Resultados 1 al 2 de 2

Tema: Las 20 mejores acciones para asegurar una red inalámbrica Wifi

  1. #1 Las 20 mejores acciones para asegurar una red inalámbrica Wifi 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.028
    Descargas
    179
    Uploads
    246
    LISTADO DE LAS "20 BEST PRACTICES PARA SU RED INALÁMBRICA WIFI"

    1. Establecer políticas y procedimientos de seguridad para la utilización de la tecnología WIFI
    2. Verificar que los usuarios de esta tecnología están entrenados y conocen los riesgos asociados con su utilización
    3. Mantener un inventario actualizado de Access Points y dispositivos wireless que pertenecen a la organización
    4. Establecer normas escritas de configuración de Access Points y estaciones de trabajo
    5. Prohibir o limitar el uso de dispositivos inalámbricos particulares
    6. Desactivar la tecnología WIFI, en los dispositivos wireless que no la estén utilizando
    7. Emitir normas estrictas sobre el comportamiento de los usuarios en Hotspots de Aeropuertos, Hoteles, Universidades, etc.
    8. Restringir, si es posible, la información que pueden portar los usuarios en los dispositivos wireless
    9. Testear el alcance exacto de la cobertura de RF de cada Access Point, sobre todo hacia el exterior de la organización
    10. Cambiar el SSID por defecto y verificar que este no incluya datos sobre la organización, la división, la calle, etc
    11. Desactivar el broadcast del SSID, si es posible
    12. Desactivar los archivos compartidos y el modo Ad-Hoc, siempre que sea posible
    13. Instalar todos los parches necesarios en S.O., Access Points, Suplicantes, RADIUS, VPN, Firewalls, etc.
    14. Implementar control de acceso fuerte a la consola de gestión de los Access Points
    15. Utilizar 802.1x/EAP y RADIUS
    16. Configurar el lo los Suplicantes adecuadamente y protejer su configuración por password
    17. Implementar herramientas de monitoreo del espacio de RF. Si puede un Switch WLAN, mejor
    18. Establecer una rutina de verificación de Access Point Hostiles
    19. Mantener un inventario actualizado de los Access Point que existen en la vecindad y que pueden interferir con sus usuarios
    20. Mantener un inventario actualizado de los sitios "ruidosos" o con interferencias de su vecindario.


    -----------------------------------------------------------------------------

    1) Establecer políticas y procedimientos de seguridad para la utilización de la tecnología WIFI
    La tecnología WIFI es novedosa, práctica, útil y sofisticada. Se rige por principios físicos muy diferentes de las redes cableadas. Una red inalámbrica WIFI es muchísimo más compleja que una red cableada y existen diferencias tecnológicas y operativas muy grandes entre ambas.

    La experiencia profesional y docente nos demuestran que la mayoría de los informáticos y administradores de redes, desconocen estas diferencias. Con más razón las desconocen los usuarios de WIFI. Sin embargo, a pesar de este desconocimiento, todos la utilizan y la aprovechan para transmitir y almacenar las informaciones más delicadas y confidenciales de las organizaciones.

    El NIST - Instituto de Estándares de USA - recomienda como primer medida de seguridad, antes aún de comprar o instalar tecnología WIFI, elaborar políticas y procedimientos de seguridad para todos los usuarios.



    2) Verificar que los usuarios de esta tecnología están entrenados y conocen los riesgos asociados con su utilización

    En el punto anterior se analizaron las diferencias existentes entre redes cableadas y redes inalámbricas WIFI y porqué es importante establecer políticas adecuadas. Por los mismos motivos, hay que comprender que los usuarios de WIFI, en su gran mayoría, nunca fueron entrenados ni capacitados para el uso de esta novedosa tecnología.

    Como es obvio la mayoría desconoce los peligros asociados con la utilización de WIFI como:

    • Access Point Hostiles
    • Redes WIFI Ad-Hoc
    • Wi-Phishing en Hotspots


    Las organizaciones que han invertido en capacitar y entrenar a sus usuarios WIFI, han logrado reducir en gran medida los incidentes de seguridad WIFI.

    La inversiones en capacitación y entrenamiento, no suelen ser muy cuantiosas y son un añadido a las herramientas tecnológicas. Su importancia es vital para lograr una seguridad wireless muy robusta.



    3) Mantener un inventario actualizado de Access Points y dispositivos Wireless que pertenecen a la organización

    En la mayoría de las instalaciones, donde generalmente no se dispone de un switch WLAN, es aconsejable mantener una base de datos de todos los equipos y dispositivos de las redes inalámbricas wifi. Lo que sucede casi siempre, es que se comienza por instalar uno o dos access points y luego se van añadiendo otros y, de pronto, uno se encuentra con varios access points funcionando. Con el tiempo comienzan a aparecer problemas de mantenimiento o es necesario re-ubicarlos para re-configurar los canales.

