Un aspecto crítico a la hora de optar por una solución de red LAN inalámbrica, es sin lugar a dudas lo concerniente a la seguridad.
Actualmente, y hasta la aprobación de estándares de seguridad como el 802.11i, las opciones de equipamiento y las prácticas existentes en el mercado son muy variadas. A continuación se incluye una lista de los diez aspectos fundamentales a tener en cuenta, a la hora de evaluar e implementar una solución de red inalámbrica.
1. Utilizar la seguridad provista por el proveedor del equipamiento.
Teniendo en cuenta que los fabricantes de Routers/Bridges/Access Points inalámbricos poseen equipamiento con capacidades muy diferentes, debemos apegarnos a la recomendación del fabricante sobre las mejores opciones de seguridad para esos dispositivos.
2. No mantener encendido los Routers/Bridges/Access Points en momentos en que la red no se utiliza.
Algunos fabricantes de equipamiento de redes inalámbricas ofrecen una opción que permite cambiar la configuración de potencia de los equipos para que no transmitan su señal más allá de los tiempos en que es utilizada. Es claro que este punto dependerá del horario de operación de dicha red.
3. Utilizar control mediante filtrado de direcciones MAC.
Esto permite autorizar solamente a aquellas interfaces de red inalámbricas que realmente deban acceder a la red. Dado que el número MAC es único por placa de red, aquellos que no tengan su número habilitado en los Access Points no tendrá acceso. Es importante señalar que esta precaución es de fundamental para garantizar un primer nivel de seguridad pero debe ser complementada por otras medidas que detallaremos a continuación. Esto se debe a que existen hoy en día herramientas que le permiten al atacante simular una dirección MAC para obtener acceso a la red inalámbrica.
4. Utilizar WPA (Wi-Fi Protected Access) para asegurar la confidencialidad de la información y 802.1x/EAP (Extensible Authentication Protocol) para los servicios de autenticación
La primera generación de equipamiento para redes inalámbricas, utilizaba WEP (Wired Equivalent Privacy) para proveer servicios de encripción sobre dichas redes. Debido a la facilidad con que es posible quebrar la seguridad WEP y hasta que no se establezca el estándar 802.11i, la recomendación de los principales fabricantes apunta a la utilización de WPA y 802.1x para proporcionar encripción y autenticación. WPA garantiza el cambio continuo de las claves utilizadas a través del protocolo TKIP (Temporary Key Integrity Protocol), algo que en WEP es opcional y un trabajo manual muy tedioso. Por supuesto, que si el equipamiento existente no soporta WPA, se recomienda utilizar WEP con claves que sean complejas y cambien periódicamente. En lo que respecta a la autenticación, el estándar 802.1x es el más adoptado por los proveedores de equipamiento Wireless, y utiliza el protocolo EAP en conjunto con servicio del tipo RADIUS para autorizar los accesos a la red inalámbrica.
5. Cambiar el SSID (Service Set Identifier) y deshabilitar el broadcast de dicho identificador.
Los Routers/Bridges/Access Points inalámbricos utilizan un SSID por defecto que viene configurado por el fabricante. Este debe ser cambiado de forma urgente, ya que es algo conocido por el posible atacante. Adicionalmente en algunos equipamientos es posible evitar el braodcast del SSID a la red, lo cual debe ser implementado.
6. Cambiar la contraseña por defecto de la cuenta administrativa del Router/Bridge/Access Point inalámbrico.
Esto es mandatorio, ya que una vez que el atacante potencial detecta una red inalámbrica, la cuenta administrativa es la forma más fácil de ganar acceso a dicha red.
7. Mantener el Router/Bridge/Access Point inalámbrico con el Firmware al día. Todo nuevo Firmware puede resolver problemas de compatibilidad, debilidades de seguridad y proveer reparaciones importantes a estas vulnerabilidades. Debe revisarse periódicamente el sitio Web del fabricante en busca de estas actualizaciones.
8. Utilizar una VPN (Virtual Private Network) cuando se trabaja remotamente. Para los usuarios que trabajan en sus hogares, es necesario que revisen las mejores prácticas de la organización en cuanto a los accesos a la red corporativa desde dispositivos inalámbricos en el hogar. En la mayoría de los casos se requiere implementar software de VPN, que establezca una red privada virtual entre la estación de trabajo y la red corporativa.
9. Mantener el software de Antivirus al día.
Los Virus, Gusanos (Works) y Troyanos son una amenaza constante, tanto para redes tradicionales como también para redes inalámbricas. Debemos asegurarnos que nuestra red tenga las protecciones adecuadas. Existen actualmente en el mercado dispositivos de acceso (Access Points) que incluyen Antivirus en el mismo equipamiento.
10. Utilizar Firewall y sistemas de Detección de Intrusos (IDS).
Ya sea a nivel de software o a nivel de hardware, un firewall ayuda a proteger las estaciones de trabajo y la red en su totalidad ante ataques externos. Adicionalmente los sistemas de detección de intrusos permiten detectar intentos de hackeo dentro o fuera de la organización. Al igual que en el caso del Antivirus, existen actualmente en el mercado dispositivos de acceso (Access Points) que incluyen funciones de Firewallig y/o IDS en el mismo equipamiento.
Referencias: