Seguridad para Wireless (Wi-Fi 802.11g)

:-)
Clemente está justo justo en el tema

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



I.P.- wrote:

Gracias Guillermo, aqui tengo para entretenerme un rato.

Un Saludo.


"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

No es un tema que conozca demasiado, pero revisa
http://www.microsoft.com/windowsser...fault.mspx
que hay mucha información realmente

En esa dirección he visto alguna documentación realmente muy buena

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



I.P.- wrote:

Estimados Usuarios y Maestros del grupo ;-)

No sé si mi pregunta es muy general, artificial quizás,
pero lo cierto es que necesitaria montar 5 Acess Point's, de
momento, y no sé ni por donde atacar con el tema de la seguridad.
Los AP's seguramente seran CISCO pero la seguridad
me gustaria implantarla 100% MS Windows.
Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
MAC's según algunos, eso ni es seguridad ni es ná.

Seríais tan amables de orientarme un poco en este tema y indicarme
algo de material de lectura?

Los AP's estaran en planta y las conexiones seran atraves de PDA's
industriales
para gestiones de producción.

RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
gastar con software de terceros, si se puede? Nada mas por
aprovechar toda la inversión de windows que tengo.


Gracias por vuestra atención,

I.P.-

Un pequeño consejo. Cisco es bueno, realmente muy bueno. La cuestión q se
plantea es si vale la pena gastar dinero y tiempo en comprar y saber manejar
los dispositivos Cisco, ya q como bien dices, son muy puristas y según digo
yo van un poco por libre por querer ser especiales.
Es algo así como comparar un ferrari con un mercedes, cisco es ferrari otra
compañia como 3com o dlink son mercedes. Ambos son buenos coches pero ¿vale
la pena gastarse en un ferrari un montón de pasta si con mercedes vas más q
bien servido? Yo prefiero mercedes (lease dlink o 3com) porque van sobrados,
es más 3Com tengo entendido q está evolucionando bien y rápido.

"I.P.-" escribió en el mensaje
news:

Gracias Guillermo, aqui tengo para entretenerme un rato.

Un Saludo.


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

No es un tema que conozca demasiado, pero revisa
http://www.microsoft.com/windowsser...fault.mspx
que hay mucha información realmente

En esa dirección he visto alguna documentación realmente muy buena

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



I.P.- wrote:

Estimados Usuarios y Maestros del grupo ;-)

No sé si mi pregunta es muy general, artificial quizás,
pero lo cierto es que necesitaria montar 5 Acess Point's, de momento,
y no sé ni por donde atacar con el tema de la seguridad.
Los AP's seguramente seran CISCO pero la seguridad
me gustaria implantarla 100% MS Windows.
Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
MAC's según algunos, eso ni es seguridad ni es ná.

Seríais tan amables de orientarme un poco en este tema y indicarme
algo de material de lectura?

Los AP's estaran en planta y las conexiones seran atraves de PDA's
industriales
para gestiones de producción.

RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
gastar con software de terceros, si se puede? Nada mas por aprovechar
toda la inversión de windows que tengo.


Gracias por vuestra atención,

I.P.-

Buenas a todos del HILO,

Tengo somente 10 min y contestaré a Juan Carlos, los demas esta tarde ;-)

Hola Juan Carlos,

Realmente CISCO tiene que ser una gozada cuando llevas 25 años trabajando
con sistemas avanzados de redes y
conozca muy bien los productos. La verdad es que tiene que ser una maravilla
la cantidad de posibilidades que tienes
con esos aparatos.
Bueno, si tu dices que CISCO son los ferrari's, acabo de hacer un mal
negocio, porque tenia antes Aston Martin's (creo q son mas caros que los
ferrari's) y los cambié por algo mas asequible (CISCO).
Puede que estes preguntando que clase de equipos serian mas caros que CISCO,
no? Pues los hay...
Puntos de Acceso industriales de INTERMEC por ejemplo. Te puedo decir que el
ultimo PA comprado me costó mas de 1.400 ? y ahora con los ciscos, no llego
ni a la mitadad de precio.
Porque esos PA's? Muy simple. Aqui en verano, donde tengo instalados los
PA's llegamos a mas de 50 grados tranquilamente. En invierno, bajamos de 0
fijo. Para que tengas una idea, la ultima nevada que tuvimos, habia 1 palmo
de nieve encima del PA. (un fallo del tejado desde luego, pero así fué y
imaginate la temperatura que estaria operando el PA. Crees que un 3Com o
Dlink aguentaria?) y no tuve ningún problema. Los PA's de INTERMEC aún
llegan a temperaturas mas extremas que los de CISCO, quizás por eso sean mas
caros, y tambien son tremendamente robustos.
Quizás no me justifique el precio tan elevado pero aún asi con CISCO puede
que me quede tirado por temperaturas extremas.
En cuanto a limitaciones tecnologicas y de seguridad, estoy completamente de
acuerdo contigo que para el dia a dia, 3Com no le tiene que invidiar nada a
CISCO. (a no ser que sean movidas muy especiales, digo yo!!)

