High Quality
Open the downloaded document, and select print from the file menu (PDF reader required).
Eliseo Ortiz Valdez Ing. TelecomunicacionesSistemas de Transmisión Inalámbricos
Recomendaciones para para una arquitectura WLAN 802.11
1. Introducción
La National Security Agency ha sacado recientemente unos manuales de seguridad, loscuales comprende desde sistemas operativos, servidores de bases de datos, dispositivosde interconectividad (routers, switches, etc.), VoIP, y redes inalámbricas. En este casoexaminaremos de manera general que recomienda la NSA para protección de nuestrared inalámbrica.Las redes inalámbricas de una red local (WLAN) están basadas en el estándar IEEE802.11, este estándar se encuentra comúnmente en la mayoría de las computadoras personales y hardware add-on como adaptadores USB y PCMCIA. Lo que nos permiteesta tecnología es movilidad, flexibilidad, además de una fácil instalación.Antes de integrar una solución inalámbrica a una red el propietario de la red debe dedefinir Políticas de Seguridad de Sistema para poder manejar las redes inalámbricas ydecisiones de seguridad. Los componentes aprobados de seguridad incluyen lacertificación FIPS 140-2 en cuanto a mecanismos de encriptación, la NIAP certificafirewalls y todo el equipo incluyendo dispositivos AP de los clientes, IDS, anti-spyware,firewalls personales de los clientes.
2. Recomendaciones de configuración
•
Cambiar el default SSID. Este es el nombre que identifica la WLAN, elSSID no deberá de contener información sobre la organización.
•
Cloak SSID. Los paquetes SSID contienen elementos de información comolos rangos soportaos, el nombre SSID, parámetro de tráfico. El elemento dela información SSID debe de estar presente, sin embargo el SSID puede ser omitido.
•
No permitir broadcast SSID. Se debe de configurar un SSID nulo, estofuerza al usuario requerir el SSID antes de poderse conectar
•
Habilitar el filtrado por dirección MAC. Es necesario que un cliente registresu dirección MAC, antes de poderse conectar.
•
Deshabilitar la autentificación de Sistema-Abierto y Llave compartida.
•
Deshabilitar el modo WEP. La red es vulnerable debido a varios ataques públicos conocidos al algoritmo RC4
3. La arquitectura de conmutación
La fundación de la IAD recomienda la siguiente arquitectura como se muestra en lafigura:Fig 1. Arquitectura de conmutación entre el switch y los AP`s de la organizaciònCon una administración centralizada el Administrador de Sistemas puede mirar elestado completo de la red, cambiar cualquier configuración, modificar políticas deseguridad, todo esto a través de un enlace encriptado y en una simple Terminal.
4. Autentificación y Encriptación
La arquitectura de red conmutada ilustrada en la fig. 2 usa dos túneles para proveer enadecuado nivel de seguridad para proteger el Gobierno de los EUA, en el uso de datosclasificados. El primer existe en la capa 2, el cual termina en cualquiera de entre elcliente y el AP o entre el cliente y el switch.Algunos manufactureros de AP proveen a este la capacidad de ejecutar a encriptación.En esta capa el equipo del cliente se autentifica en la red. El protocolo recomendado para este túnel es WPA2. Es necesario tener en cuenta que muchas veces para poder realizar este tipo de encriptación es necesario migrar el firmware del AP de WEP aWPA2, en otros casos este ya viene incluido.Las credenciales recomendadas pasan certificados de 2048 bits X.509 del servidor RADIUS en el intercambio de autentificación 802.1x/EAP-TLS.
Fig. 2. Métodos recomendados para la autentificación de una WLANEl túnel número dos existe en la capa 3 , entre el cliente y el concentrador. El usuario seautentifica en cualquiera de las variaciones de protocolos de seguridad que el vendedor soporta (IPSec) que use autentificación de usuario ( xauth), o bien con L2TP/IPSec, elcual es un estandar de la IETF.
5. Protecciòn Física de los Puntos de Acceso (AP)
•
Si la encriptación ocurre entre el cliente y el AP, el AP debe de estar físicamente protegido, debido a que la interfaz cableada del AP provee unenlace abierto a la red.
•
Si la capa 3 de encriptación entre el cliente a el concentrador , si el nivel deencriptación de la capa 2 ocurre entre el cliente y el AP, es mejor físicamente protegido para prevenir ataques dos en la capa 2 desde la interfaz del AP
•
Si la encriptación de la capa 2 ocurre entre el cliente y el módulo deencriptación en el swith de la capa 3 el AP no necesita estar protegido.
Add a Comment