Avanza la concienciación sobre seguridad en Wi-Fi
En este artículo se analizan los datos obtenidos en Madrid mediante la técnica de “war driving” –que consiste en descubrir redes wireless, habitualmente circulando en coche– durante el recorrido en autobús por ciertos núcleos empresariales de la ciudad. El objetivo del trabajo, realizado por el Grupo SIA y durante cuya realización en ningún caso se interfirió o accedió a las infraestructuras detectadas, era comprobar la evolución de la concienciación de estos entornos en aspectos relativos a seguridad de un año a esta parte.
Para determinar cómo están tratando las organizaciones la problemática de la seguridad wireless, el estudio realizado por SIA mide cuántas redes Wi-Fi de las detectadas durante la experiencia de war driving cuentan con algún mecanismo o configuración de seguridad y cuántas lo tienen por defecto, comparando los resultados con los obtenidos en el análisis llevado a cabo en 2002. Como conclusión, se aprecia un aumento en la concienciación en lo referente al establecimiento de medidas de seguridad, como la activación del protocolo de cifrado WEP (no se realizó el análisis posterior para determinar si se emplea IPSEC o no), que pasa del 50% al 63,4% de los puntos de acceso instalados. De la misma forma, se detecta un incremento del número de puntos de acceso en un factor de 2,5. Es decir, en general se observa que va aumentando la implantación de medidas como la activación de WEP, si bien hay que destacar que el punto de partida era realmente malo, puesto que, como se ha indicado, la mitad de las redes wireless trabajaban en 2002 con tráfico en claro.
Por otra parte, el porcentaje de puntos de acceso sin mecanismos de securización básicos, como los cambios de SSID por defecto, se cifra en un 22% en 2003, tasa también alta y que denota una carencia en la implantación de procedimientos de securización de este tipo de entornos.
Otra lectura de los datos nos muestra que nos encontramos todavía en un porcentaje, en lo que a puntos de acceso sin WEP se refiere, de aproximadamente un 37%. Este cifra se enmarca dentro de la tónica europea y norteamericana, que gira entre un 30% y un 40% para entornos de empresa, y entre un 70% y 90% para hogares.
Implicaciones
Los entornos inalámbricos están ganando presencia rápidamente tanto en la empresas como en el hogar. Para darse cuenta de este fenómeno sólo hay que contemplar el uso extensivo de agendas electrónicas (especialmente por determinados perfiles de usuarios dentro de las organizaciones), la instalación de hotspots en aeropuertos, cafeterías u hoteles, e, incluso, las implantaciones masivas con cobertura urbana. De hecho, según TDK Systems, el 25% de los usuarios de LAN inalambricas serán itinerantes hacia 2005.
Está claro que el concepto wireless cambia el panorama de las comunicaciones dentro de la empresa, permitiendo la movilidad y evitando la dependencia del cableado, pero no hay que olvidar que este tipo de redes plantea un “pequeño” problema que, por obvio que parezca, a veces pasa desapercibido: es posible intentar acceder a estas infraestructuras desde fuera del perímetro físico de la organización. Incluso empieza a ser frecuente encontrar a gente merodeando, portátil en la mochila, alrededor de algunas organizaciones que disponen de este tipo de redes. Recordemos que la variedad de herramientas de las que se dispone en Internet para llevar a cabo intrusiones de este tipo es tan amplia como mínimos su complejidad y requisitos de uso.
Es fundamental, por tanto, analizar y establecer los controles preventivos adecuados para tratar el problema en su justa medida. En definitiva, se ha de comenzar a tomar estas infraestructuras inalámbricas tan en serio como el resto de las redes de la empresa. Y, si bien se ha evolucionado durante este último año en este sentido, la situación optima queda lejos todavía. La concienciación es una tarea que debe ser respaldada por la propia dirección de las organizaciones, impulsando la implantación de medidas que contribuyan al uso razonablemente seguro de las redes Wi-Fi corporativas.
Distribución de la configuración WEP
en puntos de acceso (Situación en 2003)
-------------------------------------------------------------
Puntos de Acceso con WEP activo 63 %
Puntos de Acceso sin WEP 37 %
Controles de seguridad en Wi-Fi
---------------------------------------------
˜ Redefinición del perímetro de la organización
˜ Establecimiento de arquitecturas de red adecuadas a este tipo de entornos
˜ Medidas organizativas para la sincronización entre controles físicos y lógicos de seguridad
˜ Seguimiento y concienciación en la organización
˜ Mecanismos adicionales de securización de la comunicación y bastionado (como IPSEC y cortafuegos personales)
˜ Eliminación de configuraciones por defecto (broadcast, SSID, MACs, etc...)
