Redes lan2 : instrucción 1/2006 de la Junta de Andalucía
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Redes lan2 : instrucción 1/2006 de la Junta de Andalucía

  • 779 views
Uploaded on

instrucción 1/2006 de la Junta de Andalucía, wifi, seguridad, SSID broadcast

instrucción 1/2006 de la Junta de Andalucía, wifi, seguridad, SSID broadcast

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
779
On Slideshare
779
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
8
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Despliegue de Redes LAN Gestión de las TIC:Infraestructuras y desarrollos 10 horas JUAN CARLOS RUBIO PINEDA
  • 2. Contenidos:1)− Orden de Cableado estructurado ORDEN de 25 de septiembre de2007, reguladora de los requisitos necesarios para el diseño eimplementación de infraestructuras cableadas de red local en laAdministración Pública de la Junta de Andalucía.2)− Redes Wi-Fi: concepto, ventajas e inconvenientes.3)− Instrucción 1/2006, de 15 de mayo, de la Dirección General deInnovación y Administraciones Públicas, relativa a la instalación de Redesde Área Local Inalámbricas y Enlaces Inalámbricos en el Ámbito de laJunta de Andalucía.4)− Arquitectura y gestión de LAN: Resolución de problemas. Etiquetadode Hw: emisión de etiquetas, acto de recepción, inventario, acceso almantenimiento.
  • 3. Redes Wifi:concepto, ventajas e inconvenientes
  • 4. Redes WIFI• Concepto: – Las redes WIFI o WLAN o Wireless LAN utilizan ondas electromagnéticas para enlazar los equipos en lugar de hacerlo mediante cables. – Redes WLAN más conocidas: • Ir DA • Bluetooth • Wi-Fi • Microondas
  • 5. Redes WIFI• Objetivos de estas redes (dentro del escenario de la instrucción 1/2006) – Proporcionar facilidades no disponibles en los sistemas cableados. – Formar una red global donde coexista el cableado y el WIFI. – Ofrecer movilidad sin perder conectividad – Ser complemento Y NO SUSTITUTO de redes fijas
  • 6. Redes WIFI• Desventajas – Ancho de banda más limitado, especialmente cuando aumenta el número de usuarios • Debido entre otras cosas, al mecanismo de control de acceso al medio. – WiFi es half-duplex y todas las estaciones transmiten y reciben usando el mismo canal radio – Falta de seguridad inherente a un medio de transmisión sin posibilidad de control físico en los accesos (ondas electromagnéticas)
  • 7. Redes WIFI• Control de acceso al medio (MAC): – IEEE 802.11 usa un protocolo MAC llamado Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA). – Acrónimo similar al CSMA/CD usado en Ethernet, aunque funciona de otra forma – WiFi es half-duplex • Una estación no puede escuchar el canal mentras está transmitiendo y es imposible detectar una colisión.
  • 8. Redes WIFI• Un nodo que quiere transmitir escucha el canal durante un periodo de tiempo fijado para determinar si otro nodo está transmitiendo• Si el canal no está ocupado (canal “idle”) el nodo inicia el proceso de transmisión.• Si el canal está ocupado (“busy”) el nodo retrasa su transmisión durante un periodo de tiempo aleatorio.
  • 9. Instrucción 1/2006 de 15 de Mayo
  • 10. Instrucción 1/2006• La implantación de WLAN en el interior de edificios deberá cumplir: – Se deberá Presentar un proyecto técnico de implantación de WLAN firmado por el responsable de Informática del organismo a la D.G. de Servicios Tecnológicos y Sociedad de la Información*, que debe aprobarlo previa adquisición de componentes – No se podrán instalar WLAN en edificios susceptibles de disponer de instrumentación sensible a ondas electromagnéticas
  • 11. Instrucción 1/2006• La implantación de WLAN entre edificios deberá cumplir la regla anterior, aunque el proyecto técnico contendrá: – Justificación de la solución técnica adoptada. – Plano de planta, donde figuren tanto el enlace, como la ubicación de los extremos del mismo. – Descripción de la ubicación física de los AP que actúan como extremos del enlace.
  • 12. Instrucción 1/2006• La implantación de WLAN entre edificios contendrá (II): – Descripción de las medidas de seguridad adoptadas sobre el enlace inalámbrico. – Interconexión con Redes de Área Local (LAN) o accesos a la RCJA. – Cumplimiento de la limitaciones de potencia de los equipos establecidas por el Cuadro Nacional de Atribución de Frecuencias (CNAF) .
  • 13. Instrucción 1/2006• La implantación de WLAN entre edificios contendrá (III): – Justificación del cumplimiento del RD1066/2001 de 28/09/2001(medidas de protección sanitaria) – Justificación del cumplimiento de las normas sobre “Políticas de Seguridad para la instalación de WLAN” que acompañan a esta Instrucción (Anexo I).
  • 14. Políticas de seguridad para la instalación de WLANOBL: ObligatoriasREC: Recomoendables
  • 15. Práctica:Elabore una lista de medidas que consideraque debieran ser obligatorias para laseguridad.
  • 16. Políticas de seguridad• Relativas a la seguridad física de la instalación – Prevenir acceso a los AP (OBL) – Restricción alcance (distancias) AP (OBL) – Control de acceso a las zonas de influencia de la red -edificio-(REC) – Inhabilitación de AP en horas no laborables (REC)
  • 17. Políticas de seguridad• Prevenir el acceso a los AP: – El punto de acceso es el lugar por el que pasan todas las comunicaciones. – Para evitar la manipulación de los mismos es necesario que sean ubicados en lugares apropiados, con acceso restringido y controlado
  • 18. Políticas de seguridad• Prevenir el acceso a los AP: medidas paliativas: – Los equipos se instalarán en ubicaciones donde el acceso esté restringido, no siendo posible el acceso a ellos sin las correspondientes autorizaciones. – Además, en lo posible, se encontrarán ocultos en el falso techo.
  • 19. Políticas de seguridad• Restricción de alcance: – Obliga al atacante a estar físicamente en un lugar controlado por la organización. – Para ello se debe comprobar que el límite exterior de la red inalámbrica (cobertura) no quede fuera del perímetro del edificio o de los edificios de la organización. Para esta comprobación será necesario un estudio de cobertura por cada AP.
  • 20. Políticas de seguridad
  • 21. Políticas de seguridad• En lo posible, los equipos instalados se gestionarán por un controlador central que sea el encargado de ajustar automáticamente los niveles de potencia.• Si la gama de los AP lo permite, dichos niveles de potencia se podrán gestionar también manualmente, y adecuarlos en determinadas zonas para que no radien fuera del recinto.
  • 22. Políticas de seguridad• Control de acceso a las zonas de influencia de la red -edificio- – A nivel técnico se puede limitar el alcance para tratar de no emitir fuera del perímetro del edificio. – Sin embargo, si un atacante puede entrar al edificio libremente con un dispositivo portátil el peligro de intrusión permanece. Por lo tanto, se deberá controlar el acceso a las zonas de influencia dentro del propio edificio.
  • 23. Políticas de seguridad• Control de acceso a las zonas de influencia de la red -edificio-: medidas paliativas – Si el entorno lo permite, y el nivel de entrada de visitantes no es elevado, se puede registrar cada visita con la fecha y hora de la misma, lo que puede ayudar a delimitar responsabilidades en caso de incidencias, y para alejar a posibles atacantes.
  • 24. Políticas de seguridad• Inhabilitación de AP en horas no laborables: – Normalmente, los ataques suelen realizarse de noche, o en horas que no generen alerta a los administradores. – Por ello, es recomendable el apagado de los puntos de acceso a horas a las que no son utilizados, especialmente fines de semana, días festivos, etc. – Si el Hardware no permite esta posibilidad se podrán utilizar enchufes con programadores de tiempo. En su defecto, deberá inhabilitarse el sistema inalámbrico de cualquier otra forma que, impida el acceso vía radio al sistema
  • 25. Políticas de seguridad• Inhabilitación de AP en horas no laborables: observaciones – Existe la posibilidad de temporización en la emisión de la red inalámbrica gracias al software de gestión inalámbrica de algunos fabricantes.
  • 26. Políticas de seguridad• Relativas a la seguridad lógica de la instalación: – Nombre del SSID aleatorio o sin relación directa con a organización (OBL) – Deshabilitar la función de difusión del SSID -SSID Broadcast- (REC) – Filtrar direcciones MAC en los AP (REC) – Redirección del log de seguridad del AP a un syslog externo -REC-
  • 27. Políticas de seguridad• Deshabilitar la función de difusión del SSID -SSID Broadcast: – Aunque se use un SSID difícil de adivinar, el punto de acceso (AP) emite este nombre por “Broadcast” a todos los que “escuchen” la red. Muchos dispositivos (prácticamente todos) tienen esta opción activada por defecto. Deshabilitarla es un buen punto de partida – Adicionalmente a esta medida, si el tamaño de la instalación lo permite, se debería cambiar el SSID cada cierto tiempo
  • 28. Políticas de seguridad• Redirección del log de seguridad del AP a un syslog externo: – Existen AP que reportan a una controlador central inalámbrico. – Este a su vez puede reportar a un sistema de gestión centralizado, ya que existen AP que incorporan software de gestión (pEj CISCO WCS) que actúa como recolector de logs.
  • 29. Políticas de seguridad• Filtrar direcciones MAC en los AP: – Se trata de una recomendación de seguridad que habitualmente implica un excesivo control por parte del personal del centro. – Es una barrera fácilmente evitable usando MAC Spoofing, por lo que en la práctica, no se suele usar, aunque se exija que los equipos permitan el control centralizado de las funcionalidades de filtrado MAC.
  • 30. Políticas de seguridad• Relativas a la seguridad lógica de la instalación (II) – No activar DHCP en los AP -OBL- – Uso de algoritmos de cifrado WPA2, y excepcionalmente WPA, NUNCA WEP (OBL) – Uso de sistemas de autenticación independientes de los puntos de acceso (OBL) • EAP/TLS • EAP/TTLS • EAP/PEAP
  • 31. Políticas de seguridad• No activar DHCP en los AP: – Esta medida evita que un atacante obtenga una dirección IP de forma sencilla, y le obligará a tener que capturar y analizar el tráfico de la red en busca de los parámetros de red utilizados (rango de direcciones IP utilizado, DNS, Gateway, etc.).
  • 32. Políticas de seguridad• Uso de algoritmos de cifrado WPA2, y excepcionalmente WPA, NUNCA WEP: – Se deberá usar el algoritmo de cifrado basado en AES (Advanced Encryption Estándar) contemplado en el estándar 802.11i (WPA2). – De no ser posible hacer uso del estándar 802.11i, excepcionalmente se podrá hacer uso del algoritmo WPA (Wireless Protected Access) – En ningún caso se podrán cifrar las comunicaciones únicamente con el protocolo WEP. – En ningún caso se podrá instalar una red inalámbrica sin cifrar las comunicaciones.
  • 33. Políticas de seguridad• Uso de sistemas de autenticación independientes de los puntos de acceso: – Si se utiliza EAP/TLS es necesario establecer una Política de Prácticas de Certificación para los certificados emitidos para los clientes. – Si se utiliza EAP/TTLS o EAP/PEAP es necesario utilizar credenciales de usuario (usuario y contraseña), con las características que se indican en el apartado “Política de contraseñas”.
  • 34. Políticas de seguridad• Relativas a la seguridad lógica de la instalación (III) – Cambios de configuración en los AP (OBL) – Realización de backup de la configuración de los AP -OBL- – Proteger la configuración de los AP (OBL) – Protocolo SNMP en los AP: si no se usa, desactivar; si lo hace, communities fuertes -OBL-
  • 35. Políticas de seguridad• Cambios de configuración en los AP: – En caso de tener que realizar un cambio de configuración en un AP (distribución de nuevas claves, actualización de firmware, añadir una MAC en la ACL, etc.) se requerirá que el dispositivo disponga de un control de acceso de usuarios sea cual sea su método de administración. • En caso de que sea remoto, deberá hacerse utilizando un canal seguro SSL. – Deberán restringirse las direcciones IP para acceder como administrador. – La administración no se realizará nunca a través del medio inalámbrico.
