Obtener control de acceso inalámbrico para los dispositivos personales
Lisa Phifer explica métodos para dar acceso inalámbrico a ciertos empleados, sin acceso total a la red de una empresa y mantener dicha protección.
Estamos desplegando una red inalámbrica 802.11n en un ambiente de planta de fabricación para permitir el reordenamiento de bancos y estaciones de trabajo, así como para simplificar los nuevos procesos. ¿Qué métodos de control de acceso inalámbrico sugerimos utilizar para evitar que los trabajadores tengan acceso a la red de la empresa con sus dispositivos personales al tiempo que se permita el acceso a cierto personal clave?
Para este tipo de control de acceso inalámbrico, me permito sugerir controles de acceso integrados en todos los dispositivos Wi-Fi Certified 802.11n incluyendo los Wi-Fi Protected Access versión 2 (WPA2), personales y de la empresa.
¿Tiene alguna pregunta para nuestros expertos?
Envíe su pegunta directamente a nuestros editors en [email protected]
La WPA2-Personal requiere que cada dispositivo suministre una clave pre-compartida (PSK) derivada en una contraseña. Por ejemplo, para los dispositivos de la planta de fabricación podría ser necesario teclear la misma cadena aleatoria de 20 caracteres conocida sólo por su departamento de TI y configurada durante la implementación. Este método se combina a menudo con filtrado de direcciones MAC, de modo que sólo los dispositivos conocidos con la PSK correcta tengan acceso. Sin embargo, los filtros de direcciones MAC son fácilmente evadidos, al igual que las PSKs que son muy cortas o demasiado fáciles de adivinar.
La WPA2-Empresarial requiere que cada dispositivo complete un proceso de conexión 802.1X que puede admitir varios métodos de autenticación. Por ejemplo, cada dispositivo en la planta de fabricación podría ser necesario que demuestre su identidad con un certificado digital único. Alternativamente, cada dispositivo puede ser obligado a suministrar un nombre de usuario único y una contraseña configurados durante la implementación y conocida sólo por su departamento de TI. Con este método de control de acceso Wi-Fi, usted será capaz de decir cuales dispositivos individuales han iniciado sesión. Cuando se usa con certificados, el WPA2-Empresarial es menos vulnerable a la compartición y reutilización de contraseña, que son los problemas más comunes cuando los empleados saben un nombre de usuario/contraseña válidos, o simplemente configuran estos y el PSK en los dispositivos personales.
Pero también se quiere permitir que algunas personas clave puedan acceder a la red corporativa desde dispositivos personales. Un enfoque común para lograr esto es crear nombres de redes por separado (SSID) y los VLAN correspondientes dentro de la red por cable. Los dispositivos administrados por TI pueden configurarse para acceder a “MachineNet” utilizando certificados emitidos durante la instalación, mientras que los dispositivos personales podrían tener acceso autorizado a “SpecialNet” con otras credenciales. De esta manera, al personal clave no se les da la PSK utilizada por “MachineNet”, ni deben presentar los dispositivos a TI.
Sin embargo, usted todavía desea protección en el acceso a la red, de forma segura y sencilla para que el personal clave registre sus propios dispositivos para el acceso seguro a “SpecialNet.” Pregunte a su proveedor de WLAN o NAC si venden una función de gestión de visitante o un portal de registro capaz de encaminar a los dispositivos personales a través del proceso de autorización y otorgamiento del servicio Wi-Fi. Otro método para la protección de la red de acceso y control de acceso inalámbrico podría estar utilizando un administrador de dispositivos móviles (MDM) para guiar estas tareas - para aprender más, lea esta característica en el Magazine de Seguridad de Información.