Proteger los datos durante su transmisión mediante el cifrado
Desalentar a los usuarios no autorizados mediante autenticación
Impedir conexiones no oficiales mediante la eliminación de puntos de acceso dudosos
WPA y WPA2: estas certificaciones de seguridad basadas en normas de la Wi-Fi Alliance para LAN de grandes empresas, empresas en crecimiento y para la pequeña oficina u oficinas instaladas en el hogar proporcionan autenticación mutua para verificar a usuarios individuales y cifrado avanzado. WPA proporciona cifrado de clase empresarial y WPA2, la siguiente generación de seguridad Wi-Fi, admite el cifrado de clase gubernamental. "Recomendamos WPA o WPA2 para las implementaciones de LAN inalámbrica en grandes empresas y empresas en crecimiento", comenta Jeremy Stieglitz, gerente de productos de la unidad comercial de Conexión de Redes Inalámbricas de Cisco. "WPA y WPA2 ofrecen control de acceso
seguro, cifrado de datos robusto y protegen la red de los ataques pasivos y activos".
En algunos casos, puede haber parámetros de seguridad diferentes para usuarios o grupos de usuarios diferentes de la red. Estos parámetros de seguridad pueden establecerse utilizando una LAN virtual (VLAN) en el punto de acceso. Por ejemplo, puede configurar políticas de seguridades diferentes para grupos de usuarios diferenciados dentro de la compañía, como por ejemplo, los de finanzas, jurídicas, manufactura o recursos humanos. También puede configurar políticas de seguridad independientes para clientes, partners o visitantes que acceden a la LAN inalámbrica. Esto le permite utilizar un solo punto de acceso de forma económica para ofrecer soporte a varios grupos de usuarios con parámetros y requisitos de seguridad diferentes, mientras la red se mantiene la segura y protegida.
La seguridad de LAN inalámbrica, aun cuando está integrada en la administración general de la red, sólo es efectiva cuando está activada y se utiliza de forma uniforme en toda la LAN inalámbrica. Por este motivo, las políticas del usuario son también una parte importante de las buenas prácticas de seguridad. El desafío es elaborar una política de usuarios de LAN inalámbrica que sea lo suficientemente sencilla como para que la gente la cumpla, pero además, lo suficientemente segura como para proteger la red. Actualmente, ese equilibrio es más fácil de lograr porque WPA y WPA2 se incorporan a los puntos de acceso Wi-Fi y los dispositivos de cliente certificados.
Pasos prácticos a realizar
Activaremos las funciones de seguridad inherentes a los puntos de acceso y las tarjetas de interfaz. Esto se realiza normalmente ejecutando un programa de software suministrado con el equipo inalámbrico.
El mismo programa que activa las funciones de seguridad inalámbrica probablemente mostrará también la versión del firmware que utilizan los puntos de acceso. (El firmware es el software utilizado por dispositivos
como los puntos de acceso o los routers.) Consulte el sitio web del fabricante del dispositivo para conocer la versión más actualizada del firmware y actualizar el punto de acceso si no lo está. El firmware actualizado hará que la red inalámbrica sea más segura y confiable.
Sistema de Detección de Intrusos (IDS)
Los sistemas informáticos se apoyan en los Sistemas de Detección de Intrusiones (IDS -de sus siglas en inglés) para prepararse y ocuparse del mal manejo y del uso indebido de la información de una organización. Logran esta meta, recopilando la información de una gran variedad de fuentes del sistema y de la red y analizando la información que contribuye a los síntomas de los problemas de seguridad de la misma, y permiten que el usuario especifique las respuestas en tiempo real a las violaciones.
Los productos de detección de intrusos son aplicaciones que monitorean activamente los sistemas operativos y el tráfico de red, con el objeto de detectar ataques y violaciones a la seguridad.
Es decir, los IDS son herramientas de seguridad en red que recopilan información de una variedad de fuentes del sistema, analizan la información de los parámetros que reflejan el uso erróneo o la actividad inusual, responden automáticamente a la actividad detectada, y finalmente informan el resultado del proceso de la detección.
Se recomienda la compra del servicio de Cisco para la detección de intrusos, este servicio incluye hardware y software así como una actualización permanente de firmas digitales para el caso de virus. Los dispositivos recomendados son:
Cisco asa 5512-x IPS (Intrusion Prevention System)
Un componente clave del Marco de Cisco SECUREX, el Cisco ASA 5500 Series integra firewall más probada del mundo con un conjunto robusto de
alta escala de integración, servicios de seguridad líderes en el mercado de redes de todos los tamaños - pequeñas empresas y medianas empresas con una o unas pocas localidades, las grandes empresas, proveedores de servicios y de misión crítica centros de datos.
El Cisco ASA 5500 Series ofrece un rendimiento multi-escala y la funcionalidad y flexibilidad de servicios sin precedentes, escalabilidad modular, extensibilidad característica, y menores costos de implementación y operación. Usted necesita un servidor de seguridad que cumple con las pequeñas oficinas rendimiento y coste necesario sin embargo, ofrece la empresa fuerza de seguridad. El Cisco ASA 5500 Series fue diseñado con esto en mente. Disponible en una amplia gama de tamaños y niveles de rendimiento para adaptarse a su red y el presupuesto, todos los modelos ofrecen el mismo nivel de seguridad probada que protege las redes de algunas de las compañías más grandes y más consciente de la seguridad en el mundo.
Figura # 47: Fuente: www.cisco.com
El servicio incluse IPS manager express que permite visualizar en tiempo real la intrusión de forma simultánea de hasta 10 dispositivos de red, incluye funcionamiento de la red
Figura # 48: Fuente: www.cisco.com
Las características técnicas del dispositivo son:
Figura # 49: Fuente: www.cisco.com
Complementariamente a este dispositivo se puede ampliar el control a software malicioso mediante la adquisición del servicio siguiente:
Cisco IOS Intrusión Prevention System (IPS)
Software basado en la prevención de intrusiones en línea para Cisco Integrated Services Routers, Intrusión Branch capacidades de prevención integrado en la plataforma Cisco IOS Reducción de los costes operativos y de despliegue, sin necesidad de hardware adicional
Protección de la red de trabajo en 5 vias
Figura # 50: Fuente: www.cisco.com
El servicio IOS cuesta 3500 dólares por año