Mejores prácticas para la seguridad WLAN: integración entre LAN y WLAN, estándar 802.11

Cuando la red inalámbrica WLAN se encuentra con la LAN

Considere cómo se integrarán segmentos WLAN nuevos y reutilice componentes de su infraestructura cableada. La topología de la red, la colocación de dispositivos y medidas de seguridad actuales tienen impacto directo en la seguridad de la LAN inalámbrica.

Restrinja la ubicación de AP en la topología de su red. Las aplicaciones inalámbricas requieren un acceso protegido a la intranet y/o a internet, lo que afecta ruteadores, reglas de firewalls y políticas de la VPN. Los puntos de acceso inalámbricos son entidades que no son de confianza y siempre deben sentarse fuera del servidor de seguridad o dentro de una ‘zona desmilitarizada’ (DMZ), nunca dentro del firewall.

Piense en términos de un servidor de seguridad de tres interfaces –intranet en el interior, puntos de acceso (y otros servidores públicos) en la zona DMZ e internet en la interfaz exterior. Las circunstancias dictan si los puntos de acceso deben ubicarse dentro de la DMZ o en el exterior.

Una DMZ puede proteger a la WLAN de amenazas de internet al tiempo que protege la intranet cableada contra amenazas WLAN. Sin embargo, si por ejemplo el servidor de seguridad no permite que los túneles VPN se originen en la DMZ, puede que tenga que colocar el punto de acceso en la interfaz exterior.

Las capacidades de seguridad de los AP varían mucho. Los puntos de acceso de nivel de entrada son esencialmente centros "tontos", tendiendo un puente entre segmentos inalámbricos y cableados. Los puntos de acceso de nivel empresarial, tales como la serie Aironet 1200 de Cisco Systems y ORINOCO AP-2000 de Proxim, son como los switches gestionados, que ofrecen características de seguridad como el control de acceso al puerto 802.1X. Unos pocos puntos de acceso "inteligentes", como Colubris CN1000 y Smart Wireless Access Point de Madge sirven como puertas de enlace (gateways) de VPN.

En consecuencia, la elección del AP tendrá un impacto en la topología WLAN:

• Los firewalls pueden proporcionar tanto el control de acceso y la terminación de la VPN. Si los firewalls existentes tienen capacidad de reserva, pueden ser apalancados para asegurar su nueva WLAN.
• Sin embargo, las redes WLAN requieren más ancho de banda por usuario que v.90 o incluso el ancho de banda residencial. Los puntos de acceso inteligentes pueden descargar el procesamiento de la VPN, colocando un menor número de demandas en el firewall.
• Otra opción es concentrar el acceso a un nuevo tipo de dispositivo: una puerta de entrada a medida para redes LAN inalámbricas. Las estaciones inalámbricas suelen tener direcciones DHCP, por lo que la inspección de paquetes tiene que ocurrir tanto en las direcciones MAC como en los niveles de usuario. Los gateways WLAN, tales como los de Bluesocket, Vernier y ReefEdge, hacer cumplir políticas escalables basadas ​​en grupos de usuarios/estaciones en lugar de la IP de origen. También pueden ofrecer portales SSL para el registro de acceso (login) de los visitantes o la persistencia del túnel VPN cuando las estaciones son itinerantes de un AP a otro. Los gateways WLAN especializados complementan, pero no reemplazan, los firewalls de internet de propósito general.

Después de entrar en la red cableada, el tráfico inalámbrico debe ser segregado para que puedan aplicarse políticas diferentes. Los servidores de la intranet, los enrutadores de borde y los administradores de ancho de banda se pueden actualizar para filtrar en la subred (o subredes) asignada(s) a la WLAN. Incluso cuando las direcciones se ocultan detrás de Network Address Translation (NAT), las etiquetas LAN virtuales (VLAN) se pueden utilizar para evitar transmitir el tráfico inalámbrico a través de su intranet.

Mejore la seguridad existente. Además de los firewalls y la VPN, se requerirá que la WLAN encaje dentro de la infraestructura de seguridad existente. Tenga en cuenta estos puntos al poner a trabajar todo junto:

• Las listas de control de acceso en los servidores de intranet y los enrutadores pueden bloquear las conexiones desde la red WLAN –o pueden necesitar ser ampliadas para permitir las conexiones WLAN.
• Los servidores DHCP pueden ser reutilizados para suministrar direcciones WLAN. Dado que las redes WLAN no son intrínsecamente dignas de confianza, las reservas pueden enlazar las IPs a direcciones MAC conocidas. Esto no es infalible o altamente escalable, por lo que debe ser selectivo. Por ejemplo, reserve los AP y direcciones de servidores.
• La creación de una nueva lista de usuarios para su WLAN –aunque sea pequeña– introduce una nueva base de datos que hay que mantener. Busque soluciones que aprovechen las credenciales de usuarios o dispositivos existentes y las bases de datos de autenticación. Asegúrese de que su esquema de autenticación WLAN no pone las credenciales existentes de autenticación en riesgo.
• Los adaptadores inalámbricos crean nuevas posibilidades de ataque. Reutilice las medidas de seguridad de escritorio como firewalls personales, escáneres antivirus y el cifrado de archivos para endurecer las estaciones. Los PDAs pueden requerir software diferente, pero no deben ser pasados ​​por alto.

Integre las redes y dispositivos inalámbricos con la infraestructura de gestión existente. Determine si los APs, estaciones y software de WLAN deben ser inventariados, configurados y controlados por las soluciones que ya están en su lugar y si las nuevas herramientas de gestión inalámbrica alimentan sus sistemas de control existentes.

Los puntos de acceso de nivel empresarial y gateways inalámbricos a menudo pueden ser aprovisionados de forma remota por los administradores de redes SNMP. Algunos proveedores de AP como Cisco, Proxim y Symbol suministran administradores de redes inalámbricas o plug-ins del sistema de gestión de red. Están empezando a surgir sistemas de gestión de las políticas inalámbricas de otros fabricantes.

Los puntos de acceso inalámbricos y los gateways pueden generar trampas SNMP o enviar mensajes de registro del sistema (Syslog), alimentando a los servidores de registro y las herramientas de análisis que ya monitorean las redes cableadas. Sin embargo, las redes WLAN tienen sus propias necesidades de información, también. Las empresas pueden necesitar auditar la actividad del usuario; los proveedores de hot spots deben grabar sesiones para alimentar los sistemas de facturación y generar ingresos.

Las solicitudes de acceso RADIUS enviadas por 802.1X, las redes privadas virtuales y los portales SSL pueden ayudar. Los dispositivos que se venden en el mercado ISP tienen más probabilidades de generar registros de contabilidad RADIUS.

Seguridad 802.11: Sólo lo básico

Hoy tenemos una creciente gama de opciones para la autenticación y cifrado, desde varias tecnologías emergentes hasta la VPN. Dependiendo del tamaño de su empresa y el nivel de riesgo al que se expone la WLAN, es posible que desee comenzar con ofertas de seguridad 802.11 fuera de la caja.

La seguridad básica 802.11 disuade la asociación accidental o la interceptación casual. En la mayoría de los productos WLAN, sin embargo, estas funciones de seguridad están desactivadas por defecto. Desactivadas significa la WLAN funciona en modo "sistema abierto" –cualquier estación puede unirse porque conocen el identificador de servicios (Service Set Identifier, o SSID) de la red o mediante la captura de tramas de señalización transmitidas por los puntos de acceso.

La seguridad del estándar 802.11 se compone de autenticación y cifrado. Cuando se habilita la autenticación de clave compartida, las estaciones pueden asociarse con el AP sólo si tienen una clave de 40 o 128 bits conocida por ambas partes. Cuando se habilita Wired Equivalent Privacy (WEP), la misma clave se introduce en el sistema de cifrado RC4 para cifrar tramas de datos. Sólo las estaciones que poseen la clave compartida pueden unirse a la WLAN, pero la misma clave descifra las tramas transmitidas por otras estaciones. Si su política requiere la autenticación de estaciones individuales, o la confidencialidad más allá de la conexión aérea, debe adoptar otras medidas.

Configurar un SSID difícil de adivinar hace que los vecinos sean menos propensos a confundir su WLAN con la de ellos. Estaciones con Windows XP se asocian automáticamente a cualquier red descubierta por defecto. Habilitar la autenticación de clave compartida impide esto. El uso de WEP es como cerrar su escritorio de oficina. Los intrusos motivados pueden quebrar una cerradura de bajo grado. Teniendo datos suficientes, un atacante persistente puede utilizar herramientas de software libre para romper el protocolo WEP. Sin embargo, éste puede ser su primera línea de defensa. Las redes de pequeñas empresas y el hogar siempre deben utilizarlo; las empresas pueden optar por medidas de nivel superior. El estándar 802.1X aborda la necesidad de autenticación más robusta, y el protocolo Temporal Key Integrity Protocol (TKIP) del estándar 802.11i ofrece cifrado más robusto.

802.1X

Muchos puntos de acceso se pueden configurar con una lista de direcciones MAC para permitir o bloquear. Sin embargo, las direcciones MAC pueden ser falsificadas. Para hacer frente a esto, IEEE 802.1X proporciona un estándar, un marco de múltiples proveedores para combinar el control de acceso a nivel de puerto con algún tipo de autenticación.

802.1X aplica el protocolo de autenticación extensible (EAP) a las LAN –cableadas e inalámbricas– y define los mensajes que se intercambian entre las estaciones de LAN (solicitantes), los AP (que autentican) y los servidores de autenticación backend. Piense en 802.1X como un interruptor de encendido/apagado que bloquea todo menos EAP hasta que el servidor de autenticación acepta la solicitud de acceso del solicitante. Las claves de cifrado se suministran de forma dinámica a las estaciones autorizadas en función de cada sesión.

EAP es un sobre que es compatible con muchos tipos diferentes de autenticación. La implementación de 802.1X requiere la adopción de uno o más métodos de EAP:

• Lightweight EAP de Cisco (LEAP) utiliza la autenticación de contraseña mutua entre la estación y el AP. Debido a que el desafío/respuesta de LEAP no está encriptado, es vulnerable a ataques de diccionario sin conexión.
• EAP-TLS requiere autenticación de certificado mutuo entre las estaciones y servidores. EAP acceso esté protegido por un túnel TLS. El precio que se paga por una seguridad más estricta es un certificado en todas las estaciones.
• EAP-TTLS y EAP protegido (PEAP) autentican los servidores con certificados y las estaciones con contraseñas, aseguradas por un túnel a través de TLS. Los inicios de sesión conocidos por el servidor RADIUS, Active Directory o el controlador de dominio pueden ser reutilizados por 802.1X para simplificar la implementación de WLAN.

Microsoft liberó 802.1X/EAP-TLS en Windows XP, lo agregó a Windows 2000, y permitió que el software de cliente estuviera disponible para soportar clientes Windows NT/Me/98. Las empresas que sólo necesitan Win32 y ya utilizan certificados de cliente deberían considerar seriamente 802.1X/EAP-TLS. Un solicitante Open1x 802.1X/EAP-TLS se ejecuta en Linux y Free/OpenBSD.

Los proveedores de RADIUS Funk Software y Meetinghouse proporcionan solicitantes EAP-TTLS. Microsoft añadió PEAP a solicitantes de Win32802.1X. Ninguno de estos métodos es estándar, lo que plantea preocupaciones acerca de la interoperabilidad y la estabilidad.