jueves, 24 de julio de 2008

Medidas de Seguridad en WiFi

- Emplear las mismas herramientas que los intrusos: realizar la misma actividad, pero para el “lado bueno”, es decir realizar controles periódicos con “Netstumbler”, Escuchar tráfico e intentar obtener información trivial con “Kismet” o “AirSnort”, medir potencias irradiadas con cualquier tarjeta desde los perímetros de la red
- Mejorar la seguridad física.
- Cancelar puertos que no se emplean.
- Limitar el número de direcciones MAC que pueden acceder. Esta actividad se realiza por medio de ACLs (Access List Control) en los AP, en las cuales se especifica (a mano) las direcciones MAC de las tarjetas a las que se les permitirá el acceso, negando el mismo a cualquiera que no figure en ellas. Cabe aclarar que es tremendamente fácil falsificar una dirección MAC (Ej: en los SSOO Linux es simplemente el comando “ifconfig”).
- Ya no se menciona el tema de cancelar la tramas Beacon en los AP, pues cualquier sistema de escucha, por más que no capture la trama Beacon, al capturar la trama PROVE REQUEST del cliente, o la trama PROVE RESPONSE del AP, en ellas también viaja el ESSID.
- Satisfacer la demanda: Si se están empleando AP no autorizados por parte de los empleados, es porque les resulta útil, por lo tanto, se pueden adoptar las medidas para que se implanten, pero de forma segura y controlada, de otra forma, seguirán apareciendo, pero de forma clandestina.
- Controle el área de transmisión: muchos puntos de acceso inalámbrico permiten ajustar el poder de la señal. Coloque sus puntos de acceso tan lejos como sea posible de las paredes y ventanas exteriores. Pruebe el poder de la señal para que usted únicamente pueda conectarse a estos sitios. Luego, asegúrese de cambiar la contraseña predeterminada en todos los puntos de acceso. Utilice una contraseña fuerte para proteger todos los puntos de acceso.
- Implemente la autenticación de usuario: Mejore los puntos de acceso para usar las implementaciones de las normas WPA y 802.11i.
- Proteja la WLAN con la tecnología “VPN Ipsec” o tecnología “VPN clientless”: esta es la forma más segura de prestar servicios de autenticación de usuario e integridad y confidencialidad de la información en una WLAN. La tecnología adicional VPN no depende del punto de acceso o de la tarjeta LAN inalámbrica; por consiguiente, no se incurren en costos adicionales de hardware puesto que las normas de seguridad inalámbrica continúan evolucionando.
- Active el mayor nivel de seguridad que soporta su hardware: incluso si tiene un equipo de un modelo anterior que soporta únicamente WEP, asegúrese de activarlo. En lo posible, utilice por lo menos una WEP con un mínimo de encriptación de 128 bits.
- Instale firewalls personales y protección antivirus en todos los dispositivos móviles: la Alianza WiFi recomienda utilizar la política de seguridad de redes corporativas para imponer su uso continuo.
- Adquiera equipamiento que responda a los estándares y certificado por “WiFi Alliance”.

No hay comentarios: