Entregable Final - Javier Mendoza (5)

Vista previa del material en texto

Índice. 
1. Resumen ……………………………………………………………………………………………....2
2. Introducción…………………………………………………………………………………………..3
 2.1. Conceptos básicos .………………………………………………………………………….3
 2.2. Estándares para redes inalámbricas ……..……………………………………..…4
 2.3. Principales Ataques a redes inalámbricas ……………………………………….4
3. Contexto de la empresa ………………………………………………………………………..5
3.1. Identificación de escenarios de conectividad inalámbrica ……………….6
3.2. Identificación de riesgos de seguridad …………………………………………….6
4. Desarrollo ……………………………………………………………………………………………..9
4.1. Arquitectura de Seguridad propuesta ……………………………………………..9
4.2. Seguridad en capa de enlace …………………………………………………………..11
4.3. Seguridad en capa de Red y transporte …………………………………………..11
4.4. Seguridad en OS móviles …………………………………………………………………12
4.5. Uso de MDM …………………………………………………………………………………..12
5. Conclusiones …………………………………………………………………………………………13
6. Referencias…………………………………………………………………………………………….14
1. Resumen. 
En el presente documento es la culminación del curso de Seguridad Dispositivos Móviles y Telefonía perteneciente a la maestría en Seguridad de Tecnologías de la Información impartida por el docente Eduardo Buenaventura Hernández Pale, en el que se expondrá la propuesta de seguridad móvil correspondiente a una organización académica ficticia, antes de iniciar con el desarrollo de la propuesta se expondrá una breve introducción con los conceptos básicos que se manejan en el documento como redes inalámbricas, puntos de acceso, etc. Además de los estándares de comunicación inalámbrica en donde se introduce el estándar 802.11, así como su evolución y sus principales características de estos.
Posteriormente se aborda el contexto de esta organización, en donde se identifican los escenarios de conectividad inalámbrica y los principales riesgos de seguridad presentes en la organización, tanto en el interior de sus instalaciones como en el exterior. Después de conocer el contexto en el que se encuentra la organización se procede con el desarrollo de la propuesta, comenzando con la presentación de la arquitectura de seguridad, en donde se identifican los agentes que intervienen en el proceso, así como las herramientas necesarias para la correcta y segura implementación de una red.
Después se exponen las herramientas, técnicas y mecanismos para la seguridad de la información en las capas de enlace, red y transporte, en donde se identifican certificados y protocolos de encriptación idóneos para la implementación en la arquitectura propuesta, además de políticas que se busca implementar en la organización para reducir el impacto y probabilidad de que sucedan los escenarios de riesgo previamente identificados.
Para finalizar con el documento se comparten las conclusiones, enseñanzas y experiencias obtenidas de realización de este proyecto, así como también la conclusión del presente curso en donde se aplicaron todos los conocimientos adquiridos durante las sesiones presenciales con este caso de estudio. Y por ultimo se incluyen las referencias empleadas en este documento.
2. Introducción.
El presente documento tiene como objetivo aplicar los conocimientos adquiridos durante el curso en un caso de estudio real, en mi caso al no poseer experiencia laboral en el área se expone a una organización ficticia en la cual se identificará e implementará la propuesta formulada durante el proyecto para mejorar la seguridad en su red inalámbrica principalmente. 
Para esto primero debemos conocer los conceptos básicos que hacen posible el funcionamiento de las redes inalámbricas, así como sus principales componentes y los factores a tomar en cuenta en el diseño de una arquitectura de red.
2.1. Conceptos básicos.
Para iniciar primeramente debemos conocer que es Wifi puesto que básicamente es el tema principal del proyecto, además de las formas y mecanismos para proveer de seguridad mientras los usuarios se conectan a esta red, wifi es una tecnología de red inalámbrica en donde dispositivos como computadoras, smartphones, tabletas e incluso otros accesorios como cámaras de vigilancia o focos inteligentes pueden interactuar en Internet. Esta comunicación es posible gracias a un router, este es un dispositivo que recibe y envía datos, los routers al igual que otros dispositivos como switches y puntos de acceso permiten crear redes con las que desde un dispositivo final se pueda ingresar a Internet.
Un punto de acceso es un dispositivo que permite la conectividad inalámbrica y normalmente está conectado a una red Ethernet cableada que permite el intercambio de tráfico entre las redes cableadas e inalámbricas. Puede tener múltiples puntos de acceso para cubrir una gama más amplia de distancias usando un método llamado "roaming" para conectarse. Algunos de estos incluyen funciones adicionales de administración y seguridad, como firewall y filtrado de tráfico, herramientas de detección de intrusos, regulación de energía y administración de recursos de radiofrecuencia. Por lo tanto, este tipo de equipo es común en implementaciones de nivel empresarial. 
