Sistema de prevención de intrusión inalámbrica

En informática, un sistema de prevención de intrusión inalámbrica (WIPS por sus siglas en inglés) es un hardware de red que supervisa el espectro radioeléctrico para detectar la presencia de puntos de acceso no autorizados (detección de intrusión) y para tomar contramedidas (prevención de intrusos) automáticamente.

Propósito[editar]

El propósito principal de un WIPS es evitar el acceso no autorizado a una red de área local y otros activos de información mediante dispositivos inalámbricos. Estos sistemas generalmente se implementan como una superposición a una infraestructura LAN inalámbrica existente, aunque pueden implementarse de manera independiente para aplicar políticas no inalámbricas dentro de una organización. Algunas infraestructuras inalámbricas avanzadas tienen capacidades WIPS integradas.

Las grandes organizaciones con muchas empleados son particularmente vulnerables a las brechas de seguridad causadas por puntos de acceso deshonestos.^[1] Si un empleado (entidad confiable) en una ubicación trae un router inalámbrico fácilmente disponible, toda la red puede estar expuesta a cualquier persona dentro del alcance de las señales.

En julio de 2009, el PCI Consejo de Estándares de Seguridad publicó directrices inalámbricas para PCI DSS recomendando el uso de WIPS para automatizar escaneo inalámbrico para grandes organizaciones.^[2]

Detección de intrusos[editar]

Un sistema de detección de intrusos inalámbricos (WIDS) supervisa el espectro radioeléctrico para detectar la presencia de puntos de acceso deshonestos no autorizados y el uso de herramientas de ataque inalámbrico. El sistema monitorea el espectro de radio utilizado por las LAN inalámbricas e inmediatamente alerta a un administrador de sistemas cada vez que se detecta un punto de acceso deshonesto. Convencionalmente, se consigue comparando la dirección MAC de los dispositivos inalámbricos participantes.

Los dispositivos deshonestos pueden falsificar la dirección MAC de un dispositivo de red autorizado como propio. Una nueva investigación utiliza un enfoque de huellas digitales para eliminar los dispositivos con direcciones MAC falsificadas. La idea es comparar las firmas únicas exhibidas por las señales emitidas por cada dispositivo inalámbrico contra las firmas conocidas de dispositivos inalámbricos conocidos previamente autorizados.^[3]

Prevención de intrusos[editar]

Además de la detección de intrusos, un WIPS también incluye características que previenen contra la amenaza de forma automática. Para la prevención automática, se requiere que el WIPS sea capaz de detectar con precisión y clasificar automáticamente una amenaza.

Los siguientes tipos de amenazas pueden evitarse mediante un buen WIPS:

Puntos de acceso deshonestos: WIPS debería entender la diferencia entre los AP deshonestos y los AP externos (vecinos)
AP mal configurado
Mala asociación del cliente
Asociación no autorizada
Ataque Hombre en el medio
Redes ad hoc
Suplantación de MAC (spoofing)
Honeypot / Ataque de gemelo del mal
Ataque de denegación de servicio

Implementación[editar]

Las configuraciones de WIPS constan de tres componentes:

Sensores: estos dispositivos contienen antenas y radios que escanean el espectro inalámbrico en busca de paquetes y se instalan en todas las áreas a proteger.
Servidor: el servidor WIPS analiza de forma centralizada los paquetes capturados por los sensores
Consola: la consola proporciona la interfaz de usuario principal en el sistema para la administración y la generación de informes

Un sistema simple de detección de intrusos puede ser una sola computadora, conectada a un dispositivo de procesamiento de señal inalámbrico, y antenas ubicadas en toda la instalación. Para grandes organizaciones, un controlador de red múltiple proporciona control central de múltiples servidores WIPS, mientras que para los clientes SOHO o SMB, toda la funcionalidad de WIPS está disponible en una sola caja.

En una implementación WIPS, los usuarios primero definen las políticas inalámbricas operativas en WIPS. Los sensores WIPS luego analizan el tráfico en el aire y envían esta información al servidor WIPS. El servidor WIPS correlaciona la información, la valida contra las políticas definidas y clasifica si es una amenaza. El administrador del WIPS recibe la notificación de la amenaza o, si se ha establecido una política en consecuencia, el WIPS toma medidas de protección automáticas.

WIPS está configurado como una implementación de red o una implementación alojada..

Implementación de red[editar]

En una red, la implementación, el servidor, los sensores y la consola de WIPS se ubican dentro de una red privada y no se puede acceder a ellos desde Internet.

Los sensores se comunican con el servidor a través de una red privada utilizando un puerto privado. Dado que el servidor reside en la red privada, los usuarios pueden acceder a la consola solo desde la red privada.

Una implementación de red es adecuada para organizaciones donde todas las ubicaciones se encuentran dentro de la red privada.

Implementación hospedada[editar]

En una implementación alojada de WIPS, los sensores se instalan dentro de una red privada. Sin embargo, el servidor está alojado en un centro de datos seguro y es accesible en Internet. Los usuarios pueden acceder a la consola WIPS desde cualquier lugar en Internet. Una implementación alojada de WIPS es tan segura como una implementación de red porque el flujo de datos está encriptado entre los sensores y el servidor, así como entre el servidor y la consola. Una implementación alojada de WIPS requiere muy poca configuración porque los sensores están programados para buscar automáticamente el servidor en Internet a través de una conexión TLS segura.

Para una organización grande con ubicaciones que no forman parte de una red privada, una implementación alojada de WIPS simplifica la implementación de manera significativa porque los sensores se conectan al Servidor a través de Internet sin requerir ninguna configuración especial. Además, se puede acceder a la consola de forma segura desde cualquier lugar en Internet.

Las implementaciones de WIPS alojadas están disponibles en un software bajo demanda y basado en suscripción como modelo de servicio. Las implementaciones hospedadas pueden ser apropiadas para organizaciones que buscan cumplir con los requisitos mínimos de escaneo de PCI DSS.

Véase también[editar]

Wardriving
Seguridad LAN inalámbrica
Typhoid adware

Referencias[editar]

↑ «Fitting the WLAN Security pieces together». pcworld.com. Consultado el 30 de octubre de 2008.
↑ «PCI DSS Wireless Guidelines». Consultado el 16 de julio de 2009.
↑ «University research aims at more secure Wi-Fi». Archivado desde el original el 26 de septiembre de 2007.

Datos: Q8026893

[1] «Fitting the WLAN Security pieces together». pcworld.com. Consultado el 30 de octubre de 2008.

[2] «PCI DSS Wireless Guidelines». Consultado el 16 de julio de 2009.

[3] «University research aims at more secure Wi-Fi». Archivado desde el original el 26 de septiembre de 2007.

[1]

[2]

[3]