Consejos valiosos para evitar que los hackers invadan fácilmente un sistema.
Una red inalámbrica puede ayudar a los colaboradores de una empresa a mantenerse productivos en la medida en que aumenta la movilidad de los mismos dentro de la empresa. Sin embargo, para que la empresa pueda aprovechar los beneficios de una red inalámbrica, es necesario que el CIO se asegure de que está protegida de hackers y usuarios no autorizados.
Todos los dispositivos conectados influyen en a la seguridad de la red inalámbrica. Debido al hecho de que la WLAN es una red móvil, el CIO debe tener un enfoque minucioso y de multicapas para proteger el tráfico de datos.
Teniendo en cuenta esto, creamos una lista de 13 pasos útiles para reducir los riesgos de la red inalámbrica corporativa.
1- Cambiar la contraseña estándar del ruteador
Parece un consejo demasiado básico, pero es necesario mencionarlo, pues a muchos CIO’s se les olvida este primer paso importante. Apenas se configure el ruteador corporativo, la contraseña estándar debe ser alterarada. Este paso es fundamental, dado que las contraseñas estándares de todos los equipos del mismo proveedor son del conocimiento público y se encuentran en Internet. No cambiarlas facilitaría a los hackers acceder a la red.
2- Usar una contraseña compleja
Aunque no presente fallas conocidas, el protocolo de seguridad WPA2 es vulnerable a ataques forzados cuando se usa una contraseña de acceso muy fácil de adivinar. Existe software especializado que captura paquetes de datos inalámbricos y cruza esta información para encontrar las contraseñas.
Para evitar estos ataques, es recomendable usar una contraseña que contenga al menos 25 caracteres combinando letras (en mayúsculas y minúsculas), números y símbolos.
3- Garantizar la seguridad de la WLAN
Proteger una WLAN no es difícil. Una buena idea es utilizar una estrategia de red de autodefensa para proteger la WLAN, que consiste en:
• Comunicación segura: criptografía de los datos que transitan en la red y autenticación de usuarios para asegurar la identificación del usuario que se encuentra en la WLAN.
• Criptografía fuerte: después de la instalación de la red corporativa por parte del CIO, se debe configurar la criptografía más fuerte posible para la red inalámbrica. La criptografía WEP es adecuada, pero la WPA y WPA2 son opciones aún más robustas.
• Usar VLAN’s o listas de control de direcciones MAC combinadas con criptografía para restringir el acceso de los usuarios. Utilizar recursos de acceso seguro de invitados para permitir que los visitantes se conecten a la red o a Internet. Esta es una buena opción para mantener segregados y seguros tanto los recursos, como la red corporativa.
4- Crear una política de seguridad Inalámbrica
Para proteger una red cableada, la mayoría de las empresas comienza a desarrollar una política de seguridad por escrito. Esta política especifica quién puede utilizar la red y cómo. Es posible utilizar el mismo enfoque para proteger una red corporativa inalámbrica.
Existen varios modelos listos que muestran lo que debe cubrir una política de seguridad. A continuación presentamos un ejemplo de lo que debe incluir una política de seguridad típica:
• Política de uso aceptable para especificar los tipos de actividades que están permitidas en la red y las que están prohibidas.
• Actividades de correo electrónico y comunicación para ayudar a minimizar los problemas de correos electrónicos y anexos.
• Política de antivirus para ayudar a proteger la red contra amenazas, como virus, gusanos informáticos y caballos de Troya
• Política de identidad para ayudar a proteger la red de usuarios no autorizados
• Política de contraseñas para ayudar a los colaboradores a elegir contraseñas fuertes y protegerlos
• Política de criptografía para proporcionar orientaciones sobre el uso de tecnología de criptografía para proteger los datos de la red
• Política de acceso remoto para ayudar a los colaboradores a acceder de forma segura a la red cuando están trabajando fuera de la oficina
5- Proteger la empresa de amenazas externas
Los dispositivos inalámbricos tienen que tener el mismo nivel de protección que la red de la empresa, utilizándose por ejemplo firewalls, VPNs y software de antivirus. Existen aparatos que operan simultáneamente con todas las funciones de seguridad activadas y pueden ayudar a proteger una red con un firewall, una VPN segura, protección de voz y tráfico de video, entre otras opciones.
6- Proteger la red cableada de amenazas inalámbricas
Es fundamental solicitar que el CIO instale dispositivos inalámbricos con IPS (Intelligent Protection Switching) para evitar los puntos de acceso no autorizados y otras amenazas inalámbricas, aunque la empresa no tenga una WLAN. Hay equipos en el mercado que están proyectados específicamente para monitorear y prevenir dichas amenazas.
7- Cambiar el nombre o SSID estándar de la red
Cuando el CIO está configurando un nuevo equipo de red, se le debe pedir que cambie el nombre estándar del mismo para dificultar aún más a los hackers la localización de la red e impedir que se disemine a otros lugares el SSID. No se debe elegir el nombre, número de teléfono u otra información de la empresa que sea fácil de adivinar o encontrar en la Internet.
Esto en si no constituye una medida de seguridad. Eventuales invasores tiene otras formas de detectar señales inalámbricas en una determinada área. Sin embargo, para la mayoría de los supuestos hackers, el hecho de que no se transmita el nombre de la red ya es una buena manera de impedir una amenaza de invasión. El lado negativo de esta medida es que siempre que sea necesario conectar un dispositivo a la red, el usuario tendrá que teclear el nombre de la misma.
8- Deshabilitar el acceso administrativo por la red inalámbrica
Quizá sea difícil impedir que un determinado hacker invada una red, pero no hay que facilitarle el trabajo. Al deshabilitar el acceso administrativo desde redes inalámbricas, se impide que un hacker ya invadió la red cause aún más daños alterando la configuración del ruteador inalámbrico. Claro que esto significa que cualquier ajuste al ruteador inalámbrico se tendrá que hacer desde de un laptop o desktop conectado a la red local cableada. Sin embargo, la protección adicional vale ese inconveniente.
9- Crear una red de invitados
Sería mal educado no permitir que amigos y parientes accedieran a la red inalámbrica de una empresa durante una visita. Sin embargo, proporcionar una contraseña estática a todo el mundo es algo inapropiado para fines de seguridad. En vez de eso, el CIO debe definir una red inalámbrica separada con otro SSID, lo cual es un recurso admitido por un número cada vez mayor de ruteadores inalámbricos.
De esta forma, es posible alterar la contraseña sin afectar los dispositivos conectados. Es posible incluso desactivar completamente la red en caso de que no se esté usando.
10- Crear una lista de dispositivos
La mayoría de los ruteadores tiene una lista de dispositivos cableados e inalámbricos que muestra quienes son los usuarios conectados en el presente momento. Vale la pena pedirle al CIO que verifique periódicamente esta lista de dispositivos organizada por el ruteador. Anteriormente el líder de TI sólo conseguía ver una dirección de IP de usuario, una dirección MAC y tal vez un nombre de huésped.
Las interfaces de los ruteadores actuales son cada vez más robustas. Ahora permiten mostrar toda esta información y el tipo de usuario que está conectado. Se están desarrollando también soluciones para Cloud y aplicaciones móviles que permiten la verificación remota de las personas y dispositivos que están conectados a la red corporativa, además de avisar cuando un dispositivo se ha conectado a la red.
11- Mantener el Firmware actualizado
Periódicamente, los proveedores de ruteadores crean y postean nuevos firmwares, es decir, conjuntos de instrucciones operativas programadas directamente en el hardware de un determinado equipo electrónico para todos los productos en el sitio web de la empresa. A veces este firmware puede corregir fallas de seguridad.
Es cada vez más fácil actualizar un ruteador. Los más nuevos notifican al gerente de TI cuando un nuevo firmware está disponible, y algunos hasta permiten que la actualización se realice totalmente sin salir de la interfaz del ruteador, un recurso interesante.
12- Usar configuraciones de Firewall
La mayor parte de los ruteadores cuentan con algún tipo de firewall o protección WAN para defender al dispositivo de amenazas de internet. Ruteadores de alta calidad o de dos bandas tienden a tener un firewall más avanzado con más recursos de seguridad. Sin embargo, es posible implementar un software de código abierto en un ruteador más antiguo o más barato, lo que puede aportar algunas funcionalidades avanzadas. Hay ruteadores con configuraciones que proporcionan una protección de firewall para tráfico de IPv4 e IPv6, así como para filtrar posibles amenazas que vengan de Internet.
Es importante también tomar cuidado con una cosa: si el CIO usa redirección de puertos para configurar el acceso remoto de regreso a la LAN corporativa, permitiendo algún grado de filtrado WAN, esto puede causar problemas en el acceso remoto. Aún así, esto no debe desanimar a la mayor parte de los usuarios de usar contra las amenazas de seguridad las capacidades de un firewall SPI y los recursos de una WAN encontrados en buena parte de los ruteadores inalámbricos.
Muchos de estos recursos de seguridad se pueden activar con un click. Usuarios avanzados pueden utilizar también un recurso encontrado en los ruteadores que permite configurar las reglas de un firewall para bloquear tipos específicos de servicios, como el IDENT o Telnet, para que no pasen por el tráfico del ruteador.
13- Involucrar a los colaboradores
Los colaboradores son el activo más valioso cuando se trata de proteger una red. Sin ponencias o reuniones que expliquen la necesidad de proteger la red inalámbrica, una buena parte de los colaboradores sencillamente no estará consciente de los riesgos. Por ejemplo, la mayoría de las personas ignora totalmente que el simple hecho de enchufar un Access Point en un puerto de Ethernet pone en peligro la seguridad de la red corporativa en un todo.
Hay que involucrar a los funcionarios en la tarea de proteger la red. Carteles informativos y capacitación sobre seguridad, contraseñas de acceso y privacidad pueden ayudar a mantener seguros los sistemas de comunicación de una empresa.