Un caracterÃstica propietaria de mejora para las VLAN son las VLAN privadas soportadas por los conmutadores Catalyst 6000 de Cisco. Imagine que tiene las celdas inalámbricas A, B, C y D en alguna VLAN, pero desea restringir la movilidad entre las celdas para que los usuarios sólo puedan moverse entre las celdas A y B, o entre las celdas C y D y sólo puedan acceder a la red de cable si están asociados con la celda A. De esta manera se puede segmentar la WLAN entre los diversos departamentos de la empresa y distintas ubicaciones fÃsicas sin introducir redes VLAN y encaminadores adicionales, ni complicar más la estructura de la red lógica en la capa 3. Todas estas maravillas son posibles con las VLAN privadas, que permiten establecer restricciones sobre .la capa 2: redes VLAN dentro de redes VLAN.
Existen tres tipos de puertos para redes VLAN privadas:
• Puertos promiscuos que se comunican con el resto de los puertos de las VLAN privadas. Estos puertos suelen utilizarse para conectarse con la pasarela o el encaminados
•   Puertos aislados que sólo pueden comunicarse con el puerto promiscuo
•   Puertos comunitarios que pueden comunicarse con los puertos de la misma comunidad y con el puerto promiscuo.
No resultará sorprendente que existan tres tipos de redes VLAN privadas Las VLAN primarias llevan datos desde los puertos promiscuos hacia puertos aislados, comunitarios u otros puertos promiscuos. Las VLAN aisladas llevan datos desde los puertos aislados a los promiscuos. Por último, las VLAN C0 munitarias transportan datos entre los puertos de una misma comunidad y los puertos promiscuos.
Además de la seguridad que proporciona la segmentación de las VLAN privadas, existe también la opción de crear listas de control de acceso a la VLAN (VACL) diseñadas independientemente para redes VLAN primarias o secundarias. No es necesario un encaminador para implementar estas listas VACL; bastarÃa con tener una tarjeta con caracterÃstica de polÃtica (PFC, Policy Feature Card) para el conmutador Catalyst. Para aprender más acerca de las redes VLAN privadas y la configuración de las listas VACL en los conmutadores Cisco 6000 Catalyst, deberÃa consultar http://www.cisco.com/en/US/ products/hw/switches/ps700/products_tech_note09186a008013565f.shtml y http://www.cisco.com/en/US/products/hw/switches/ps700/products_ configuration_guide_chapter09186a008007f4ba.html.
Resulta interesante que las entradas ARP descubiertas en las interfaces VLAN privadas de la capa 3 sean entradas ARP "pegajosas" que no caducan y no pueden alterarse. Imagine un punto de acceso enchufado en un puerto de un conmutador de una VLAN privada que se conecta a la pasarela a través del puerto promiscuo. Un atacante consigue asociarse con la WLAN y lanza un ataque de falsificación ARP contra la pasarela. Si se están utilizando las entradas ARP "pegajosas", un ataque de este tipo no modificará la tabla CAM y se generará un mensaje de registro.
FÃjese en que para evitar el uso de Mobile IP y conseguir la movilidad, hemos cometido intencionadamente un terrible error de despliegue en la red inalámbrica con respecto a la seguridad. Enchufamos el punto de acceso al conmutador, no a una pasarela inalámbrica segura o, al menos, a un encaminador decente con prestaciones de cortafuego. Las entradas ARP pegajosas corrigen este problema al evitar ataques de intermediario basados en ARP y ataques de desbordamiento de la tabla CAM. Sin embargo, esta caracterÃstica está limitada a una marca de conmutadores en particular, de las caras.
En otros conmutadores habrá que configurar el filtrado de direcciones MAC y la seguridad de puertos, lo que significa codificar directamente las direcciones MAC y limitar el número de máquinas que puede conectarse a un puerto.
Â
Dése cuenta de que en la seguridad de puertos el filtrado de direcciones MAC de un conmutador y el filtrado de direcciones MAC de un punto de acceso son medidas similares, pero no la misma. El filtrado de direcciones MAC en ambos tipos de dispositivos puede sortearse sacando de la red a la máquina inalámbrica legÃtima y usurpando su dirección MAC. Sin embargo, la seguridad de puertos del conmutador proporciona una capa adicional de defensa al proteger contra bombardeos ARP con direcciones MAC falsificadas. Nos gustan los conmutadores Catalyst de Cisco porque es fácil trastear con ellos (configurarlos), por lo que vamos a ofrecerle un ejemplo de configuración de seguridad de puertos de conmutador utilizando dispositivos Catalyst.
En los conmutadores con una interfaz de lÃnea de comandos (CLI) de tipo IOS, como Catalyst 1900, utilice entradas MAC permanentes para construir una tabla CAM de conmutación:
abrvalk(config)#mac-address-table permanent 0040.1337.1337 ethernet 0/4
Escriba todas las direcciones que necesita (digamos que usará 20). A conti¬nuación, enlace la cantidad de conexiones permitida con el número de las direc¬ciones MAC permanentes y defina la acción a emprender si se excede ese número:
abrvalk(config)#port security action trap
abrvalk(config)#port security max-mac-count 20 abrvalk(config)#address-violation suspend
Con una configuración como ésta, se desactivará el puerto cuando se reciba un marco con una dirección MAC no válida y se reactivará cuando se reciba un marco con una dirección correcta. Se enviarÃa una indicación trap SNMP informando de esta violación de la regla. Por supuesto, un atacante puede provocar un ataque de denegación de servicio bombardeando constantemente el puerto con direcciones MAC aleatorias, pero es mejor sufrir desconexiones temporales que permitir que entren los crackers, y se dispararán alarmas. El número de direcciones MAC que puede utilizar por puerto en los conmutadores Catalyst con CLI de tipo IOS es de 132.
En los conmutadores con CLI de tipo Set/Clear, como el Catalyst 5000, puede utilizar el comando set port security:
ebleo(enable)set port security 2/1 enable
ebleo(enable)set port security 2/1 enable 0040.1337.1337
Escriba las 20 direcciones MAC que desea permitir y fije ese número con:
ebleo(enable)set port security 2/1 maximum 20
Defina la acción a emprender en caso de que se produzca una violación de seguridad!
Â
ebleo(enable)set port security 2/1 violation restrict
Este comando indica al conmutador que tire los paquetes que provengan de máquinas con direcciones MAC ilÃcitas, pero el puerto seguirá estando disponible. Por eso, es imposible un ataque de denegación de servicio mediante bombardeo con direcciones MAC contra estos conmutadores, si se configuran correctamente. Puede comprobar la configuración y las estadÃsticas de seguridad de puertos con:
ebleo(enable)show port security 2/1
La cantidad de entradas estáticas ("seguras", en el dialecto de Cisco) de la tabla CAM en los conmutadores con CLI Set/Clear de Cisco es de 1024 más una dirección MAC segura adicional por puerto. Esta pila de direcciones MAC estáticas la comparten todos los puertos del conmutador, por lo que si hay 1024 entradas MAC estáticas en un único puerto, el resto de los puertos tendrán que utilizar una única entrada MAC estática. Si usara 512 entradas, el resto de los puertos tendrÃan que compartir las restantes 512 además de una dirección adicional por cada puerto restante.
Otro aspecto interesante de los equipos de Cisco para la configuración y funcionamiento de redes VLAN es el despliegue de WEP o TKIP por VLAN en los puntos de acceso de Cisco. SÃ, es cierto, puede configurar distintas claves WEP o TKIP y definir diferentes intervalos de rotación de claves de difusión TKIP para distintas redes VLAN. Por ejemplo, para configurar el uso de una clave WEP de 128 bits en un punto de acceso Cisco Aironet 1200 sólo para la VLAN 13, deberÃa utilizar esta serie de sentencias:
aironet#configure terminal
aironet(config)#configure interface dotllradio 0 aironet(config-if)#encryption vÃan 13 mode cipher wepl28 aironet(config-ssid)#end
Al dividir la red inalámbrica entre distintas VLAN y asignar múltiples cla¬ves WEP, puede disminuir la cantidad de tráfico cifrado mediante una sola clave WEP, con lo que conseguirá que sea más difÃcil romper el protocolo WEP. Sin embargo, le recomendamos encarecidamente que en su lugar utilice TKIP. El siguiente ejemplo configura un punto de acceso Cisco Aironet 1200 para utilizar el protocolo WPA TKIP, que comentaremos más adelante en este mismo capÃtulo, y para rotar la clave de difusión o broadcast cada 150 segundos sólo para la VLAN 13:
aironet#configure terminal
aironet(config)#configure interface dotllradio 0 aironet(config-if)#encryption vÃan 13 mode cipher tkip
Â
aironet(config-if)#broadcast-key vÃan 13 change 150 aironet(config-ssid)#end
La oportunidad de tener varias claves en redes VLAN inalámbricas y modificarlas a distintos intervalos proporciona una mejor separación y segmentación de las VLAN y permite una flexibilidad adicional al diseñador de redes inalámbricas preocupado por la seguridad.
