Probablemente es consciente de que los hackers pueden intentar descifrar las contraseñas Wi-Fi con el fin de obtener acceso a la red. Por lo tanto, ya está usando contraseñas seguras.
Pero eso no significa que sus preocupaciones de seguridad Wi-Fi hayan terminado. Un hacker decidido que quiera entrar o causar estragos puede utilizar otras vulnerabilidades, como la ingeniería social, el espionaje interno o el secuestro, los puntos de acceso no autorizados, y el bloqueo de la señal.
Así que, además de utilizar contraseñas seguras, debe preparar su red para este tipo de ataques. Estas son algunas de las vulnerabilidades comunes y cómo protegerse contra ellas.
1.- Perdida de equipo robado
Cuando se utiliza seguridad en modo simple pre-share key (PSK) o WPA2, hay una sola contraseña general para la red completa Wi-Fi. Esa contraseña usualmente es guardada por todos los dispositivos conectados. Si un empleado deja la organización, o si se pierde o roba un dispositivo Wi-Fi, se debería cambiar la contraseña. Esto implica cambiar la contraseña en todos los routers o access points, compartir la nueva contraseña con todos los usuarios del Wi-Fi, y todos tendrán que digitarlo cuando se conecten nuevamente.
Pero esta no es precisamente una solución amigable para usted o los usuarios, y usted probablemente no cambiará la contraseña cuando probablemente deba hacerlo.
Para un mejor control y gestión del acceso Wi-Fi utilice el modo empresarial de la seguridad WPA2, el cual utiliza autenticación 802.1X. Aunque esto requiere configurar un servidor RADIUS para la autenticación, le permite definir credenciales individuales de ingreso para cada usuario del Wi-Fi, como nombres de usuario y contraseñas o inclusive certificados de seguridad. Así que si un empleado deja la organización, o un dispositivo Wi-Fi se pierde o es robado, simplemente revoque o cambie la credencial de inicio específica.
2.- Espionaje de usuario a usuario
Aunque puede que encuentre el modo PSK o WPA2 útil para el acceso de invitados o contratistas en una SSID y VLAN separada, puede ver lo beneficioso que es el modo empresarial para su red inalámbrica principal.
Hay muchas herramientas que hacen secuestro de sesión a través de Wi-Fi con seguridad pobre y esto es fácil para cualquiera, como demostraron DroidSheep y FaceNiff. Para que estas apps en particular funcionen, solo necesitan un dispositivo Android rooteado, y que alguien en la Wi-Fi ingrese a un sitio que no es completamente seguro. Luego la app detectará el ingreso no seguro y el secuestro de sesión le permitirá al intruso tener acceso total a la cuenta comprometida sin tener que ingresar una contraseña.
Aunque los usuarios de Wi-Fi pueden intentar asegurarse de que se están logueandos a sitios web o servicios a través de una conexión segura HTTPS/SSL para prevenir el secuestro de sesión, a veces la cookie de sesión se envía sobre texto limpio, haciendo que el usuario sea vulnerable -sin saberlo- a este ataque.
Tenga en mente que este tipo de secuestro de cuenta solo es posible si la Wi-Fi es insegura, si se usa seguridad WEP, o se usa el modo de seguridad PSK, WPA o WPA2. De nuevo, el modo de seguridad empresarial evita el husmeo de usuario a usuario, lo cual incluye la prevención de secuestro de sesión o ingresos no seguros. Esta es además otra razón para utilizar el modo empresarial de la seguridad Wi-Fi para sus redes. Pero cuando los usuarios finales están en hotspots públicos y otras redes Wi-Fi, puede considerar requerir una conexión VPN para envolver su tráfico en otra capa de encriptación.
4.- Puntos de acceso falsos
Alguien que desee tener acceso inalámbrico no autorizado a su red, podría intentar conectarse a través de un access point falso o configurar uno propio. Cualquier access point que no es asegurado debidamente podría ser clasificado como falso.
Por ejemplo, un empleado podría llevar inocentemente un router de casa para ayudar a incrementar la señal Wi-Fi en su oficina, pero dejar el acceso abierto o usar su propia contraseña de seguridad. Aún más aterrador es que un extraño pueda ingresar y encontrar un puerto Ethernet accesible en la pared y rápidamente conectar su propio router inalámbrico o access point. O, si tiene acceso a un access point, simplemente podrían usar el botón de reset para restaurarlo a sus valores de fábrica por defecto, dejándolo abierto totalmente.
