LISTADO DE LAS "20 BEST PRACTICES PARA SU RED INALÁMBRICA WIFI"
- Establecer políticas y procedimientos de seguridad para la utilización de la tecnología WIFI
- Verificar que los usuarios de esta tecnología están entrenados y conocen los riesgos asociados con su utilización
- Mantener un inventario actualizado de Access Points y dispositivos wireless que pertenecen a la organización
- Establecer normas escritas de configuración de Access Points y estaciones de trabajo
- Prohibir o limitar el uso de dispositivos inalámbricos particulares
- Desactivar la tecnología WIFI, en los dispositivos wireless que no la estén utilizando
- Emitir normas estrictas sobre el comportamiento de los usuarios en Hotspots de Aeropuertos, Hoteles, Universidades, etc.
- Restringir, si es posible, la información que pueden portar los usuarios en los dispositivos wireless
- Testear el alcance exacto de la cobertura de RF de cada Access Point, sobre todo hacia el exterior de la organización
- Cambiar el SSID por defecto y verificar que este no incluya datos sobre la organización, la división, la calle, etc
- Desactivar el broadcast del SSID, si es posible
- Desactivar los archivos compartidos y el modo Ad-Hoc, siempre que sea posible
- Instalar todos los parches necesarios en S.O., Access Points, Suplicantes, RADIUS, VPN, Firewalls, etc.
- Implementar control de acceso fuerte a la consola de gestión de los Access Points
- Utilizar 802.1x/EAP y RADIUS
- Configurar el lo los Suplicantes adecuadamente y protejer su configuración por password
- Implementar herramientas de monitoreo del espacio de RF. Si puede un Switch WLAN, mejor
- Establecer una rutina de verificación de Access Point Hostiles
- Mantener un inventario actualizado de los Access Point que existen en la vecindad y que pueden interferir con sus usuarios
- Mantener un inventario actualizado de los sitios "ruidosos" o con interferencias de su vecindario.
-----------------------------------------------------------------------------
1) Establecer políticas y procedimientos de seguridad para la utilización de la tecnología WIFI
La tecnología WIFI es novedosa, práctica, útil y sofisticada. Se rige por principios físicos muy diferentes de las redes cableadas. Una red inalámbrica WIFI es muchísimo más compleja que una red cableada y existen diferencias tecnológicas y operativas muy grandes entre ambas.
La experiencia profesional y docente nos demuestran que la mayoría de los informáticos y administradores de redes, desconocen estas diferencias. Con más razón las desconocen los usuarios de WIFI. Sin embargo, a pesar de este desconocimiento, todos la utilizan y la aprovechan para transmitir y almacenar las informaciones más delicadas y confidenciales de las organizaciones.
El NIST - Instituto de Estándares de USA - recomienda como primer medida de seguridad, antes aún de comprar o instalar tecnología WIFI, elaborar políticas y procedimientos de seguridad para todos los usuarios.
2) Verificar que los usuarios de esta tecnología están entrenados y conocen los riesgos asociados con su utilización
En el punto anterior se analizaron las diferencias existentes entre redes cableadas y redes inalámbricas WIFI y porqué es importante establecer políticas adecuadas. Por los mismos motivos, hay que comprender que los usuarios de WIFI, en su gran mayoría, nunca fueron entrenados ni capacitados para el uso de esta novedosa tecnología.
Como es obvio la mayoría desconoce los peligros asociados con la utilización de WIFI como:
- Access Point Hostiles
- Redes WIFI Ad-Hoc
- Wi-Phishing en Hotspots
Las organizaciones que han invertido en capacitar y entrenar a sus usuarios WIFI, han logrado reducir en gran medida los incidentes de seguridad WIFI.
La inversiones en capacitación y entrenamiento, no suelen ser muy cuantiosas y son un añadido a las herramientas tecnológicas. Su importancia es vital para lograr una seguridad wireless muy robusta.
3) Mantener un inventario actualizado de Access Points y dispositivos Wireless que pertenecen a la organización
En la mayoría de las instalaciones, donde generalmente no se dispone de un switch WLAN, es aconsejable mantener una base de datos de todos los equipos y dispositivos de las redes inalámbricas wifi. Lo que sucede casi siempre, es que se comienza por instalar uno o dos access points y luego se van añadiendo otros y, de pronto, uno se encuentra con varios access points funcionando. Con el tiempo comienzan a aparecer problemas de mantenimiento o es necesario re-ubicarlos para re-configurar los canales.
La experiencia nos demuestra, que al presentarse esta situación, nadie sabe exactamente cuantos access points existen ni donde están ubicados. También se desconocen las características de los mismos. Todo esto se puede evitar, si cada vez que se van instalando los access points, desde un comienzo,
se elabora una ficha con toda la información relevante de ese access point: modelo, estándares que soporta, donde está instalado, en qué canal quedó configurado, que encriptación se está utilizando, a qué potencia se configuró, etc.
