Comprendre les amenaces i com protegir la vostra xarxa contra ells
Conveniència a un preu
Tanmateix, la comoditat de les xarxes sense fils ve amb un preu. Es pot controlar l'accés a la xarxa per cable perquè les dades estan contingudes dins del cablejat que connecta l'ordinador amb l'interruptor. Amb una xarxa sense fil, el "cablejat" entre l'ordinador i l'interruptor s'anomena "aire", que pot tenir accés a qualsevol dispositiu a l'abast. Si un usuari pot connectar-se amb un punt d'accés sense fil des de 300 metres de distància, llavors en teoria, qualsevol persona que estigui dins d'un radi de 300 peus del punt d'accés sense fils.
Amenaces a la seguretat de xarxa sense fil
- Rogue WLAN : si la vostra empresa té una xarxa sense fils oficialment sancionada o no, els enrutadors sense fils són relativament econòmics i els usuaris ambiciosos poden connectar equips no autoritzats a la xarxa. Aquestes xarxes sense fils poden ser insegures o inadequades, i suposen un risc per a la xarxa en general.
- Spoofing Internal Communications : un atac de fora de la xarxa sol identificar-se com a tal. Si un atacant pot connectar-se amb la vostra WLAN, poden parlar de comunicacions que semblen provenir de dominis interns. Els usuaris tenen més probabilitats de confiar i actuar en les comunicacions internes maltractades.
- Robatori de recursos de xarxa - Encara que un intrús no ataqui els vostres ordinadors ni comprometi les vostres dades, podeu connectar-vos a la vostra WLAN i segrestar l'ample de banda de la xarxa per navegar per la web. Poden aprofitar l'ample de banda més alt que es troba a la majoria de les xarxes empresarials per descarregar música i videoclips, utilitzant els seus valuosos recursos de xarxa i el rendiment de la xarxa per als seus usuaris legítims.
Protegint la vostra xarxa des de la vostra WLAN
La seguretat millorada és una excel·lent raó per configurar la vostra WLAN a la vostra pròpia VLAN. Podeu permetre que tots els dispositius sense fil es connectin a la xarxa sense fil, però protegeixi la resta de la xarxa interna de qualsevol problema o atac que pugui produir-se a la xarxa sense fils.
Si utilitzeu un tallafocs o un enrutador ACL (llistes de control d'accés), podeu restringir les comunicacions entre la xarxa de WLAN i la resta de la xarxa. Si connecta la WLAN a la xarxa interna mitjançant un servidor intermediari o una VPN, fins i tot es pot restringir l'accés per dispositius sense fils, de manera que només poden navegar per la xarxa o només poden accedir a determinades carpetes o aplicacions.
Accés WLAN segur
Xifrat sense fils
Una de les maneres de garantir que els usuaris no autoritzats no escapen a la xarxa sense fils és xifrar les dades sense fils. El mètode de xifratge original, WEP (privadesa equivalència cablejada), va ser fonamentalment defectuós. WEP confia en una clau compartida o contrasenya per restringir l'accés. Qualsevol que conegui la clau WEP pot unir-se a la xarxa sense fils. No hi va haver un mecanisme integrat a WEP per canviar automàticament la tecla, i hi ha eines disponibles que poden trencar una clau WEP en qüestió de minuts, per la qual cosa no trigarà a que un atacant accedeixi a una xarxa sense fil encriptada de WEP.
Mentre s'utilitza WEP pot ser lleugerament millor que no utilitzar cap xifratge, és insuficient per protegir una xarxa empresarial. La propera generació de xifratge, WPA (Wi-Fi Protect Access), està dissenyada per aprofitar un servidor d'autenticació compatible amb 802.1X, però també es pot executar de manera similar a WEP en el mode PSK (clau precompartida). La principal millora de WEP a WPA és l'ús de TKIP (Temporal Key Integrity Protocol), que canvia dinàmicament la clau per evitar que les tècniques de craqueig utilitzades per interrompre el xifratge WEP.
Fins i tot, WPA era un enfocament de l'ajuda de banda. WPA va ser un intent per fabricants de maquinari i programari sense fils per implementar una protecció suficient mentre esperava l'estàndard oficial 802.11i. La forma més actual de xifratge és WPA2. El xifratge WPA2 proporciona mecanismes encara més complexos i segurs que inclouen el CCMP, que es basa en l'algoritme de xifratge AES.
Per protegir les dades sense fils de ser interceptades i evitar l'accés no autoritzat a la vostra xarxa sense fil, la vostra WLAN s'hauria de configurar amb un xifratge WPA com a mínim i, preferiblement, el xifratge WPA2.
Autenticació sense fils
A part de només xifrar dades sense fils, WPA pot interactuar amb servidors d'autenticació RADIUS 802.1X o per oferir un mètode més segur de controlar l'accés a la WLAN. Quan WEP o WPA en mode PSK permet l'accés pràcticament anònim a qualsevol que tingui la clau o contrasenya correctes, l'autenticació 802.1X o RADIUS requereix que els usuaris tinguin credencials de nom d'usuari i contrasenya vàlids o un certificat vàlid per iniciar sessió a la xarxa sense fil.
Si es requereix l'autenticació a la Wi-Fi es proporciona una major seguretat mitjançant la restricció de l'accés, però també proporciona un registre i una ruta forense per investigar si hi ha alguna cosa sospitosa. Tot i que una xarxa sense fil basada en una clau compartida pot registrar adreces MAC o IP, aquesta informació no és molt útil per determinar la causa principal d'un problema. L'augment de la confidencialitat i la integritat proporcionades també es recomana, si no és necessari, per a molts mandats de compliment de la seguretat.
Amb WPA / WPA2 i un servidor d'autenticació 802.1X o RADIUS, les organitzacions poden aprofitar diversos protocols d'autenticació, com ara Kerberos, MS-CHAP (Protocol d'autenticació de mans lliures de Microsoft Challenge) o TLS (Transport Layer Security) i utilitzen una sèrie de mètodes d'autenticació de credencials, com ara noms d'usuari / contrasenyes, certificats, autenticació biomètrica o contrasenyes úniques.
Les xarxes sense fils poden augmentar l'eficiència, millorar la productivitat i fer que les xarxes siguin més rendibles, però si no s'implementen correctament, també poden ser el taló d'Aquil·les de la seguretat de la vostra xarxa i exposar tota la vostra organització a compromís. Preneu-vos el temps per entendre els riscos i com assegureu-vos la vostra xarxa sense fil perquè la vostra organització pugui aprofitar la comoditat de la connectivitat sense fil sense crear una oportunitat per a una vulneració de la seguretat.