SEGURIDAD AL DESCUBIERTO

Transcripción

PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA INCORPORAR
REDES LAN INALÁMBRICAS A INTRANETS
NOViEMBRE 2002
WatchGuard Technologies
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
EE. UU.
www.watchguard.com
SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA
INCORPORAR REDES LAN INALÁMBRICAS A INTRANETS
PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA INCOPORAR
REDES LAN INALÁMBRICAS A INTRANETS
SUMARIO
Abordamos en este documento el problema específico de proteger su intranet cuando se agregan
redes LAN inalámbricas (WLAN). Identificamos los problemas singulares que debe tener en cuenta su
organización cuando se integran estas redes inalámbricas en las hasta el momento consideradas
“redes seguras”, es decir las redes que su organización ya tiene protegidas con cortafuegos (firewalls)
y otros productos de seguridad. Mostramos no obstante que, por muy singulares que los problemas de
redes LAN inalámbricas puedan parecer, muchos se pueden encarar mediante procedimientos de
seguridad convencionales y tecnologías de seguridad que usted ya ha instalado y configurado. Para
cada problema, explicamos cómo pueden mitigarse o reducirse en gran medida los riesgos que
entrañan las redes LAN inalámbricas, y mostramos cómo esta tarea constituye una aplicación práctica
más de los principios de seguridad por capas. En un apartado final, explicamos cómo configurar los
productos WatchGuard para obtener la máxima ayuda en la protección de las redes inalámbricas. En
el Apéndice figura una lista de comprobación que los administradores pueden seguir en orden a
implantar una exhaustiva protección de un segmento de una red inalámbrica. El Glosario final define
algunos de los términos técnicos usados en este documento.
LAS REDES LAN INALÁMBRICAS SON UN ARMA DE DOBLE FILO
Las WLAN ofrecen una ayuda bien acogida a las grandes organizaciones cuyos empleados necesitan
mayor flexibilidad y movilidad. La facilidad de instalación de una WLAN libera a las compañías del
gasto y complejidad que conlleva mantener infraestructuras cableadas en edificios en los que la
configuración de las oficinas cambia con frecuencia. Las redes LAN inalámbricas proporcionan a los
empleados el lujo de mantener conexiones permanentes con la intranet en cualquier ubicación dentro
de un complejo corporativo. Tal libertad de movimiento crea oportunidades previamente inalcanzables
de colaboración “en red”, y de grupos de trabajo dinámicos entre los empleados. Esta modalidad de
trabajo en red con “conexión continua” se está extendiendo rápidamente más allá de las fronteras de
las organizaciones. La existencia de cientos de hotspots en aeropuertos, hoteles, cafeterías, y centros
de congresos, combinada con la disponibilidad de equipos domésticos económicos para WLAN,
permite a los empleados estar literalmente conectados todo el tiempo y en cualquier sitio.
Esta libertad extraordinaria tiene un precio. Como su nombre indica, las redes LAN inalámbricas usan
frecuencias de radio en vez de cables. Sin medidas de protección apropiadas, cualquier portátil con
una tarjeta WLAN y una antena puede sintonizar la frecuencia utilizada por el entorno WLAN de su
organización y conectar con su intranet desde otra planta de su edificio o incluso desde un edificio
adyacente. Hackers motorizados pueden, desde un parking, localizar su red WLAN fácilmente y
conectarse a su intranet a través de una red inalámbrica sin protección. ¿Cuáles son las motivaciones
de esos y otros intrusos de redes inalámbricas? Algunos quieren conectar con su WLAN de alta
velocidad para darse un paseo gratuito por Internet. Otros tienen propósitos más maliciosos y
buscarán robar contraseñas, enmascararse como usuarios autorizados, obtener datos sensibles, o
echar abajo su negocio mediante ataques de denegación de servicio (DoS) directamente a su intranet.
El resto de este documento aborda métodos que le permitirán proporcionar a sus empleados el
beneficio de las redes inalámbricas desbaratando al mismo tiempo los intentos de esos usuarios
malintencionados para abusar de su red.
2/14
PROBLEMA NUEVO, SOLUCION ANTIGUA: DEFENSA EN PROFUNDIDAD
Cuando usted considere métodos para eliminar o reducir los riesgos de incorporar redes inalámbricas
a su red segura, debería comenzar por examinar las muchas medidas que su organización ya tiene
instaladas para proteger las redes cableadas. A continuación, deberá estudiar cómo se pueden aplicar
a las redes inalámbricas. Bien sea con o sin cable, su objetivo es un alto nivel de seguridad para
clientes móviles de intranet, al mismo tiempo que proteger los componentes fundamentales de su
intranet conectados a la red cableada; específicamente, sus servidores de intranet y de gestión así
como los ordenadores de sobremesa conectados a la red.
UTILICE TODAS LAS MEDIDAS DE SEGURIDAD QUE PUEDA REUNIR...
Ya que las redes LAN inalámbricas establecen una nueva entrada a su intranet, debería llevar a cabo
un concienzudo análisis de riesgos antes de permitir el acceso inalámbrico a sus redes seguras.
Recomendamos que realice las siguientes acciones:
1. Inventario de bienes. Estime el valor de la propiedad electrónica e intelectual, e identifique las
amenazas contra bienes y propiedad intelectual.
2. Determine si la red inalámbrica exige cambios en sus procedimientos ya existentes.
3. Incorpore todas las nuevas consideraciones para proteger su intranet a sus procedimientos de
seguridad y de uso correcto. Asegúrese de comunicar la normativa revisada a todos los usuarios,
explíqueles sus roles, y enfatice la responsabilidad que tienen.
4. Identifique la tecnología de seguridad que necesita para implantar su estrategia de seguridad.
Proteger sus bienes expuestos en la red exige múltiples capas de seguridad. Con frecuencia
encontrará apropiado utilizar varias respuestas o protecciones para minimizar o eliminar cada
amenaza que identifique, particularmente con redes inalámbricas. Las capas múltiples de seguridad le
permiten aplicar adecuadamente la estrategia de seguridad de su empresa y, en un mundo en el que,
con frecuencia, prevalece la ley de Murphy, proporcionan una seguridad de retaguardia inmediata y
permanente en caso de que falle tan sólo una de las capas. Este enfoque multicapa, conocido también
como “Defensa en Profundidad”, combina técnicas interactivas porque, aún cuando ninguna medida
preventiva sea 100 por cien efectiva, en la práctica la correcta combinación de capas de seguridad
puede aproximarse al cien por cien de efectividad.
La noción de utilización de capas como modelo para evaluar e implantar tecnologías de redes no es
nueva. La Organización Internacional de Estándares (ISO) publicó un modelo popular para ayudar a
comprender la estructura de una red informática, conocido como el “Open System Interconnect (OSI)
Protocol Stack” de siete capas. También Internet posee una arquitectura de capas:
Aplicación
Transporte (TCP/UDP)
Internet (IP)
Enlace de Datos (p. e., 802 x MAC)
Enlace Físico
Capa 5
Capa 4
Capa 3
Capa 2
Capa 1
Los administradores de Tecnologías de la Información, que están familiarizados con este concepto,
observarán que estas recomendaciones propugnan una seguridad para su red de abajo hacia arriba –
en otras palabras, aseguran en primer lugar el soporte físico de la red (capa 1), a continuación
atienden a los temas relacionados con el enlace de los datos (capa 2), como por ejemplo
direccionamiento MAC, y así sucesivamente hacia los niveles superiores. Este es un modelo tan
bueno como cualquier otro para asegurarse de que no pasa por alto ningún aspecto de la seguridad
de su red, y para establecer un sólido fundamento para cada una de las sucesivas capas de
seguridad.
3/14
“Capa” puede tomarse también, en un sentido menos técnico, para referirse simplemente anillos
concéntricos de defensa alrededor de los componentes fundamentales conectados a su red. En uno u
otro sentido, las capas contribuyen positivamente a la seguridad.
Las capas de seguridad estudiadas en este documento incluyen:
Seguridad Física. Estudio minucioso de los locales dónde instalará su red inalámbrica.
Diseño de la Infraestructura. La aplicación de su estrategia de seguridad comienza por la elección que
haga de dispositivos de red que seleccione y por cómo los configure.
Administración de la Infraestructura. Controlar el acceso y el tráfico en la intranet para descubrir
intrusiones o comportamientos inusuales añade otra capa de seguridad.
Medidas de perímetro por capas. La aplicación de su estrategia de seguridad continúa asegurándose
de que el tráfico en la red se adecue a las mejores prácticas. Los cortafuegos internos pueden tener
papel importante en este aspecto.
Protección de clientes de la red LAN. Añade otra capa la protección contra código malicioso (Gusanos
de Internet, programas Troyanos, puertas traseras) y contra ataques de aplicación ( ejecución de
scripts y bloqueo de servidores Web por ejemplo).
A lo largo de todas esas capas (excepto quizás la seguridad física), la encriptación actúa como una
medida de seguridad que refuerza a las otras. Bien sea protegiendo la comunicación de datos
sensibles entre usuarios de WLAN y servidores de la intranet, bien sea simplemente protegiendo una
base de datos de contraseñas, la encriptación impregna la mayor parte de los aspectos de la
seguridad de redes WLAN.
Examinemos individualmente estas capas, con recomendaciones de prácticas que refuerzan cada
una.
MEDIDAS DE SEGURIDAD FÍSICA
Efectúe un reconocimiento del entorno físico para determinar el emplazamiento más apropiado de
antenas exteriores e interiores, y de Puntos de Acceso de redes inalámbricas. Una vez que se hayan
colocado las antenas y los Puntos de Acceso, y antes de conectar la red inalámbrica, evalúe el
alcance de su transmisión de radio y su cobertura. Direccione la antena y ajuste la potencia del
transmisor para restringir la emisión al área o a las áreas específicas para las cuales quiere ofrecer
servicio WLAN (una planta del edificio, el edificio entero, complejo, etc.) Un emplazamiento y
direccionamiento de la antena bien planeados puedes ayudar a reducir el riesgo de exposición de su
emisión. Pero atención: la cobertura adecuada para su edificio bien puede necesitar una transmisión
de radio que, al menos, sobrepase en cierta medida los muros del mismo. Por otra parte, hackers
provistos de antenas extremadamente potentes pueden acceder a señales que no son recibidas por
tarjetas WLAN normales para laptops o para ordenadores de sobremesa. Por tanto, limitar la
cobertura reduce su riesgo – pero esta medida no elimina el riesgo por sí sola.
Realice una auditoría centrada en la seguridad de la WLAN. Existen muchos productos shareware y
comerciales para detección y análisis del tráfico, que pueden utilizarse para detectar toda la actividad
de la WLAN dentro del área a la que pretende dar cobertura. Identifique y haga un inventario de
Puntos de Acceso WLAN e interfaces de red autorizados, no autorizados (“rogue”), y vecinos. La
instalación no autorizada de Puntos de Acceso es particularmente problemática. Los empleados que
instalan un Punto de Acceso WLAN pueden, al igual que tantas características convenientes, anular
involuntariamente medidas de seguridad existentes esenciales como, por ejemplo, cortafuegos y
sistemas de detección de intrusos, mediante la apertura de puertas traseras a intranets,
proporcionando a los atacantes acceso directo a servidores con misiones críticas. Defina una
estrategia para incorporar de manera segura a su topología aprobada, cualquier Punto de Acceso no
4/14
autorizado descubierto – o para anularlo. Determine cómo coexistirá su WLAN con dispositivos
inalámbricos vecinos (o visitantes) que están fuera de su control físico.
