Instalar nodo wireless sobre LAN
-
Creo que la solución ideal sería linux, aunq si así se te complica el tema ya no se.
Yo opino que el q si q deberías usar dhcp para asignar ip, gateway, dns, etc; ya q te ahorras dolores de cabeza con la gente q no sepa configurarlo.
Con un servidor dhcp puedes asignar la ip que quieras a cada tarjeta dependiendo de su mac.
Cambiar la mac de la tarjeta es muy fácil (un comando) por lo que no es válido para hacer más segura la red.Como te han dicho, el wep es crackeable, por que tampoco sería una opción recomendable.
A que servicios necesitan acceder esos portátiles??? sólo web?? q otras cosas???
-
Los portatiles necesitan acceder a la base de datos en SQL de un programa que utilizamos para la gestion de la empresa (ofertas, pedidos, facturas), email (por servidor de correo propio), copia de seguridad de los archivos que residen bajo "mis documentos", impresora, acceso a internet, actualización del antivirus (que la realiza el server a todos los clientes) y ya poco más.
El tema de la MAC es interesante, lo aplicaré, aunque se lo puedan saltar no está de más. Sobre instalar linux: imposible. Tanto el software de gestion en el servidor como en el cliente necesitan windows sistema NT, y las directrices de la empresa me exigen exclusivamente estos sistemas, comprensible un poco desde el punto de vista de la estandarización que supone windows.
Lo del DHCP lo digo pq no voy ni a intentarles explicar a los usuarios como se cambia una ip y cual es el número que deben recordar… vaya desastre me podria ocasionar, a parte que me dirian que el sistema es una mierda, que si muy complicado, etc etc (si si esto es verídico...). Por lo cual veo muy factible el uso de DHCP asignado a una MAC concreta, esto como se hace en windows???
Hay algún otro sistema de seguridad? firewalls de software o hardware?
-
Puedes instalar un ap con linux ya que no interfiere para nada con dichos servicios.
Una forma de controlar el acceso sería mediante las comentadas mac's.
En el ap se tendría un servidor dhcp en el cual sólo se asignarían ip's a determinadas mac's (las de los portátiles en cuestión); como se tienen controladas las mac's, entonces se asignan unas ip's determinadas a cada portátil.
Cómo ya tenemos las ip's que tendrá cada portátil, se podrá (mediante firewall) filtrar quién tiene acceso a los recursos que se ofrecen. Aquí, tenemos el mismo problema que he comentado antes: cualquiera puede cambiar su mac, pero ya sería casualidad que alguien adivinase una mac de las que usan los portátiles.
Supongo que para autentificar, esta sería la mejor solución.Luego viene el problema del cifrado de datos.
Una solución sería utilizar servicios que integrasen ya el cifrado (pop con ssl y cosas así) pero si esto no es posible, hay que apañarselas para enviar los datos cifrados.
El wep es crackeable, pero se necesita un buen rato escuchando la red para poder hacerlo. Es decir, si tu red wireless esta alejada de algun elemento hostil, podrías pasar con wep.
También creo recordar que el driver hostAP para las tarjetas prism2 traian un software para encriptar por software con wep, este software llevaba corregido el fallo de wep (creo q era q se repetia cierto bit cada x paquetes, pero no me acuerdo bien)
Si el wep no te convence, siempre se pueden montar tuneles ipsec y cosas por el estilo, pero son bastante más enfarragosos de configurar y mantener, pero si no cambias de portátiles, se configura una vez y punto.Como ves, no hay un solución global para todo, son pequeñas cosas juntas.
Tb esta el nocat, pero este sólo se usa para autentificar a clientes, se pueden permitir todos los servicios que quieras. La forma de actuar de este software es la misma que la q he explicado arriba (con firewall dependiendo de las ip's asignadas por dhcp y las mac's de las tarjetas).
Lo único que lo diferencia es que este software "captura" el tráfico del puerto 80 (web) y lo redirige al portal nocat para que el usuario de autentifique y despues ya puede usar los recursos que se le hayan asignado. Además hay muchas otras maneras de autentificar a los clientes.
El problema de nocat es que no soluciona el cifrado de datos, sólo es autentificación. -
He estado informándome sobre como esta el tema wep actualmente, y por lo que he visto, no es tan fácil romperlo.
