Comenzaré diciendo que es bueno ver cómo la mayoría de las empresas han adoptado la tecnología inalámbrica para ofrecer el servicio, bien sea para sus visitantes o para los empleados que necesitan movilidad al interior de la compañía, sin perder conectividad y de esta forma continuar realizando sus labores. Otras aprovechan esta tecnología para evitar el pago a proveedores de servicio por la conexión de edificios que tienen línea de vista entre ellos. Esto lo logran con el uso de dos dispositivos de radio ubicados en cada uno de los edificios y la utilización de antenas direccionales de mayor ganancia para que la señal llegue con la suficiente fuerza entre ellos.
- Robo de información.
- Virus y Spyware.
- Spam, sacando correo indiscriminadamente desde nuestra red.
- Cortes en prestación del servicio a nuestros usuarios.
- Ataques realizados a terceros desde nuestra red y por ende provocar bloqueos de nuestras IP’s.
- Modificaciones a la configuración de nuestros dispositivos entre otros.
En Conntux S.A.S., queremos ayudarle a nuestros clientes a evitar errores que pongan en riesgo su información y para ello le mencionaremos entonces algunos puntos a tener en cuenta para la seguridad de su red Wi-Fi:
- No publique su SSID(Service Set IDentifier); este es el nombre que se le asigna a la red inalámbrica y nos permite diferenciarla de las demás. Esto solo nos sirve para ponerle una tarea más a los intrusos porque nunca fue diseñado como un elemento que ayude a la seguridad de nuestra red, ni siquiera como herramienta de control de acceso; así que, no piense que el no publicarlo nos pone a salvo de inconvenientes de seguridad; además, existen en internet infinidad de herramientas que nos permiten conocer este SSID ya que independientemente de si se publica o no, las tramas permanecen en el aire y pueden ser interceptadas.
- Filtre las direcciones MAC(Media Access Control address); esto, siempre y cuando sus clientes y Access Points no sean demasiados porque de lo contrario será una taré muy engorrosa mantener actualizada la lista de dispositivos que pueden conectarse a nuestra red.
- Uso de WEP(Wired Equivalent Privacy); este protocolo especificado en el estándar 802.11 que nos ayuda a encriptar las comunicaciones que se llevan a cabo en nuestra red inalámbrica y autenticar los clientes que se quieren conectar a esta; en sus comienzos funcionó bien; pero, hoy en día usar WEP es casi equivalente a no usar ningún protocolo de encriptación, ya que existen muchas herramientas que permiten apoderarnos de la clave para realizar esta encriptación y comenzar a interceptar todo el tráfico que circula en las mismas.
- Uso de 802.1x; este es un estándar de control de acceso basado en puertos para Redes de Área Local y que nos permite el uso de diferentes mecanismos de autenticación (se entiende por “puerto” el punto de acceso a la infraestructura de red que para el caso de las redes inalámbricas es proporcionado por el Access Point o AP). Este estándar define tres elementos:
- Servidor de Autenticación; encargado de verificar las credenciales de los usuarios.
- Autenticador; encargado de recibir la información del usuario y la traslada al servidor de autenticación.
- Suplicante; que es la aplicación o software cliente que provee la información de las credenciales del usuario al autenticador.
- Use WPA(Wi-Fi Protected Access). Cuando se descubrieron las enormes debilidades del protocolo WEP, la industria volcó sus esfuerzos a la implementación de un protocolo que corrigiera estas y así generar confianza en el uso de los sistemas Wi-Fi a nivel empresaria. Estos esfuerzos dieron como resultado una solución temporal conocida como WPA, que corrige los errores de WEP y es capaz de usar para la autenticación el 802.1x haciendo uso del estándar EAP o incluso el mecanismo de PSK (Pre-Shared-Key).
- Uso de 802.11i, este estándar es también conocido como WPA2 (recuerden que WPA es un borrador, este es el definitivo) aunque esta apreciación no es exacta, ya que este hace referencia únicamente al cifrado. Este se aprobó en el año 2004, utiliza el protocolo AES (Advanced Encryption Standard) y hasta hoy es considerado lo máximo para la protección de nuestras redes inalámbricas ya que este se encarga de autenticar mutuamente la estación y el punto de acceso.
- Antes de comenzar a diseñar su red Wi-Fi, haga un Site Survey para determinar cómo está el espectro de radio, interferencias, etc., en el lugar de su red, esto, le aseguro que le quitará dolores de cabeza en un futuro.
- Ubique sus puntos de acceso en lugares no muy visibles y evite inconvenientes con usuarios malintencionados que pongan en riesgo la disponibilidad de su servicio.
- Documente siempre, la configuración de cada uno de sus puntos de acceso.
- Capacite sus usuarios al menos en los aspectos mínimos del uso de estas tecnologías.
- En lo posible, gestiones su red de manera centralizada.
- No mezcle tecnologías de distintos fabricantes, por lo menos en el core de su red Wi-Fi.
- Asegúrese siempre de cambiar las contraseñas por defecto de los Access Point, un atacante esto es lo primero que intenta.
- Independientemente de la actividad que su empresa realice, debe aplicarle algún estándar de seguridad a su red Wi-Fi; dejar esta al libre albedrío de sus empleados o visitantes, le puede acarrear problemas. Puede que a usted no le interese encriptar absolutamente nada y le da lo mismo si cualquiera logra ver el tráfico de su red, pero permitir que todo mundo pueda conectarse a esta, le hace vulnerable a males como virus y spyware que no solo son para ver datos sino para obtener por ejemplo, información financiera como las clave de los equipos conectados a su red.
- Elimine el protocolo WEP de su diccionario; recuerde, anteriormente hice el comentario que tener este protocolo para asegurar nuestra red, es equivalente a casi nada. Si su objetivo es poner su infraestructura de red en aprietos durante algún lapso de tiempo, entonces este es el protocolo que debe usar.
- Si el número de equipos Access Points y dispositivos que se conectan a estos son muy pocos, comience por limitar el acceso mediante los filtros de MAC que traen los AP’s, y aplique WPA-PSK (Wireless Protected Access – Pre Shared Key), este protocolo ha demostrado ser lo suficientemente bueno como para implementarlo en una red Wi-Fi, en la que sea importante en baja magnitud la autenticación y la confidencialidad de los datos. A nivel empresarial mínimamente es esto lo que se debería tener.
- En la mayoría de las empresas es importante mantener un alto grado de privacidad en las
comunicaciones que atraviesan nuestras redes Wi-Fi; por ende, le recomiendo no “ahorrar” en costos a la hora de implementar la seguridad de su red. Así que piense mejor en implementar siempre su infraestructura con el estándar WPA2, usando un Servidor RADIUS al que todos sus Puntos de Acceso le pregunten a quien permitir o no ingresar a la red y como método de autenticación el estándar EAP-TLS, este es el más recomendado por la Wi-Fi Alliance que es el ente que rige, organiza, apoya y certifica los productos de la industria Wi-Fi. - Implemente VPN’s para que los clientes de su oficina que desean conectarse a la red Wi-Fi puedan acceder de forma segura a la información y aplicaciones de su empresa.
- La última recomendación que le puedo dar es que no permita nunca que a su red corporativa se conecten los visitantes, proveedores, etc. Este error es constantemente cometido por las empresas y se les ha convertido en un verdadero dolor de cabeza por todo lo que esto conlleva. Tenga en cuentas que a su red deben conectarse únicamente equipos que estén bajo su dominio administrativo, que usted sabe cuán actualizados se mantiene el sistema operativo de estos, antivirus, firewalls etc. Por corto que sea el tiempo de conexión de estos a su red, recuerde siempre cuanto tiempo le demora resolver los inconvenientes que estos le pueden causar.
Permítase entonces considerar ahora el tipo de seguridad que su red inalámbrica tiene instalada y responda usted mismo cuán segura es esta. Luego basado en los puntos anteriores indique que tipo de seguridad debe tener su red para poder considerar esta una red confiable como para realizar labores en el ámbito empresarial.
Siempre será mucho mejor entregar las labores de diseño de su red inalámbrica a manos profesionales de las redes que permitan que el diseño de esta se adapte perfectamente al entorno en el que esta trabajará.
Recuerde que en el mercado estamos empresas como Conntux S.A.S. que pueden evaluar su de red inalámbrica, proveer los dispositivos tecnológicos y realizar tanto las instalaciones como configuraciones necesarias para que su red Wi-Fi sea considerada realmente una red segura. Hemos realizado montajes de redes inalámbricas en escenarios de mucha congestión radial; pero, gracias al profesionalismo y herramientas usadas para el diseño e implementación de estas aún hoy permanecen activas y seguimos realizando tareas de gestión y verificación de la seguridad de estas.
Conntux S.A.S. le ofrece la implementación de redes Wi-Fi altamente confiables y seguras, que le permitan concentrase estrictamente en su negocio. Además de redes administrables de manera centralizada con tecnologías que faciliten la labor de gestión a los administradores de red. Permítanos darle a conocer nuestras soluciones a nivel inalámbrico y trabaje con la tranquilidad y confiabilidad que brinda una buena infraestructura de red.
C.E.O.
Conntux S.A.S.
gerencia@conntux.com
Definitivamente en las empresas hemos creido que poner equipos con wifi indiscriminadamente es la solucion y por lo que leo en este articulo hay que cambiar eso si no lo pensamos hacer bien.
ResponderEliminarExcelente blog!!!!!!!!!!, no lo vayan a dejar morir por favor!!!!!!!!!!