Llegamos a ustedes gracias a:



Reportajes y análisis

5 maneras de proteger las redes Wi-Fi

[02/10/2017] El Wi-Fi es un punto de entrada que los hackers pueden usar para entrar en su red sin tener que poner un pie dentro de su edificio, debido a que la red inalámbrica está mucho más abierta a los intrusos que las redes cableadas, lo que significa que debe ser más diligente respecto la seguridad.

Sin embargo, en lo que la seguridad de Wi-Fi se refiere, hay mucho más que simplemente establecer una contraseña simple. Invertir tiempo en aprender y aplicar medidas de seguridad mejoradas puede ayudar mucho a proteger mejor su red. Aquí hay seis consejos para mejorar la seguridad de su red Wi-Fi.

Utilice un nombre de red discreto (SSID)

El identificador de conjunto de servicios (SSID) es una de las configuraciones de red Wi-Fi más básicas. Aunque no parece que el nombre de la red podría comprometer la seguridad, sí puede. El uso de un SSID demasiado común, como "inalámbrico" o el nombre predeterminado del proveedor, puede hacer que sea más fácil para alguien romper el modo personal de seguridad de WPA o WPA2. Esto se debe a que el algoritmo de cifrado incorpora el SSID, y los diccionarios de descifrado de contraseñas utilizados por los hackers están precargados con SSID comunes y predeterminados. El uso de uno de ellos facilita el trabajo del hacker.

(Como veremos más adelante, esta vulnerabilidad no se aplica a redes que usan el modo empresarial de seguridad de WPA o WPA2, uno de los muchos beneficios de usar el modo empresarial)

Nombre su red sabiamente -elija algo genérico, pero no tan común y sin revelar la ubicación.
Proteger redes we-fi

Aunque podría tener sentido ponerle un nombre fácilmente identificable al SSID, como el nombre de la empresa, la dirección o el número de la suite, esa podría no ser la mejor idea tampoco. Esto es especialmente cierto si la red se encuentra en un edificio compartido, o muy cerca de otros edificios o redes. Si los hackers conducen por una zona congestionada y ven aparecer una docena de diferentes redes Wi-Fi, es probable que apunten a la más fácil de identificar, lo que podría ayudarles a entender lo que ganarían si la hackearan. También podrían elegir uno que sea más fácil de encontrar en un área congestionada.

Es posible desactivar la difusión de SSID, haciendo invisible el nombre de su red, pero no sugiero eso. Forzar a los usuarios a introducir manualmente el SSID, y los efectos de rendimiento negativo de las peticiones de sondeo en el Wi-Fi, por lo general superan el beneficio de seguridad. Asimismo, alguien con las herramientas adecuadas todavía puede capturar el SSID olfateando otro tráfico de red.

Recuerde la seguridad física

La seguridad inalámbrica -o toda la seguridad de TI- no se trata de tecnologías y protocolos de lujo. Puede tener el mejor cifrado y ser vulnerable. La seguridad física es una de esas vulnerabilidades. Bloquear sus armarios de cableado no es suficiente.

Un ejemplo de botón de reinicio en un punto de acceso, cortesía de Cisco.
Proteger redes wi-fi

La mayor parte de los puntos de acceso (APs) tienen un botón de reinicio que alguien puede presionar para restaurar la configuración predeterminada de fábrica, removiendo la seguridad de Wi Fi y permitiendo que cualquiera se conecte. Por lo tanto, los APs distribuidos a través de su facilidad tienen que ser protegidos físicamente también para evitar manipulaciones. Asegúrese de que siempre estén fuera del alcance y considere usar cualquier mecanismo de bloqueo ofrecido por el proveedor de AP para limitar físicamente el acceso a los botones y puertos de AP.

Otra preocupación de seguridad física con el Wi Fi es cuando alguien añade un AP no autorizado a la red. Esto podría hacerse por razones legítimas por un empleado que quiera añadir más cobertura de Wi-Fi o para fines no tan bien intencionados, ya sea por un empleado o por un forastero que tenga acceso a la instalación. Para ayudar a evitar este tipo de APs no autorizados, asegúrese de que todos los puertos Ethernet no utilizados (como los puertos de pared o las cargas sueltas de Ethernet) estén deshabilitados. Podría quitar físicamente los puertos o cables, o deshabilitar la conectividad de esa salida o cable en el router o en el interruptor; o si realmente quiere reforzar la seguridad, habilite la autenticación 802.1X en el lado cableado, si es que su router o interruptor lo soporta, para que cualquier dispositivo que se conecte a los puertos Ethernet tenga que ingresar credenciales para obtener acceso a la red.

Use Enterprise WPA2 con autenticación 802.1X

Uno de los mecanismos de seguridad Wi-Fi más beneficioso que puede implementar es el modo empresarial de seguridad Wi-Fi, ya que autentica a cada usuario individualmente: todos pueden tener su propio nombre de usuario y contraseña de Wi-Fi. Así que, si una laptop o un dispositivo móvil se pierde o es robado, o un empleado deja la empresa, todo lo que tiene que hacer es cambiar o revocar los registros de ese usuario en particular.