    La experiencia nos demuestra, que al presentarse esta situación, nadie sabe exactamente cuantos access points existen ni donde están ubicados. También se desconocen las características de los mismos. Todo esto se puede evitar, si cada vez que se van instalando los access points, desde un comienzo,

    se elabora una ficha con toda la información relevante de ese access point: modelo, estándares que soporta, donde está instalado, en qué canal quedó configurado, que encriptación se está utilizando, a qué potencia se configuró, etc.

    Otra cosa que sucede a menudo, es que las personas que instalaron los access points no fueron siempre las mismas. En muchas ocasiones se contrata la instalación a gente que no pertenece a la organización, en otras ocasiones los empleado que realizaron la instalación ya no pertenecen a la empresa. Por lo tanto, si no hay nada escrito, y tampoco existe la posibilidad de consultar a los que hicieron el trabajo, será difícil analizar la situación.

    Esto último constituye un argumento adicional, y muy importante, para que el mantenimiento de un inventario o base de datos de todos los access points sea una práctica muy recomendable.



    4) Establecer normas escritas de configuración de access points y estaciones de trabajo

    Cuanto más sofisticado y "robusto" es el access point, más opciones de configuración presenta. Si se van instalando access points en diferentes oportunidades y por diferentes profesionales, es muy probable que cada uno quede configurado de diferente manera. Sólo de casualidad podrían estar todos configurados de manera similar.

    Como es obvio, esta disparidad en las configuraciones ocasionará más complicaciones e incompatibilidades en la red inalámbrica WIFI que, por supuesto, son innecesarias y se pueden evitar estableciendo normas escritas y muy precisas sobre la configuración de los access points de la organización. Así, cada vez que alguien deba instalar un access point adicional, sabrá exactamente cuál es la política y como debe hacerlo.

    Las redes inalámbricas WIFI son muchísimo más complejas que las redes cableadas y es una torpeza innecesaria introducir más factores de desequilibrio y desestabilización. Las complicaciones crecen aún más por la necesidad de instalar diferentes modelos de access point de una misma marca o, peor aún, diferentes marcas. Esto sucede pues después de unos meses, es difícil conseguir el mismo modelo de access point y hay que recurrir a equipos diferentes.

    Si bien los access points son un elemento fundamental y básico de una red inalámbrica WIFI, son muchos los que se olvidan que las estaciones de trabajo, o clientes, también "juegan" y siguiendo con el lenguaje "deportivo", muchas veces son ellos los "que nos meten los goles".

    Ya se comentó la gran complejidad de las redes inalámbricas WIFI. Entonces hay que comprender que los clientes son una parte importante de esta complejidad. Lo que sucede en la mayoría de las instalaciones es que se utilizan una gran variedad de equipos clientes. Generalmente estos clientes WIFI (Centrino, USBs, tarjetas PCMCIA, PDA, etc) incorporan sus propios drivers, que son "propietarios" y por lo tanto pueden ocasionar incompatibilidades que escapan al control del administrador de la red WIFI.

    Esta complejidad ya es suficiente para complicar el mantenimiento y la gestión de una red WIFI. Si, además, los equipos WIFI, se configuran de una manera dispar y sin ningún criterio estandarizado de la organización, lo único que se logrará es introducir un factor adicional de generación de problemas e incompatibilidades. O sea que también es una buena práctica, establecer criterios y normas para configurar a los clientes de una red inalámbrica WIFI y evitar, en la medida de lo posible, que cada usuario manipule las configuraciones de conexión y seguridad de su equipo WIFI.




    5) Prohibir o limitar el uso de dispositivos Inalámbricos particulares

    En la actualidad, son muchísimos los usuarios que disponen de PDA, teléfonos móviles y/o computadores portátiles de su propiedad. La mayoría de estos equipos incorporan, ya, la tecnología WIFI. Como es lógico, los dispositivos inalámbricos particulares no son controlados por los que "gobiernan las TI" de la organización, ya sean administradores de red, responsables de help desk o directores de sistemas.

    Nadie sabe qué S.O. tiene cada uno instalado, qué driver de WIFI está utilizando, con qué cliente se va a conectar a la red inalámbrica, si tiene un chip WIFI o un adaptador USB de marca desconocida, etc.

    Hay que notar que cada factor de incertidumbre que añadimos a nuestra red, nos genera una complejidad adicional. Si aparece un fallo en la conexión en un equipo que no utilice los estándares de nuestra organización, tendremos que investigar varios factores, para detectar el orígen de dicho evento.