Continuamos en contacto,

Gracias por tu post...

I.P.-



"Juan Carlos" escribió en el mensaje
news:d45ufo$t85$

Un pequeño consejo. Cisco es bueno, realmente muy bueno. La cuestión q se
plantea es si vale la pena gastar dinero y tiempo en comprar y saber
manejar los dispositivos Cisco, ya q como bien dices, son muy puristas y
según digo yo van un poco por libre por querer ser especiales.
Es algo así como comparar un ferrari con un mercedes, cisco es ferrari
otra compañia como 3com o dlink son mercedes. Ambos son buenos coches pero
¿vale la pena gastarse en un ferrari un montón de pasta si con mercedes
vas más q bien servido? Yo prefiero mercedes (lease dlink o 3com) porque
van sobrados, es más 3Com tengo entendido q está evolucionando bien y
rápido.

"I.P.-" escribió en el mensaje
news:

Gracias Guillermo, aqui tengo para entretenerme un rato.

Un Saludo.


"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

No es un tema que conozca demasiado, pero revisa
http://www.microsoft.com/windowsser...fault.mspx
que hay mucha información realmente

En esa dirección he visto alguna documentación realmente muy buena

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



I.P.- wrote:

Estimados Usuarios y Maestros del grupo ;-)

No sé si mi pregunta es muy general, artificial quizás,
pero lo cierto es que necesitaria montar 5 Acess Point's, de momento,
y no sé ni por donde atacar con el tema de la seguridad.
Los AP's seguramente seran CISCO pero la seguridad
me gustaria implantarla 100% MS Windows.
Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
MAC's según algunos, eso ni es seguridad ni es ná.

Seríais tan amables de orientarme un poco en este tema y indicarme
algo de material de lectura?

Los AP's estaran en planta y las conexiones seran atraves de PDA's
industriales
para gestiones de producción.

RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
gastar con software de terceros, si se puede? Nada mas por aprovechar
toda la inversión de windows que tengo.


Gracias por vuestra atención,

I.P.-

Buenas tardes gran amigo,

He aprendido algo mas con tus explicaciones. Es decir, hasta ahora todo el
dolor de cabeza que tengo es simplemente para lograr una autentificacion
segura. Lo de proteger el trafico de informacion es aún outra historia?
madre mia, que nos pillen confesados!!! ;-)
Vale, he localizado una persona que parece ser, controla muy bien los
equipos de CISCO y me va a echar un cable con el PA.
Aun no sé si me tengo que enseñar la config por WEB o por CLI (asi llaman
ellos el hiperterminal). Por lo visto, cuando se trata de configuraciones
del tipo AAA, es todo por consola. (vamos, que lo voy a pasar un poco
mal...)

Encuanto a los Standares que me comentas, dispongo de todos. Mis PDA's son
todas industriales. INTERMEC y SYMBOL que por cierto es mucho mas barata,
menos robusta pero mucho mas practicas para trabajar, me gusto mucho la
calidad de ellas, pero el lector de codigo de barras es pesimo. Así que me
tendré que conformar con las de Intermec.

Intermec aconseja el protocolo EAP-TTLS por ser mas sencillo, aun no se
puede violar, no requiere certificado en los clientes y por tener
autenticacion segura contra bbdd de Windows.

Ahora que ya he empezado con el EAP-TLS, seguiré con él, también como sé que
tu estas tirando por ahi, siempre me podrás echar un cable si algo me sale
mal. Por cierto, en que plataforma estas probando, 2k o 2k3 ?

Volviendo al tema tecnico, aun me lio con tantas siglas. Como tu comentas, a
nivel de enlace, no me valdria tu soluccion SSL porque yo hago consultas al
IIS como tu pero tambien 'directas' a SQL. Despues de 2 años de experiencias
con las dichosas PDA's vimos que algunos trabajos haciendolos directamente
sobre SQL eran mucho mas rapido que por IIS (XML en mi caso) por ejemplo.

