13 diciembre 2005

Lista de Comprobación Rápida de Seguridad Wireless LAN

Traducción del SrNaranja de las recomendaciones de seguridad para redes inalámbricas de www.wardrive.net.

Lista de Comprobación Rápida de Seguridad Wireless LAN de Wardrive.net (***)

1 Cambia la contraseña de administrador por defecto de tu punto de acceso ( esto también incluye el interfaz web).

2 Visita el sitio web del fabricante para comprobar si el firmware de tu punto de acceso wireless y/o clientes está actualizado. Actualiza si es necesario. Añade su página de soporte a tus favoritos para comprobar futuras actualizaciones.

3 Emplea el máximo nivel WEP/WPA (WPA2/802.11 altamente recomendado). Utiliza claves consistentes.

4 Autentifica tus usuarios wireless con protocolos como EAP (incluyendo EAP-TLS, EAP-TTLS, PEAP, y EAP-SIM). Estos protocolos soportan autentificación de credenciales que incluye certificados digitales, nombres de usuario y contraseñas, testigos de seguridad (secure tokens) y secretos SIM.

5 Utiliza encriptación fuerte para todas las aplicaciones que uses a traves de la red wireless, ej. usa SSH y TLS/https.

6 Encripta el tráfico wireless mediante el uso de VPN's (Redes Privadas Virtuales).

7 Ayúdate de herramientas como las de WLAN Security Tools (http://www.wardrive.net/security/tools) para asegurar la red wireless. Estos programas están especialmente diseñados para asegurar redes inalámbricas 802.11.

8 Crea un segmento dedicado para tú red y tomas medidas adicionales para restringir el acceso a este segmento.

9 Accede a través de un proxy con control de acceso para solicitudes salientes ( web proxy y otros).

10 COMPRUEBA regularmente la seguridad de tu red inalámbrica usando las ultimas herramientas de wardriving (http://www.wardrive.net/wardriving/tools), las mismas que usaría tu atacante.

11 Habilita un estricto registro de actividad en todos los dispositivos y compruéba los ficheros regularmente para ver si la política es todavía la adecuada.

12 ( Advertencia: Sólo agrega un poco de seguridad) Habilitar el filtrado de direcciones MAC en tu punto de acceso. Ten en cuenta que las direcciones MAC pueden ser cambiadas de una manera fácil por el atacatante.

(***) Nota

Los pasos mencionados anteriormente no están necesiariamente en orden de importancia. No siempre es necesario implementar todos los pasos, escoge unicamente los que se adecuen a tus cirscunstancias.

La seguridad LAN inalámbrica ( y la seguridad de redes en general) es mas compleja que seguir unos "simples pasos". Asegurate que comprendes los riesgos de usar equipamiento de red inalámbrico en tu casa u oficina.

Puedes encontrar información básica y avanzada sobre redes inalámbricas y seguridad inalámbrica en este sitio (http://www.wardrive.net/security/links).

Nota final: "Ocultar el SSID" no proporciona seguridad real como queda reflejado en el artículo de Joel Snyder (http://www.networkworld.com/columnists/2005/042505snyder.html) de abril de 2005 y en profundidad en el white paper - Desmontando el mito de la ocultación de SSID (http://www.icsalabs.com/html/communities/WLAN/wp_ssid_hiding.pdf) de los laboratorios ICSA (PDF, Dic 2003) .


No hay comentarios: