Tome algunos consejos sobre la seguridad Wi-Fi, porque la tecnología inalámbrica es intrínsecamente menos segura.
El Wi-fi de su empresa o casa, entre otros, es un punto que los hackers pueden usar para entrar en su red sin tener que poner un pie dentro de su edificio, porque la red inalámbrica es mucho más abierta a los intrusos que a las redes cableadas, lo que significa que usted tiene que ser más diligente en cuanto a seguridad.
Pero hay mucho más que hacer que simplemente establecer una contraseña. Invertir tiempo en aprender y aplicar medidas de seguridad mejoradas puede ayudar mucho a proteger mejor su red. Aquí hay 5 consejos para mejorar la seguridad de su red Wi-Fi.
-
Utilice un nombre de red discreto (SSID)
El identificador de conjunto de servicios (SSID) es una de las configuraciones de red Wi-fi más básicas. El uso de un SSID demasiado común, como “inalámbrico” o el nombre predeterminado del proveedor, puede hacer más fácil para alguien romper el modo personal de seguridad WPA o WPA2. Esto se debe a que el algoritmo de cifrado incorpora el SSID y los diccionarios de cracking de contraseñas utilizados por los hackers están precargados con SSID comunes y predeterminados. El uso de una de ellas facilita el trabajo del hacker.
Es posible desactivar la difusión de SSID, haciendo esencialmente invisible el nombre de su red, pero no lo sugiero. Forzar a los usuarios a introducir manualmente el SSID y los efectos de rendimiento negativo de las peticiones de sondeo en el Wi-fi, por lo general superan el beneficio de seguridad. Y alguien con las herramientas adecuadas todavía puede capturar el SSID de olfatear el tráfico de la red.
2. Recuerda la seguridad física
La seguridad inalámbrica no se trata de tecnologías y protocolos de lujo. Puede tener el mejor cifrado posible y seguir siendo vulnerable. La seguridad física es una de esas vulnerabilidades. El bloqueo de los armarios de cableado no es suficiente.
La mayoría de los puntos de acceso (APs) tienen un botón de restablecimiento que alguien puede presionar para restaurar la configuración predeterminada de fábrica, eliminar la seguridad Wi-fi y permitir que cualquier persona se conecte. Por lo tanto, los puntos de acceso distribuidos a través de su instalación deben estar físicamente seguros también para evitar manipulaciones. Asegúrese de que siempre están montados fuera del alcance y considere el uso de cualquier mecanismo de bloqueo ofrecido por el proveedor de AP para limitar físicamente el acceso a los botones y puertos AP.
Otra preocupación de seguridad física con Wi-fi es cuando alguien agrega un AP no autorizado a la red, normalmente llamado “AP rogue”. Para ayudar a prevenir este tipo de AP rogue, asegúrese de que todos los puertos Ethernet no utilizados (como puertos de pared o cargas de Ethernet sueltas) estén deshabilitados. Usted podría quitar físicamente los puertos o los cables, o inhabilitar la conectividad de esa salida o cable en el ranurador o el interruptor. O si realmente desea reforzar la seguridad, habilite la autenticación 802.1X en el lado cableado, si su enrutador o switch lo admite, para que cualquier dispositivo que se conecte a los puertos Ethernet tenga que ingresar credenciales de acceso para obtener acceso a la red.
3. Utilizar Enterprise WPA2 con autenticación 802.1X
Uno de los mecanismos de seguridad Wi-fi más beneficiosos que puede implementar es el despliegue del modo empresarial de seguridad Wi-fi, ya que autentica a cada usuario individualmente: todos pueden tener su propio nombre de usuario y contraseña de Wi-fi. Así que si un portátil o dispositivo móvil se pierde o es robado, o un empleado deja la empresa, todo lo que tiene que hacer es cambiar o revocar los registros de ese usuario en particular.
Con la seguridad Wi-Fi empresarial, los usuarios introducen su nombre de usuario y contraseña únicos al conectarse. Otra gran ventaja del modo empresarial es que a cada usuario se le asigna su propia clave de cifrado. Esto significa que los usuarios sólo pueden descifrar el tráfico de datos para su propia conexión, sin hacer caso omiso del tráfico inalámbrico de nadie.
Para poner sus APs en modo de empresa primero tendrá que configurar un servidor RADIUS. Aunque puede implementar un servidor RADIUS independiente, primero debe comprobar si sus otros servidores (como Windows Server) ya proporcionan esta función. Si no es así, considere un servicio RADIUS basado en la nube o alojado. También tenga en cuenta que algunos puntos de acceso inalámbricos o controladores proporcionan un servidor RADIUS básico incorporado, pero sus límites de rendimiento y su funcionalidad limitada típicamente los hacen sólo útiles para redes más pequeñas.
4. Asegurar la configuración del cliente 802.1X
Al igual que otras tecnologías de seguridad, el modo empresarial de seguridad Wi-fi todavía tiene algunas vulnerabilidades. Uno de ellos es el hombre. Alguien podría configurar una falsa red Wi-fi con el mismo o similar SSID como la red que están tratando de imitar; cuando su computadora portátil o dispositivo intenta conectarse, un servidor RADIUS falso podría capturar sus credenciales de inicio de sesión. El ladrón podría utilizar sus credenciales de conexión para conectarse a la red Wi-fi real.
Una forma de evitar ataques de ‘man-in-the-middle’ con autenticación 802.1X es utilizar la verificación del servidor en el lado del cliente. Cuando la verificación del servidor está habilitada en el cliente inalámbrico, el cliente no pasará sus credenciales de inicio de sesión Wi-fi al servidor RADIUS hasta que verifique si se está comunicando con un servidor legítimo. En Windows, por ejemplo, puede introducir los nombres de dominio del servidor legítimo, seleccionar la autoridad de certificación que emitió el certificado del servidor y, a continuación, optar por no permitir nuevos servidores o autoridades de certificación. Así que si alguien ha configurado una red Wi-fi falsa y un servidor RADIUS e intenta iniciar sesión en él, Windows le impedirá conectarse.
5. Utilice la detección de ‘rogue-AP’ o la prevención de intrusiones inalámbricas
Ya se han tocado tres escenarios de punto de acceso vulnerables: uno donde un atacante podría configurar una red Wi-fi falsa y un servidor RADIUS, otro donde alguien podría restablecer un AP a los valores predeterminados de fábrica, y un tercer escenario donde alguien podría conectar su propio AP.
Cada uno de estos puntos de acceso no autorizados pueden pasar desapercibidos por el personal de TI durante un largo período de tiempo si no se implementa la protección adecuada. Por lo tanto, es una buena idea para habilitar cualquier tipo de detección de ‘rogue’ que ofrece su AP o proveedor de control inalámbrico. El método de detección y la funcionalidad exactos varían, pero la mayoría, al menos periódicamente, escaneará las ondas y le enviará una alerta si se detecta un nuevo AP dentro del alcance de los PA autorizados.
Para obtener aún más capacidades de detección, algunos vendedores de AP ofrecen un sistema completo de detección de intrusiones inalámbricas (WIDS) o un sistema de protección contra intrusos (WIPS) que pueden detectar una serie de ataques inalámbricos y actividades sospechosas junto con puntos de acceso no autorizados.