Una red local doméstica se debe asegurar correctamente para evitar que otros usuarios puedan tener acceso a
ella y comprometer nuestra privacidad.
Con los siguientes consejos podremos compartir el acceso a Internet con invitados sin tener problemas de seguridad:
- Segmenta tu red local si se conectan otros usuarios.- Si en nuestra red local se conectan otros usuarios que no somos nosotros, por ejemplo si estamos en un piso compartido y no queremos que el resto de personas puedan comprometer nuestras comunicaciones. Otro ámbito muy útil donde podemos segmentar nuestra red local para tener una mayor seguridad, es si compartimos la conexión a Internet con un vecino. Segmentar nuestra red local utilizando un switch gestionable y creando una VLAN, es fundamental para que no pueda haber comunicación entre los equipos conectados vía cable que pertenecen a VLANs distintas, esto nos proporcionará una seguridad adicional. Normalmente los switches gestionables permiten configurar que una dirección MAC en concreto utilice una VLAN determinada, otros switches solo permiten VLANs basadas en puerto. Gracias a las VLAN podremos tener dos subredes distintas y aisladas, de tal forma que podremos navegar seguros a través de Internet ya que no nos podrán realizar ataques Man In The Middle para capturar nuestras comunicaciones y posteriormente descifrarlas.
- Configura el Wi-Fi con autenticación 802.1X RADIUS.- Si utilizas Wi-Fi, lo más seguro actualmente es seleccionar WPA2-Enterprise ya que se utiliza un servidor RADIUS para dar de alta las diferentes identidades. De esta forma, la contraseña Wi-Fi no es PSK (Pre-Shared Key) que todos los usuarios de la red Wi-Fi tienen la misma clave, de tal forma que el tráfico se puede descifrar fácilmente utilizando esta clave precompartida. Nosotros tendremos un usuario y contraseña, y el resto de usuarios de la casa tendrán otros credenciales distintos. Además es recomendable que si estamos viviendo con otras personas, habilitar el aislamiento de AP para impedir que haya comunicación inalámbrica entre los clientes inalámbricos.
- Configura el Wi-Fi para invitados y asegúrate que no tiene acceso a la red local.- Si viene un invitado, es fundamental no proporcionarle nunca acceso a la red local para tener la seguridad de que no accederá a nuestra red. Normalmente todos los routers de gama alta incorporan la funcionalidad de Wi-Fi de invitado que impide que se acceda a la red local doméstica, además algunos routers permiten que el propio invitado quede aislado y no se pueda conectar con otros invitados, de esta forma también protegeremos la privacidad y seguridad en la red de nuestro invitado.
- Comunicaciones cifradas con nuestro servidor NAS.- Si tenemos un servidor NAS en nuestra sección de la VLAN, no tendremos ningún problema ya que el tráfico es segmentado por el switch y no podrán conectarse a él ni tampoco realizar un ataque Man In The Middle. Si el servidor NAS es compartido y está disponible en todas las VLANs, es recomendable conectarnos a nuestro servidor a través de protocolos que proporcionan cifrado y autenticación como FTPES y SFTP, así conseguiremos un mayor nivel de seguridad, por ejemplo el software Filezilla soporta ambos protocolos.
- Cifra los datos de tu servidor NAS para mayor seguridad.-Por último, si los datos que tenemos en el servidor NAS son importantes y privados, podemos optar por cifrar el disco entero del NAS o habilitar una carpeta cifrada. De esta forma, si nos cogen el disco duro del interior del NAS e intentan leer la información, no podrán ya que todo el contenido está cifrado.
