Cuando se trata de la seguridad, a veces nos centramos más en la parte inalámbrica de la red, ya que el Wi-Fi no tiene vallas físicas. Después de todo, un atacante puede detectar el SSID y lanzar un ataque mientras está sentado en la playa de estacionamiento.
Pero en un mundo de amenazas internas, los ataques dirigidos desde el exterior, así como los hackers que utilizan la ingeniería social para obtener acceso físico a las redes corporativas, la seguridad de la parte cableada de la red también debe tenerse muy en cuenta.
Por lo tanto, aquí hay algunas precauciones básicas de seguridad que puede tomar para la parte cableada de la red, ya sea una pequeña empresa o una gran empresa.
1. Realice auditoría y mapeo
Si no lo ha hecho recientemente, debe hacer algunas auditorías y el mapeo o cartografía de la red. Tenga siempre una comprensión clara de la infraestructura de toda la red, por ejemplo el proveedor/modelo, ubicación y configuración básica del firewall, routers, switches, cableado Ethernet y los puertos, y los puntos de acceso inalámbricos. Además debe saber exactamente qué servidores, computadoras, impresoras y otros dispositivos están conectados, dónde se conectan, y su camino de conectividad en toda la red.
Durante su auditoría y cartografía es posible encontrar vulnerabilidades o maneras en que se puede aumentar la seguridad, el rendimiento y la fiabilidad. Tal vez se encuentre con un firewall mal configurado o amenazas físicas a la seguridad.
Si está trabajando con una red pequeña que tiene unos pocos componentes de red y una docena o menos estaciones de trabajo, podría realizar manualmente la auditoría y crear un mapa visual en una hoja de un procesador de texto. Para redes más grandes es posible encontrar programas de auditoría y cartografía útiles, capaces de escanear la red y empezar a producir un mapa o diagrama de la misma.
2. Mantenga la red al día
Una vez que tenga una auditoría y mapeo completo de la red básica, considere el buceo profundo. Compruebe si hay firmware o actualizaciones de software en todos los componentes de la infraestructura de red. Ingresa a los componentes para asegurar que las contraseñas por defecto han sido cambiadas, revise la configuración de cualquier configuración insegura, y considere otros elementos de seguridad o funcionalidad que actualmente no esté utilizando.
A continuación, dele un vistazo a todas las computadoras y dispositivos conectados a la red. Asegúrese de que las actualizaciones básicas estén activas, como el sistema operativo y las actualizaciones de los controladores, que el firewall personal esté activo, que el antivirus está funcionando y actualizado, y que se hayan establecido contraseñas.
3. Asegure físicamente la red
Aunque a menudo se pasa por alto o se minimiza, la seguridad física de la red puede ser tan importante como la de su firewall de Internet. Así como necesita protegerse contra hackers, bots y virus, también necesita hacerlo contra las amenazas locales.
Sin una fuerte seguridad física de su edificio y la red, un hacker cercano o incluso un empleado, podría tomar ventaja de ello. Por ejemplo, tal vez conecten un router inalámbrico en un puerto Ethernet abierto, dándoles a ellos, y a cualquier persona cercana, un acceso inalámbrico cercano a la red. Pero si ese puerto Ethernet no fuera visible o al menos estuviera desconectado, eso no hubiera sucedido.
Asegúrese de tener un buen plan de seguridad en el edificio para tratar de evitar que entren los forasteros. Luego asegúrese de que todos los armarios de cableado y/u otros lugares donde se colocan los componentes de la infraestructura de red estén asegurado físicamente tanto del público como de los empleados. Utilice puerta y cerraduras del gabinete. Compruebe que el cableado Ethernet se ejecuta fuera de la vista y no es de fácil acceso; lo mismo con los puntos de acceso inalámbricos. Desconecte puertos Ethernet utilizados, físicamente o a través de la configuración del switch/router, especialmente los de las zonas comunes del edificio.
4. Considere el filtrado de direcciones MAC
Un problema de seguridad importante en la parte cableada de la red es la falta de un método fácil y rápido de autenticación/cifrado; por el que la gente puede conectarse y utilizar la red. En el lado de la parte inalámbrica, al menos, debe tener al menos WPA2-Personal (PSK) que es fácil de implementar.
Aunque el filtrado de direcciones MAC puede ser anulado por un hacker, puede servir como la primera capa de seguridad. No detendrá por completo al hacker, pero puede ayudar a evitar que un empleado, por ejemplo, cause un agujero de seguridad potencialmente grave, como permitir que un invitado se conecte a la red privada. También le puede dar más control sobre qué dispositivos están en la red. Pero no deje que esto le da una falsa sensación de seguridad, y esté preparado para mantener actualizada la lista de direcciones MAC.
5. Implemente las VLAN para segregar el tráfico
Si está trabajando con una red más pequeña que aún no ha sido segmentada en redes LAN virtuales, considere hacer el cambio. Puede utilizar VLAN para los puertos Ethernet del grupo, puntos de acceso inalámbricos, y usuarios entre múltiples redes virtuales.
Quizá utilice VLAN para separar la red por tipo de tráfico (acceso general, VoIP, SAN, DMZ) por razones de rendimiento o de diseño y/o tipo de usuario (empleados, gestión, clientes) por razones de seguridad. Las VLAN son especialmente útiles cuando se configuran para la asignación dinámica. Por ejemplo, puede conectar su computadora portátil en cualquier lugar de la red o a través de Wi-Fi y automáticamente tendrá asignada su VLAN. Esto se puede lograr a través del marcado de la dirección MAC o una opción más segura sería la de utilizar la autenticación 802.1X.
Para utilizar las VLAN, el router y switches deben soportarla: Busque el apoyo IEEE 802.1Q en las especificaciones de productos. Y para los puntos de acceso inalámbricos, es probable que querrá los que soportan tanto el etiquetado VLAN y varios SSID. Con múltiples SSID tiene la capacidad de ofrecer múltiples WLAN virtuales que se pueden asignar a una determinada VLAN.
6. Utilice 802.1X para la autenticación
La autenticación y el cifrado en la parte cableada de la red es a menudo ignorada, debido a la complejidad que implica. Para TI tiene sentido cifrar las conexiones inalámbricas, pero no se olvide o ignore la parte cableada. Un hacker local podría conectarse a su red sin nada que le impida el envío o recepción de datos.
A pesar de que la implementación de la autenticación 802.1X no encriptaría el tráfico Ethernet, por lo menos haría que dejen de enviar o acceder a los recursos de la red hasta que se hayan proporcionado credenciales de acceso. Y puede utilizar la autenticación en el lado inalámbrico, entonces, para implementar la seguridad WPA2 de nivel empresarial con el cifrado AES, que tiene muchas más ventajas sobre el uso del nivel personal (PSK) de WPA2.
Otra gran ventaja de la autenticación 802.1X es la capacidad de asignar dinámicamente los usuarios a las VLAN.
Para implementar la autenticación 802.1X primero necesita un servidor de autenticación remota Dial-In User Service (RADIUS), que sirve básicamente como la base de datos de usuario, y es el componente que autoriza/niega el acceso a la red. Si tiene un servidor Windows que ya tiene un servidor RADIUS: el servidor de políticas de red (NPS, por sus siglas en inglés); o en versiones anteriores de Windows Server, es el Internet Authentication Service (IAS). Si no tiene un servidor, podría considerar servidores RADIUS independientes.
7. Utilice VPN para cifrar PC o servidores seleccionados
Si realmente busca asegurar el tráfico de red, considere el uso del cifrado. Recuerde, incluso con la VLAN y la autenticación 802.1X, alguien puede espiar en la red (VLAN) para capturar el tráfico sin cifrar, lo cual podría incluir contraseñas, correos electrónicos y documentos.
Aunque puede cifrar todo el tráfico, primero analice su red. Podría tener más sentido cifrar solo las comunicaciones seleccionadas que considere las más sensibles y que no están encriptadas, por ejemplo a través de SSL/HTTPS. Puede pasar el tráfico sensible a través de una VPN estándar en el cliente, lo cual podría ser utilizado solo durante la comunicación sensible o forzada a utilizarse todo el tiempo.
8. Encripte toda la red
También puede cifrar o encriptar una red completa. Una opción es IPsec. Un servidor de Windows puede servir como servidor de IPsec y la capacidad de cliente también está soportada nativamente por Windows. Sin embargo, el proceso de cifrado puede ser una sobrecarga en la red; las tasas de rendimiento efectivas pueden caer dramáticamente. También hay soluciones de cifrado de red patentadas por ahí a proveedores de redes, muchas de las cuales utilizan un enfoque Capa 2 en lugar de Capa 3 como IPsec para ayudar a la reducción de la latencia y los gastos generales.
– Eric Geier, Network World (EE.UU.)
