Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.
Este artículo es parte de nuestra guía: Guía esencial: Qué tener en cuenta al desarrollar sus redes empresariales

Gestión de la seguridad en redes inalámbricas: mejores prácticas

En las primeras entregas de esta serie de artículos se habló sobre la importancia de las políticas y los inventarios, 802.11 e integración de LAN con WLAN. En este artículo encontrará información sobre gestión de gestión de la seguridad en redes WLAN.

En la primera parte de esta serie de artículos se habló sobre la importancia de las políticas y los inventarios al implementar seguridad en redes inalámbricas. En la segunda parte, la autora ofrece más información sobre 802.11 y mejores prácticas para integrar la LAN con la WLAN. En este artículo encontrará información sobre protección de Wi-Fi, VPNs, detección de vulnerabilidades y gestión de políticas.

Acceso protegido Wi-Fi

Wi-Fi es la marca dada a los productos 802.11 certificados por la Wi-Fi Alliance, un consorcio organizado para promover los productos 802.11 y la interoperabilidad entre ellos. Wi-Fi Protected Access (WPA) es una mejora de seguridad para el hardware WLAN de la generación actual. WPA incorpora sólo las partes estables del estándar avanzado de seguridad 802.11i, que sigue siendo un trabajo en progreso. Los productos WPA pueden interoperar con antiguos productos WEP.

WPA define TKIP, que deriva las claves mediante la mezcla de una clave de base con la dirección MAC del transmisor. Un vector de inicialización se mezcla con esa clave para generar claves por paquete. Esto evita que los crackers de WEP comparen los marcos cifrados con la misma clave. WPA también incluye una comprobación de integridad del mensaje (MIC) para prevenir la falsificación de datos.

Las empresas deben utilizar WPA con 802.1X para la entrega de llaves y la actualización. Las organizaciones que utilizan WEP deben aplicar firmware WPA certificado tan pronto como estén disponibles las actualizaciones. El estándar 802.11i final añadirá AES para una seguridad más robusta, utilizando hardware de próxima generación, pero ello será más parecido a usar un montacargas que a hacer una actualización del firmware.

Redes privadas virtuales (VPNs)

Si su empresa ya dispone de una VPN de acceso remoto, puede utilizarla para la seguridad de WLAN. La reutilización tiene más sentido cuando la política de seguridad es consistente para el acceso a WAN y LAN –las mismas credenciales se pueden utilizar para la autenticación; los mismos algoritmos de cifrado pueden ser utilizados para la confidencialidad.

Sin embargo, las redes WLAN presentan su propio conjunto de problemas de VPN:

  • Hay más datos para cifrar en una WLAN de alta velocidad. Se pueden necesitar gateways adicionales para soportar el cifrado inalámbrico, particularmente cuando se usa 802.11a/g, a una velocidad de conexión de hasta 54 Mbps.
  • Los túneles se vinculan con direcciones IP. Las estaciones WLAN vagan entre los puntos de acceso, cambiando las direcciones IP. Los túneles rotos pueden ser restablecidos, pero la interrupción del servicio es a menudo notable. En las WLAN más pequeñas, varios puntos de acceso pueden compartir el mismo enfoque de DHCP. Las VLAN pueden ayudar, hasta cierto punto. En las WLAN de mayor tamaño, los gateways inalámbricos pueden proporcionar persistencia del túnel cuando las estaciones deambulan.
  • La implementación de clientes puede ser costosa y difícil de controlar. La reutilización de los clientes distribuidos es una cosa, la adición de nuevos clientes y políticas, es otra muy distinta.

Los túneles VPN, WEP/TKIP y 802.1X abordan diferentes problemas. Considere la posibilidad de un socio de negocios utilizando una WLAN de invitado. Un túnel controla el acceso a la propia red del visitante; 802.1X controla el acceso a la WLAN de invitados. Un túnel evita el espionaje de extremo a extremo; WEP/TKIP impide el espionaje sólo en el enlace aéreo.