Con una clave de 40bits, se necesitan estar escuchando la red mucho tiempo para recoger los suficientes paquetes "débiles" para recomponer la clave; además, si no hay mucho tráfico, aun se tardará más en poder romer el wep.
Por lo tanto, una solución sería meter una clave de 128bits (en realidad creo q son 104) e ir cambiándola para evitar posibles entradas no autorizadas. Así, con cambiar la clave cada semana, se tendría una red bastante segura. -
Ok, ahora ya está un poco más claro, gracias. De aqui unos momentos empezaré su instalación, ya os iré comentando las dudas que me puedan surgir.
De momento optaré por DHCP asignando ip's a ciertas MAC.
Utilizaré algo de encriptación WEP , más que nada para que no lo pillara cualquiera que pase por la calle.
Y por último, esto no lo tengo tan claro, limitaré el acceso mediante firewall. Cual??? Y también mediante permisos en el servidor que caducaran siempre por la noche.Creo que para empezar no estará mal…
-
Que tiene de cierto eso que el WEP ralentiza la red??? mucho?
-
Supongo que algo ralentizará, pero si la encriptación es realizada por las tarjetas, no creo q se note tanto.
Tienes ya el AP comprado???
-
Si compre un D-link normativa 801.11g, más una targeta pcmcia también de 54 mb/s. y una intel 2300 de 22 mb/s. que va en un portátil.
El problema es que ahora no puedo instalarlo aún en el servidor.
-
Q dlink es?? puede funcionar como bridge??
Lo ideal sería un AP en modo bridge, controlando quién accede por mac's y wep
-
Aqui lo tienes:
http://www.dlink.com/products/?pid=10
y los modos de funcionamiento:
http://www.dlink.com/products/resource.asp?pid=10&rid=32
Yo pense que era mejor ponerlo en modo AP, para atender a los demas clientes… Como es mejor?
-
En modo AP tiene q estar para atender a los clientes q estarán en modo "managed" (aunq algunos fabricantes lo llaman modo "infrastucture").
Luego esta el tema de conexión a otra red, ya que normalmente, los AP's se usan para interconectar una red wireless con una ethernet.
Si lo pones en modo bridge, la configuración (a nivel ip) de los portátiles, sería la misma que los pc's de sobremesa conectados a la red cableada (a la q este conectado el AP); así, la red wireless y la red cableada sería aparentemente la misma, no teniendo ningún problema para conectar con los otros pc's de la red ethernet (dónde estarán los servicios)No tiene mala pinta ese ap y tiene soporte para wpa, por lo tanto, si tus otras tarjetas wifi tb soportan el wpa ya no tienes q preocuparte por si alguien rompiese el wep, ya q el wpa soluciona los problemas de este.
-
La virgen!!! Ahora si que me has liado :muerto:
A ver, tengo una red con switch con cable con unas direcciones del tipo 192.168.0.x y quiero utilizar las mismas direcciones para la wireless, es decir 192.168.0.x (cambiando evidentemente el último dígito). Es decir lo que pretendo hacer son dos redes indiferenciadas. Para eso he de poner el AP en modo bridge no?
Y la otra forma de hacerlo como seria? con diferentes direcciones? de esta manera seria más seguro?
-
A ver, tengo una red con switch con cable con unas direcciones del tipo 192.168.0.x y quiero utilizar las mismas direcciones para la wireless, es decir 192.168.0.x (cambiando evidentemente el último dígito). Es decir lo que pretendo hacer son dos redes indiferenciadas. Para eso he de poner el AP en modo bridge no?
sastamente
Y la otra forma de hacerlo como seria? con diferentes direcciones? de esta manera seria más seguro?
si, con otra subred.
Seguridad la misma, en wireless el problema esta en q los datos circulan por el aire y cualquiera los puede capturar; pero teniendo el wep o wpa activado ya eliminas ese problema. -
Ok, pues muchas gracias. Espero tenerlo funcionando esta tarde o mañana por la mañana. Ya te diré que tal van los wireless de Dlink.
El otro modo que no es bridge, como se llama? VPN's o demás fandangos?
-
No se si os he entendido bien, ¿Modo bridge? pero eso no era el modo para unir varios puntos de acceso entre si … si lo configuras asi, el punto de acceso (PA) solo sirve para unir PA entre si, pero no dan servicio wireless a PC clientes ...