MEDIDAS DE INFRAESTRUCTURA DE SEGURIDAD PARA REDES LAN INALÁMBRICAS
La seguridad de muchos dispositivos utilizados en su red puede ser reforzada simplemente prestando
una atención estricta a las opciones de configuración de los mismos. Cuando todos los dispositivos
están ajustados debidamente, la seguridad general de la red aumenta notablemente. He aquí unos
ejemplos.
HUBS Y REDES LAN INALÁMBRICAS
Nuestra recomendación es que se conecten los Puntos de Acceso a routers Ethernet cableados, en
vez de a hubs, para minimizar el tráfico de mensajes broadcast que pudiera ser enviado por los
sistemas LAN cableados a los clientes WLAN. El tráfico de mensajes broadcast proporciona una
valiosa información a cualquiera que espíe su red.
DIRECCIONAMIENTO MAC
A medida que iba evolucionando la conmutación Ethernet en el ámbito empresarial, los
administradores de red usaron ciertas funciones para controlar la conexión a una red LAN cableada, y
prevenir su uso no autorizado o la monitorización pasiva de la misma. Por ejemplo, la mayoría de los
conmutadores Ethernet de empresa pueden ser configurados para asociar una dirección MAC con un
puerto del conmutador Ethernet, y el administrador puede desactivar puertos individuales. Póngase
como objetivo desplegar funciones similares cuando adquiera Puntos de Acceso inalámbricos.
Seleccione aquellos Puntos de Acceso que puedan inventariar direcciones MAC de red LAN
inalámbrica o realice el inventario mediante administración remota (Out of Band).
Utilice Puntos de Acceso que puedan comprobar las direcciones MAC mediante una consulta a una
Lista de Control de Acceso (ACL) local o mediante una consulta a un servidor RADIUS (que se deberá
configurar con el inventario).
Estas medidas pueden ayudarle a denegar el acceso a NICs perdidos o robados, y a bloquear el
acceso desde direcciones MAC desconocidas. Aún cuando las direcciones MAC pueden ser
falsificadas, deben instalarse estos filtros por direcciones MAC para reducir el peligro de acceso no
intencionado a su WLAN.
SSIDS
Identifique su red LAN inalámbrica con un único SSID (Service Set Identifiers), que es el único nombre
de red asignado para identificar una WLAN. Los clientes WLAN asocian el SSID que se les asigna con
el Punto de Acceso. Nunca use valores por defecto de fábrica o SSID en blanco, y no permita a los
clientes que simplemente escuchen a “cualquier” SSID. Utilice SSIDs largos, difíciles de adivinar. Esta
medida no impide que su SSID pueda ser capturado por intrusos a la WLAN, pero minimizará el
número de clientes WLAN errantes (roaming) o adyacentes que pueden accidentalmente asociarse a
su Punto de Acceso.
WEP
No es fácil controlar la conexión física de un receptor a un canal de radio cuando éste se encuentra
dentro del alcance de un transmisor. Atendiendo a este problema, los productos para red LAN
inalámbrica intentan prevenir el acceso no autorizado y la monitorización pasiva mediante la utilización
del protocolo IEEE 802.11, o WEP (Wired Equivalent Privacy). Expertos en seguridad han desvelado
serias vulnerabilidades en WEP que ponen en tela de juicio su uso como medio exclusivo para
mantener la privacidad de los mensajes. Sin embargo, en el contexto general de una estrategia de
seguridad por capas, WEP puede y debe usarse como un control adicional de acceso y como
complemento de una solución VPN (Virtual Private Networking) de más alto nivel.
5/14
Utilice WEP con ciertas reservas. Utilice el mecanismo de Shared Key Authentication (Autenticación
por claves Compartida), pero evite el uso de claves débiles y configuradas permanentemente. Emplee
productos que automaticen la derivación de claves, proporcionen distribución de claves WEP, o
soporten generación dinámica de las mismas. Estas características están disponibles en productos
que soportan Wi-Fi Protected Access (WEP), un conjunto de puntos de referencia definidos y
certificados por la Wi-Fi Alliance. Si pretende utilizar Microsoft Windows XP, saque partido del soporte
que dicho sistema ofrece para IEEE’s 802.1x , lo que le permitirá utilizar autenticación y distribución de
claves basada en puertos, así como el protocolo EAP (Extensible Authentication Protocol). Mediante la
combinación de Windows XP con Puntos de Acceso y servidores de autenticación comúnmente
utilizados (RADIUS, Kerberos) que soportan EAP para WLANs IEEE 802.11, podrá autenticar clientes
y bloquear accesos no autorizados a la red LAN cableada que se encuentra más allá de los Puntos de
Acceso. Añadiendo una infraestructura de Clave Pública (PKI – Public Key Infrastructure) podremos
autenticar clientes WLAN con certificados digitales, y distribuir o actualizar de manera segura claves
de sesión a clientes autenticados.
DIRECCIONAMIENTO IP
Tome medidas para evitar que clientes no autorizados puedan adquirir direcciones asignadas
dinámicamente (DCHP) desde los Puntos de Acceso. No es suficiente con evitar que los intrusos
obtengan acceso a la red cableada: también queremos impedir que un intruso que adquiera una
dirección de la subred inalámbrica pueda atacar a otros clientes WLAN. Utilce Puntos de Acceso que
se puedan configurar para asignar direcciones IP a una lista de direcciones MAC autorizadas.
