redes lan2 : instrucción 1/2006 de la junta de andalucía
DESCRIPTION
instrucción 1/2006 de la Junta de Andalucía, wifi, seguridad, SSID broadcastTRANSCRIPT
Despliegue de Redes LANDespliegue de Redes LANGestión de las TIC: Gestión de las TIC:
Infraestructuras y desarrollosInfraestructuras y desarrollos10 horas10 horas
JUAN CARLOS RUBIO PINEDAJUAN CARLOS RUBIO PINEDA
Contenidos:
1)− Orden de Cableado estructurado ORDEN de 25 de septiembre de 2007, reguladora de los requisitos necesarios para el diseño e implementación de infraestructuras cableadas de red local en la Administración Pública de la Junta de Andalucía.
2)− Redes Wi-Fi: concepto, ventajas e inconvenientes.
3)− Instrucción 1/2006, de 15 de mayo, de la Dirección General de Innovación y Administraciones Públicas, relativa a la instalación de Redes de Área Local Inalámbricas y Enlaces Inalámbricos en el Ámbito de la Junta de Andalucía.
4)− Arquitectura y gestión de LAN: Resolución de problemas. Etiquetado de Hw: emisión de etiquetas, acto de recepción, inventario, acceso al mantenimiento.
Redes Wifi:
concepto, ventajas e inconvenientes
Redes WIFI
• Concepto:– Las redes WIFI o WLAN o Wireless LAN
utilizan ondas electromagnéticas para enlazar los equipos en lugar de hacerlo mediante cables.
– Redes WLAN más conocidas:• Ir DA• Bluetooth
• Wi-Fi
• Microondas
Redes WIFI
• Objetivos de estas redes (dentro del escenario de la instrucción 1/2006)– Proporcionar facilidades no disponibles en los
sistemas cableados.– Formar una red global donde coexista el
cableado y el WIFI.– Ofrecer movilidad sin perder conectividad– Ser complemento Y NO SUSTITUTO de
redes fijas
Redes WIFI
• Desventajas– Ancho de banda más limitado, especialmente
cuando aumenta el número de usuarios• Debido entre otras cosas, al mecanismo de control
de acceso al medio.– WiFi es half-duplex y todas las estaciones transmiten y
reciben usando el mismo canal radio
– Falta de seguridad inherente a un medio de transmisión sin posibilidad de control físico en los accesos (ondas electromagnéticas)
Redes WIFI
• Control de acceso al medio (MAC):– IEEE 802.11 usa un protocolo MAC llamado
Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA).
– Acrónimo similar al CSMA/CD usado en Ethernet, aunque funciona de otra forma
– WiFi es half-duplex• Una estación no puede escuchar el canal mentras
está transmitiendo y es imposible detectar una colisión.
Redes WIFI
• Un nodo que quiere transmitir escucha el canal durante un periodo de tiempo fijado para determinar si otro nodo está transmitiendo
• Si el canal no está ocupado (canal “idle”) el nodo inicia el proceso de transmisión.
• Si el canal está ocupado (“busy”) el nodo retrasa su transmisión durante un periodo de tiempo aleatorio.
Instrucción 1/2006 de 15 de Mayo
Instrucción 1/2006
• La implantación de WLAN en el interior de edificios deberá cumplir:– Se deberá Presentar un proyecto técnico de
implantación de WLAN firmado por el responsable de Informática del organismo a la D.G. de Servicios Tecnológicos y Sociedad de la Información*, que debe aprobarlo previa adquisición de componentes
– No se podrán instalar WLAN en edificios susceptibles de disponer de instrumentación sensible a ondas electromagnéticas
Instrucción 1/2006
• La implantación de WLAN entre edificios deberá cumplir la regla anterior, aunque el proyecto técnico contendrá:– Justificación de la solución técnica adoptada.– Plano de planta, donde figuren tanto el
enlace, como la ubicación de los extremos del mismo.
– Descripción de la ubicación física de los AP que actúan como extremos del enlace.
Instrucción 1/2006
• La implantación de WLAN entre edificios contendrá (II):– Descripción de las medidas de seguridad
adoptadas sobre el enlace inalámbrico.– Interconexión con Redes de Área Local (LAN)
o accesos a la RCJA.– Cumplimiento de la limitaciones de potencia
de los equipos establecidas por el Cuadro Nacional de Atribución de Frecuencias (CNAF) .
Instrucción 1/2006
• La implantación de WLAN entre edificios contendrá (III):– Justificación del cumplimiento del
RD1066/2001 de 28/09/2001(medidas de protección sanitaria)
– Justificación del cumplimiento de las normas sobre “Políticas de Seguridad para la instalación de WLAN” que acompañan a esta Instrucción (Anexo I).
Políticas de seguridad para la instalación de WLAN
OBL: Obligatorias
REC: Recomoendables
Práctica:
Elabore una lista de medidas que considera que debieran ser obligatorias para la seguridad.
Políticas de seguridad
• Relativas a la seguridad física de la instalación– Prevenir acceso a los AP (OBL)– Restricción alcance (distancias) AP (OBL)– Control de acceso a las zonas de influencia
de la red -edificio-(REC)– Inhabilitación de AP en horas no laborables
(REC)
Políticas de seguridad
• Prevenir el acceso a los AP:– El punto de acceso es el lugar por el que
pasan todas las comunicaciones. – Para evitar la manipulación de los mismos es
necesario que sean ubicados en lugares apropiados, con acceso restringido y controlado
Políticas de seguridad
• Prevenir el acceso a los AP: medidas paliativas:– Los equipos se instalarán en ubicaciones
donde el acceso esté restringido, no siendo posible el acceso a ellos sin las correspondientes autorizaciones.
– Además, en lo posible, se encontrarán ocultos en el falso techo.
Políticas de seguridad
• Restricción de alcance:– Obliga al atacante a estar físicamente en un
lugar controlado por la organización. – Para ello se debe comprobar que el límite
exterior de la red inalámbrica (cobertura) no quede fuera del perímetro del edificio o de los edificios de la organización. Para esta comprobación será necesario un estudio de cobertura por cada AP.
Políticas de seguridad
Políticas de seguridad• En lo posible, los equipos instalados se
gestionarán por un controlador central que sea el encargado de ajustar automáticamente los niveles de potencia.
• Si la gama de los AP lo permite, dichos niveles de potencia se podrán gestionar también manualmente, y adecuarlos en determinadas zonas para que no radien fuera del recinto.
Políticas de seguridad
• Control de acceso a las zonas de influencia de la red -edificio-– A nivel técnico se puede limitar el alcance
para tratar de no emitir fuera del perímetro del edificio.
– Sin embargo, si un atacante puede entrar al edificio libremente con un dispositivo portátil el peligro de intrusión permanece. Por lo tanto, se deberá controlar el acceso a las zonas de influencia dentro del propio edificio.
Políticas de seguridad
• Control de acceso a las zonas de influencia de la red -edificio-: medidas paliativas– Si el entorno lo permite, y el nivel de entrada
de visitantes no es elevado, se puede registrar cada visita con la fecha y hora de la misma, lo que puede ayudar a delimitar responsabilidades en caso de incidencias, y para alejar a posibles atacantes.
Políticas de seguridad• Inhabilitación de AP en horas no
laborables:– Normalmente, los ataques suelen realizarse de
noche, o en horas que no generen alerta a los administradores.
– Por ello, es recomendable el apagado de los puntos de acceso a horas a las que no son utilizados, especialmente fines de semana, días festivos, etc.
– Si el Hardware no permite esta posibilidad se podrán utilizar enchufes con programadores de tiempo. En su defecto, deberá inhabilitarse el sistema inalámbrico de cualquier otra forma que, impida el acceso vía radio al sistema
Políticas de seguridad
• Inhabilitación de AP en horas no laborables: observaciones– Existe la posibilidad de temporización en la
emisión de la red inalámbrica gracias al software de gestión inalámbrica de algunos fabricantes.
Políticas de seguridad
• Relativas a la seguridad lógica de la instalación:– Nombre del SSID aleatorio o sin relación
directa con a organización (OBL)– Deshabilitar la función de difusión del SSID
-SSID Broadcast- (REC)– Filtrar direcciones MAC en los AP (REC)– Redirección del log de seguridad del AP a un
syslog externo -REC-
Políticas de seguridad• Deshabilitar la función de difusión del
SSID -SSID Broadcast: – Aunque se use un SSID difícil de adivinar, el
punto de acceso (AP) emite este nombre por “Broadcast” a todos los que “escuchen” la red. Muchos dispositivos (prácticamente todos) tienen esta opción activada por defecto. Deshabilitarla es un buen punto de partida
– Adicionalmente a esta medida, si el tamaño de la instalación lo permite, se debería cambiar el SSID cada cierto tiempo
Políticas de seguridad
• Redirección del log de seguridad del AP a un syslog externo:– Existen AP que reportan a una controlador
central inalámbrico.– Este a su vez puede reportar a un sistema de
gestión centralizado, ya que existen AP que incorporan software de gestión (pEj CISCO WCS) que actúa como recolector de logs.
Políticas de seguridad
• Filtrar direcciones MAC en los AP: – Se trata de una recomendación de seguridad
que habitualmente implica un excesivo control por parte del personal del centro.
– Es una barrera fácilmente evitable usando MAC Spoofing, por lo que en la práctica, no se suele usar, aunque se exija que los equipos permitan el control centralizado de las funcionalidades de filtrado MAC.
Políticas de seguridad• Relativas a la seguridad lógica de la
instalación (II)– No activar DHCP en los AP -OBL-– Uso de algoritmos de cifrado WPA2, y
excepcionalmente WPA, NUNCA WEP (OBL)– Uso de sistemas de autenticación
independientes de los puntos de acceso (OBL)
• EAP/TLS• EAP/TTLS• EAP/PEAP
Políticas de seguridad
• No activar DHCP en los AP:– Esta medida evita que un atacante obtenga
una dirección IP de forma sencilla, y le obligará a tener que capturar y analizar el tráfico de la red en busca de los parámetros de red utilizados (rango de direcciones IP utilizado, DNS, Gateway, etc.).
Políticas de seguridad• Uso de algoritmos de cifrado WPA2, y
excepcionalmente WPA, NUNCA WEP:– Se deberá usar el algoritmo de cifrado basado en
AES (Advanced Encryption Estándar) contemplado en el estándar 802.11i (WPA2).
– De no ser posible hacer uso del estándar 802.11i, excepcionalmente se podrá hacer uso del algoritmo WPA (Wireless Protected Access)
– En ningún caso se podrán cifrar las comunicaciones únicamente con el protocolo WEP.
– En ningún caso se podrá instalar una red inalámbrica sin cifrar las comunicaciones.
Políticas de seguridad
• Uso de sistemas de autenticación independientes de los puntos de acceso:– Si se utiliza EAP/TLS es necesario establecer
una Política de Prácticas de Certificación para los certificados emitidos para los clientes.
– Si se utiliza EAP/TTLS o EAP/PEAP es necesario utilizar credenciales de usuario (usuario y contraseña), con las características que se indican en el apartado “Política de contraseñas”.
Políticas de seguridad
• Relativas a la seguridad lógica de la instalación (III)– Cambios de configuración en los AP (OBL)– Realización de backup de la configuración de
los AP -OBL-– Proteger la configuración de los AP (OBL)– Protocolo SNMP en los AP: si no se usa,
desactivar; si lo hace, communities fuertes -OBL-
Políticas de seguridad• Cambios de configuración en los AP:
– En caso de tener que realizar un cambio de configuración en un AP (distribución de nuevas claves, actualización de firmware, añadir una MAC en la ACL, etc.) se requerirá que el dispositivo disponga de un control de acceso de usuarios sea cual sea su método de administración.
• En caso de que sea remoto, deberá hacerse utilizando un canal seguro SSL.
– Deberán restringirse las direcciones IP para acceder como administrador.
– La administración no se realizará nunca a través del medio inalámbrico.
Políticas de seguridad
• Cambios de configuración en los AP: Observaciones:– Los equipos actuales de gama profesional,
implementan un control de acceso para la administración del mismo basado en usuarios y contraseñas, e incluso la posibilidad de implementar servidores externos (tanto TACACS+ como RADIUS).
Políticas de seguridad
• Proteger la configuración de los AP (backup)– En caso de producirse un reseteo de la
configuración del punto de acceso, es muy útil disponer de una salvaguarda de toda la configuración.
– La mayor parte de dispositivos almacenan toda la configuración en un solo archivo el cuál es posible descargar (vía puerto serie, FTP o WEB).
Políticas de seguridad• Proteger la configuración de los AP
(backup): Observaciones– El software de gestión que se proporciona
con ciertos AP de gama profesional encargarse de hacer una copia temporizada de la configuración del controlador central.
– En estos sistemas, se tiene un sistema centralizado, por lo que únicamente sería necesario guardar la configuración del elemento central, el resto de elementos del sistema se configuran a partir de él.
Políticas de seguridad
• Protocolo SNMP en los AP:– En caso de que no sea posible su
desactivación, es muy recomendable cambiar los nombres de las “comunities” por defecto “Public” y “Private”, a otros más complejos.
– Si es posible, y SNMP sólo se utiliza para monitorización, se deberá activar sólo el acceso en modo lectura.
Políticas de seguridad
• Relativas a la seguridad lógica de la instalación (IV)– Separación de la WLAN y la LAN física -REC-– Permitir sólo redes de tipo “estructural”, y no
ad-hoc (OBL)– Actualizaciones de firmware de los AP (OBL)– Características avanzadas de los AP
-anteriores- (OBL)
Políticas de seguridad
• Separación de la WLAN y la LAN física:– Es recomendable la instalación de un
cortafuegos (firewall) entre los AP’s y la red local, para separar las redes.
– Asimismo, es recomendable el uso de diferentes VLAN, que distingan entre usuario inalámbricos y cableados, o bien para poder hacer uso de diferentes perfiles de usuarios inalámbricos.
Políticas de seguridad• Permitir sólo redes de tipo “estructural”, y
no ad-hoc– En una red “ad hoc” las comunicaciones se
realizan directamente entre los emisores y receptores, sin pasar por un punto central (punto de acceso). Estas, son extremadamente difíciles de securizar.
– Sólo se deben permitir redes de tipo “estructural”, en las que todas las comunicaciones pasan a través del punto de acceso y se pueden securizar de forma centralizada.
Políticas de seguridad
• Actualizaciones de firmware de los AP:– Es extremadamente recomendable mantener
los AP’s en sus últimas versiones de firmware, mas aún si las nuevas versiones traen mejoras relativas a la seguridad del protocolo, encriptación de los datos, autenticación de los usuarios o cualquier otra característica relacionada con la seguridad.
Políticas de seguridad
• Actualizaciones de firmware de los AP: observaciones:– En ciertos equipos de gama profesional, la
actualización controlada de firmwares aprobados, se realiza de forma sencilla a través de un sistema centralizado.
Políticas de seguridad• Características de los AP requeridas:
Políticas de seguridad
• Otras medidas de seguridad– Securización de los puestos de trabajo de los
usuarios de la red Wireless (REC)– Instalación de un IDS Wireless (REC)– Uso de túneles VPN (REC)
Políticas de seguridad• Securización de los puestos de trabajo de
los usuarios de la red Wireless– No se deberán compartir carpetas en los
ordenadores que tengan acceso inalámbrico y, en caso de hacerse, nunca se deberán compartir sin contraseña o con contraseña débil
– Adicionalmente a esta medida, estos equipos podrían estar dotados de un cortafuegos configurado para permitir exclusivamente el tráfico que debe ser permitido
Políticas de seguridad
• Seguimiento y explotación de redes inalámbricas– Se crea el GTRI (Grupo de Trabajo de Redes
Inalábricas), compuesto por técnicos de diferentes consejerías
• Se designará un responsable de explotación local• OBL
Políticas de seguridad
• Política de contraseñas– Contraseñas seguras
– Vigencia de 1-2 meses máximo– Histórico de contraseñas (no repetir las
anteriores)