Por qué las contraseñas en redes Wi-Fi de invitados no aumentan la seguridad
El uso de claves precompartidas en redes de invitados crea una falsa sensación de seguridad. Conoce las mejores prácticas para proteger tu red con VLANs y seguridad a nivel de aplicación.
Es común encontrar redes de invitados en puntos de acceso que requieren una clave precompartida WPA2-AES. Sin embargo, esta práctica no tiene sentido técnico y genera una falsa sensación de seguridad. Aunque la lógica sugiere que el cifrado protege contra la interceptación de tráfico por parte de atacantes que detectan transmisiones de radiofrecuencia, el uso de una clave precompartida no resuelve el problema de fondo.
Vulnerabilidades del cifrado con clave precompartida
Un atacante que posee la clave precompartida y captura el intercambio de asociación (el cual no está cifrado) entre un dispositivo cliente y el punto de acceso puede utilizar esa información para descifrar el tráfico del dispositivo. Además, la mayoría de los problemas de seguridad en las redes de invitados no provienen de la detección de frecuencias de radio, sino del "lado cableado" de la red.
El cifrado Wi-Fi solo ocurre entre el dispositivo del cliente y el punto de acceso. El AP descifra todo el tráfico de datos antes de pasarlo a la infraestructura de red cableada. Si el aislamiento del cliente no está configurado correctamente, un atacante puede conectarse a otros dispositivos clientes a través de la red cableada.
Mejores prácticas de seguridad
Lo único que proporciona una clave precompartida WPA2-AES es una carga administrativa adicional para el personal, que debe distribuir la contraseña a todos los invitados. Para mantener la seguridad en una red de invitados, es fundamental utilizar seguridad a nivel de aplicación, como HTTPS para la navegación web y SSL para los servicios de correo electrónico. Las VPN personales o corporativas también son soluciones apropiadas y efectivas.
Gestión de redes de invitados en entornos Multi-AP
Muchos dispositivos, como la Serie EnGenius ESR y puntos de acceso empresariales de las series EAP, ECB, ENS, ENH y EWS, permiten configurar una red de invitados con una subred separada y un rango DHCP propio. Esto crea una barrera de Capa 3 (IP) entre la red de invitados y la red operativa.
¿Por qué no usar esta función en lugar de una VLAN? Esta configuración solo es apropiada para redes con un único punto de acceso. En entornos con múltiples AP, esta configuración impide el roaming, ya que cada AP crea una red de invitados independiente. Cualquier cliente que intente hacer roaming tendrá que restablecer la conexión de Capa 3, interrumpiendo las aplicaciones en tiempo real. Por lo tanto, en redes multi-AP, las VLAN son la opción correcta para proporcionar redes de visitantes.
 |
Aarón Levario
Product Manager | SYSCOM®
Mail: alevario@syscom.mx
|
|---|