Para protegerse contra accesos falsos, utilice un sistema de prevención o detección de intrusión inalámbrica para ayudar a buscar activamente este tipo de vulnerabilidad. Considere usar un access point que ofrezca cierta funcionalidad de prevención o detección de intrusos, o considere desplegar una solución de terceros. Debería buscar estos accesos points falsos cuando desarrolle auditorías inalámbricas del lugar. Para ayudar a prevenir que los empleados configuren sus propios routers o access points, considere delinear una política de uso de Wi-Fi que incluya lo que los usuarios no pueden hacer respecto a la red inalámbrica. También edúquelos respecto a las vulnerabilidades, y en cómo pueden ayudar a combatirlas.
Prestar atención a la seguridad física de la red también es importante. Asegúrese de que todo el equipo de red esté asegurado en un armario con llave o que sea inaccesible al público y empleados generales. Para eliminar la posibilidad de que un empleado, o un extraño, tenga un puerto Ethernet en el que conectar un router o access point, para comenzar, mantenga el control sobre todos los puertos.
Asegúrese de que los puertos de las paredes, los tendidos de cables, los patch panels, y los puertos de switch están todos etiquetados, de modo que pueda fácilmente identificar ambos extremos de los cables. Así podrá fácilmente hacer revisiones para asegurarse de que los puertos no utilizados están sin conectores o deshabilitados, ayudando a reducir el uso no autorizado.
5.- Denegación de servicio
Debido a que el Wi-Fi utiliza las ondas de radio, todas las redes inalámbricas son susceptibles a ataques de denegación de servicio. Alguien dentro o fuera puede enviar tráfico para interrumpir el rendimiento inalámbrico, o detener la red por completo. Esto es porque la encriptación inalámbrica no se aplica a todos los marcos de gestión y de transmisión, permitiendo que alguien que no está conectado o autenticado en la red inalámbrica envíe tráfico de administración falso. Por otra parte, ninguna red puede ser protegida por completo contra este tipo de ataques.
Por ejemplo, uno podría enviar repetidamente frames falsos de de-autenticación a los clientes y sacarlos continuamente de la red. O una gran cantidad de frames de solicitud de asociación falsificada podrían ser enviados al access point, sobrecargándolo y ocasionando problemas de conectividad a todos los clientes asociados.
Aunque el estándar 802.11w mejora en este tipo de vulnerabilidades al agregar secuenciamiento para evitar repeticiones y código de mensaje de autenticación para detectar falsificaciones, no puede proteger contra toda clase de ataques de denegación de servicio.
Además de usar paredes especiales, pintura y ventanas para ayudar a blindar su edificio contra señales falsas desde fuera, puede usar funciones de prevención o detección de intrusos para ayudar a detectar e inclusive disminuir los ataques de denegación de servicio.
Una situación más inocente de denegación de servicio podría ser simplemente la interferencia de redes en el vecindario. Quizás un negocio cercano cambie el canal de sus access points o comience a utilizar anchos de canal más amplios, afectando negativamente su Wi-Fi. La interferencia significativa también puede venir desde dentro de su organización, de otros tipos de dispositivos que usen 2,4 o 5GHz, como cámaras de seguridad, sistemas de alarmas, teléfonos inalámbricos o parlantes inalámbricos.
Resumiendo las amenazas y las medidas preventivas
Utilizar el modo empresarial de seguridad WPA o WPA2 con autenticación 802.1X puede ayudar a prevenir algunas de estas serias vulnerabilidades: secuestro de sesión y espionaje de usuario a usuario a través de Wi-Fi y recuperación fácil de la contraseña Wi-Fi. A pesar de que debe usar un servidor RADIUS con este modo de seguridad, hay muchas opciones, incluyendo servicios 802.1X de nube o alojados específicamente diseñados para asegurar y gestionar el acceso Wi-Fi.
También ha visto cómo su red puede ser accedida a través de access points falsos o interrumpida por ataques de denegación de servicio, situaciones ambas que pueden ser al menos detectadas utilizando un sistema de prevención o detección de intrusión inalámbrica. Aunque esto no elimina la necesidad de auditorías periódicas al lugar, en las que puede tener una vista más profunda del uso del canal, la interferencia, y la verificación manual de los access points.
La seguridad física también es importante para reducir las posibilidades de uso no autorizado. La deshabilitación de puertos Ethernet no utilizados y el asegurarse de que el equipo de red esté físicamente resguardado del público y los empleados, puede reducir las posibilidades de uso indebido.
– Eric Geier, Network World EE.UU.
