Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Amenazas WLAN
Hay cuatro clases principales de amenazas a la
seguridad inalmbrica:
Amenazas
Amenazas
Amenazas
Amenazas
no estructuradas.
estructuradas.
externas.
internas.
Ataques de reconocimiento
Ataques de acceso
Ataques de AP falso
La mayora de los clientes se asocia al AP que tiene la
seal mas fuerte. Si un AP no autorizado, que
normalmente es un AP falso, tiene una seal fuerte,
los clientes se asociaran a el. El AP falso tendra acceso
al trafico de red de todos los clientes asociados.
Tecnologas de seguridad
bsicas en una WLAN
La seguridad WLAN es un proceso continuo construido alrededor de
una poltica de seguridad inalmbrica los cuatro pasos de seguridad
son:
Paso 1 asegurar. Este paso implementa las soluciones de
seguridad WLAN para detener o evitar el acceso a las actividades no
autorizadas y para proteger la informacin utilizando lo siguiente:
Autenticacin (802.1x).
Encriptacin o cifrado (WEP o AES).
Integridad (CRC o MIC)
Filtros del trafico.
VLAN y VPN.
Deshabilitar o asegurara los servicios.
Control del are de cobertura inalmbrica.
Paso 4 Mejorar.
Paso 3 Probar:
este paso valida la eficacia de la poltica
de seguridad de la WLAN mediante la
auditoria del sistema y la bsqueda de
vulnerabilidades
inalmbricas
y
cableadas.
Autenticacin y asociacin.
La autenticacin abierta y la autenticacin por clave
compartida son los dos mtodos que el estndar
802.11 define para que los clientes se conecten a un
AP.
Autenticacin abierta.
Ejecuta todo el proceso de autenticacin en
texto plano. La autenticacin abierta es
bsicamente una autenticacin nula, es decir,
no hay ninguna verificacin del usuario o de la
maquina.
Interoperabilidad.
En la mayora de los AP, incluyendo los cisco, es
posible utilizar la autenticacin abierta con o sin
una clave WEP. En la interoperabilidad bsica que
requiere WEP, AP de cisco de puede configurar
utilizando la autenticacin abierta.
El cifrado de los datos debe establecerse a
Required, y desactivar TKIP (Protocolo de
integracin de clave, Temporal Key Integrity
Protocol), MIC (Comprobacin de la integridad del
mensaje, Message Integrity Check) y BKR
(Rotacin de clave de difusin, Brodcast Key
Rotation).
Evitar los ajustes predeterminados para las contraseas, los SSID, etc.
Acceso fsico.
La mayora de los AP inalmbricos son fcilmente
accesibles. Normalmente se ubican cerca de los
usuarios y fuera de salas cerradas. Esto hace que
los AP corran un riesgo especial, pues pueden ser
robados y verse comprometidos por usuarios
malintencionados.
Acceso de consola.
Las cuentas y los privilegios de administrador
deben configurarse correctamente. Si es posible,
instale los AP en ubicaciones seguras para evitar
el acceso a travs de la consola. En cualquier
caso, el puerto de consola debe estar protegido
mediante una contrasea.
TFTP/FTP
El protocolo trivial de transferencia de archivos
(TFTP, Trivial File Transfer Protocol) y el protocolo
de transferencia de archivos (FTP, File Transfer
Protocol) se utilizan ambos para enviar y recibir
archivos a travs de una red. TFTP no permite el
uso de contraseas y esta limitado a archivos
inferiores a los 16 MB. FTP permite utilizar
nombres de usuarios y contraseas, pero sigue
siendo un protocolo no cifrado.
SSID
El SSID no debe considerarse una caracterstica de
seguridad. Varios AP de una red o subred pueden utilizar
los mismos SSID. Los SSID
se pueden utilizar en
combinacin con las VLAN para permitir a los invitados
un acceso limitado.
Es posible configurar hasta 16 SSID en los AP de cisco y
asignar diferentes ajustes de configuracin en cada uno.
Todos los SSID se activan al mismo tiempo, es decir, los
dispositivos cliente se pueden asociar al AP utilizando
cualquiera de los SSID.
Uso de filtros.
El filtrado puede ofrecer una capa adicional de
seguridad inalmbrica. Los filtros se pueden crear
para filtrar una direccin MAC, el protocolo IP o el
puerto IP. Los filtros de protocolo impiden o
permiten el uso de protocolos especificos a traves
del AP.
SNMP
SNMP (protocolo simple de administracin de
redes, Simple Network Management Protocol)
permite que los programas de administracin de
redes vean y cambien la configuracin del equipo.
Se puede utilizar para ver los ajustes mediante
una solicitud Get o Set.
Administracin HTTP/web
La administracin HTTP/web es til, pero su uso en un
equipo de red podra debilitar la seguridad de la red.
HTTP debe desactivarse en la pagina services: HTTPWeb Server en una red de produccin. Si se utiliza
HTTP, debe estar protegido mediante una contrasea.
HTTP es un protocolo web seguro y seguro que utiliza
SSL para proteger la conexin.
Autenticacin
Administracin de clave
Fundamentos de 802.1x
802.1x requiere atencin en el cliente, en el AP y en el
servidor de autenticacin. 802.1x utiliza un proxy
RADIUS para autenticar los clientes en la red. Este
dispositivo proxy debe ser un dispositivo como un
switch o un AP. Este dispositivo en la capa de acceso.
Protocolos EAP
LEAP
Es una tecnologa patentada por cisco que proporciona
una solucin WLAN completa. LEAP debe utilizarse
cuando solo se requiera un inicio se sesin en el
dominio Windows NT o en Active Directory.
LEAP tambin se puede utilizar cuando se necesita
una clave WEP dinmica y la autenticacin mutua.
LEAP es el mtodo menos complicado de implementar
802.1x; solo requiere un servidor RADIUS.
EAP-TLS
EAP se utiliza cuando se necesitan certificados
digitales para la identificacin del usuario. EAP es la
mejor solucin cuando ya existe PKI. PKI garantiza
que las comunicaciones electrnicas delicadas son
privadas y estn protegidas contra el sabotaje.
Los certificados digitales proporcionan un nivel de
mayor seguridad en comparacin con los nombres
de usuario y contraseas estticos, que es lo que
se utiliza en las implementaciones LEAP.
PEAP
Se puede utilizar cuando son necesarios la clave
WEP dinmica y la autenticacin mutua. Tambin
se puede utilizar EAP-TLS para asegurar el inicio
de sesin.
MIC
Las claves WEP mas solidas son proporcionadas por
las mejores TKIP y MIC. MIC evita los ataques por
volcado de los bits en los paquetes cifrados en los
paquetes cifrados.
Durante un ataque de este tipo, el intruso intercepta
un mensaje cifrado, lo altera ligeramente y lo
retransmite. El receptor acepta el mensaje
retransmitido como legitimo. El controlador del
adaptador cliente y el firmware deben soportar la
funcionalidad MIC, y el AP debe activarse MIC.
sea
BKR
Tambin es una mejora de TKIP.
Protege el trafico de multidifusin del AP ante el
hecho de ser saboteado por un cambio dinmico
de la clave de cifrado multidifusin.
Firewalls
VPN
Sistema de deteccin de instrucciones (IDS,
Instrusion Detection System)
Monitorizacin
Uso de VPN
Las VPN IPSec utilizan los servicios definidos en IPSec
para garantizar la confidencialidad, integridad y
autenticidad de las comunicaciones de datos a travs de
las redes, como internet.
Al implementar IPSec en un entorno WLAN, se coloca un
cliente IPSec en cada PC conectado a la red inalmbrica.
IPSec proporciona la confidencialidad del trafico IP.
Tambin tiene capacidades de autenticacin y
antirrepeticin.
VLAN
Una
VLAN
es
una
red
conmutada
segmentada de forma lgica en funciones,
equipos de proyecto o aplicaciones, en lugar
de estar dividida fsica o geogrficamente.
Las VLAN se utilizan para configurar la red
con ayuda de software, en lugar de hacerlo
fsicamente desconectando o moviendo los
dispositivos o los cables.
rbol de extensin
En un entorno WLAN , solo es necesario un rbol
de extensin al utilizar puentes inalmbricos. Debe
permanecer desactivado para los AP y los
repetidores al menos que en la red se den
circunstancias especiales.
El algoritmo de rbol de extensin se utiliza para
evitar los bucles de puente. Calcula las rutas de
red disponibles y cierra las rutas redundantes, de
modo que solo existe una ruta entre cualquier par
de LAN en la red.
Aplicaciones, diseo y
preparacin de la inspeccin del
emplazamiento
Radiofrecuencia
Ubicacin de la instalacin
Numero de conexiones que se servirn
Rendimiento
Cobertura de la WLAN
Velocidades de transmisin.
Tipo de antena y ubicacin
Entornos fsicos
Obstculos
Materiales de construccin
Lnea de visin
Alta disponibilidad
Escalabilidad
Manejabilidad
Interoperabilidad