SEGURIDAD AL DESCUBIERTO

PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA INCORPORAR

REDES LAN INALMBRICAS A INTRANETS
NOViEMBRE 2002

WatchGuard Technologies
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
EE. UU.
www.watchguard.com

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS

SEGURIDAD AL DESCUBIERTO
PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA INCOPORAR
REDES LAN INALMBRICAS A INTRANETS
SUMARIO
Abordamos en este documento el problema especfico de proteger su intranet cuando se agregan
redes LAN inalmbricas (WLAN). Identificamos los problemas singulares que debe tener en cuenta su
organizacin cuando se integran estas redes inalmbricas en las hasta el momento consideradas
redes seguras, es decir las redes que su organizacin ya tiene protegidas con cortafuegos (firewalls)
y otros productos de seguridad. Mostramos no obstante que, por muy singulares que los problemas de
redes LAN inalmbricas puedan parecer, muchos se pueden encarar mediante procedimientos de
seguridad convencionales y tecnologas de seguridad que usted ya ha instalado y configurado. Para
cada problema, explicamos cmo pueden mitigarse o reducirse en gran medida los riesgos que
entraan las redes LAN inalmbricas, y mostramos cmo esta tarea constituye una aplicacin prctica
ms de los principios de seguridad por capas. En un apartado final, explicamos cmo configurar los
productos WatchGuard para obtener la mxima ayuda en la proteccin de las redes inalmbricas. En
el Apndice figura una lista de comprobacin que los administradores pueden seguir en orden a
implantar una exhaustiva proteccin de un segmento de una red inalmbrica. El Glosario final define
algunos de los trminos tcnicos usados en este documento.
LAS REDES LAN INALMBRICAS SON UN ARMA DE DOBLE FILO
Las WLAN ofrecen una ayuda bien acogida a las grandes organizaciones cuyos empleados necesitan
mayor flexibilidad y movilidad. La facilidad de instalacin de una WLAN libera a las compaas del
gasto y complejidad que conlleva mantener infraestructuras cableadas en edificios en los que la
configuracin de las oficinas cambia con frecuencia. Las redes LAN inalmbricas proporcionan a los
empleados el lujo de mantener conexiones permanentes con la intranet en cualquier ubicacin dentro
de un complejo corporativo. Tal libertad de movimiento crea oportunidades previamente inalcanzables
de colaboracin en red, y de grupos de trabajo dinmicos entre los empleados. Esta modalidad de
trabajo en red con conexin continua se est extendiendo rpidamente ms all de las fronteras de
las organizaciones. La existencia de cientos de hotspots en aeropuertos, hoteles, cafeteras, y centros
de congresos, combinada con la disponibilidad de equipos domsticos econmicos para WLAN,
permite a los empleados estar literalmente conectados todo el tiempo y en cualquier sitio.
Esta libertad extraordinaria tiene un precio. Como su nombre indica, las redes LAN inalmbricas usan
frecuencias de radio en vez de cables. Sin medidas de proteccin apropiadas, cualquier porttil con
una tarjeta WLAN y una antena puede sintonizar la frecuencia utilizada por el entorno WLAN de su
organizacin y conectar con su intranet desde otra planta de su edificio o incluso desde un edificio
adyacente. Hackers motorizados pueden, desde un parking, localizar su red WLAN fcilmente y
conectarse a su intranet a travs de una red inalmbrica sin proteccin. Cules son las motivaciones
de esos y otros intrusos de redes inalmbricas? Algunos quieren conectar con su WLAN de alta
velocidad para darse un paseo gratuito por Internet. Otros tienen propsitos ms maliciosos y
buscarn robar contraseas, enmascararse como usuarios autorizados, obtener datos sensibles, o
echar abajo su negocio mediante ataques de denegacin de servicio (DoS) directamente a su intranet.
El resto de este documento aborda mtodos que le permitirn proporcionar a sus empleados el
beneficio de las redes inalmbricas desbaratando al mismo tiempo los intentos de esos usuarios
malintencionados para abusar de su red.

2/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS
PROBLEMA NUEVO, SOLUCION ANTIGUA: DEFENSA EN PROFUNDIDAD
Cuando usted considere mtodos para eliminar o reducir los riesgos de incorporar redes inalmbricas
a su red segura, debera comenzar por examinar las muchas medidas que su organizacin ya tiene
instaladas para proteger las redes cableadas. A continuacin, deber estudiar cmo se pueden aplicar
a las redes inalmbricas. Bien sea con o sin cable, su objetivo es un alto nivel de seguridad para
clientes mviles de intranet, al mismo tiempo que proteger los componentes fundamentales de su
intranet conectados a la red cableada; especficamente, sus servidores de intranet y de gestin as
como los ordenadores de sobremesa conectados a la red.
UTILICE TODAS LAS MEDIDAS DE SEGURIDAD QUE PUEDA REUNIR...
Ya que las redes LAN inalmbricas establecen una nueva entrada a su intranet, debera llevar a cabo
un concienzudo anlisis de riesgos antes de permitir el acceso inalmbrico a sus redes seguras.
Recomendamos que realice las siguientes acciones:
1. Inventario de bienes. Estime el valor de la propiedad electrnica e intelectual, e identifique las
amenazas contra bienes y propiedad intelectual.
2. Determine si la red inalmbrica exige cambios en sus procedimientos ya existentes.
3. Incorpore todas las nuevas consideraciones para proteger su intranet a sus procedimientos de
seguridad y de uso correcto. Asegrese de comunicar la normativa revisada a todos los usuarios,
explqueles sus roles, y enfatice la responsabilidad que tienen.
4. Identifique la tecnologa de seguridad que necesita para implantar su estrategia de seguridad.
Proteger sus bienes expuestos en la red exige mltiples capas de seguridad. Con frecuencia
encontrar apropiado utilizar varias respuestas o protecciones para minimizar o eliminar cada
amenaza que identifique, particularmente con redes inalmbricas. Las capas mltiples de seguridad le
permiten aplicar adecuadamente la estrategia de seguridad de su empresa y, en un mundo en el que,
con frecuencia, prevalece la ley de Murphy, proporcionan una seguridad de retaguardia inmediata y
permanente en caso de que falle tan slo una de las capas. Este enfoque multicapa, conocido tambin
como Defensa en Profundidad, combina tcnicas interactivas porque, an cuando ninguna medida
preventiva sea 100 por cien efectiva, en la prctica la correcta combinacin de capas de seguridad
puede aproximarse al cien por cien de efectividad.
La nocin de utilizacin de capas como modelo para evaluar e implantar tecnologas de redes no es
nueva. La Organizacin Internacional de Estndares (ISO) public un modelo popular para ayudar a
comprender la estructura de una red informtica, conocido como el Open System Interconnect (OSI)
Protocol Stack de siete capas. Tambin Internet posee una arquitectura de capas:
Aplicacin
Transporte (TCP/UDP)
Internet (IP)
Enlace de Datos (p. e., 802 x MAC)
Enlace Fsico