    Otro posible problema, no tan relacionado con WIFI, pero sí con seguridad informática, es que probablemente esos equipos "visitantes" puedan contener virus informáticos, spyware, keyloggers, virus troyanos, o cualquier otro tipo de programas espía.

    Por lo tanto hay que ser muy consciente de los inconvenietes que acarrean los equipos de terceros y tratar de evitarlos en todo lo posible. Si no es posible hay, entonces, que limitar su utilización y asegurarse que ésta se realice bajo control y siguiendo estrictamente las políticas pre-establecidas al efecto..




    6) Desactivar la tecnología WIFI, en los dispositivos wireless que no la estén utilizando

    El NIST - Instituto de Estándares de USA - ha publicado una serie de recomendaciones para todas las agencias federales que instalen redes inalámbricas WIFI. Una de ellas es no comprar equipos WIFI hasta que no existan políticas y procedimientos para este tipo de tecnología. Con ello se busca evitar la apertura de nuevos huecos de seguridad en los sistemas.

    Sin embargo, la realidad de las empresas en el mundo es muy diferente, a lo que aconsejan las buenas prácticas. Todas las empresas compran cotidianamente nuevos equipos de todo tipo: PDA, notebooks, etc. Todos los equipos en la actualidad incorporan tecnologías wireless: WIFI, Bluetooth, infrarrojos. En muchos casos los usuarios de esos equipos no utilizan las tecnologías wireless por falta de conocimientos, o falta de necesidad.

    Entonces surge la siguiente pregunta: Si el usuario no utiliza las conexiones WIFI o Bluetooth ¿Para qué es necesario tener estas opciones activadas? Al estar activadas, estas tecnologías pueden ser aprovechadas por cualquier hacker para penetrar en los equipos y, si además estos están conectados a la red cableada empresarial, también en la red corporativa.

    Muchas veces el peligro es, proporcionalmente mayor, pues los que poseen estos equipos con tecnología WIFI, suelen ser los funcionarios de mayor rango en las organizaciones: Directores Generales, Directores Financieros, Directores de Sistema, Consultores, Auditores, etc., por lo tanto almacenan información muy delicada y confidencial , en sus equipos "abiertos" o mal protegidos.

    Por lo tanto, constituye una muy buena práctica desactivar las capacidades WIFI de los dispositivos, cuando no son necesarias. Si WIFI no es nativo y se utiliza algún agregado como USB, o tarjeta PCMCIA, simplemente hay que quitarlo de los equipos. Si WIFI es interno y viene incorporado hay que buscar la opción de desactivarlo. De esta manera se evitarán innumerables problemas de seguridad.




    7) Emitir normas estrictas sobre el comportamiento de los usuarios en Hotspots de Aeropuertos, Hoteles, Universidades, etc.

    Los access points públicos, denominados Hotspots, son una herramienta muy útil para fomentar la movilidad. Las ventajas están a la vista y todos acudimos a ellos cuando estamos en un aeropuerto, estación de tren, hotel o centro comercial. Pero, como se explica, también hay muchas desventajas. O, más exactamente, peligros para la seguridad de la información transmitida.

    En los Hotspots, la seguridad informática, o con más exactitud, la seguridad WIFI, practicamente no existen y la información se transmite por el aire sin protección o escasamente protegida. Esto lo aprovechan los hackers.

    El desconocimiento de los usuarios, obviamente, echa "más leña al fuego". La mayoría de estos HotsPots son gratuitos y lo que buscan es conquistar al público y darles un servicio. Pero sólo se preocupan de la seguridad desde el access point o hotspot hasta el servidor del propio ISP o proveedor de servicios de Internet. Los usuarios no suelen tener la posibilidad de validar el servidor del ISP, o de encriptar la información transmitida con un protocolo fuerte como WPA o WPA2,

    WIFI, transmite la información por el aire, que es un medio compartido. La información que transmitimos en el aeropuerto o universidad, puede ser capturada por cualquiera y analizada. Si esta información no se encripta con WEP, WPA o WPA2, lógicamente será muy fácil su interpretación.

    Otro peligro muy importante es el de conectarse a un servidor "pirata" o de hackers.Cuando nos conectamos en un sitio público, generalmente el servidor es desconocido para nosotros y por lo tanto, si además del servidor "legal" hay algún servidor "pirata", no nos daremos cuenta. Al conectarnos, seguramente nos pedirán datos "delicados" como números de tarjeta, claves, etc.A esto se lo denomina "Wi-Phishing". Por ello, es muy importante validar o autenticar al servidor que nos estamos conectando.




