Comprender as ameazas e como protexer a súa rede contra eles
Comodidad a un precio
A comodidade das redes sen fíos inclúe aínda un prezo. O acceso á rede con fíos pode controlarse porque os datos están contidos dentro do cableado que conecta a computadora ao conmutador. Cunha rede sen fíos, o "cableado" entre a computadora eo interruptor chámase "aire", que calquera dispositivo dentro do alcance pode acceder potencialmente. Se un usuario pode conectarse cun punto de acceso sen fíos de 300 pés de distancia, entón, en teoría, calquera pode estar dentro dun radio de 300 pés do punto de acceso sen fíos.
Ameazas á seguridade de rede sen fíos
- Rogue WLAN - Se a súa empresa ten unha rede sen fíos oficialmente sancionada ou non, os enrutadores sen fíos son relativamente baratos e os usuarios ambiciosos poden conectar equipos non autorizados á rede. Estas redes sen fíos poden ser inseguras ou incorrectamente garantidas e supoñen un risco para a rede en xeral.
- Spoofing Internal Communications : un ataque desde fóra da rede xeralmente pode ser identificado como tal. Se un atacante pode conectarse á súa rede WLAN, poden comunicar as comunicacións que aparecen de dominios internos. Os usuarios son moito máis propensos a confiar e actuar en comunicacións internas falsas.
- Roubo de recursos de rede - Aínda que un intruso non ataque os computadores nin comprometa os teus datos, poden conectarse á túa rede WLAN e secuestrar o ancho de banda da túa rede para navegar pola web. Poden aproveitar o maior ancho de banda que se atopa na maioría das redes empresariais para descargar música e videoclips, usando os seus preciosos recursos de rede e impactando o rendemento da rede para os seus usuarios lexítimos.
Protexer a súa rede da súa WLAN
A seguridade mellorada é un motivo excelente para configurar a túa WLAN na súa propia VLAN. Pode permitir que todos os dispositivos sen fíos se conecten á WLAN, pero protexer o resto da súa rede interna de calquera problema ou ataque que poida aparecer na rede sen fíos.
Usando un firewall ou ACL de enrutador (listas de control de acceso), pode restrinxir as comunicacións entre a WLAN eo resto da rede. Se conecta a rede WLAN á rede interna a través dun proxy web ou VPN, incluso pode restrinxir o acceso por dispositivos sen fíos para que só poidan navegar na rede ou só se lles permita acceder a determinados cartafoles ou aplicacións.
Acceso WLAN seguro
Cifrado sen fíos
Unha das formas de asegurar que os usuarios non autorizados non se espere na súa rede sen fíos é cifrar os datos inalámbricos. O método de cifrado orixinal, WEP (privacidade equivalente con cable), resultou fundamentalmente incorrecto. WEP confía nunha clave compartida ou contrasinal para restrinxir o acceso. Calquera persoa que coñeza a clave WEP pode unirse á rede sen fíos. Non se introduciu ningún mecanismo para WEP para cambiar automaticamente a chave e hai ferramentas dispoñibles que poden crackear unha clave WEP en minutos, polo que non terá moito tempo que un atacante acceda a unha rede sen fíos encriptada por WEP.
Ao empregar WEP pode ser un pouco mellor que non usar ningún cifrado, é insuficiente para protexer unha rede empresarial. A seguinte xeración de cifrado, WPA (Wi-Fi Protect Access), está deseñado para aproveitar un servidor de autenticación compatible con 802.1X, pero tamén se pode executar de forma similar ao WEP no modo PSK (clave precompartida). A mellora principal de WEP para WPA é o uso de TKIP (Temporal Key Integrity Protocol), que cambia dinámicamente a chave para evitar que se utilicen as técnicas de cracking para romper a encriptación WEP.
Incluso o WPA era un enfoque de axuda de banda. WPA foi un intento por parte de vendedores de hardware e software sen fíos para implementar protección suficiente á espera do estándar oficial 802.11i. A forma máis actual de cifrado é WPA2. O cifrado WPA2 proporciona mecanismos aínda máis complexos e seguros, incluíndo o CCMP, que está baseado no algoritmo de cifrado AES.
Para protexer a interceptación de datos sen fíos e evitar o acceso non autorizado á súa rede sen fíos, a súa rede WLAN debe estar configurada con, polo menos, cifrado WPA e, preferiblemente, a encriptación WPA2.
Autenticación sen fíos
Ademais de cifrar datos sen fíos, o WPA pode interactuar con servidores de autenticación RADIUS 802.1X ou para proporcionar un método máis seguro de controlar o acceso á WLAN. Cando WEP ou WPA en modo PSK permite un acceso prácticamente anónimo a calquera que teña a clave ou o contrasinal correctos, a autenticación 802.1X ou RADIUS require que os usuarios teñan credenciais de nome de usuario e contrasinal válidos ou un certificado válido para iniciar sesión na rede sen fíos.
O requirimento da autenticación á WLAN proporciona maior seguridade ao restrinxir o acceso, pero tamén proporciona rexistro e unha ruta forense para investigar se hai algo sospeitoso. Mentres unha rede sen fíos baseada nunha clave compartida pode rexistrar enderezos MAC ou IP, esa información non é moi útil cando se trata de determinar a causa raíz dun problema. A maior confidencialidade e integridade proporcionadas tamén se recomenda, se non se esixe, para moitos mandatos de cumprimento de seguridade.
Con WPA / WPA2 e un servidor de autenticación 802.1X ou RADIUS, as organizacións poden alavancar unha variedade de protocolos de autenticación, como Kerberos, MS-CHAP (Protocolo de autenticación de chamadas de desafío de Microsoft Challenge) ou TLS (Security Layer Security) e usa unha variedade de métodos de autenticación de credenciais, como nomes de usuario / contrasinais, certificados, autenticación biométrica ou contrasinais únicos.
As redes sen fíos poden aumentar a eficiencia, mellorar a produtividade e facer que a rede sexa máis rendible, pero se non se implementan correctamente, tamén poden ser o talón de Aquiles da seguridade da rede e expoñer a toda a súa organización a comprometerse. Aproveite o tempo para entender os riscos e como protexer a súa rede sen fíos para que a súa organización poida aproveitar a conveniencia da conectividade sen fíos sen crear unha oportunidade para unha violación de seguridade.