UNIVERSIDAD MARIANO GUALVEZ DE GUATEMALA FACULTAD DE INGENIERIA INGENIERIA EN SISTEMAS DE INFORMACION CATEDRA: SEGURIDAD DE SISTEMAS INGE.

EDUARDO DEL AGUILA

SEGURIDAD WIRELESS

BALAM RODRIGUEZ 0901072210 VICTOR MURGA 090107202 KAREN AGUILAR 0901072972 MAGEYDASICAL 0901076720 (COORDINADORA)

1. SEGURIDAD WIRELESS Que es wireless? Wireless (inalmbrico o sin cables) es un trmino usado para describir las telecomunicaciones en las cuales las ondas electromagnticas (en vez de cables) llevan la seal sobre parte o toda la trayectoria de la comunicacin. Algunos dispositivos de monitorizacin, tales como alarmas, emplean ondas acsticas a frecuencias superiores a la gama de audiencia humana; stos tambin se clasifican a veces como wireless. Los primeros transmisores sin cables vieron la luz a principios del siglo XX usando la radiotelegrafa (cdigo Morse). Ms adelante, como la modulacin permiti transmitir voces y msica a travs de la radio, el medio se llam radio. Con la aparicin de la televisin, el fax, la comunicacin de datos, y el uso ms eficaz de una porcin ms grande del espectro, se ha resucitado el trmino wireless.

Wi-Fi El router inalmbrico ms popular es el WiFi por ser el ms utilizado para acceder a Internet desde cualquier lugar donde haya un punto de acceso (Access Point o AP), sobre todo en porttiles y PDAs con tarjeta WiFi. Tambin conocido como 802.11, es el dispositivo que rene el conjunto de estndares para la WLAN (Wireless Local Area Network - red de rea local inalmbrica). El estndar IEEE 802.11 es una frecuencia de radio desarrollado por el IEEE (Institute of Electrical and Electronics Engineers - Instituto de Ingenieros Elctricos y Electrnicos), y la mayora de los sistemas operativos lo soportan, as como muchos de los porttiles, celulares/mviles de ltima generacin, consolas, impresoras y otros perifricos.

Los tipos de comunicacin WIFI se basan en las diferentes clases de estndares IEEE, siendo la mayora de los productos de la especificacin b y de la g:
y y y y

802.11a 802.11b 802.11g 802.11n

Que es seguridad wireless? Para comprender de forma ms fcil se deben de comprender los riesgos que se presentan en los entornos inalmbricos. Como se observa en el grfico, existen diversas maneras de poner a prueba la seguridad wifi de una red inalmbrica. Una alternativa consiste en que el intruso intente conectarse a un access point de la red inalmbrica para luego ganar acceso a la red corporativa. La otra alternativa consiste en "implantar" un access point "pirata" para atraer a los usuarios desprevenidos o muy curiosos a una red de hackers o red pirata.

Es preciso comprender que en las redes wireless la informacin se transmite por medio de ondas de radio frecuencia y, esta, est en el aire y es imposible impedir que sea observada y/o capturada por cualquiera que se encuentre en un radio aproximado de 100 metros. En el cuadro siguiente se enumeran los principales peligros que debemos mitigar para mejorar la seguridad wifi.

 Cualquier otro usuario en un radio aproximado de 100 metros puede ser un "intruso potencial", bien con intencin o sin ella. Quin nos asegura que nos estamos conectando al servidor que deseamos? Como administradores de una red, quin nos asegura que cada uno que intente conectarse a la misma es "de los nuestros"? Debemos asegurarnos que, una vez establecida la conexin, esta sea SEGURA, o lo que es lo mismo, ENCRIPTADA. En las redes inalmbricas wifi existen 2 tramos por los que viajan los paquetes que llevan la informacin: 1. Un tramo es inalmbrico (areo): es el que va desde cada equipo wifi hasta el access point. 2. Otro tramo es cableado: es el que va desde el access point hasta el servidor de la organizacin. Al no poder impedir de ninguna manera que la informacin que est en el aire sea vista por cualquiera, esta debe ser protegida por medio de protocolos de encriptacin. En la actualidad se utilizan WEP, WPA y WPA2. Existen varias alternativas para garantizar la seguridad de estas redes. Las ms comunes son la utilizacin de protocolos de cifrado de datos para los estndares Wi-Fi como el WEP, el WPA, o el WPA2 que se encargan de codificar la informacin transmitida para proteger su confidencialidad, proporcionados por los propios dispositivos inalmbricos. La mayora de las formas son las siguientes:
y

WEP, cifra los datos en su red de forma que slo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una clave de cifrado antes de enviarlo al aire. Este tipo de cifrado no est muy recomendado, debido a las grandes vulnerabilidades que presenta, ya que cualquier cracker puede conseguir sacar la clave. WPA: presenta mejoras como generacin dinmica de la clave de acceso. Las claves se insertan como de dgitos alfanumricos, sin restriccin de longitud IPSEC (tneles IP) en el caso de las VPN y el conjunto de estndares IEEE 802.1X, que permite la autenticacin y autorizacin de usuarios. Filtrado de MAC, de manera que slo se permite acceso a la red a aquellos dispositivos autorizados. Es lo ms recomendable si solo se va a usar con los mismos equipos, y si son pocos.

Ocultacin del punto de acceso: se puede ocultar el punto de acceso (Router) de manera que sea invisible a otros usuarios. El protocolo de seguridad llamado WPA2 (estndar 802.11i), que es una mejora relativa a WPA. En principio es el protocolo de seguridad ms seguro para Wi-Fi en este momento. Sin embargo requieren hardware y software compatibles, ya que los antiguos no lo son.

Sin embargo, no existe ninguna alternativa totalmente fiable, ya que todas ellas son susceptibles de ser vulneradas. Pero la encriptacin es una proteccin necesaria, muy necesaria, pero no suficiente pues no sirve para impedir accesos no deseados a nuestra red corporativa. Entonces la seguridad wireless, es la encargada de la proteccin de la red que rodea el entorno inalmbrico de nuestra rea, ya sea interna o externa, a travs de estndares que proporcionan un cdigo de encriptacin como lo es el 802.1x. El estndar 802.1x define 3 elementos: 1. Servidor de Autenticacin: Debe verificar las credenciales de los usuarios. Generalmente es un servidor RADIUS 2. Autenticador : Es el dispositivo que recibe la informacin del usuario y la traslada al servidor de autenticacin 3. Suplicante: Es una aplicacin o software cliente que provee la informacin de las credenciales del usuario al autenticador y que gestiona el "dilogo" con el servidor RADIUS Redes wireless Es un trmino que se utiliza en informtica para designar la conexin de nodos sin necesidad de una conexin fsica (cables), sta se da por medio de ondas electromagneticas. La transmisin y la recepcin se realizan a travs de puertos. Existen dos categoras de las redes inalmbricas. 1. Larga distancia: estas son utilizadas para distancias grandes como puede ser otra ciudad u otro pas. 2. Corta distancia: son utilizadas para un mismo edificio o en varios edificios cercanos no muy retirados. Tipos

Wireless Personal Area Network existen tecnologas basadas en HomeRF (estndar para conectar todos los telfonos mviles de la casa y los ordenadores mediante un aparato central); Bluetooth (protocolo que sigue la especificacin IEEE 802.15.1); ZigBee (basado en la especificacin IEEE 802.15.4 y utilizado en aplicaciones como la domtica, que requieren comunicaciones seguras con tasas bajas de transmisin de datos y maximizacin de la vida til de sus bateras, bajo consumo); RFID (sistema remoto de almacenamiento y recuperacin de datos con el propsito de transmitir la identidad de un objeto (similar a un nmero de serie nico) mediante ondas de radio. Wireless Local Area Network En las redes de rea local podemos encontrar tecnologas inalmbricas basadas en HiperLAN (del ingls, High Performance Radio LAN), un estndar del grupo ETSI, o tecnologas basadas en Wi-Fi, que siguen el estndar IEEE 802.11 con diferentes variantes. Wireless Metropolitan Area Network Para redes de rea metropolitana se encuentran tecnologas basadas en WiMAX (Worldwide Interoperability for Microwave Access, es decir, Interoperabilidad Mundial para Acceso con Microondas), un estndar de comunicacin inalmbrica basado en la norma IEEE 802.16. WiMAX es un protocolo parecido a Wi-Fi, pero con ms cobertura y ancho de banda. Tambin podemos encontrar otros sistemas de comunicacin como LMDS (Local Multipoint Distribution Service). Wireless Wide Area Network Una WWAN difiere de una WLAN (wireless local area network) en que usa tecnologas de red celular de comunicaciones mviles como WiMAX (aunque se aplica mejor a Redes WMAN), UMTS (Universal Mobile Telecommunications System), GPRS, EDGE, CDMA2000, GSM, CDPD, Mobitex, HSPA y 3G para transferir los datos. Tambin incluye LMDS y Wi-Fi autnoma para conectar a internet.1

Servicios wireless Ejemplos comunes de equipos wireless en uso hoy en da incluyen:

y y y y y y

Telfonos mviles, que permiten colectividad entre personas. El sistema de posicionamiento global (GPS), que permite que coches, barcos y aviones comprueben su localizacin en cualquier parte de la tierra. Perifricos de ordenador wireless, como el ratn, los teclados y las impresoras, que se pueden tambin conectar a un ordenador va wireless. Telfonos inalmbricos, de ms corto alcance que los telfonos mviles. Mandos a distancia (para televisin, vdeo, puertas de garaje, etc.) y algunos sistemas de alta fidelidad. Monitores para bebs, estos dispositivos son unidades de radio simplificadas que transmiten/reciben dentro de una gama limitada.

y y

Televisin va satlite, permiten que los espectadores, desde casi cualquier parte, seleccionen entre centenares de canales. LANs wireless o local rea networks, proporcionan flexibilidad y fiabilidad para usuarios de ordenadores.

Otros ejemplos ms especializados y ms exticos de comunicaciones va wireless son:

y

y y

Procesadores de tarjetas de crdito inalmbricos (wireless credit card processors): son pequeos aparatos para pasar tarjetas de crdito y realizar cobros va wireless. Global System for Mobile Communication (GSM): es el sistema digital telefnico para telfonos mviles usado en Europa y otras partes del mundo. General Packet Radio Service (GPRS): servicio de comunicacin va wireless basado en paquetes que proporciona conexin continua a Internet para usuarios de telfonos mviles y de ordenadores. Enhanced Data GSM Environment (EDGE): es una versin ms rpida del servicio wireless Global System for Mobile (GSM). Universal Mobile Telecommunications System (UMTS): sistema de banda ancha, basado en paquetes, que ofrece servicios a usuarios de computadoras y de telfonos mviles sin importar dnde estn situados en el mundo. Wireless Application Protocol (WAP): sistema de protocolos de comunicacin para estandarizar la forma en que los dispositivos wireless acceden a Internet. i-Mode: el primer telfono inteligente del mundo para navegar por Internet. ste telfono, introducido en Japn proporciona color y vdeo.

Aspecto histrico y generalidades Nuestra naturaleza humana nos hace desenvolvernos en situaciones donde se requiere comunicacin. Para ello, es necesario establecer medios para que esto se pueda realizar. Uno de los medios ms discutidos es la capacidad de comunicar computadores a travs de redes inalmbricas. La comunicacin inalmbrica, que se realiza a travs de ondas de radiofrecuencia, facilita la operacin en lugares donde la computadora no se encuentra en una ubicacin fija (almacenes, oficinas de varios pisos, etc.); pero se trata de una tecnologa sometida a investigacin que en el futuro ser utilizada de forma general. Cabe tambin mencionar actualmente que las redes cableadas presentan ventaja en cuanto a transmisin de datos sobre las inalmbricas. Mientras que las

cableadas proporcionan velocidades de hasta 1 Gbps (Red Gigabit), las inalmbricas alcanzan slo hasta 108 Mbps. Se puede realizar una mezcla entre inalmbricas y almbricas, de manera que pueden funcionar de la siguiente manera: que el sistema cableado sea la parte principal y la inalmbrica sea la que le proporcione movilidad al equipo y al operador para desplazarse con facilidad en distintos campo (almacn u oficina). Un ejemplo de redes a larga distancia son las Redes pblicas de Conmutacin por Radio. Estas redes no tienen problemas en prdida de seal, debido a que su arquitectura est diseada para soportar paquetes de datos en vez de comunicaciones por voz. Actualmente, las transmisiones inalmbricas constituyen una eficaz herramienta que permite la transferencia de voz, datos y vdeo sin la necesidad de cableado. Esta transferencia de informacin es lograda a travs de la emisin de ondas de radio teniendo dos ventajas: movilidad y flexibilidad del sistema en general. En general, la tecnologa inalmbrica utiliza ondas de radiofrecuencia de baja potencia y una banda especfica, de uso libre para transmitir, entre dispositivos.

Historia WI-FI: Nokia y Symbol Technologies crearon en 1999 una asociacin conocida como WECA (Wireless Ethernet Compatibility Alliance, Alianza de Compatibilidad Ethernet Inalmbrica). Esta asociacin pas a denominarse Wi-Fi Alliance en 2003. El objetivo de la misma fue crear una marca que permitiese fomentar ms fcilmente la tecnologa inalmbrica y asegurar la compatibilidad de equipos. De esta forma, en abril de 2000 WECA certifica la interoperabilidad de equipos segn la norma IEEE 802.11b, bajo la marca Wi-Fi. Esto quiere decir que el usuario tiene la garanta de que todos los equipos que tengan el sello Wi-Fi pueden trabajar juntos sin problemas, independientemente del fabricante de cada uno de ellos. Se puede obtener un listado completo de equipos que tienen la certificacin Wi-Fi en Alliance - Certified Products. En el ao 2002 la asociacin WECA estaba formada ya por casi 150 miembros en su totalidad. La norma IEEE 802.11 fue diseada para sustituir el equivalente a las capas fsicas y MAC de la norma 802.3 (Ethernet). Esto quiere decir que en lo nico que se diferencia una red Wi-Fi de una red Ethernet es en cmo se transmiten las tramas o paquetes de datos; el resto es idntico. Por tanto, una red local inalmbrica 802.11 es completamente compatible con todos los servicios de las redes locales (LAN) de cable 802.3 (Ethernet). El nombre Wi-Fi Aunque se tiende a creer que el trmino Wi-Fi es una abreviatura de Wide Fidelity (Amplia Fidelidad), equivalente a Hi-Fi, High Fidelity, trmino frecuente en la grabacin de sonido, la WECA contrat a una empresa de publicidad para que le diera un nombre a su estndar, de tal manera que fuera fcil de identificar y recordar. Phil Belanger, miembro fundador de Wi-Fi Alliance que apoy el nombre Wi-Fi escribi Aplicaciones Las bandas ms importantes con aplicaciones inalmbricas, del rango de frecuencias que abarcan las ondas de radio, son la VLF (comunicaciones en navegacin y submarinos), LF (radio AM de onda larga), MF (radio AM de onda media), HF (radio AM de onda corta), VHF (radio FM y TV), UHF (TV). Mediante las microondas terrestres, existen diferentes aplicaciones basadas en protocolos como Bluetooth o ZigBee para interconectar ordenadores porttiles, PDAs, telfonos u otros aparatos. Tambin se utilizan las microondas para comunicaciones con radares (deteccin de velocidad u otras caractersticas de objetos remotos) y para la televisin digital terrestre.

