OWISAM
Páginas: 8 (1871 palabras)
Publicado: 10 de enero de 2015
La presencia cada vez mayor de redes de comunicaciones inalámbricas, así como el uso de equipos portátiles y dispositivos móviles, conectados a redes domésticas y corporativas, expone el perímetro de las organizaciones a un gran número de ataques contra su infraestructura. En la actualidad, tanto las empresas como los analistas de seguridad informática, no disponen de un mecanismo estandarizadocon el que analizar y clasificar el riesgo de las redes Wi-Fi.
Existen otras metodologías de seguridad, como OWASP [1] y OSSTMM [2], que referencian aspectos de seguridad relativos a las redes inalámbricas, sin analizar en profundidad los riesgos existentes. El enfoque de OWISAM es diseñar de una metodología ágil y usable que ayude a realizar con éxito un análisis de seguridad sobre estosentornos.
OWISAM, acrónimo de Open WIreless Security Assessment Methodology (Metodología de evaluación de seguridad wireless abierta), surge con el objetivo de cubrir una necesidad existente, poner en común con la comunidad los controles de seguridad que se deben verificar sobre redes de comunicaciones inalámbricas y definir una metodología abierta y colaborativa que ayude a administradores deredes, administradores de sistemas y a analistas de seguridad informática a identificar riesgos, a minimizar el impacto de los ataques informáticos y a garantizar la protección de las infraestructuras Wireless basadas en el estándar 802.11 [3].
La licencia de la metodología OWISAM es Creative Commons Attribution ShareAlike 3.0 license (CC-BY-SA) [4], permitiendo su uso, modificación y reproducciónpor cualquier individuo.
Esta licencia ayuda a que toda la comunidad colabore en el desarrollo de esta metodología, uniendo conocimientos y asegurando que todos los puntos de vista han sido contemplados.
Los controles de seguridad definidos por la metodología de seguridad wireless OWISAM
son todas aquellas verificaciones técnicas que deben ser llevadas a cabo para analizar el riesgo deseguridad al que está expuesta una organización debido al uso de infraestructuras de comunicaciones Wi-Fi dentro de su perímetro.
La ausencia de una red corporativa definida y desplegada no exime del riesgo, dado que la presencia de dispositivos con capacidad de comunicación inalámbrica es suficiente por sí misma para crear potenciales agujeros de seguridad.
Se han estructurado los controles deseguridad en 10 secciones bien diferenciadas:
#
Código
Tipo de control
Descripción de los controles
1
OWISAM-DI
Descubrimiento de dispositivos
Recopilación de información sobre las redes inalámbricas
2
OWISAM-FP
Fingerprinting
Análisis de las funcionalidades de los dispositivos de comunicaciones.
3
OWISAM-AU
Pruebas sobre la autenticación
Análisis de los mecanismos de autenticación
4OWISAM-CP
Cifrado de las comunicaciones
Análisis de los mecanismos de cifrado de información
5
OWISAM-CF
Configuración de la plataforma
Verificación de la configuración de las redes
6
OWISAM-IF
Pruebas de infraestructura
Controles de seguridad sobre la infraestructura Wireless
7
OWISAM-DS
Pruebas de denegación de servicio
Controles orientados a verificar la disponibilidad delentorno
8
OWISAM-GD
Pruebas sobre directivas y normativa
Análisis de aspectos normativos que aplican al uso de las redes de Wi-Fi
9
OWISAM-CT
Pruebas sobre los clientes inalámbricos
Ataques contra clientes inalámbricos
10
OWISAM-HS
Pruebas sobre hostspots y portales cautivos
Debilidades que afectan al uso de portales cautivos.
Tanto los controles como los contenidos incluidos en estoscontroles son susceptibles de ser modificados a lo largo del tiempo, dependiendo de la evolución de los riesgos en redes Wi-Fi.
A la hora de plantear una revisión de seguridad inalámbrica, se debe hacer uso del enfoque más adecuado para cubrir las necesidades del cliente, enfocando la auditoría a las necesidades de la infraestructura.
Tipos de análisis
Cada enfoque tiene sus ventajas y sus...
Existen otras metodologías de seguridad, como OWASP [1] y OSSTMM [2], que referencian aspectos de seguridad relativos a las redes inalámbricas, sin analizar en profundidad los riesgos existentes. El enfoque de OWISAM es diseñar de una metodología ágil y usable que ayude a realizar con éxito un análisis de seguridad sobre estosentornos.
OWISAM, acrónimo de Open WIreless Security Assessment Methodology (Metodología de evaluación de seguridad wireless abierta), surge con el objetivo de cubrir una necesidad existente, poner en común con la comunidad los controles de seguridad que se deben verificar sobre redes de comunicaciones inalámbricas y definir una metodología abierta y colaborativa que ayude a administradores deredes, administradores de sistemas y a analistas de seguridad informática a identificar riesgos, a minimizar el impacto de los ataques informáticos y a garantizar la protección de las infraestructuras Wireless basadas en el estándar 802.11 [3].
La licencia de la metodología OWISAM es Creative Commons Attribution ShareAlike 3.0 license (CC-BY-SA) [4], permitiendo su uso, modificación y reproducciónpor cualquier individuo.
Esta licencia ayuda a que toda la comunidad colabore en el desarrollo de esta metodología, uniendo conocimientos y asegurando que todos los puntos de vista han sido contemplados.
Los controles de seguridad definidos por la metodología de seguridad wireless OWISAM
son todas aquellas verificaciones técnicas que deben ser llevadas a cabo para analizar el riesgo deseguridad al que está expuesta una organización debido al uso de infraestructuras de comunicaciones Wi-Fi dentro de su perímetro.
La ausencia de una red corporativa definida y desplegada no exime del riesgo, dado que la presencia de dispositivos con capacidad de comunicación inalámbrica es suficiente por sí misma para crear potenciales agujeros de seguridad.
Se han estructurado los controles deseguridad en 10 secciones bien diferenciadas:
#
Código
Tipo de control
Descripción de los controles
1
OWISAM-DI
Descubrimiento de dispositivos
Recopilación de información sobre las redes inalámbricas
2
OWISAM-FP
Fingerprinting
Análisis de las funcionalidades de los dispositivos de comunicaciones.
3
OWISAM-AU
Pruebas sobre la autenticación
Análisis de los mecanismos de autenticación
4OWISAM-CP
Cifrado de las comunicaciones
Análisis de los mecanismos de cifrado de información
5
OWISAM-CF
Configuración de la plataforma
Verificación de la configuración de las redes
6
OWISAM-IF
Pruebas de infraestructura
Controles de seguridad sobre la infraestructura Wireless
7
OWISAM-DS
Pruebas de denegación de servicio
Controles orientados a verificar la disponibilidad delentorno
8
OWISAM-GD
Pruebas sobre directivas y normativa
Análisis de aspectos normativos que aplican al uso de las redes de Wi-Fi
9
OWISAM-CT
Pruebas sobre los clientes inalámbricos
Ataques contra clientes inalámbricos
10
OWISAM-HS
Pruebas sobre hostspots y portales cautivos
Debilidades que afectan al uso de portales cautivos.
Tanto los controles como los contenidos incluidos en estoscontroles son susceptibles de ser modificados a lo largo del tiempo, dependiendo de la evolución de los riesgos en redes Wi-Fi.
A la hora de plantear una revisión de seguridad inalámbrica, se debe hacer uso del enfoque más adecuado para cubrir las necesidades del cliente, enfocando la auditoría a las necesidades de la infraestructura.
Tipos de análisis
Cada enfoque tiene sus ventajas y sus...
Leer documento completo
Regístrate para leer el documento completo.