On Thu, 2007-04-26 at 20:50 -0400, Rodrigo Fuentealba wrote: > Debes planificar extremadamente bien entonces, como generar VPN's para > las aplicaciones más críticas e intentar utilizar métodos mucho más > seguros que WEP y WPA-PSK. > > Considera algunas cosas que me da la experiencia mirando y metiendo > las manos en la masa. Varias ya las dijeron, pero bueno... no recuerdo > cuales > > 1.- Filtrar por MAC no sirve... Es muy fácil saltársela. Tampoco el > cuento de darle una IP al usuario para que se conecte. Espera a que a > alguien se le olvide la IP a las 12 de la noche y adiós tranquilidad.
pero es válido como primera barrera... ya muchos quedan fuera solo de esta manera, además que el mantener registrada la MAC en algún lugar (base de datos por ejemplo) asociada al propietario te entrega valiosa información al momento de tener algún problema en la red. > > 2.- No uses nada que tenga por detrás a MySQL... MySQL de por sí es > fallo seguro. (Si en algo coincidimos plenamente con alvherre y no > tiene punto de discusion, es esto). > > 3.- Un Access Point muy recomendable es el CISCO. Es un parto hacerlo > funcionar, pero una vez funcionando es bastante sólido. Por favor no > utilices la característica PoE de éstos, dado que pierden bastante > potencia (comprobado). No se de que modelo hablas que sea complicado configurar, dependiendo de si lo haces por la interfaz web o por comandos directamente, pero eso es solo conocimiento de la IOS. > > 4.- Radius es muy buena solución, sobretodo si planean tener otros > servicios a los cuales acceder con la misma password. Sin embargo, eso > no sirve de nada si, ejem, ejem, el username es rfuentealba y la > password es rodrigo, o el RUT: debe ser algo más difícil de > capturar... Radius es una excelnete solución si quieres implementar 802.1x, que creo yo es lo que debiera implementar en la empresa. > > 5.- Considera bastantes access points, y considera tener algunos de > repuesto. No falta el que se cae. > Si por recomendar alguna solución, puedes averiguar sobre la autenticación basada en puertos (802.1x) mas el uso de filtrado de MACs. Si te sirver, puedes ver este docuemnto: FreeRADIUS + WPA + EAP + TLS (es para un AP D-Link, algo mas accesible para el bolsillo que un CISCO, además utiliza como backend de usuario un archivo local, sin embargo esto puede cambiarse para utilizar LDAP.) http://www.primates.cl/public/imagenes/radius.pdf http://www.ieee802.org/1/pages/802.1x.html Saludos. -- Alejandro Valdés Jiménez. Area Plataforma DTI - Dirección de Tecnologías de Información Universidad de Talca. Talca - Chile. Teléfono: (56) (71) 200408