Las microondas por satlite se usan para la difusin de televisin por satlite, transmisin telefnica a larga distancia y en redes privadas, por ejemplo. Los infrarrojos tienen aplicaciones como la comunicacin a corta distancia de los ordenadores con sus perifricos. Tambin se utilizan para mandos a distancia, ya que as no interfieren con otras seales electromagnticas, por ejemplo la seal de televisin. Uno de los estndares ms usados en estas comunicaciones es el IrDA (Infrared Data Association). Otros usos que tienen los infrarrojos son tcnicas como la termografa, la cual permite determinar la temperatura de objetos a distancia.

2. LAS CATEGORAS DE LAS IMPLEMENTACIONES INALMBRICAS, DISPOSITIVOS Y NORMAS y Sistema de radio comunicacin y Radiodifusin y Radioaficionados y Radio mvil o de radio mvil profesional: TETRA, P25, OpenSky, EDACS, DMR, dPMR y Comunicacin por radio y Telefona inalmbrica: DECT (Digital Enhanced Cordless Telecommunications) y Redes celulares: 0G, 1G, 2G, 3G, ms all de 3G (4G), futuro inalmbrico y Lista de las nuevas tecnologas y De corto alcance a punto de comunicacin punto: micrfonos inalmbricos, mandos a distancia, IrDA, RFID (Radio Frequency Identification), USB inalmbrico, DSRC (Dedicated Short Range Comunicaciones), EnOcean, Near Field Communication y Redes de sensores inalmbricos: ZigBee, EnOcean, redes de rea personal, Bluetooth, TransferJet, ultra ancha (UWB de WiMedia Alianza). y Redes inalmbricas: LAN inalmbrica (WLAN), (IEEE 802.11 marca como Wi-Fi y HiperLAN), redes de rea metropolitana inalmbrica (WMAN) y acceso fijo de banda ancha (BWA) (LMDS, WiMAX, AIDAAS y HiperMAN)

TIPOS DE ACCESOS NO AUTORIZADOS EN REDES WIRELESS Una red inalmbrica puede ser muy vulnerable al acceso de usuarios indeseados. Incluso si compartes tu conexin con cifrado, no todas las personas harn un uso razonable de ella. El acceso no autorizado a un equipo de cmputo es la entrada a los documentos privados en cualquier ordenador por medio del uso de programas, robo de claves por medio de la famosa ingeniera social o de cualquier forma que permita entrar de manera ilegal al sistema.

Qu es la Ingeniera Social? Bsicamente se denomina ingeniera social a todo artilugio, tretas y tcnicas ms elaboradas a travs del engao de las personas en revelar contraseas u otra informacin, ms que la obtencin de dicha informacin a travs de las debilidades propias de una implementacin y mantenimiento de un sistema en este caso las redes wireless. El nico medio para entender cmo defenderse contra esta clase de ataques es conocer los conceptos bsicos que pueden ser utilizados contra usted o su compaa y que abren brechas para conseguir sus datos. Con este conocimiento es posible adoptar una actitud ms saludable que lo alerte sin convertirse en un ser paranoico.

Los riesgos que puede representar dejar un ordenador desatendido con la sesin abierta son muchos. Es habitual observar en los entornos corporativos cmo los usuarios se levantan de su puesto de trabajo por cualquier circunstancia, dejando la sesin abierta. Esta manera de actuar puede representar un grave riesgo de seguridad, tanto para las empresas como para los propios usuarios. Entre las recomendaciones ofrecidas para evitar el problema, se encuentra la implantacin de timeouts en todos los PCs para asegurar que los sistemas cierren automticamente las sesiones ante un tiempo de inactividad, minimizando as el riesgo de cualquier posible ataque. De acuerdo a la consultora, un nmero significativo de accesos no autorizados ocurren cuando alguien se sienta ante la sesin abierta del ordenador de otro usuario. Los PCs desatendidos facilitan -entre otras acciones- el acceso a datos sensibles y el envo de correos falsos. Riesgos para las empresas: y y y Acceso no autorizado a datos personales (por ejemplo, informacin salarial). Acceso no autorizado a informacin corporativa, en la que pueden introducirse cambios (para encubrir fraudes, incrementar comisiones, etc.). Evitar o saltar determinados procesos de aprobacin (como permitir rdenes de compra).

Riesgos para los usuarios: y y y Lectura no autorizada del correo personal. Envo de correos bajo el nombre de otro usuario, lo que puede causar graves daos profesionales. Uso del ordenador de forma no autorizada para la realizacin de daos o ataques a otros sistemas de la red.

De estas recomendaciones y muchas ms se les pide a los usuarios y administradores de red que tomen muy en cuenta la seguridad en las empresas para evitar problemas futuros. Algunas medidas para evitar la entrada a los equipos de cmputo y Todos los sistemas de comunicaciones estarn debidamente protegidos con infraestructura apropiada de manera que el usuario no tenga acceso fsico directo. Entendiendo por sistema de comunicaciones: el equipo activo y los medios de comunicacin. Las visitas deben portar una identificacin con un cdigo de colores de acuerdo al rea de visita, que les ser asignado por el centro de cmputo. Las visitas internas o externas podrn acceder a las reas restringidas siempre y cuando se encuentren acompaadas cuando menos por un responsable del rea con permiso de la autoridad correspondiente. Se debern establecer horarios de acceso a instalaciones fsicas, especificando los procedimientos y en qu casos se deber hacer excepciones. Se debe definir qu personal est autorizado para mover, cambiar o extraer algo del equipo travs de identificaciones y formatos de E/S; y se debe informar de estas disposiciones a personal de seguridad.

y y

EL ESPIONAJE Las opciones de seguridad de 802.11 incluyen servicios de autenticacin y cifrado basados en los servicios de seguridad de Privacidad equivalente con cable (WEP, Wired Equivalent Privacy) usados para proteger las redes 802.11 del acceso no autorizado, por ejemplo, del espionaje. Con la configuracin automtica de red inalmbrica puede especificar que se utilice una clave de red para comprobar el acceso a la red. Tambin puede especificar que se utilice una clave de red para cifrar los datos mientras se transmiten los datos a travs de la red.