|
Ubicación segura de redes inalámbricas y redes VLAN
El siguiente punto de la lista de comprobación de nuestra polÃtica de seguridad es la ubicación y separación de la red. Si en la red existe un único punto de acceso o puente inalámbrico, su despliegue es sencillo: añada la dirección IP en la interfaz WAN de un dispositivo de cortafuego correctamente configurado. Un dispositivo de este tipo puede ser una sofisticada pasarela inalámbrica comercial, un tÃpico cortafuego configurado y basado en el sistema operativo o incluso un cortafuego para pequeñas redes como el PIX 501 de Cisco o el SonicWall de Nokia. Sin embargo, si se van a desplegar múltiples puntos de acceso y se permite que los usuarios se trasladen libremente entre estos puntos de acceso, la configuración se convierte en algo más complicado. Una posibilidad es desplegar Mobile IP a lo largo de la red corporativa. No obstante, esto convertirá la implementación de redes VPN en la capa 3 y superiores en un problema importante. Existen soluciones para este problema, pero es probable
Â
que haya que sacrificar un cierto nivel de seguridad para proporcionar una movilidad de clientes sin interrupciones. Recuerde el caso de WAVEsec y el ataque de kracker_j ack.
Una solución más común y sensata es situar todos los puntos de acceso en el mismo dominio de broadcast utilizando redes VLAN. Para implementar esta solución, los conmutadores de la red corporativa deben soportar al menos la configuración estática de VLAN. Por eso, el diseño de la red inalámbrica deberÃa formar parte del inicio del diseño de la red global; de no ser asÃ, habrÃa que emplear importantes recursos adicionales para conseguir conmutadores capaces de utilizar VLAN durante la etapa del despliegue de la WLAN. No podemos describir con detalle los aspectos técnicos de la configuración de una VLAN en este capÃtulo, ya que los comandos necesarios serán distintos dependiendo del fabricante del conmutador. Sin embargo, ofreceremos algunos ejemplos en los que se tiene en cuenta el despliegue de redes VLAN y la ubicación y despliegue de una red inalámbrica segura usando diversos equipos de Cisco. Es una cuestión de experiencia personal, ya que no tenemos nada que ver con Cisco.
La utilidad de WEP, los ESSID cerrados, el filtrado de MAC y el redireccionamiento de puertos SSH
listo trae a primer plano el tema de la activación de WEP, los ESSID cerrados y el filtrado de direcciones M A(1 como medidas de protección, liste tipo de
Â
defensas son "evitables" y después de haber leÃdo los capÃtulos anteriores del libro, sabrá cómo hacerlo. Sin embargo, sigue habiendo buenas razones para activar estas medidas de protección. Uno de estos motivos es legal. Un atacan te que consiga vencer cualquiera de estas medidas no puede decir que no lo sabÃa y afirmar que su asociación con la red fue puramente accidental. Por eso, el protocolo WEP o un ESSID cerrado pueden servir como una especie de advertencia que dice: "esperamos un cierto nivel de privacidad en esta red; manténgase alejado". Una organización que pierda datos o activos valiosos tras un ataque inalámbrico puede ser demandada por una insuficiente diligencia exigible si no se despliegan contramedidas de seguridad. Sin embargo, si estas protecciones se encuentran implementadas, la culpa debe desplazarse hacia otra parte (fabricantes, diseñadores de estándares, obras de texto que aseguran que "una clave WEP estática es suficiente", etc.).
Otro motivo más es elevar el listón. Penetrar cualquier tipo de defensa requiere tiempo y esfuerzo. El tiempo va relacionado con la alimentación de la baterÃa y con una mayor posibilidad de ser detectado. Una gran parte de los crackers inalámbricos son del tipo que sólo desea robar ancho de banda. Utilizan portátiles preinstalados con Windows y NetStumbler para encontrar redes inalámbricas abiertas en busca de una conexión gratuita a Internet, que podrÃan utilizar para descargar pornografÃa y software pirata, o para enviar correo basura. Con el sistema y las herramientas de las que pueden disponer, lo más normal es que no puedan romper el protocolo WEP, generar marcos personalizados para descubrir los ESSID ocultos o lanzar ataques de intermediario o de denegación de servicio sobre la capa 2. Puede que con su conocimiento ni siquiera sepan cómo cambiar la dirección MAC de su interfaz inalámbrica. Por eso, las medidas de seguridad básicas le protegerán de este tipo de atacante, pero no suponga nunca jamás que todos los crackers están asà de poco cualificados. En algún momento crucial puede que no sea éste el caso.
