Comunicados CCN-CERT

Nueva guía CCN-STIC-647B, Configuración segura de equipos de red Aruba para entornos WiFi

  • Realizada gracias a la colaboración de la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid.
  • Las redes WiFi están cada vez mas extendidas y pese a los riesgos añadidos que las acompañan su uso en ciertas circunstancias se hacen necesarias.
  • Contar con una guía que detalle cómo realizar adecuadamente un despliegue de una red WiFi ayudará a las Organizaciones a desplegar infraestructuras WiFi con unas medidas de seguridad apropiadas.
  • La guía indica los pasos necesarios para realizar una instalación en equipos Aruba, pero puede servir como referencia para la instalación de arquitecturas basadas en otros fabricantes.

Las tecnologías inalámbricas son cada vez más habituales en nuestras organizaciones. Cada vez son más los dispositivos que las soportan y las organizaciones que las requieren para sus usuarios. Una de las más extendidas es la tecnología WiFi. Siendo evidentes las ventajas que ofrece no se deben pasar por alto los riesgos añadidos que suponen. Estos riesgos deben tratarse de forma que se pueda garantizar la confidencialidad, integridad y disponibilidad de estas infraestructuras así como de los datos que se transmiten haciendo uso de ellas.

En esta guía CCN-STIC se describen las medidas de seguridad mínimas recomendables para la instalación de una solución Wifi dentro de una Organización que quiere ofrecer este servicio a sus usuarios. Se excluye de la guía los servicios públicos ofrecidos mediante WiFi o servicios a invitados. Para ello se ha tomado como ejemplo los equipos del fabricante Aruba Networks, una compañía de Hewlett Packard Enterprise, concretamente el sistema ClearPass 6.6.8 y aquellos de la familia ArubaOS 6.5.4.

Dentro de la solución presentada se describen 3 niveles de seguridad que se recomienda aplicar antes de dar conectividad a cualquier usuario: un primer nivel en el que se autentica al usuarios mediante mecanismos robustos; un segundo en el que se analiza el estado de la máquina del usuario; y un tercero en el que se levanta un túnel VPN/IPsec.

La solución se explica quedando abierta a cualquier modificación que pueda hacer cada Organismo en función de su Análisis de Riesgos, de modo que pueda no implementar todos los niveles de seguridad o modificarlos (por ejemplo no levantar túneles VPV/IPsec, no comprobar el estado de la máquina o modificar las variables de comprobación). No se recomienda en ningún caso eliminar o modificar el primer nivel de seguridad.

Por otro lado, la arquitectura presentada puede servir como base a soluciones que requieran un nivel mayor de seguridad mediante el uso de dispositivos de hardware de cifra y que requieran protocolos específicos para su acreditación.

La guía comienza explicando el modelo de seguridad empleado para pasar a explicar el escenario que se ha tomado como ejemplo. Posteriormente da todos los pasos necesarios para la instalación de la arquitectura propuesta así como las tareas necesarias para mantener la seguridad del sistema, continúa con la implementación de los niveles de seguridad y termina con unas recomendaciones generales de seguridad. Se adjuntan varios anexos con comandos básicos, ejemplos de configuración de servidores y creación de certificados necesarios así como una lista de comprobación.

Está previsto seguir trabajando en otras guías del fabricante Aruba. En concreto se van a desarrollar guías CCN-STIC para switches ArubaOs-Switch (acceso y agregación) y switches ArubaOs-CX (Core Campus) así como para la solución Clearpass.

CCN-CERT (07/02/2018)

CCN-STIC-647B Configuración segura de equipos de red Aruba para entornos WiFi

Ministerio de Defensa
CNI
CCN
CCN-CERT