El adaptador de red inalmbrica del equipo podra admitir el protocolo de seguridad Acceso protegido Wi-Fi (WPA, Wi-Fi Protected Access). WPA proporciona un cifrado ms seguro que WEP. Con WPA, las claves de red de los equipos y los dispositivos interconectados en la red se cambian automticamente y se autentican con regularidad, lo que proporciona una mayor seguridad que WEP. Para usar WPA, el adaptador de red inalmbrica debe admitirlo. Para averiguar si puede usar WPA en una red inalmbrica, compruebe si hay informacin acerca de su dispositivo en el sitio Web del fabricante. El fabricante podra tener software o un controlador que pueda descargar e instalar. CLAVES DE RED Cuando habilita WEP, puede especificar que se utilizar una clave de red para el cifrado. Se le podra proporcionar una clave de red automticamente (por ejemplo, en el adaptador de red inalmbrica) o puede especificar la clave escribindola usted mismo. Si especifica usted la clave, tambin puede indicar su longitud (40 104 bits), formato (caracteres ASCII o dgitos hexadecimales) e ndice (la ubicacin donde se almacena una clave determinada): Cuanto mayor es la longitud de la clave, ms segura es sta. Cada vez que se aumenta en un bit la longitud de una clave se duplica el nmero de claves posibles. En 802.11 es posible configurar una estacin inalmbrica con hasta cuatro claves (los valores de ndice de clave son 0, 1, 2 y 3). Cuando una estacin de punto de acceso o inalmbrica transmite un mensaje cifrado mediante una clave almacenada en un ndice de clave especfico, el mensaje transmitido indica el ndice de clave utilizado para cifrar el cuerpo del mensaje. La estacin receptora de punto de acceso o inalmbrico puede recuperar entonces la clave almacenada en el ndice de clave y utilizarla para descodificar el cuerpo cifrado del mensaje. AUTENTICACIN 802.1X Si desea una mayor seguridad, puede habilitar la autenticacin IEEE 802.1x, que proporciona acceso autenticado a redes inalmbricas 802.11 y a redes Ethernet por cable. La autenticacin IEEE 802.1x aminora los riesgos de seguridad de las redes inalmbricas, por ejemplo, el acceso no autorizado a los recursos de red y el espionaje. Permite la identificacin de usuarios y equipos, la autenticacin centralizada y la administracin dinmica de claves. La compatibilidad que IEEE 802.1x ofrece para los tipos de seguridad del Protocolo de autenticacin extensible (EAP) le permite utilizar mtodos de autenticacin como tarjetas inteligentes y certificados. Los tipos de seguridad de EAP incluyen EAP-TLS, EAP protegido (PEAP) con EAP-TLS y el Protocolo de autenticacin por desafo mutuo de Microsoft versin 2 (MS-CHAPv2). Con la autenticacin IEEE 802.1x puede especificar si el equipo intenta la autenticacin en la red cuando el equipo requiere el acceso a los recursos de la

red, haya iniciado sesin el usuario o no. Por ejemplo, los operadores de centros de datos que administran servidores controlados de forma remota pueden especificar que los servidores deben intentar la autenticacin para tener acceso a los recursos de la red. Tambin puede especificar si el equipo intenta la autenticacin en la red cuando no hay disponible informacin del usuario o del equipo. Por ejemplo, los proveedores de servicios Internet (ISP) pueden utilizar esta opcin de autenticacin para permitir a los usuarios el acceso a servicios gratuitos de Internet o a servicios de Internet que se pueden adquirir. Una empresa puede conceder a los visitantes un acceso limitado de invitado, de forma que puedan tener acceso a Internet pero no a los recursos confidenciales de la red. 3. SISTEMAS DE PREVENCIN DE INTRUSOS Los sistemas de prevencin de intrusos o IPS (Intrusion Prevention Systems) conforman la tecnologa de seguridad informtica para proteccin de servidores y redes que bloquean de forma eficiente ataques externos e internos y todo tipo de amenazas conocidas y desconocidas. Uno de los mecanismos de defensa ms usados para reducir el riesgo de las compaas ante ataques dirigidos hacia los bienes informticos han sido los sistemas de deteccin de Intrusos o IDS (Intrusion Detection Systems). Un IDS es un elemento que escucha y analiza toda la informacin que circula por una red de datos e identifica posibles ataques, al encontrar un evento de este tipo, el sistema reaccionar alarmando al administrador y cerrar las puertas al posible intruso reconfigurando elementos de la red como firewalls y routers. Los IDS han sido usados ampliamente a lo largo de estos ltimos aos por muchas compaas porque han proporcionado una capa adicional de seguridad, sin embargo se ha encontrado que estos elementos proporcionan seguridad reactiva, es decir para que haya proteccin debe existir primero un ataque, si un ataque es pequeo y efectivo el IDS reaccionar demasiado tarde y el ataque lograr su objetivo. Ante estas circunstancias se han desarrollado los IPS (Intrusion Prevention Systems) que han aparecido como una evolucin de los IDS, los IPS no se limitan a escuchar y monitorear el trfico de la red sino que intervienen activamente ya que el trfico circula a travs del sistema y cualquier intento de ataque ser bloqueado por el IPS en el mismo momento en que el evento ocurre. La tecnologa IPS permite a las organizaciones proteger la informacin crtica de una forma proactiva, sin limitarse a emitir alertas en una consola luego de que los ataques han sucedido, esta tecnologa supone un beneficio continuo y una inversin verdaderamente inteligente para cualquier entorno de red, as mismo

protegen infraestructuras, aplicaciones y en muchos mejora el rendimiento de las redes porque a travs de ella no circular cdigo daino. Un buen sistema IPS debe cumplir como mnimo con caractersticas tales como bloqueo automtico de ataques, proteccin de sistemas no parcheados, y optimizacin del rendimiento de la red. Sin estas condiciones la operabilidad y productividad del sistema no se podra garantizar.

FUNCIONAMIENTO Un Sistema de Prevencin de Intrusos, al igual que un Sistema de Deteccin de Intrusos, funciona por medio de mdulos, pero la diferencia es que este ltimo alerta al administrador ante la deteccin de un posible intruso, mientras que un Sistema de Prevencin de Intrusos establece polticas de seguridad para proteger el equipo o la red de un ataque; se podra decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. Los IPS se categorizan en la forma que detectan el trfico malicioso:  Deteccin Basada en Firmas

 Deteccin Basada en Polticas  Deteccin Basada en Anomalas  Deteccin Honey Pot (Jarra de Miel) Deteccin Basada en Firmas: Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza un alerta. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrn de cadenas que pueda identificar ataques al servidor Web. Sin embargo, como este tipo de deteccin funciona parecido a un Antivirus, el Administrador debe verificar que las firmas estn constantemente actualizadas. Deteccin Basada en Polticas: En este tipo de deteccin, el IPS requiere que se declaren muy especficamente las polticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin con determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo descarta. Deteccin Basada en Anomalas: Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es sumamente difcil determinar y medir una condicin normal. En este tipo de deteccin tenemos dos opciones:  Deteccin Estadstica de Anormalidades: El IPS analiza el trfico de red por un determinado periodo de tiempo y crea una lnea base de comparacin. Cuando el trfico vara demasiado con respecto a la lnea base de comportamiento, se genera una alarma.  Deteccin No Estadstica de Anormalidades: En este tipo de deteccin, es el administrador quien define el patrn normal de trfico. Sin embargo, debido a que con este enfoque no se realiza un anlisis dinmico y real del uso de la red, es susceptible a generar muchos falsos positivos. Deteccin Honey Pot (Jarra de Miel): Aqu se utiliza un distractor. Se asigna como Honey Pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorear los mtodos utilizados por el atacante e

incluso identificarlo, y de esa forma implementar polticas de seguridad acordes en nuestros sistemas de uso real. 4. PRACTICAS RECOMENDADAS DE SEGURIDAD INALAMBRICA Establecer polticas y procedimientos de seguridad para la utilizacin de la tecnologa WIFI La tecnologa WIFI es novedosa, prctica, til y sofisticada. Se rige por principios fsicos muy diferentes de las redes cableadas. Una red inalmbrica WIFI es muchsimo ms compleja que una red cableada y existen diferencias tecnolgicas y operativas muy grandes entre ambas. La experiencia profesional y docente nos demuestra que la mayora de los informticos y administradores de redes, desconocen estas diferencias. Con ms razn las desconocen los usuarios de WIFI. Sin embargo, a pesar de este desconocimiento, todos la utilizan y la aprovechan para transmitir y almacenar las informaciones ms delicadas y confidenciales de las organizaciones. El NIST - Instituto de Estndares de USA - recomienda como primera medida de seguridad, antes an de comprar o instalar tecnologa WIFI, elaborar polticas y procedimientos de seguridad para todos los usuarios. Adems las herramientas de seguridad WIFI son insuficientes para solucionar todos los problemas de seguridad que plantean las redes inalmbricas. Por lo tanto es imprescindible la utilizacin de polticas claras y rgidas en materia de seguridad. Verificar que los usuarios de esta tecnologa estn entrenados y conocen los riesgos asociados con su utilizacin En el punto anterior se analizaron las diferencias existentes entre redes cableadas y redes inalmbricas WIFI y porqu es importante establecer polticas adecuadas. Por los mismos motivos, hay que comprender que los usuarios de WIFI, en su gran mayora, nunca fueron entrenados ni capacitados para el uso de esta novedosa tecnologa. Como es obvio la mayora desconoce los peligros asociados con la utilizacin de WIFI como:  Access Point Hostiles  Redes WIFI Ad-Hoc  Wi-Phishing en Hotspots Las organizaciones que han invertido en capacitar y entrenar a sus usuarios WIFI, han logrado reducir en gran medida los incidentes de seguridad WIFI.

