Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Redes lan2 : instrucción 1/2006 de la Junta de Andalucía
1. Despliegue de Redes LAN
Gestión de las TIC:
Infraestructuras y desarrollos
10 horas
JUAN CARLOS RUBIO PINEDA
2. Contenidos:
1)− Orden de Cableado estructurado ORDEN de 25 de septiembre de
2007, reguladora de los requisitos necesarios para el diseño e
implementación de infraestructuras cableadas de red local en la
Administración Pública de la Junta de Andalucía.
2)− Redes Wi-Fi: concepto, ventajas e inconvenientes.
3)− Instrucción 1/2006, de 15 de mayo, de la Dirección General de
Innovación y Administraciones Públicas, relativa a la instalación de Redes
de Área Local Inalámbricas y Enlaces Inalámbricos en el Ámbito de la
Junta de Andalucía.
4)− Arquitectura y gestión de LAN: Resolución de problemas. Etiquetado
de Hw: emisión de etiquetas, acto de recepción, inventario, acceso al
mantenimiento.
4. Redes WIFI
• Concepto:
– Las redes WIFI o WLAN o Wireless LAN
utilizan ondas electromagnéticas para enlazar
los equipos en lugar de hacerlo mediante
cables.
– Redes WLAN más conocidas:
• Ir DA
• Bluetooth
• Wi-Fi
• Microondas
5. Redes WIFI
• Objetivos de estas redes (dentro del
escenario de la instrucción 1/2006)
– Proporcionar facilidades no disponibles en los
sistemas cableados.
– Formar una red global donde coexista el
cableado y el WIFI.
– Ofrecer movilidad sin perder conectividad
– Ser complemento Y NO SUSTITUTO de
redes fijas
6. Redes WIFI
• Desventajas
– Ancho de banda más limitado, especialmente
cuando aumenta el número de usuarios
• Debido entre otras cosas, al mecanismo de control
de acceso al medio.
– WiFi es half-duplex y todas las estaciones transmiten y
reciben usando el mismo canal radio
– Falta de seguridad inherente a un medio de
transmisión sin posibilidad de control físico en
los accesos (ondas electromagnéticas)
7. Redes WIFI
• Control de acceso al medio (MAC):
– IEEE 802.11 usa un protocolo MAC llamado
Carrier Sense Multiple Access with Collision
Avoidance (CSMA/CA).
– Acrónimo similar al CSMA/CD usado en
Ethernet, aunque funciona de otra forma
– WiFi es half-duplex
• Una estación no puede escuchar el canal mentras
está transmitiendo y es imposible detectar una
colisión.
8. Redes WIFI
• Un nodo que quiere transmitir escucha el
canal durante un periodo de tiempo fijado
para determinar si otro nodo está
transmitiendo
• Si el canal no está ocupado (canal “idle”)
el nodo inicia el proceso de transmisión.
• Si el canal está ocupado (“busy”) el nodo
retrasa su transmisión durante un periodo
de tiempo aleatorio.
10. Instrucción 1/2006
• La implantación de WLAN en el interior de
edificios deberá cumplir:
– Se deberá Presentar un proyecto técnico de
implantación de WLAN firmado por el
responsable de Informática del organismo a
la D.G. de Servicios Tecnológicos y Sociedad
de la Información*, que debe aprobarlo previa
adquisición de componentes
– No se podrán instalar WLAN en edificios
susceptibles de disponer de instrumentación
sensible a ondas electromagnéticas
11. Instrucción 1/2006
• La implantación de WLAN entre edificios
deberá cumplir la regla anterior, aunque el
proyecto técnico contendrá:
– Justificación de la solución técnica adoptada.
– Plano de planta, donde figuren tanto el
enlace, como la ubicación de los extremos del
mismo.
– Descripción de la ubicación física de los AP
que actúan como extremos del enlace.
12. Instrucción 1/2006
• La implantación de WLAN entre edificios
contendrá (II):
– Descripción de las medidas de seguridad
adoptadas sobre el enlace inalámbrico.
– Interconexión con Redes de Área Local (LAN)
o accesos a la RCJA.
– Cumplimiento de la limitaciones de potencia
de los equipos establecidas por el Cuadro
Nacional de Atribución de Frecuencias
(CNAF) .
