Instalar nodo wireless sobre LAN


  • 0

    He buscado un poco por este foro, y también por el google, y no he encontrado nada demasiado serio hacerca de lo que quiero hacer, así pues recurro a Uds. (foro) para intentar resolver mis dudas :sisi:

    Vamos alla! ;)

    El tema es que ya tenemos una LAN en nuestra empresa con más de 40 direcciones IP ya ocupadas con cable, con dos routers hacia el exterior. El tema seguridad hasta ahora siempre ha estado OK.

    Ahora vamos a incorporar una wireles 801.11g para los portátiles que deberá abastecer una area no superior a los 50 m2 a la redonda y sin muros, por lo tanto no es problema para la antena estandar. Todo esto estará dedicado solo para los ordenadores portátiles.

    El problema surge cuando queremos incorporar seguridad en la red…

    • Con o sin DHCP (el resto de la LAN no tiene DHCP, pero debido a que los portátiles viajaran a diferentes areas/paises quizás si metemos la red por DHCP se pueda pillar una conexión a internet sin modificar nada en el portatil... o no?)
    • Que encriptación usar para la transmisión?
    • Esta bien la marca D-link como punto de acceso?
    • Que proceso (tipo HOW-to) he de usar para instalar el nodo en un Windows 2003 Server?
    • Necesito programas adicionales que no esten incluidos en Windows? cuales?

    Si alguien sabe de algún enlace que pueda ser útil, pues ya sabe, aqui estoy! He estado mirando en madridwireless, zaragoza, barcelona, valencia y nada me acabo de convencer. Y por el google hay mucha info, pero casi todo para linux...

    THX!



  • 1

    Hola, yo no usaria el DHCP (cambiar una IP no se tarda tanto si se va a otro lado), y ese es un buen problema en la seguridad, dar IP si se te conectan. El WEP no me gusta mucho, kita velocidad a la red(he oido programas bajo linux que te saltan una encriptacion de 128 en unas pocas horas). Yo lo que uso es la opcion de restringir tu punto de acceso a las MAC que tu kieras, es decir solo entran las pcs que coincidan con una lista de direcciones MAC que tu le pongas (y la seguridad por MAC es mas dificil de saltar que una por WEP). Creo que esto lo traen todos lo puntos de acceso (por lo menos los que yo he visto).

    Un saludo.



  • 2

    Creo que la solución ideal sería linux, aunq si así se te complica el tema ya no se.

    Yo opino que el q si q deberías usar dhcp para asignar ip, gateway, dns, etc; ya q te ahorras dolores de cabeza con la gente q no sepa configurarlo.
    Con un servidor dhcp puedes asignar la ip que quieras a cada tarjeta dependiendo de su mac.
    Cambiar la mac de la tarjeta es muy fácil (un comando) por lo que no es válido para hacer más segura la red.

    Como te han dicho, el wep es crackeable, por que tampoco sería una opción recomendable.

    A que servicios necesitan acceder esos portátiles??? sólo web?? q otras cosas???



  • 3

    Los portatiles necesitan acceder a la base de datos en SQL de un programa que utilizamos para la gestion de la empresa (ofertas, pedidos, facturas), email (por servidor de correo propio), copia de seguridad de los archivos que residen bajo "mis documentos", impresora, acceso a internet, actualización del antivirus (que la realiza el server a todos los clientes) y ya poco más.

    El tema de la MAC es interesante, lo aplicaré, aunque se lo puedan saltar no está de más. Sobre instalar linux: imposible. Tanto el software de gestion en el servidor como en el cliente necesitan windows sistema NT, y las directrices de la empresa me exigen exclusivamente estos sistemas, comprensible un poco desde el punto de vista de la estandarización que supone windows.

    Lo del DHCP lo digo pq no voy ni a intentarles explicar a los usuarios como se cambia una ip y cual es el número que deben recordar… vaya desastre me podria ocasionar, a parte que me dirian que el sistema es una mierda, que si muy complicado, etc etc (si si esto es verídico...). Por lo cual veo muy factible el uso de DHCP asignado a una MAC concreta, esto como se hace en windows???

    Hay algún otro sistema de seguridad? firewalls de software o hardware?



  • 4

    Puedes instalar un ap con linux ya que no interfiere para nada con dichos servicios.

    Una forma de controlar el acceso sería mediante las comentadas mac's.
    En el ap se tendría un servidor dhcp en el cual sólo se asignarían ip's a determinadas mac's (las de los portátiles en cuestión); como se tienen controladas las mac's, entonces se asignan unas ip's determinadas a cada portátil.
    Cómo ya tenemos las ip's que tendrá cada portátil, se podrá (mediante firewall) filtrar quién tiene acceso a los recursos que se ofrecen. Aquí, tenemos el mismo problema que he comentado antes: cualquiera puede cambiar su mac, pero ya sería casualidad que alguien adivinase una mac de las que usan los portátiles.
    Supongo que para autentificar, esta sería la mejor solución.

    Luego viene el problema del cifrado de datos.
    Una solución sería utilizar servicios que integrasen ya el cifrado (pop con ssl y cosas así) pero si esto no es posible, hay que apañarselas para enviar los datos cifrados.
    El wep es crackeable, pero se necesita un buen rato escuchando la red para poder hacerlo. Es decir, si tu red wireless esta alejada de algun elemento hostil, podrías pasar con wep.
    También creo recordar que el driver hostAP para las tarjetas prism2 traian un software para encriptar por software con wep, este software llevaba corregido el fallo de wep (creo q era q se repetia cierto bit cada x paquetes, pero no me acuerdo bien)
    Si el wep no te convence, siempre se pueden montar tuneles ipsec y cosas por el estilo, pero son bastante más enfarragosos de configurar y mantener, pero si no cambias de portátiles, se configura una vez y punto.

    Como ves, no hay un solución global para todo, son pequeñas cosas juntas.

    Tb esta el nocat, pero este sólo se usa para autentificar a clientes, se pueden permitir todos los servicios que quieras. La forma de actuar de este software es la misma que la q he explicado arriba (con firewall dependiendo de las ip's asignadas por dhcp y las mac's de las tarjetas).
    Lo único que lo diferencia es que este software "captura" el tráfico del puerto 80 (web) y lo redirige al portal nocat para que el usuario de autentifique y despues ya puede usar los recursos que se le hayan asignado. Además hay muchas otras maneras de autentificar a los clientes.
    El problema de nocat es que no soluciona el cifrado de datos, sólo es autentificación.



  • 5

    He estado informándome sobre como esta el tema wep actualmente, y por lo que he visto, no es tan fácil romperlo.
    Con una clave de 40bits, se necesitan estar escuchando la red mucho tiempo para recoger los suficientes paquetes "débiles" para recomponer la clave; además, si no hay mucho tráfico, aun se tardará más en poder romer el wep.
    Por lo tanto, una solución sería meter una clave de 128bits (en realidad creo q son 104) e ir cambiándola para evitar posibles entradas no autorizadas. Así, con cambiar la clave cada semana, se tendría una red bastante segura.



  • 6

    Ok, ahora ya está un poco más claro, gracias. De aqui unos momentos empezaré su instalación, ya os iré comentando las dudas que me puedan surgir.

    De momento optaré por DHCP asignando ip's a ciertas MAC.
    Utilizaré algo de encriptación WEP , más que nada para que no lo pillara cualquiera que pase por la calle.
    Y por último, esto no lo tengo tan claro, limitaré el acceso mediante firewall. Cual??? Y también mediante permisos en el servidor que caducaran siempre por la noche.

    Creo que para empezar no estará mal…



  • 7

    Que tiene de cierto eso que el WEP ralentiza la red??? mucho?



  • 8

    Supongo que algo ralentizará, pero si la encriptación es realizada por las tarjetas, no creo q se note tanto.

    Tienes ya el AP comprado???



  • 9

    Si compre un D-link normativa 801.11g, más una targeta pcmcia también de 54 mb/s. y una intel 2300 de 22 mb/s. que va en un portátil.

    El problema es que ahora no puedo instalarlo aún en el servidor.



  • 10

    Q dlink es?? puede funcionar como bridge??

    Lo ideal sería un AP en modo bridge, controlando quién accede por mac's y wep



  • 11

    Aqui lo tienes:

    http://www.dlink.com/products/?pid=10

    y los modos de funcionamiento:

    http://www.dlink.com/products/resource.asp?pid=10&rid=32

    Yo pense que era mejor ponerlo en modo AP, para atender a los demas clientes… Como es mejor?



  • 12

    En modo AP tiene q estar para atender a los clientes q estarán en modo "managed" (aunq algunos fabricantes lo llaman modo "infrastucture").
    Luego esta el tema de conexión a otra red, ya que normalmente, los AP's se usan para interconectar una red wireless con una ethernet.
    Si lo pones en modo bridge, la configuración (a nivel ip) de los portátiles, sería la misma que los pc's de sobremesa conectados a la red cableada (a la q este conectado el AP); así, la red wireless y la red cableada sería aparentemente la misma, no teniendo ningún problema para conectar con los otros pc's de la red ethernet (dónde estarán los servicios)

    No tiene mala pinta ese ap y tiene soporte para wpa, por lo tanto, si tus otras tarjetas wifi tb soportan el wpa ya no tienes q preocuparte por si alguien rompiese el wep, ya q el wpa soluciona los problemas de este.



  • 13

    La virgen!!! Ahora si que me has liado :muerto:

    A ver, tengo una red con switch con cable con unas direcciones del tipo 192.168.0.x y quiero utilizar las mismas direcciones para la wireless, es decir 192.168.0.x (cambiando evidentemente el último dígito). Es decir lo que pretendo hacer son dos redes indiferenciadas. Para eso he de poner el AP en modo bridge no?

    Y la otra forma de hacerlo como seria? con diferentes direcciones? de esta manera seria más seguro?



  • 14

    A ver, tengo una red con switch con cable con unas direcciones del tipo 192.168.0.x y quiero utilizar las mismas direcciones para la wireless, es decir 192.168.0.x (cambiando evidentemente el último dígito). Es decir lo que pretendo hacer son dos redes indiferenciadas. Para eso he de poner el AP en modo bridge no?

    sastamente

    Y la otra forma de hacerlo como seria? con diferentes direcciones? de esta manera seria más seguro?

    si, con otra subred.
    Seguridad la misma, en wireless el problema esta en q los datos circulan por el aire y cualquiera los puede capturar; pero teniendo el wep o wpa activado ya eliminas ese problema.



  • 15

    Ok, pues muchas gracias. Espero tenerlo funcionando esta tarde o mañana por la mañana. Ya te diré que tal van los wireless de Dlink.

    El otro modo que no es bridge, como se llama? VPN's o demás fandangos?



  • 16

    No se si os he entendido bien, ¿Modo bridge? pero eso no era el modo para unir varios puntos de acceso entre si … si lo configuras asi, el punto de acceso (PA) solo sirve para unir PA entre si, pero no dan servicio wireless a PC clientes ...
    Yo creo que lo que necesitas es meterle el punto de acceso en modo Acces Point (punto de acceso normal), las IP deben estar dentro del rango de la red a la que le vas a conectar, como todos los elementos de la red. La encriptacion cuanto mas alta mas lenta te ira, ya que ten en cuenta que en 128b de encriptacion todos los datos de la encriptacion van en los mismos paquetes IP en la que van los datos, con lo que en un paquete IP iran menos datos para meter mas datos sobre la encriptacion (si la señal es muy buena, en el mejor de los casos, casi no lo notaras, pero sino si q lo notaras y mucho). El otro dia hablando con el director tecnico (es un amigo) de una empresa de estas dedicadas a redes y comunicaciones, me dijo que tenia un CD autoarrancable en un sistema linux, con una aplicacion que rompe una clave WEP de 128bits en unas 5 horas (lo mismo me estaba vacilandome, pero yo le creo).
    Y si la cambias cada semana la WEP, eso esta bien, pero tienes usuarios que le es dificil poner una IP, imaginate explicarle que tiene que meter una clave WEP cada semana en su tarjeta wireless .. ji,ji pa flipiar (yo tambien tengo alguno q se las trae ... el otro dia uno se me mosqueo por que no le funcionaba el correo con el outlook, q al quinto mensaje que bajaba se le petaba el correo ... pero so Onofre que solo tienes 50 Mb libres en el disco duro y tienes 5000 mensajes en la bandeja de entrada ... )



  • 17

    No se si os he entendido bien, ¿Modo bridge? pero eso no era el modo para unir varios puntos de acceso entre si … si lo configuras asi, el punto de acceso (PA) solo sirve para unir PA entre si, pero no dan servicio wireless a PC clientes ...

    El modo bridge sirve para unir dos redes físicas distintas y hacer parecer a los pc's de las dos redes q estan en una misma red.
    Puedes unir dos AP o cualquier tipo de red. El bridge no interfiere en las propiedades de cada red (sea ethernet o wireless), simplemente pasa paquetes de una red física a otra.
    Si no lo configuras en modo bridge, necesitarás un gateway para pasar paquetes de una red a otra.

    En cuanto a lo del wep, imaginate esa metadistribución arrancada en un portátil; si una pcmcia wireless ya consume lo suyo, tener q tirar de cdrom para cargar aplicaciones te dejará sin batería antes de poder conseguir nada.

    Aquí tienes los comentarios de gente intentando reventar una clave wep de 40bits
    No digo q antes el wep si q fuese fácilmente crackeable (aunq habría q haberlo visto), pero actualmente han cambiado muchas cosas.

    Cambiar la clave del wep, no es demasiado complicado.



  • 18

    … a mi lo q no me cuadra es lo d q se pueda cambiar la direccion MAC d un interface d red.
    Tengo entendido q el MAC es un identificador exclusivo de cada dispositivo y q no se puede cambiar :confused:
    aunq se de muchas situaciones en las q han coincidido varios con el mismo MAC en una party xD



  • 19

    Hay una mac distinta para cada tarjeta de red, pero es modificable xq ese valor se carga en memoria cuando levantas la interfaz; y luego ya puedes cambiarlo modificando el valor que hay en memoria.
    Hay algunos drivers q no se dejan cambiar la mac, pero no suele ser lo habitual.

    Prueba los siguiente:

    • Haz un ifconfig eth0 para ver la mac de tu tarjeta de red y apuntalo.
    • Baja la interfaz eth0 (ifconfig eth0 down)
    • Cambia la mac de tu tarjeta de red (ifconfig eth0 hw ether <mac cualquiera=""></mac>(lo de ether es xq es una tarjeta ethernet)
    • Levanta tu eth0 y mira a ver tu mac nueva :D :D :D




Has perdido la conexión. Reconectando a Hardlimit.