Yo creo que lo que necesitas es meterle el punto de acceso en modo Acces Point (punto de acceso normal), las IP deben estar dentro del rango de la red a la que le vas a conectar, como todos los elementos de la red. La encriptacion cuanto mas alta mas lenta te ira, ya que ten en cuenta que en 128b de encriptacion todos los datos de la encriptacion van en los mismos paquetes IP en la que van los datos, con lo que en un paquete IP iran menos datos para meter mas datos sobre la encriptacion (si la señal es muy buena, en el mejor de los casos, casi no lo notaras, pero sino si q lo notaras y mucho). El otro dia hablando con el director tecnico (es un amigo) de una empresa de estas dedicadas a redes y comunicaciones, me dijo que tenia un CD autoarrancable en un sistema linux, con una aplicacion que rompe una clave WEP de 128bits en unas 5 horas (lo mismo me estaba vacilandome, pero yo le creo).
Y si la cambias cada semana la WEP, eso esta bien, pero tienes usuarios que le es dificil poner una IP, imaginate explicarle que tiene que meter una clave WEP cada semana en su tarjeta wireless .. ji,ji pa flipiar (yo tambien tengo alguno q se las trae ... el otro dia uno se me mosqueo por que no le funcionaba el correo con el outlook, q al quinto mensaje que bajaba se le petaba el correo ... pero so Onofre que solo tienes 50 Mb libres en el disco duro y tienes 5000 mensajes en la bandeja de entrada ... ) -
No se si os he entendido bien, ¿Modo bridge? pero eso no era el modo para unir varios puntos de acceso entre si … si lo configuras asi, el punto de acceso (PA) solo sirve para unir PA entre si, pero no dan servicio wireless a PC clientes ...
El modo bridge sirve para unir dos redes físicas distintas y hacer parecer a los pc's de las dos redes q estan en una misma red.
Puedes unir dos AP o cualquier tipo de red. El bridge no interfiere en las propiedades de cada red (sea ethernet o wireless), simplemente pasa paquetes de una red física a otra.
Si no lo configuras en modo bridge, necesitarás un gateway para pasar paquetes de una red a otra.En cuanto a lo del wep, imaginate esa metadistribución arrancada en un portátil; si una pcmcia wireless ya consume lo suyo, tener q tirar de cdrom para cargar aplicaciones te dejará sin batería antes de poder conseguir nada.
Aquí tienes los comentarios de gente intentando reventar una clave wep de 40bits
No digo q antes el wep si q fuese fácilmente crackeable (aunq habría q haberlo visto), pero actualmente han cambiado muchas cosas.Cambiar la clave del wep, no es demasiado complicado.
-
… a mi lo q no me cuadra es lo d q se pueda cambiar la direccion MAC d un interface d red.
Tengo entendido q el MAC es un identificador exclusivo de cada dispositivo y q no se puede cambiar
aunq se de muchas situaciones en las q han coincidido varios con el mismo MAC en una party xD -
Hay una mac distinta para cada tarjeta de red, pero es modificable xq ese valor se carga en memoria cuando levantas la interfaz; y luego ya puedes cambiarlo modificando el valor que hay en memoria.
Hay algunos drivers q no se dejan cambiar la mac, pero no suele ser lo habitual.Prueba los siguiente:
- Haz un ifconfig eth0 para ver la mac de tu tarjeta de red y apuntalo.
- Baja la interfaz eth0 (ifconfig eth0 down)
- Cambia la mac de tu tarjeta de red (ifconfig eth0 hw ether <mac cualquiera=""></mac>(lo de ether es xq es una tarjeta ethernet)
- Levanta tu eth0 y mira a ver tu mac nueva
-
De que sistema sacas el comando ifconfig, o donde consigues el programilla, por que yo ese comando solo lo he visto el algun que otro router entrando a traves de hyperterminal, pero en un PC no lo he visto … o es algun programa o ejecutable especial?
-
AHORA TENGO OTRO PROBLEMA!!!
Resulta que si quiero poner el AP en modo Bridge, me pide el "Remote AP MAC" y el "Remote Bridge MAC", entonces: Como puedo saber estos valores? Me imagino que hacen referencia al Switch/Hub no? Y como averiguo eso?