Getty Images Plus
Implementación de la seguridad inalámbrica en la empresa
Aprenda cómo proteger adecuadamente la red inalámbrica de su empresa teniendo en cuenta la UX, la confianza cero y los errores arquitectónicos que suelen pasarse por alto.
La seguridad inalámbrica es más importante que nunca a medida que el perímetro tradicional se disuelve y aumenta el trabajo remoto a través de dispositivos conectados a Wi-Fi. La seguridad inalámbrica debe reevaluarse constantemente conforme la arquitectura inalámbrica cambia y nuevos terminales, como los dispositivos IoT, se conectan a la red.
Con “Wireless Security Architecture: Designing and Maintaining Secure Wireless for Enterprise”, la autora y fundadora de Viszen Security, Jennifer Minella, quería educar a una amplia audiencia sobre la seguridad y la arquitectura de las redes inalámbricas. "La tecnología inalámbrica tiene su propio lenguaje que no es necesariamente accesible para otros profesionales de TI", afirmó Minella. "Escribí el libro para cualquier profesional de TI que tenga conocimientos básicos de redes".
Aquí, Minella analiza por qué resulta necesario el libro, qué empresas lo encontrarán útil, cómo gestionar la seguridad junto con la UX, cómo la confianza cero ha afectado la seguridad inalámbrica y más.
Lea un extracto del Capítulo 5 del libro, que cubre la metodología de cinco fases de Minella para la seguridad de redes inalámbricas.
Nota del editor: La siguiente entrevista está editada para que sea concisa y clara.
¿Por qué escribió Arquitectura de Seguridad Inalámbrica?
Jennifer Minella: Mi libro cubre más que la seguridad inalámbrica; es más como un libro de arquitectura de seguridad de red. He desempeñado un cargo durante casi 20 años, destacando mucha implementación y consultoría para diferentes empresas en todos los segmentos de la industria. Al realizar proyectos de seguridad y arquitectura de redes, surgen las mismas preguntas una y otra vez. Quería que la gente tuviera una fuente a la que pudieran recurrir.
Uno de mis grandes impulsores ha sido alinear el SOC [centro de operaciones de seguridad] y el NOC [centro de operaciones de red]. Es mi linda manera de decir que necesitamos alinear las redes con la seguridad operativa y estratégicamente. Muchos tecnólogos se centran en los productos y en su configuración. Me han llamado a darles consultoría durante el proceso de toma de decisiones de seguridad. ¿Cuál es el apetito por el riesgo y los requisitos de cumplimiento de la oficina del CISO, o de la oficina de gestión de riesgos? No siempre se comunica bien, especialmente si una empresa no tiene los dos puestos en primer lugar.
También ha habido muchas actualizaciones recientes de seguridad inalámbrica. Las mejores prácticas actuales a menudo van en directa oposición a lo que seguíamos antes. Quería darle a la gente esa información. Eso sucede de dos maneras en el libro: hay pequeñas hojas de trucos para equipos pequeños que solo necesitan conocer las mejores prácticas. Los arquitectos y profesionales más interesados en tomar sus propias decisiones informadas pueden leer el resto del libro y aprender sobre el proceso de pensamiento, los estándares, la información y los datos que se incluyeron en estas decisiones tipo hoja de trucos. Quería darle a la gente algo práctico para usar, que realmente no existe en ningún otro recurso.
Si alguien fuera a leer solo un capítulo del libro, recomendaría que fuera el Apéndice C. Tiene arquitecturas de muestra, que es la culminación del contenido del libro en una serie de tablas fáciles de leer.
¿Pueden empresas de cualquier tamaño utilizar los consejos proporcionados en el libro?
Minella: Sí, y por eso el libro tuvo que ser tan grande. Mi experiencia se extiende a todo, desde agencias federales y corporaciones privadas, hasta municipios estatales y escuelas individuales. Si es una organización con conmutadores administrados y si sus conmutadores tienen direcciones IP y una interfaz que puede configurar, el libro es para usted.
