Sistema de prevención de intrusiones inalámbrico

En informática , un sistema inalámbrico de prevención de intrusiones (WIPS) es un dispositivo de red que monitorea el espectro de radio para detectar la presencia de puntos de acceso no autorizados (detección de intrusiones) y puede tomar automáticamente contramedidas (prevención de intrusiones) .

Objetivo

El propósito principal de un WIPS es evitar el acceso no autorizado a la red a las redes de área local y otros activos de información por parte de dispositivos inalámbricos. Por lo general, estos sistemas se implementan como una superposición de una infraestructura de LAN inalámbrica existente, aunque pueden implementarse de forma independiente para hacer cumplir las políticas de no inalámbrica dentro de una organización. Alguna infraestructura inalámbrica avanzada tiene capacidades WIPS integradas.

Las grandes organizaciones con muchos empleados son particularmente vulnerables a las brechas de seguridad ^[1] causadas por puntos de acceso no autorizados . Si un empleado (entidad de confianza) en una ubicación trae un enrutador inalámbrico fácilmente disponible , toda la red puede estar expuesta a cualquier persona dentro del alcance de las señales.

En julio de 2009, el PCI Security Standards Council publicó pautas inalámbricas ^[2] para PCI DSS recomendando el uso de WIPS para automatizar el escaneo inalámbrico para grandes organizaciones.

Detección de intrusiones

Un sistema de detección de intrusos inalámbrico (WIDS) monitorea el espectro de radio para detectar la presencia de puntos de acceso no autorizados y no autorizados y el uso de herramientas de ataque inalámbricas. El sistema monitorea el espectro de radio utilizado por las LAN inalámbricas y alerta inmediatamente a un administrador de sistemas cada vez que se detecta un punto de acceso no autorizado. Convencionalmente, se logra comparando la dirección MAC de los dispositivos inalámbricos participantes.

Los dispositivos no autorizados pueden falsificar la dirección MAC de un dispositivo de red autorizado como propia. Una nueva investigación utiliza un enfoque de huellas dactilares para eliminar los dispositivos con direcciones MAC falsificadas. La idea es comparar las firmas únicas exhibidas por las señales emitidas por cada dispositivo inalámbrico con las firmas conocidas de dispositivos inalámbricos conocidos previamente autorizados. ^[3]

Prevención de intrusiones

Además de la detección de intrusos, un WIPS también incluye funciones que previenen contra la amenaza automáticamente . Para la prevención automática, se requiere que WIPS sea capaz de detectar con precisión y clasificar automáticamente una amenaza.

Los siguientes tipos de amenazas pueden prevenirse con un buen WIPS:

Puntos de acceso no autorizados: WIPS debe comprender la diferencia entre los AP no autorizados y los AP externos (vecinos)
AP mal configurado
Asociación errónea de clientes
Asociación no autorizada
Ataque de intermediario
Redes ad hoc
Suplantacion de MAC
Honeypot / ataque gemelo malvado
Ataque de denegación de servicio

Implementación

Las configuraciones de WIPS constan de tres componentes:

Sensores : estos dispositivos contienen antenas y radios que escanean el espectro inalámbrico en busca de paquetes y se instalan en todas las áreas que deben protegerse.
Servidor : el servidor WIPS analiza de forma centralizada los paquetes capturados por los sensores.
Consola : la consola proporciona la interfaz de usuario principal en el sistema para la administración y los informes.

Un sistema de detección de intrusos simple puede ser una sola computadora, conectada a un dispositivo de procesamiento de señal inalámbrico y antenas colocadas en toda la instalación. Para organizaciones grandes, un controlador de red múltiple proporciona control central de múltiples servidores WIPS, mientras que para clientes SOHO o SMB, toda la funcionalidad de WIPS está disponible en una sola caja.

En una implementación de WIPS, los usuarios primero definen las políticas inalámbricas operativas en WIPS. Los sensores WIPS luego analizan el tráfico en el aire y envían esta información al servidor WIPS. El servidor WIPS correlaciona la información, la valida con las políticas definidas y clasifica si es una amenaza. Luego, se notifica al administrador de WIPS de la amenaza o, si se ha establecido una política en consecuencia, WIPS toma medidas de protección automáticas.

WIPS se configura como una implementación de red o una implementación alojada.

Implementación de red

En una implementación de WIPS de red, el servidor, los sensores y la consola están todos ubicados dentro de una red privada y no son accesibles desde Internet.

Los sensores se comunican con el servidor a través de una red privada mediante un puerto privado. Dado que el servidor reside en la red privada, los usuarios pueden acceder a la consola solo desde dentro de la red privada.

Una implementación de red es adecuada para organizaciones donde todas las ubicaciones están dentro de la red privada.

Implementación alojada

En una implementación de WIPS alojada, los sensores se instalan dentro de una red privada. Sin embargo, el servidor está alojado en un centro de datos seguro y se puede acceder a él en Internet. Los usuarios pueden acceder a la consola WIPS desde cualquier lugar de Internet. Una implementación de WIPS alojada es tan segura como una implementación de red porque el flujo de datos está encriptado entre los sensores y el servidor, así como entre el servidor y la consola. Una implementación de WIPS alojada requiere muy poca configuración porque los sensores están programados para buscar automáticamente el servidor en Internet a través de una conexión TLS segura .

Para una organización grande con ubicaciones que no forman parte de una red privada, una implementación de WIPS alojada simplifica significativamente la implementación porque los sensores se conectan al servidor a través de Internet sin requerir ninguna configuración especial. Además, se puede acceder a la consola de forma segura desde cualquier lugar de Internet.

Las implementaciones de WIPS alojadas están disponibles en un modelo de servicio como software basado en suscripción y bajo demanda . ^{[4] Las} implementaciones alojadas pueden ser apropiadas para organizaciones que buscan cumplir con los requisitos mínimos de escaneo de PCI DSS.

Ver también

Referencias

^ "Montaje de las piezas de seguridad WLAN" . pcworld.com . Consultado el 30 de octubre de 2008 .
^ "Directrices inalámbricas PCI DSS" (PDF) . Consultado el 16 de julio de 2009 .
^ "La investigación universitaria tiene como objetivo una conexión Wi-Fi más segura" . Archivado desde el original el 26 de septiembre de 2007.
^ "Seguridad SaaS llega a la comunidad WLAN" . networkworld.com . Consultado el 7 de abril de 2008 .

[1] "Montaje de las piezas de seguridad WLAN" . pcworld.com . Consultado el 30 de octubre de 2008 .

[2] "Directrices inalámbricas PCI DSS" (PDF) . Consultado el 16 de julio de 2009 .

[3] "La investigación universitaria tiene como objetivo una conexión Wi-Fi más segura" . Archivado desde el original el 26 de septiembre de 2007.

[4] "Seguridad SaaS llega a la comunidad WLAN" . networkworld.com . Consultado el 7 de abril de 2008 .

[1]