INTECO_02 Guía para proteger la red wi-fi de su empresa

Guía para protegerla red inalámbrica

Wi-Fi de su empresa

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología.

El Observatorio de la Seguridad de la Información es un referente nacional e internacional al servicio de los ciudadanos, empresas y administraciones españolas para describir, analizar, asesorar y difundir la cultura de la seguridad y la confi anza de la Sociedad de la Información.

Datos de contacto:Instituto Nacional de Tecnologías de la Comunicación (INTECO)Observatorio de la Seguridad de la InformaciónAvda. José Aguado, 41. Edifi cio INTECO. 24005 LeónTeléfono: +(34) 987 877 189 / Email: [email protected]

Depósito Legal: LE - 368 - 2009Imprime: gráfi cas CELARAYN, s.a.

( 3

Índice

1. ¿ En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla? 5

2. ¿ Cómo proteger la red Wi-Fi de su empresa? 8

Medidas Básicas 9

Medidas Avanzadas 13

3. Conceptos básicos de una red inalámbrica 18

( 5

¿QUÉ ES Wi-Fi?

Es lo que comúnmente se conoce como red inalámbrica, y permite conec-tar un equipo a una red con el fi n de acceder a los diferentes recursos (im-presoras, programas, servicios como Internet…) sin necesidad de cables. Es decir, la transmisión de la información se realiza por ondas, al igual que lo hace la radio o la televisión.

Las redes Wi-Fi cumplen con alguno de los estándares 802.11a/b/g/n.

¿EN QUÉ CASOS ES RECOMENDABLE INSTALARLA?

La utilización de este tipo de conexión ofrece innumerables ventajas aso-ciadas a la movilidad, y está especialmente recomendado en las siguientes situaciones:

• Cuando por motivos de infraestructura o coste no es posible ins-talar cables de acceso a la red en su empresa/ofi cina.

• Cuando para realizar su trabajo necesita poder conectarse a la red en distintos sitios de la ofi cina, a donde no siempre es sencillo llevar cables.

• Cuando el número de visitas o empleados que entran y salen de su empresa es superior al número de conexiones fi jas disponi-bles.

• Cuando necesita conexión y movilidad al mismo tiempo.

¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla?

1. ¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla?

Guía para proteger la red inalámbrica Wi-Fi de su empresa

6 )

En base a estas recomendaciones

¿Está seguro de que realmente necesita Wi-Fi?

Debido a los posibles riesgos de seguridad que puede llevar consigo una red inalámbrica, se recomienda que compruebe la necesidad de disponer de este tipo de red. Si considera que realmente es necesario, ¡adelante!. En esta guía encontrará algunas recomendaciones para hacer un uso seguro de su red WiFi.

¿QUÉ ELEMENTOS FORMAN UNA RED Wi-Fi?

Existen dos tipos de redes Wi-Fi en función de los componentes que la for-men y el objetivo de la conexión:

• Redes AdHoc: son redes que se establecen entre dos equipos (PC, PDA, impresora, cámaras, discos duros, etc.) sin ningún elemento de interconexión ajeno a los propios dispositivos. Es la red más simple y se usa para conectar dispositivos de forma esporádica.

• Redes con infraestructura: son redes que tienen elementos de in-terconexión inalámbricos. Suelen estar unidas a una red “cableada” para extender la red principal. Los elementos de interconexión se denominan genéricamente puntos de acceso (AP’s, Access Point). Comercialmente podemos encontrar varios dispositivos con capaci-dad de AP:


En base a estas recomendaciones...

¿Está seguro de que realmente necesita Wi-Fi?

Debido a los posibles riesgos de seguridad que puede llevar consigo una red inalámbrica, se recomienda que compruebe la necesidad de disponer de este tipo de red. Si considera que realmente es necesario, ¡adelante!. En esta guía encontrará algunas recomendaciones para hacer un uso seguro de su red WiFi.

¿QUÉ ELEMENTOS FORMAN UNA RED Wi-Fi?

Existen dos tipos de redes Wi-Fi en función de los componentes que la for-men y el objetivo de la conexión:

• Redes AdHoc: son redes que se establecen entre dos equipos (PC, PDA, impresora, cámaras, discos duros, etc.) sin ningún elemento de interconexión ajeno a los propios dispositivos. Es la red más simple y se usa para conectar dispositivos de forma esporádica.

• Redes con infraestructura: son redes que tienen elementos de in-terconexión inalámbricos. Suelen estar unidas a una red “cableada” para extender la red principal. Los elementos de interconexión se denominan genéricamente puntos de acceso (AP’s, Access Point). Comercialmente podemos encontrar varios dispositivos con capaci-dad de AP:

( 7

Router inalámbrico: existen modelos específi cos para conectarse a Internet y cuentan con un punto de acceso inalámbrico incluido. Disponen, al menos, de una entrada para teléfono (rj11) y/o un puerto para redes ethernet (rj45).

Access Point: es el elemento de red inalámbrico que centraliza las conexiones de los dispositivos o terminales.

Para crear una red inalámbrica con infraestructura es necesario un elemen-to concentrador (por ejemplo un router inalámbrico o un punto de acceso) y un elemento receptor como los equipos y tarjetas de conexión inalámbricas (muchos portátiles, las PDA, y teléfonos de gama alta ya incorporan de serie el dispositivo Wi-Fi 802.11b/g). En caso de no tener este dispositivo integra-do, hay disponible en el mercado tarjetas Wi-Fi con conectores USB, PCI, PCMCIA, Expresscard, CF, SD... que ofrecen las mismas funcionalidades.

Ejemplo de Red Wi-Fi


8 )

A la hora de instalar una red inalámbrica se debe tomar ciertas medidas para reducir los riesgos de un incidente de seguridad en su negocio; como puede ser que personas ajenas accedan a información de su empresa, que sea víctima de un fraude, que utilicen su red para fi nes maliciosos – con las consideraciones legales que esto puede suponer – o simple-mente que terceros consuman ancho de banda afectando al rendimiento.

Podemos disponer de redes Wi-Fi con un nivel de seguridad más que acep-table si se utilizan correctamente los medios de protección disponibles.

No proteger adecuadamente su red Wi-Fi puede provocar que personas ajenas accedan a información de su empresa.

Para entender mejor cómo puede asegurar su red inalámbrica primero vere-mos cómo se realiza la conexión de un dispositivo a la misma.

2. ¿ Cómo proteger la red Wi-Fi de su empresa?

¿Cómo proteger la red Wi-Fi de su empresa?

2. ¿ Cómo proteger la red Wi-Fi de su empresa?

( 9¿Cómo proteger la red Wi-Fi de su empresa?

Esquema de conexión WI-FI

Para asegurar la red se deberán proteger los diferentes pasos que se realizan durante la conexión del dispositivo al punto de acceso o router.

De cara a facilitar la implantación de las medidas éstas se han dividido en básicas y avanzadas en función de su necesidad y de la complejidad para llevarlas a la práctica.

Medidas Básicas

Son aquellas medidas mínimas necesarias para disponer de una red Wi-Fi segura. Se pueden abordar con unos conocimientos básicos y con los manuales de uso de los dispositivos.


10 )

PLANIFIQUE EL ALCANCE DE LA INSTALACIÓN

El objetivo de esta planifi cación es controlar el alcance de la red, ya que cuanta menos difusión de las ondas fuera de sus instalaciones tenga, meno-res serán las posibilidades de una intrusión en la red. Los puntos esenciales a tener en cuenta son:

• Debe responder a las necesidades de su empresa (cobertura, ubicación, etc.).

• No debe dejarlos al acceso directo de cualquier persona.

• Deben estar en lugares relativamente difíciles de acceder (techos, falso techo, en cajas con cerradura, etc.).

CAMBIE LOS DATOS DE ACCESO A SU ROUTER

Los routers y puntos de acceso que recibe cuando contrata el servicio Wi-Fi con algún proveedor suelen tener una contraseña por defecto para ac-ceder a la administración y confi guración del dispositivo. Esta contraseña, a veces denominada “clave del administrador”, debe cambiarse cuanto antes por otra contraseña que sólo Ud. conozca.

No olvide cambiar la contraseña de administración de su punto de acceso inalámbrico tras su instalación

Para mayor información sobre la creación y gestión de contraseñas puede consultar el artículo de INTECO Recomendaciones para la creación y uso de contraseñas seguras1.

