INTECO_02 Guía para proteger la red wi-fi de su empresa
Upcoming SlideShare
Loading in...5
×
 

INTECO_02 Guía para proteger la red wi-fi de su empresa

on

  • 337 views

INTECO_02 Guía para proteger la red wi-fi de su empresa

INTECO_02 Guía para proteger la red wi-fi de su empresa

Statistics

Views

Total Views
337
Views on SlideShare
337
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

INTECO_02 Guía para proteger la red wi-fi de su empresa INTECO_02 Guía para proteger la red wi-fi de su empresa Document Transcript

  • Guía para proteger la red inalámbrica Wi-Fi de su empresaOBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
  • El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal promovida por elMinisterio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad delConocimiento a través de proyectos del ámbito de la innovación y la tecnología.El Observatorio de la Seguridad de la Información es un referente nacional e internacional al servicio delos ciudadanos, empresas y administraciones españolas para describir, analizar, asesorar y difundir lacultura de la seguridad y la confianza de la Sociedad de la Información.Datos de contacto:Instituto Nacional de Tecnologías de la Comunicación (INTECO)Observatorio de la Seguridad de la InformaciónAvda. José Aguado, 41. Edificio INTECO. 24005 LeónTeléfono: +(34) 987 877 189 / Email: observatorio@inteco.eswww.inteco.esDepósito Legal: LE - 368 - 2009Imprime: gráficas CELARAYN, s.a.
  • Índice1. ¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla? 52. ¿Cómo proteger la red Wi-Fi de su empresa? 8 Medidas Básicas 9 Medidas Avanzadas 133. Conceptos básicos de una red inalámbrica 18 (3
  • 1. ¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla?¿QUÉ ES Wi-Fi?Es lo que comúnmente se conoce como red inalámbrica, y permite conec-tar un equipo a una red con el fin de acceder a los diferentes recursos (im-presoras, programas, servicios como Internet…) sin necesidad de cables.Es decir, la transmisión de la información se realiza por ondas, al igual quelo hace la radio o la televisión.Las redes Wi-Fi cumplen con alguno de los estándares 802.11a/b/g/n.¿EN QUÉ CASOS ES RECOMENDABLE INSTALARLA?La utilización de este tipo de conexión ofrece innumerables ventajas aso-ciadas a la movilidad, y está especialmente recomendado en las siguientessituaciones: • Cuando por motivos de infraestructura o coste no es posible ins- talar cables de acceso a la red en su empresa/oficina. • Cuando para realizar su trabajo necesita poder conectarse a la red en distintos sitios de la oficina, a donde no siempre es sencillo llevar cables. • Cuando el número de visitas o empleados que entran y salen de su empresa es superior al número de conexiones fijas disponi- bles. • Cuando necesita conexión y movilidad al mismo tiempo. ¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla? (5
  • Guía para proteger la red inalámbrica Wi-Fi de su empresa recomendaciones... En base a estas recomendaciones ¿Está seguro de que realmente necesita Wi-Fi? Debido a los posibles riesgos de seguridad que puede llevar consigo una red inalámbrica, se recomienda que compruebe la necesidad de disponer de este tipo de red. Si considera que realmente es necesario, ¡adelante!. En esta guía encontrará algunas recomendaciones para hacer un uso seguro de su red WiFi. ¿QUÉ ELEMENTOS FORMAN UNA RED Wi-Fi? Existen dos tipos de redes Wi-Fi en función de los componentes que la for- men y el objetivo de la conexión: • Redes AdHoc: son redes que se establecen entre dos equipos (PC, PDA, impresora, cámaras, discos duros, etc.) sin ningún elemento de interconexión ajeno a los propios dispositivos. Es la red más simple y se usa para conectar dispositivos de forma esporádica. • Redes con infraestructura: son redes que tienen elementos de in- terconexión inalámbricos. Suelen estar unidas a una red “cableada” para extender la red principal. Los elementos de interconexión se denominan genéricamente puntos de acceso (AP’s, Access Point). Comercialmente podemos encontrar varios dispositivos con capaci- dad de AP:6) ¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla?