Un redireccionamiento de puertos SSH correctamente implementado puede elevar el listón de forma importante. Una buena idea es compilar su demonio sshd con soporte para TCP Wrappers y denegar todo el tráfico distinto de SSH en la red inalámbrica mientras se filtra el tráfico SSH procedente de las direcciones IP desconocidas (no olvide desactivar DHCP). Esto puede combinarse con éxito con el filtrado de direcciones MAC y el uso de tablas ARP de caché estática . Un ejemplo tÃpico del uso del redireccionamiento de puertos SSH es la exportación de aplicaciones de X Windows mediante SSH:
arhontus# ssh -X -f maquinaservidorX aplicacionX_a_utilizar
Además de proporcionar cifrado de datos y autentificación de usuarios, esto permitirá ahorrar ciclos de CPU y energÃa de la baterÃa en la máquina móvil. Otro ejemplo bastante habitual es navegar a través de la Web o comprar en red mediante un servidor intermedio o proxy que funcione sobre la pasarela inalámbrica, protegiendo la sesión de navegación mediante SSH:
arhontus# ssh -L 5777:localhost:3128 maquinaproxy
A continuación deberÃa configurar su navegador para utilizar la dirección localhost: 5777 como servidorproxy HTTP y lo habrá conseguido (siempre que el servidor intermedio escuche en el puerto 3128 en el otro extremo). La elección del puerto 5777 en una máquina local es completamente aleatoria, mientras que los servidores proxy Squid escuchan en el puerto 3128 de una de las pasarelas inalámbricas. Si su máquina móvil es un sistema Windows, puede utilizar aplicaciones de terceros para los túneles SSH. Por ejemplo, en PuTTY, puede hacer lo siguiente:
1.   Desde el menú de la izquierda de la ventana de PuTTY Configuration, seleccione Connection>SSH>Tunnels.
2.   En el apartado Add new forwarded port, escriba el número de puerto en el que va a escuchar su máquina en el campo Source port.
3.   En el campo Destination escriba localhost: 5777.
4.   Asegúrese de que está seleccionada la opción Local y, a continuación, haga clic sobre el botón Add.
5.   En el cuadro de texto Forwarded ports deberÃa aparecer la regla de redireccionamiento recién añadida. Si necesita eliminar el puerto redirigido, selecciónelo y haga clic sobre el botón Remove.
6.   Guarde los cambios volviendo a la página correspondiente a la categorÃa Session y haciendo clic sobre el botón Save.
7.   Ahora ya hemos definido el túnel de redireccionamiento de puertos. Para activarlo, bastará con que acceda al servidor SSH.
El número de posibles ejemplos de empleo del redireccionamiento de puertos SSH es infinito y no vamos a profundizar más en este tema. Solamente comentaremos que deberÃa asegurarse de utilizar el protocolo SSHv2 siempre que pueda y de que su servidor y clientes SSH se encuentran actualizados y no poseen ningún agujero de seguridad conocido (o tendrá que asimilar la posibi-lidad de ser atacado por Trinity en años venideros). Sea tan paranoico como nosotros. Ya hemos comentado con anterioridad que la selección de sistemas de elirado predeterminados presente en el archivo / etc/ssh/ssh_conf ig en I Jiuix es:
Â
#Ciphers aesl2 8-cbc, 3des-cbc,blowfish-cbc, castl2 8-cbc, arc-four, aesl92-cbc, aes2 56-cbc
Le recomendamos sustituir esta lÃnea por esta otra:
Ciphers aes2 56-cbc, aesl92-cbc, aesl2 8-cbc, blowfish-cbc,cast128-cbc,  3des-cbc,arcfour
Y añadir al archivo las siguientes lÃneas:
MACs hmac-ripemdl6 0 , hmac-shal, hmac-md5,hmac-shal-96,hmac-md5-96 HostKeyAlgorithms ssh-dss, ssh-rsa
En el próximo capÃtulo descubrirá el porqué de este consejo, donde comentaremos y compararemos entre sà prácticamente todos los métodos de cifrados mencionados. Por supuesto que algunos criptógrafos encontrarán que nuestras sugerencias son algo subjetivas, pero es de esperar.