Con la seguridad empresarial de Wi-Fi, los usuarios ingresan su propio nombre de usuario y contraseña cuando se conectan.
Proteger redes wi-fi

(En el modo personal, por el contrario, todos los usuarios comparten la misma contraseña Wi-FI. Así, cuando los dispositivos se pierden o los empleados se van, tendrá que cambiar la contraseña en cada dispositivo, lo que puede convertirse en una gran molestia)

Otra gran ventaja del modo empresarial es que a cada usuario se le asigna su propia clave de cifrado. Esto significa que los usuarios solo pueden descifrar el tráfico de datos de su propia conexión -sin entrometerse en el tráfico inalámbrico de otros.

Para poner sus APs en modo empresarial primero tendrá que configurar un servidor RADIUS. Esto habilita la autenticación del usuario que contiene o se conecta a la base de datos o el directorio (como Active Directory) que contiene todos los nombres de usuario y contraseñas.

Aunque puede implementar un servidor RADIUS independiente, primero debe comprobar si sus otros servidores (como Windows Server) ya proporcionan esta función. Si no es así, considere un servicio RADIUS basado en la nube o alojado en ella. También tenga en cuenta que algunos puntos de acceso o controladores inalámbricos proporcionan un servidor RADIUS básico incorporado, pero sus límites de rendimiento y su funcionalidad limitada los hacen útiles solamente para redes más pequeñas.

Un ejemplo de cómo configurar los APs con la IP, el puerto y el secreto del servidor de RADIUS.
Configurar redes wi-fi

Proteja la configuración 802.1X del cliente

Al igual que otras tecnologías de seguridad, el modo empresarial de la seguridad Wi-Fi todavía tiene algunas vulnerabilidades. Una de ellas son los ataques man-in-the-middle (MITM), con un hacker sentado en un aeropuerto o un café, o incluso en el estacionamiento de una oficina corporativa. Alguien podría configurar una falsa red de Wi-Fi con el mismo SSID o con uno similar de la red que están tratando de imitar. Cuando intente conectarse con su laptop o con cualquier otro dispositivo, un servidor RADIUS falso podría capturar sus credenciales de inicio de sesión/conexión y el ladrón podría utilizarlas para conectarse a la red Wi-Fi real.

Encontrará la función de verificación del servidor 802.1X en Windows al configurar los ajustes EAP de la conexión Wi-Fi.
proteger redes wi-fi

Una forma de evitar los ataques MITM con autenticación 802.1X es utilizar la verificación del servidor por parte del cliente. Cuando la verificación del servidor esté habilitada en el cliente inalámbrico, este no pasará sus credenciales de inicio de sesión del Wi-Fi al servidor RADIUS hasta que verifique si se está comunicando con un servidor legítimo. Las capacidades exactas de verificación del servidor y los requisitos que puede imponer a los clientes variarán dependiendo del dispositivo o sistema operativo del cliente.

En Windows, por ejemplo, puede introducir los nombres de dominio del servidor legítimo, seleccionar la autoridad de certificación que emitió el certificado del servidor, y luego optar por no permitir nuevos servidores o autoridades de certificación. De esta manera, si alguien ha configurado una red Wi-Fi y un servidor RADIUS falsos e intenta iniciar sesión en ellos, Windows no lo dejará conectarse.

Utilice la detección de APs no autorizados o la prevención de intrusiones inalámbricas

Ya hemos hablado de tres escenarios de punto de acceso vulnerables: uno donde un atacante podría configurar una red Wi-Fi y un servidor RADIUS falsos, otro donde alguien podría restablecer un AP a los valores predeterminados de fábrica, y un tercer escenario donde alguien podría conectar su propio AP.

Cada uno de estos APs no autorizados pueden pasar desapercibidos por el personal de TI durante un largo período de tiempo si no se implementa la protección adecuada. Por lo tanto, es una buena idea habilitar cualquier tipo de detección de no autorizados que ofrece su AP o su proveedor de control inalámbrico. El método de detección y la funcionalidad exactos varían, pero la mayoría, al menos periódicamente, escaneará las ondas y le enviará una alerta si se detecta un nuevo AP dentro del alcance/rango de los APs autorizados.

Un ejemplo de detección simple de APs no autorizados, cortesía de Cisco, donde verá una lista de otros APs en el área.
proteger redes wi-fi

Para obtener aún más capacidades de detección, algunos vendedores de AP ofrecen un sistema completo de detección de intrusiones inalámbricas (WIDS) o un sistema de protección contra intrusos (WIPS) que pueden detectar una serie de ataques inalámbricos y actividades sospechosas junto con puntos de acceso no autorizados. Éstas incluyen peticiones erróneas de desautenticación, solicitudes de asociación errónea y falsificación de direcciones MAC.

Además, si se trata de un verdadero WIPS que ofrece protección en lugar de un WIDS que ofrece solo la detección, debe ser capaz de tomar contramedidas automáticas, tales como disociar o bloquear a un cliente inalámbrico sospechoso para proteger la red bajo ataque.

Si su proveedor de AP no proporciona la detección incorporada de APs no autorizados o capacidades de WIPS, evalúe otra solución. Podría considerar las soluciones basadas en sensores que pueden monitorear tanto el rendimiento de Wi-Fi como los problemas de seguridad, de empresas como 7SIGNAL, Cape Networks, y NetBeez.