  • Router inalámbrico: existen modelos específicos para conectarse a Internet y cuentan con un punto de acceso inalámbrico incluido. Disponen, al menos, de una entrada para teléfono (rj11) y/o un puerto para redes ethernet (rj45). Access Point: es el elemento de red inalámbrico que centraliza las conexiones de los dispositivos o terminales.Para crear una red inalámbrica con infraestructura es necesario un elemen-to concentrador (por ejemplo un router inalámbrico o un punto de acceso) yun elemento receptor como los equipos y tarjetas de conexión inalámbricas(muchos portátiles, las PDA, y teléfonos de gama alta ya incorporan de serieel dispositivo Wi-Fi 802.11b/g). En caso de no tener este dispositivo integra-do, hay disponible en el mercado tarjetas Wi-Fi con conectores USB, PCI,PCMCIA, Expresscard, CF, SD... que ofrecen las mismas funcionalidades. Ejemplo de Red Wi-Fi ¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla? (7
  • 2. ¿Cómo proteger la red Wi-Fi de su empresa? A la hora de instalar una red inalámbrica se debe tomar ciertas medidas para reducir los riesgos de un incidente de seguridad en su negocio; como puede ser que personas ajenas accedan a información de su empresa, que sea víctima de un fraude, que utilicen su red para fines maliciosos – con las consideraciones legales que esto puede suponer – o simple- mente que terceros consuman ancho de banda afectando al rendimiento. Podemos disponer de redes Wi-Fi con un nivel de seguridad más que acep- table si se utilizan correctamente los medios de protección disponibles. No proteger adecuadamente su red Wi-Fi puede provocar que personas ajenas accedan a información de su empresa. Para entender mejor cómo puede asegurar su red inalámbrica primero vere- mos cómo se realiza la conexión de un dispositivo a la misma.8) ¿Cómo proteger la red Wi-Fi de su empresa?
  • Esquema de conexión WI-FIPara asegurar la red se deberán proteger los diferentes pasos que serealizan durante la conexión del dispositivo al punto de acceso o router.De cara a facilitar la implantación de las medidas éstas se han dividido enbásicas y avanzadas en función de su necesidad y de la complejidad parallevarlas a la práctica.Medidas BásicasSon aquellas medidas mínimas necesarias para disponer de una red Wi-Fi segura. Se pueden abordar con unos conocimientos básicos y con losmanuales de uso de los dispositivos. ¿Cómo proteger la red Wi-Fi de su empresa? (9
  • Guía para proteger la red inalámbrica Wi-Fi de su empresa PLANIFIQUE EL ALCANCE DE LA INSTALACIÓN El objetivo de esta planificación es controlar el alcance de la red, ya que cuanta menos difusión de las ondas fuera de sus instalaciones tenga, meno- res serán las posibilidades de una intrusión en la red. Los puntos esenciales a tener en cuenta son: • Debe responder a las necesidades de su empresa (cobertura, ubicación, etc.). • No debe dejarlos al acceso directo de cualquier persona. • Deben estar en lugares relativamente difíciles de acceder (techos, falso techo, en cajas con cerradura, etc.). CAMBIE LOS DATOS DE ACCESO A SU ROUTER Los routers y puntos de acceso que recibe cuando contrata el servicio Wi-Fi con algún proveedor suelen tener una contraseña por defecto para ac- ceder a la administración y configuración del dispositivo. Esta contraseña, a veces denominada “clave del administrador”, debe cambiarse cuanto antes por otra contraseña que sólo Ud. conozca. No olvide cambiar la contraseña de administración de su punto de acceso inalámbrico tras su instalación Para mayor información sobre la creación y gestión de contraseñas puede consultar el artículo de INTECO Recomendaciones para la creación y uso de contraseñas seguras1. 1 Este documento lo puede encontrar en el siguiente link: http://www.inteco.es/Seguridad/Observatorio/Es- tudios_e_Informes/Notas_y_Articulos/recomendaciones_creacion_uso_contrasenas10 ) ¿Cómo proteger la red Wi-Fi de su empresa?
  • Con esta medida evitará que atacantes que hacen uso de esas contraseñaspor defecto puedan tomar el control del router desde fuera de sus instalacio-nes vía Internet y modificar su configuración de seguridad.OCULTE EL NOMBRE DE SU REDCuando usted intente conectarse a una red, le aparecerán todas las que seencuentran a su alrededor, independientemente de si pertenecen o no a suorganización, y esto mismo le ocurrirá a cualquier persona ajena que esca-nee en busca de redes inalámbricas. Sólo podrán conectarse a su red aquellos usuarios autorizados que conozcan el nombre de red de su empresaPara evitar esto, al configurar el SSID de su red en el router, o en el puntode acceso, lo hará de forma que no se difunda el nombre de la red. Deesta manera, si alguien quiere conectarse a ella, solo podrá hacerlo siconoce el SSID de antemano.Con esta sencilla medida se asegura el punto 1 de la conexión, según elesquema de la página 9. ¿Cómo proteger la red Wi-Fi de su empresa? ( 11
  • Guía para proteger la red inalámbrica Wi-Fi de su empresa USE PROTOCOLOS DE SEGURIDAD Mediante protocolos de seguridad que permiten el cifrado en función de una contraseña conseguiremos proteger tanto el acceso a la red como las comunicaciones entre dispositivos. Recomendaciones de uso: Utilice siempre un protocolo de seguridad, y en lo posible el protocolo WPA. El uso de protocolos evitará que personas no autorizadas puedan acceder a su red. Los dos sistemas más comunes para asegurar el acceso a la red Wi-Fi son el procolo WEP (Wired Equivalent Privacy) y el protocolo WPA (Wi-Fi Pro- tected Access). El protocolo WEP es el más simple y lo implementan prácticamente to- dos los dispositivos, pero han sido reportadas algunas vulnerabilidades que permiten saltarse su protección. En cambio, el protocolo WPA utiliza un cifrado más fuerte, que hace que sea más robusto, aunque no todos los dispositivos ni los sistemas ope- rativos lo soportan (debe consultar la documentación del dispositivo para conocer este aspecto). También es posible implementar el protocolo WPA2 que es la evolución definitiva del WPA. Es el más seguro de los tres pero tampoco todos los dispositivos lo implementan. Use el protocolo que use, la forma de trabajo es similar: si el punto de acce- so o router tiene habilitado el cifrado, los dispositivos receptores que traten de acceder a él tendrán que habilitarlo también.12 ) ¿Cómo proteger la red Wi-Fi de su empresa?
  • Cuando el punto de acceso detecte el intento de conexión, solicitará la con-traseña que previamente habrá Ud. indicado para el cifrado. Cómo configurar el protocoloPara lograr una mayor seguridad se deben cambiar las contraseñas de ac-ceso cada cierto tiempo y usar contraseñas fuertes.Esto es una forma de asegurar el paso 2, comprobación de credenciales,según el esquema de la página 9.APAGUE EL ROUTER O PUNTO DE ACCESO CUANDO NO LO VAYA AUTILIZARDe esta forma se reducirán las probabilidades de éxito de un ataque contrala red inalámbrica y por lo tanto de su uso fraudulento.Medidas AvanzadasMedidas a adoptar para tener una garantía “extra” de seguridad. Para imple-mentarlas es necesario disponer de conocimientos técnicos avanzadoso contar con personal técnico adecuado. ¿Cómo proteger la red Wi-Fi de su empresa? ( 13
  • Guía para proteger la red inalámbrica Wi-Fi de su empresa Recuerde que a veces no valoramos bien lo crítica que es nuestra información. Piense en lo que pasaría si la información de su empresa estuviera a disposición de terceros. ¿Sería entonces importante? UTILICE LA LISTA DE CONTROL DE ACCESO (ACL) POR MAC La lista de control de acceso consiste en crear una lista con las direccio- nes MAC de los dispositivos que quiere que tengan acceso a su red. La dirección MAC es un identificador único de los dispositivos de red de sus equipos (tarjeta de red, móviles, PDA, router,...). Así que si cuando Ud. so- licita la conexión su MAC está en la lista, podrá acceder a la Red; en caso contrario será rechazado al no disponer de la credencial apropiada. De esta forma se asegura el punto 2, comprobación de credenciales, según el esquema de la página 9.14 ) ¿Cómo proteger la red Wi-Fi de su empresa?