Entonces pregunto yo. Si no quiero hacer la seguridad (a nivel de enlace)
por VPN, que me queda disponible? Y tambien por lo que me comentas, lo unico
que me garantiza seguridad 100% es la VPN, es eso?

Otra consulta, si me permites?!?!?! Trabaja los PA y PDA's dentro del mismo
rango de IP's de tu RED local (clientes + Servidores) ???

Bueno, creo que esta bien ya de tanto escribir...y de marearte tambien.

Gracias a todos vosotros por el apoyo.

Estaremos en contacto.

Un Saludo,

I.P.-




"clemente" escribió en el mensaje
news:

Hola de nuevo.

1.- Es importante tener claro el concepto de autentificación mediante
EAP-TLS, lo que como su nombre indica te permitirá autentificarte, solo
autentificarte es decir enviar usuario y contraseña de forma segura. Si
además has activado la autentificación IEE802.1x sobre EAP, esto te va a
permitir controlar la apertura y cierre de los puertos del PA.

2.- Una vez autentificado, el siguiente problema es cifrar todos los datos
de información que envias desde las PDAs.
Aqui tienes digamos que dos opciones principales:

a.- Cifrar los datos de forma robusta mediante los protocoles del nivel de
enlace que utilizan los PA-PDA (estandar IEEE802.11i (TKIP- AES. etc) lo
que
te permitiría utilizar un protocolo menos robusto en niveles superiores.
Podrías por ejemplo podrías usar VPN PPTP (con el propio cifrado MPPE de
MS).

Recuerda que este estandar es muy reciente y te diría que en PDAS (de
ajecutivos) muchos modelos no lo contemplan así mismo sucede con muchos
PA.

b.- Cifrar de forma menos robusta el nivel de enlace (PA-PDA) como por
ejemplo WEP o WPA y posteriormente cifrar los datos mediante un tunel
IPSec
(a nivel de red) o mediante un tunel SSL.

Te recuerdo que IPSec carga mucho la red y las comunicaciones.

Yo ando trabajando en una prueba piloto en un escenario parecido al tuyo.

1.- Vamos a asegurar las comunicaciones a nivel de enlace (entre PA y PDs)
mediante el estandar IEEE802.11i. El proceso de autentificación lo haremos
sobre EAP-TLS y a través de un servidor IAS_RASDIUS de MS. El control de
acceso a puertos del PA mediante IEE802.1x (EAP). Finalmente
estableceremos
un tunel SSL entre las PDAs y un servidor IIS de MS donde se decargarán
los
datos. Los certificados digitales los emitimos desde un servidor PKI de
MS.

Todo va a ser con tecnología MS.


Siento no poderte dar más indicaciones sobre el PA de Cisconosotros
trabajaremos en la prueba piloto con 3Com

un saludo y suerte

clemente




"I.P.-" escribió en el mensaje
news:

Hola Clemente ;-)

Muchas gracias por tu aportación.

Llevo 2 días con este tema y entiendo o empiezo a entender al complejidad
del mismo.
Cuando digo 2 días, me refiero que no hace mucho que estoy buscando una
solución
mas profesional a la estructura WiFi de la empresa.
Para que tengas un idea, ayer mismo, con los S.O. de la MSDN que tengo

aquí,

empecé a hacer pruebas. Monté un Win2k3 Server + AD + Certificados +

RADIUS.

Parece ser que todo funciona bien, aún que si te digo la verdad, no tengo
mucha experiencia
con Certificados y RADIUS. El problema creo que tengo ahora con el CISCO
Aironet
Serie 1200. Tiene infinidad de parametrización y seguro que estaré

haciendo

algo mal
porque no logro conectarme.
Las PDA's que dispongo son modernas, por lo que todas llevan protocolos
de
seguridad
bastante actualizados. Yo de todo lo que estuve leyendo me incliné, y

desde

luego
no por conocerlo, a adoptar el sistema EAP-TLS.
Parece sencillo. Un AD + Servidor de certificados + MS RADIUS + Punto de
Acceso Configurado.
Pero vaya tela tiene todo este tema. Es bastante mas complicado de lo que
parece y si uno aún no
esta muy 'adentrao' en esos 'medios de seguridad', como que vas un poco
perdido.
Encima los de CISCO son muy 'puristas' y no es muy facil encontrar doc's
sobre configuraciones
de una manera un poco mas PRATICA.

Estoy en ello. Agradezco tu ayuda y atencion. Si quieres comentarme algo
sobre lo que te escribo
te agradeceria.

Si veo que me vuelvo a perder, te pido ayuda.

Muchas gracias y un Saludo,

I.P.-


"clemente" <msnews.microsoft.com> escribió en el mensaje
news:
> Hola y buenas.
>
> Del lado WIFI y de forma general te sugeriría que tanto los PA como los
> terminales PDA soportasen los estandares de seguridad sigueintes:
> Ocultar el SSID del sistema wifi.
> Filtrado de MACs.
> IEEE 802.11i que te va a permitir establecer un canal muy robusto (al

día

> de
> la fecha infranqueble) a nivel de enlace entre los diferentes puntos de
> acceso y las pda. Este estandar te va a permitir aprovechar una serie
> de
> técnicas de cifrado de paquetes mediante las cuales cada paquete cambia

la

> clave de cifrado (TKIP), además las claves de cifrado se encuentran en
> valores de 128 y 256 bits sobre AES.
>
> IEEE802.1X que te va a ofrecer unas técnicas de control de acceso a los
> puertos del PA mediante la autentificación del usuario (EAP).
>
>
> Si además este proceso de autentificación lo apoyas en "certificados
> digitales" y finalmente estableces tuneles IPSec o SSL, el sistema
> sería
> un
> bunker.
> Verdad es que IPSec carga mucho las comunicaciones por ello dependiendo
> del
> tipo de información y procesos que se realicen podría usarse túneles
> SSL

y

> en ultima situación tuneles PPTP sin cifrar, dado que que en el enlace
> wifi
> hemos establecido una fuerte seguridad.
>
> Finalmente este proceso de autentificación (ademas de autorizaciones y
> auditoria) lo podrías efectuar en un servidor w2k/w2k3 server que
> corra
> los
> servicios servidores radius (ias).
> Sería bueno disponer de dos servidores radius, si los procesos son
> criticos.
> Podrías también usar el mismo servidor w2k/w2k3 server para:
> Base de datos de usuario.
> Servidor VPN (en modo PPTP - sin cifrar o modo L2TP/IPSec con cifrado).
>
> Si usases certificados digitales para la autentificación de los
> usuarios

o

> para establecer un tunel VPN L2TP/IPSec necesitarias un servidor

w2k/w2k3

> adicional para crear una PKI (entidad emisora de certificados).
>
> Espero te oriente.
>
> un saludo
>
> clemente
>
>
> "Guillermo Delprato [MS-MVP]"
> escribió en el

mensaje

> news:
>> No es un tema que conozca demasiado, pero revisa
>>
>

http://www.microsoft.com/windowsser...fault.mspx

>> que hay mucha información realmente
>>
>> En esa dirección he visto alguna documentación realmente muy buena
>>
>> Saludos
>>
>> Guillermo Delprato
>> MVP - MCT - MCSE - MCP
>> Buenos Aires, Argentina
>>
>> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> beneficiamos todos. Este mensaje se proporciona "como está" sin
>> garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
>> riesgos This posting is provided "AS IS" with no warranties, and
>> confers no rights. You assume all risk for your use.
>>
>>
>>
>> I.P.- wrote:
>> > Estimados Usuarios y Maestros del grupo ;-)
>> >
>> > No sé si mi pregunta es muy general, artificial quizás,
>> > pero lo cierto es que necesitaria montar 5 Acess Point's, de
>> > momento,
>> > y no sé ni por donde atacar con el tema de la seguridad.
>> > Los AP's seguramente seran CISCO pero la seguridad
>> > me gustaria implantarla 100% MS Windows.
>> > Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
>> > Parece ser que lo tipico que sabemos de las claves WEP + filtrado de
>> > MAC's según algunos, eso ni es seguridad ni es ná.
>> >
>> > Seríais tan amables de orientarme un poco en este tema y indicarme
>> > algo de material de lectura?
>> >
>> > Los AP's estaran en planta y las conexiones seran atraves de PDA's
>> > industriales
>> > para gestiones de producción.
>> >
>> > RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera que
>> > gastar con software de terceros, si se puede? Nada mas por
>> > aprovechar
>> > toda la inversión de windows que tengo.
>> >
>> >
>> > Gracias por vuestra atención,
>> >
>> > I.P.-
>>
>>
>>
>
>
>

Hola de nuevo I.P
He estado ausente unos dias.cosas de la vida.