Otra cosa que sucede a menudo, es que las personas que instalaron los access points no fueron siempre las mismas. En muchas ocasiones se contrata la instalación a gente que no pertenece a la organización, en otras ocasiones los empleado que realizaron la instalación ya no pertenecen a la empresa. Por lo tanto, si no hay nada escrito, y tampoco existe la posibilidad de consultar a los que hicieron el trabajo, será difícil analizar la situación.
Esto último constituye un argumento adicional, y muy importante, para que el mantenimiento de un inventario o base de datos de todos los access points sea una práctica muy recomendable.
4) Establecer normas escritas de configuración de access points y estaciones de trabajo
Cuanto más sofisticado y "robusto" es el access point, más opciones de configuración presenta. Si se van instalando access points en diferentes oportunidades y por diferentes profesionales, es muy probable que cada uno quede configurado de diferente manera. Sólo de casualidad podrían estar todos configurados de manera similar.
Como es obvio, esta disparidad en las configuraciones ocasionará más complicaciones e incompatibilidades en la red inalámbrica WIFI que, por supuesto, son innecesarias y se pueden evitar estableciendo normas escritas y muy precisas sobre la configuración de los access points de la organización. Así, cada vez que alguien deba instalar un access point adicional, sabrá exactamente cuál es la política y como debe hacerlo.
Las redes inalámbricas WIFI son muchísimo más complejas que las redes cableadas y es una torpeza innecesaria introducir más factores de desequilibrio y desestabilización. Las complicaciones crecen aún más por la necesidad de instalar diferentes modelos de access point de una misma marca o, peor aún, diferentes marcas. Esto sucede pues después de unos meses, es difícil conseguir el mismo modelo de access point y hay que recurrir a equipos diferentes.
Si bien los access points son un elemento fundamental y básico de una red inalámbrica WIFI, son muchos los que se olvidan que las estaciones de trabajo, o clientes, también "juegan" y siguiendo con el lenguaje "deportivo", muchas veces son ellos los "que nos meten los goles".
Ya se comentó la gran complejidad de las redes inalámbricas WIFI. Entonces hay que comprender que los clientes son una parte importante de esta complejidad. Lo que sucede en la mayoría de las instalaciones es que se utilizan una gran variedad de equipos clientes. Generalmente estos clientes WIFI (Centrino, USBs, tarjetas PCMCIA, PDA, etc) incorporan sus propios drivers, que son "propietarios" y por lo tanto pueden ocasionar incompatibilidades que escapan al control del administrador de la red WIFI.
Esta complejidad ya es suficiente para complicar el mantenimiento y la gestión de una red WIFI. Si, además, los equipos WIFI, se configuran de una manera dispar y sin ningún criterio estandarizado de la organización, lo único que se logrará es introducir un factor adicional de generación de problemas e incompatibilidades. O sea que también es una buena práctica, establecer criterios y normas para configurar a los clientes de una red inalámbrica WIFI y evitar, en la medida de lo posible, que cada usuario manipule las configuraciones de conexión y seguridad de su equipo WIFI.
5) Prohibir o limitar el uso de dispositivos Inalámbricos particulares
En la actualidad, son muchísimos los usuarios que disponen de PDA, teléfonos móviles y/o computadores portátiles de su propiedad. La mayoría de estos equipos incorporan, ya, la tecnología WIFI. Como es lógico, los dispositivos inalámbricos particulares no son controlados por los que "gobiernan las TI" de la organización, ya sean administradores de red, responsables de help desk o directores de sistemas.
Nadie sabe qué S.O. tiene cada uno instalado, qué driver de WIFI está utilizando, con qué cliente se va a conectar a la red inalámbrica, si tiene un chip WIFI o un adaptador USB de marca desconocida, etc.
Hay que notar que cada factor de incertidumbre que añadimos a nuestra red, nos genera una complejidad adicional. Si aparece un fallo en la conexión en un equipo que no utilice los estándares de nuestra organización, tendremos que investigar varios factores, para detectar el orígen de dicho evento.
Otro posible problema, no tan relacionado con WIFI, pero sí con seguridad informática, es que probablemente esos equipos "visitantes" puedan contener virus informáticos, spyware, keyloggers, virus troyanos, o cualquier otro tipo de programas espía.
Por lo tanto hay que ser muy consciente de los inconvenietes que acarrean los equipos de terceros y tratar de evitarlos en todo lo posible. Si no es posible hay, entonces, que limitar su utilización y asegurarse que ésta se realice bajo control y siguiendo estrictamente las políticas pre-establecidas al efecto..
6) Desactivar la tecnología WIFI, en los dispositivos wireless que no la estén utilizando
El NIST - Instituto de Estándares de USA - ha publicado una serie de recomendaciones para todas las agencias federales que instalen redes inalámbricas WIFI. Una de ellas es no comprar equipos WIFI hasta que no existan políticas y procedimientos para este tipo de tecnología. Con ello se busca evitar la apertura de nuevos huecos de seguridad en los sistemas.
Sin embargo, la realidad de las empresas en el mundo es muy diferente, a lo que aconsejan las buenas prácticas. Todas las empresas compran cotidianamente nuevos equipos de todo tipo: PDA, notebooks, etc. Todos los equipos en la actualidad incorporan tecnologías wireless: WIFI, Bluetooth, infrarrojos. En muchos casos los usuarios de esos equipos no utilizan las tecnologías wireless por falta de conocimientos, o falta de necesidad.
Entonces surge la siguiente pregunta: Si el usuario no utiliza las conexiones WIFI o Bluetooth ¿Para qué es necesario tener estas opciones activadas? Al estar activadas, estas tecnologías pueden ser aprovechadas por cualquier hacker para penetrar en los equipos y, si además estos están conectados a la red cableada empresarial, también en la red corporativa.
Muchas veces el peligro es, proporcionalmente mayor, pues los que poseen estos equipos con tecnología WIFI, suelen ser los funcionarios de mayor rango en las organizaciones: Directores Generales, Directores Financieros, Directores de Sistema, Consultores, Auditores, etc., por lo tanto almacenan información muy delicada y confidencial , en sus equipos "abiertos" o mal protegidos.
Por lo tanto, constituye una muy buena práctica desactivar las capacidades WIFI de los dispositivos, cuando no son necesarias. Si WIFI no es nativo y se utiliza algún agregado como USB, o tarjeta PCMCIA, simplemente hay que quitarlo de los equipos. Si WIFI es interno y viene incorporado hay que buscar la opción de desactivarlo. De esta manera se evitarán innumerables problemas de seguridad.
7) Emitir normas estrictas sobre el comportamiento de los usuarios en Hotspots de Aeropuertos, Hoteles, Universidades, etc.
Los access points públicos, denominados Hotspots, son una herramienta muy útil para fomentar la movilidad. Las ventajas están a la vista y todos acudimos a ellos cuando estamos en un aeropuerto, estación de tren, hotel o centro comercial. Pero, como se explica, también hay muchas desventajas. O, más exactamente, peligros para la seguridad de la información transmitida.
En los Hotspots, la seguridad informática, o con más exactitud, la seguridad WIFI, practicamente no existen y la información se transmite por el aire sin protección o escasamente protegida. Esto lo aprovechan los hackers.
El desconocimiento de los usuarios, obviamente, echa "más leña al fuego". La mayoría de estos HotsPots son gratuitos y lo que buscan es conquistar al público y darles un servicio. Pero sólo se preocupan de la seguridad desde el access point o hotspot hasta el servidor del propio ISP o proveedor de servicios de Internet. Los usuarios no suelen tener la posibilidad de validar el servidor del ISP, o de encriptar la información transmitida con un protocolo fuerte como WPA o WPA2,
WIFI, transmite la información por el aire, que es un medio compartido. La información que transmitimos en el aeropuerto o universidad, puede ser capturada por cualquiera y analizada. Si esta información no se encripta con WEP, WPA o WPA2, lógicamente será muy fácil su interpretación.
Otro peligro muy importante es el de conectarse a un servidor "pirata" o de hackers.Cuando nos conectamos en un sitio público, generalmente el servidor es desconocido para nosotros y por lo tanto, si además del servidor "legal" hay algún servidor "pirata", no nos daremos cuenta. Al conectarnos, seguramente nos pedirán datos "delicados" como números de tarjeta, claves, etc.A esto se lo denomina "Wi-Phishing". Por ello, es muy importante validar o autenticar al servidor que nos estamos conectando.
8) Restringir, si es posible, la información que pueden portar los usuarios en los dispositivos wireless
La capacidad de almacenamiento de PDAs, teléfonos celulares y notebooks ha aumentado en los últimos meses de manera significativa. En ellos se puede almacenar grandes cantidades de información. El dilema que ha surgido ultimamente es el siguiente: Poder se puede, pero ¿Se debe?
Tanto la lógica como las estadísticas demuestran que estos dispositivos wireless son muy "Vulnerables" y muy "peligrosos" por varios motivos. En primer lugar grandes cantidades de ellos se pierden o se roban y en segundo lugar, no están bien protegidos y son muy fáciles de atacar via WIFI, via Bluetooth, via Spyware o mediante ataques de phishing.
Los usuarios de todos los niveles deben ser conscientes de esta realidad. Bien a través de políticas y normas internas o bien a través de capacitación. Todos en la organización deben conocer las grandes amenazas y los grandes peligros a los que está sujeta la información que se almacena en dispositivos móviles WIFI.