  • DESHABILITE EL DHCP EN EL ROUTER Y UTILICE IP ESTÁTICASPara dificultar la conexión de terceros a la Red se puede desactivar laasignación de IP dinámica por parte del router a los distintos dispositivosinalámbricos.Cuando un equipo trata de conectarse a una red, ha de tener una direcciónIP que pertenezca al rango de IPs de la red a la que quiere entrar. El servi-dor DHCP se encarga de dar una dirección IP adecuada, siempre y cuandoel dispositivo esté configurado para obtenerla en modo dinámico medianteservidor DHCP.Al deshabilitar el DHCP en el router cuando un nuevo dispositivo solicite unadirección IP, éste no se la dará, por lo tanto, si quiere conectar deberá in-dicar el usuario una dirección IP, una máscara de subred y una direcciónde la pasarela o gateway (dirección del router) de forma aleatoria, lo queimplica que las posibilidades de acertar con la IP de la red deberían ser casinulas.De esta forma se asegura el punto 3, el DHCP asigna IP al equipo, según elesquema de la página 9.CAMBIE LA DIRECCIÓN IP PARA LA RED LOCAL DEL ROUTERPara dificultar en mayor medida que personas ajenas se conecten a su redinalámbrica de manera ilegitima también es recomendable cambiar la IPinterna que los router traen por defecto, normalmente 192.168.0.1. Si nose realiza el cambio el atacante tendrá más posibilidades de acertar con unaIP valida y por lo tanto de comprometer la Red. ¿Cómo proteger la red Wi-Fi de su empresa? ( 15
  • Guía para un uso seguro en entornos WI-FI para pymes AUTENTIQUE A LAS PERSONAS QUE SE CONECTEN A SU RED, SI LO CONSIDERA NECESARIO La autenticación de usuarios tiene sentido en entornos donde éstos sean siempre los mismos. Si es el caso de su empresa, recomendemos optar por la autenticación de personas. En caso de necesidad de autenticar a las personas que se conectan a la red, se recomienda la implementación del protocolo 802.1x (Contacte con una empresa especializada si no tiene los conocimientos necesarios). Quién puede conectarse a su red Wi-Fi Si es necesario autenticar a las personas que accedan a su red, se recomienda utilizar el PROTOCOLO 802.1X16 ) ¿Cómo proteger la red Wi-Fi de su empresa?
  • Este protocolo es complicado de implantar, pero es bastante seguro. Sufuncionamiento se centra en certificados digitales (como por ejemplo losfacilitados por la Fábrica Nacional de Moneda y Timbre FNMT o el reciénimplantado e-DNI). Estos certificados se instalan en los ordenadores de losusuarios, y cuando se quieren conectar a la red, los certificados se trans-miten de forma segura hacia la entidad u organismo que ha firmado loscertificados y verifica que son válidos. A partir de ahí, los clientes puedenacceder a la red (puesto que ya se han autenticado) y de forma segura (loscertificados ayudan a proporcionar un canal de comunicación seguro). Configuración opciones inalámbricas ¿Cómo proteger la red Wi-Fi de su empresa? ( 17
  • 3. Conceptos básicos de una red inalámbrica • SSID: Es el nombre de la red. Todos los paquetes de información que se envían o reciben llevan esta información. • WEP: Sistema de cifrado para redes Wi-Fi. No es seguro, ya que han aparecido vulnerabilidades que provocan que se pueda saltar fácilmente. • WPA: Sistema posterior a WEP que mejora notablemente la encriptación de WEP, aunque la versión definitiva es WPA2. • WPA2: Sistema de cifrado, evolución del WPA, con contraseña de 128 bits. Se considera seguro. • IP: Una dirección formada por una serie de números que identifica a nuestro equipo de forma unívoca dentro de una red. • MAC: Es un valor que los fabricantes asignan a cada componente de una red, y que los identifica de forma unívoca, es como el DNI del dispositivo. Tienen dirección MAC las tarjetas de red, los routers, los USB Wi-Fi. En definitiva, todos los dispositivos que puedan tener una IP. • DHCP: Tecnología utilizada en redes que permite que los equipos que se conec- ten a una red (con DHCP activado) auto-configuren los datos de dirección IP, máscara de subred, puerta de enlace y servidores DNS, de forma que no haya que introducir estos datos manualmente.18 ) Conceptos básicos de una red inalámbrica
  • www.inteco.es