Professional Documents
Culture Documents
WatchGuard Technologies
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
EE. UU.
www.watchguard.com
SEGURIDAD AL DESCUBIERTO
PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA INCOPORAR
REDES LAN INALMBRICAS A INTRANETS
SUMARIO
Abordamos en este documento el problema especfico de proteger su intranet cuando se agregan
redes LAN inalmbricas (WLAN). Identificamos los problemas singulares que debe tener en cuenta su
organizacin cuando se integran estas redes inalmbricas en las hasta el momento consideradas
redes seguras, es decir las redes que su organizacin ya tiene protegidas con cortafuegos (firewalls)
y otros productos de seguridad. Mostramos no obstante que, por muy singulares que los problemas de
redes LAN inalmbricas puedan parecer, muchos se pueden encarar mediante procedimientos de
seguridad convencionales y tecnologas de seguridad que usted ya ha instalado y configurado. Para
cada problema, explicamos cmo pueden mitigarse o reducirse en gran medida los riesgos que
entraan las redes LAN inalmbricas, y mostramos cmo esta tarea constituye una aplicacin prctica
ms de los principios de seguridad por capas. En un apartado final, explicamos cmo configurar los
productos WatchGuard para obtener la mxima ayuda en la proteccin de las redes inalmbricas. En
el Apndice figura una lista de comprobacin que los administradores pueden seguir en orden a
implantar una exhaustiva proteccin de un segmento de una red inalmbrica. El Glosario final define
algunos de los trminos tcnicos usados en este documento.
LAS REDES LAN INALMBRICAS SON UN ARMA DE DOBLE FILO
Las WLAN ofrecen una ayuda bien acogida a las grandes organizaciones cuyos empleados necesitan
mayor flexibilidad y movilidad. La facilidad de instalacin de una WLAN libera a las compaas del
gasto y complejidad que conlleva mantener infraestructuras cableadas en edificios en los que la
configuracin de las oficinas cambia con frecuencia. Las redes LAN inalmbricas proporcionan a los
empleados el lujo de mantener conexiones permanentes con la intranet en cualquier ubicacin dentro
de un complejo corporativo. Tal libertad de movimiento crea oportunidades previamente inalcanzables
de colaboracin en red, y de grupos de trabajo dinmicos entre los empleados. Esta modalidad de
trabajo en red con conexin continua se est extendiendo rpidamente ms all de las fronteras de
las organizaciones. La existencia de cientos de hotspots en aeropuertos, hoteles, cafeteras, y centros
de congresos, combinada con la disponibilidad de equipos domsticos econmicos para WLAN,
permite a los empleados estar literalmente conectados todo el tiempo y en cualquier sitio.
Esta libertad extraordinaria tiene un precio. Como su nombre indica, las redes LAN inalmbricas usan
frecuencias de radio en vez de cables. Sin medidas de proteccin apropiadas, cualquier porttil con
una tarjeta WLAN y una antena puede sintonizar la frecuencia utilizada por el entorno WLAN de su
organizacin y conectar con su intranet desde otra planta de su edificio o incluso desde un edificio
adyacente. Hackers motorizados pueden, desde un parking, localizar su red WLAN fcilmente y
conectarse a su intranet a travs de una red inalmbrica sin proteccin. Cules son las motivaciones
de esos y otros intrusos de redes inalmbricas? Algunos quieren conectar con su WLAN de alta
velocidad para darse un paseo gratuito por Internet. Otros tienen propsitos ms maliciosos y
buscarn robar contraseas, enmascararse como usuarios autorizados, obtener datos sensibles, o
echar abajo su negocio mediante ataques de denegacin de servicio (DoS) directamente a su intranet.
El resto de este documento aborda mtodos que le permitirn proporcionar a sus empleados el
beneficio de las redes inalmbricas desbaratando al mismo tiempo los intentos de esos usuarios
malintencionados para abusar de su red.
2/14
Capa 5
Capa 4
Capa 3
Capa 2
Capa 1
Los administradores de Tecnologas de la Informacin, que estn familiarizados con este concepto,
observarn que estas recomendaciones propugnan una seguridad para su red de abajo hacia arriba
en otras palabras, aseguran en primer lugar el soporte fsico de la red (capa 1), a continuacin
atienden a los temas relacionados con el enlace de los datos (capa 2), como por ejemplo
direccionamiento MAC, y as sucesivamente hacia los niveles superiores. Este es un modelo tan
bueno como cualquier otro para asegurarse de que no pasa por alto ningn aspecto de la seguridad
de su red, y para establecer un slido fundamento para cada una de las sucesivas capas de
seguridad.
3/14
4/14
ADMINISTRACIN DE INFRAESTRUCTURA
El objetivo aqu es aumentar su capacidad de observar lo que est pasando en la red sin aumentar por
ello las posibilidades de que un intruso acceda a ella siguiendo sus huellas.
MONITORIZACIN Y ANLISIS DEL TRFICO
Complemente la seguridad por capas registrando y analizando la actividad en las capas en las que
aplica seguridad. Registre SSIDs, canales de radio, y direcciones MAC utilizadas en el rea en la que
desplegar su WLAN.
Escanee regularmente canales broadcast en busca de Puntos de Acceso no autorizados (rogue) y
nuevas direcciones MAC. Utilice herramientas de anlisis de red inalmbrica para espiar el trfico
inalmbrico en busca de indicios de intentos de acceso no autorizados o interferencias con redes
inalmbricas adyacentes. SSIDs invlidas, direcciones MAC e IP que no resultan familiares, peticiones
DCHP rechazadas, o mensajes ICMP port unreachable a su DNS pueden indicar actividad intrusa.
SEGURIDAD DE PUNTO DE ACCESO
6/14
Autenticacin de Usuario: Exige que los usuarios de la red inalmbrica presenten sus
credenciales de acceso (login) para poder conectar con la red segura (intranet).
Control de Acceso al Permetro: Los controles de acceso del cortafuegos pueden usarse
para proteger la intranet de falsas direcciones IP, DoS, y otros hipotticos ataques lanzados
desde las redes inalmbricas.
Conexiones Seguras (Encriptacin): Mediante tneles VPN se puede proporcionar una
autenticacin ms fiable (incluyendo certificados digitales), y privacidad e integridad de
mensajes desde clientes WLAN a un gateway VPN seguro o a un cortafuegos con
capacidad VPN.
Registro y Monitorizacin: Los cortafuegos pueden proporcionar un punto de auditora
entre usuarios WLAN y servidores de intranet.
Cada cliente WLAN que acceda a la intranet habr sido autorizado previamente.
El trfico entre la red inalmbrica y la intranet estar filtrado.
La comunicacin sobre la red LAN inalmbrica estar encriptada.
El trfico que entre en la intranet se analizar para detectar posibles virus, gusanos, y
cualquier otra forma de cdigo malicioso.
El trfico que entre en la intranet desde el cortafuegos interdepartamental puede ser
examinado en busca de firmas de intrusin y ataques a nivel de aplicacin ya conocidos.
Su cortafuegos mantiene un registro detallado del trfico entre la red inalmbrica y la
intranet, lo que permite el anlisis forense y de trfico.
9/14
10/14
Tome medidas para evitar que clientes no autorizados adquieran direcciones dinmicamente
asignadas de sus Puntos de Acceso (e.g., use IPs, estticas, asigne direcciones IP ligadas a
listas de control de acceso MAC en sus Puntos de Acceso, o use DHCP solamente con
autenticacin MAC IEEE 802.1x).
Configure sus Puntos de Acceso y clientes WLAN con SSIDs largos y difciles de adivinar.
Active el WEP IEEE 802.11 (Wireless Equivalent Privacy -- WEP) como un mtodo de control
de acceso en sus Puntos de Acceso y en sus clientes WLAN.
Si utiliza Windows XP en clientes WLAN, active la autenticacin basada en puertos y la
distribucin de claves IEEE 802.1x (Nota: Esto requiere en algn lugar de su intranet un
servidor RADIUS con soporte EAP).
GLOSARIO
Proporcionado por el equipo de servicios de contenidos de WatchGuard LiveSecurity
ARP (Address Resolution Protocol Protocolo de Resolucin de Direccin)
Cada dispositivo en una red tiene al menos dos direcciones: una direccin de control de acceso al
medio (Media Access Control MAC), y una direccin de Protocolo Internet (IP). La direccin MAC es
la direccin de la tarjeta de interface fsico con la red, en el interior del dispositivo, y no cambia nunca
para esa tarjeta. La direccin IP puede cambiar si la mquina es trasladada a otro lugar de la red o si
la red utiliza DCHP. ARP, uno de los protocolos IP, se utiliza para asociar o resolver una direccin IP
con su correspondiente direccin MAC (y viceversa). ARP trabaja enviando un paquete broadcast a
todas las mquinas conectadas a una red Ethernet. El paquete contiene la direccin IP con la que el
emisor quiere comunicarse. La mayora de las mquinas lo ignoran. La mquina que reconoce la
direccin IP contenida en el paquete como suya, devuelve una respuesta.
DHCP (Dynamic Host Configuration Protocol -- Protocolo de Configuracin Dinmica de
Hospedaje)
Un estndar propuesto en RFC 1541 para transferir informacin de configuracin de red desde un
servidor central a los dispositivos cuando estos se inicializan. Tpicamente estos datos incluyen una
direccin IP para la mquina que el servidor puede cambiar y alojar sobre la marcha bajo DCHP.
11/14
Servidor DHCP
Dispositivo que asigna automticamente direcciones IP a ordenadores en red, obtenindolas de un
fondo de IPs y devolviendo las direcciones no utilizadas al fondo. Usando un servidor DCHP, un
administrador no tiene normalmente que verse envuelto en tareas de asignacin de direcciones IP a
clientes individuales.
DNS (Domain Name System Sistema de Domminio de Nombres)
Sistema de servidores conectados en red que trasladan direcciones IP a direcciones Internet
jerarquizadas y legibles, y viceversa. Esto es lo que permite que cuando usted en su navegador
escribe un nombre como www.watchguard.com, su ordenador entienda que quiere acceder a un
servidor con direccin 206.253.208.100 (por ejemplo).
Direccin Ethernet
Un nico identificador que se obtiene cuando se instala una adaptador Ethernet en un ordenador. Esta
direccin identifica la mquina como un nico tem de comunicacin y habilita la comunicacin directa
desde y hasta un ordenador concreto. Ver tambin direccin MAC.
ICMP (Internet Control Message Protocol Protocolo de Control de Mensajes de Internet)
Protocolo utilizado para enviar mensajes de control y de error en un sentido y en otro entre nodos de
Internet. Quiz el comando ms utilizado sea ping.
IDS (Intrusion Detection System Sistema de Deteccin de Intrusin)
Una clase de productos de red dedicados a detectar ataques de hackers. Los sistemas de deteccin
de intrusin orientados a red examinan el trfico en una red en busca de signos de que se est
produciendo un ataque o un acceso no autorizado, mientras que los sistemas orientados a mquina
observan los procesos y el trfico de red en una mquina local, en busca de cualquier actividad que el
administrador haya definido como nociva.
MAS INFORMACIN
Por favor vistenos en la Web en www.watchguard.com o contacte con su proveedor para ms
informacin.
13/14
DIRECCIN:
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
WEB:
www.watchguard.com
E-MAIL:
information@watchguard.com
U.S. SALES:
+1.800.734.9905
INTERNATIONAL SALES:
+1.206.521.8340
FAX:
+1.206.521.8342
14/14