1.- Quizas te estoy liando un poco con tanta sigla...
Primero se debe establecer un enlace de comunicaciones ente la PDA y el PA,
parecido a un PC y un Switch Ethernet. Este enlace lo debes asegurar todo lo
que puedas y si las PDA y AP lo permiten usa IEEE802.11i (TKIP y cifrado AES
de128 bits). esto te va a garantizar seguridad a nivel de enlace.
Haciendo esto estas cifrando todos los paquetes de datos que van por el aire
entre el PA y la PDA.

Hay situaciones en las que este nivel de seguridad es suficiente. Es decir a
nivel de enlace.

2.- Si necesitas más seguridad que la establecida a nivel de enlace,
entonces debes pensar en aplicarla en los niveles superiores al de enlace,
es decir a nivel de red (IP) o a nivel de transporte/sesion/aplicación (TLS,
TTLS, HTTPS).

3.- Es decir si cifras a nivel de enlace y cifras a nivel de red
(IP)estas cifrando dos veces cualquier proceso que realices, en nuestro
caso el de autentificarte y el de cifrar datos. Claro esta si uno fallo o
cae en malas manos está el otro, pero también la carga en la red es mayor.
Por eso hay que sopesar el esquema de seguridad que necesitas.

4.- Si suponemos que necesitamos seguridad en ambos niveles (enlace y red)
entonces estamos hablando de establecer tuneles VPN IPSec. En esta situación
antes de autentificarse y de cifrar los datos se establece una "asociación
de seguridad" cotejando los certificados digitales IPSec de cada máquina. Te
decía que el cifrado IPSec carga mucho la red y el equipo que ofrece los
túneles. Además cada PDA debe tener instalado un cliente VPN IPSec, aunque
MS incluye el suyo hay algunos servidores de tuneles que no van bien.

5.- Si suponemos que necesitamos seguridad en ambos niveles (enlace y
transporte) entonces estamos hablando de establecer tuneles VPN SSL o TLS.
En esta situación también antes de autentificarse y de cifrar los datos se
establece una "asociación de seguridad" cotejando los certificados digitales
de usuario y/o servidor. Este tipo de esquema de cifrado es mas libiano que
IPSec, cargando mucho menos la red y el equipo que ofrece los túneles.
Además cada PDA no necesita un programa cliente, pudiendose utilizar un
simple Explorado Web.




6.- Nosotros, todas las pruebas las estamos haciendo con pda pocket pc (hp)
y una Intermec.
7.- Los servidores son : dos DC (w2k server), dos Radius (w2k3 server), uno
IIS (w2k server), uno PKI (w3k server) y uno BD SQL (w2k server).
8.- Los puntos de acceso son de 3Com...más que puntos de acceso son "Puertos
de Acceso" como se les llama a los que no llevan "inteligencia". estos
puertos/puntos de acceso van conectados a un Switch Seguridad WLAN, que es
donde reside la inteligencia y gestión centralizada. Y de aqui a los
switches ethernet de nuestra intranet.

9.- referente a las PDA y el protocolo de autentificación EAP_TTLS, estoy
de acuerdo, si no necesitas una seguridad tan estricta a nivel de usuario.
Sin embargo esto no te evita el tener que usar un servidor PKI para la
emisión de certificados, dado que el servidor RADIUS necesitará uno, además
y si no mal recuerdo en cada PDA debes tener que cargar el certificado
digital con la clave publica de la PKI. Otra posibilidad es que adquieras un
certificado de terceros y te evitas el tener que mantener una PKI. Nosotros
como te dije iremos al estandar EAP-TLS pues necesitamos seguridad a nivel
de usuarioauditorias, etc.
El mantenimiento será otra cosa.

10.- Tras la autentificación, deberemos preocuparnos de cifrar los datos.
Pues bien si optas por establecer tuneles IPSec deberás de considerar las
posibilidad de montarlo sobre plataforma MS Windows u otras marcas
especialistas (cisco, enterasys, nortel, etc..) en función del número de
usuarios y volumen de la información a trasnmsitir/recibir. Como te decía la
carga que introduce IPSec es muy grande.

Nosotros utilizamos tuneles IPSec para clientes remotos que deben conectarse
desde Internet con la oficina. Utilizamos plataforma MS Windows (un servidor
RRAS con w2k server). Con la PKI que tenemos emitimos los certificados
digitales IPSec para servidores y clientes.