Muchas veces cuando salimos un viernes a la noche o un sábado, salimos con poco dinero, nos cuidamos de no llevar el mejor reloj, o las mejores joyas, pues sabemos que en determinadas situaciones aumenta la probabilidad de robos y pérdidas. Por lo tanto evitamos de exponer todo nuestro dinero, o nuestras mejores pertenencias.
Entonces la pregunta es ¿Porqué debemos exponer nuestra "mejor" información? Quizás, haya que fijar políticas por las cuales ciertos archivos muy confidenciales sólo puedan estar almacenados en los servidores de la red fija y no estar paseando por todo el planeta en el disco duro de algún funcionario? O quizás deba exigirse que la información confidencial que se almacene en un PDA o teléfono móvil, deba estar encriptada?
La seguridad de los equipos móviles constituye en la actualidad uno de los grandes desafíos de la seguridad informática. La mayoría de las organizaciones no lo tienen aún resuelto y bien harían con "atacar" este tema a la brevedad.
9) Testear el alcance exacto de la cobertura de RF de cada Access Point, sobre todo hacia el exterior de la organización.
Los Access Points transmiten la información a través del aire y lo hacen enviando ondas de Radio Frecuencia. Muchos modelos de Access Point, permiten regular la potencia de transmisión - Ver: Selección adecuada de Wireless Access Point. De esta manera se puede controlar más o menos el alcance de las ondas de Radio Frecuencia, o visto de otra manera, crear una zona de cobertura apropiada a nuestras necesidades.
La ventaja de esto consiste en evitar, en lo posible, que nuestras ondas sean vistas por extraños, sin necesidad. De ninguna manera es necesario que nuestra RF vaya más allá de los límites de nuestra casa o empresa.
No son muchos los que adoptan esta buena práctica. Los motivos son varios:
a)Falta de conocimientos
b)El access point adquirido no dispone de esta opción
c)El cliente no lo solicita y el instalador no está "motivado" para hacerlo.
Esta es una práctica que contribuye a la seguridad de Redes Inalámbricas WIFI y si bien no es sencillo, a veces, evitar que nuestras ondas de RF se "fuguen", hay que intentarlo aunque sea aproximadamente. Con cada metro de alcance "inútil" que reducimos, conseguimos alejar a algunos intrusos. Mientras más metros quitemos, tendrán que estar más cerca los intrusos potenciales.
Otro inconveniente es que nuestras ondas "innecesarias" pueden crear interferencias con los vecinos. Si nuestros vecinos adoptaran esta buena práctica nos ahorrarían a nosotros algunos problemas de configuración y mantenimiento.
Cuando instalamos varios Access Points en nuestra organización, también es importante este "ajuste" para evitar interferencias entre todos ellos y, además, para configurar microceldas.
10) Cambiar el SSID por defecto y verificar que este no incluya datos sobre la organización, la división, la calle, etc.
La tecnología WIFI, permite a cada uno conocer todas las redes wireless que se encuentran a su alcance. Cada red WIFI viene identificada por el SSID del access point de esa red. Por lo tanto usuarios inocentes, como hackers y ciberpiratas pueden ver con "nombre y apellido" todas las redes que están a su disposición.
Muchos usuarios por desconocimiento o muchos instaladores de redes inalámbricas WIFI por pereza o falta de profesionalidad dejan los Wireless Access Point con el SSID por defecto (default) que viene de fábrica. Otros comenten, por motivos similares, el gran error de cambiarlo por alguna palabra que identifique claramente a la organización o familia propietarios de esa red inalámbrica WIFI. Por ejemplo al visualizar las redes WIFI que se encuentran a nuestro alcance no es raro ver SSID como "familia G...", "familia P..." o "xxxseguros" "notaría yyy", etc.
Estas malísimas prácticas debilitan la seguridad WIFI de las instalaciones y facilitan la tarea de hackers, ciberpiratas y de cualquier intruso potencial. Veamos porqué:
a)SSID POR DEFECTO: muchas veces este SSID coincide con la marca o el modelo del equipo y existen páginas web donde se puede encontrar las claves de acceso por defecto a estos equipos. Si nos ocupamos de cambiar el SSID, no facilitamos tanto la tarea a un intruso potencial.
b)SSID CON NOMBRES PROPIOS: Al facilitar la información del propietario del Access Point, también estamos "informando" al intruso potencial en qué lugar preciso está ubicada esa red inalámbrica WIFI. No es lo mismo saber que en un edificio hay 15 redes inalámbricas funcionando, sin saber donde están, que saber exactamente esa familia dónde vive y en qué piso y apartamento está.
Por lo tanto lo ideal sería que el SSID esté compuesto de letras y números sin ningún significado especial. Es una tarea no muy complicada y mejora, siempre, la seguridad wireless.
Marcadores