1 Este documento lo puede encontrar en el siguiente link: http://www.inteco.es/Seguridad/Observatorio/Es-tudios_e_Informes/Notas_y_Articulos/recomendaciones_creacion_uso_contrasenas


( 11

Con esta medida evitará que atacantes que hacen uso de esas contraseñas por defecto puedan tomar el control del router desde fuera de sus instalacio-nes vía Internet y modifi car su confi guración de seguridad.

OCULTE EL NOMBRE DE SU RED

Cuando usted intente conectarse a una red, le aparecerán todas las que se encuentran a su alrededor, independientemente de si pertenecen o no a su organización, y esto mismo le ocurrirá a cualquier persona ajena que esca-nee en busca de redes inalámbricas.

Sólo podrán conectarse a su red aquellos usuarios autorizados que conozcan el nombre de red de su empresa

Para evitar esto, al confi gurar el SSID de su red en el router, o en el punto de acceso, lo hará de forma que no se difunda el nombre de la red. De esta manera, si alguien quiere conectarse a ella, solo podrá hacerlo si conoce el SSID de antemano.

Con esta sencilla medida se asegura el punto 1 de la conexión, según el esquema de la página 9.



12 )

USE PROTOCOLOS DE SEGURIDAD

Mediante protocolos de seguridad que permiten el cifrado en función de una contraseña conseguiremos proteger tanto el acceso a la red como las comunicaciones entre dispositivos.

Recomendaciones de uso:

Utilice siempre un protocolo de seguridad, y en lo posible el protocolo WPA. El uso de protocolos evitará que personas no autorizadas puedan acceder a su red.

Los dos sistemas más comunes para asegurar el acceso a la red Wi-Fi son el procolo WEP (Wired Equivalent Privacy) y el protocolo WPA (Wi-Fi Pro-tected Access).

El protocolo WEP es el más simple y lo implementan prácticamente to-dos los dispositivos, pero han sido reportadas algunas vulnerabilidades que permiten saltarse su protección.

En cambio, el protocolo WPA utiliza un cifrado más fuerte, que hace que sea más robusto, aunque no todos los dispositivos ni los sistemas ope-rativos lo soportan (debe consultar la documentación del dispositivo para conocer este aspecto). También es posible implementar el protocolo WPA2 que es la evolución defi nitiva del WPA. Es el más seguro de los tres pero tampoco todos los dispositivos lo implementan.

Use el protocolo que use, la forma de trabajo es similar: si el punto de acce-so o router tiene habilitado el cifrado, los dispositivos receptores que traten de acceder a él tendrán que habilitarlo también.


( 13

Cuando el punto de acceso detecte el intento de conexión, solicitará la con-traseña que previamente habrá Ud. indicado para el cifrado.

Cómo confi gurar el protocolo

Para lograr una mayor seguridad se deben cambiar las contraseñas de ac-ceso cada cierto tiempo y usar contraseñas fuertes.

Esto es una forma de asegurar el paso 2, comprobación de credenciales, según el esquema de la página 9.

APAGUE EL ROUTER O PUNTO DE ACCESO CUANDO NO LO VAYA A UTILIZAR

De esta forma se reducirán las probabilidades de éxito de un ataque contra la red inalámbrica y por lo tanto de su uso fraudulento.

Medidas Avanzadas

Medidas a adoptar para tener una garantía “extra” de seguridad. Para imple-mentarlas es necesario disponer de conocimientos técnicos avanzados o contar con personal técnico adecuado.



14 )

Recuerde que a veces no valoramos bien lo crítica que es nuestra información. Piense en lo que pasaría si la información de su empresa estuviera a disposición de terceros. ¿Sería entonces importante?

UTILICE LA LISTA DE CONTROL DE ACCESO (ACL) POR MAC

La lista de control de acceso consiste en crear una lista con las direccio-nes MAC de los dispositivos que quiere que tengan acceso a su red. La dirección MAC es un identifi cador único de los dispositivos de red de sus equipos (tarjeta de red, móviles, PDA, router,...). Así que si cuando Ud. so-licita la conexión su MAC está en la lista, podrá acceder a la Red; en caso contrario será rechazado al no disponer de la credencial apropiada.

De esta forma se asegura el punto 2, comprobación de credenciales, según el esquema de la página 9.


( 15

DESHABILITE EL DHCP EN EL ROUTER Y UTILICE IP ESTÁTICAS

Para difi cultar la conexión de terceros a la Red se puede desactivar la asignación de IP dinámica por parte del router a los distintos dispositivos inalámbricos.

Cuando un equipo trata de conectarse a una red, ha de tener una dirección IP que pertenezca al rango de IPs de la red a la que quiere entrar. El servi-dor DHCP se encarga de dar una dirección IP adecuada, siempre y cuando el dispositivo esté confi gurado para obtenerla en modo dinámico mediante servidor DHCP.

Al deshabilitar el DHCP en el router cuando un nuevo dispositivo solicite una dirección IP, éste no se la dará, por lo tanto, si quiere conectar deberá in-dicar el usuario una dirección IP, una máscara de subred y una dirección de la pasarela o gateway (dirección del router) de forma aleatoria, lo que implica que las posibilidades de acertar con la IP de la red deberían ser casi nulas.

De esta forma se asegura el punto 3, el DHCP asigna IP al equipo, según el esquema de la página 9.

CAMBIE LA DIRECCIÓN IP PARA LA RED LOCAL DEL ROUTER

Para difi cultar en mayor medida que personas ajenas se conecten a su red inalámbrica de manera ilegitima también es recomendable cambiar la IP interna que los router traen por defecto, normalmente 192.168.0.1. Si no se realiza el cambio el atacante tendrá más posibilidades de acertar con una IP valida y por lo tanto de comprometer la Red.


16 )

AUTENTIQUE A LAS PERSONAS QUE SE CONECTEN A SU RED, SI LO CONSIDERA NECESARIO

La autenticación de usuarios tiene sentido en entornos donde éstos sean siempre los mismos. Si es el caso de su empresa, recomendemos optar por la autenticación de personas.

En caso de necesidad de autenticar a las personas que se conectan a la red, se recomienda la implementación del protocolo 802.1x (Contacte con una empresa especializada si no tiene los conocimientos necesarios).

Quién puede conectarse a su red Wi-Fi

Si es necesario autenticar a las personas que accedan a su red, se recomienda utilizar el PROTOCOLO 802.1X


Guía para un uso seguro en entornos WI-FI para pymesGuía para un uso seguro en entornos WI-FI para pymes

( 17

Este protocolo es complicado de implantar, pero es bastante seguro. Su funcionamiento se centra en certifi cados digitales (como por ejemplo los facilitados por la Fábrica Nacional de Moneda y Timbre FNMT o el recién implantado e-DNI). Estos certifi cados se instalan en los ordenadores de los usuarios, y cuando se quieren conectar a la red, los certifi cados se trans-miten de forma segura hacia la entidad u organismo que ha fi rmado los certifi cados y verifi ca que son válidos. A partir de ahí, los clientes pueden acceder a la red (puesto que ya se han autenticado) y de forma segura (los certifi cados ayudan a proporcionar un canal de comunicación seguro).

Confi guración opciones inalámbricas


18 )

• SSID: Es el nombre de la red. Todos los paquetes de información que se envían o reciben llevan esta información.

• WEP: Sistema de cifrado para redes Wi-Fi. No es seguro, ya que han aparecido vulnerabilidades que provocan que se pueda saltar fácilmente.

• WPA: Sistema posterior a WEP que mejora notablemente la encriptación de WEP, aunque la versión defi nitiva es WPA2.

• WPA2: Sistema de cifrado, evolución del WPA, con contraseña de 128 bits. Se considera seguro.

• IP: Una dirección formada por una serie de números que identifi ca a nuestro equipo de forma unívoca dentro de una red.

• MAC: Es un valor que los fabricantes asignan a cada componente de una red, y que los identifi ca de forma unívoca, es como el DNI del dispositivo. Tienen dirección MAC las tarjetas de red, los routers, los USB Wi-Fi. En defi nitiva, todos los dispositivos que puedan tener una IP.

• DHCP: Tecnología utilizada en redes que permite que los equipos que se conec-ten a una red (con DHCP activado) auto-confi guren los datos de dirección IP, máscara de subred, puerta de enlace y servidores DNS, de forma que no haya que introducir estos datos manualmente.

Conceptos básicos de una red inalámbrica

3. Conceptos básicos de una red inalámbrica

www.inteco.es

INTECO_02 Guía para proteger la red wi-fi de su empresa

Education

Transcript of INTECO_02 Guía para proteger la red wi-fi de su empresa