Separare el espacio de direcciones asignado a los clientes WLAN de aquéllos asignados a redes
seguras, incluyendo Direcciones IP Virtuales (VIPs) utilizadas por clientes VPN. Mantenga separado
el tráfico de clientes inalámbricos a su paso por sus redes seguras, utilizando encapsulamiento IEEE
802.1Q VLAN.
RED PRIVADA VIRTUAL (VPN) DE NIVEL DE APLICACIÓN E IPSEC
Hemos mencionado que la mejor utilización de WEP es como control de acceso y que no se debe
confiar exclusivamente en él para mantener la privacidad de mensajes. IPSec y protocolos de
seguridad de flujo de aplicación, como SSL y SSH, son más aptos para proteger las comunicaciones
entre los clientes WLAN y gateways VPN seguros, servidores Web que incorporen SSL, o servidores
proxy seguros. Estos protocolos utilizan métodos probados de encriptación para ofrecer una
autenticación más robusta (incluyendo certificados digitales), privacidad de mensajes, e integridad de
mensajes, sobre segmentos inalámbricos y cableados de la intranet e Internet en general.
ADMINISTRACIÓN DE INFRAESTRUCTURA
El objetivo aquí es aumentar su capacidad de observar lo que está pasando en la red sin aumentar por
ello las posibilidades de que un intruso acceda a ella siguiendo sus huellas.
MONITORIZACIÓN Y ANÁLISIS DEL TRÁFICO
Complemente la seguridad por capas registrando y analizando la actividad en las capas en las que
aplica seguridad. Registre SSIDs, canales de radio, y direcciones MAC utilizadas en el área en la que
desplegará su WLAN.
Escanee regularmente canales broadcast en busca de Puntos de Acceso no autorizados (“rogue”) y
nuevas direcciones MAC. Utilice herramientas de análisis de red inalámbrica para espiar el tráfico
inalámbrico en busca de indicios de intentos de acceso no autorizados o interferencias con redes
inalámbricas adyacentes. SSIDs inválidas, direcciones MAC e IP que no resultan familiares, peticiones
DCHP rechazadas, o mensajes “ICMP port unreachable” a su DNS pueden indicar actividad intrusa.
SEGURIDAD DE PUNTO DE ACCESO
6/14
Los puntos de Acceso no están necesariamente protegidos por el perímetro de seguridad establecido
por su cortafuegos. Muchos Puntos de Acceso tienen capacidad de gestión basada en Web y pueden
ser gestionados remotamente utilizando protocolos inherentemente inseguros, como Telnet y SNMP.
Desactive los servicios que no se usan y son vulnerables, configure contraseñas seguras, y utilice
canales seguros de gestión en todos los Puntos de Acceso para prevenir su uso erróneo o
configuración incorrecta.
MEDIDAS DE SEGURIDAD DEL PERÍMETRO
El concepto de red inalámbrica expande la definición de “perímetro” de su red, -- especialmente
cuando un intruso podría utilizar una WLAN incorrectamente configurada para acceder al corazón de
su red, esquivando las medidas tradicionales del cortafuegos.
Muchas organizaciones separan completamente los clientes WLAN de las redes seguras, tratando a
los usuarios WLAN exactamente igual que a un usuario con acceso remoto. Otras organizaciones
crean controles especiales de acceso que permiten a los usuarios WLAN acceso filtrado o a través de
proxy a la red segura. En aquellas circunstancias en las que los clientes WLAN deben ser autorizados
a acceder directamente a la red segura, debería todavía tratar de conseguir tanta separación como
sea posible entre clientes WLAN y los servidores de la intranet. Un solución probada para los tres
casos es el cortafuegos interdepartamental.
APLICACION DE LAS CAPAS DE PERÍMETRO
Los cortafuegos interdepartamentales aplican una estrategia de seguridad entre departamentos,
unidades de negocio o, en organizaciones muy grandes, entre la organización central y sus filiales,
empresas segregadas y empresas asociadas. Utilizados de esta manera, los cortafuegos separan
grupos de usuarios y servidores que, de otra manera, serían accesibles del todo el resto de la
organización. Los cortafuegos interdepartamentales se utilizan también para reducir la amenaza
interna, acercando el control de acceso a los servidores de la intranet. Un cortafuegos
interdepartamental puede ser una herramienta de seguridad igualmente eficaz para aumentar la
seguridad entre redes inalámbricas e intranets. Situar un cortafuegos entre las redes inalámbricas y la
intranet ofrece ventajas de seguridad respecto a la conexión, más simple y vulnerable, de Puntos de
Acceso directamente a los conmutadores de la intranet:
•
•
•
•
Autenticación de Usuario: Exige que los usuarios de la red inalámbrica presenten sus
credenciales de acceso (login) para poder conectar con la red segura (intranet).
Control de Acceso al Perímetro: Los controles de acceso del cortafuegos pueden usarse
para proteger la intranet de falsas direcciones IP, DoS, y otros hipotéticos ataques lanzados
desde las redes inalámbricas.
Conexiones Seguras (Encriptación): Mediante túneles VPN se puede proporcionar una
autenticación más fiable (incluyendo certificados digitales), y privacidad e integridad de
mensajes desde clientes WLAN a un gateway VPN seguro o a un cortafuegos con
capacidad VPN.
Registro y Monitorización: Los cortafuegos pueden proporcionar un punto de auditoría
entre usuarios WLAN y servidores de intranet.
¡Ubicación, Ubicación, Ubicación!