    8) Restringir, si es posible, la información que pueden portar los usuarios en los dispositivos wireless

    La capacidad de almacenamiento de PDAs, teléfonos celulares y notebooks ha aumentado en los últimos meses de manera significativa. En ellos se puede almacenar grandes cantidades de información. El dilema que ha surgido ultimamente es el siguiente: Poder se puede, pero ¿Se debe?

    Tanto la lógica como las estadísticas demuestran que estos dispositivos wireless son muy "Vulnerables" y muy "peligrosos" por varios motivos. En primer lugar grandes cantidades de ellos se pierden o se roban y en segundo lugar, no están bien protegidos y son muy fáciles de atacar via WIFI, via Bluetooth, via Spyware o mediante ataques de phishing.

    Los usuarios de todos los niveles deben ser conscientes de esta realidad. Bien a través de políticas y normas internas o bien a través de capacitación. Todos en la organización deben conocer las grandes amenazas y los grandes peligros a los que está sujeta la información que se almacena en dispositivos móviles WIFI.

    Muchas veces cuando salimos un viernes a la noche o un sábado, salimos con poco dinero, nos cuidamos de no llevar el mejor reloj, o las mejores joyas, pues sabemos que en determinadas situaciones aumenta la probabilidad de robos y pérdidas. Por lo tanto evitamos de exponer todo nuestro dinero, o nuestras mejores pertenencias.

    Entonces la pregunta es ¿Porqué debemos exponer nuestra "mejor" información? Quizás, haya que fijar políticas por las cuales ciertos archivos muy confidenciales sólo puedan estar almacenados en los servidores de la red fija y no estar paseando por todo el planeta en el disco duro de algún funcionario? O quizás deba exigirse que la información confidencial que se almacene en un PDA o teléfono móvil, deba estar encriptada?

    La seguridad de los equipos móviles constituye en la actualidad uno de los grandes desafíos de la seguridad informática. La mayoría de las organizaciones no lo tienen aún resuelto y bien harían con "atacar" este tema a la brevedad.




    9) Testear el alcance exacto de la cobertura de RF de cada Access Point, sobre todo hacia el exterior de la organización.

    Los Access Points transmiten la información a través del aire y lo hacen enviando ondas de Radio Frecuencia. Muchos modelos de Access Point, permiten regular la potencia de transmisión - Ver: Selección adecuada de Wireless Access Point. De esta manera se puede controlar más o menos el alcance de las ondas de Radio Frecuencia, o visto de otra manera, crear una zona de cobertura apropiada a nuestras necesidades.

    La ventaja de esto consiste en evitar, en lo posible, que nuestras ondas sean vistas por extraños, sin necesidad. De ninguna manera es necesario que nuestra RF vaya más allá de los límites de nuestra casa o empresa.

    No son muchos los que adoptan esta buena práctica. Los motivos son varios:
    a)Falta de conocimientos
    b)El access point adquirido no dispone de esta opción
    c)El cliente no lo solicita y el instalador no está "motivado" para hacerlo.

    Esta es una práctica que contribuye a la seguridad de Redes Inalámbricas WIFI y si bien no es sencillo, a veces, evitar que nuestras ondas de RF se "fuguen", hay que intentarlo aunque sea aproximadamente. Con cada metro de alcance "inútil" que reducimos, conseguimos alejar a algunos intrusos. Mientras más metros quitemos, tendrán que estar más cerca los intrusos potenciales.

    Otro inconveniente es que nuestras ondas "innecesarias" pueden crear interferencias con los vecinos. Si nuestros vecinos adoptaran esta buena práctica nos ahorrarían a nosotros algunos problemas de configuración y mantenimiento.

    Cuando instalamos varios Access Points en nuestra organización, también es importante este "ajuste" para evitar interferencias entre todos ellos y, además, para configurar microceldas.




    10) Cambiar el SSID por defecto y verificar que este no incluya datos sobre la organización, la división, la calle, etc.

    La tecnología WIFI, permite a cada uno conocer todas las redes wireless que se encuentran a su alcance. Cada red WIFI viene identificada por el SSID del access point de esa red. Por lo tanto usuarios inocentes, como hackers y ciberpiratas pueden ver con "nombre y apellido" todas las redes que están a su disposición.

    Muchos usuarios por desconocimiento o muchos instaladores de redes inalámbricas WIFI por pereza o falta de profesionalidad dejan los Wireless Access Point con el SSID por defecto (default) que viene de fábrica. Otros comenten, por motivos similares, el gran error de cambiarlo por alguna palabra que identifique claramente a la organización o familia propietarios de esa red inalámbrica WIFI. Por ejemplo al visualizar las redes WIFI que se encuentran a nuestro alcance no es raro ver SSID como "familia G...", "familia P..." o "xxxseguros" "notaría yyy", etc.