Capa 5
Capa 4
Capa 3
Capa 2
Capa 1

Los administradores de Tecnologas de la Informacin, que estn familiarizados con este concepto,
observarn que estas recomendaciones propugnan una seguridad para su red de abajo hacia arriba
en otras palabras, aseguran en primer lugar el soporte fsico de la red (capa 1), a continuacin
atienden a los temas relacionados con el enlace de los datos (capa 2), como por ejemplo
direccionamiento MAC, y as sucesivamente hacia los niveles superiores. Este es un modelo tan
bueno como cualquier otro para asegurarse de que no pasa por alto ningn aspecto de la seguridad
de su red, y para establecer un slido fundamento para cada una de las sucesivas capas de
seguridad.
3/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS
Capa puede tomarse tambin, en un sentido menos tcnico, para referirse simplemente anillos
concntricos de defensa alrededor de los componentes fundamentales conectados a su red. En uno u
otro sentido, las capas contribuyen positivamente a la seguridad.
Las capas de seguridad estudiadas en este documento incluyen:
Seguridad Fsica. Estudio minucioso de los locales dnde instalar su red inalmbrica.
Diseo de la Infraestructura. La aplicacin de su estrategia de seguridad comienza por la eleccin que
haga de dispositivos de red que seleccione y por cmo los configure.
Administracin de la Infraestructura. Controlar el acceso y el trfico en la intranet para descubrir
intrusiones o comportamientos inusuales aade otra capa de seguridad.
Medidas de permetro por capas. La aplicacin de su estrategia de seguridad contina asegurndose
de que el trfico en la red se adecue a las mejores prcticas. Los cortafuegos internos pueden tener
papel importante en este aspecto.
Proteccin de clientes de la red LAN. Aade otra capa la proteccin contra cdigo malicioso (Gusanos
de Internet, programas Troyanos, puertas traseras) y contra ataques de aplicacin ( ejecucin de
scripts y bloqueo de servidores Web por ejemplo).
A lo largo de todas esas capas (excepto quizs la seguridad fsica), la encriptacin acta como una
medida de seguridad que refuerza a las otras. Bien sea protegiendo la comunicacin de datos
sensibles entre usuarios de WLAN y servidores de la intranet, bien sea simplemente protegiendo una
base de datos de contraseas, la encriptacin impregna la mayor parte de los aspectos de la
seguridad de redes WLAN.
Examinemos individualmente estas capas, con recomendaciones de prcticas que refuerzan cada
una.

MEDIDAS DE SEGURIDAD FSICA

Efecte un reconocimiento del entorno fsico para determinar el emplazamiento ms apropiado de
antenas exteriores e interiores, y de Puntos de Acceso de redes inalmbricas. Una vez que se hayan
colocado las antenas y los Puntos de Acceso, y antes de conectar la red inalmbrica, evale el
alcance de su transmisin de radio y su cobertura. Direccione la antena y ajuste la potencia del
transmisor para restringir la emisin al rea o a las reas especficas para las cuales quiere ofrecer
servicio WLAN (una planta del edificio, el edificio entero, complejo, etc.) Un emplazamiento y
direccionamiento de la antena bien planeados puedes ayudar a reducir el riesgo de exposicin de su
emisin. Pero atencin: la cobertura adecuada para su edificio bien puede necesitar una transmisin
de radio que, al menos, sobrepase en cierta medida los muros del mismo. Por otra parte, hackers
provistos de antenas extremadamente potentes pueden acceder a seales que no son recibidas por
tarjetas WLAN normales para laptops o para ordenadores de sobremesa. Por tanto, limitar la
cobertura reduce su riesgo pero esta medida no elimina el riesgo por s sola.
Realice una auditora centrada en la seguridad de la WLAN. Existen muchos productos shareware y
comerciales para deteccin y anlisis del trfico, que pueden utilizarse para detectar toda la actividad
de la WLAN dentro del rea a la que pretende dar cobertura. Identifique y haga un inventario de
Puntos de Acceso WLAN e interfaces de red autorizados, no autorizados (rogue), y vecinos. La
instalacin no autorizada de Puntos de Acceso es particularmente problemtica. Los empleados que
instalan un Punto de Acceso WLAN pueden, al igual que tantas caractersticas convenientes, anular
involuntariamente medidas de seguridad existentes esenciales como, por ejemplo, cortafuegos y
sistemas de deteccin de intrusos, mediante la apertura de puertas traseras a intranets,
proporcionando a los atacantes acceso directo a servidores con misiones crticas. Defina una
estrategia para incorporar de manera segura a su topologa aprobada, cualquier Punto de Acceso no

4/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS
autorizado descubierto o para anularlo. Determine cmo coexistir su WLAN con dispositivos
inalmbricos vecinos (o visitantes) que estn fuera de su control fsico.

MEDIDAS DE INFRAESTRUCTURA DE SEGURIDAD PARA REDES LAN INALMBRICAS

La seguridad de muchos dispositivos utilizados en su red puede ser reforzada simplemente prestando
una atencin estricta a las opciones de configuracin de los mismos. Cuando todos los dispositivos
estn ajustados debidamente, la seguridad general de la red aumenta notablemente. He aqu unos
ejemplos.
HUBS Y REDES LAN INALMBRICAS
Nuestra recomendacin es que se conecten los Puntos de Acceso a routers Ethernet cableados, en
vez de a hubs, para minimizar el trfico de mensajes broadcast que pudiera ser enviado por los
sistemas LAN cableados a los clientes WLAN. El trfico de mensajes broadcast proporciona una
valiosa informacin a cualquiera que espe su red.
DIRECCIONAMIENTO MAC
A medida que iba evolucionando la conmutacin Ethernet en el mbito empresarial, los
administradores de red usaron ciertas funciones para controlar la conexin a una red LAN cableada, y
prevenir su uso no autorizado o la monitorizacin pasiva de la misma. Por ejemplo, la mayora de los
conmutadores Ethernet de empresa pueden ser configurados para asociar una direccin MAC con un
puerto del conmutador Ethernet, y el administrador puede desactivar puertos individuales. Pngase
como objetivo desplegar funciones similares cuando adquiera Puntos de Acceso inalmbricos.
Seleccione aquellos Puntos de Acceso que puedan inventariar direcciones MAC de red LAN
inalmbrica o realice el inventario mediante administracin remota (Out of Band).
Utilice Puntos de Acceso que puedan comprobar las direcciones MAC mediante una consulta a una
Lista de Control de Acceso (ACL) local o mediante una consulta a un servidor RADIUS (que se deber
configurar con el inventario).
Estas medidas pueden ayudarle a denegar el acceso a NICs perdidos o robados, y a bloquear el
acceso desde direcciones MAC desconocidas. An cuando las direcciones MAC pueden ser
falsificadas, deben instalarse estos filtros por direcciones MAC para reducir el peligro de acceso no
intencionado a su WLAN.
SSIDS
Identifique su red LAN inalmbrica con un nico SSID (Service Set Identifiers), que es el nico nombre
de red asignado para identificar una WLAN. Los clientes WLAN asocian el SSID que se les asigna con
el Punto de Acceso. Nunca use valores por defecto de fbrica o SSID en blanco, y no permita a los
clientes que simplemente escuchen a cualquier SSID. Utilice SSIDs largos, difciles de adivinar. Esta
medida no impide que su SSID pueda ser capturado por intrusos a la WLAN, pero minimizar el
nmero de clientes WLAN errantes (roaming) o adyacentes que pueden accidentalmente asociarse a
su Punto de Acceso.
WEP
No es fcil controlar la conexin fsica de un receptor a un canal de radio cuando ste se encuentra
dentro del alcance de un transmisor. Atendiendo a este problema, los productos para red LAN
inalmbrica intentan prevenir el acceso no autorizado y la monitorizacin pasiva mediante la utilizacin
del protocolo IEEE 802.11, o WEP (Wired Equivalent Privacy). Expertos en seguridad han desvelado
serias vulnerabilidades en WEP que ponen en tela de juicio su uso como medio exclusivo para
mantener la privacidad de los mensajes. Sin embargo, en el contexto general de una estrategia de
seguridad por capas, WEP puede y debe usarse como un control adicional de acceso y como
complemento de una solucin VPN (Virtual Private Networking) de ms alto nivel.
5/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS
Utilice WEP con ciertas reservas. Utilice el mecanismo de Shared Key Authentication (Autenticacin
por claves Compartida), pero evite el uso de claves dbiles y configuradas permanentemente. Emplee
productos que automaticen la derivacin de claves, proporcionen distribucin de claves WEP, o
soporten generacin dinmica de las mismas. Estas caractersticas estn disponibles en productos
que soportan Wi-Fi Protected Access (WEP), un conjunto de puntos de referencia definidos y
certificados por la Wi-Fi Alliance. Si pretende utilizar Microsoft Windows XP, saque partido del soporte
que dicho sistema ofrece para IEEEs 802.1x , lo que le permitir utilizar autenticacin y distribucin de
claves basada en puertos, as como el protocolo EAP (Extensible Authentication Protocol). Mediante la
combinacin de Windows XP con Puntos de Acceso y servidores de autenticacin comnmente
utilizados (RADIUS, Kerberos) que soportan EAP para WLANs IEEE 802.11, podr autenticar clientes
y bloquear accesos no autorizados a la red LAN cableada que se encuentra ms all de los Puntos de
Acceso. Aadiendo una infraestructura de Clave Pblica (PKI Public Key Infrastructure) podremos
autenticar clientes WLAN con certificados digitales, y distribuir o actualizar de manera segura claves
de sesin a clientes autenticados.
DIRECCIONAMIENTO IP
Tome medidas para evitar que clientes no autorizados puedan adquirir direcciones asignadas
dinmicamente (DCHP) desde los Puntos de Acceso. No es suficiente con evitar que los intrusos
obtengan acceso a la red cableada: tambin queremos impedir que un intruso que adquiera una
direccin de la subred inalmbrica pueda atacar a otros clientes WLAN. Utilce Puntos de Acceso que
se puedan configurar para asignar direcciones IP a una lista de direcciones MAC autorizadas.
Separare el espacio de direcciones asignado a los clientes WLAN de aqullos asignados a redes
seguras, incluyendo Direcciones IP Virtuales (VIPs) utilizadas por clientes VPN. Mantenga separado
el trfico de clientes inalmbricos a su paso por sus redes seguras, utilizando encapsulamiento IEEE
802.1Q VLAN.

RED PRIVADA VIRTUAL (VPN) DE NIVEL DE APLICACIN E IPSEC

Hemos mencionado que la mejor utilizacin de WEP es como control de acceso y que no se debe
confiar exclusivamente en l para mantener la privacidad de mensajes. IPSec y protocolos de
seguridad de flujo de aplicacin, como SSL y SSH, son ms aptos para proteger las comunicaciones
entre los clientes WLAN y gateways VPN seguros, servidores Web que incorporen SSL, o servidores
proxy seguros. Estos protocolos utilizan mtodos probados de encriptacin para ofrecer una
autenticacin ms robusta (incluyendo certificados digitales), privacidad de mensajes, e integridad de
mensajes, sobre segmentos inalmbricos y cableados de la intranet e Internet en general.

ADMINISTRACIN DE INFRAESTRUCTURA
El objetivo aqu es aumentar su capacidad de observar lo que est pasando en la red sin aumentar por
ello las posibilidades de que un intruso acceda a ella siguiendo sus huellas.
MONITORIZACIN Y ANLISIS DEL TRFICO
Complemente la seguridad por capas registrando y analizando la actividad en las capas en las que
aplica seguridad. Registre SSIDs, canales de radio, y direcciones MAC utilizadas en el rea en la que
desplegar su WLAN.
Escanee regularmente canales broadcast en busca de Puntos de Acceso no autorizados (rogue) y
nuevas direcciones MAC. Utilice herramientas de anlisis de red inalmbrica para espiar el trfico
inalmbrico en busca de indicios de intentos de acceso no autorizados o interferencias con redes
inalmbricas adyacentes. SSIDs invlidas, direcciones MAC e IP que no resultan familiares, peticiones
DCHP rechazadas, o mensajes ICMP port unreachable a su DNS pueden indicar actividad intrusa.
SEGURIDAD DE PUNTO DE ACCESO
6/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS
Los puntos de Acceso no estn necesariamente protegidos por el permetro de seguridad establecido
por su cortafuegos. Muchos Puntos de Acceso tienen capacidad de gestin basada en Web y pueden
ser gestionados remotamente utilizando protocolos inherentemente inseguros, como Telnet y SNMP.
Desactive los servicios que no se usan y son vulnerables, configure contraseas seguras, y utilice
canales seguros de gestin en todos los Puntos de Acceso para prevenir su uso errneo o
configuracin incorrecta.

MEDIDAS DE SEGURIDAD DEL PERMETRO

El concepto de red inalmbrica expande la definicin de permetro de su red, -- especialmente
cuando un intruso podra utilizar una WLAN incorrectamente configurada para acceder al corazn de
su red, esquivando las medidas tradicionales del cortafuegos.
Muchas organizaciones separan completamente los clientes WLAN de las redes seguras, tratando a
los usuarios WLAN exactamente igual que a un usuario con acceso remoto. Otras organizaciones
crean controles especiales de acceso que permiten a los usuarios WLAN acceso filtrado o a travs de
proxy a la red segura. En aquellas circunstancias en las que los clientes WLAN deben ser autorizados
a acceder directamente a la red segura, debera todava tratar de conseguir tanta separacin como
sea posible entre clientes WLAN y los servidores de la intranet. Un solucin probada para los tres
casos es el cortafuegos interdepartamental.

APLICACION DE LAS CAPAS DE PERMETRO

Los cortafuegos interdepartamentales aplican una estrategia de seguridad entre departamentos,
unidades de negocio o, en organizaciones muy grandes, entre la organizacin central y sus filiales,
empresas segregadas y empresas asociadas. Utilizados de esta manera, los cortafuegos separan
grupos de usuarios y servidores que, de otra manera, seran accesibles del todo el resto de la
organizacin. Los cortafuegos interdepartamentales se utilizan tambin para reducir la amenaza
interna, acercando el control de acceso a los servidores de la intranet. Un cortafuegos
interdepartamental puede ser una herramienta de seguridad igualmente eficaz para aumentar la
seguridad entre redes inalmbricas e intranets. Situar un cortafuegos entre las redes inalmbricas y la
intranet ofrece ventajas de seguridad respecto a la conexin, ms simple y vulnerable, de Puntos de
Acceso directamente a los conmutadores de la intranet:

Autenticacin de Usuario: Exige que los usuarios de la red inalmbrica presenten sus
credenciales de acceso (login) para poder conectar con la red segura (intranet).
Control de Acceso al Permetro: Los controles de acceso del cortafuegos pueden usarse
para proteger la intranet de falsas direcciones IP, DoS, y otros hipotticos ataques lanzados
desde las redes inalmbricas.
Conexiones Seguras (Encriptacin): Mediante tneles VPN se puede proporcionar una
autenticacin ms fiable (incluyendo certificados digitales), y privacidad e integridad de
mensajes desde clientes WLAN a un gateway VPN seguro o a un cortafuegos con
capacidad VPN.
Registro y Monitorizacin: Los cortafuegos pueden proporcionar un punto de auditora
entre usuarios WLAN y servidores de intranet.

Ubicacin, Ubicacin, Ubicacin!