Si bien no trabajo mucho en pequeñas empresas, podrían obtener valor del lado de Wi-Fi. El libro profundiza en la comprensión de la relación entre la seguridad en el lado cableado y en relación con el Wi-Fi.
Una lucha constante es mantener la seguridad sin arruinar la experiencia del usuario . ¿Tiene algún consejo sobre cómo manejarlo?
Minella: Cuando se trata de tecnología inalámbrica, existen algunos modelos de experiencia del usuario (UX, por las siglas de User Experience) diferentes que se pueden seguir:
- Te conectas y estás abierto.
- Te conectas y obtienes un portal.
- Ingresas una frase de contraseña para conectarte.
- Realizas la autenticación 802.1x completa con credenciales/certificado.
Dicho esto, existen algunos mecanismos más nuevos diseñados para abordar la facilidad y agregar seguridad sin afectar más al usuario. Un ejemplo es Wi-Fi Enhanced Open, que agrega cifrado a una red abierta, como la red de invitados en Starbucks o en un hotel. Por lo general, esas redes no están cifradas porque tiene que haber un intercambio de claves para tener cifrado. En este momento, esto no es compatible con todos los endpoints. La configuración necesaria es confusa e inconsistente. Si bien no es perfecto, nos dirigimos hacia agregar seguridad sin afectar a los usuarios.
Otra opción es considerar lo que estamos viendo desde el espacio privado del celular. Es interesante porque obtenemos el mismo nivel de seguridad, o un nivel equivalente, que obtendríamos con una red segura 802.1x completa, pero no hay nada que el usuario realmente deba hacer. Las identidades están vinculadas a un número de serie codificado en un teléfono o a una identificación de suscriptor en la SIM, y luego la seguridad se superpone a eso. Fuera de la caja, la UX se ve y se siente como usar un teléfono celular en una red de operador público.
¿Qué problemas de seguridad suele observar cuando un equipo configura una red inalámbrica?
Minella: Hay varias cosas que veo que la gente hace comúnmente. El gran problema es que realmente no profundizan en cómo están socavando sus propios mecanismos de seguridad.
Un ejemplo son los SSID [identificadores de conjuntos de servicios]. Durante años, nos han dicho que colapsemos los SSID. Eso tenía que ver con la sobrecarga desde la perspectiva del espacio aéreo de RF [radiofrecuencia]: hay un tiempo limitado en el aire, y todo lo que habla y emite señales ocupa parte de ese tiempo en el aire. Entonces, si tienes muchos SSID, incluso si no hay nada en ellos, están ocupando una cierta cantidad de tiempo aire. Una vez que llegas a tres, cuatro o cinco SSID, era como, "está bien, ahora debes comenzar a agruparlos en dominios de seguridad comunes". Pero, con la tecnología más nueva, eso es un problema menor. Es una de esas cosas contradictorias en las que el consejo ahora es que debemos hacer un mejor trabajo para descifrar los SSID en función del perfil de seguridad de los endpoints que se conectan, o los recursos o datos que están disponibles en esas redes.
Ya no es apropiado que intentemos colocar todos los dispositivos tipo IoT basados en contraseñas de frases en una sola red, o colocar todo lo que puede funcionar con 802.1x en un SSID. Incluso si tienen VLAN [LAN virtuales] separadas, una vez que están en la red, la realidad es que el modo de operación predeterminado (y el único modo de operación para algunos productos) es que el SSID completo está en un dominio de transmisión. Existen vulnerabilidades que se pueden evitar entre esos endpoints, incluso si las asignaciones de VLAN estáticas o dinámicas ocurren en otro lugar donde la vulnerabilidad existe por aire. Por lo tanto, no colapse los SSID. En su lugar, aumente la cantidad de SSID según los requisitos de seguridad.