    Estas malísimas prácticas debilitan la seguridad WIFI de las instalaciones y facilitan la tarea de hackers, ciberpiratas y de cualquier intruso potencial. Veamos porqué:

    a)SSID POR DEFECTO: muchas veces este SSID coincide con la marca o el modelo del equipo y existen páginas web donde se puede encontrar las claves de acceso por defecto a estos equipos. Si nos ocupamos de cambiar el SSID, no facilitamos tanto la tarea a un intruso potencial.

    b)SSID CON NOMBRES PROPIOS: Al facilitar la información del propietario del Access Point, también estamos "informando" al intruso potencial en qué lugar preciso está ubicada esa red inalámbrica WIFI. No es lo mismo saber que en un edificio hay 15 redes inalámbricas funcionando, sin saber donde están, que saber exactamente esa familia dónde vive y en qué piso y apartamento está.

    Por lo tanto lo ideal sería que el SSID esté compuesto de letras y números sin ningún significado especial. Es una tarea no muy complicada y mejora, siempre, la seguridad wireless.
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.028
    Descargas
    179
    Uploads
    246
    11) Desactivar el broadcast del SSID, si es posible

    Hay Access Points robustos, que son muy completos e incluyen la función de desactivar la emisión del SSID. De ser posible, esta es una buena práctica que mejora la seguridad WIFI.

    El SSID es importante y necesario que sea conocido por los usuarios de nuestra red inalámbrica WIFI, pero no se obtiene ninguna ventaja (antes, genera inconvenientes) que sea conocido y visto por todo el vecindario, incluídos hackers y ciberpiratas. Si evitamos que sea "público", nuestros usuarios podrán conectarse pues sus equipos serán configurados con ese SSID.

    Desde luego que quién tenga buenos conocimientos de hacking y de la tecnología WIFI utilizada por las redes inalámbricas, podrá encontrarlo aunque no sea emitido, pues esa información se incorpora en diversos tipos de paquetes utilizados por WIFI , pero ello implica una dificultad más para los intrusos pues deberán capturar varios paquetes y analizarlos hasta encontrar el SSID.




    12) Desactivar los archivos compartidos y el modo Ad-Hoc, siempre que sea posible.

    La tecnología WIFI, como venimos explicando, tiene muchas ventajas pero también muchos peligros. La magnitud de estos peligros crece, aún más, cuando el usuario no es consciente de ellos. Las Redes inalámbricas Ad-Hoc, son un buen ejemplo de ello. Es evidente que el hecho que dos o más PC, o PDA, o teléfonos celulares WIFI, puedan conectarse entre sí puede ser una gran ventaja funcional pero eso mismo constituye un grave problema de seguridad WIFI, muy difícil de solucionar.

    Si un usuario de WIFI está trabajando con su computador, todo aquel que esté en un radio menor a 100 ms con una PDA o notebook, podrá establecer contacto con el. Si el que busca la conexión es un hacker o ciberpirata el peligro es evidente.

    Mucha más información sobre los peligros de las redes inalámbricas WIFI de tipo AdHoc, se puede encontrar en Conexiones WIFI incontrolables o en. Cuidado con los aviones! . Recomiendo especialmente la lectura de ambos para comprender a fondo la naturaleza del problema y porqué es tan difícil su solución.

    Por lo dicho, una buena práctica es desactivar el "file sharing" o "compartir archivos" cuando esta propiedad no es necesaria.

    Existen en la actualidad diversas herramientas diseñadas especialmente para la Seguridad de Redes Inalámbricas WIFI. Estas utilidades WIFI emiten alertas cuando alguien se está conectando con nuestro computador o PDA. También se pueden configurar para impedir este tipo de conexiones.





    13) Instalar todos los parches necesarios en S.O., Access Points, Suplicantes, RADIUS, VPN, Firewalls, etc.

    Existe, en general, una "mala práctica en muchas organizaciones respecto de los "parches" o upgrades de los softwares. No se sabe bien porqué muchos profesionales informátcos piensan que "parchear" o "actualizar" los sistemas, se refiere sólo al Sistema Operativo (normalmente WINDOWS).

    En realidad todos los sistemas suelen tener vulnerabilidades o fallos y es necesario actualizarlos , según lo recomienda cada fabricante. Las redes inalámbricas WIFI son mucho más complejas que las redes cableadas. Entre otras cosas pues tienen muchos más componentes.

