Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Solucion Taller de Seguridad
Solucion Taller de Seguridad
1. Active el cifrado WEP. Es mejor algo que nada y sin ello no obtendrá ningún
tipo de autenticación en absoluto.
2. Si su PA lo permite, desactive la difusión SSID y convierta su red en una
red cerrada. Admitámoslo, esta solución supone complicaciones para los
clientes; por ejemplo, Windows XP es muy efectivo a la hora de buscar
redes inalámbricas de manera automática, pero no puede buscar
automáticamente redes cerradas; en este caso, los usuarios tendrán que
introducir manualmente el nombre del SSID.
3. Preste atención a la huella de radio que crea la WLAN. Si puede mantener
a los espías y los intrusos fuera del rango de cobertura de la señal, ello
ayuda a minimizar el problema de la autenticación (pero no olvide que los
intrusos que son inteligentes utilizan una variedad de antenas para recibir
señales que provienen de distancias relativamente largas).
4. Complemente la autenticación WLAN con otros medios. Si permite el
acceso directo a sus sistemas internos mediante una WLAN, es
recomendable que reconsidere ese plan y, quizás, saque la WLAN fuera del
servidor de seguridad, lo que exigirá a los usuarios obtener acceso a la red
mediante una VPN, de la misma manera que lo harían desde casa. Otra
alternativa es asignar un rango de direcciones IP a los clientes WLAN y, a
SOLUCION TALLER DE SEGURIDAD WLAN
continuación, aplicar controles de acceso basados en IP en los sitios de su
intranet.
A lo largo de los últimos meses, han ido apareciendo en el mercado los primeros
productos Wireless LAN (WLAN) que implementan el nuevo estándar de seguridad
inalámbrica 802.11i, aprobado hace un año por IEEE. Esta especificación ha
venido sin duda a resolver uno de los principales inconvenientes que las
organizaciones oponían a la introducción de manera indiscriminada de redes
inalámbricas en sus organizaciones.
El estándar 802.11i elimina muchas de las debilidades de sus predecesores tanto
en lo que autenticación de usuarios como a robustez de los métodos de
encriptación se refiere. Y lo consigue en el primer caso gracias a su capacidad
para trabajar en colaboración con 802.1X, y en el segundo, mediante la
incorporación de encriptación Advanced Encryption Standard (AES). Aparte de
incrementar de manera más que significativa la seguridad de los entornos WLAN,
también reduce considerablemente la complejidad y el tiempo de roaming de los
usuarios de un punto de acceso a otro.
Sin embargo, según usuarios y analistas, aún siendo incuestionable que a largo
plazo el despliegue de 802.11i será inevitable, las empresas deberán sopesar
cuidadosamente las ventajas e inconvenientes de la nueva norma. Especialmente,
habrán de distanciarse de los discursos de marketing de los suministradores y
analizar con la cabeza fría el momento más adecuado para su introducción, sobre
todo si ya cuentan con infraestructuras que exijan ser actualizadas al estándar.
4- La IEEE 802.1X es una norma del IEEE para el control de acceso a red
basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1).
Permite la autenticación de dispositivos conectados a un puerto LAN,
estableciendo una conexión punto a punto o previniendo el acceso por ese
puerto si la autenticación falla. Es utilizado en algunos puntos de acceso
inalámbricos cerrados y se basa en el protocolo de autenticación extensible
(EAP– RFC 2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC
3748.
SOLUCION TALLER DE SEGURIDAD WLAN
802.1X está disponible en ciertos conmutadores de red y puede configurarse
para autenticar nodos que están equipados con software suplicante. Esto elimina
el acceso no autorizado a la red al nivel de la capa de enlace de datos.
Autenticación
Autorización
SOLUCION TALLER DE SEGURIDAD WLAN
Autorización se refiere a la concesión de privilegios específicos (incluyendo
"ninguno") a una entidad o usuario basándose en su identidad
(autenticada), los privilegios que solicita, y el estado actual del sistema. Las
autorizaciones pueden también estar basadas en restricciones, tales como
restricciones horarias, sobre la localización de la entidad solicitante, la
prohibición de realizar logins múltiples simultáneos del mismo usuario, etc.
La mayor parte de las veces el privilegio concedido consiste en el uso de un
determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin
estar limitado a: filtrado de direcciones IP, asignación de direcciones,
asignación de rutas, asignación de parámetros de Calidad de Servicio,
asignación de Ancho de banda, y Cifrado.
Contabilización
WPA
WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la
asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que
WEP no puede proporcionar.
El IEEE tiene casi terminados los trabajos de un nuevo estándar para reemplazar
a WEP, que se publicarán en la norma IEEE 802.11i a mediados de 2004. Debido
a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se
encontraron en 2001), Wi-Fi decidió, en colaboración con el IEEE, tomar aquellas
partes del futuro estándar que ya estaban suficientemente maduras y publicar así
WPA. WPA es, por tanto, un subconjunto de lo que será IEEE 802.11i. WPA
(2003) se está ofreciendo en los dispositivos actuales.
Características de WPA
Las principales características de WPA son la distribución dinámica de claves,
utilización más robusta del vector de inicialización (mejora de la confidencialidad) y
nuevas técnicas de integridad y autentificación.
WPA incluye las siguientes tecnologías:
SOLUCION TALLER DE SEGURIDAD WLAN
o IEEE 802.1X. Estándar del IEEE de 2001 [10] para proporcionar un control
de acceso en redes basadas en puertos. El concepto de puerto, en un
principio pensado para las ramas de un switch, también se puede aplicar a
las distintas conexiones de un punto de acceso con las estaciones. Las
estaciones tratarán entonces de conectarse a un puerto del punto de
acceso. El punto de acceso mantendrá el puerto bloqueado hasta que el
usuario se autentifique. Con este fin se utiliza el protocolo EAP [11] y un
servidor AAA (Authentication Authorization Accounting) como puede ser
RADIUS (Remote Authentication Dial-In User Service) [12]. Si la
autorización es positiva, entonces el punto de acceso abre el puerto. El
servidor RADIUS puede contener políticas para ese usuario concreto que
podría aplicar el punto de acceso (como priorizar ciertos tráficos o descartar
otros).
o EAP. EAP, definido en la RFC 2284 [11], es el protocolo de autentificación
extensible para llevar a cabo las tareas de autentificación, autorización y
contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-
to-Point Protocol) [13], aunque WPA lo utiliza entre la estación y el servidor
RADIUS. Esta forma de encapsulación de EAP está definida en el estándar
802.1X bajo el nombre de EAPOL (EAP over LAN) [10].
o TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo
encargado de la generación de la clave para cada trama [4].
o MIC (Message Integrity Code) o Michael. Código que verifica la integridad
de los datos de las tramas [4].