Sin embargo para el cifrado desde la PDAs vamos a establecer un tunel SSL
entre las PDA y el servidor Web (IIS). De este modo ciframos todos los datos
hasta este servidor, en el cual una apliacación web diseñada a medida y
vinculada con el otro servidor de BD SQL Server nos permite intercambiar de
forma seguro los datos. También se podría tener IIS y la BD SQL Server en la
misma máquina, dependiendo de la carga que deba soportar.

11.- Por lo que respecta a las IPspuedes establecer varios esquemas de
asignación dependiendo de la seguridad que tengas en tu red (cortafuegos,
routers, etc)
Nosotros le vamos a asignar un rango de IPs distintas a las de la red final
de la empresa. Las PDAs una vez autentificadas, les asignamos IP fijas en un
segmento de red (hilo) distinto al segmento de red de la intranet de la
empresa. Entre el Switch de Seguridad WLAN y los Switches Ethernet de la
intranet tenemos un router-cortafuegos donde establecemos filtros y
politicas de seguridad.

Pues nada más por hoy. un saludo

Clemente



"I.P.-" escribió en el mensaje
news:

Buenas tardes gran amigo,

He aprendido algo mas con tus explicaciones. Es decir, hasta ahora todo el
dolor de cabeza que tengo es simplemente para lograr una autentificacion
segura. Lo de proteger el trafico de informacion es aún outra historia?
madre mia, que nos pillen confesados!!! ;-)
Vale, he localizado una persona que parece ser, controla muy bien los
equipos de CISCO y me va a echar un cable con el PA.
Aun no sé si me tengo que enseñar la config por WEB o por CLI (asi llaman
ellos el hiperterminal). Por lo visto, cuando se trata de configuraciones
del tipo AAA, es todo por consola. (vamos, que lo voy a pasar un poco
mal...)

Encuanto a los Standares que me comentas, dispongo de todos. Mis PDA's son
todas industriales. INTERMEC y SYMBOL que por cierto es mucho mas barata,
menos robusta pero mucho mas practicas para trabajar, me gusto mucho la
calidad de ellas, pero el lector de codigo de barras es pesimo. Así que me
tendré que conformar con las de Intermec.

Intermec aconseja el protocolo EAP-TTLS por ser mas sencillo, aun no se
puede violar, no requiere certificado en los clientes y por tener
autenticacion segura contra bbdd de Windows.

Ahora que ya he empezado con el EAP-TLS, seguiré con él, también como sé

que

tu estas tirando por ahi, siempre me podrás echar un cable si algo me sale
mal. Por cierto, en que plataforma estas probando, 2k o 2k3 ?

Volviendo al tema tecnico, aun me lio con tantas siglas. Como tu comentas,

a

nivel de enlace, no me valdria tu soluccion SSL porque yo hago consultas

al

IIS como tu pero tambien 'directas' a SQL. Despues de 2 años de

experiencias

con las dichosas PDA's vimos que algunos trabajos haciendolos directamente
sobre SQL eran mucho mas rapido que por IIS (XML en mi caso) por ejemplo.

Entonces pregunto yo. Si no quiero hacer la seguridad (a nivel de enlace)
por VPN, que me queda disponible? Y tambien por lo que me comentas, lo

unico

que me garantiza seguridad 100% es la VPN, es eso?

Otra consulta, si me permites?!?!?! Trabaja los PA y PDA's dentro del

mismo

rango de IP's de tu RED local (clientes + Servidores) ???

Bueno, creo que esta bien ya de tanto escribir...y de marearte tambien.

Gracias a todos vosotros por el apoyo.

Estaremos en contacto.

Un Saludo,

I.P.-




"clemente" escribió en el mensaje
news:
> Hola de nuevo.
>
> 1.- Es importante tener claro el concepto de autentificación mediante
> EAP-TLS, lo que como su nombre indica te permitirá autentificarte, solo
> autentificarte es decir enviar usuario y contraseña de forma segura. Si
> además has activado la autentificación IEE802.1x sobre EAP, esto te va a
> permitir controlar la apertura y cierre de los puertos del PA.
>
> 2.- Una vez autentificado, el siguiente problema es cifrar todos los

datos

> de información que envias desde las PDAs.
> Aqui tienes digamos que dos opciones principales:
>
> a.- Cifrar los datos de forma robusta mediante los protocoles del nivel

