La tecnología Wi-Fi puede ser segura, siempre y cuando se apliquen las medidas adecuadas. Por desgracia, la red está llena de consejos y mitos obsoletos, por lo que aquí ofrecemos una lista de principios que muestran qué hacer y qué no con respecto a la seguridad Wi-Fi.
1. No utilice WEP
La seguridad WEP (Wired Equivalent Privacy) murió hace mucho tiempo. Su codificación subyacente puede ser rota de forma rápida y fácilmente por el más inexperto de los piratas informáticos. Por lo tanto no debe usar WEP en absoluto. Si es así, actualícese inmediatamente a WPA2 (WiFi Protected Access) con 802.1X autenticación 802.11i. Si tiene clientes de versiones anteriores o puntos de acceso que no son compatibles con WPA2, intente actualizar el firmware o simplemente reemplace el equipo.
2. No utilice WPA/WPA2-PSK
El modo de clave de seguridad WPA y WPA2 pre-compartida (PSK) no es seguro para los entornos de negocio o empresa. Cuando se utiliza este modo, la misma clave pre-compartida se debe introducir en cada cliente. Así, el PSK tendría que ser cambiado cada vez que un empleado se va, o cuando un cliente la pierde o es robada. Es poco práctico para la mayoría de entornos.
3. Implemente 802.11i
El modo EAP (Extensible Authentication Protocol) de WPA y WPA2 utiliza la autenticación 802.1X en lugar de PSK, proporcionando la capacidad de ofrecer a cada usuario o cliente sus propias credenciales de acceso: usuario y contraseña y/o un certificado digital. Las actuales claves de cifrado son cambiadas e intercambiadas con regularidad pero en un segundo plano.
Así, para cambiar o revocar el acceso de usuarios, todo lo que tiene que hacer es modificar las credenciales de inicio de sesión en un servidor central, en lugar de cambiar la PSK en cada cliente. La única sesión por teclas también evita que los usuarios espíen el tráfico de los demás -que ahora es fácil con herramientas como el complemento de Firefox Firesheep y la aplicación Android DroidSheep.
Para habilitar la autenticación 802.1X es necesario tener un servidor RADIUS/AAA. Si está ejecutando Windows Server 2008 y versiones posteriores, puede utilizar el servidor de directivas de redes (NPS), o Internet Autentication Service (IAS) de versiones anteriores del servidor. Si no se está ejecutando un servidor de Windows, tenga en cuenta el servidor de código abierto FreeRADIUS.
4. Haga configuraciones seguras del cliente 802.1X
El modo de EAP WPA/WPA2 sigue siendo vulnerable a ataques conocidos como “man-in-the-middle”. Sin embargo, puede ayudar a prevenir estos ataques, asegurando la configuración EAP del cliente. Por ejemplo, en los ajustes de EAP de Windows puede permitir la validación de certificados de servidor al seleccionar el certificado de CA, especifique la dirección del servidor, y desactive la obligación de los usuarios de confiar en los nuevos servidores o certificados de CA.
También puede empujar estos parámetros de 802.1X a unir el dominio de los clientes a través de directivas de grupo o utilizando una solución de terceros, como Quick1X de Avenda.
5. Utilice un sistema de prevención de intrusiones inalámbricas
Hay mucho más en la seguridad Wi-Fi que solo combatir a aquellos que están tratando de ganar acceso a la red. Por ejemplo, los hackers podrían configurar puntos de acceso o realizar ataques de denegación de servicio. Para ayudar a detectar y combatir esto, se debe implementar un sistema de prevención de intrusión inalámbrica (WIPS). El diseño y los enfoques de WIPS varían entre los vendedores, pero por lo general controlan las ondas en el aire buscando amenazas, alertándolo y posiblemente deteniendo aplicaciones no autorizadas u otra actividad maliciosa.
Hay muchas casas comerciales que ofrecen soluciones WIPS, como AirMagnet y AirTight Networks. También hay opciones de código abierto, como Snort.
6. Implemente NAP o NAC
Además de 802.11iy WIPS, debe considerar el despliegue de una solución Network Access Protection (NAP) o de control de acceso a redes (NAC). Estas pueden proporcionar un control adicional sobre el acceso a la red, sobre la base de la identidad del cliente y el cumplimiento de las políticas definidas. También puede incluir la funcionalidad de aislar a clientes problemáticos y su regularización para conseguir que los clientes regresen al cumplimiento.
Algunas de las soluciones NAC también pueden incluir la prevención de intrusiones de red y la funcionalidad de detección, pero querrá asegurarse de que también ofrezca -específicamente- la protección inalámbrica.
Si está ejecutando Windows Server 2008 o posterior y Windows Vista o posterior para los clientes, puede utilizar la funcionalidad NAP de Microsoft. De lo contrario, puede considerar las soluciones de terceros, tales como PacketFence que es de código abierto.
7. No confíe en los SSID ocultos
Un mito de la seguridad inalámbrica es que la desactivación de la emisión SSID de las AP oculta la red, o por lo menos el SSID, haciendo que las cosas se les compliquen a los hackers. Sin embargo, esto solo elimina el SSID de las balizas de AP. Sigue figurando en la solicitud de asociación 802.11, y en algunas instancias, la solicitud de la sonda y también en los paquetes de respuesta. De este modo, un fisgón puede descubrir un SSID “escondido” bastante rápido -especialmente en una gran red- con un analizador inalámbrico legítimo.
Algunos pueden decir que al deshabilitar la difusión del SSID todavía se proporciona otra capa de seguridad, pero también recuerde que puede tener un impacto negativo en la configuración de red y el rendimiento. Habría que introducir manualmente el SSID en los clientes, complicando aún más la configuración del cliente. También causa un aumento en la solicitud de la sonda y los paquetes de respuesta, disminuyendo el ancho de banda disponible.
8. No confíe en el filtrado de direcciones MAC
Otro mito de la seguridad inalámbrica es que al permitir el filtrado de direcciones MAC se añade otra capa de seguridad, que controla qué clientes pueden conectarse a la red. Esto tiene algo de verdad, pero recuerde que es muy fácil que los espías vigilen la red de direcciones MAC autorizadas y luego cambien la dirección MAC de su computadora.
Por lo tanto no debe poner en práctica el pensamiento de que el filtrado MAC hará mucho por la seguridad, pero tal vez sí como una manera de controlar libremente los equipos y dispositivos de los usuarios finales llevan a la red. También debe considerar la pesadilla de gestión a la que se podría enfrentar para mantener la lista de MAC al día.
9. Limite a los usuarios SSID que se pueden conectar
Muchos administradores de red pasan por alto un simple riesgo para la seguridad, pero que es potencialmente peligroso: los usuarios conectándose -con conocimiento o sin él- a una red inalámbrica no autorizada o del vecino, abriendo sus computadoras a posibles intrusiones. Sin embargo, el filtrado de los SSID es una manera de ayudar a prevenir esto. En Windows Vista y posteriores, por ejemplo, puede utilizar los comandos netsh wlan para añadir filtros que esos usuarios SSID pueden ver y conectarse. Para equipos de escritorio, puede negar todos los SSID, excepto los de la red inalámbrica. Para las computadoras portátiles, solo se puede negar el SSID de las redes de vecinos, que todavía les permite conectarse a puntos de acceso y a su red doméstica.
10. Asegure físicamente a los componentes de la red
Recuerde, la seguridad informática no es solo la última tecnología y el cifrado. Asegurar físicamente los componentes de red también es importante. Asegúrese de que los puntos de acceso estén fuera del alcance, como por encima de un falso techo, o incluso considere montar los puntos de acceso en un lugar seguro y luego colocar una antena a un punto óptimo. Si no están asegurados, alguien podría venir y resetear un punto de acceso para que vuelva a sus valores predeterminados y así abrir el acceso.
11. No olvide de proteger a los clientes móviles
Más allá de la red, los teléfonos inteligentes, computadoras portátiles y tablets de los usuarios pueden no estar protegidos cuando se conectan a redes Wi-Fi o routers inalámbricos en casa. Es difícil asegurar que las conexiones Wi-Fi de fuera son seguras. Se necesita una combinación de ofrecer y recomendar soluciones y educar a los usuarios sobre los riesgos de seguridad Wi-Fi y las medidas de prevención.
En primer lugar, todas las computadoras portátiles y netbooks deben tener un firewall personal. Después, necesita asegurarse de que el tráfico del usuario de Internet esté cifrado de espías locales, mientras que en otras redes, debe proporcionar acceso VPN a su red. Si no desea usar VPN en casa para esto, considere los servicios subcontratados, como Hotspot Shield o Witopia. Para iOS y Android, puede utilizar su cliente VPN nativo. Sin embargo, para los dispositivos BlackBerry y Windows Phone 7, debe tener configurado un servidor de mensajería con el dispositivo para poder utilizar su cliente de VPN.
