Estándar de seguridad de LAN inalámbrica

Temas:

Standards

Puede   9 de octubre de 2016

Volver arriba

Objetivo

Esta norma establece los requisitos mínimos para la instalación y el funcionamiento de redes inalámbricas de área local (WLAN) para las agencias del estado de Iowa.

Volver arriba

Descripción general

La tecnología inalámbrica permite la movilidad de equipos informáticos y usuarios. Sin embargo, las ventajas de las redes inalámbricas conllevan riesgos potenciales. Las redes de área local inalámbricas (WLAN) mal configuradas pueden permitir el acceso de usuarios no autorizados a los sistemas e información de la agencia. Estos usuarios pueden consumir ancho de banda, degradar el rendimiento de la red o utilizar los recursos de la agencia para lanzar ataques contra otras redes.

Volver arriba

Alcance

Esta norma se aplica a todas las agencias participantes, según lo define el Capítulo 8B.1(7) del Código de Iowa. Se recomienda a las agencias no participantes que cumplan con esta y otras normas empresariales.

Volver arriba

Definiciones

Seleccionado   términos   usado   en   el   Empresa   WLAN   Seguridad   Estándar   son   definido a continuación:

  • Punto de acceso (AP): Dispositivo de red que permite que otros dispositivos, como ordenadores portátiles, se comuniquen de forma inalámbrica y se conecten a otra red, normalmente la infraestructura cableada de una organización, la Red de Comunicación de Iowa (ICN) o un proveedor de servicios de Internet comercial.

  • Identificador del conjunto de servicios básicos (BSSID): Dirección(es) MAC del punto de acceso.

  • Red inalámbrica para invitados : Una red inalámbrica de área local configurada por una agencia estatal para proporcionar acceso a Internet a los invitados autorizados. Las redes inalámbricas para invitados están aisladas fuera del límite lógico y físico de la red de la agencia.

  • Red inalámbrica pública : Una red de área local inalámbrica establecida por una agencia estatal para proporcionar acceso gratuito a Internet al público. Las redes inalámbricas públicas están aisladas fuera del límite lógico y físico de la red de la agencia.

  • Identificador de conjunto de servicios (SSID): Un identificador único que diferencia una red WLAN de otra. Todos los puntos de acceso y todos los dispositivos que intenten conectarse a una red WLAN específica deben usar el mismo SSID.

Volver arriba

Empresa   Estándar WLAN

El   siguiente   mínimo   estándares   debe   ser   conocí   para   Todas las redes WLAN:

  1. Política . Los organismos deberán establecer una política de seguridad de WLAN.

  2. Registro. Las agencias deberán notificar al Director de Seguridad de la Información de la OCIO antes de la implementación de un punto de acceso inalámbrico. La notificación debe incluir lo siguiente para cada punto de acceso:

    1. Marca,
    2. Modelo,
    3. SSID y BSSID, y
    4. Ubicación física.

    La notificación también debe incluir el nombre y la información de contacto de la agencia. Los puntos de acceso no registrados no están permitidos y serán retirados del servicio.

  3. Separación de redes inalámbricas y cableadas. Las zonas de red inalámbricas deben estar separadas de las zonas de red cableadas mediante un cortafuegos u otro dispositivo de filtrado de paquetes.
  4. Dispositivos críticos. No está permitido alojar servidores ni dispositivos relacionados que sean esenciales para el funcionamiento de la agencia en zonas de red inalámbrica.
  5. Protección física. Los puntos de acceso inalámbricos deberán estar protegidos físicamente para limitar el riesgo de robo, daños, acceso no autorizado o restablecimiento de la configuración.
  6. Contraseñas. Las contraseñas deberán cumplir con los requisitos del Estándar de Seguridad de Autenticación Empresarial y cumplir con lo siguiente:
    1. Se deberán cambiar las contraseñas administrativas predeterminadas utilizadas para gestionar el punto de acceso.
    2. Las contraseñas de administrador deberán tener una longitud mínima de 15 caracteres.
  7. Configuración del punto de acceso. Los puntos de acceso deberán cumplir, como mínimo, los siguientes requisitos:

  • Cifrado. Los puntos de acceso deben usar el cifrado WPA2-Enterprise o superior. La configuración de cifrado debe ajustarse al nivel de cifrado más seguro disponible en el producto. No se debe usar el protocolo WEP (Wired Equivalent Privacy).

  • Identificador del conjunto de servicios. El SSID deberá modificarse respecto a la configuración predeterminada de fábrica.
  • Intervalos de baliza. Los marcos de baliza se configurarán con la duración máxima del intervalo.
  • Claves criptográficas. Las claves criptográficas predeterminadas deberán modificarse antes de la implementación.

  • Filtrado de direcciones. El filtrado de direcciones MAC (Control de Acceso al Medio) debe habilitarse siempre que sea posible. El punto de acceso (AP) solo debe aceptar conexiones provenientes de direcciones MAC reconocidas.

  • Protocolo simple de administración de red (SNMP) versión 3. Si se requiere SNMP, utilice la versión 3 o posterior. La cadena de comunidad SNMP predeterminada debe cambiarse por una cadena de comunidad segura. Los privilegios deben configurarse como "solo lectura" si ese es el único acceso requerido. Los puertos y protocolos de acceso innecesarios deben deshabilitarse.

  • Canales. Los canales deben configurarse para minimizar las interferencias.

  • Alcance . El nivel de potencia de radiofrecuencia debe reducirse al mínimo necesario y, cuando sea posible, se deben utilizar antenas direccionales para limitar el alcance del punto de acceso.

  1. Registros de funcionamiento. Siempre que sea posible, los puntos de acceso inalámbricos y los controladores deben configurarse para registrar los eventos de funcionamiento, incluidos los intentos de inicio de sesión (tanto correctos como fallidos), los errores y los reinicios. Los registros deben enviarse a un servidor central de registro y revisarse periódicamente.

  2. Configuración de la infraestructura: El punto de acceso inalámbrico debe configurarse en modo infraestructura. No se permite el modo ad-hoc, que permite la comunicación punto a punto entre dispositivos.

  3. Detección de intrusiones. Se utilizará un sistema inalámbrico de detección/prevención de intrusiones para detectar intentos de acceso no autorizados o uso inapropiado.

  4. Actualizaciones . Todos los componentes deberán contar con los últimos parches de seguridad, actualizaciones y mejoras de firmware.

  5. Evaluación. La Oficina de Seguridad de la Información del Estado de Iowa evaluará las instalaciones estatales en el complejo del Capitolio al menos trimestralmente para determinar si existen redes inalámbricas locales no autorizadas o mal configuradas que permitan el acceso a los sistemas o la información de la agencia. La agencia deberá eliminar las redes inalámbricas locales no autorizadas.

  6. Eliminación de equipos . Se deberán eliminar todos los datos confidenciales y la información de configuración de los componentes inalámbricos antes de su eliminación.

  7. Se mantiene la seguridad del cliente. Todos los equipos de la agencia que se conecten a redes inalámbricas de área local (WLAN) deben contar con un cortafuegos basado en host configurado correctamente, software antivirus actualizado y cumplir con los estándares empresariales y de la agencia aplicables. Las actualizaciones de software deben aplicarse según el calendario de actualizaciones de la agencia.

  8. Capacitación en sensibilización: Los usuarios de redes inalámbricas deberán recibir capacitación en sensibilización sobre seguridad inalámbrica, que incluye, entre otros aspectos, documentación que describe los riesgos de la informática inalámbrica.

  9. Red inalámbrica pública . Las redes de área local inalámbricas (WLAN) públicas de la agencia deberán:
  10. Estar aislado fuera del límite lógico y físico de la red de la agencia. Por ejemplo, ser una conexión independiente proporcionada por la ICN o un ISP comercial.
    1. Los puntos 7, 10, 15 y 19 de esta norma NO se aplican a las redes inalámbricas públicas.

  11. Conexiones duales : Los ordenadores de la agencia no deberán conectarse simultáneamente a la red cableada de la agencia y a la red de área local inalámbrica (WLAN).

  12. Redes inalámbricas para invitados : Los usuarios de redes inalámbricas para invitados no deberán conectarse directamente a los recursos internos de la agencia.

  13. Análisis de vulnerabilidades : Las redes de área local inalámbricas (WLAN) deberán someterse a análisis de vulnerabilidades al menos mensualmente.

Volver arriba

Actualizaciones

Este documento deberá revisarse al menos cada dos años y actualizarse según sea necesario.

Volver arriba

Fecha de entrada en vigor

Esta norma entrará en vigor el 9 de mayo de 2016.

Volver arriba

Aplicación

Este   estándar   deber   ser   aplicado   de conformidad    Iowa   Administrativo   Código   11—25.11(8A) y   Iowa   Código 8B.21(1)(f)(2).

Volver arriba

Diferencia

Los artículos 11-25.11(2) y 8B.21(5) del Código Administrativo de Iowa contemplan exenciones y dispensas de las normas de seguridad. Las solicitudes de exención o dispensa de cualquiera de los requisitos de esta norma deberán presentarse por escrito al Director de Seguridad de la Información.

Volver arriba