kentoh - Fotolia
Seguridad WLAN: Mejores prácticas para la seguridad de la red inalámbrica
¿WEP y los war drivers lo asustan? Pruebe estas nuevas soluciones y mejores prácticas para proteger sus redes inalámbricas. En la primera parte de esta serie, veremos la importancia de las políticas y los inventarios.
La primera generación de redes inalámbricas nos colocó entre la espada y la pared. ¿Deberíamos excavar e implementar una WLAN, a pesar de las bien documentadas vulnerabilidades del protocolo y las amenazas rampantes? ¿O hay que tratar de prohibir lo inalámbrico, a pesar de sus ventajas comerciales y la sospecha inquietante de que los puntos de acceso (AP) no autorizados surgirán de todos modos?
Ya no es una elección perdedora, como sea. Las recientes mejoras en los protocolos inalámbricos y tecnologías de infraestructura hacen de la "seguridad WLAN" un objetivo realista, no un oxímoron de risa.
"Nos hemos visto obligados a tomar la seguridad [inalámbrica] más en serio de lo que la han tomado una gran cantidad de planteles", dice el coronel Donald Welch, decano asociado de tecnologías de la información y de la educación en la Academia Militar de EE.UU. en West Point. La academia instaló recientemente una suite de seguridad WLAN y planea ofrecer conectividad inalámbrica en todo el campus muy pronto.
Tal como West Point y muchas más organizaciones están descubriendo ahora, las redes WLAN pueden asegurarse si se es inteligente acerca de cómo integrar de forma inalámbrica a su empresa cableada, aprovechar sus herramientas de seguridad existentes y seleccionar las tecnologías de seguridad adecuadas, desde seguridad básica 802.11 a VPN y a soluciones basadas en la nueva generación de protocolos de autenticación/encriptación inalámbrica. Al igual que con cualquier tecnología, el truco es monitorear la salud de su red para mantener su seguridad.
La seguridad es primero
Los peligros que acechan a las redes WLAN sin protección son muchos. El tráfico inalámbrico se registra fácilmente. Los fisgones pasivos pueden recopilar información de propiedad, inicios de sesión, contraseñas, direcciones de los servidores de intranet, y direcciones válidas de red y de estaciones. Los intrusos pueden robar ancho de banda de internet, transmitir correo no deseado, o usar la red como un trampolín para atacar a otros. Pueden capturar y modificar el tráfico o hacerse pasar por usted, con consecuencias financieras o legales. Incluso un atacante de bajo perfil tecnológico puede interrumpir su negocio con el lanzamiento de inundaciones de paquetes inalámbricos contra los puntos de acceso, servidores cercanos, la red cableada contigua o el enlace ascendente a internet.
Afortunadamente, estos riesgos no están aún muy explotados. Jupiter Media Research informó recientemente que el 26 % de las empresas encuestadas había experimentado al menos un tipo de ataque WLAN en el último año. Sin embargo, la mayoría de estos incidentes eran problemas que estaban a punto de ocurrir: puntos de acceso vulnerables, estaciones que se asociaban con un AP erróneo y war driving (una amenaza que resulta de atacantes callejeros que buscan señales Wi-Fi abiertas). Las violaciones serias a la seguridad –como intrusos en la red cableada, el robo de datos confidenciales y falsificación– eran mucho menos comunes, de acuerdo con la encuesta.
En resumen, los primeros usuarios han tenido suerte. El costo de la inactividad y la limpieza puede ser un orden de magnitud mayor que el costo de la prevención. Ahora es el momento de empezar a ponerse al día con la seguridad de WLAN.
Paso uno: Políticas
Si no sabe lo que está defendiendo y por qué, sus medidas de seguridad son sólo disparos en la oscuridad. Es fundamental identificar activos de la empresa que deben ser protegidos y el impacto de los daños, robo o pérdida.
Para la red inalámbrica, al igual que con DSL y los enlaces vía telefónica, su política debe definir los requisitos de acceso. ¿Quién necesita acceso a qué y cuándo? Si su empresa ya tiene una directiva de acceso remoto para los viajeros y trabajadores a distancia, amplíela para incorporar el acceso inalámbrico. Si no tiene dicha política, cree una. Recuerde que debe incluir escenarios que son únicos para la tecnología inalámbrica, como los empleados en puntos de acceso públicos o visitantes de la oficina.
Tenga en cuenta cómo la red inalámbrica cambia las reglas para los visitantes. Pocas empresas ofrecen acceso Ethernet para los clientes visitantes o socios comerciales. Las tomas en las zonas comunes suelen ser inhabilitadas o enganchadas a direcciones conocidas. Pero los equipos portátiles inalámbricos y los PDA pueden asociarse fácilmente con los puntos de acceso cercanos u otras estaciones inalámbricas. Esto es a la vez una amenaza y una oportunidad. Las políticas de seguridad deben definir reglas para dar a los invitados acceso a un "jardín amurallado". Por ejemplo, es posible prohibir la creación de redes peer-to-peer al tiempo que se permiten sesiones de invitados registrados a través de puntos de acceso específicos con límites en los destinos, protocolos, duración y ancho de banda. Si está prohibido el acceso para invitados, su política debe indicar esto para que se puedan tomar medidas para impedir la entrada de visitantes.
Una vez que se han identificado los activos, enumere las amenazas y cuantifique los riesgos. La seguridad es siempre un acto de equilibrio, balanceando el riesgo contra el costo. Una vez establecida esta base, se pueden empezar a considerar alternativas de implementación de WLAN.
Realice un inventario
Antes de llevar a cabo el despliegue de los puntos de acceso, realice una inspección del lugar utilizando una herramienta de descubrimiento de WLAN como NetStumbler. Lo que se aprende puede sorprender. De acuerdo con un informe reciente de Gartner, al menos uno de cada cinco empresas encuentra puntos de acceso desplegados sin el permiso del departamento de TI. La accesibilidad de los precios, la distribución minorista y los asistentes de configuración han hecho que sea trivial para los empleados instalar puntos de acceso rebeldes, que pueden exponer los activos de la empresa a los extraños e interferir con el rendimiento de la WLAN. Encuentre y elimine los puntos de acceso vulnerables desde el principio –o incorpórelos de forma segura al diseño de su red inalámbrica.
En los estudios de sitio también aparecen las estaciones de trabajo no autorizadas. Cree un inventario de los equipos portátiles y PDA con adaptadores inalámbricos, documente a los usuarios, las direcciones MAC y el sistema operativo. Esto se utilizará para implementar controles de acceso a la WLAN. Y encontrará que una lista actualizada es esencial cuando los adaptadores WLAN se pierden o son robados.
Tal vez encuentre puntos de acceso cercanos y estaciones que no pertenecen a su red. Indague las áreas públicas (estacionamientos, pasillos, vestíbulos) justo más allá de los límites físicos de sus instalaciones, incluyendo escaleras arriba y abajo. Las direcciones MAC vecinas deben ser registradas, junto con el nombre de red (SSID) y el canal. Esta lista se utiliza para evitar la interferencia de canales cruzados y eliminar las alertas de intrusión por falsos positivos.
Considere la obtención de puntos de acceso con antenas de alta calidad que producen señales fuertes, pero reducidas. Estos proporcionan conectividad enfocada para sus usuarios. Al mismo tiempo, su estrecho enfoque significa que las señales son menos propensas a derramarse hasta la calle, donde un war driver puede capturarla y explotarla.
Para continuar leyendo la segunda parte de este artículo, con más información sobre 80211 y mejores prácticas para integrar la LAN con la WLAN, acceda a este enlace.
Sobre el autor: Lisa Phifer es vicepresidente de Core Competence, una empresa de consultoría especializada en seguridad de redes y tecnología de gestión.