Vous êtes sur la page 1sur 5

Eliseo Ortiz Valdez

Ing. Telecomunicaciones
Sistemas de Transmisión Inalámbricos

Recomendaciones para para una arquitectura WLAN 802.11

1. Introducción
La National Security Agency ha sacado recientemente unos manuales de seguridad, los
cuales comprende desde sistemas operativos, servidores de bases de datos, dispositivos
de interconectividad (routers, switches, etc.), VoIP, y redes inalámbricas. En este caso
examinaremos de manera general que recomienda la NSA para protección de nuestra
red inalámbrica.

Las redes inalámbricas de una red local (WLAN) están basadas en el estándar IEEE
802.11, este estándar se encuentra comúnmente en la mayoría de las computadoras
personales y hardware add-on como adaptadores USB y PCMCIA. Lo que nos permite
esta tecnología es movilidad, flexibilidad, además de una fácil instalación.

Antes de integrar una solución inalámbrica a una red el propietario de la red debe de
definir Políticas de Seguridad de Sistema para poder manejar las redes inalámbricas y
decisiones de seguridad. Los componentes aprobados de seguridad incluyen la
certificación FIPS 140-2 en cuanto a mecanismos de encriptación, la NIAP certifica
firewalls y todo el equipo incluyendo dispositivos AP de los clientes, IDS, anti-spyware,
firewalls personales de los clientes.

2. Recomendaciones de configuración

• Cambiar el default SSID. Este es el nombre que identifica la WLAN, el


SSID no deberá de contener información sobre la organización.
• Cloak SSID. Los paquetes SSID contienen elementos de información como
los rangos soportaos, el nombre SSID, parámetro de tráfico. El elemento de
la información SSID debe de estar presente, sin embargo el SSID puede ser
omitido.
• No permitir broadcast SSID. Se debe de configurar un SSID nulo, esto
fuerza al usuario requerir el SSID antes de poderse conectar
• Habilitar el filtrado por dirección MAC. Es necesario que un cliente registre
su dirección MAC, antes de poderse conectar.
• Deshabilitar la autentificación de Sistema-Abierto y Llave compartida.
• Deshabilitar el modo WEP. La red es vulnerable debido a varios ataques
públicos conocidos al algoritmo RC4
3. La arquitectura de conmutación
La fundación de la IAD recomienda la siguiente arquitectura como se muestra en la
figura:

Fig 1. Arquitectura de conmutación entre el switch y los AP`s de la organizaciòn

Con una administración centralizada el Administrador de Sistemas puede mirar el


estado completo de la red, cambiar cualquier configuración, modificar políticas de
seguridad, todo esto a través de un enlace encriptado y en una simple Terminal.

4. Autentificación y Encriptación
La arquitectura de red conmutada ilustrada en la fig. 2 usa dos túneles para proveer en
adecuado nivel de seguridad para proteger el Gobierno de los EUA, en el uso de datos
clasificados. El primer existe en la capa 2, el cual termina en cualquiera de entre el
cliente y el AP o entre el cliente y el switch.

Algunos manufactureros de AP proveen a este la capacidad de ejecutar a encriptación.


En esta capa el equipo del cliente se autentifica en la red. El protocolo recomendado
para este túnel es WPA2. Es necesario tener en cuenta que muchas veces para poder
realizar este tipo de encriptación es necesario migrar el firmware del AP de WEP a
WPA2, en otros casos este ya viene incluido.

Las credenciales recomendadas pasan certificados de 2048 bits X.509 del servidor
RADIUS en el intercambio de autentificación 802.1x/EAP-TLS.
Fig. 2. Métodos recomendados para la autentificación de una WLAN

El túnel número dos existe en la capa 3 , entre el cliente y el concentrador. El usuario se


autentifica en cualquiera de las variaciones de protocolos de seguridad que el vendedor
soporta (IPSec) que use autentificación de usuario ( xauth), o bien con L2TP/IPSec, el
cual es un estandar de la IETF.

5. Protecciòn Física de los Puntos de Acceso (AP)

• Si la encriptación ocurre entre el cliente y el AP, el AP debe de estar


físicamente protegido, debido a que la interfaz cableada del AP provee un
enlace abierto a la red.
• Si la capa 3 de encriptación entre el cliente a el concentrador , si el nivel de
encriptación de la capa 2 ocurre entre el cliente y el AP, es mejor físicamente
protegido para prevenir ataques dos en la capa 2 desde la interfaz del AP
• Si la encriptación de la capa 2 ocurre entre el cliente y el módulo de
encriptación en el swith de la capa 3 el AP no necesita estar protegido.
6. Detector de Intrusos de Redes Inalámbricas
El uso de un Detector de intrusos inalámbrico (WIDS), es necesario para cualquier red,
incluso aquellas que no permiten el acceso inalámbrico. En enero del 2005 la NSA
publicó “Guidelines for the Development and Evaluation of IEEE 802.11 Intrusion
Detection Systems (IDS)”. Este paper básicamente describe el WIDS ideal para el uso
oficial las redes de gobierno sin clasificar, “For Oficial Use Only” (FOUO).
Como el mínimo de características selectivas que debe de tener un sistema de IDS
inalámbrico son:
• Operar en modo receptor solamente
• Detectar hardware que no esta autorizado, como APs, conectadas a la red
• Correlacionar paquetes capturados para sensar el origen
• Ejecutar direcciones de búsqueda para localizar hardware sin autorización
• Detectar “spoffing” de dirección MAC
• Detectar el estado de conexión de todos los clientes
• Detectar comunicaciones ad-hoc entre los clientes
• Detecatar disociación y de autentificación de ataques de denegación de
servicio
• Detectar clientes sin autorizar tratándose de conectar a las redes.
• Tener una configuración segura remota de los sensores a través de la red
• Monitorear el estado del WIDS y proveer alarma si un sensor falla
• Tener un enlace seguro para pasar información entre componentes del
sistema.

Glosario:
NSA. Agencia de Seguridad Nacional (Nacional Security Agency )
CNSS. Comité de los Sistemas de Seguridad Nacional de los EUA (Comité on Nacional
Security Systems)
NIST. Instituto Nacional de Estándares y Tecnología (Nacional Institute of Standard
ant Techology)
FIPS. Información Federal de Procesamiento de Estándars (Federal Information of
Procesing Standard)
AES-CCMP. Estándar avanzado de encriptación de modo cuenta, del protocolo MAC
(Advanced Encryption Standard-Counter-Mode/CBC-MAC Protocol)
WPA2. Protecciòn de direcciòn WiFi tipo 2 (WiFi Protected Address 2)
AP. Puntos de Acceso (Access Point)
IPSec. Protocolo de Internet de Seguridad (Internet Protocol Security)
IETF. Grupo de trabajo de Ingenieros del Internet (Internet Engineering Task Force)
Radius. Protocolo de Autentificación para aplicaciones de acceso a la red o movilidad
IP (Remote Access Dial-In User Server)

Vous aimerez peut-être aussi