La ubicacin es importante a la hora de utilizar cortafuegos entre segmentos cableados y segmentos
inalmbricos de su intranet. Una ubicacin bien planeada le ayudar a potenciar la mayora de las
medidas de seguridad que ya tiene instaladas para proteger su intranet. Por ejemplo cuando se
permite a los clientes WLAN el acceso directo a las intranets, stos pueden esquivar las medidas de
proteccin anti-virus, de deteccin de intrusos, y otros servicios de seguridad. Pero si obliga a los
clientes WLAN a acceder a travs de cortafuegos/gatewasy VPN, gateways A/V, y servidores IDS:
7/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS

Cada cliente WLAN que acceda a la intranet habr sido autorizado previamente.
El trfico entre la red inalmbrica y la intranet estar filtrado.
La comunicacin sobre la red LAN inalmbrica estar encriptada.
El trfico que entre en la intranet se analizar para detectar posibles virus, gusanos, y
cualquier otra forma de cdigo malicioso.
El trfico que entre en la intranet desde el cortafuegos interdepartamental puede ser
examinado en busca de firmas de intrusin y ataques a nivel de aplicacin ya conocidos.
Su cortafuegos mantiene un registro detallado del trfico entre la red inalmbrica y la
intranet, lo que permite el anlisis forense y de trfico.

EXTENSIN DE LA PROTECCIN A LOS CLIENTES DE LA RED INALMBRICA

Hemos recomendado que site los clientes WLAN fuera de un cortafuegos interdepartamental. Pero
los clientes WLAN tienen tanta necesidad de proteccin de cortafuegos como los clientes cableados a
la intranet. De hecho, debido a que los clientes WLAN son comnmente laptops, es igualmente
probable que sus usuarios se conecten a la WLAN desde sus casas o que lo hagan desde cualquiera
de los hotspot que proliferan en aeropuertos, cybercafs, y hoteles, tal como hacan antes mediante
mdem. Para proteger su intranet de laptops que podran estar infectados con virus, gusanos o
puertas traseras, es esencial que todos los clientes WLAN estn protegidos con anti-virus y
cortafuegos personales. Es ms, cuando los clientes WLAN utilicen redes inalmbricas pblicas o
domsticas es importante que no dejen escapar informacin intercambiada a travs de la red, y que no
expongan sus laptops a ataques directos mientras se encuentran en su domicilio o en la carretera.
Instruya a sus usuarios WLAN en los peligros inherentes a los dispositivos porttiles. Enseles cmo
evitar tener ficheros compartidos, e instryales sobre la importancia de encriptar ficheros de los discos
duros de sus laptops que contengan informacin sensible.

MAXIMICE SU INVERSIN EN TECNOLOGAS WATCHGUARD

Aunque la lista de cuestiones relacionadas con la problemtica de la seguridad de las redes LAN
inalmbricas parezca desalentadora, una planificacin cuidadosa, una inversin inteligente en Puntos
de Acceso WLAN de categora empresarial, y una adecuada instalacin pueden proporcionarle una
slida capa inicial de defensa. Los siguientes pasos, notas, y consejos de configuracin le muestran
cmo puede reforzar y profundizar esa defensa utilizando productos WatchGuard correctamente
configurados. WatchGuard Technologies proporciona estas medidas adicionales, complementarias y
esenciales para contrarrestar amenazas relativas a Internet e intranet:
Cortafuegos de Autenticacin y Aplicacin de la Estrategia de Seguridad en el Firebox
proporcionan cinco alternativas para una autenticacin de usuario ms severa (incluyendo servicios
RADIUS, CRYPTOcard, y SecurID), y la posibilidad de implementar reglas robustas y flexibles para
gestionar el flujo de trfico a y desde sus segmentos WLAN. Stateful Packet Inspection (SPI -Inspeccin de Paquetes de Datos) y Application Security Proxies (APS Seguridad a nivel de
Aplicacin) protegen su intranet de ataques lanzados desde redes LAN inalmbricas, incluyendo:
Enmascaramiento de direcciones IP
Sondeo de direcciones IP y de puertos
Ataques de Denegacin de Servicio (DoS)
Trfico malicioso o no deseado y SPAM
Para aprovechar las ventajas de este control minucioso configure el interfaz entre la red Inalmbrica
WLAN y su red cableada de la siguiente manera:
Coloque sus Puntos de Acceso fuera (en el interface Externo) de una unidad FIREBOX
SOHO o FIREBOX.
8/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS

Si lo desea, aada listas de control de acceso (ACLs) a su FIREBOX o FIREBOX SOHO

para exigir autenticacin de usuario a los clientes MUVPN.
Aada polticas de acceso a su FIREBOX SOHO o FIREBOX para restringir los servidores
intranet a los que pueden acceder sus WLAN (e incluso clientes en su WLAN).
Aada polticas de acceso a su FIREBOX SOHO o FIREBOX para permitir el acceso de
clientes WLAN a otros puntos de la red VPN de su sucursal slo en donde lo estime
conveniente.
Aada polticas de acceso a su FIREBOX SOHO o FIREBOX para permitir el acceso a
Internet de clientes WLAN slo en donde lo estime conveniente.
Si en algunos clientes WLAN no utilizan MUVPN, aada listas de control de acceso a su
FIREBOX SOHO o FIREBOX para exigir autenticacin de usuario de esos clientes.

