20 de febrero de 2007

Wireless: Tips de seguridad para pequeñas instalaciones

Las proyecciones indican que se espera en la Argentina la instalación de un millón de nuevos accesos de banda ancha. Esto no sólo implica un crecimiento en la cantidad de líneas de acceso a Internet, sino que paralelamente también significa la multiplicación de la instalación de dispositivos para administrar y distribuir esos accesos de banda ancha.
En los últimos años se han hecho muy populares una amplia serie de dispositivos para la administración de este tipo de accesos, en términos generales diseñados para la utilización en accesos de usuario final (mercado hogareño) y de pequeña y mediana oficina: los célebres routers de banda ancha.
Y esta es una primera observación de gran importancia: este tipo de dispositivos está diseñado para dar respuesta a requerimientos puntuales de un mercado específico. Sus limitaciones en lo que se refiere a prestaciones y posibilidad de configuración hacen que no sean la opción más adecuada para el ámbito corporativo.
Sin embargo, estos dispositivos tienen una variedad importante de prestaciones que los hacen más que convenientes y aptos para instalaciones pequeñas: firewall incorporado, NAT, servidor DHCP, cliente DHCP (Easy IP), switch incorporado, access-point wireless incorporado, terminador de VPNs, etc.
Un punto que merece particular consideración entre los que acabo de mencionar, es la incorporación de servicios wireless.

Cada día hay más instalaciones wireless (wi-fi). Y esto obedece a diferentes motivos: la existencia de un estándar sólido, la incorporación de placas wireless en la mayoría de los dispositivos portátiles en venta, la posibilidad de acceder a access-points de bajo costo, la existencia en el mercado de productos comerciales de configuración e instalación muy sencillas.

Este último punto es un problema: la instalación sencilla. La mayoría de estos dispositivos wireless pueden comenzar a funcionar rápidametne con sólo ser conectados a la red eléctrica sin exigir ninguna configuración adicional para ser utilizados inmediatamente. Esto es una gran ventaja comercial y para el usuario final. Pero paralelamente es una fuente enorme de problemas.

Los sistemas wireless son sistemas realmente complejos y sofisticados que pueden dar servicios áltamente deseables... pero que requieren conocimientos y atención. Es frecuente que escuchemos decir que las redes wireless no son seguras, y es cierto... en la medida en que las cosas no se hacen bien. Es por esto que me parece de suma importancia tener en cuenta las siguientes consideraciones para asegurar un access-point wi-fi en un entorno de redes hogareñas o de pequeñas oficinas:

  • Cambiar la clave de administración.
    Estos dispositivos en general suelen contar con una interfaz de administración de acceso web a la que se ingresa con un usuario y clave que tienen valores por defecto establecidos por el fabricante. Pero también incluyen una opción para cambiar la clave (change password).
    Es fundamental cambiar esa clave por defecto y configurar una nueva clave de acceso que sea una clave "fuerte" (al menos 7 u 8 caracteres que incluyan letra, números y en lo posible símbolos).
    Cualquier implementación de seguridad, si se mantiene la clave por defecto, es ociosa.
  • Cambiar el SSID.
    El SSID es el identificador del conjunto de dispositivos que integran una clave wireless y que los diferencia de cualquier otro conjunto que comparta el mismo espacio físico.
    Los dispositivos suelen también tener un SSID configurado por defecto. En los dispositivos Linksys este ID por defecto es... "Linksys". Es preciso cambiarlo y configurar el propio identificador.
    Este ID es sensible a mayúsculas y minúsculas y puede tener una longitud máxima de 32 caracteres. Se puede incluir cualquiera de los caracteres del teclado.
  • Desabilitar el broadcasting de SSID.
    Una de las prestaciones que prevé el estándar 802.11 para los access-point es la posibilidad de publicar el SSID a los clientes wireless de su área de cobertura de modo que los clientes pueden aprender el SSID del access-point.
    Desabilite esta función. De este modo sólo podrán integrarse a la red wireless aquellos clientes en los que se configure manualmente el SSID elegido (obviamente, diferente del SSID por defecto).
  • Habilitar alguna forma de encripción.
    La gran mayoría de los routers de banda ancha y acces-point para pequeñas instalaciones cuentan con alguna forma de encripción (este es un punto a tener en cuenta al definir la compra). Para prevenir cualquier intento de acceso no autorizado a la red, active alguno de los protocolos de encripción disponibles: WEP (en lo posible en su versión de 128 bits) o mejor WPA-PSK. Estos algoritmos de encripción requieren el ingreso de una frase clave. Esta frase puede ser una frase clave configurada por el Adminsitrador o una generada al azar y suministrada por el sistema.
  • Mantener el firmware actualizado.
    Las empresas fabricantes suelen poner a disposición de sus clientes versiones actualizadas del sistema operativo de los dispostivos, que no sólo incorporan nuevas prestaciones, sino que también solucionan en muchos casos problemas operativos o de seguridad.
    Es de suma importancia mantener actualizada la versión del firmware. Para eso es preciso ingresar periódicamente al sitio web del fabricante y verificar cuál es la última versión disponible.
    Si el suyo es un dispositivo Linksys, el sitio para bajar imágenes de firmware es este.
  • Habilitar el filtrado de direcciones MAC.
    Es recomendable activar esta función (Wireless Network Access MAC Filter) de modo de habilitar el acceso sólo de un conjunto específico de direcciones MAC.
    Si no conoce la dirección MAC de sus terminales, puede obtenerla (en sistemas Windows) ejecutand en una ventana DOS el comando ipconfig/all.
    La dirección MAC aparece como Physical Address y es un valor como 00-0D-9D-88-6C-8C. Atención, si la terminal cuenta con otras interfaces de red es preciso asegurarse que se trata de la dirección física de la placa wireless.
  • Limitar DHCP.
    Estos dispositivos incluyen generalmente un servidor DHCP. Algunos expertos de seguridad aconsejan desabilitar este servicio y configurar las direcciones IP manualmente.
    Para no perder los beneficios de la configuración dinámica es recomendable limitar el conjunto de direcciones IP a las estrictamente necesarias para el funcionamiento de la red: si tiene sólo 5 terminales, se requiere un pool de sólo 5 direcciones, no 50.
  • Bloquear la respuesta a solicitudes desde Internet.
    Algunos dispositivos permiten bloquear las solicitudes que se reciben a través de la interfaz WAN. Activar esta interfaz permite ocultar la dirección IP pública (ante posibles escaneos de direcciones IP), y prevenir intentos de intrusión desde el exterior.
  • Implementar firewalls en las terminales como protección adicional.
    Estos dispositivos incluyen en general un firewall para brindar una seguridad adicional a la red interna. Es conveniente no descansar exclusivamente en esta defensa.
    Para esto, además de un buen anti-virus y anti-spyware, es importate la instalación de un firewall en las terminales de nuestra pequeña red.
    Hay varios productos de distribución libre. Por supesto que es necesario que todos estos productos instalados en la terminal (anti-virus, anti-spyware, firewall) se mantengan actualizados.
  • Monitorear la red wireless propia con la mirada de un intruso.
    Hay productos que instalados en una laptop o pocket PC permiten examinar la red wireless y verificar cómo se está publicando. Un producto de distribución libre con este propósito es NetStumbler.
    Una práctica recomendable es activar el producto en un dispositivo portatil y recorrer no sólo el ámbito de la casa u oficina, sino también las adyacencias para poder determinar cuál es el área de cobertura de nuestro access-point y cómo se está publicando. Por supuesto que esto también le posibilitará detectar la presencia de otros access-point y su situación.

Por favor, tenga presente que esta no es una guía de seguridad wireless para redes corporativas, sino sencillamente para instalaciones hogareñas o en pequeñas oficinas. La seguridad wireless en redes corporativas requiere de un conjunto de instancias más complejas, aunque por supuesto que estas mismas también deben ser tenidas en cuenta.

Quizás usted ya instaló un access-point o router de banda ancha y ha tenido su propia experiencia. Sería muy importante compartir esa experiencia si la agrega en forma de comentario.
¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

.

No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.