de

> enlace que utilizan los PA-PDA (estandar IEEE802.11i (TKIP- AES. etc) lo
> que
> te permitiría utilizar un protocolo menos robusto en niveles superiores.
> Podrías por ejemplo podrías usar VPN PPTP (con el propio cifrado MPPE de
> MS).
>
> Recuerda que este estandar es muy reciente y te diría que en PDAS (de
> ajecutivos) muchos modelos no lo contemplan así mismo sucede con muchos
> PA.
>
> b.- Cifrar de forma menos robusta el nivel de enlace (PA-PDA) como por
> ejemplo WEP o WPA y posteriormente cifrar los datos mediante un tunel
> IPSec
> (a nivel de red) o mediante un tunel SSL.
>
> Te recuerdo que IPSec carga mucho la red y las comunicaciones.
>
> Yo ando trabajando en una prueba piloto en un escenario parecido al

tuyo.

>
> 1.- Vamos a asegurar las comunicaciones a nivel de enlace (entre PA y

PDs)

> mediante el estandar IEEE802.11i. El proceso de autentificación lo

haremos

> sobre EAP-TLS y a través de un servidor IAS_RASDIUS de MS. El control

de

> acceso a puertos del PA mediante IEE802.1x (EAP). Finalmente
> estableceremos
> un tunel SSL entre las PDAs y un servidor IIS de MS donde se decargarán
> los
> datos. Los certificados digitales los emitimos desde un servidor PKI de
> MS.
>
> Todo va a ser con tecnología MS.
>
>
> Siento no poderte dar más indicaciones sobre el PA de Cisconosotros
> trabajaremos en la prueba piloto con 3Com
>
> un saludo y suerte
>
> clemente
>

>
>
>
> "I.P.-" escribió en el mensaje
> news:
>> Hola Clemente ;-)
>>
>> Muchas gracias por tu aportación.
>>
>> Llevo 2 días con este tema y entiendo o empiezo a entender al

complejidad

>> del mismo.
>> Cuando digo 2 días, me refiero que no hace mucho que estoy buscando una
>> solución
>> mas profesional a la estructura WiFi de la empresa.
>> Para que tengas un idea, ayer mismo, con los S.O. de la MSDN que tengo
> aquí,
>> empecé a hacer pruebas. Monté un Win2k3 Server + AD + Certificados +
> RADIUS.
>> Parece ser que todo funciona bien, aún que si te digo la verdad, no

tengo

>> mucha experiencia
>> con Certificados y RADIUS. El problema creo que tengo ahora con el

CISCO

>> Aironet
>> Serie 1200. Tiene infinidad de parametrización y seguro que estaré
> haciendo
>> algo mal
>> porque no logro conectarme.
>> Las PDA's que dispongo son modernas, por lo que todas llevan protocolos
>> de
>> seguridad
>> bastante actualizados. Yo de todo lo que estuve leyendo me incliné, y
> desde
>> luego
>> no por conocerlo, a adoptar el sistema EAP-TLS.
>> Parece sencillo. Un AD + Servidor de certificados + MS RADIUS + Punto

de

>> Acceso Configurado.
>> Pero vaya tela tiene todo este tema. Es bastante mas complicado de lo

que

>> parece y si uno aún no
>> esta muy 'adentrao' en esos 'medios de seguridad', como que vas un poco
>> perdido.
>> Encima los de CISCO son muy 'puristas' y no es muy facil encontrar

doc's

>> sobre configuraciones
>> de una manera un poco mas PRATICA.
>>
>> Estoy en ello. Agradezco tu ayuda y atencion. Si quieres comentarme

algo

>> sobre lo que te escribo
>> te agradeceria.
>>
>> Si veo que me vuelvo a perder, te pido ayuda.
>>
>> Muchas gracias y un Saludo,
>>
>> I.P.-
>>
>>
>> "clemente" <msnews.microsoft.com> escribió en el mensaje
>> news:
>> > Hola y buenas.
>> >
>> > Del lado WIFI y de forma general te sugeriría que tanto los PA como

los

>> > terminales PDA soportasen los estandares de seguridad sigueintes:
>> > Ocultar el SSID del sistema wifi.
>> > Filtrado de MACs.
>> > IEEE 802.11i que te va a permitir establecer un canal muy robusto (al
> día
>> > de
>> > la fecha infranqueble) a nivel de enlace entre los diferentes puntos