Conexiones Seguras (Encriptadas) entre clientes WLAN y su FIREBOX SOHO o FIREBOX

mediante Mobile User VPN (MUVPN) de WatchGuard, para proporcionar autenticacin ms fiable
(incluyendo certificados digitales emitidos por el Certificate Authority de WatchGuard incluido en el
producto), y privacidad e integridad de mensajes a los clientes WLAN. Especficamente:

Configure la estrategia de cliente MUVPN WLAN respecto a las direcciones IP virtuales

(VIPs) a partir de una nica IP de subred, para facilitar la separacin del trfico y el anlisis
de la red WLAN. Para aquellos clientes con mltiples adaptadores puede necesitarse un
mayor refinamiento en orden a asociar los procedimientos de acceso remoto desde Internet
y los procedimientos de acceso WLAN con cada adaptador.
Instale clientes MUVPN en tantas estaciones WLAN como pueda hacerlo.
Configure la estrategia de cliente MUVPN WLAN para exigir el mismo tipo de autenticacin
que ya utiliza para acceso remoto desde Internet.
Para aquellos clientes para los cuales la privacidad es imperativa configure la estrategia de
cliente MUVPN para forzar que TODO el trfico est encriptado. Especficamente evite la
divisin de tnel (split tunneling), en la que se encripta el trfico a ciertos destinos y a otros
no.

El software de WatchGuard cortafuegos personal y MUVPN con anti-virus integrado, est

diseado para prevenir que se introduzca cdigo malicioso en los laptop de los usuarios de WLAN
cuando se encuentren fuera del cortafuegos de la empresa.
Instale MUVPN en los clientes WLAN con el software cortafuegos integrado ZoneAlarm y el software
anti-virus McAfee tambin integrado.
Las funciones de registro y monitorizacin del cortafuegos WatchGuard proporcionan la
capacidad de realizar una auditora segura y efectiva del trfico entre usuarios de WLAN y servidores
de intranet. El WSEP (WatchGuards Security Event Processor), exclusivo de WatchGuard, permite
una conveniente administracin centralizada y un procesado de los registros con generacin de
informes histricos muy reveladores y de gran ayuda. Otros consejos:
Revise las entradas en el registro con una poltica de regularidad y periodicidad. Si
apareciesen entradas que no le resultan familiares o que no estn explicadas, puede
consultar ms de una docena de utilisimos artculos sobre interpretacin de los registros
que WatchGuard tiene publicados en su pgina Web Learn About Logging. Tambin
puede comparar sus entradas con la lista de ataques actuales ms comunes que se
publican en www.incidents.org.
Utilice Firebox Historical Reports para afinar en el anlisis de su registro. La pgina Web
"Frequently Asked Questions: Logging" de WatchGuard le proporciona informacin acerca
de esta utilidad.

9/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS
Los cortafuegos de WatchGuard se acompaan con una subscripcin al Live Security Service,
que le enva alertas prcticas y concisas cuando se descubren nuevas vulnerabilidades en las
aplicaciones ms populares.
LiveSecurity tambin le alerta ante amenazas de virus, y le ofrece consejos (best practices) sobre
cmo asegurar su red. Lea el editorial semanal de LiveSecurity y lleve a cabo las sugerencias que se
ofrecen en las nuevas alertas con el fin de mantener una vigilancia actualizada de su red y prevenir el
descuido gradual, por rutina, de sus medidas de seguridad.
Si un atacante penetrase en sus defensas por capas, los productos ServerLock y AppLock/Web
de WatchGuard complementarn sus esfuerzos administrativos para fortalecer el sistema operativo y
el servidor Web ofrecindole una proteccin inigualable contra el dao que pudiera ocurrir al ser
aprovechadas las vulnerabilidades del sistema, por ataques internos hostiles, por ataques al flujo de la
aplicacin, e incluso por errores de administracin.
Su objetivo es construir una defensa en profundidad. Los productos WatchGuard le ayudan a
establecer capas de seguridad en el permetro de su red, en su servidor, en los ordenadores de
sobremesa, y en clientes mviles exactamente el tipo de control sinergtico que puede aproximarse
al 100 por ciento de seguridad efectiva.
CONCLUSIONES
Hemos indicado anteriormente que debe usted utilizar todas y cada una de las medidas de seguridad
que pueda obtener. En la actualidad, muchos productos simples integran conmutacin, servicios de
acceso, autenticacin de cortafuegos y caractersticas VPN, incorporan alguna funcionalidad
especfica WLAN, y reivindican su superioridad sobre otras aplicaciones. Algunas de ellas merecen ser
estudiadas. Evale su viabilidad y escalabilidad a largo plazo. Calcule el coste de instalacin y puesta
en marcha y el rendimiento de la inversin que estos productos le ofrecen. En muchos casos, los as
llamados productos punteros son tan costosos tanto en su adquisicin como en su operacin, que
parecen ms bien la punta de la navaja.
Al ir considerando las mltiples capas de seguridad que puede aplicar para proteger su intranet
cuando introduzca la red inalmbrica WLAN, nos hemos centrado en cmo puede reforzar sus
inversiones actuales en la probada tecnologa WatchGuard, y en cmo puede aplicar las mejores
prcticas, tanto tradicionales como emergentes, para eliminar o minimizar las vulnerabilidades
comnmente asociadas con las redes inalmbricas WLAN. Por ahora, estas tcnicas probadas
ofrecen una seguridad inalmbrica mejor y ms efectiva en trminos de coste que la actual oferta de
innovadores productos especializados. Puede usted asegurarse de que su intranet sobreviva a la
incorporacin de redes LAN inalmbricas; slo necesita mucha diligencia, sudor a la antigua usanza, y
un uso inteligente de la tecnologa que ya tiene a mano.

LISTA DE COMPROBACIN PARA SEGURIDAD DE REDES LAN INALMBRICAS

Utilice esta lista de comprobacin general como gua para la implantacin de su plan de seguridad
para su red inalmbrica:
SEGURIDAD FSICA
Efecte un reconocimiento del entorno fsico.
Evale la transmisin y la cobertura de radio para reducir el riesgo de descubrir su emisin.
Realice una auditora de la WLAN para identificar posibles vulnerabilidades.
Elimine puntos en la topologa en los cuales el trfico broadcast sea innecesario.
SEGURIDAD DE LA INFRAESTRUCTURA
Haga un inventario de las direcciones MAC para WLAN; Niegue el acceso a sus Puntos de
Acceso a aquellas direcciones MAC que no estn inventariadas.

10/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS

Tome medidas para evitar que clientes no autorizados adquieran direcciones dinmicamente
asignadas de sus Puntos de Acceso (e.g., use IPs, estticas, asigne direcciones IP ligadas a
listas de control de acceso MAC en sus Puntos de Acceso, o use DHCP solamente con
autenticacin MAC IEEE 802.1x).
Configure sus Puntos de Acceso y clientes WLAN con SSIDs largos y difciles de adivinar.
Active el WEP IEEE 802.11 (Wireless Equivalent Privacy -- WEP) como un mtodo de control
de acceso en sus Puntos de Acceso y en sus clientes WLAN.
Si utiliza Windows XP en clientes WLAN, active la autenticacin basada en puertos y la
distribucin de claves IEEE 802.1x (Nota: Esto requiere en algn lugar de su intranet un
servidor RADIUS con soporte EAP).

SEGURIDAD DE LA ADMINISTRACIN DE LA INFRAESTRUCTURA

Aplique todas las medidas disponibles a sus Puntos de Acceso para asegurarlos frente a
accesos no autorizados (e.g. desactive accesos SNMP/Telnet, configure contraseas seguras y
controles de acceso).
PERMETRO DE SEGURIDAD
Use cortafuegos Interdepartamentales para controlar el acceso de clientes WLAN a
servidores con misiones crticas colocando sus Puntos de Acceso fuera del cortafuegos o en un
interface opcional/DMZ.
Para encriptar el trfico use tneles VPN desde clientes WLAN a cortafuegos con capacidad
VPN o a gateways de seguridad, y proporcione autenticacin ms segura sobre la red
inalmbrica.
Configure su cortafuegos interdepartamental con estrategias de cortafuego de manera que el
trfico desde los clientes WLAN se someta al mismo examen riguroso al que se someten los
clientes de la red cableada. Asigne a los clientes VPN direcciones virtuales (VIPs) derivadas de
una IP de subred secundaria para separar y controlar el trfico de los clientes WLAN.
Asegrese de que todos los clientes WLAN tienen instalado software de proteccin anti-virus y
de cortafuegos personal.
Registre y audite todas las capas en las cuales ha aplicado medidas de seguridad.

GLOSARIO
Proporcionado por el equipo de servicios de contenidos de WatchGuard LiveSecurity
ARP (Address Resolution Protocol Protocolo de Resolucin de Direccin)
Cada dispositivo en una red tiene al menos dos direcciones: una direccin de control de acceso al
medio (Media Access Control MAC), y una direccin de Protocolo Internet (IP). La direccin MAC es
la direccin de la tarjeta de interface fsico con la red, en el interior del dispositivo, y no cambia nunca
para esa tarjeta. La direccin IP puede cambiar si la mquina es trasladada a otro lugar de la red o si
la red utiliza DCHP. ARP, uno de los protocolos IP, se utiliza para asociar o resolver una direccin IP
con su correspondiente direccin MAC (y viceversa). ARP trabaja enviando un paquete broadcast a
todas las mquinas conectadas a una red Ethernet. El paquete contiene la direccin IP con la que el
emisor quiere comunicarse. La mayora de las mquinas lo ignoran. La mquina que reconoce la
direccin IP contenida en el paquete como suya, devuelve una respuesta.
DHCP (Dynamic Host Configuration Protocol -- Protocolo de Configuracin Dinmica de
Hospedaje)
Un estndar propuesto en RFC 1541 para transferir informacin de configuracin de red desde un
servidor central a los dispositivos cuando estos se inicializan. Tpicamente estos datos incluyen una
direccin IP para la mquina que el servidor puede cambiar y alojar sobre la marcha bajo DCHP.
11/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS

Servidor DHCP
Dispositivo que asigna automticamente direcciones IP a ordenadores en red, obtenindolas de un
fondo de IPs y devolviendo las direcciones no utilizadas al fondo. Usando un servidor DCHP, un
administrador no tiene normalmente que verse envuelto en tareas de asignacin de direcciones IP a
clientes individuales.
DNS (Domain Name System Sistema de Domminio de Nombres)
Sistema de servidores conectados en red que trasladan direcciones IP a direcciones Internet
jerarquizadas y legibles, y viceversa. Esto es lo que permite que cuando usted en su navegador
escribe un nombre como www.watchguard.com, su ordenador entienda que quiere acceder a un
servidor con direccin 206.253.208.100 (por ejemplo).
Direccin Ethernet
Un nico identificador que se obtiene cuando se instala una adaptador Ethernet en un ordenador. Esta
direccin identifica la mquina como un nico tem de comunicacin y habilita la comunicacin directa
desde y hasta un ordenador concreto. Ver tambin direccin MAC.
ICMP (Internet Control Message Protocol Protocolo de Control de Mensajes de Internet)
Protocolo utilizado para enviar mensajes de control y de error en un sentido y en otro entre nodos de
Internet. Quiz el comando ms utilizado sea ping.
IDS (Intrusion Detection System Sistema de Deteccin de Intrusin)
Una clase de productos de red dedicados a detectar ataques de hackers. Los sistemas de deteccin
de intrusin orientados a red examinan el trfico en una red en busca de signos de que se est
produciendo un ataque o un acceso no autorizado, mientras que los sistemas orientados a mquina
observan los procesos y el trfico de red en una mquina local, en busca de cualquier actividad que el
administrador haya definido como nociva.

