En informática , un sistema de prevención de intrusiones inalámbricas (WIPS) es un dispositivo de red que monitorea el espectro de radio para detectar la presencia de puntos de acceso no autorizados (detección de intrusiones) y puede tomar contramedidas automáticamente (prevención de intrusiones) .
El objetivo principal de un WIPS es evitar el acceso no autorizado a las redes de área local y otros recursos de información por parte de dispositivos inalámbricos. Estos sistemas se implementan normalmente como una superposición a una infraestructura LAN inalámbrica existente , aunque pueden implementarse de forma independiente para aplicar políticas de prohibición de conexiones inalámbricas dentro de una organización. Algunas infraestructuras inalámbricas avanzadas tienen capacidades WIPS integradas.
Las grandes organizaciones con muchos empleados son especialmente vulnerables a las brechas de seguridad [1] causadas por puntos de acceso no autorizados . Si un empleado (entidad de confianza) en una ubicación trae un enrutador inalámbrico de fácil acceso , toda la red puede quedar expuesta a cualquier persona dentro del alcance de las señales.
En julio de 2009, el PCI Security Standards Council publicó pautas inalámbricas [2] para PCI DSS recomendando el uso de WIPS para automatizar el escaneo inalámbrico para grandes organizaciones.
Un sistema de detección de intrusiones inalámbricas (WIDS) monitorea el espectro de radio para detectar la presencia de puntos de acceso no autorizados y el uso de herramientas de ataque inalámbrico. El sistema monitorea el espectro de radio utilizado por las redes LAN inalámbricas y alerta inmediatamente a un administrador de sistemas cuando se detecta un punto de acceso no autorizado. Por lo general, esto se logra comparando la dirección MAC de los dispositivos inalámbricos participantes.
Los dispositivos maliciosos pueden falsificar la dirección MAC de un dispositivo de red autorizado como si fuera la suya. Una nueva investigación utiliza un enfoque de identificación por huellas dactilares para eliminar los dispositivos con direcciones MAC falsificadas. La idea es comparar las firmas únicas que exhiben las señales emitidas por cada dispositivo inalámbrico con las firmas conocidas de dispositivos inalámbricos conocidos y previamente autorizados. [3]
Además de la detección de intrusiones, un WIPS también incluye funciones que previenen la amenaza automáticamente . Para la prevención automática, se requiere que el WIPS sea capaz de detectar con precisión y clasificar automáticamente una amenaza.
Los siguientes tipos de amenazas se pueden prevenir con un buen WIPS:
Las configuraciones de WIPS constan de tres componentes:
Un sistema de detección de intrusiones simple puede ser una sola computadora conectada a un dispositivo de procesamiento de señales inalámbricas y antenas ubicadas en toda la instalación. Para organizaciones grandes, un controlador de red múltiple proporciona control central de múltiples servidores WIPS, mientras que para clientes SOHO o SMB, toda la funcionalidad de WIPS está disponible en una sola caja.
En una implementación de WIPS, los usuarios primero definen las políticas inalámbricas operativas en el WIPS. Luego, los sensores WIPS analizan el tráfico en el aire y envían esta información al servidor WIPS. El servidor WIPS correlaciona la información, la valida con las políticas definidas y la clasifica si se trata de una amenaza. Luego, se notifica al administrador del WIPS sobre la amenaza o, si se ha establecido una política en consecuencia, el WIPS toma medidas de protección automáticas.
WIPS se configura como una implementación de red o una implementación alojada.
En una implementación de red WIPS, el servidor, los sensores y la consola están ubicados dentro de una red privada y no son accesibles desde Internet.
Los sensores se comunican con el servidor a través de una red privada mediante un puerto privado. Dado que el servidor reside en la red privada, los usuarios pueden acceder a la consola solo desde dentro de la red privada.
Una implementación de red es adecuada para organizaciones donde todas las ubicaciones están dentro de la red privada.
En una implementación de WIPS alojada, los sensores se instalan dentro de una red privada. Sin embargo, el servidor está alojado en un centro de datos seguro y es accesible a través de Internet. Los usuarios pueden acceder a la consola WIPS desde cualquier lugar de Internet. Una implementación de WIPS alojada es tan segura como una implementación de red porque el flujo de datos está encriptado entre los sensores y el servidor, así como entre el servidor y la consola. Una implementación de WIPS alojada requiere muy poca configuración porque los sensores están programados para buscar automáticamente el servidor en Internet a través de una conexión TLS segura .
Para una organización grande con ubicaciones que no forman parte de una red privada, una implementación de WIPS alojada simplifica la implementación significativamente porque los sensores se conectan al servidor a través de Internet sin necesidad de ninguna configuración especial. Además, se puede acceder a la consola de forma segura desde cualquier lugar de Internet.
Las implementaciones de WIPS alojadas están disponibles en un modelo de software como servicio a pedido y basado en suscripción . [4] Las implementaciones alojadas pueden ser apropiadas para organizaciones que buscan cumplir con los requisitos mínimos de escaneo de PCI DSS.