Seguridad Informática – Redes y WIFI. Pág. 1 de 3 www.GitsInformatica.com WIFI. Configuración segura de redes. ¿Qué es WiFi? Es lo que comúnmente se conoce como red inalámbrica y permite la conexión a Internet sin cables. Es decir, la transmisión de la información se realiza por ondas, al igual que lo hace una radio o la televisión. ¿ En qué casos en recomendable instalarla? La utilización de este tipo de conexión ofrece innumerables ventajas asociadas a la movilidad, y está especialmente recomendado en las siguientes situaciones: Debido a los posibles riesgos de seguridad que puede llevar consigo una red inalámbrica, se recomienda comprobar la necesidad de disponer de este tipo de red. Cuando necesitas conectarte en distintos sitios en tu domicilio y donde no siempre es sencillo llevar cables. Cuando los cables no son considerados “estéticos” con la decoración de tu domicilio. Cuando necesitas conexión y movilidad al mismo tiempo. Cuando el número de equipos que se conectan en su domicilio es variable. ¿ Cómo proteger la red WiFi? A la hora de instalar una red inalámbrica se debe tomar ciertas medidas para reducir los riesgos de un incidente de seguridad; como puede ser que personas ajenas accedan a tu información privada, que sea victima de un fraude, que utilicen su red para fines maliciosos - con las consideraciones legales que esto puede suponer - o simplemente que terceros consuman ancho de banda afectando al rendimiento. Podemos disponer de redes WiFi con un nivel de seguridad más que aceptable si se utilizan correctamente los medios de protección disponibles.Una red WiFi sin protección puede provocar que personas ajenas la usen para acceder a información privada o cometer algún fraude. Para entender mejor como podemos asegurar nuestra red inalámbrica primero veremos como se realiza la conexión de un nuevo dispositivo a la misma.Para asegurar la red se deberán proteger los diferentes pasos que se realizan durante la conexión del dispositivo al router. Medidas básicas de seguridad Definimos este concepto cuando se tratan de aquellas medidas mínimas necesarias a tomar para disponer de una red WiFi segura. Se pueden abordar con unos conocimientos básicos y los manuales de uso de los dispositivos. Planifique el alcance de la instalación. El objetivo de esta planificación es controlar el alcance de la red, ya que cuanto menos difusión de las ondas fuera de sus instalaciones tenga menores serán las posibilidades de una intrusión en la red. Los puntos esenciales a tener en cuenta son: Responder a las necesidades de la empresa (cobertura, ubicación, etc). No dejarlos al acceso directo de cualquier persona. Deberán estar en lugares relativamente difíciles de acceder (techos, sobre falso techo, en cajas con cerradura, etc) . Cambie los datos de acceso al Router. Los routers y puntos de acceso que recibe cuando contrata el servicio WiFi con algún proveedor, suelen tener una contraseña por defecto para acceder a la administración y configuración del dispositivo. Esta contraseña, a veces denominada “clave del administrador”, debe cambiarse cuanto antes por otra contraseña. Con esta medida evitaremos que atacantes que hacen uso de esas contraseñas por defecto puedan tomar el control del router desde fuera vía Internet y modificar nuestra configuración de seguridad. Oculte el nombre de su red. Cuando usted intente conectarse a una red, le aparecerán todas las que se encuentran a su alrededor, independientemente si pertenecen o no a su organización, y esto mismo le ocurrirá a cualquier persona que vea todas las redes inalámbricas, incluida la suya. Seguridad Informática – Redes y WIFI. Pág. 2 de 3 www.GitsInformatica.com Para evitar ésto al configurar el SSID de nuestra red en el “Router”, o en el punto de acceso, lo haremos de forma que no se difunda el nombre de la red. De esta manera si alguien quiere conectarse a ella, solo podrá hacerlo si conoce el SSID de antemano. Con esta sencilla medida aseguramos el punto 2 de la conexión. Sólo podrán conectarse a su red aquellos usuarios autorizados que conozcan el nombre de red de su empresa. Use protocolos de seguridad. Mediante protocolos de seguridad que permiten el cifrado en función de una contraseña conseguiremos proteger tanto el acceso a la red, como las comunicaciones entre dispositivos Los dos sistemas más comunes para asegurar el acceso a la red WiFi son mediante el procolo WEP (Wired Equivalent Privacy) y el protocolo WPA (WiFi Protected Access). El protocolo WEP es el más simple y lo implementan prácticamente todos los dispositivos, pero ya han sido reportadas algunas vulnerabilidades que permiten saltarse su protección. En cambio, el protocolo WPA utiliza un cifrado más fuerte que hace que sea más robusto, aunque no todos los dispositivos ni los sistemas operativos lo soportan (consultar documentación del dispositivo). También es posible implementar el protocolo WPA2 que es la evolución definitiva del WPA, es el más seguro de los tres pero tampoco todos