˜ Monitorización de plataformas
˜ Establecimiento de auditoría periódica de las infraestructuras
˜ Securización de entornos mediante la implementación de medidas físicas
˜ Uso de procedimientos de fortificación sobre los equipos de la infraestructura (también en puestos cliente)
Recursos Web
---------------------
Otras referencias de trabajos del mismo tipo:
˜ http://www.oreillynet.com/pub/a/ wireless/2002/03/29/wardriver.html
˜ http://bear.cba.ufl.edu/teets/projects/ ISM6222S303/fiduccse/wardriving.html
˜ http://www.worldwidewardrive.org
Experiencias wIDS
˜ http://packetstormsecurity.nl/filedesc/wIDS-1.4.3.tar.html
José Pedro Arroyo Sánchez, CISA
Jefe de Proyectos – Dirección de Consultoría Grupo SIA
Para determinar cómo están tratando las organizaciones la problemática de la seguridad wireless, el estudio realizado por SIA mide cuántas redes Wi-Fi de las detectadas durante la experiencia de war driving cuentan con algún mecanismo o configuración de seguridad y cuántas lo tienen por defecto, comparando los resultados con los obtenidos en el análisis llevado a cabo en 2002. Como conclusión, se aprecia un aumento en la concienciación en lo referente al establecimiento de medidas de seguridad, como la activación del protocolo de cifrado WEP (no se realizó el análisis posterior para determinar si se emplea IPSEC o no), que pasa del 50% al 63,4% de los puntos de acceso instalados. De la misma forma, se detecta un incremento del número de puntos de acceso en un factor de 2,5. Es decir, en general se observa que va aumentando la implantación de medidas como la activación de WEP, si bien hay que destacar que el punto de partida era realmente malo, puesto que, como se ha indicado, la mitad de las redes wireless trabajaban en 2002 con tráfico en claro.
Por otra parte, el porcentaje de puntos de acceso sin mecanismos de securización básicos, como los cambios de SSID por defecto, se cifra en un 22% en 2003, tasa también alta y que denota una carencia en la implantación de procedimientos de securización de este tipo de entornos.
Otra lectura de los datos nos muestra que nos encontramos todavía en un porcentaje, en lo que a puntos de acceso sin WEP se refiere, de aproximadamente un 37%. Este cifra se enmarca dentro de la tónica europea y norteamericana, que gira entre un 30% y un 40% para entornos de empresa, y entre un 70% y 90% para hogares.
Implicaciones
Los entornos inalámbricos están ganando presencia rápidamente tanto en la empresas como en el hogar. Para darse cuenta de este fenómeno sólo hay que contemplar el uso extensivo de agendas electrónicas (especialmente por determinados perfiles de usuarios dentro de las organizaciones), la instalación de hotspots en aeropuertos, cafeterías u hoteles, e, incluso, las implantaciones masivas con cobertura urbana. De hecho, según TDK Systems, el 25% de los usuarios de LAN inalambricas serán itinerantes hacia 2005.
Está claro que el concepto wireless cambia el panorama de las comunicaciones dentro de la empresa, permitiendo la movilidad y evitando la dependencia del cableado, pero no hay que olvidar que este tipo de redes plantea un “pequeño” problema que, por obvio que parezca, a veces pasa desapercibido: es posible intentar acceder a estas infraestructuras desde fuera del perímetro físico de la organización. Incluso empieza a ser frecuente encontrar a gente merodeando, portátil en la mochila, alrededor de algunas organizaciones que disponen de este tipo de redes. Recordemos que la variedad de herramientas de las que se dispone en Internet para llevar a cabo intrusiones de este tipo es tan amplia como mínimos su complejidad y requisitos de uso.
Es fundamental, por tanto, analizar y establecer los controles preventivos adecuados para tratar el problema en su justa medida. En definitiva, se ha de comenzar a tomar estas infraestructuras inalámbricas tan en serio como el resto de las redes de la empresa. Y, si bien se ha evolucionado durante este último año en este sentido, la situación optima queda lejos todavía. La concienciación es una tarea que debe ser respaldada por la propia dirección de las organizaciones, impulsando la implantación de medidas que contribuyan al uso razonablemente seguro de las redes Wi-Fi corporativas.
Distribución de la configuración WEP
en puntos de acceso (Situación en 2003)
-------------------------------------------------------------
Puntos de Acceso con WEP activo 63 %
Puntos de Acceso sin WEP 37 %
Controles de seguridad en Wi-Fi
---------------------------------------------
˜ Redefinición del perímetro de la organización
˜ Establecimiento de arquitecturas de red adecuadas a este tipo de entornos
˜ Medidas organizativas para la sincronización entre controles físicos y lógicos de seguridad
˜ Seguimiento y concienciación en la organización
˜ Mecanismos adicionales de securización de la comunicación y bastionado (como IPSEC y cortafuegos personales)
˜ Eliminación de configuraciones por defecto (broadcast, SSID, MACs, etc...)
˜ Monitorización de plataformas
˜ Establecimiento de auditoría periódica de las infraestructuras
˜ Securización de entornos mediante la implementación de medidas físicas
˜ Uso de procedimientos de fortificación sobre los equipos de la infraestructura (también en puestos cliente)
Recursos Web
---------------------
Otras referencias de trabajos del mismo tipo:
˜ http://www.oreillynet.com/pub/a/ wireless/2002/03/29/wardriver.html
˜ http://bear.cba.ufl.edu/teets/projects/ ISM6222S303/fiduccse/wardriving.html
˜ http://www.worldwidewardrive.org
Experiencias wIDS
˜ http://packetstormsecurity.nl/filedesc/wIDS-1.4.3.tar.html
José Pedro Arroyo Sánchez, CISA
Jefe de Proyectos – Dirección de Consultoría Grupo SIA
