. etc) lo que
te permitiría utilizar un protocolo menos robusto en niveles superiores.
Podrías por ejemplo podrías usar VPN PPTP (con el propio cifrado MPPE de
MS).

Recuerda que este estandar es muy reciente y te diría que en PDAS (de
ajecutivos) muchos modelos no lo contemplan así mismo sucede con muchos PA.

b.- Cifrar de forma menos robusta el nivel de enlace (PA-PDA) como por
ejemplo WEP o WPA y posteriormente cifrar los datos mediante un tunel IPSec
(a nivel de red) o mediante un tunel SSL.

Te recuerdo que IPSec carga mucho la red y las comunicaciones.

Yo ando trabajando en una prueba piloto en un escenario parecido al tuyo.

1.- Vamos a asegurar las comunicaciones a nivel de enlace (entre PA y PDs)
mediante el estandar IEEE802.11i. El proceso de autentificación lo haremos
sobre EAP-TLS y a través de un servidor IAS_RASDIUS de MS. El control de
acceso a puertos del PA mediante IEE802.1x (EAP). Finalmente estableceremos
un tunel SSL entre las PDAs y un servidor IIS de MS donde se decargarán los
datos. Los certificados digitales los emitimos desde un servidor PKI de MS.

Todo va a ser con tecnología MS.


Siento no poderte dar más indicaciones sobre el PA de Cisconosotros
trabajaremos en la prueba piloto con 3Com

un saludo y suerte

clemente




"I.P.-" escribió en el mensaje
news:

Hola Clemente ;-)

Muchas gracias por tu aportación.

Llevo 2 días con este tema y entiendo o empiezo a entender al complejidad
del mismo.
Cuando digo 2 días, me refiero que no hace mucho que estoy buscando una
solución
mas profesional a la estructura WiFi de la empresa.
Para que tengas un idea, ayer mismo, con los S.O. de la MSDN que tengo

aquí,

empecé a hacer pruebas. Monté un Win2k3 Server + AD + Certificados +

RADIUS.

Parece ser que todo funciona bien, aún que si te digo la verdad, no tengo
mucha experiencia
con Certificados y RADIUS. El problema creo que tengo ahora con el CISCO
Aironet
Serie 1200. Tiene infinidad de parametrización y seguro que estaré

haciendo

algo mal
porque no logro conectarme.
Las PDA's que dispongo son modernas, por lo que todas llevan protocolos de
seguridad
bastante actualizados. Yo de todo lo que estuve leyendo me incliné, y

desde

luego
no por conocerlo, a adoptar el sistema EAP-TLS.
Parece sencillo. Un AD + Servidor de certificados + MS RADIUS + Punto de
Acceso Configurado.
Pero vaya tela tiene todo este tema. Es bastante mas complicado de lo que
parece y si uno aún no
esta muy 'adentrao' en esos 'medios de seguridad', como que vas un poco
perdido.
Encima los de CISCO son muy 'puristas' y no es muy facil encontrar doc's
sobre configuraciones
de una manera un poco mas PRATICA.

Estoy en ello. Agradezco tu ayuda y atencion. Si quieres comentarme algo
sobre lo que te escribo
te agradeceria.

Si veo que me vuelvo a perder, te pido ayuda.

Muchas gracias y un Saludo,

I.P.-


"clemente" <msnews.microsoft.com> escribió en el mensaje
news:
> Hola y buenas.
>
> Del lado WIFI y de forma general te sugeriría que tanto los PA como los
> terminales PDA soportasen los estandares de seguridad sigueintes:
> Ocultar el SSID del sistema wifi.
> Filtrado de MACs.
> IEEE 802.11i que te va a permitir establecer un canal muy robusto (al

día

> de
> la fecha infranqueble) a nivel de enlace entre los diferentes puntos de
> acceso y las pda. Este estandar te va a permitir aprovechar una serie de
> técnicas de cifrado de paquetes mediante las cuales cada paquete cambia

la

> clave de cifrado (TKIP), además las claves de cifrado se encuentran en
> valores de 128 y 256 bits sobre AES.
>
> IEEE802.1X que te va a ofrecer unas técnicas de control de acceso a los
> puertos del PA mediante la autentificación del usuario (EAP).
>
>
> Si además este proceso de autentificación lo apoyas en "certificados
> digitales" y finalmente estableces tuneles IPSec o SSL, el sistema sería
> un
> bunker.
> Verdad es que IPSec carga mucho las comunicaciones por ello dependiendo
> del
> tipo de información y procesos que se realicen podría usarse túneles SSL

y

> en ultima situación tuneles PPTP sin cifrar, dado que que en el enlace
> wifi
> hemos establecido una fuerte seguridad.
>
> Finalmente este proceso de autentificación (ademas de autorizaciones y
> auditoria) lo podrías efectuar en un servidor w2k/w2k3 server que corra
> los
> servicios servidores radius (ias).
> Sería bueno disponer de dos servidores radius, si los procesos son
> criticos.
> Podrías también usar el mismo servidor w2k/w2k3 server para:
> Base de datos de usuario.
> Servidor VPN (en modo PPTP - sin cifrar o modo L2TP/IPSec con cifrado).
>
> Si usases certificados digitales para la autentificación de los usuarios

o

> para establecer un tunel VPN L2TP/IPSec necesitarias un servidor

w2k/w2k3

> adicional para crear una PKI (entidad emisora de certificados).
>
> Espero te oriente.
>
> un saludo
>
> clemente
>
>
> "Guillermo Delprato [MS-MVP]"
> escribió en el

mensaje

> news:
>> No es un tema que conozca demasiado, pero revisa
>>
>

http://www.microsoft.com/windowsser...fault.mspx

>> que hay mucha información realmente
>>
>> En esa dirección he visto alguna documentación realmente muy buena
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP - MCT - MCSE - MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos. Este mensaje se proporciona "como está" sin
>> garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
>> riesgos This posting is provided "AS IS" with no warranties, and
>> confers no rights. You assume all risk for your use.
>>
>>
>>
>> I.P.- wrote:
>> > Estimados Usuarios y Maestros del grupo ;-)
>> >
>> > No sé si mi pregunta es muy general, artificial quizás,
>> > pero lo cierto es que necesitaria montar 5 Acess Point's, de momento,
>> > y no sé ni por donde atacar con el tema de la seguridad.
>> > Los AP's seguramente seran CISCO pero la seguridad
>> > me gustaria implantarla 100% MS Windows.
>> > Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
>> > Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
>> > MAC's según algunos, eso ni es seguridad ni es ná.
>> >
>> > Seríais tan amables de orientarme un poco en este tema y indicarme
>> > algo de material de lectura?
>> >
>> > Los AP's estaran en planta y las conexiones seran atraves de PDA's
>> > industriales
>> > para gestiones de producción.
>> >
>> > RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
>> > gastar con software de terceros, si se puede? Nada mas por aprovechar
>> > toda la inversión de windows que tengo.
>> >
>> >
>> > Gracias por vuestra atención,
>> >
>> > I.P.-
>>
>>
>>
>
>
>