    Los Access Points también tienen sus propios sistemas operativos y estos deben ser actualizados cuando se descubren vulnerabilidades o cuando aparecen nuevos estándares como sucedió con el estándar IEEE 802.11i de Seguridad WIFI, o con el estándar IEEE 802.11e de Calidad de Servicio (QoS).

    Otro tanto sucede con los servidores RADIUS que deben ser "parcheados" o actualizados cada tanto. Por ejemplo cuando se aprobó el estándar IEEE 802.1x para Autenticación y Autorización en Redes Inalámbricas WIFI. Igualmente fué necesario actualizarlos cada vez que se aprobó un nuevo protocolo EAP de autenticación.

    Esta situación se repite con los Suplicantes WIFI, drivers de dispositivos wireless , VPN, Firewalls y cualquier otro elemento que participe en la red inalámbrica WIFI.

    Nos consta que esta "buena práctica" no se aplica en muchas organizaciones ya por falta de tiempo o ya por falta de "voluntad". Se recomienda prestar atención a estos parcheos pues influyen bastante en la seguridad WIFI y en la gestión de la red inalámbrica y de los Access Points.





    14) Implementar control de acceso fuerte a la consola de gestión de los Access Points.

    La gestión y configuración de los Access Point se hace generalmente desde una consola, que muchas veces está, también, conectada a Internet. En capítulos anteriores se habló Establecer normas escritas de configuración de Access Points y estaciones de trabajo y de Cambiar el SSID por defecto y verificar que este no incluya datos sobre la organización, la división, la calle, etc . Si implementamos estas buenas prácticas pero no protegemos adecuadamente las configuraciones, estas pueden ser modificadas.

    Según el tipo de access point que estemos utilizando pueden ser muchos los parámetros de configuración o pocos. Algunos de estos pueden ser vitales para la seguridad de nuestra red inalámbrica WIFI.

    Parámetros como el SSID de la red WIFI, o la potencia de transmisión o el tipo de encriptación a utilizar son muy importantes y si algún hacker o intruso consigue modificarlos puede ocasionar daños importantísimos.

    El problema se complica cuando las consolas de gestión están conectadas a Internet, pues en este caso hay que sumar el riesgo que conllevan las intrusiones a través de Internet a la consola.






    15) Utilizar 802.1x/EAP y RADIUS

    Esta se podría decir que es una "Super Best Practice" o, en castellano, una "Buenísima Práctica". El estándar IEEE 802.1x es el pilar fundamental de la Seguridad WIFI o Seguridad Wireless. En ninguna organización se puede hablar de una seguridad WIFI robusta, si no se aplica el estándar 802.1x.

    Detalles muy amplios del estándar 802.1x, de los conceptos de Autenticación y Autorización y de los diversos protocolos EAP de autenticación se pueden encontrar en el White Paper sobre Seguridad WIFI.

    Antes de la adaptación de este estándar para redes inalámbricas WIFI, no existía ningún control sobre los accesos a las redes wireless. Las debilidades ya comentadas del protocolo WEP, obligaron a la IEEE a buscar una rápida solución a la vulnerabilidad de la seguridad WIFI.

    Al aplicar el estándar 802.1x, el puerto de acceso a la red cableada permanecerá cerrado, hasta que el Servidor RADIUS permita su apertura . El Access Point lo único que debe hacer es transmitir la información que fluye entre el cliente, que solicita entrar y el Servidor RADIUS, que es quién tomará la decisión final y autorizará al PDA o computador a ingresar a la red cableada.

    Todo el proceso de autenticación se apoyará en la utilización de los protocolos EAP y de un software cliente en cada dispositivo móvil, denominado suplicante que es quién inicia el proceso de autenticación. Existen varios EAP como el EAP-LEAP, desarrollado por Cisco, el EAP-TLS, desarrollado por Microsoft, el EAP-TTLS desarrollado por Funk Software, el EAP-PEAP, desarrollado conjuntamente por Microsoft y Cisco y el FAST, desarrollado por Cisco.

    Para los particulares y las pymes el estándar 802.1x no son muy fáciles de aplicar, pero para todas las organizaciones medianas o grandes, es de uso imprescindible para lograr un mínimo de seguridad en sus redes WIFI.






    16) Configurar el o los suplicantes adecuadamente y proteger su configuración por password

    Ya vimos que el suplicante es la aplicación cliente que se encarga de solicitar al servidor RADIUS la autorización para conectarse a la red. En el se debe configurar qué protocolo EAP se debe utilizar para la autenticación, el nombre de la red WIFI que queremos utilizar, etc., por lo tanto constituye una buena práctica que el acceso al panel de configuración esté protegido por una clave, para que los usuarios y los hackers no puedan cambiar facilmente estas configuraciones.

    Casi todos los "clientes" WIFI incluyen algún tipo de software suplicante, pero es muy recomendable que las empresas y organizaciones adopten un suplicante estándar para todos los usuarios y se estudie y analice como proteger sus configuración. Si no se hace esto, se corre el riesgo (es lo que sucede en la mayoría de las empresas) que se produzcan muchos problemas de incompatibilidad y de mantenimiento por la mezcla de suplicantes.

    Muchos suplicantes, sobre todo los que son gratuitos o los que vienen con Access Points de baja gama, no suelen ofrecer esta posibilidad de protección.






    17) Implementar herramientas de monitoreo del espacio de RF. Si puede un Switch WLAN, mejor

    La información que se transmite en una Red Inalámbrica WIFI, viaja por el aire. El aire es un medio público, no exclusivo. Esto quiere decir que se mezclarán las ondas de RF de diversas Redes Inalámbricas WIFI. Esta característica tan peculiar de las redes inalámbricas genera toda una serie de problemas de gestión y de seguridad, que obligan a monitorear el aire, para comprender qué es lo que está sucediendo. No olvidar que el aire, forma parte de nuestra red inalámbrica así, como los cables son parte integral de las redes tradicionales.

    Para monitorear el aire es necesario contar con las herramientas que se han diseñado para esta finalidad: Analizadores WIFI y Switches Wireless, o Switches WLAN. Los Switches Wireless, son la herramienta más apropiada.



    A medida que aumenta la densidad de redes inalámbricas WIFI en las ciudades y en todas las manzanas se van instalando redes WIFI, se hace cada vez más necesaria una herramienta para monitorear el espacio de RF. Es importante insistir, que sin esta ayuda, será imposible gestionar una red inalámbrica de manera profesional y organizada. Los seres humanos no tenemos la capacidad de ver lo que está sucediendo "dentro del aire"..

    Es imposible, además, lograr una buena Seguridad WIFI, sin un Switch Wireless. También será imposible dar un buen soporte y mantenimiento a los usuarios pues será necesario "adivinar" cual es la causa de los problemas.

    A continuación se hace una muy breve enumeración de los asuntos que se pueden tratar y resolver con un Switch WLAN o Wireless:

    GESTIÓN
    • Balanceo de Cargas
    • Estadísticas de Conexión en cada Access Point
    • Información sobre usuarios conectados con 802.11b y 802.11g
    • Información de velocidades de transmisión


    MANTENIMIENTO
    • Información sobre interferencias
    • Información sobre obstáculos
    • Información sobre Access Point desconfigurados
    • Usuarios problemáticos


    SEGURIDAD WIFI
    • Access Point hostiles - Rogue Access Point
    • Redes Ad-hoc
    • Ataques Denegación de Servicio
    • Ataques de Intrusión


    Temas muy difíciles de gestionar como los enumerados en "Herramientas WIFI-Temas a Solucionar" o el de las Conexiones WIFI Incontrolables sólo se pueden manejar como se describe en "Herramientas de Control y Gestión para Redes WIFI" y en "Switches WLAN"






    18) Establecer una rutina de verificación de access point hostiles

    En la actualidad se debe convivir con 3 tipos diferentes de Access Points "amenazantes" o "preocupantes" que son o pueden ser hostiles hacia nuestra red inalámbrica WIFI. Estos pueden originarse en:

    1. Vecinos que estén a menos de 100 ms. de distancia
    2. Empleados de la organización que instalen sus propios Access Points
    3. Hackers o Ciber-delincuentes que quieran penetrar nuestra red inalámbrica WIFI


    Demás está decir que, por ejemplo, en el caso de los vecinos, no podemos hacer nada por impedirlo. Pues cada uno tiene tanto derecho como nosotros a instalar sus redes wifi con la cantidad de access points que estimen conveniente.

    En el caso de los hackers y de los empleados de la propia organización, sí existen medidas que podríamos adoptar para erradicar los access point hostiles, pero como es lógico esto sólo se puede hacer si somos capaces de detectarlos y, además, localizarlos. Esta tarea no es nada fácil para la mayoría de las empresas y organismos.

    Esta tarea, evidentemente es más sencilla si se cuenta con un switch WLAN. Pero dado que la mayoría de los usuarios no tienen este tipo de herramientas para redes WIFI, es una muy buena práctica preparar una estrategia y una rutina para detectar este tipo de amenazas a la seguridad WIFI.