Las inversiones en capacitacin y entrenamiento, no suelen ser muy cuantiosas y son un aadido a las herramientas tecnolgicas. Su importancia es vital para lograr una seguridad wireless muy robusta. Mantener un inventario actualizado de Access Points y dispositivos Wireless que pertenecen a la organizacin En la mayora de las instalaciones, donde generalmente no se dispone de un switch WLAN, es aconsejable mantener una base de datos de todos los equipos y dispositivos de las redes inalmbricas wifi. Lo que sucede casi siempre, es que se comienza por instalar uno o dos access points y luego se van aadiendo otros y, de pronto, uno se encuentra con varios access points funcionando. Con el tiempo comienzan a aparecer problemas de mantenimiento o es necesario re-ubicarlos para re-configurar los canales. La experiencia nos demuestra, que al presentarse esta situacin, nadie sabe exactamente cuntos access points existen ni donde estn ubicados. Tambin se desconocen las caractersticas de los mismos. Todo esto se puede evitar, si cada vez que se van instalando los access points, desde un comienzo, se elabora una ficha con toda la informacin relevante de ese access point: modelo, estndares que soporta, donde est instalado, en qu canal qued configurado, que encriptacin se est utilizando, a qu potencia se configur, etc. Otra cosa que sucede a menudo, es que las personas que instalaron los access points no fueron siempre las mismas. En muchas ocasiones se contrata la instalacin a gente que no pertenece a la organizacin, en otras ocasiones los empleado que realizaron la instalacin ya no pertenecen a la empresa. Por lo tanto, si no hay nada escrito, y tampoco existe la posibilidad de consultar a los que hicieron el trabajo, ser difcil analizar la situacin. Establecer normas escritas de configuracin de access points y estaciones de trabajo Cuanto ms sofisticado y "robusto" es el access point, ms opciones de configuracin presenta. Si se van instalando access points en diferentes oportunidades y por diferentes profesionales, es muy probable que cada uno quede configurado de diferente manera. Slo de casualidad podran estar todos configurados de manera similar. La disparidad en las configuraciones ocasionar ms complicaciones e incompatibilidades en la red inalmbrica WIFI que, por supuesto, son innecesarias y se pueden evitar estableciendo normas escritas y muy precisas sobre la configuracin de los access points de la organizacin. As, cada vez que alguien deba instalar un access point adicional, sabr exactamente cul es la poltica y como debe hacerlo.

Las redes inalmbricas WIFI son muchsimo ms complejas que las redes cableadas y es una torpeza innecesaria introducir ms factores de desequilibrio y desestabilizacin. Las complicaciones crecen an ms por la necesidad de instalar diferentes modelos de access point de una misma marca o, peor an, diferentes marcas. Esto sucede pues despus de unos meses, es difcil conseguir el mismo modelo de access point y hay que recurrir a equipos diferentes. Existen access points "robustos" y access points "bsicos" y una correcta configuracin requiere amplios conocimientos profesionales sobre la tecnologa WIFI, los estndares WIFI, la seguridad WIFI y la arquitectura de una red inalmbrica WIFI. Desafortunadamente, en la actualidad, la gran mayora de los access points han sido configurados por profesionales que desconocen varios de estos conceptos y, por lo tanto, su configuracin es deficiente y/o insuficiente y se generan problemas de seguridad, gestin y mantenimiento, que son totalmente evitables. Hay que comprender que los clientes son una parte importante de esta complejidad. Lo que sucede en la mayora de las instalaciones es que se utilizan una gran variedad de equipos clientes. Generalmente estos clientes WIFI (Centrino, USBs, tarjetas PCMCIA, PDA, etc) incorporan sus propios drivers, que son "propietarios" y por lo tanto pueden ocasionar incompatibilidades que escapan al control del administrador de la red WIFI. Esta complejidad ya es suficiente para complicar el mantenimiento y la gestin de una red WIFI. Si, adems, los equipos WIFI, se configuran de una manera dispar y sin ningn criterio estandarizado de la organizacin, lo nico que se lograr es introducir un factor adicional de generacin de problemas e incompatibilidades. O sea que tambin es una buena prctica, establecer criterios y normas para configurar a los clientes de una red inalmbrica WIFI y evitar, en la medida de lo posible, que cada usuario manipule las configuraciones de conexin y seguridad de su equipo WIFI. Prohibir o limitar el uso de dispositivos Inalmbricos particulares En la actualidad, son muchsimos los usuarios que disponen de PDA, telfonos mviles y/o computadores porttiles de su propiedad. La mayora de estos equipos incorporan, ya, la tecnologa WIFI. Como es lgico, los dispositivos inalmbricos particulares no son controlados por los que "gobiernan las TI" de la organizacin, ya sean administradores de red, responsables de help desk o directores de sistemas. Nadie sabe qu S.O. tiene cada uno instalado, qu driver de WIFI est utilizando, con qu cliente se va a conectar a la red inalmbrica, si tiene un chip WIFI o un adaptador USB de marca desconocida, etc.

Hay que notar que cada factor de incertidumbre que aadimos a nuestra red, nos genera una complejidad adicional. Si aparece un fallo en la conexin en un equipo que no utilice los estndares de nuestra organizacin, tendremos que investigar varios factores, para detectar el orgen de dicho evento. Otro posible problema, no tan relacionado con WIFI, pero s con seguridad informtica, es que probablemente esos equipos "visitantes" puedan contener virus informticos, spyware, keyloggers, virus troyanos, o cualquier otro tipo de programas espa. Por lo tanto hay que ser muy consciente de los inconvenietes que acarrean los equipos de terceros y tratar de evitarlos en todo lo posible. Si no es posible hay, entonces, que limitar su utilizacin y asegurarse que sta se realice bajo control y siguiendo estrictamente las polticas pre-establecidas al efecto. Desactivar la tecnologa WIFI, en los dispositivos wireless que no la estn utilizando El NIST ha publicado una serie de recomendaciones para todas las agencias federales que instalen redes inalmbricas WIFI. Una de ellas es no comprar equipos WIFI hasta que no existan polticas y procedimientos para este tipo de tecnologa. Con ello se busca evitar la apertura de nuevos huecos de seguridad en los sistemas. Sin embargo, la realidad de las empresas en el mundo es muy diferente, a lo que aconsejan las buenas prcticas. Todas las empresas compran cotidianamente nuevos equipos de todo tipo: PDA, notebooks, etc. Todos los equipos en la actualidad incorporan tecnologas wireless: WIFI, Bluetooth, infrarrojos. En muchos casos los usuarios de esos equipos no utilizan las tecnologas wireless por falta de conocimientos, o falta de necesidad. Entonces surge la siguiente pregunta: Si el usuario no utiliza las conexiones WIFI o Bluetooth Para qu es necesario tener estas opciones activadas? Al estar activadas, estas tecnologas pueden ser aprovechadas por cualquier hacker para penetrar en los equipos y, si adems estos estn conectados a la red cableada empresarial, tambin en la red corporativa. Muchas veces el peligro es, proporcionalmente mayor, pues los que poseen estos equipos con tecnologa WIFI, suelen ser los funcionarios de mayor rango en las organizaciones: Directores Generales, Directores Financieros, Directores de Sistema, Consultores, Auditores, etc., por lo tanto almacenan informacin muy delicada y confidencial , en sus equipos "abiertos" o mal protegidos. Por lo tanto, constituye una muy buena prctica desactivar las capacidades WIFI de los dispositivos, cuando no son necesarias. Si WIFI no es nativo y se utiliza algn agregado como USB, o tarjeta PCMCIA, simplemente hay que quitarlo de