  • 36. Políticas de seguridad• Cambios de configuración en los AP: Observaciones: – Los equipos actuales de gama profesional, implementan un control de acceso para la administración del mismo basado en usuarios y contraseñas, e incluso la posibilidad de implementar servidores externos (tanto TACACS+ como RADIUS).
  • 37. Políticas de seguridad• Proteger la configuración de los AP (backup) – En caso de producirse un reseteo de la configuración del punto de acceso, es muy útil disponer de una salvaguarda de toda la configuración. – La mayor parte de dispositivos almacenan toda la configuración en un solo archivo el cuál es posible descargar (vía puerto serie, FTP o WEB).
  • 38. Políticas de seguridad• Proteger la configuración de los AP (backup): Observaciones – El software de gestión que se proporciona con ciertos AP de gama profesional encargarse de hacer una copia temporizada de la configuración del controlador central. – En estos sistemas, se tiene un sistema centralizado, por lo que únicamente sería necesario guardar la configuración del elemento central, el resto de elementos del sistema se configuran a partir de él.
  • 39. Políticas de seguridad• Protocolo SNMP en los AP: – En caso de que no sea posible su desactivación, es muy recomendable cambiar los nombres de las “comunities” por defecto “Public” y “Private”, a otros más complejos. – Si es posible, y SNMP sólo se utiliza para monitorización, se deberá activar sólo el acceso en modo lectura.
  • 40. Políticas de seguridad• Relativas a la seguridad lógica de la instalación (IV) – Separación de la WLAN y la LAN física -REC- – Permitir sólo redes de tipo “estructural”, y no ad-hoc (OBL) – Actualizaciones de firmware de los AP (OBL) – Características avanzadas de los AP -anteriores- (OBL)
  • 41. Políticas de seguridad• Separación de la WLAN y la LAN física: – Es recomendable la instalación de un cortafuegos (firewall) entre los AP’s y la red local, para separar las redes. – Asimismo, es recomendable el uso de diferentes VLAN, que distingan entre usuario inalámbricos y cableados, o bien para poder hacer uso de diferentes perfiles de usuarios inalámbricos.
  • 42. Políticas de seguridad• Permitir sólo redes de tipo “estructural”, y no ad-hoc – En una red “ad hoc” las comunicaciones se realizan directamente entre los emisores y receptores, sin pasar por un punto central (punto de acceso). Estas, son extremadamente difíciles de securizar. – Sólo se deben permitir redes de tipo “estructural”, en las que todas las comunicaciones pasan a través del punto de acceso y se pueden securizar de forma centralizada.
  • 43. Políticas de seguridad• Actualizaciones de firmware de los AP: – Es extremadamente recomendable mantener los AP’s en sus últimas versiones de firmware, mas aún si las nuevas versiones traen mejoras relativas a la seguridad del protocolo, encriptación de los datos, autenticación de los usuarios o cualquier otra característica relacionada con la seguridad.
  • 44. Políticas de seguridad• Actualizaciones de firmware de los AP: observaciones: – En ciertos equipos de gama profesional, la actualización controlada de firmwares aprobados, se realiza de forma sencilla a través de un sistema centralizado.
  • 45. Políticas de seguridad• Características de los AP requeridas:
  • 46. Políticas de seguridad• Otras medidas de seguridad – Securización de los puestos de trabajo de los usuarios de la red Wireless (REC) – Instalación de un IDS Wireless (REC) – Uso de túneles VPN (REC)
  • 47. Políticas de seguridad• Securización de los puestos de trabajo de los usuarios de la red Wireless – No se deberán compartir carpetas en los ordenadores que tengan acceso inalámbrico y, en caso de hacerse, nunca se deberán compartir sin contraseña o con contraseña débil – Adicionalmente a esta medida, estos equipos podrían estar dotados de un cortafuegos configurado para permitir exclusivamente el tráfico que debe ser permitido
  • 48. Políticas de seguridad• Seguimiento y explotación de redes inalámbricas – Se crea el GTRI (Grupo de Trabajo de Redes Inalábricas), compuesto por técnicos de diferentes consejerías • Se designará un responsable de explotación local • OBL
  • 49. Políticas de seguridad• Política de contraseñas – Contraseñas seguras – Vigencia de 1-2 meses máximo – Histórico de contraseñas (no repetir las anteriores)