La ubicación es importante a la hora de utilizar cortafuegos entre segmentos cableados y segmentos
inalámbricos de su intranet. Una ubicación bien planeada le ayudará a potenciar la mayoría de las
medidas de seguridad que ya tiene instaladas para proteger su intranet. Por ejemplo cuando se
permite a los clientes WLAN el acceso directo a las intranets, éstos pueden esquivar las medidas de
protección anti-virus, de detección de intrusos, y otros servicios de seguridad. Pero si obliga a los
clientes WLAN a acceder a través de cortafuegos/gatewasy VPN, gateways A/V, y servidores IDS:
7/14
•
•
•
•
•
•
Cada cliente WLAN que acceda a la intranet habrá sido autorizado previamente.
El tráfico entre la red inalámbrica y la intranet estará filtrado.
La comunicación sobre la red LAN inalámbrica estará encriptada.
El tráfico que entre en la intranet se analizará para detectar posibles virus, gusanos, y
cualquier otra forma de código malicioso.
El tráfico que entre en la intranet desde el cortafuegos interdepartamental puede ser
examinado en busca de firmas de intrusión y ataques a nivel de aplicación ya conocidos.
Su cortafuegos mantiene un registro detallado del tráfico entre la red inalámbrica y la
intranet, lo que permite el análisis forense y de tráfico.
EXTENSIÓN DE LA PROTECCIÓN A LOS CLIENTES DE LA RED INALÁMBRICA
Hemos recomendado que sitúe los clientes WLAN fuera de un cortafuegos interdepartamental. Pero
los clientes WLAN tienen tanta necesidad de protección de cortafuegos como los clientes cableados a
la intranet. De hecho, debido a que los clientes WLAN son comúnmente laptops, es igualmente
probable que sus usuarios se conecten a la WLAN desde sus casas o que lo hagan desde cualquiera
de los hotspot que proliferan en aeropuertos, cybercafés, y hoteles, tal como hacían antes mediante
módem. Para proteger su intranet de laptops que podrían estar infectados con virus, gusanos o
puertas traseras, es esencial que todos los clientes WLAN estén protegidos con anti-virus y
cortafuegos personales. Es más, cuando los clientes WLAN utilicen redes inalámbricas públicas o
domésticas es importante que no dejen escapar información intercambiada a través de la red, y que no
expongan sus laptops a ataques directos mientras se encuentran en su domicilio o en la carretera.
Instruya a sus usuarios WLAN en los peligros inherentes a los dispositivos portátiles. Enséñeles cómo
evitar tener ficheros compartidos, e instrúyales sobre la importancia de encriptar ficheros de los discos
duros de sus laptops que contengan información sensible.
MAXIMICE SU INVERSIÓN EN TECNOLOGÍAS WATCHGUARD
Aunque la lista de cuestiones relacionadas con la problemática de la seguridad de las redes LAN
inalámbricas parezca desalentadora, una planificación cuidadosa, una inversión inteligente en Puntos
de Acceso WLAN de categoría empresarial, y una adecuada instalación pueden proporcionarle una
sólida capa inicial de defensa. Los siguientes pasos, notas, y consejos de configuración le muestran
cómo puede reforzar y profundizar esa defensa utilizando productos WatchGuard correctamente
configurados. WatchGuard Technologies proporciona estas medidas adicionales, complementarias y
esenciales para contrarrestar amenazas relativas a Internet e intranet:
Cortafuegos de Autenticación y Aplicación de la Estrategia de Seguridad en el Firebox
proporcionan cinco alternativas para una autenticación de usuario más severa (incluyendo servicios
RADIUS, CRYPTOcard, y SecurID), y la posibilidad de implementar reglas robustas y flexibles para
gestionar el flujo de tráfico a y desde sus segmentos WLAN. Stateful Packet Inspection (SPI -Inspección de Paquetes de Datos) y Application Security Proxies (APS – Seguridad a nivel de
Aplicación) protegen su intranet de ataques lanzados desde redes LAN inalámbricas, incluyendo:
• Enmascaramiento de direcciones IP
• Sondeo de direcciones IP y de puertos
• Ataques de Denegación de Servicio (DoS)
• Tráfico malicioso o no deseado y SPAM
Para aprovechar las ventajas de este control minucioso configure el interfaz entre la red Inalámbrica
WLAN y su red cableada de la siguiente manera:
• Coloque sus Puntos de Acceso fuera (en el interface Externo) de una unidad FIREBOX
SOHO o FIREBOX.
8/14
•
•
•
•
•
Si lo desea, añada listas de control de acceso (ACLs) a su FIREBOX o FIREBOX SOHO
para exigir autenticación de usuario a los clientes MUVPN.
Añada políticas de acceso a su FIREBOX SOHO o FIREBOX para restringir los servidores
intranet a los que pueden acceder sus WLAN (e incluso clientes en su WLAN).
Añada políticas de acceso a su FIREBOX SOHO o FIREBOX para permitir el acceso de
clientes WLAN a otros puntos de la red VPN de su sucursal sólo en donde lo estime
conveniente.
Añada políticas de acceso a su FIREBOX SOHO o FIREBOX para permitir el acceso a
Internet de clientes WLAN sólo en donde lo estime conveniente.
Si en algunos clientes WLAN no utilizan MUVPN, añada listas de control de acceso a su
FIREBOX SOHO o FIREBOX para exigir autenticación de usuario de esos clientes.
Conexiones Seguras (Encriptadas) entre clientes WLAN y su FIREBOX SOHO o FIREBOX
mediante “Mobile User VPN (MUVPN)” de WatchGuard, para proporcionar autenticación más fiable
(incluyendo certificados digitales emitidos por el “Certificate Authority” de WatchGuard incluido en el
producto), y privacidad e integridad de mensajes a los clientes WLAN. Específicamente:
•
•
•
•
Configure la estrategia de cliente MUVPN WLAN respecto a las direcciones IP virtuales
(VIPs) a partir de una única IP de subred, para facilitar la separación del tráfico y el análisis
de la red WLAN. Para aquellos clientes con múltiples adaptadores puede necesitarse un
mayor refinamiento en orden a asociar los procedimientos de acceso remoto desde Internet
y los procedimientos de acceso WLAN con cada adaptador.
Instale clientes MUVPN en tantas estaciones WLAN como pueda hacerlo.
Configure la estrategia de cliente MUVPN WLAN para exigir el mismo tipo de autenticación
que ya utiliza para acceso remoto desde Internet.
Para aquellos clientes para los cuales la privacidad es imperativa configure la estrategia de
cliente MUVPN para forzar que TODO el tráfico esté encriptado. Específicamente evite la
división de túnel (split tunneling), en la que se encripta el tráfico a ciertos destinos y a otros
no.
El software de WatchGuard cortafuegos personal y MUVPN con anti-virus integrado, está
diseñado para prevenir que se introduzca código malicioso en los laptop de los usuarios de WLAN
cuando se encuentren fuera del cortafuegos de la empresa.
Instale MUVPN en los clientes WLAN con el software cortafuegos integrado ZoneAlarm y el software
anti-virus McAfee también integrado.
Las funciones de registro y monitorización del cortafuegos WatchGuard proporcionan la
capacidad de realizar una auditoría segura y efectiva del tráfico entre usuarios de WLAN y servidores
de intranet. El WSEP (WatchGuard’s Security Event Processor), exclusivo de WatchGuard, permite
una conveniente administración centralizada y un procesado de los registros con generación de
informes históricos muy reveladores y de gran ayuda. Otros consejos:
• Revise las entradas en el registro con una política de regularidad y periodicidad. Si
apareciesen entradas que no le resultan familiares o que no están explicadas, puede
consultar más de una docena de utilisimos artículos sobre interpretación de los registros
que WatchGuard tiene publicados en su página Web “Learn About Logging”. También
puede comparar sus entradas con la lista de ataques actuales más comunes que se
publican en www.incidents.org.
• Utilice “Firebox Historical Reports” para afinar en el análisis de su registro. La página Web
"Frequently Asked Questions: Logging" de WatchGuard le proporciona información acerca
de esta utilidad.
9/14
Los cortafuegos de WatchGuard se acompañan con una subscripción al Live Security Service,
que le envía alertas prácticas y concisas cuando se descubren nuevas vulnerabilidades en las
aplicaciones más populares.
LiveSecurity también le alerta ante amenazas de virus, y le ofrece consejos (“best practices”) sobre
cómo asegurar su red. Lea el editorial semanal de LiveSecurity y lleve a cabo las sugerencias que se
ofrecen en las nuevas alertas con el fin de mantener una vigilancia actualizada de su red y prevenir el
descuido gradual, por rutina, de sus medidas de seguridad.
Si un atacante penetrase en sus defensas por capas, los productos ServerLock y AppLock/Web
de WatchGuard complementarán sus esfuerzos administrativos para fortalecer el sistema operativo y
el servidor Web ofreciéndole una protección inigualable contra el daño que pudiera ocurrir al ser
aprovechadas las vulnerabilidades del sistema, por ataques internos hostiles, por ataques al flujo de la
aplicación, e incluso por errores de administración.
Su objetivo es construir una defensa en profundidad. Los productos WatchGuard le ayudan a
establecer capas de seguridad en el perímetro de su red, en su servidor, en los ordenadores de
sobremesa, y en clientes móviles – exactamente el tipo de control sinergético que puede aproximarse
al 100 por ciento de seguridad efectiva.
CONCLUSIONES
Hemos indicado anteriormente que debe usted utilizar todas y cada una de las medidas de seguridad
que pueda obtener. En la actualidad, muchos productos “simples” integran conmutación, servicios de
acceso, autenticación de cortafuegos y características VPN, incorporan alguna funcionalidad
específica WLAN, y reivindican su superioridad sobre otras aplicaciones. Algunas de ellas merecen ser
estudiadas. Evalúe su viabilidad y escalabilidad a largo plazo. Calcule el coste de instalación y puesta
en marcha y el rendimiento de la inversión que estos productos le ofrecen. En muchos casos, los así
llamados productos “punteros” son tan costosos tanto en su adquisición como en su operación, que
parecen más bien “la punta de la navaja”.
Al ir considerando las múltiples capas de seguridad que puede aplicar para proteger su intranet
cuando introduzca la red inalámbrica WLAN, nos hemos centrado en cómo puede reforzar sus
inversiones actuales en la probada tecnología WatchGuard, y en cómo puede aplicar las mejores
prácticas, tanto tradicionales como emergentes, para eliminar o minimizar las vulnerabilidades
comúnmente asociadas con las redes inalámbricas WLAN. Por ahora, estas técnicas probadas
ofrecen una seguridad inalámbrica mejor y más efectiva en términos de coste que la actual oferta de
innovadores productos especializados. Puede usted asegurarse de que su intranet sobreviva a la
incorporación de redes LAN inalámbricas; sólo necesita mucha diligencia, sudor a la antigua usanza, y
un uso inteligente de la tecnología que ya tiene a mano.
LISTA DE COMPROBACIÓN PARA SEGURIDAD DE REDES LAN INALÁMBRICAS
Utilice esta lista de comprobación general como guía para la implantación de su plan de seguridad
para su red inalámbrica:
SEGURIDAD FÍSICA
• Efectúe un reconocimiento del entorno físico.
• Evalúe la transmisión y la cobertura de radio para reducir el riesgo de descubrir su emisión.
• Realice una auditoría de la WLAN para identificar posibles vulnerabilidades.
• Elimine puntos en la topología en los cuales el tráfico broadcast sea innecesario.