Los viajeros que utilizan las redes WLAN de huéspedes y hot spots deben usar VPNs para protegerse a sí mismos, no importa qué medidas locales sean empleadas por la red visitada.

Portales y redes privadas virtuales móviles

Los portales con frecuencia controlan el acceso a los puntos de acceso públicos y redes de invitados (cableadas o inalámbricas). Las solicitudes HTTP salientes son redirigidas a una página de inicio de sesión, en la que el usuario se autentica a través de SSL antes de que se conceda el acceso a la red.

Los portales SSL son muy buenos para redes WLAN heterogéneas en las que el software de cliente (VPN, 802.1X, TKIP) no puede ser dictado. El inicio de sesión se puede realizar con cualquier navegador, sin credenciales o claves pre configuradas. Pero portales no cifran los datos; sólo proporcionan una autenticación segura.

Las redes empresariales pueden combinar accesos al portal con WEP/TKIP. Al igual que 802.1X, los portales permiten que las estaciones se autentiquen de forma segura con credenciales heredadas y bases de datos de usuario existentes. A diferencia de 802.1X, los portales hacen que los usuarios inicien un navegador para llevar a cabo la autenticación y no entregan las llaves. 802.1X es más transparente, pero requiere configurar software de solicitante. Su elección dependerá de lo que ya tiene, lo que hay que añadir, y cómo va a mantenerlo.

Otra opción, las "VPNs móviles", están ganando popularidad porque no requieren de clientes y utilizan navegadores estándar. Protegen más que el inicio de sesión – envían datos proxy sobre un túnel SSL/TLS. Los productos VPN móviles de proveedores como NetMotion y Columbitech están sintonizados para la telefonía celular, incluyendo la optimización de baja velocidad celular, roaming de WAN/LAN y persistencia de sesiones durante breves interrupciones en la red.

Por otro lado, los servidores VPN móviles pueden ser vulnerables a los ataques de denegación de servicio (DoS), y el software instalado en las plataformas de computación de propósito general plantean problemas de escalabilidad y endurecimiento. Sin embargo, si usted no tiene una VPN de acceso remoto, considere a las VPN móviles como una alternativa de seguridad inalámbrica.

Utilice su política de seguridad para elegir la solución más adecuada. Cuando la política requiere acceso WLAN seguro para toda una red, se especifica algún tipo de túnel. Cuando la política requiere acceso WLAN seguro al propio escritorio del usuario, compartir la pantalla (por ejemplo, GoToMyPC, pcAnywhere, VNC sobre SSH) es un mejor ajuste. Cuando la política requiere acceso WLAN seguro a sólo una o dos aplicaciones, los protocolos de aplicaciones seguras (correo electrónico seguro, transferencia segura de archivos, GUIs de web protegidos con SSL) puede ser suficiente.

Mantenga segura su red inalámbrica (WLAN)

Al igual que cualquier otro segmento de red, las redes WLAN requieren configuración y supervisión. Puede volver a utilizar la infraestructura existente, y sin duda querrá que la gestión WLAN encaje dentro de su esquema general de gestión de red. Sin embargo, usted todavía necesita algunas herramientas especializadas para mantener la seguridad inalámbrica.

Descubrimiento de WLAN y evaluación de vulnerabilidades: los war drivers tratan de encontrar puntos de acceso sin protección, pero el personal de TI puede utilizar algunas de sus herramientas para el descubrimiento de WLAN, pruebas de penetración y evaluación de vulnerabilidades.

Las herramientas de descubrimiento deben utilizarse durante estudios de campo y posteriormente de forma periódica para detectar puntos de acceso vulnerables y conexiones no autorizadas peer-to-peer.

