MEMORIAL DE INGENIEROS N.º 96 14TRANSMISIONES CIS Y EW Para ello primero se conecta a la red wifi través del punto de acceso, se autentifica en el servidor de autentificación y a continuación establece una comunicación, con dicho punto de acceso, protegida por WPA2. La autenticación se ha podido realizar de dos maneras; o bien la persona usuaria ha tecleado un usuario y contraseña para autenticarse, o bien tiene ya instalado un certificado valido para el servidor de autenticación. A continuación una vez que tiene acceso a la red wireless ya puede conectarse con la pasarela IPsec, y de nuevo con esta se realiza el mismo proceso, el cliente se autentifica y accede a la red. De este modo el usuario ya puede llegar a la red roja y vemos como la comunicación en el aire está doblemente protegida por la seguridad que proporciona WPA2 e IPsec. Por último, el controlador WLAN realiza funciones de WIPS/WIDS. Además, en ocasiones puede realizar también funciones propias del punto de acceso en el proceso de autentificación, comportándose este último como un mero transpondedor que adapta las ondas de radio en señales que transmite por un cable. Una vez hemos visto cuál es la funcionalidad de cada equipo vamos a estudiar cuáles son los requisitos básicos de cada uno de los elementos de la red: ——Usuario: debe ser compatible con WPA2 Enterprise, y en función del método de autentificación seleccionado, debe de tener instalados unos certificados de autentificación válidos. Además debe contar con un software que le permita ser cliente de una VPN para acceder a la pasarela IPsec. Como requisitos de seguridad deberá incluir un software antivirus, cortafuegos propio, y políticas de seguridad dependiendo del nivel de seguridad que se quiera alcanzar (que pueden incluir el acceso o no a los puertos físicos, unidad de CD, etc., seguridad de correo electrónico…). ——Cliente/Punto de acceso: dado que los despliegues se realizan en el campo, es recomendable que el punto de acceso esté lo suficientemente rugerizado como para que al menos resista el polvo y la humedad (sin necesidad de llegar a ser sumergible), sin embargo, tampoco se debe perder de vista que de desplegarse, el punto de acceso iría probablemente dentro de una tienda modular o similar, y por tanto, no es imprescindible que este elemento sea «outdoor». En función de la entidad de la red puede ser conveniente que cuente con funcionalidad «Mesh»5. De cara a la seguridad de la información, es recomendable que el punto de acceso se comporte únicamente como un transpondedor (que adapte la señal del aire al cable), y por tanto delegando todas las funciones criptográficas en el controlador WLAN. La razón de esto es que si el punto de acceso también cifra y descifra la señal, la información que viajase entre el punto de acceso y el controlador WLAN, ya solo estaría cifrada por un protocolo (IPsec) debido a que el Punto de Acceso eliminaría el cifrado AES. Por último, este elemento debe ser, evidentemente, compatible con WPA2 Enterprise y con el controlador WLAN. ——Controlador WLAN: debe implementar las funciones de WIPS/WIDS, así como ser el cliente del servidor de autentificación (en este sentido adopta las funcionalidades del punto de acceso descritas en el apartado de WPA2). A través de él se puede controlar el espectro electromagnético empleado por la red wireless, detección de puntos de acceso no autorizados, etc. ——Servidor de autentificación: se trata de un servidor RADIUS (Remote Authentication Dial-In User Service), que realiza las labores de autentificación descritas en el aparatado de WPA2. 5 La función Mesh permite optimizar la comunicación fragmentando los mensajes, y enviándolos por caminos diferentes en función de la congestión y de los distintos puntos de acceso que nos estén dando cobertura simultáneamente en un momento dado.
MEMORIAL_INGENIEROS_96
To see the actual publication please follow the link above