SEGURIDAD DE LA INFRAESTRUCTURA
• Haga un inventario de las direcciones MAC para WLAN; Niegue el acceso a sus Puntos de
Acceso a aquellas direcciones MAC que no estén inventariadas.
10/14
•
•
•
•
Tome medidas para evitar que clientes no autorizados adquieran direcciones dinámicamente
asignadas de sus Puntos de Acceso (e.g., use IPs, estáticas, asigne direcciones IP ligadas a
listas de control de acceso MAC en sus Puntos de Acceso, o use DHCP solamente con
autenticación MAC IEEE 802.1x).
Configure sus Puntos de Acceso y clientes WLAN con SSIDs largos y difíciles de adivinar.
Active el WEP IEEE 802.11 (Wireless Equivalent Privacy -- WEP) como un método de control
de acceso en sus Puntos de Acceso y en sus clientes WLAN.
Si utiliza Windows XP en clientes WLAN, active la autenticación basada en puertos y la
distribución de claves IEEE 802.1x (Nota: Esto requiere en algún lugar de su intranet un
servidor RADIUS con soporte EAP).
SEGURIDAD DE LA ADMINISTRACIÓN DE LA INFRAESTRUCTURA
• Aplique todas las medidas disponibles a sus Puntos de Acceso para asegurarlos frente a
accesos no autorizados (e.g. desactive accesos SNMP/Telnet, configure contraseñas seguras y
controles de acceso).
PERÍMETRO DE SEGURIDAD
• Use cortafuegos Interdepartamentales para controlar el acceso de clientes WLAN a
servidores con misiones críticas colocando sus Puntos de Acceso fuera del cortafuegos o en un
interface opcional/DMZ.
• Para encriptar el tráfico use túneles VPN desde clientes WLAN a cortafuegos con capacidad
VPN o a gateways de seguridad, y proporcione autenticación más segura sobre la red
inalámbrica.
• Configure su cortafuegos interdepartamental con estrategias de cortafuego de manera que el
tráfico desde los clientes WLAN se someta al mismo examen riguroso al que se someten los
clientes de la red cableada. Asigne a los clientes VPN direcciones virtuales (VIPs) derivadas de
una IP de subred secundaria para separar y controlar el tráfico de los clientes WLAN.
• Asegúrese de que todos los clientes WLAN tienen instalado software de protección anti-virus y
de cortafuegos personal.
• Registre y audite todas las capas en las cuales ha aplicado medidas de seguridad.
GLOSARIO
Proporcionado por el equipo de servicios de contenidos de WatchGuard LiveSecurity
ARP (Address Resolution Protocol – Protocolo de Resolución de Dirección)
Cada dispositivo en una red tiene al menos dos direcciones: una dirección de control de acceso al
medio (Media Access Control – MAC), y una dirección de Protocolo Internet (IP). La dirección MAC es
la dirección de la tarjeta de interface físico con la red, en el interior del dispositivo, y no cambia nunca
para esa tarjeta. La dirección IP puede cambiar si la máquina es trasladada a otro lugar de la red o si
la red utiliza DCHP. ARP, uno de los protocolos IP, se utiliza para asociar o resolver una dirección IP
con su correspondiente dirección MAC (y viceversa). ARP trabaja enviando un paquete broadcast a
todas las máquinas conectadas a una red Ethernet. El paquete contiene la dirección IP con la que el
emisor quiere comunicarse. La mayoría de las máquinas lo ignoran. La máquina que reconoce la
dirección IP contenida en el paquete como suya, devuelve una respuesta.
DHCP (Dynamic Host Configuration Protocol -- Protocolo de Configuración Dinámica de
Hospedaje)
Un estándar propuesto en RFC 1541 para transferir información de configuración de red desde un
servidor central a los dispositivos cuando estos se inicializan. Típicamente estos datos incluyen una
dirección IP para la máquina que el servidor puede cambiar y alojar sobre la marcha bajo DCHP.
11/14
Servidor DHCP
Dispositivo que asigna automáticamente direcciones IP a ordenadores en red, obteniéndolas de un
fondo de IPs y devolviendo las direcciones no utilizadas al fondo. Usando un servidor DCHP, un
administrador no tiene normalmente que verse envuelto en tareas de asignación de direcciones IP a
clientes individuales.
DNS (Domain Name System – Sistema de Domminio de Nombres)
Sistema de servidores conectados en red que trasladan direcciones IP a direcciones Internet
jerarquizadas y legibles, y viceversa. Esto es lo que permite que cuando usted en su navegador
escribe un nombre como www.watchguard.com, su ordenador entienda que quiere acceder a un
servidor con dirección 206.253.208.100 (por ejemplo).
Dirección Ethernet
Un único identificador que se obtiene cuando se instala una adaptador Ethernet en un ordenador. Esta
dirección identifica la máquina como un único ítem de comunicación y habilita la comunicación directa
desde y hasta un ordenador concreto. Ver también dirección MAC.
ICMP (Internet Control Message Protocol – Protocolo de Control de Mensajes de Internet)
Protocolo utilizado para enviar mensajes de control y de error en un sentido y en otro entre nodos de
Internet. Quizá el comando más utilizado sea ping.
IDS (Intrusion Detection System – Sistema de Detección de Intrusión)
Una clase de productos de red dedicados a detectar ataques de hackers. Los sistemas de detección
de intrusión orientados a red examinan el tráfico en una red en busca de signos de que se esté
produciendo un ataque o un acceso no autorizado, mientras que los sistemas orientados a máquina
observan los procesos y el tráfico de red en una máquina local, en busca de cualquier actividad que el
administrador haya definido como “nociva”.
LAN (local area network – Red de área local)
Una red de ordenadores que se extiende en un área relativamente pequeña, generalmente confinada
a un único edificio o a un grupo de edificios.
