Qué es AP Isolation y Net Isolation y por qué es importante

AP Isolation: aislamiento en red WiFi

El AP Isolation es una característica de los routers que permite aislar a los clientes inalámbricos entre sí. Si un cliente WiFi intenta conectarse a Internet, con un equipo cableado o con un servidor NAS local que está conectado vía cable, podrá comunicarse sin ningún problema, todo funcionará. Si este mismo cliente WiFi intenta comunicarse con otro dispositivo inalámbrico dentro de la misma red WiFi, la comunicación le será denegada, no se permite la comunicación porque AP Isolation lo que hace es aislar a los clientes inalámbricos entre ellos, con el objetivo de que no puedan comunicarse entre ellos.

Aunque habitualmente esta función está disponible y configurada por defecto en la red WiFi de invitados de los routers, hay algunos fabricantes que en su firmware también permiten esta funcionalidad tan interesante para aislar a los clientes inalámbricos entre sí. Por ejemplo, si tenemos un router ASUS nos deberemos ir a la sección «Configuración Avanzada / Wireless / Profesional«, y podremos habilitar el AP Isolation para la red WiFi principal, ya sea en 2.4GHz o en 5GHz, ya que ASUS nos permitirá configurarlo individualmente por banda de frecuencias.

En el caso de otros routers muy avanzados y recomendables, como los AVM FRITZ!Box, también tenemos disponible esta opción de configuración para la red principal. En este caso, si activamos el aislamiento de AP, afectará a ambas bandas de frecuencias (que sería lo normal, nos interesa que esta opción esté disponible en ambas bandas). La configuración en este router es muy sencilla, activamos la configuración avanzada del router en la parte superior derecha, y nos vamos a la sección de «Wi-Fi / Seguridad» y podremos ver la opción de «Los dispositivos inalámbricos activos aquí visualizados podrán comunicarse entre sí», si desactivamos esta opción entonces estaremos habilitando el AP Isolation.

Lo más normal, es que el router no tenga el AP Isolation por defecto en la red principal, para que los clientes inalámbricos puedan comunicarse entre sí.

Esta misma opción de configuración también la tenemos disponible en los puntos de acceso profesionales y en los controladores WiFi, normalmente esto se denomina «Guest WiFi» a la hora de configurar un SSID.

En el caso del SSID, cuando se configura para un dispositivo AP, se puede habilitar de forma opcional el aislamiento. También es posible utilizar un aislamiento del cliente, para que se pueda prevenir el tráfico entre diferentes clientes inalámbricos, los cuales usan el mismo SSID, pero en distintos dispositivos AP. En todo caso esto requiere configuración adicional de VLAN, como veremos a continuación.

De manera predeterminada, cuando habilitamos una red WiFi de invitados en nuestro router, siempre tendremos habilitado el AP Isolation, de hecho, es posible que ni siquiera tengamos la opción de permitir su comunicación entre ellos, pero esto dependerá del firmware del router en cuestión.

Aislamiento en múltiples dispositivos

Cuando estamos ante un caso de aislamiento de cliente, habilitado en un solo dispositivo AP el cual utiliza el mismo SSID que otro dispositivo AP, el tráfico puede pasar entre los clientes que están conectados a otros dispositivos AP. En este caso, para implementar un aislamiento eficaz de un cliente con un SSID utilizado por más dispositivos AP, debemos asegurarnos que el tráfico pasa por los dispositivos. Se podrán utilizar VLAN´s para aplicar el tráfico a todas las políticas que sean compatibles con la configuración del aislamiento asignada al cliente.

Las políticas de los firewall, de forma predeterminada negarán el tráfico en los dispositivos AP cuando son dos interfaces diferentes, por lo cual no tendremos que generar nuevas políticas que nieguen explícitamente el tráfico. Podemos poner de ejemplo una VLAN en una zona de seguridad, donde se le negarán los paquetes de forma automática, y se categorizan como paquetes no controlados, pues no responden a las políticas que están configuradas en el firewall. En este caso, es al contrario cuando tenemos que asegurarnos de no tener ninguna política que permita el tráfico.

Para llevar a cabo esta tarea, realizaremos los siguientes pasos:

• Agregar una VLAN y realizar una configuración para poder aplicar políticas de firewall al tráfico interno.
• En cada dispositivo AP, tendremos que configurar una interfaz VLAN para la administración del tráfico no etiquetado.
• Configurar los ajustes SSID para poder habilitar un aislamiento de cliente.
• Interconectar los dispositivos AP directamente con una de las interfaces VLAN.