de

>> > acceso y las pda. Este estandar te va a permitir aprovechar una serie
>> > de
>> > técnicas de cifrado de paquetes mediante las cuales cada paquete

cambia

> la
>> > clave de cifrado (TKIP), además las claves de cifrado se encuentran

en

>> > valores de 128 y 256 bits sobre AES.
>> >
>> > IEEE802.1X que te va a ofrecer unas técnicas de control de acceso a

los

>> > puertos del PA mediante la autentificación del usuario (EAP).
>> >
>> >
>> > Si además este proceso de autentificación lo apoyas en "certificados
>> > digitales" y finalmente estableces tuneles IPSec o SSL, el sistema
>> > sería
>> > un
>> > bunker.
>> > Verdad es que IPSec carga mucho las comunicaciones por ello

dependiendo

>> > del
>> > tipo de información y procesos que se realicen podría usarse túneles
>> > SSL
> y
>> > en ultima situación tuneles PPTP sin cifrar, dado que que en el

enlace

>> > wifi
>> > hemos establecido una fuerte seguridad.
>> >
>> > Finalmente este proceso de autentificación (ademas de autorizaciones

y

>> > auditoria) lo podrías efectuar en un servidor w2k/w2k3 server que
>> > corra
>> > los
>> > servicios servidores radius (ias).
>> > Sería bueno disponer de dos servidores radius, si los procesos son
>> > criticos.
>> > Podrías también usar el mismo servidor w2k/w2k3 server para:
>> > Base de datos de usuario.
>> > Servidor VPN (en modo PPTP - sin cifrar o modo L2TP/IPSec con

cifrado).

>> >
>> > Si usases certificados digitales para la autentificación de los
>> > usuarios
> o
>> > para establecer un tunel VPN L2TP/IPSec necesitarias un servidor
> w2k/w2k3
>> > adicional para crear una PKI (entidad emisora de certificados).
>> >
>> > Espero te oriente.
>> >
>> > un saludo
>> >
>> > clemente
>> >
>> >
>> > "Guillermo Delprato [MS-MVP]"
>> > escribió en el
> mensaje
>> > news:
>> >> No es un tema que conozca demasiado, pero revisa
>> >>
>> >
>

http://www.microsoft.com/windowsser...fault.mspx

>> >> que hay mucha información realmente
>> >>
>> >> En esa dirección he visto alguna documentación realmente muy buena
>> >>
>> >> Saludos
>> >>
>> >> Guillermo Delprato
>> >> MVP - MCT - MCSE - MCP
>> >> Buenos Aires, Argentina
>> >>
>> >> NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
>> >> beneficiamos todos. Este mensaje se proporciona "como está" sin
>> >> garantías de ninguna clase, y no otorga ningún derecho. Ud. asume

los

>> >> riesgos This posting is provided "AS IS" with no warranties, and
>> >> confers no rights. You assume all risk for your use.
>> >>
>> >>
>> >>
>> >> I.P.- wrote:
>> >> > Estimados Usuarios y Maestros del grupo ;-)
>> >> >
>> >> > No sé si mi pregunta es muy general, artificial quizás,
>> >> > pero lo cierto es que necesitaria montar 5 Acess Point's, de
>> >> > momento,
>> >> > y no sé ni por donde atacar con el tema de la seguridad.
>> >> > Los AP's seguramente seran CISCO pero la seguridad
>> >> > me gustaria implantarla 100% MS Windows.
>> >> > Dispongo de Server con 2003 y 2000 en mi RED y tambien un PDC.
>> >> > Parece ser que lo tipico que sabemos de las claves WEP + filtrado

de

>> >> > MAC's según algunos, eso ni es seguridad ni es ná.
>> >> >
>> >> > Seríais tan amables de orientarme un poco en este tema y indicarme
>> >> > algo de material de lectura?
>> >> >
>> >> > Los AP's estaran en planta y las conexiones seran atraves de PDA's
>> >> > industriales
>> >> > para gestiones de producción.
>> >> >
>> >> > RADIUS, VPN, Cual seria la solucion mas FIABLE y que no tuviera

que

>> >> > gastar con software de terceros, si se puede? Nada mas por
>> >> > aprovechar
>> >> > toda la inversión de windows que tengo.
>> >> >
>> >> >
>> >> > Gracias por vuestra atención,
>> >> >
>> >> > I.P.-
>> >>
>> >>
>> >>
>> >
>> >
>> >
>>
>>
>
>