LAN (local area network Red de rea local)

Una red de ordenadores que se extiende en un rea relativamente pequea, generalmente confinada
a un nico edificio o a un grupo de edificios.
Direccin MAC (Media Access Control Control de Acceso al Medio)
Una de las dos direcciones que tiene cada ordenador conectado en red (siendo la otra la direccin IP).
La direccin de Control de Acceso al Medio es un nico identificador de 48-bits que se escribe
normalmente como 12 caracteres hexadecimales agrupados en pares (e. g., 00-00-0c-34-11-4e).
Normalmente est direccin es otorgada por el fabricante de la tarjeta de interface de red y no cambia
nunca. Representa la direccin fsica de un dispositivo de datos, y se utiliza como una ayuda para los
routers que tratan de identificar mquinas en grandes redes. Ver tambin ARP y Direccin Ethernet.

NIC (Network Interface Card Tarjeta de Interface de Red)

Dispositivo que enva y recibe datos entre el ordenador y el cable de red. Cada ordenador conectado a
la red debe estar provisto de una de estas tarjetas.

PKI (Public Key Infrastucture Infraestructura de Clave Pblica)

Sistema de certificados digitales, Autoridades Certificadoras y otras autoridades de registro que
verifican la validez de cada parte implicada en una transaccin en Internet. Se trata de establecer una
12/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS
relacin de confianza entre las partes. Los diversos mecanismos de PKI pueden proporcionar el
fundamento para la confidencialidad de mensajes, integridad de mensajes, no rechazo (que significa
que el autor de un mensaje no puede despus alegar que l no lo escribi), y autenticacin. PKI es
necesario y fundacional para las Redes Privadas Virtuales (VPN).
SSL (Secure Sockets Layer Capa de Sockets Seguros)
Protocolo para transmitir documentos privados a travs de Internet, frecuentemente utilizado en sitios
de comercio electrnico (entre otros). SSL trabaja utilizando una clave privada para encriptar los datos
transferidos a travs de una conexin SSL.
VPN (Virtual Private Network Red Virtual Privada)
Un medio para tener los beneficios de seguridad de una red privada, dedicada, sin el coste de poseer
realmente una red. VPN usa criptografa para desordenar los datos de manera que sean ilegibles
mientras recorren Internet, proporcionando as privacidad en lneas pblicas. Las compaas con
sucursales utilizan generalmente VPNs para conectar mltiples lugares. Para ampliar la informacin
ver el libro blanco de WatchGuard , "Straight Talk about VPN," o, si es usted subscriptor de
LiveSecurity, lea el artculo "Foundations: Considering VPNs.
WEP (Wired Equivalent Privacy Privacidad Equivalente a Cableada)
Aspectos de seguridad del estndar 802.11 que permite que dispositivos inalmbricos como PDAs y
ordenadores laptop, accedan a una red de ordenadores a travs de radiofrecuencia en vez de
cableado fsico. WEP cumple tres tareas: 1) Autenticar clientes en Puntos de Acceso; 2) Encriptar los
datos entre los clientes y el Punto de Acceso; y 3) Incluir en cada paquete intercambiado un cdigo de
integridad.
La realizacin inicial de WEP proporciona una seguridad dbil. Aunque no completamente intil, el
mejor uso que se le puede dar es como otra capa de seguridad complementaria a otras que
establezcan medidas de seguridad mas potentes. Para ms informacin los subscriptores de
LiveSecurity pueden acudir a la pgina Web "Learn About Wireless Security.

WPA (Wi-Fi Protected Access -- Acceso Protegido Wi-Fi)

Especificacin de mejoras de seguridad interoperable basadas en estndares, que aumenta
enormemente el nivel de proteccin de datos (encriptacin) y el control de accesos (autenticacin)
para sistemas de red LAN Wi-Fi inalmbricos existentes y futuros.
ACERCA DE WATCHGUARD
WatchGuard (Nasdaq: WGRD) es una empresa lder proveedora de soluciones de seguridad para
Internet dinmicas y globales, diseadas para proteger empresas que utilizan Internet para comercio
electrnico y comunicaciones seguras. Miles de organizaciones en todo el mundo utilizan los
galardonados productos y servicios de WatchGuard. Estos productos incluyen nuestro cortafuego
Firebox y dispositivos VPN para control de acceso y comunicacin segura, y nuestra tecnologa y
solucin anti-virus ServerLock de seguridad de contenidos y de aplicaciones para servidores y
ordenadores de sobremesa. La gestin centralizada utilizando una moderna ergonoma (point-andclick) hace que resulte fcil, incluso para los no profesionales de la seguridad, instalar, configurar y
monitorizar las soluciones de seguridad. Nuestro innovador servicio LiveSecurity hace posible tambin
a nuestros clientes, con el mnimo esfuerzo, mantener sus sistemas de seguridad actualizados en un
entorno continuamente cambiante.

MAS INFORMACIN
Por favor vistenos en la Web en www.watchguard.com o contacte con su proveedor para ms
informacin.
13/14

SEGURIDAD AL DESCUBIERTO - PROCEDIMIENTOS DE SEGURIDAD POR CAPAS PARA

INCORPORAR REDES LAN INALMBRICAS A INTRANETS
2002 WatchGuard Technologies, Inc. Reservados todos los derechos. WatchGuard, Firebox,
LiveSecurity y Designing peace of mind son marcas comerciales o marcas registradas de WatchGuard
Technologies, Inc. en los Estados Unidos y/o en otros pases. Todas las dems marcas comerciales y
nombres comerciales son propiedad de sus respectivos propietarios.

DIRECCIN:
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
WEB:
www.watchguard.com
E-MAIL:
information@watchguard.com
U.S. SALES:
+1.800.734.9905
INTERNATIONAL SALES:
+1.206.521.8340
FAX:
+1.206.521.8342

14/14