Medidas bsicas de seguridad

Definimos este concepto cuando se tratan de aquellas medidas mnimas necesarias a tomar para disponer de una red WiFisegura. Se pueden abordar con unos conocimientos bsicos y los manuales de uso de los dispositivos.

Planifique el alcance de la instalacin.

El objetivo de esta planificacin es controlar el alcance de la red, ya que cuanto menos difusin de las ondas fuera de sus instalaciones tenga menores sern las posibilidades de una intrusin en la red. Los puntos esenciales a tener en cuenta son:

Responder a las necesidades de la empresa (cobertura, ubicacin, etc). No dejarlos al acceso directo de cualquier persona. Debern estar en lugares relativamente difciles de acceder (techos, sobre falso techo, en cajas con cerradura, etc) . Cambie los datos de acceso al Router. Los routers y puntos de acceso que recibe cuando contrata el servicio WiFi con algn proveedor, suelen tener una contrasea por defecto para acceder a la administracin y configuracin del dispositivo. Esta contrasea, a veces denominada clave del administrador, debe cambiarse cuanto antes por otra contrasea. Con esta medida evitaremos que atacantes que hacen uso de esas contraseas por defecto puedan tomar el control del router desde fuera va Internet y modificar nuestra configuracin de seguridad. Oculte el nombre de su red. Cuando usted intente conectarse a una red, le aparecern todas las que se encuentran a su alrededor, independientemente si pertenecen o no a su organizacin, y esto mismo le ocurrir a cualquier persona que vea todas las redes inalmbricas, incluida la suya. Para evitar sto al configurar el SSID de nuestra red en el Router, o en el punto de acceso, lo haremos de forma que no se difunda el nombre de la red. De esta manera si alguien quiere conectarse a ella, solo podr hacerlo si conoce el SSID de antemano. Con esta sencilla medida aseguramos el punto 2 de la conexin.

Slo podrn conectarse a su red aquellos usuarios autorizados que conozcan el nombre de red de su empresa.

Use protocolos de seguridad. Mediante protocolos de seguridad que permiten el cifrado en funcin de una contrasea conseguiremos proteger tanto el acceso a la red, como las comunicaciones entre dispositivos Los dos sistemas ms comunes para asegurar el acceso a la red WiFi son mediante el procolo WEP (Wired Equivalent Privacy) y el protocolo WPA (WiFi Protected Access). El protocolo WEP es el ms simple y lo implementan prcticamente todos los dispositivos, pero ya han sido reportadas algunas vulnerabilidades que permiten saltarse su proteccin. En cambio, el protocolo WPA utiliza un cifrado ms fuerte que hace que sea ms robusto, aunque no todos los dispositivos ni los sistemas operativos lo soportan (consultar documentacin del dispositivo). Tambin es posible implementar el protocolo WPA2 que es la evolucin definitiva del WPA, es el ms seguro de los tres pero tampoco todos los dispositivos lo implementan. Use el protocolo que use, la forma de trabajo es similar, si el punto de acceso o router tiene habilitado el cifrado los dispositivos receptores que traten de acceder a l tendrn que habilitarlo t ambin. Cuando el punto de acceso detecte el intento de conexin solicitar la contrasea que previamente habremos indicado para el cifrado.

Utilice SIEMPRE un protocolo de seguridad, y en lo posible el protocoloWPA.

Para lograr una mayor seguridad se deben cambiar las contraseas de acceso cada cierto tiempo y usar contraseas fuertes. Esto es una forma de asegurar el paso tres, comprobacin de credenciales.

Apagar el router o punto de acceso cuando no se vaya a utilizar De esta forma reduciremos las probabilidades de xito de un ataque contra la red inalmbrica y por lo tanto de su uso fraudulento.

WiFi: Medidas avanzadas de seguridad

En esta seccin se tratan las medidas a adoptar para tener una garanta extra de seguridad. Para implementarlas esnecesario disponer de conocimientos tcnicos avanzados o contar con personal tcnico adecuado.

Recuerde que a veces no valoramos bien lo crtica que es nuestra informacin. Piense en lo que pasara si su informacin estuviera a disposicin de terceros. Sera entonces importante?

Utilizar la lista de control de acceso (ACL) por MAC La lista de control de acceso, consiste en crear una lista con las direcciones MAC de los dispositivos que queremos que tengan acceso a nuestra red. La direccin MAC es un identificar nico de los dispositivos de red de nuestro equipos (Tarjerta de red, mviles, PDA, router,...). As que si cuando solicitamos la conexin nuestra MACest en la lista, podremos acceder a la red, en caso contrario seremos rechazados al no disponer de la credencial apropiada. De esta forma aseguramos el paso tres, presentacin de credenciales.

Deshabilite el DHCP en el Router y utilice IP estticas Para dificultar la conexin de terceros a la red se puede desactivar la asignacin de IP dinmica por parte del router a los distintos dispositivos inalmbricos. Cuando un equipo trata de conectarse a una red, ha de tener una direccin IP que pertenezca al rango de IPs de la red a la que queremos entrar. El servidor DHCP se encarga de dar una direccin IP adecuada, siempre y cuando el dispositivo est configurado para obtenerla en modo dinmico mediante servidor DHCP. Al deshabilitar el DHCP en el router cuando un nuevo dispositivo solicite una direccin IP, ste, no se la dar, por lo tanto, si quiere conectar deber indicar el usuario una direccin IP, una mscara de subred y una direccin de la pasarela o gateway (direccin del Router) de forma aleatoria, lo que implica que las posibilidades de acertar con la IP de la red deberan ser casi nulas. De esta forma aseguramos el paso 4 .

Cambie la direccin IP para la red local del Router Para dificultar en mayor medida que personas ajenas se conecten a a su red inalmbrica de manera ilegitima tambin es recomendable cambiar la IP interna que los router traen por defecto, normalmente 192.168.0.1. Si no se realiza el cambio el atacante tendr ms posibilidades de acertar con una IP valida y por lo tanto de comprometer la red. Autentique a las personas que se conecten a su red, si lo considera necesario La autenticacin de usuarios tiene sentido en entornos donde los usuarios sern siempre los mismos. Si es el caso de su empresa, recomendamos optar por la autenticacin de personas.

Si es necesario autenticar a las personas que acceden a su red, se recomienda utilizar el protocolo 802.1x
En caso de necesidad de autenticar a las personas que se conectan a la red, se recomienda la implementacin del protocolo 802.1x (Contactar con personal especializado si no se tienen los conocimientos necesarios) Este protocolo es complicado de implantar, pero es bastante seguro. Su funcionamiento se centra en certificados digitales, (como por ejemplo los facilitados por la Fbrica Nacional de Moneda y Timbre FNMT o el recin implantado e-DNI). Estos certificados se instalan en los ordenadores de los usuarios, y cuando se quieren conectar a la red, los certificados se transmiten de forma segura hacia la entidad u organismo que ha firmado los certificados y verifica que son vlidos. A partir de ah, los clientes pueden acceder a la red (ya que ya se han autenticado) y de forma segura (los certificados ayudan a proporcionar un canal de comunicacin seguro).