A modo de resumen, el redireccionamiento de puertos SSH sirve como añadido rápido y fácil a las tradicionales contramedidas inalámbricas débiles como WEP y el filtrado de direcciones MAC. Aunque para algunos entornos en particular podrÃa ser suficiente (compárelo con el uso del filtrado de protocolos comentado en el capÃtulo 8), si lo que busca es una solución de seguridad inalámbrica más completa por encima de la capa de enlace de datos, le reco-mendamos encarecidamente que tenga en cuenta el uso de IPSec.
Conceptos básicos de seguridad inalámbrica en la capa 1
Vamos a comentar aspectos más técnicos sobre los consejos de la polÃtica en cuestión. Comenzaremos con la seguridad en la capa fÃsica. La seguridad en la capa fÃsica de las redes inalámbricas abarca los escapes de señal fuera de los lÃmites definidos para la red y la eliminación de todas las fuentes intencionadas y casuales de interferencia. En la primera parte de este libro ya hemos hablado acerca de los problemas de la interferencia, por lo que aquà vamos a concentrarnos en la contención de la zona de cobertura. Limitar el alcance de la red inalámbrica es un caso raro de seguridad mediante oscuridad que funciona (al menos en parte).
Existen dos formas de evitar que la señal se difunda fuera de la zona prevista para los usuarios legÃtimos. La primera forma es limitar la potencia de la señal. En el mundo UNIX, menos es más. Este mismo principio se aplica a la seguridad inalámbrica en la capa fÃsica. La EIRP deberÃa ser suficiente como para ofrecer una calidad de enlace decente a los usuarios en la zona de cobertura planeada, y ni un decibelio más. No suele ser necesario elevar la EIRP por encima del lÃmite legal marcado por el ETSI y además, convierte a la WLAN en un faro para todos los aficionados al wardriving de la zona y en un tema de debate para una reunión de un grupo 2600 local. Existen varios puntos en los que se puede controlar la potencia de emisión:
•   En el punto de acceso (todos los puntos de acceso de gama alta deberÃan soportar una potencia de salida variable).
•   En un amplificador de salida variable.
•   Seleccionando una antena con la ganancia correcta.
Puede que en los casos más extremos necesite utilizar un dispositivo atenuados
La segunda forma de limitar el alcance de la red es dar forma a la zona de cobertura con una adecuada elección y ubicación de antenas. En el apéndice C se incluyen ejemplos de zonas de coberturas de antenas; compruebe qué forma de red es la mejor para proporcionar acceso únicamente donde se necesita. Podemos ofrecerles algunos consejos:
•   Utilice antenas omnidireccionales sólo cuando sea absolutamente necesario. En muchos casos pueden utilizarse en su lugar antenas sectoriales o de panel con la misma ganancia para limitar la difusión de la señal.
•   Si no necesita acceso inalámbrico desde el exterior, disponga sus antenas omnidireccionales internas en el centro del edificio en el que se basa la red.
•   Si va a desplegar una red inalámbrica en el interior de un edificio alto, utilice antenas omnidireccionales con plano de tierra para que sea más difÃcil detectar su LAN desde las plantas inferiores y las calles de alrededor.
•   Si no es necesaria una cobertura omnidireccional, pero lo único que tiene son antenas omnidireccionales que no puede sustituir, utilice reflectores parabólicos para controlar la dispersión de la señal. Los reflectores modelarán el patrón de radiación de su sistema inalámbrico, convirtiendo en la práctica la zona de cobertura omnidireccional de su antena en un patrón similar al de las antenas semidireccionales. Por supuesto, también aumentan la ganancia de la señal. Un caso tÃpico cuando vaya a considerar el uso de reflectores es configurar un punto de acceso sin un conector para antenas externas, o la posibilidad de sustituir las antenas omnidireccionales de goma estándar de los puntos de acceso por antenas más apropiadas. Todo lo que necesita un reflector es una superficie plana de metal del tamaño adecuado. Puede construirse su propio reflector a partir de cualquier cosa, desde mallas de alambre a chapas metálicas de tejados. En http://www.freeantennas.com/projects/template/index.html puede consultar un detallado artÃculo en el que se comenta la construcción de reflectores caseros. También le recomendamos consultar el truco número 70 de "Wireless: Los mejores trucos ", de Rob Flickenger.
•   Si va a desplegar un enlace inalámbrico a lo largo de un gran pasillo que conecta varias oficinas utilice dos antenas de panel o de tipo parche en ambos extremos, en lugar de toda una serie de antenas omnidireccionales
Â
que recorra el pasillo. Como alternativa, puede probar con un hilo de cable sin blindar enchufado al conector de la antena del punto de acceso y dispuesto a lo largo del pasillo. Si se construye correctamente, esta improvisada antena omnidireccional sin ganancia puede proporcional conectividad en el pasillo y en su entorno más cercano sin dejar que la señal llegue a la calle.
• Si sus dispositivos de cliente tienen antenas de polarización horizontal, utilice una antena de polarización horizontal en el punto de acceso. La antena favorita de los wardrivers, una antena omnidireccional de montaje magnético siempre se coloca en vertical, usando el techo del coche como plano de tierra. Si todas sus antenas tienen polarización horizon-tal, la posibilidad de que los wardrivers detecten su señal con su antena de montaje magnético será muy reducida.
Conceptos básicos de radiofrecuencia: polarización de la antena.
Una onda de radio consiste en dos campos: el eléctrico y el magnético. Estos dos campos se propagan mediante planos perpendiculares, tal y como muestra la figura 10.1. El campo electromagnético real es una suma de los campos eléctrico y magnético entre los que oscila la energÃa emitida. El plano eléctrico paralelo al elemento de la antena se denomina plano E, y el plano magnético perpendicular se denomina plano H. La posición del plano E tomando como referencia la superficie de la Tierra determina la polarización de la antena (que es horizontal cuando el plano E es paralelo, y vertical cuando es perpendicular al suelo). La mayorÃa de los puntos de acceso tienen antenas de polarización vertical, mientras que las antenas integradas en las tarjetas PCMCIA de los portátiles suelen ser de polarización horizontal. Por el contrarÃo, las antenas integradas en tarjetas CF son de polarización vertical. Utilice su herramienta favorita de control de calidad de señal o de enlace para ver cómo afecta el alineamiento de la polarización de las antenas a las propiedades del enlace. Descubrirá que cuando las antenas están polarizadas al contrarÃo, la calidad del enlace disminuye abruptamente. La forma más habitual de solucionar un problema de polarización incorrecta es modificar la dirección de la antena del punto de acceso, pero hay antenas omnidireccionales que se colocan en vertical que aún asà tienen polarización horizontal. Estas antenas son poco habituales y suelen ser bastante caras.
Â
No piense que colocando correctamente sus antenas conseguirá un perfil de zona de cobertura de red perfecto, como el que desea. En primer lugar, siempre existe una pequeña zona de cobertura trasera debida a la mayorÃa de las antenas semidireccionales o incluso direccionales. Las antenas Yagi tienen lóbulos laterales y anteriores que pueden tener bastante alcance cuando la EIRP es elevada. Por eso, un aficionado al wardriving puede descubrir la red si pasa accidentalmente por detrás de la antena de emisión, y asà un cracker no tiene que colocarse justo delante de la antena, donde lo estarÃa esperando el personal de seguridad.
Además, a no ser que se construya un buen bunker TEMPEST (bueno, EMSEC), la contención de la emisión de radiofrecuencia es una ardua tarea. Debido a la reflexión, refracción y dispersión de la señal, la red inalámbrica puede detectarse por azar desde ubicaciones inimaginables. Esto subraya la importancia de eliminar todos los datos de interés de los marcos de baliza. Si un wardriver captura una única baliza que muestre que está activado el protocolo WEP y el ESSID cerrado, es probable que decida pasar de una red de este tipo, ya que existen muchas redes sin proteger. Sin embargo, si la baliza muestra la ausencia del protocolo WEP y el ESSID es "WLAN_Central_ de_ Microsoft", la reacción será completamente diferente.
 Aquà continuamos con la segunda parte de los conceptos básicos acerca de seguridad WiFi. 5.   Despliegue y ubicación de la redEl despliegue de varios puntos de acceso en la WLAN mejora la resistencia de la red frente a ataques de denegación de servicio o de intermediario, además de proporcionar una reserva adicional de ancho de banda. La WLAN deberÃa encontrarse en un dominio de difusión o broadcast distinto al de la red de cable. En el caso de que múltiples puntos de acceso estén enlazados con distintos conmutadores, deberÃan usarse redes virtuales y, si es posible, poner a todos los puntos de acceso en la misma red virtual. Una pasarela de inalámbrico a cable deberÃa garantizar una adecuada separación entre redes, soportar caracterÃsticas implementadas de autentificación y cifrado de datos, y ser resistente a posibles ataques de un cracker. 6.   Contramedidas de seguridadLos valores ESSID de la WLAN no deberÃan contener ningún tipo de información útil sobre la empresa o los puntos de acceso. DeberÃan utilizarse medidas de seguridad básicas como WEP y ESSID cerrados. También deberÃa utilizarse el filtrado de direcciones MAC cuando fuese posible. Esto incluye restringir la asociación de clientes con los puntos de acceso corporativos en función de la dirección de punto de acceso (BSSID). El filtrado de protocolos también podrÃa utilizarse si está disponible y se puede. Para la protección de una WLAN no deberÃa confiarse en las medidas de seguridad básicas. DeberÃan implementarse protecciones de seguridad como 802. 1x y redes VPN. Su elección y su procedimiento de implementación deberÃa documentarse profusamente y asignarse la responsabilidad de su mantenimiento. Si se confÃa en medidas de seguridad propietarias como mejoras sobre el protocolo WEP, deberÃa comprobarse su eficacia empleando a un auditor de seguridad externo antes de pasar a la fase de despliegue en producción. El tiempo de rotación de la clave WEP deberÃa comprobarse y documentarse. DeberÃa garantizarse una correcta polÃtica de seguridad para contraseñas pensada para accesos inalámbricos, y obligarse a una selección básica de claves y contraseñas secretas y seguras. Ningún protocolo innecesario deberÃa utilizar la WLAN, y deberÃa restringirse el uso de recursos compartidos (como recursos NFS) a través de la red. 7.   Monitorización de la red y respuesta ante incidentesDeberÃa monitorizarse y caracterizarse el funcionamiento de la red. Todas las divergencias importantes deberÃan tenerse en cuenta y documentarse. DeberÃa desplegarse un sistema IDS especÃfico para entornos inalámbricos y conseguir que interactúe con el sistema centralizado de registro. Si el tamaño de la red es significativo y se despliegan varios puntos de acceso, deberÃan utilizarse sensores IDS remotos para garantizar la completa monitorización de la red. La responsabilidad de vigilar tanto los registros como las alarmas IDS deberÃa asignarse y mantenerse. DeberÃa proporcionarse un sistema de almacenamiento seguro de registros de acuerdo con la polÃtica corporativa general de seguridad. DeberÃan identificarse, comprobarse, confirmarse y documentarse todos los casos de intrusión. DeberÃa formarse un equipo de respuesta ante incidentes constituido por especialistas asignados previamente y que pudiera actuar de inmediato. La acción debe incluir un informe a presentar ante las autoridades legales pertinentes. Todas las pruebas descubiertas (incluidos registros, máquinas atacadas, dispositivos inalámbricos ilÃcitos y cualquier otro dispositivo abandonado por o confiscado a los atacantes) deberÃan tratarse con extremo cuidado para no romper la cadena de responsabilidad de las mismas. Asegúrese de que su equipo de respuesta ante incidentes está familiarizado con la normativa y reglamentación local para la gestión de pruebas. 8.   AuditorÃas de seguridad y estabilidad de la redDeberÃan realizarse periódicamente auditorÃas de seguridad inalámbrica corporativa por parte de profesionales externos con una buena reputación asentada en el campo y acreditaciones apropiadas sobre su especialidad. Las auditorÃas de seguridad y estabilidad de red deberÃan tener en cuenta los siguientes puntos: •   Inspección del sitio inalámbrico.
•   Funcionamiento global de la red y valoración de la estabilidad.
•   Valoración de la polÃtica de seguridad inalámbrica.
•   Detección e identificación de dispositivos inalámbricos ilÃcitos.
•   Adecuadas pruebas de penetración inalámbricas sistemáticas.
•   EnvÃo de un informe detallado sobre la auditorÃa.
•   Trabajo en cooperación con el equipo de gestión y administración de la red inalámbrica para solucionar los problemas que se descubran.
|
|