los dispositivos lo implementan. Use el protocolo que use, la forma de trabajo es similar, si el punto de acceso o router tiene habilitado el cifrado los dispositivos receptores que traten de acceder a él tendrán que habilitarlo también. Cuando el punto de acceso detecte el intento de conexión solicitará la contraseña que previamente habremos indicado para el cifrado. Utilice SIEMPRE un protocolo de seguridad, y en lo posible el protocolo WPA. Para lograr una mayor seguridad se deben cambiar las contraseñas de acceso cada cierto tiempo y usar contraseñas fuertes. Esto es una forma de asegurar el paso tres, comprobación de credenciales. Apagar el router o punto de acceso cuando no se vaya a utilizar De esta forma reduciremos las probabilidades de éxito de un ataque contra la red inalámbrica y por lo tanto de su uso fraudulento. WI-FI: Medidas avanzadas de seguridad En esta sección se tratan las medidas a adoptar para tener una garantía “extra” de seguridad. Para implementarlas es necesario disponer de conocimientos técnicos avanzados o contar con personal técnico adecuado. Recuerde que a veces no valoramos bien lo crítica que es nuestra información. Piense en lo que pasaría si su información estuviera a disposición de terceros. ¿Sería entonces importante? Utilizar la lista de control de acceso (ACL) por MAC La lista de control de acceso, consiste en crear una lista con las direcciones MAC de los dispositivos que queremos que tengan acceso a nuestra red. La dirección MAC es un identificar único de los dispositivos de red de nuestro equipos (Tarjerta de red, móviles, PDA, router,...). Así que si cuando solicitamos la conexión nuestra MAC está en la lista, podremos acceder a la red, en caso contrario seremos rechazados al no disponer de la credencial apropiada. Seguridad Informática – Redes y WIFI. Pág. 3 de 3 www.GitsInformatica.com De esta forma aseguramos el paso tres, presentación de credenciales. Deshabilite el DHCP en el Router y utilice IP estáticas Para dificultar la conexión de terceros a la red se puede desactivar la asignación de IP dinámica por parte del router a los distintos dispositivos inalámbricos. Cuando un equipo trata de conectarse a una red, ha de tener una dirección IP que pertenezca al rango de IPs de la red a la que queremos entrar. El servidor DHCP se encarga de dar una dirección IP adecuada, siempre que el dispositivo esté configurado para obtenerla en modo dinámico mediante servidor DHCP. Al deshabilitar el DHCP en el router cuando un nuevo dispositivo solicite una dirección IP, éste, no se la dará, por lo tanto, si quiere conectar deberá indicar el usuario una dirección IP, una máscara de subred y una dirección de la pasarela o gateway (dirección del Router) de forma aleatoria, lo que implica que las posibilidades de acertar con la IP de la red deberían ser casi nulas. De esta forma aseguramos el paso 4 . Cambie la dirección IP para la red local del Router Para dificultar en mayor medida que personas ajenas se conecten a a su red inalámbrica de manera ilegitima también es recomendable cambiar la IP interna que los router traen por defecto, normalmente 192.168.0.1. Si no se realiza el cambio el atacante tendrá más posibilidades de acertar con una IP valida y por lo tanto de comprometer la red. Autentique a las personas que se conecten a su red, si lo considera necesario La autenticación de usuarios tiene sentido en entornos donde los usuarios serán siempre los mismos. Si es el caso de su empresa, recomendamos optar por la autenticación de personas. Si es necesario autenticar a las personas que acceden a su red, se recomienda utilizar el protocolo 802.1x En caso de necesidad de autenticar a las personas que se conectan a la red, se recomienda la implementación del protocolo 802.1x (Contactar con personal especializado si no se tienen los conocimientos necesarios) Este protocolo es complicado de implantar, pero es bastante seguro. Su funcionamiento se centra en certificados digitales, (como por ejemplo los facilitados por la Fábrica Nacional de Moneda y Timbre FNMT o el recién implantado e-DNI). Estos certificados se instalan en los ordenadores de los usuarios, y cuando se quieren conectar a la red, los certificados se transmiten de forma segura hacia la entidad u organismo que ha firmado los certificados y verifica que son válidos. A partir de ahí, los clientes pueden acceder a la red (ya que ya se han autenticado) y de forma segura (los certificados ayudan a proporcionar un canal de comunicación seguro). ______________________________________ Encontrará más documentos en la Sección de Descargas de Seguridad GITS Informática. Gits mira por tus derechos. Gits es Pro-Vida. Por razones ecológicas y económicas, imprima este documento solo si es necesario y, a ser posible, en papel reciclado. Recomendamos la visualización de este documental: http://www.youtube.com/watch?v=SWRHxh6XepM. Gracias por su colaboración con el medio ambiente. Copyright (c) 2003. Gits Informática. All rights reserved.