Dirección MAC (Media Access Control – Control de Acceso al Medio)
Una de las dos direcciones que tiene cada ordenador conectado en red (siendo la otra la dirección IP).
La dirección de Control de Acceso al Medio es un único identificador de 48-bits que se escribe
normalmente como 12 caracteres hexadecimales agrupados en pares (e. g., 00-00-0c-34-11-4e).
Normalmente está dirección es otorgada por el fabricante de la tarjeta de interface de red y no cambia
nunca. Representa la dirección física de un dispositivo de datos, y se utiliza como una ayuda para los
routers que tratan de identificar máquinas en grandes redes. Ver también ARP y Dirección Ethernet.
NIC (Network Interface Card – Tarjeta de Interface de Red)
Dispositivo que envía y recibe datos entre el ordenador y el cable de red. Cada ordenador conectado a
la red debe estar provisto de una de estas tarjetas.
PKI (Public Key Infrastucture – Infraestructura de Clave Pública)
Sistema de certificados digitales, Autoridades Certificadoras y otras autoridades de registro que
verifican la validez de cada parte implicada en una transacción en Internet. Se trata de establecer una
12/14
relación de confianza entre las partes. Los diversos mecanismos de PKI pueden proporcionar el
fundamento para la confidencialidad de mensajes, integridad de mensajes, no rechazo (que significa
que el autor de un mensaje no puede después alegar que él no lo escribió), y autenticación. PKI es
necesario y fundacional para las Redes Privadas Virtuales (VPN).
SSL (Secure Sockets Layer – Capa de Sockets Seguros)
Protocolo para transmitir documentos privados a través de Internet, frecuentemente utilizado en sitios
de comercio electrónico (entre otros). SSL trabaja utilizando una clave privada para encriptar los datos
transferidos a través de una conexión SSL.
VPN (Virtual Private Network – Red Virtual Privada)
Un medio para tener los beneficios de seguridad de una red privada, dedicada, sin el coste de poseer
realmente una red. VPN usa criptografía para desordenar los datos de manera que sean ilegibles
mientras recorren Internet, proporcionando así privacidad en líneas públicas. Las compañías con
sucursales utilizan generalmente VPNs para conectar múltiples lugares. Para ampliar la información
ver el libro blanco de WatchGuard , "Straight Talk about VPN," o, si es usted subscriptor de
LiveSecurity, lea el artículo "Foundations: Considering VPNs.
WEP (Wired Equivalent Privacy – Privacidad Equivalente a Cableada)
Aspectos de seguridad del estándar 802.11 que permite que dispositivos inalámbricos como PDAs y
ordenadores laptop, accedan a una red de ordenadores a través de radiofrecuencia en vez de
cableado físico. WEP cumple tres tareas: 1) Autenticar clientes en Puntos de Acceso; 2) Encriptar los
datos entre los clientes y el Punto de Acceso; y 3) Incluir en cada paquete intercambiado un código de
integridad.
La realización inicial de WEP proporciona una seguridad débil. Aunque no completamente inútil, el
mejor uso que se le puede dar es como otra capa de seguridad complementaria a otras que
establezcan medidas de seguridad mas potentes. Para más información los subscriptores de
LiveSecurity pueden acudir a la página Web "Learn About Wireless Security.“
WPA (Wi-Fi Protected Access -- Acceso Protegido Wi-Fi)
Especificación de mejoras de seguridad interoperable basadas en estándares, que aumenta
enormemente el nivel de protección de datos (encriptación) y el control de accesos (autenticación)
para sistemas de red LAN Wi-Fi inalámbricos existentes y futuros.
ACERCA DE WATCHGUARD
WatchGuard (Nasdaq: WGRD) es una empresa líder proveedora de soluciones de seguridad para
Internet dinámicas y globales, diseñadas para proteger empresas que utilizan Internet para comercio
electrónico y comunicaciones seguras. Miles de organizaciones en todo el mundo utilizan los
galardonados productos y servicios de WatchGuard. Estos productos incluyen nuestro cortafuego
Firebox y dispositivos VPN para control de acceso y comunicación segura, y nuestra tecnología y
solución anti-virus ServerLock de seguridad de contenidos y de aplicaciones para servidores y
ordenadores de sobremesa. La gestión centralizada utilizando una moderna ergonomía (“point-andclick”) hace que resulte fácil, incluso para los no profesionales de la seguridad, instalar, configurar y
monitorizar las soluciones de seguridad. Nuestro innovador servicio LiveSecurity hace posible también
a nuestros clientes, con el mínimo esfuerzo, mantener sus sistemas de seguridad actualizados en un
entorno continuamente cambiante.
MAS INFORMACIÓN
Por favor visítenos en la Web en www.watchguard.com o contacte con su proveedor para más
información.
13/14
© 2002 WatchGuard Technologies, Inc. Reservados todos los derechos. WatchGuard, Firebox,
LiveSecurity y Designing peace of mind son marcas comerciales o marcas registradas de WatchGuard
Technologies, Inc. en los Estados Unidos y/o en otros países. Todas las demás marcas comerciales y
nombres comerciales son propiedad de sus respectivos propietarios.
DIRECCIÓN:
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
WEB:
www.watchguard.com
E-MAIL:
[email protected]
U.S. SALES:
+1.800.734.9905
INTERNATIONAL SALES:
+1.206.521.8340
FAX:
+1.206.521.8342
14/14

SEGURIDAD AL DESCUBIERTO

Transcripción

Documentos relacionados

UNIVERSIDAD AUTÓNOMA DE BAJA CALIFORNIA

En general los sistemas wireless

Técnica de conferencia Proyectores (3000 lúmenes ANSI) 190,00