El siguiente problema de seguridad tiene que ver con que no todos los dispositivos pueden funcionar con 802.1x, que es el estándar de oro para la seguridad y un escenario de acceso Wi-Fi estándar. Para los dispositivos que no pueden funcionar con 802.1x, los proveedores optan por el camino más fácil y omiten la autenticación MAC [control de acceso a medios], o MAB. Esto efectivamente socava toda la seguridad en la red 802.1x porque permite dispositivos que no participan en la autenticación. Las direcciones MAC son identificación, no autenticación. La seguridad alrededor de ese punto final no está a la par con la del resto de los dispositivos de la red. Se siente seguro, pero es excepcionalmente inseguro. Muchos probadores de penetración utilizan esto para ingresar a una red.
El último problema tiene que ver con los protocolos destinados a ser utilizados en redes domésticas donde no hay infraestructura como en las empresas, como servidores DNS y el protocolo de configuración dinámica de host [DHCP]. En cambio, un conjunto de protocolos, como Bonjour de Apple y DNS de multidifusión, permiten que las cosas se comuniquen entre sí. No se trata de una definición estricta de Wi-Fi, pero, efectivamente, están utilizando infraestructura de red. Pero es sólo la parte de conectividad y no otros servicios de red como DNS y DHCP.
Básicamente, recibimos llamadas para habilitar la comunicación entre estaciones. Quizás hace ocho o diez años, esto estaba deshabilitado de forma predeterminada. Si uniera un SSID con mi computadora portátil y luego con mi teléfono, estos dos dispositivos no podrían comunicarse entre sí. Luego, la consumerización se hizo popular y los fabricantes recibieron llamadas de apoyo para ello. El comportamiento predeterminado cambió a ser abierto y permitir esa comunicación.
La comunicación sin restricciones a través de SSID abre a las empresas a problemas como la propagación de malware porque nada impide que nada se comunique. Diferentes dispositivos pueden tener protecciones diferentes a otros.
Los protocolos de consumo en redes empresariales son un gran problema. No puedes ir a una organización y decirle a un ejecutivo: "Lamento que tu AirPlay ya no funcione". Simplemente le dirán que vuelva a activar la capacidad.
¿Cómo ha afectado la confianza cero a la seguridad inalámbrica?
Minella: Por el momento ha sido un impacto directo mínimo. Eso cambiará eventualmente.
Las soluciones de confianza cero se pueden clasificar en tres modelos de casos de uso:
- usuario a recurso, ya sea local o en la nube;
- dispositivo a dispositivo, sin usuario necesariamente conectado; y
- servicio a servicio o servidor a servidor.
Usuario a recurso, ya sea que estén juntos en un campus o si ambos son remotos, es apropiado para la confianza cero. Para el segundo, nos adentramos en los productos de microsegmentación basados en redes. El último implica la microsegmentación de la carga de trabajo, que es un conjunto de productos completamente diferente.
Lo extraño es que muchas soluciones de confianza cero están diseñadas para ser nativas de la nube o enrutadas a la nube, y realmente están diseñadas para este modelo en el que el usuario está en un lugar y el recurso en otro. Cuando el usuario está ubicado con el recurso, como en Wi-Fi, a menudo estamos físicamente cerca del punto de acceso y tenemos que conectarnos a Wi-Fi para estar remoto. Nos embarcamos en este modelo en el que confiamos en algo basado en agentes o en un tipo de tecnología de microsegmentación de dispositivo a dispositivo.
Debido a que muchos productos de confianza cero son un escenario de modelo remoto basado en la nube, no han logrado llegar al mundo tradicional de LAN y Wi-Fi. Está sucediendo, pero lentamente. Con el tiempo, nuestros terminales que están bajo gestión corporativa tendrán algún tipo de agente. En lugar de que algo se conecte a Wi-Fi y luego a una VPN, se convierte en el lugar donde el agente toma las decisiones y participa en la aplicación de la ley para acceder a los recursos. Ese mismo endpoint administrado puede participar en la conectividad Wi-Fi, como si estuviéramos utilizando 802.1x en una red cableada o conectándonos a través de una VPN.