Control de acceso en redes inalámbricas

Hoy en día todos somos conscientes de la necesidad de proteger el acceso a nuestra red inalámbrica, ya sea corporativa o doméstica. El esquema de protección más habitual se basa en cifrado de la conexión, pero muchas veces esta solución no es suficiente. Explicamos brevemente en este artículo distintas alternativas que nos permiten no solo aumentar la seguridad sino controlar otros aspectos de la misma que pueden ser interesantes (horarios, descargas, estadísticas de tráfico, …). Estas medidas pueden ser alternativas o complementarias al cifrado de la conexión.

Control/Filtrado de MACs en WiFi

Una de las medidas que se pueden tomar para controlar mejor el acceso a una red WiFi es el filtrado de direcciones MAC. Esta medida, aunque poco efectiva de cara a la seguridad frente a  un intruso con conocimientos de redes, todavía puede ser útil en ciertos ambientes pequeños.

Una dirección MAC es un identificador único que está asociado con una tarjeta de red (cableada o inalámbrica) y está formado por 6 bloques hexadecimales como, por ejemplo, este: 0A:0B:0C:0D:0E:0F. Con este identificador, dependiendo del punto de acceso o router, se puede restringir parcial o totalmente el acceso a una red inalámbrica. Por ejemplo, se pueden definir horarios de acceso a internet para un mejor control parental de niños de manera que sólo se conecten desde sus dispositivos hasta ciertas horas o ciertos días.

Sin embargo este control presenta la desventaja de tener que crear una lista de dispositivos que se conectarán por WiFi. Esta lista será necesario añadirla manualmente en el AP o router siendo, por tanto, bastante incómodo.

Por otro lado, como se ha dicho antes, no representa una gran ventaja desde el punto de vista de la seguridad puesto que es mejor usar un cifrado WPA2 con una contraseña compleja (con muchos caracteres alfanuméricos), deshabilitar WPS y mantener el firmware del dispositivo actualizado en la medida de lo posible.

Autenticación por 802.1X

Otra alternativa para el control o filtrado de usuarios es la autenticación contra un servidor RADIUS (Como es NPS en el caso de los Windows Server) mediante tecnologías de autenticación 802.1X. En este caso el AP o router deberá soportar dichas tecnologías.

Esta instalación permite autorizar o denegar el acceso mediante la pertenencia a un grupo de seguridad en lugar de por dispositivo, es decir, por usuario y contraseña. También permite asignar o no IP según un grupo de reglas o establecer restricciones de acceso por día y hora o desconexiones pasado un tiempo determinado.

Este tipo de instalación está pensada para grandes redes corporativas o edificios administrativos-gubernamentales donde se realiza un control unificado a nivel de cableado de red e inalámbrico usando herramientas y funcionalidades de Windows Server como ésta.

Portal cautivo

Finalmente también disponemos de la posibilidad de utilizar un portal cautivo sin excluir, necesariamente, el uso de algunas de las medidas anteriores.

Un portal cautivo es una modalidad de instalación inalámbrica WiFi que permite compartir internet controlando y regulando hasta cierto punto qué pueden y no pueden hacer los usuarios y durante cuánto tiempo de una forma sencilla.

Este tipo de instalaciones son muy comunes en cines, centros comerciales o cafeterías.

Desde el punto de vista de un cliente consiste en un punto de acceso libre en el que se intercepta la conexión a cualquier página devolviendo en su lugar una página de entrada como, por ejemplo, la mostrada a continuación:

portal cautivo

portal cautivo

La siguiente imagen corresponde a la instalación de un portal cautivo con Grase-Hotspot para Linux.

portal cautivo Grase-Hotspot para Linux

portal cautivo Grase-Hotspot para Linux

Instalación

Para montar nuestro propio hotspot de portal cautivo será necesario disponer de un servidor con sistema operativo Linux (Ubuntu o Debian) y dos o más interfaces de red (ethernet-wifi o ethernet-ethernet)

Necesitaremos añadir el repositorio de grasehotspot, bien a mano bien descargando el paquete deb que lo hará por nosotros, y después instalar los componentes de autenticación (freeradius), túnel de red (openvpn) y portal de presentación y configuración vía web.

Podemos encontrar los pasos detallados de la instalación en la web oficial: https://grasehotspot.org/documentation/installation/

 

Funcionalidades

  • Autenticación: Nos permite controlar quien o quienes se conectan, cuando lo hacen, cómo lo hacen, a dónde acceden, …
  • Estadísticas: Podemos obtener estadísticas de cómo se usa la red.
  • Límite de tiempo: Se puede limitar por grupo o usuario y por horas, días, por mes, …
  • Límite de ancho de banda: Los usuarios pueden tener un límite de ancho de banda para no ahogar la conexión de los demás o, si es un internet compartido, para no ahogar a los usuarios principales.

Aunque algunas funcionalidades o limitaciones no son exclusivas de un portal cautivo estos suelen incorporar y centralizar todas ellas bajo una misma solución, evitando complicaciones para la instalación y administración del sistema.

Esperamos que este artículo haya sido de vuestro interés y os recomendamos la lectura de un artículo anterior relacionado: http://www.irix.es/blog/seguridad-en-redes-wifi/