Las herramientas de pruebas de penetración y evaluación de vulnerabilidades, tales como el Handheld Analyzer de AirMagnet y el escáner inalámbrico Internet Security Systems también deberían utilizarse de forma regular. El tráfico WLAN puede ser capturado y analizado por un comportamiento sospechoso. Por ejemplo, excesivos marcos de disociación (desconexión), tomas de contacto EAP repetidas o errores WEP errores sugieren ataques. Las estaciones o puntos de acceso en modo de sistema abierto o sin WEP pueden ser marcados como violaciones a la política. Quienes realizan las pruebas de intrusión pueden sondear los puntos de acceso y puertas de enlace para ver si Telnet, SNMP u otros puertos están abiertos a ataques de WLAN. Las herramientas también pueden crear informes de referencia contra los cuales comparar los resultados futuros, de forma que los cambios puedan ser investigados y se remedien nuevos problemas.

Detección de intrusos WLAN: En las grandes empresas, algún tipo de monitoreo distribuido con la recolección y análisis centralizado puede ser necesario.

Los IDS de red (NIDS) proporcionan un análisis 24/7 centralizado, en tiempo real, en las redes cableadas. NIDS se puede aprovechar para pescar intrusiones en la red cableada procedentes de la WLAN.

Sin embargo, los ataques a la propia WLAN requieren una solución diferente. Por ejemplo, los sensores AirDefense con interfaces 802.11 capturan el tráfico de WLAN y llevan a cabo la reducción de datos. Su motor IDS utiliza la inspección de protocolo, firmas, detección de anomalías y aplicación de políticas para generar alertas de intrusión. La solución StillSecure Border Guard de Latis Networks proporciona tanto detección de intrusiones como filtrado de contenidos en el gateway de la red inalámbrica.

Administración de políticas: Hacer cumplir las políticas de seguridad inalámbrica, en respuesta a cambios frecuentes, y la actualización de dispositivos distantes, es un desafío. A medida que madura  802.11, las redes WLAN empresariales crecerán más grandes, creando un nuevo mercado para los sistemas de gestión inalámbricos. Como se señaló anteriormente, algunos vendedores de gateways AP y proporcionan productos para gestionar sus propias ofertas. Para apreciar lo que los sistemas de gestión de terceros ofrecerán, vamos a examinar unas pocas entradas pioneras:

  • La Plataforma de Gestión de AirWave configura automáticamente los puntos de acceso detectados con las políticas de red. Los cambios en las políticas de grupo y actualizaciones de firmware pueden ser empujados desde un punto central, y los puntos de acceso pueden ser auditados para el cumplimiento.
  • El tráfico de WLAN se analiza de forma continua para identificar y escalar los problemas de rendimiento de conformidad con la política. El administrador de WLAN de Cirond proporciona una distribución propia de claves WEP, control de acceso basado en la localización, un sistema de aprovisionamiento para el acceso de invitados y mapas de localización en tiempo real para los puntos de acceso y estaciones activas.
  • Mobile Manager de Wavelink crea y distribuye claves WEP y enormes listas de control de acceso a APs de escala empresarial para las estaciones y puntos de acceso. Los parámetros de seguridad y reglas de acceso se configuran en un sistema central de gestión de políticas y son llevadas a los dispositivos, soportados por agentes de dispositivos móviles y software de cliente.

Por lo tanto, no prohíba la WLAN

A pesar de todas las advertencias sobre la seguridad inalámbrica, hay una gran cantidad de redes WLAN no protegidas en el mundo, listo para que alguien se aproveche de ellas. Un muestreo de áreas metropolitanas realizado por war drivers de sombrero blanco revela redes WLAN sin protección en comisarías, consultorios médicos, oficinas de abogados, tiendas minoristas, edificios municipales y cientos de negocios.

Pero su WLAN puede ser segura. El truco es aplicar juiciosamente las medidas de seguridad discutidas aquí, siguiendo un cuidadoso análisis de las necesidades del negocio y los riesgos. La implementación segura de cualquier tipo de red es siempre un acto de equilibrio, donde se establece un término medio entre la seguridad por el bien de la seguridad y la protección pragmática de los activos de misión crítica. Con las WLAN no es diferente.

Sobre el autor: Lisa Phifer es vicepresidente de Core Competence, una empresa de consultoría especializada en seguridad de redes y tecnología de gestión.

Este artículo se actualizó por última vez en julio 2016

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close