los equipos. Si WIFI es interno y viene incorporado hay que buscar la opcin de desactivarlo. De esta manera se evitarn innumerables problemas de seguridad. Emitir normas estrictas sobre el comportamiento de los usuarios en Hotspots de Aeropuertos, Hoteles, Universidades, etc. Los access points pblicos, denominados Hotspots, son una herramienta muy til para fomentar la movilidad. Las ventajas estn a la vista y todos acudimos a ellos cuando estamos en un aeropuerto, estacin de tren, hotel o centro comercial. En los Hotspots, la seguridad informtica, o con ms exactitud, la seguridad WIFI, prcticamente no existen y la informacin se transmite por el aire sin proteccin o escasamente protegida. Esto lo aprovechan los hackers. El desconocimiento de los usuarios, obviamente, echa "ms lea al fuego". La mayora de estos HotsPots son gratuitos y lo que buscan es conquistar al pblico y darles un servicio. Pero slo se preocupan de la seguridad desde el access point o hotspot hasta el servidor del propio ISP o proveedor de servicios de Internet. Los usuarios no suelen tener la posibilidad de validar el servidor del ISP, o de encriptar la informacin transmitida con un protocolo fuerte como WPA o WPA2, WIFI, transmite la informacin por el aire, que es un medio compartido. La informacin que transmitimos en el aeropuerto o universidad, puede ser capturada por cualquiera y analizada. Si esta informacin no se encripta con WEP, WPA o WPA2, lgicamente ser muy fcil su interpretacin. Ver: White Paper sobre Seguridad WIFI Otro peligro muy importante es el de conectarse a un servidor "pirata" o de hackers. Cuando nos conectamos en un sitio pblico, generalmente el servidor es desconocido para nosotros y por lo tanto, si adems del servidor "legal" hay algn servidor "pirata", no nos daremos cuenta. Al conectarnos, seguramente nos pedirn datos "delicados" como nmeros de tarjeta, claves, etc.A esto se lo denomina "Wi-Phishing". Por ello, es muy importante validar o autenticar al servidor que nos estamos conectando. Restringir, si es posible, la informacin que pueden portar los usuarios en los dispositivos wireless La capacidad de almacenamiento de PDAs, telfonos celulares y notebooks ha aumentado en los ltimos meses de manera significativa. En ellos se puede almacenar grandes cantidades de informacin. El dilema que ha surgido ltimamente es el siguiente: Poder se puede, pero Se debe? Tanto la lgica como las estadsticas demuestran que estos dispositivos wireless son muy "Vulnerables" y muy "peligrosos" por varios motivos. En primer lugar grandes cantidades de ellos se pierden o se roban y en segundo lugar, no estn

bien protegidos y son muy fciles de atacar via WIFI, via Bluetooth, via Spyware o mediante ataques de phishing. Los usuarios de todos los niveles deben ser conscientes de esta realidad. Bien a travs de polticas y normas internas o bien a travs de capacitacin. Todos en la organizacin deben conocer las grandes amenazas y los grandes peligros a los que est sujeta la informacin que se almacena en dispositivos mviles WIFI. La pregunta es Porqu debemos exponer nuestra "mejor" informacin? Quizs, haya que fijar polticas por las cuales ciertos archivos muy confidenciales slo puedan estar almacenados en los servidores de la red fija y no estar paseando por todo el planeta en el disco duro de algn funcionario? O quizs deba exigirse que la informacin confidencial que se almacene en un PDA o telfono mvil, deba estar encriptada? La seguridad de los equipos mviles constituye en la actualidad uno de los grandes desafos de la seguridad informtica. La mayora de las organizaciones no lo tienen an resuelto y bien haran con "atacar" este tema a la brevedad. Testear el alcance exacto de la cobertura de RF de cada Access Point, sobre todo hacia el exterior de la organizacin. Los Access Points transmiten la informacin a travs del aire y lo hacen enviando ondas de Radio Frecuencia. Muchos modelos de Access Point, permiten regular la potencia de transmisin - Ver: Seleccin adecuada de Wireless Access Point. De esta manera se puede controlar ms o menos el alcance de las ondas de Radio Frecuencia, o visto de otra manera, crear una zona de cobertura apropiada a nuestras necesidades. La ventaja de esto consiste en evitar, en lo posible, que nuestras ondas sean vistas por extraos, sin necesidad. De ninguna manera es necesario que nuestra RF vaya ms all de los lmites de nuestra casa o empresa. No son muchos los que adoptan esta buena prctica. Los motivos son varios:  Falta de conocimientos  El access point adquirido no dispone de esta opcin  El cliente no lo solicita y el instalador no est "motivado" para hacerlo. Esta es una prctica que contribuye a la seguridad de Redes Inalmbricas WIFI y si bien no es sencillo, a veces, evitar que nuestras ondas de RF se "fuguen", hay que intentarlo aunque sea aproximadamente. Con cada metro de alcance "intil" que reducimos, conseguimos alejar a algunos intrusos. Mientras ms metros quitemos, tendrn que estar ms cerca los intrusos potenciales. Otro inconveniente es que nuestras ondas "innecesarias" pueden crear interferencias con los vecinos. Si nuestros vecinos adoptaran esta buena prctica nos ahorraran a nosotros algunos problemas de configuracin y mantenimiento.

Cuando instalamos varios Access Points en nuestra organizacin, tambin es importante este "ajuste" para evitar interferencias entre todos ellos y, adems, para configurar microceldas. Cambiar el SSID por defecto y verificar que este no incluya datos sobre la organizacin, la divisin, la calle, etc. La tecnologa WIFI, permite a cada uno conocer todas las redes wireless que se encuentran a su alcance. Cada red WIFI viene identificada por el SSID del access point de esa red. Por lo tanto usuarios inocentes, como hackers y ciberpiratas pueden ver con "nombre y apellido" todas las redes que estn a su disposicin. Muchos usuarios por desconocimiento o muchos instaladores de redes inalmbricas WIFI por pereza o falta de profesionalidad dejan los Wireless Access Point con el SSID por defecto (default) que viene de fbrica. Otros comenten, por motivos similares, el gran error de cambiarlo por alguna palabra que identifique claramente a la organizacin o familia propietarios de esa red inalmbrica WIFI. Por ejemplo al visualizar las redes WIFI que se encuentran a nuestro alcance no es raro ver SSID como "familia G...", "familia P..." o "xxxseguros" "notara yyy", etc. Estas malsimas prcticas debilitan la seguridad WIFI de las instalaciones y facilitan la tarea de hackers, ciberpiratas y de cualquier intruso potencial. Veamos por qu:  SSID por defecto: muchas veces este SSID coincide con la marca o el modelo del equipo y existen pginas web donde se puede encontrar las claves de acceso por defecto a estos equipos. Si nos ocupamos de cambiar el SSID, no facilitamos tanto la tarea a un intruso potencial.  SSID con nombres propios: Al facilitar la informacin del propietario del Access Point, tambin estamos "informando" al intruso potencial en qu lugar preciso est ubicada esa red inalmbrica WIFI. No es lo mismo saber que en un edificio hay 15 redes inalmbricas funcionando, sin saber donde estn, que saber exactamente esa familia dnde vive y en qu piso y apartamento est. Por lo tanto lo ideal sera que el SSID est compuesto de letras y nmeros sin ningn significado especial. Es una tarea no muy complicada y mejora, siempre, la seguridad wireless Desactivar el broadcast del SSID, si es posible Hay Access Points robustos, que son muy completos e incluyen la funcin de desactivar la emisin del SSID. De ser posible, esta es una buena prctica que mejora la seguridad WIFI.

El SSID es importante y necesario que sea conocido por los usuarios de nuestra red inalmbrica WIFI, pero no se obtiene ninguna ventaja (antes, genera inconvenientes) que sea conocido y visto por todo el vecindario, includos hackers y ciberpiratas. Si evitamos que sea "pblico", nuestros usuarios podrn conectarse pues sus equipos sern configurados con ese SSID. Desde luego que quin tenga buenos conocimientos de hacking y de la tecnologa WIFI utilizada por las redes inalmbricas, podr encontrarlo aunque no sea emitido, pues esa informacin se incorpora en diversos tipos de paquetes utilizados por WIFI, pero ello implica una dificultad ms para los intrusos pues debern capturar varios paquetes y analizarlos hasta encontrar el SSID.

Desactivar los archivos compartidos y el modo Ad-Hoc, siempre que sea posible. La tecnologa WIFI, tiene muchas ventajas pero tambin muchos peligros. La magnitud de estos peligros crece, an ms, cuando el usuario no es consciente de ellos. Las Redes inalmbricas Ad-Hoc, son un buen ejemplo de ello. Es evidente que el hecho que dos o ms PC, o PDA, o telfonos celulares WIFI, puedan conectarse entre s puede ser una gran ventaja funcional pero eso mismo constituye un grave problema de seguridad WIFI, muy difcil de solucionar Si un usuario de WIFI est trabajando con su computador, todo aquel que est en un radio menor a 100 ms con una PDA o notebook, podr establecer contacto con l. Si el que busca la conexin es un hacker o ciberpirata el peligro es evidente. Existen en la actualidad diversas herramientas diseadas especialmente para la Seguridad de Redes Inalmbricas WIFI. Estas utilidades WIFI emiten alertas cuando alguien se est conectando con nuestro computador o PDA. Tambin se pueden configurar para impedir este tipo de conexiones. Instalar todos los parches necesarios en S.O., Access Points, Suplicantes, RADIUS, VPN, Firewalls, etc. Existe, en general, una "mala prctica en muchas organizaciones respecto de los "parches" o upgrades de los softwares. No se sabe bien por qu muchos profesionales informticos piensan que "parchear" o "actualizar" los sistemas, se refiere slo al Sistema Operativo. En realidad todos los sistemas suelen tener vulnerabilidades o fallos y es necesario actualizarlos, segn lo recomienda cada fabricante. Las redes inalmbricas WIFI son mucho ms complejas que las redes cableadas. Entre otras cosas pues tienen muchos ms componentes.

Los Access Points tambin tienen sus propios sistemas operativos y estos deben ser actualizados cuando se descubren vulnerabilidades o cuando aparecen nuevos estndares como sucedi con el estndar IEEE 802.11i de Seguridad WIFI, o con el estndar IEEE 802.11e de Calidad de Servicio (QoS). Otro tanto sucede con los servidores RADIUS que deben ser "parcheados" o actualizados cada tanto. Por ejemplo cuando se aprob el estndar IEEE 802.1x para Autenticacin y Autorizacin en Redes Inalmbricas WIFI. Igualmente fu necesario actualizarlos cada vez que se aprob un nuevo protocolo EAP de autenticacin. Esta situacin se repite con los Suplicantes WIFI, drivers de dispositivos wireless , VPN, Firewalls y cualquier otro elemento que participe en la red inalmbrica WIFI. Nos consta que esta "buena prctica" no se aplica en muchas organizaciones ya por falta de tiempo o ya por falta de "voluntad". Se recomienda prestar atencin a estos parcheos pues influyen bastante en la seguridad WIFI y en la gestin de la red inalmbrica y de los Access Points. Implementar control de acceso fuerte a la consola de gestin de los Access Points. La gestin y configuracin de los Access Point se hace generalmente desde una consola, que muchas veces est, tambin, conectada a Internet. En captulos anteriores se habl Establecer normas escritas de configuracin de Access Points y estaciones de trabajo y de Cambiar el SSID por defecto y verificar que este no incluya datos sobre la organizacin, la divisin, la calle, etc. Si implementamos estas buenas prcticas pero no protegemos adecuadamente las configuraciones, estas pueden ser modificadas. Segn el tipo de access point que estemos utilizando pueden ser muchos los parmetros de configuracin o pocos. Algunos de estos pueden ser vitales para la seguridad de nuestra red inalmbrica WIFI. Parmetros como el SSID de la red WIFI, o la potencia de transmisin o el tipo de encriptacin a utilizar son muy importantes y si algn hacker o intruso consigue modificarlos puede ocasionar daos importantsimos. El problema se complica cuando las consolas de gestin estn conectadas a Internet, pues en este caso hay que sumar el riesgo que conllevan las intrusiones a travs de Internet a la consola. Utilizar 802.1x/EAP y RADIUS Esta se podra decir que es una "Super Best Practice" o una "Buensima Prctica". El estndar IEEE 802.1x es el pilar fundamental de la Seguridad WIFI o Seguridad

Wireless. En ninguna organizacin se puede hablar de una seguridad WIFI robusta, si no se aplica el estndar 802.1x. Antes de la adaptacin de este estndar para redes inalmbricas WIFI, no exista ningn control sobre los accesos a las redes wireless. Las debilidades ya comentadas del protocolo WEP, obligaron a la IEEE a buscar una rpida solucin a la vulnerabilidad de la seguridad WIFI. Al aplicar el estndar 802.1x, el puerto de acceso a la red cableada permanecer cerrado, hasta que el Servidor RADIUS permita su apertura . El Access Point lo nico que debe hacer es transmitir la informacin que fluye entre el cliente, que solicita entrar y el Servidor RADIUS, que es quin tomar la decisin final y autorizar al PDA o computador a ingresar a la red cableada. Todo el proceso de autenticacin se apoyar en la utilizacin de los protocolos EAP y de un software cliente en cada dispositivo mvil, denominado suplicante que es quin inicia el proceso de autenticacin. Existen varios EAP como el EAPLEAP, desarrollado por Cisco, el EAP-TLS, desarrollado por Microsoft, el EAPTTLS desarrollado por Funk Software, el EAP-PEAP, desarrollado conjuntamente por Microsoft y Cisco y el FAST, desarrollado por Cisco. Para los particulares y las pymes el estndar 802.1x no son muy fciles de aplicar, pero para todas las organizaciones medianas o grandes, es de uso imprescindible para lograr un mnimo de seguridad en sus redes WIFI. Configurar el o los suplicantes adecuadamente y proteger su configuracin por password El suplicante es la aplicacin cliente que se encarga de solicitar al servidor RADIUS la autorizacin para conectarse a la red. En l se debe configurar qu protocolo EAP se debe utilizar para la autenticacin, el nombre de la red WIFI que queremos utilizar, etc., por lo tanto constituye una buena prctica que el acceso al panel de configuracin est protegido por una clave, para que los usuarios y los hackers no puedan cambiar fcilmente estas configuraciones. Casi todos los "clientes" WIFI incluyen algn tipo de software suplicante, pero es muy recomendable que las empresas y organizaciones adopten un suplicante estndar para todos los usuarios y se estudie y analice como proteger su configuracin. Si no se hace esto, se corre el riesgo (es lo que sucede en la mayora de las empresas) que se produzcan muchos problemas de incompatibilidad y de mantenimiento por la mezcla de suplicantes. Muchos suplicantes, sobre todo los que son gratuitos o los que vienen con Access Points de baja gama, no suelen ofrecer esta posibilidad de proteccin. Implementar herramientas de monitoreo del espacio de RF. Si puede un Switch WLAN, mejor