2.2. Estándares para redes inalámbricas. 
A lo largo de la historia conforme se han desarrollado nuevas técnicas que permitan el incremento en la velocidad de transmisión o el aumento en el numero de conexiones simultaneas se ha modificado el estándar perteneciente a las conexiones Wi-Fi, creado por la IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) que inicialmente se llamo 802.11, como se muestra en el siguiente listado:
· IEEE 802.11: Estándar que sirve de base en la comunicación de las redes inalámbricas que permitió transferir datos a 1 Mbps.
· IEEE 802.11a: Funcionaba en la banda de 5 GHz, alcanzando una velocidad máxima de 54 Mbps.
· IEEE 802.11b: Capaz de transferir hasta 11 Mbps en la banda de 2.4 GHz.
· IEEE 802.11g: Igualmente emplea la banda de 2.4 GHz, pero con una velocidad máxima de transmisión de hasta 54 Mbps.
· IEEE 802.11n: Funciona tanto en la banda de 2.4 GHz como en la de 5 GHz, alcanzando velocidades de hasta 600 Mbps.
· IEEE 802.11ac: Opera en la banda de 5 GHz, alcanzando velocidades de 1300 Mbps.
· IEEE 802.11ax: Finalmente el estándar más reciente de Wi-Fi que alcanza velocidades de hasta 10 Gbps.
2.3. Principales ataques a redes inalámbricas.
Para finalizar con el apartado de la introducción y dar paso al contexto de la empresa y posteriormente al desarrollo de la propuesta es necesario conocer cuales son los principales ataques a redes inalámbricas, puesto que para realizar un correcto análisis de la situación en la que se encuentra la empresa y poder determinar cuales medidas de seguridad son las más idóneas para mitigar las vulnerabilidades es conocer los principales riesgos a los que estamos expuestos.
A continuación, se muestra un listado de los principales ataques a redes inalámbricas:
· Redes trampa como el ataque Evil Twin 
· Spoofing
· Ataques a Cookies
· Ataques DoS o DDoS
· Inyección de SQL
· Escaneo de Puertos
· MiTM
· Sniffing
3. Contexto de la empresa.
Para la presentación de la propuesta se hará uso de una empresa ficticia debido a la falta de experiencia laboral necesaria para aplicar un caso de estudio de este tipo. Esta empresa es una institución educativa de nivel media superior que cuenta con 2500 estudiantes, 50 docentes y 100 trabajadores más en áreas administrativas y de apoyo. Sus instalaciones tienen un área de 15,000 m2, están conformadas por 4 edificios de 2 pisos cada uno, estacionamiento y un área común, estas cuentan en su totalidad con conexión inalámbrica a la red. La distribución de las instalaciones se muestra a continuación.
Imagen 1. Plano de Instalaciones.
3.1. Identificación de escenarios de conectividad inalámbrica.
Debido al tipo de organización que se esta tratando la mayor parte de las interacciones con la red inalámbrica son en el interior de las instalaciones desde equipos móviles como celulares, tabletas y computadoras portátiles. Además, es importante considerar que el volumen de conexiones es muy grande puesto que se asumeque todas las personas que están en el interior de las instalaciones, tanto alumnos como empleados cuentan con al menos un celular, pueden ocasionar que la red se sature y la conexión sea de baja velocidad para los usuarios.
En el caso del acceso a la red interna de la organización esta se realiza únicamente vía alámbrica desde los equipos de escritorio que se les proporciona a los empleados del área administrativa, con el objetivo de brindar un mayor nivel de seguridad y tener mejor control en el acceso a esta red. En el caso de la conectividad inalámbrica existen tres redes disponibles, la red de los docentes y administrativos para la conexión en dispositivos móviles, la red para los estudiantes con la que podrán ingresar a internet desde el interior de las instalaciones y la red de invitados que se encuentra en el edificio administrativo desde la cual se podrán conectar a internet todas aquellas personas que ingresen a las instalaciones de la organización en el objetivo de pedir informes sobre la oferta educativa y otros servicios.
Otro aspecto importante que se debe de tomar en cuenta con respecto a las conexiones inalámbricas es la implementación del home office, esto cobra gran importancia en la actualidad, puesto que aún nos encontramos en una situación sanitaria complicada como consecuencia de la pandemia, es por ello que la modalidad de trabajo y estudio a distancia es muy importante aplicar medidas y políticas de seguridad para la protección de la información.
3.2. Identificación de riesgos de seguridad.
En la siguiente tabla se presentan los escenarios de riesgo en la organización que se está analizando, estos escenarios se basan en las principales vulnerabilidades existentes en las redes Wifi, así como los ataques más comunes y se exponen debido al impacto y probabilidad de que estos sucedan en el contexto de la organización.
	Descripción
	Probabilidad
	Impacto
	Exposición
	Acción
	Vulnerabilidad de WPA2 (clave)
	80
	1
	8
	Cambiar el SSID y la contraseña predeterminada
	Ataques Evil Twin
	70
	9
	6.3
	Establecer política de no conexión automática
	Ataques Man In the Middle
	70
	9
	6.3
	Política de navegación segura (revisión de certificados y solo paginas https)
	Ataques DoS
	60
	1
	6
	Implementación de Firewall
	Uso de red corporativa a distancia
	90
	1
	9
	Adquisición de VPN
Tabla 1. Escenarios de Riesgo.
Como se muestra en la tabla uno de los escenarios de riesgo pertenece a la vulnerabilidad con las claves WPA2, esta es una de las más obvias y fáciles de mitigar puesto que esta vulnerabilidad es causada por la facilidad de conocer la clave de acceso si se cuenta con la dirección MAC, es por ello que existen una gran variedad de aplicaciones y paginas web que obtienen las claves de redes con protección WPA2, sin embargo una solución fácil y rápida a este problema es el cambio de la contraseña predeterminada, lo que elimina la posibilidad de que alguien sin autorización pueda ingresar a tu red de esa forma.
El ataque Evil Twin, es una vulnerabilidad a la cual están expuestos todos, puesto que este tipo de ataque no reside en alguna característica especifica de la red, sino en la facilidad con la que se puede engañar a un usuario para que este ingrese voluntariamente a una red trampa, el ataque consiste en la clonación de una determinada red, para posteriormente saturar, reducir la velocidad de la conexión o simplemente dejar sin servicio a la red original, ocasionando que el usuario conectado a la red al tratar de reconectarse a la red original en su lugar se conecte a la red falsa, es aquí en donde ha caído en la trampa del atacante puesto que puede solicitarle la contraseña de la red original engañándolo con el pretexto de que se requiere actualizar el dispositivo de red, entonces con esta puede acceder a la red original o también puede permitirle acceder a internet al usuario y este si saberlo estaría conectado a la red del atacante estando vulnerable a que puedan robarle información privada.
El ataque Man in The Middle es relativamente fácil su ejecución puesto que el atacante únicamente necesita posicionarse entre las dos partes que intentan comunicarse, interceptando los mensajes enviados y suplantando la identidad de alguna de las partes. El atacante se sitúa entre el objetivo y la fuente, pasando totalmente desapercibido para poder alcanzar con éxito su objetivo. Para poder protegernos de este ataque lo principal como desde el punto de viste de un usuario es no conectarnos a redes públicas, además de mantener nuestro equipo actualizado a la última versión de software disponible y usando plugins de navegador como HTTPS Everywhere o ForceTLS; los cuales establecen una conexión segura siempre que sea posible. 
Los ataques DoS o Denegación de Servicio consiste en la sobrecarga un equipo de cómputo con solicitudes envidas por el atacante con el objetivo de que el equipo atacado no esté disponible para los usuarios a los que va dirigido, interrumpiendo el funcionamiento normal del mismo. Estos ataques pueden ser por desbordamiento de búfer o por inundación de paquetes. Una de las formas en las que podemos evitar este riesgo o por lo menos identificarlo rápidamente y mediante un constante monitoreo y la implementación de un firewall que pueda identificar intrusos y actividad anormal en la red.
En el caso del uso de la red corporativa a distancia nos encontramos con un gran problema de seguridad si no se cuenta con una VPN para realizar la conexión, en caso de no contar con una, se expone a que la información pueda ser robada por lo que si en la organización se busca implantar un modelo de home office es indispensable la adquisición de una VPN.
4. Desarrollo.
En la parte correspondiente al desarrollo del proyecto se expondrá la arquitectura propuesta que será capaz de mejorar la conexión inalámbrica en la organización, además de brindar mayor seguridad tanto al interior de las instalaciones como a las conexiones externas pertenecientes a la modalidad de trabajo a distancia implementada en la organización.
 4.1. Arquitectura de Seguridad propuesta.
Imagen 2. Arquitectura de la red.
En el anterior diagrama se muestra la arquitectura propuesta con la que se busca evitar problemas de acceso no autorizados, suplantación de identidad y otros escenarios como los identificados en el apartado de riesgos. En esta arquitectura se plantea tres distintas redes, la red de administradores en donde están agrupados los trabajadores del área administrativa que se conectan de forma alámbrica desde sus equipos de escritorio, de forma inalámbrica en sus dispositivos móviles como celulares y tabletas mediante el uso de claves para su acceso, además de las conexiones remotas referentes al home office, todas estas conexiones protegidas por un VPN.
Después esta la red de invitados, destinadas a todas las personas que no pertenecen a la institución como empleados o clientes, esta red es únicamente inalámbrica y en esta no se requiere de clave para acceder, puesto que se asume que las personas que ingresan a las instalaciones a pedir informes o adquirir algún servicio permanecerán por un breve tiempo. La red de estudiantes igualmente es inalámbrica y para acceder a esta se red se podrá realizar mediante códigos QR expuestos en el interior de las instalaciones. Para poder considerar que una red es segura, debemos tener en cuenta que debe existir algún mecanismo de autenticación en doble vía, que permita al cliente verificar que se está conectando a la red correcta, y a la red constatar que el cliente está autorizado para acceder a ella.Final del formulario Además de cifrar los datos para evitar que individuos ajenos a la red puedan capturarlos.
Una característica importante que se debe tener en cuenta a la hora de colocar los AP´s es el roaming, puesto que se deben de instalas los puntos de acceso de tal forma que exista una superposición entre la cobertura de cada AP para que el usuario no pierda comunicación en ningún momento, claro mientras se encuentre en el área de cobertura.Otro factor importante en la implementación de puntos de acceso es la cantidad de usuarios a los que se les brindará servicio puesto que la red se comparte entre todos los usuarios, por lo que a mayor número de usuarios conectados menor será la capacidad disponible para cada uno. 
Otras características importantes referentes a los puntos de acceso son la potencia a la que trabaja, los estándares de seguridad que soportan caben mencionar que actualmente el estándar más reciente es el WPA3 que da mayor protección a diferencia del WPA2, además también es importante conocer si estos son para interiores o exteriores, que esto a su vez influye en el costo de cada equipo
 4.2. Seguridad en capa de enlace.
En lo que respecta a la seguridad de la capa de enlace se emplearan distintas medidas de seguridad en cada red, en el caso de la red de administradores se empleara la autenticación WPA3 debido a que es el estándar más reciente y presenta más beneficios que los otros como el cifrado de 192 bits. La distribución de la clave será mediante el protocolo 802.1x que para operar en esta modalidad se requiere de la existencia de un servidor RADIUS para el suministro de las claves.
En la red de estudiantes igualmente se implementa una autenticación WPA3, pero con la diferencia de que en esta red se realizara la distribución de claves mediante código QR para mayor facilidad y practicidad, pero sin disminuir la seguridad en esta red. En el caso de la red de invitados será abierta para facilitar su conexión. Para finalizar con este apartado en cada AP incorporara la herramienta WIPS con el objetivo de identificar AP´s falsos que puedan comprometer la seguridad de la red.
 
 4.3. Seguridad en capa de Red y transporte. 
Para la seguridad en la capa de red y transporte es imprescindible la implantación de una VPN en la red de administradores con el objetivo de proteger la información de agentes externos y posibilitar una implementación segura del trabajo a distancia y mantener la información cifrada para evitar que en caso de que un atacante capture estos datos pueda conocer la información. Con respecto al Firewall se establece su implementación con el objetivo de monitorear el tráfico, inspección activa y la prevención de intrusiones para incrementar la seguridad en la comunicación de la información y evitar que se ingrese a contenido que comprometa la seguridad en la organización.
 4.4. Seguridad en OS móviles.
En el apartado de la seguridad en OS móviles se establecen las políticas de seguridad en la organización, estas son las siguientes: 
La primera establece que todos los dispositivos móviles como smartphones y tabletas proporcionados por la organización a los empleados serán de uso exclusivo para asuntos laborales y no se permite la descarga de aplicaciones ajenas a las preinstaladas por el departamento de TI.
La segunda política expone que la única forma de ingresar a recursos de la organización es mediante los dispositivos proporcionados por la misma, por lo que no está permitido el acceso mediante dispositivos personales.
Y la tercera política indica que, en caso de pérdida de algún dispositivo móvil empresarial, el usuario está obligado a notificarlo inmediatamente al área correspondiente para que se proceda al borrado de la información. 
 4.5. Uso de MDM.
En lo referente a el uso de un MDM y tras analizar el contexto de la empresa y el tipo de arquitectura planteada, se determina que es una herramienta de gran utilidad para su implementación en la red de administrativos, puesto que nos permite tener un mejor control de los dispositivos conectados a la red, al poder implementar actualizaciones de forma simultánea sin tener que enviar a personal del área de soporte técnico para la modificación de cada equipo tanto fijo como móvil, esto también nos permite implementar de forma efectiva la modalidad de home office en la organización de forma segura. Para este caso se identifico que una gran opción de MDM es el VMware Workspace ONE porque ofrece muchas ventajas como el antes mencionado teletrabajo, además de la fiabilidad de que da una empresa como VMware.
5. Conclusiones.
Tras la finalización de este proyecto, concluyo que al realizar cada paso que compone el presente documento he podido comprender de mejor forma los conocimientos adquiridos durante en curso, ya que al investigar y diseñar la arquitectura de red propuesta a partir de las necesidades planteadas en el caso de estudio pude identificar con mayor facilidad la importancia de la seguridad en las redes tanto alámbricas como inalámbricas puesto que estas son un punto de entrada a los ciberdelincuentes en donde puede obtener nuestra información a partir de la ejecución de algún ataque.
Un ejemplo de esto es la actividad que realizamos en la segunda sesión, al analizar esta actividad propuesta por el profesor sobre el ataque Evil Twin me hizo comprender los “fácil” que es para un ciberdelincuente engañar a los usuarios descuidados clonando una red y empujándolo a que se una a la red falsa para robar información, esto es importante porque en la propuesta presentada se busca brindar una mayor seguridad a los usuarios de la red expuesta no únicamente con la implementación de hardware o software que proteja la información transmitida por la red, sino también mediante la implementación de políticas de concientización sobre el peligro que representan los escenarios de riegos identificados inicialmente.
Con esta propuesta se espera mejorar la seguridad de la red, así como también tener un mejor control sobre esta y permitir que se pueda ejecutar de forma segura un modelo de trabajo a distancia como se planifica en la arquitectura de la red propuesta.
Para finalizar con el documento concluyo que este tipo de trabajos me son de gran ayuda puesto que no solo integran la gran mayoría de los conocimientos adquiridos durante el curso, sino que también me permiten identificar formas reales de aplicar estos conocimientos en el área laboral, debido a que actualmente no cuento con experiencia laboral enfocada en este área me es de mucha utilidad plantear estos escenarios y presentar una propuesta para su solución puesto que en un futuro cercano estas experiencias las puedo aplicar para resolver problemas reales.
6. Referencias.
Kaspersky. (2021, 13 enero). Protección de redes inalámbricas. latam.kaspersky.com. https://latam.kaspersky.com/resource-center/preemptive-safety/protecting-wireless-networks
Cisco. (2021, 28 septiembre). ¿Qué es un firewall? https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html
Cisco. (2021, octubre 4). ¿Qué es la tecnología wifi? https://www.cisco.com/c/es_mx/products/wireless/what-is-wifi.html
Terol, M. (2022, 28 junio). Conexiones inalámbricas y todo lo que debes saber sobre tu WiFi. Movistar blog. https://www.movistar.es/blog/amplificador-smart-wifi/conexiones-inalambricas-todo-lo-que-debes-saber/
Ros, I. (2020, 30 mayo). Estándares Wi-Fi: desgranando sus nombres y nomenclaturas. MuyComputer. https://www.muycomputer.com/2020/05/31/estandares-wi-fi-nombres/
Kaspersky. (2021, enero 13). Cómo evitar los riesgos de seguridad asociados a las redes Wi-Fi públicas. latam.kaspersky.com. https://latam.kaspersky.com/resource-center/preemptive-safety/public-wifi-risks
García, I. J. B. (2021, 22 enero). ¿Qué es la arquitectura de red y cuáles son sus funciones? Servnet. https://www.servnet.mx/blog/la-arquitectura-de-red-y-sus-funciones-para-un-buen-desempe%C3%B1o
Carroll, Brandon (2009). CCNA wireless official exam certification guide. Cisco Press, Indianapolis, IN. Disponible en https://drive.google.com/file/d/1cY5GvN8JhR8nLrI7VaHLGkTkB9BAG3/view?usp=sharing
Hernández, E. B. (2022, 16 julio). Comunicaciones Inalámbricas [Diapositivas]. Blackboard. https://uniteconline.blackboard.com/bbcswebdav/pid-11112493-dt-content-rid-245497371_1/xid-245497371_1
Hernández, E. B. (2022, 23 julio). Software Malicioso [Diapositivas]. Blackboard. https://uniteconline.blackboard.com/bbcswebdav/pid-11138046-dt-content-rid-246686374_1/xid-246686374_1Kaspersky. (2022, 1 julio). ¿Qué es una VPN y cómo funciona? latam.kaspersky.com. https://latam.kaspersky.com/resource-center/definitions/what-is-a-vpn
2