Net Isolation: aislamiento en red cableada y WiFi

El Net Isolation es una característica de los routers que permite aislar a los clientes inalámbricos y cableados para que no se puedan comunicar entre ellos. Si un cliente WiFi intenta comunicarse con un servidor NAS ubicado en la LAN principal, no podrá comunicarse porque estará aislado, lo mismo ocurre si tenemos un cliente cableado configurado en una red cableada de invitados, no podrá comunicarse con la red principal.

Dependiendo del firmware del router, tenemos principalmente dos políticas:

• Se deniega la comunicación utilizando ebtables/iptables entre los equipos conectados.
• Se crea una nueva subred aislada de la subred principal, este método es el más elegante, para tener a todos los clientes «invitados» en una subred nueva.

Por ejemplo, en el caso de los routers de ASUS se usa la primera opción, se hace uso de ebtables/iptables para limitar la comunicación de los diferentes equipos de la red WiFi de invitados con la red principal. En el caso de que nos interese que accedan a la LAN, siempre lo podremos configurar «Acceso a Intranet» en la sección de «General / Red para invitados«.

En el caso de los routers AVM FRITZ!Box, la configuración de la red WiFi y cableada de invitados es mucho más elegante y nos da más posibilidades. Por ejemplo, podremos configurar una red WiFi de invitados privada, o bien crear una red WiFi pública (abierta) con autenticación en un portal cautivo.

En esta red WiFi de invitados, también podremos habilitar o no el AP Isolation. Debemos tener en cuenta que AVM FRITZ! crea una nueva subred separada de la principal para ubicar a todos los invitados, y podríamos permitir que sí haya comunicación entre ellos sin problemas. Por defecto tenemos la mejor seguridad, es decir, tenemos el AP Isolation habilitado. En caso de querer deshabilitarlo, deberemos pinchar en la opción de «Los dispositivos WiFi pueden comunicarse entre sí».

Este router AVM FRITZ! también nos permite configurar el puerto LAN4 para la red de invitados, tendrá acceso a Internet pero no a la red local principal. Esto es ideal para conectar uno o varios equipos (usando un switch) a la red de invitados y que esté completamente separada de la red principal. En la sección de «Red local / Red / Configuración de red» podréis ver esta configuración tan interesante.

En la misma sección que la anterior, pero en la parte inferior, podremos pinchar en «Direcciones IPv4». Aquí podremos cambiar el rango de subred de la red local principal, y también de la secundaria que os hemos comentado anteriormente. Tal y como podéis ver, la configuración actual de la red es la siguiente:

• Red local principal: 192.168.188.0/24
• Red de invitados: 192.168.189.0/24

Y entre ellas no está activado el enrutamiento, por tanto, desde la red WiFi de invitados no podremos comunicarnos con la red principal, tendremos a los clientes inalámbricos y cableados totalmente aislados.

Tal y como habéis visto, dependiendo del router utilizado y su firmware, tendremos más o menos opciones de configuración respecto al AP Isolation y Net Isolation.

Diferencias entre AP Isolation y Net Isolation

AP Isolation y Net Isolation son términos similares, pero las diferencias entre ellas son claves para proteger la red. Mientras que el AP Isolation solamente aísla a los clientes inalámbricos que están conectados al router inalámbrico o punto de acceso WiFi, la funcionalidad de Net isolation lo que hace es bloquear la comunicación a nivel de red entre los clientes WiFi y los clientes que hay conectados a través de la red cableada. Es decir, ambas tecnologías pueden trabajar conjuntamente para proteger aún mejor la red local domésticos o profesional.

A continuación, os ofrecemos un pequeño resumen de ambos términos, para que lo tengáis más claro:

• AP Isolation activado + Net Isolation activado: hay aislamiento entre los clientes WiFi (no se pueden comunicar entre ellos vía WiFi, es decir, si un cliente intenta comunicarse con otro la comunicación estará denegada) y no se permite acceso a la red principal. Este modo de configuración es ideal para evitar ataques Man in the Middle en redes inalámbricas abiertas, donde tengamos múltiples clientes WiFi conectados sin ningún tipo de protección. Gracias al AP Isolation y Net isolation, un cliente inalámbrico malicioso no podrá realizar ataques Man in the Middle activos, es decir, no podrá realizar ataques como ARP Spoofing. Sin embargo, este cliente malicioso sí podrá capturar todo el tráfico que no esté cifrado con HTTPS o con VPN, pero no podrá realizar ataques «activos».
• AP Isolation activado + Net Isolation desactivado: hay aislamiento entre los clientes WiFi (no se pueden comunicar) y sí se permite acceso a la red principal. En este caso los clientes inalámbricos sí podrán tener acceso a la red cableada principal, sin embargo, un cliente WiFi con otro cliente WiFi no podrá comunicarse. Este modo de configuración también es ideal en las redes WiFi inalámbricas públicas, porque no permitirá realizar ataques Man in the Middle activos, como atacar el protocolo HTTPS haciendo un ataque de SSL Stripping. Sin embargo, en este caso también podría realizar ataques pasivos, es decir, capturar toda la información no cifrada.
• AP Isolation desactivado + Net Isolation activado: los clientes WiFi se pueden comunicar entre ellos, pero no se permite acceso a la red principal. Este tipo de configuración es algo peligrosa, porque permite a los clientes inalámbricos comunicarse entre ellos, por tanto, se podría dar el caso de que un usuario malintencionado realice un ataque Man in the Middle a otros clientes WiFi, con el objetivo de robar información privada. Por supuesto, en este escenario los ataques MitM pasivos también funcionarían sin problemas, por tanto, no tenemos la protección que sí teníamos anteriormente.
• AP Isolation desactivado + Net Isolation desactivado: los clientes WiFi se pueden comunicar entre ellos y se permite acceso a la red principal. En este caso no tenemos ningún tipo de aislamiento ni protección, todos los clientes inalámbricos y cableados pueden comunicarse entre sí sin problemas, por tanto, seremos vulnerables a posibles ataques Man in the Middle como el ARP Spoofing, para posteriormente ejecutar ataques más avanzados como el SSL Stripping.

Dependiendo de lo que nos interese, en algunos routers podremos realizar todas estas configuraciones. Nuestra recomendación es que, si vais a montar una red WiFi de invitados con autenticación o sin autenticación, activéis la característica de AP isolation para proteger a estos clientes inalámbricos de otros clientes que se conecten pero que sean maliciosos. De esta forma, estaremos dotando a la red de una mayor seguridad.

Beneficios de AP Isolation en el sector empresarial

AP Isolation es una característica que se encuentra en muchos routers y accesos inalámbricos, que puede llegar a ser tremendamente útil para cualquier empresa. Algunos de los beneficios que nos va a dar son:

• Seguridad: La seguridad es un aspecto tremendamente importante dentro de la gran mayoría de las organizaciones que cuentan con recursos en red. Proteger las redes inalámbricas de la empresa, y evitar que las amenazas externas le afecten, es algo que todo el mundo debe tener en cuenta. Con esta herramienta, se impide que los usuarios puedan ver otros dispositivos en la red en la que se encuentran. Reduciendo de forma considerable, el riesgo de que se produzcan ataques malintencionados o el robo de datos. Lo cual puede llegar a suponer pérdidas a nivel económico a muchos niveles.
• Privacidad: Mantener la privacidad de los datos es otra de las cuestiones que toda empresa tiene en cuenta. En este caso, ocurre lo mismo que en el punto anterior. Al evitar que se puedan ver otros dispositivos, mantenemos mayores niveles de privacidad dentro de la empresa. Lo cual es importante para todo el mundo que utilice los sistemas y red de la misma.
• Aislamiento de problemas: Si un dispositivo que se encuentra conectado a la red genera algún tipo de problema, con AP Isolation podemos aislarlo para evitar que el problema pueda afectar a otros equipos dentro de la red. Esto puede tratarse de algún sistema infectado, el cual se puede propagar de forma rápida a otros equipos. De este modo, podremos evitarlo. Suponiendo una gran ventaja en cuanto a seguridad.
• Control de acceso: Con AP Isolation disponemos de una forma muy efectiva de controlar los accesos que se producen en la red inalámbrica de la empresa. Como es posible limitar esta interacción entre los dispositivos, se puede llegar a evitar que los usuarios que no están autorizados, se conecten a la red. Lo cual podría suponer que los datos se vieran comprometidos.

Esperamos que esta guía os haya servido de ayuda y hayáis aclarado los conceptos de AP Isolation y también Net Isolation.