13. Instrucción 1/2006
• La implantación de WLAN entre edificios
contendrá (III):
– Justificación del cumplimiento del
RD1066/2001 de 28/09/2001(medidas de
protección sanitaria)
– Justificación del cumplimiento de las normas
sobre “Políticas de Seguridad para la
instalación de WLAN” que acompañan a esta
Instrucción (Anexo I).
14. Políticas de seguridad para la instalación de
WLAN
OBL: Obligatorias
REC: Recomoendables
16. Políticas de seguridad
• Relativas a la seguridad física de la
instalación
– Prevenir acceso a los AP (OBL)
– Restricción alcance (distancias) AP (OBL)
– Control de acceso a las zonas de influencia
de la red -edificio-(REC)
– Inhabilitación de AP en horas no laborables
(REC)
17. Políticas de seguridad
• Prevenir el acceso a los AP:
– El punto de acceso es el lugar por el que
pasan todas las comunicaciones.
– Para evitar la manipulación de los mismos es
necesario que sean ubicados en lugares
apropiados, con acceso restringido y
controlado
18. Políticas de seguridad
• Prevenir el acceso a los AP: medidas
paliativas:
– Los equipos se instalarán en ubicaciones
donde el acceso esté restringido, no siendo
posible el acceso a ellos sin las
correspondientes autorizaciones.
– Además, en lo posible, se encontrarán
ocultos en el falso techo.
19. Políticas de seguridad
• Restricción de alcance:
– Obliga al atacante a estar físicamente en un
lugar controlado por la organización.
– Para ello se debe comprobar que el límite
exterior de la red inalámbrica (cobertura) no
quede fuera del perímetro del edificio o de los
edificios de la organización. Para esta
comprobación será necesario un estudio de
cobertura por cada AP.
21. Políticas de seguridad
• En lo posible, los equipos instalados se
gestionarán por un controlador central que
sea el encargado de ajustar
automáticamente los niveles de
potencia.
• Si la gama de los AP lo permite, dichos
niveles de potencia se podrán
gestionar también manualmente, y
adecuarlos en determinadas zonas para
que no radien fuera del recinto.
22. Políticas de seguridad
• Control de acceso a las zonas de
influencia de la red -edificio-
– A nivel técnico se puede limitar el alcance
para tratar de no emitir fuera del perímetro del
edificio.
– Sin embargo, si un atacante puede entrar al
edificio libremente con un dispositivo portátil
el peligro de intrusión permanece. Por lo
tanto, se deberá controlar el acceso a las
zonas de influencia dentro del propio edificio.
23. Políticas de seguridad
• Control de acceso a las zonas de
influencia de la red -edificio-: medidas
paliativas
– Si el entorno lo permite, y el nivel de entrada
de visitantes no es elevado, se puede
registrar cada visita con la fecha y hora de la
misma, lo que puede ayudar a delimitar
responsabilidades en caso de incidencias, y
para alejar a posibles atacantes.
24. Políticas de seguridad
• Inhabilitación de AP en horas no
laborables:
– Normalmente, los ataques suelen realizarse de
noche, o en horas que no generen alerta a los
administradores.
– Por ello, es recomendable el apagado de los puntos
de acceso a horas a las que no son utilizados,
especialmente fines de semana, días festivos, etc.
– Si el Hardware no permite esta posibilidad se podrán
utilizar enchufes con programadores de tiempo. En su
defecto, deberá inhabilitarse el sistema inalámbrico
de cualquier otra forma que, impida el acceso vía
radio al sistema
25. Políticas de seguridad
• Inhabilitación de AP en horas no
laborables: observaciones
– Existe la posibilidad de temporización en la
emisión de la red inalámbrica gracias al
software de gestión inalámbrica de algunos
fabricantes.
26. Políticas de seguridad
• Relativas a la seguridad lógica de la
instalación:
– Nombre del SSID aleatorio o sin relación
directa con a organización (OBL)
– Deshabilitar la función de difusión del SSID
-SSID Broadcast- (REC)
– Filtrar direcciones MAC en los AP (REC)
– Redirección del log de seguridad del AP a un
syslog externo -REC-
27. Políticas de seguridad
• Deshabilitar la función de difusión del
SSID -SSID Broadcast:
– Aunque se use un SSID difícil de adivinar, el
punto de acceso (AP) emite este nombre por
“Broadcast” a todos los que “escuchen” la
red. Muchos dispositivos (prácticamente
todos) tienen esta opción activada por
defecto. Deshabilitarla es un buen punto de
partida
– Adicionalmente a esta medida, si el tamaño
de la instalación lo permite, se debería
cambiar el SSID cada cierto tiempo
28. Políticas de seguridad
• Redirección del log de seguridad del AP a
un syslog externo:
– Existen AP que reportan a una controlador
central inalámbrico.
– Este a su vez puede reportar a un sistema de
gestión centralizado, ya que existen AP que
incorporan software de gestión (pEj CISCO
WCS) que actúa como recolector de logs.
29. Políticas de seguridad
• Filtrar direcciones MAC en los AP:
– Se trata de una recomendación de seguridad
que habitualmente implica un excesivo control
por parte del personal del centro.
– Es una barrera fácilmente evitable usando
MAC Spoofing, por lo que en la práctica, no
se suele usar, aunque se exija que los
equipos permitan el control centralizado de
las funcionalidades de filtrado MAC.
30. Políticas de seguridad
• Relativas a la seguridad lógica de la
instalación (II)
– No activar DHCP en los AP -OBL-
– Uso de algoritmos de cifrado WPA2, y
excepcionalmente WPA, NUNCA WEP (OBL)
– Uso de sistemas de autenticación
independientes de los puntos de acceso
(OBL)
• EAP/TLS
• EAP/TTLS
• EAP/PEAP
31. Políticas de seguridad
• No activar DHCP en los AP:
– Esta medida evita que un atacante obtenga
una dirección IP de forma sencilla, y le
obligará a tener que capturar y analizar el
tráfico de la red en busca de los parámetros
de red utilizados (rango de direcciones IP
utilizado, DNS, Gateway, etc.).
32. Políticas de seguridad
• Uso de algoritmos de cifrado WPA2, y
excepcionalmente WPA, NUNCA WEP:
– Se deberá usar el algoritmo de cifrado basado en
AES (Advanced Encryption Estándar)
contemplado en el estándar 802.11i (WPA2).
– De no ser posible hacer uso del estándar
802.11i, excepcionalmente se podrá hacer uso
del algoritmo WPA (Wireless Protected Access)
– En ningún caso se podrán cifrar las
comunicaciones únicamente con el protocolo
WEP.
– En ningún caso se podrá instalar una red
inalámbrica sin cifrar las comunicaciones.
33. Políticas de seguridad
• Uso de sistemas de autenticación
independientes de los puntos de acceso:
– Si se utiliza EAP/TLS es necesario establecer
una Política de Prácticas de Certificación para
los certificados emitidos para los clientes.
– Si se utiliza EAP/TTLS o EAP/PEAP es
necesario utilizar credenciales de usuario
(usuario y contraseña), con las características
que se indican en el apartado “Política de
contraseñas”.
34. Políticas de seguridad
• Relativas a la seguridad lógica de la
instalación (III)
– Cambios de configuración en los AP (OBL)
– Realización de backup de la configuración de
los AP -OBL-
– Proteger la configuración de los AP (OBL)
– Protocolo SNMP en los AP: si no se usa,
desactivar; si lo hace, communities fuertes
-OBL-
35. Políticas de seguridad
• Cambios de configuración en los AP:
– En caso de tener que realizar un cambio de
configuración en un AP (distribución de nuevas
claves, actualización de firmware, añadir una MAC en
la ACL, etc.) se requerirá que el dispositivo disponga
de un control de acceso de usuarios sea cual sea su
método de administración.
• En caso de que sea remoto, deberá hacerse
utilizando un canal seguro SSL.
– Deberán restringirse las direcciones IP para
acceder como administrador.
– La administración no se realizará nunca a través del
medio inalámbrico.
36. Políticas de seguridad
• Cambios de configuración en los AP:
Observaciones:
– Los equipos actuales de gama profesional,
implementan un control de acceso para la
administración del mismo basado en usuarios
y contraseñas, e incluso la posibilidad de
implementar servidores externos (tanto
TACACS+ como RADIUS).
37. Políticas de seguridad
• Proteger la configuración de los AP
(backup)
– En caso de producirse un reseteo de la
configuración del punto de acceso, es muy
útil disponer de una salvaguarda de toda la
configuración.
– La mayor parte de dispositivos almacenan
toda la configuración en un solo archivo el
cuál es posible descargar (vía puerto serie,
FTP o WEB).
38. Políticas de seguridad
• Proteger la configuración de los AP
(backup): Observaciones
– El software de gestión que se proporciona
con ciertos AP de gama profesional
encargarse de hacer una copia temporizada
de la configuración del controlador central.
– En estos sistemas, se tiene un sistema
centralizado, por lo que únicamente sería
necesario guardar la configuración del
elemento central, el resto de elementos del
sistema se configuran a partir de él.
39. Políticas de seguridad
• Protocolo SNMP en los AP:
– En caso de que no sea posible su
desactivación, es muy recomendable cambiar
los nombres de las “comunities” por defecto
“Public” y “Private”, a otros más complejos.
– Si es posible, y SNMP sólo se utiliza para
monitorización, se deberá activar sólo el
acceso en modo lectura.
40. Políticas de seguridad
• Relativas a la seguridad lógica de la
instalación (IV)
– Separación de la WLAN y la LAN física -REC-
– Permitir sólo redes de tipo “estructural”, y no
ad-hoc (OBL)
– Actualizaciones de firmware de los AP (OBL)
– Características avanzadas de los AP
-anteriores- (OBL)
41. Políticas de seguridad
• Separación de la WLAN y la LAN física:
– Es recomendable la instalación de un
cortafuegos (firewall) entre los AP’s y la red
local, para separar las redes.
– Asimismo, es recomendable el uso de
diferentes VLAN, que distingan entre usuario
inalámbricos y cableados, o bien para poder
hacer uso de diferentes perfiles de usuarios
inalámbricos.
42. Políticas de seguridad
• Permitir sólo redes de tipo “estructural”, y
no ad-hoc
– En una red “ad hoc” las comunicaciones se
realizan directamente entre los emisores y
receptores, sin pasar por un punto central
(punto de acceso). Estas, son
extremadamente difíciles de securizar.
– Sólo se deben permitir redes de tipo
“estructural”, en las que todas las
comunicaciones pasan a través del punto de
acceso y se pueden securizar de forma
centralizada.
43. Políticas de seguridad
• Actualizaciones de firmware de los AP:
– Es extremadamente recomendable mantener
los AP’s en sus últimas versiones de
firmware, mas aún si las nuevas versiones
traen mejoras relativas a la seguridad del
protocolo, encriptación de los datos,
autenticación de los usuarios o cualquier otra
característica relacionada con la seguridad.
44. Políticas de seguridad
• Actualizaciones de firmware de los AP:
observaciones:
– En ciertos equipos de gama profesional, la
actualización controlada de firmwares
aprobados, se realiza de forma sencilla a
través de un sistema centralizado.
46. Políticas de seguridad
• Otras medidas de seguridad
– Securización de los puestos de trabajo de los
usuarios de la red Wireless (REC)
– Instalación de un IDS Wireless (REC)
– Uso de túneles VPN (REC)
47. Políticas de seguridad
• Securización de los puestos de trabajo de
los usuarios de la red Wireless
– No se deberán compartir carpetas en los
ordenadores que tengan acceso inalámbrico
y, en caso de hacerse, nunca se deberán
compartir sin contraseña o con contraseña
débil
– Adicionalmente a esta medida, estos equipos
podrían estar dotados de un cortafuegos
configurado para permitir exclusivamente el
tráfico que debe ser permitido
48. Políticas de seguridad
• Seguimiento y explotación de redes
inalámbricas
– Se crea el GTRI (Grupo de Trabajo de Redes
Inalábricas), compuesto por técnicos de
diferentes consejerías
• Se designará un responsable de explotación local
• OBL
49. Políticas de seguridad
• Política de contraseñas
– Contraseñas seguras
– Vigencia de 1-2 meses máximo
– Histórico de contraseñas (no repetir las
anteriores)