La informacin que se transmite en una Red Inalmbrica WIFI, viaja por el aire. El aire es un medio pblico, no exclusivo. Esto quiere decir que se mezclarn las ondas de RF de diversas Redes Inalmbricas WIFI. Esta caracterstica tan peculiar de las redes inalmbricas genera toda una serie de problemas de gestin y de seguridad, que obligan a monitorear el aire, para comprender qu es lo que est sucediendo. No olvidar que el aire, forma parte de nuestra red inalmbrica as, como los cables son parte integral de las redes tradicionales. Para monitorear el aire es necesario contar con las herramientas que se han diseado para esta finalidad: Analizadores WIFI y Switches Wireless, o Switches WLAN. Los Switches Wireless, son la herramienta ms apropiada.

A medida que aumenta la densidad de redes inalmbricas WIFI en las ciudades y en todas las manzanas se van instalando redes WIFI, se hace cada vez ms necesaria una herramienta para monitorear el espacio de RF. Es importante insistir, que sin esta ayuda, ser imposible gestionar una red inalmbrica de manera profesional y organizada. Los seres humanos no tenemos la capacidad de ver lo que est sucediendo "dentro del aire". Es imposible, adems, lograr una buena Seguridad WIFI, sin un Switch Wireless. Tambin ser imposible dar un buen soporte y mantenimiento a los usuarios pues ser necesario "adivinar" cul es la causa de los problemas. A continuacin se hace una muy breve enumeracin de los asuntos que se pueden tratar y resolver con un Switch WLAN o Wireless:  GESTIN o Balanceo de Cargas o Estadsticas de Conexin en cada Access Point o Informacin sobre usuarios conectados con 802.11b y 802.11g o Informacin de velocidades de transmisin  MANTENIMIENTO o Informacin sobre interferencias o Informacin sobre obstculos o Informacin sobre Access Point desconfigurados o Usuarios problemticos  SEGURIDAD WIFI o Access Point hostiles - Rogue Access Point o Redes Ad-hoc o Ataques Denegacin de Servicio o Ataques de Intrusin

Establecer una rutina de verificacin de access point hostiles En la actualidad se debe convivir con 3 tipos diferentes de Access Points "amenazantes" o "preocupantes" que son o pueden ser hostiles hacia nuestra red inalmbrica WIFI. Estos pueden originarse en:  Vecinos que estn a menos de 100 ms. de distancia  Empleados de la organizacin que instalen sus propios Access Points  Hackers o Ciber-delincuentes que entran en nuestra red inalmbrica WIFI Dems est decir que, por ejemplo, en el caso de los vecinos, no podemos hacer nada por impedirlo. Pues cada uno tiene tanto derecho como nosotros a instalar sus redes wifi con la cantidad de access points que estimen conveniente. En el caso de los hackers y de los empleados de la propia organizacin, s existen medidas que podramos adoptar para erradicar los access point hostiles, pero como es lgico esto slo se puede hacer si somos capaces de detectarlos y, adems, localizarlos. Esta tarea no es nada fcil para la mayora de las empresas y organismos. Esta tarea, evidentemente es ms sencilla si se cuenta con un switch WLAN. Pero dado que la mayora de los usuarios no tienen este tipo de herramientas para redes WIFI, es una muy buena prctica preparar una estrategia y una rutina para detectar este tipo de amenazas a la seguridad WIFI. Mantener un inventario actualizado de los Access Points que existen en la vecindad y que pueden interferir en sus usuarios Como es obvio, estos problemas van siempre en aumento (y nunca al revs) pues cada da son ms los vecinos que instalan redes inalmbricas WIFI. Los daos que pueden surgir de la presencia de estos Access Points "vecinos" pueden ser enormes y, sin embargo, debemos convivir con ellos, pues no podemos hacer nada para que desparezcan pues nuestros vecinos tienen tambin derecho a instalar redes WIFI Uno de los problemas que se pueden originar por los Access Points de los vecinos, es que nuestros usuarios se conecten a ellos. Esto puede generar graves riesgos de seguridad y tambin grandes prdidas de productividad. Piense que en una de estas "visitas" a los Access Points del vecindario, alguno de nuestros usuarios puede resultar infectado con un virus informtico, o un spyware, o un keylogger y luego ocasionar daos muy serios a la seguridad informtica de nuestros sistemas. Otro de los riesgos es que esos Access Points estn configurados en los mismos canales que los nuestros y nos generen interferencias y confusiones con nuestros usuarios

Por ejemplo, los notebooks o PDA de algunos de nuestros usuarios pueden confundirse con algn RTS o CTS de los Access Points vecinos y eso dara lugar a colisiones e ineficiencias en nuestro sistema. Por lo tanto, es un muy buen consejo el estar alerta a las instalaciones de los vecinos y, si es posible, tener inventariados los Access Points de ellos. Como esta situacin es variable, habra que estar actualizando este inventario de Access Points frecuentemente.

Mantener un inventario actualizado de los sitios "ruidosos" o con interferencias de su vecindario En toda transmisin WIFI, es de vital importancia la SNR, o sea la relacin "Seal/Ruido". Si en determinados rincones o zonas donde est desplegada nuestra Red Inalmbrica WIFI, hay mucho ruido, este "absorver" a la seal y las ondas de RF no llegarn a su destino, o llegarn muy atenuadas ocasionando una muy baja calidad de seal. Las prdidas de seal en WIFI, son un problema bastante frecuente y que muchas veces generan el desconcierto de los informticos que no dominan la tecnologa WIFI y sus secretos. Son muchos los que ignoran la "volatilidad" de las conexiones WIFI. Lo ms desconcertante es que los "ruidos" o "interferencias" no suelen ser constantes o permanentes, entonces nos llegan decenas de consultas preguntando porqu una red WIFI funciona correctamente durante varias horas y, de pronto, se pierde la seal. Y, despus de un tiempo, aparece la seal otra vez y todo vuelve a funcionar, sin inconvenientes. Est claro, que los ruidos y las interferencias son uno de los motivos (no el nico) principales de este fenmeno. Los ruidos o interferencias, como pueden ser los generados por un micro-ondas, u otros equipos, pueden estar originados, en muchos casos, no en nuestra organizacin, sino en lo de algn vecino. Como es obvio uno no sabe generalmente qu est pasando en lo de los vecinos y, esto solo se puede detectar con los instrumentos pertinentes. Adems de las interferencias intermitentes, estn las atenuaciones producidas por obstculos como estanteras metlicas, escaleras de emergencia, peceras, etc. Estos obstculos pueden aparecer tambin en las empresas vecinas. Entonces, no deja de ser tambin una buena prctica, tener "inventariados" los focos de ruidos e inferencias que provengan de los vecinos y, por supuesto, actualizar peridicamente este "mapa" de ruidos. El buen funcionamiento de

nuestra Red Inalmbrica WIFI depender, tambin, de lo que suceda en el vecindario.