Las comunicaciones integradas avanzan exponencialmente en el tiempo, variando las ideas preconcebidas y tradicionales que se tenían en los ámbitos empresariales y domésticos y en busca de mayores prestaciones, servicios y comodidades, y permitiendo la interconexión de lugares aislados o con gran dificultad técnica. Prueba de ello es el auge de las tecnologías inalámbricas en todos estos campos, que han convertido el tradicional mundo del cableado en una combinación entre cableado y nuevas tecnologías inalámbricas que favorecen y promueven la versatilidad de las comunicaciones actuales.
Entre las tecnologías inalámbricas actuales, como son Infrarrojos (IR), Bluetooth, LTE, UMTS,… la más utilizada es la denominada tecnología Wi-Fi.
Seguridad en redes Wi-Fi
El auge de este tipo de comunicaciones provocó una preocupación importante en la seguridad de las mismas debido a que el medio físico en el que se transmiten las tramas es el medio aire, y éstas podían ser interceptadas mostrando toda la información transmitida. Por ello, la protección de dicha información se hizo vital para el establecimiento de dicha tecnología de comunicación. Existen diferentes medios de seguridad que se pueden clasificar en dos campos: Protocolo de Seguridad y Diseño de la Red.
a) Protocolo de Seguridad
Son protocolos de cifrado que se aplican a la trama transmitida para codificar su información y que son proporcionados por los mismos dispositivos inalámbricos, generando así que las tramas interceptadas solo puedan ser desencriptadas mediante el conocimiento de una clave específica.
- WEP: Son cifrados de 64bits y 128bits mediante una “clave” estática y que se aplican sobre las tramas antes de enviarlas al medio aire. Este protocolo no es recomendable ya que presenta grandes vulnerabilidades de seguridad y existen ya multitud de software capaces de desencriptar la información cifrada con dicho protocolo ya que se basa en un algoritmo criptográfico (RC4) el cual es conocido por sus vulnerabilidades amén de enviar parte de su tráfico sin cifrar lo que permite capturar los IVs (Vectores de Inicialización).
- WPA: Evolución del Protocolo WEP que genera una “clave” dinámica la cual se inserta como dígitos alfanuméricos.
- WPA/WPA2: Evolución del Protocolo WPA. Actualmente es reconocido como el más seguro y es el más utilizado.
Se recomienda que las “claves” utilizadas sean “claves” complejas y no sean las establecidas por defecto (debido a que una “clave” débil es más vulnerable a ser descubierta por algunos software). También es recomendable modificar la “clave” que tengan por defecto los dispositivos debido a que, aunque WPA2 no es desencriptable por los software que lo hacen con WEP, si es posible recibir un ataque de direccionamiento (no de fuerza bruta) contra dicha red, por lo que si la “clave” es débil se podría obtener.
b) Diseño de la red
A continuación, se indicaran varias configuraciones que, junto con los protocolos de seguridad, pueden ayudar a mejorar la seguridad de las comunicaciones inalámbricas. Estas configuraciones pueden utilizarse dependiendo de las necesidades del despliegue Wi-Fi y las propias de los usuarios y el cliente de la infraestructura. A su vez pueden utilizarse todas, varias o ninguna de ellas sin perjuicio de la calidad de la comunicación según el criterio del diseñador del despliegue Wi-Fi.
- Nombre SSID: Se recomienda encarecidamente que se cambie el nombre por defecto del SSID que tengan los dispositivos.
- Hide SSID: Esta técnica consiste en ocultar el nombre del SSID de la red WLAN, lo que implica que el usuario que quiera conectarse deberá conocer tanto la password o clave de acceso a la WLAN, como el nombre de la misma, ya que aparecerá como “Red oculta” en los buscadores de redes inalámbricos. A groso modo y salvando las distancias, es como disponer de una doble clave, el nombre de la red y el password de la misma.
- Control Horario: Es una buena política de seguridad que los dispositivos Wi-Fi solo emitan en el horario de utilización de los mismos, evitando estar emitiendo señal cuando no se les esté dando uso.
- Access List: Esta técnica consiste en verificar la MAC de los dispositivos que solicitan la conexión a la red WLAN. El listado de las MAC autorizadas se encontrará en el AP, Controladora o Servidor dependiendo de los dispositivos autorizados. Con esta técnica se crea un segundo nivel de seguridad debido a que, aun con el conocimiento del password o de la red y el password (si está en Hide SSID), si la MAC no está autorizada no se permitirá el acceso a la WLAN.
- No DHCP Server: Esta técnica aplicada sobre el DHCP Server de la red WLAN implica un segundo nivel de seguridad debido a que los dispositivos a conectar deben conocer que no hay suministro automático de IP y deben configurarse una IP Estática en los mismos, lo que implica el conocimiento de la red a la que desean conectarse por parte del usuario.
- HotSpot: Esta técnica implica diferentes ventajas dependiendo del nivel de seguridad que se desee implantar en el Portal Cautivo.
- RADIUS: Esta técnica es actualmente la que mayor seguridad presenta. Implica la necesidad de un servidor Radius que dispone de los usuarios que pueden conectarse y los equipos autorizados de los mismos, así como la contraseña de acceso a la WLAN.
- Reglas Estáticas Firewalls: Configuración de pequeñas reglas estáticas de Firewall en el propio AP o en la Controladora, dependiendo de los dispositivos utilizados en el despliegue, como Firewall perimetral.
Sistemas de prevención de intrusiones inalámbricas (WIPS)
Los sistemas tradicionales de gestión de redes Wi-Fi se centran en proporcionar funciones de conectividad, dejando de lado el factor de la seguridad de red, encontrándose habitualmente instalaciones que no supervisan el medio aire ni gestionan las comunicaciones a través de dicho medio, siendo totalmente vulnerables a ataques de DoS, intrusión o suplantación de APs.
Al igual que un Firewall presenta un sistema de prevención de intrusiones en una red local. Del mismo modo, es necesario que se realice un control sobre la red inalámbrica en el medio que utiliza.
El sistema de prevención de intrusiones inalámbricas (WIPS) se caracteriza en la protección de ataques en el medio, diferenciando, entre otras cosas, por ejemplo, los APs propios de los malintencionados y de aquellos que puedan interferir de redes WLAN cercanas.
Entre los principales ataques que se gestionan en una red con WIPS y que pueden ser combatidos por los sistemas tradicionales de seguridad Wi-Fi se encuentran los siguientes:
1. Detección y bloqueo de Rogue APs o Puntos de acceso falsos (Fake APs).
- Se crean APs falsos por los atacantes que intentan parecer como propios de la infraestructura.
- Ataque muy común en puntos de gran afluencia, así como cerca de HotSpots gratuitos.
2. Detección y gestión de APs mal configurados.
- Evita que aquellos APs que hayan sido reseteados o hayan perdido su configuración (intencionadamente o no) sean accesibles mediante sus claves por defecto.
- La red puede identificarlos y desautorizarlos.
3. Detección de clientes mal configurados.
- Localiza y evita los intentos masivos de conexión bien porque esté mal configurado o bien porque sea un intento de ataque.
4. Bloqueo de conexiones no autorizadas.
- Evita acceso de determinados clientes catalogados como no permitidos aun conociendo las claves de acceso a WLAN.
5. Detección y bloqueo de redes “Ad-hoc”.
- Generación por los atacantes de equipos en el mismo rango de red, lo que implica un riesgo importante de seguridad.
6. Detección de Evil Twins.
- APs creados de forma que suplanten un AP autorizado mediante la emitsión de una señal con mayor potencia.
7. Bloqueo y protección contra AP MAC Spoofing.
- Obtención de MAC de un AP autorizado para suplantarlo.
8. Bloqueo y protección contra DoS Spoofed Disnonnection.
- Envío de tramas de desconexión a clientes para evitar el uso de la red.
9. Bloqueo y protección contra DoS Flooding.
- Saturación de las tablas de enrutamiento de los APs y obtención de su información.
- Sin WIPS, la única solución sería el reinicio de los equipos tras el colapso y la pérdida previa de la información de la red.
10. Bloqueo y protección contra DoS Jamming.
- Impedir la frecuencia de uso de los APs (inhibidores).
11. Clientes puente.
- Clientes que tras conectarse permiten conexión a otros dispositivos generando una vía de acceso sin control a la red.
CONCLUSIONES
Actualmente, debido a los medios existentes, se pueden considerar las redes WLAN seguras en cuanto al proceso de comunicación y transmisión de información en su medio.
Como se ha presentado en el presente artículo, los sistemas WIPS son necesarios para una protección en la red WLAN, debido a que potencia la protección en el propio medio, y no solamente en las conexiones propias de la red tal y como gestionaban los sistemas tradicionales de seguridad inalámbrica, que también han sido comentadas anteriormente.
WIPS es uno de los elementos imprescindibles para las políticas Bring Your Own Device (BYOD).
Como recomendación para una seguridad robusta para una infraestructura Wi-Fi que se precie, además de las ya indicadas en el presente artículo, tanto los sistemas tradicionales de seguridad inalámbrica y la incorporación de sistemas de gestión de WIPs, es la incorporación de un dispositivo Firewall específico que gestione la protección de la infraestructura bien en ella misma o bien como integración dentro de la LAN corporativa. Un ejemplo de dichos dispositivos pueden ser los Firewall WatchGuard o SonicWall.