    19) Mantener un inventario actualizado de los Access Points que existen en la vecindad y que pueden interferir en sus usuarios

    En el capítulo anterior, el capítulo 18, hablamos de los Access Point Hostiles y de la dificultad que existe para detectarlos y neutralizarlos. También se comentó, que una categoría de Access Point molestos es la conformada por los Access Point del vecindario. Como es obvio, estos van siempre en aumento (y nunca al revés) pues cada día son más los vecinos que instalan redes inalámbricas WIFI.

    Los daños que pueden surgir de la presencia de estos Access Points "vecinos" pueden ser enormes y, sin embargo, debemos convivir con ellos, pues no podemos hacer nada para que desparezcan pues nuestros vecinos tienen también derecho a instalar redes WIFI

    Uno de los problemas que se pueden originar por los Access Points de los vecinos, es que nuestros usuarios se conecten a ellos. Esto puede generar graves riesgos de seguridad y también grandes pérdidas de productividad. Piense que en una de estas "visitas" a los Access Points del vecindario, alguno de nuestros usuarios puede resultar infectado con un virus informático, o un spyware, o un keylogger y luego ocasionar daños muy serios a la seguridad informática de nuestros sistemas.

    Otro de los riesgos es que esos Access Points estén configurados en los mismos canales que los nuestros y nos generen interferencias y confusiones con nuestros usuarios

    Por ejemplo, los notebooks o PDA de algunos de nuestros usuarios pueden confundirse con algún RTS o CTS de los Access Points vecinos y eso daría lugar a colisiones e ineficiencias en nuestro sistema.

    Por lo tanto, es un muy buen consejo el estar alerta a las instalaciones de los vecinos y, si es posible, tener inventariados los Access Points de ellos. Como esta situación es variable, habría que estar actualizando este inventario de Access Points frecuentemente.





    20) Mantener un inventario actualizado de los sitios "ruidosos" o con interferencias de su vecindario

    En toda transmisión WIFI, es de vital importancia la SNR, o sea la relación "Señal/Ruido". Si en determinados rincones o zonas donde está desplegada nuestra Red Inalámbrica WIFI, hay mucho ruido, este "absorverá" a la señal y las ondas de RF no llegarán a su destino, o llegarán muy atenuadas ocasionando una muy baja calidad de señal.

    Las pérdidas de señal en WIFI, son un problema bastante frecuente y que muchas veces generan el desconcierto de los informáticos que no dominan la tecnología WIFI y sus secretos. Son muchos losl que ignoran la "volatilidad" de las conexiones WIFI.

    Lo más desconcertante es que los "ruidos" o "interferencias" no suelen ser constantes o permanentes, entonces nos llegan decenas de consultas preguntando porqué una red WIFI funciona correctamente durante varias horas y, de pronto, se pierde la señal. Y, después de un tiempo, aparece la señal otra vez y todo vuelve a funcionar, sin inconvenientes. Está claro, que los ruidos y las interferencias son uno de los motivos (no el único) principales de este fenómeno.

    Los ruidos o interferencias, como pueden ser los generados por un micro-ondas, u otros equipos, pueden estar originados, en muchos casos, no en nuestra organización, sino en lo de algún vecino. Como es obvio uno no sabe generalmente qué está pasando en lo de los vecinos y, esto solo se puede detectar con los instrumentos pertinentes.

    Además de las interferencias intermitentes, están las atenuaciones producidas por obstáculos como estanterías metálicas, escaleras de emergencia, peceras, etc. Estos obstáculos pueden aparecer también en las empresas vecinas.

    Entonces, no deja de ser también una buena práctica, tener "inventariados" los focos de ruidos e interfencias que provengan de los vecinos y, por supuesto, actualizar periódicamente este "mapa" de ruidos. El buen funcionamiento de nuestra Red Inalámbrica WIFI dependerá, también, de lo que suceda en el vecindario.


    Fuente: www.virusprot.com
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

Temas similares

  1. Consejos para asegurar tu cuenta de correo
    Por TseTse en el foro GENERAL
    Respuestas: 76
    Último mensaje: 23-09-2015, 03:08
  2. Asegurar una red wifi basada en WEP
    Por LUK en el foro NOTICIAS
    Respuestas: 1
    Último mensaje: 09-01-2009, 16:30
  3. Asegurar una red wifi basada en WEP
    Por LUK en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 0
    Último mensaje: 04-01-2009, 19:23
  4. Respuestas: 3
    Último mensaje: 02-03-2004, 02:22
  5. Para asegurar lo que llevo configurado?
    Por contumacia en el foro LINUX - MAC - OTROS
    Respuestas: 2
    Último mensaje: 23-06-2003, 18:52

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •