Evaluación de la seguridad de la red inalámbrica del Cantón Militar de Popayán

Abstract

El Cantón Militar de Popayán posee una red inalámbrica de área local distribuida mediante puntos de acceso inalámbricos para ofrecer el servicio de Internet a los usuarios del Ejército Nacional de Colombia, pero no realiza un diagnóstico para evaluar si un intruso puede acceder a la red inalámbrica con dispositivos no autorizados y afectar la integridad de los datos confidenciales del Ejército, además de evaluar la pertinencia de las políticas actuales sobre seguridad inalámbrica. Para gestionar esta vulnerabilidad se plantearon como objetivos evaluar la seguridad de la red inalámbrica del Cantón Militar, buscando determinar la metodología adecuada para realizar la evaluación, aplicar la metodología de evaluación seleccionada y analizar el nivel de seguridad encontrado en la red inalámbrica. Para evaluar la seguridad de la red inalámbrica se aplicó el Manual de metodología de pruebas de seguridad de código abierto OSSTMM. Dentro de los resultados obtenidos con las pruebas de penetración se logró evaluar la seguridad de la red inalámbrica, se obtuvo el mapa de infraestructura inalámbrica, la dirección física del punto de acceso inalámbrico de la Tercera División, las credenciales de autenticación en la red inalámbrica del Cantón Militar y el escaneo de activos y puertos lógicos de terminales. Las pruebas permitieron identificar riesgos en seguridad de la información militar mediante diferentes posibilidades que tiene un intruso malicioso de realizar un ataque informático para explotar vulnerabilidades de la red inalámbrica del Ejército. Como recomendaciones para incrementar la seguridad de la red inalámbrica se plantearon la segmentación del direccionamiento de red, establecimiento de segmentos de red virtuales también por divisiones del Ejército, implementación de un sistema de detección de intrusos inalámbrico, un sistema de prevención de intrusiones inalámbrico, un controlador de red inalámbrica, un sistema de autenticación inalámbrico, un sistema de acceso inalámbrico en malla y el aislamiento de la infraestructura de red inalámbrica. Finalmente como conclusiones se obtuvo que el nivel de seguridad de la red inalámbrica del Cantón Militar de Popayán es bajo, por cuanto no cumple con las recomendaciones de buenas prácticas para realizar la gestión apropiada de las vulnerabilidades de la red inalámbrica, con información confidencial de alta importancia, para minimizar el riesgo de un posible ataque informático por un intruso malicioso e incrementar el nivel de seguridad de la información militar del Ejército Nacional de Colombia.

The Canton Militar of Popayán has a wireless local area network distributed through wireless access points to offer Internet service to users of the Colombian National Army, but does not perform a diagnosis to assess whether an intruder can access the wireless network with unauthorized devices and affect the integrity of confidential Army data, in addition to assessing the relevance of current wireless security policies. To manage this vulnerability, the objectives were to evaluate the security of the wireless network of the Military Canton, seeking to determine the appropriate methodology to perform the evaluation, apply the selected evaluation methodology and analyze the level of security found in the wireless network. To evaluate the security of the wireless network, the OSSTMM Open Source Security Test Methodology Manual was applied. Among the results obtained with the penetration tests, the security of the wireless network was assessed, the wireless infrastructure map was obtained, the physical address of the Third Division's wireless access point, the authentication credentials in the wireless network of the Canton Militar and the scanning of assets and logical ports of terminals. The tests allowed to identify risks in security of the military information by means of different possibilities that a malicious intruder has to carry out a computer attack to exploit vulnerabilities of the Army's wireless network. As recommendations to increase the security of the wireless network, the segmentation of the network addressing, establishment of virtual network segments also by Army divisions, implementation of a wireless intruder detection system, a wireless intrusion prevention system, a wireless network controller, a wireless authentication system, a wireless mesh access system and the isolation of the wireless network infrastructure. Finally, as conclusions, it was obtained that the security level of the wireless network of the Canton Militar of Popayán is low, since it does not comply with the recommendations of good practices to perform the appropriate management of the vulnerabilities of the wireless network, with confidential high information importance, to minimize the risk of a possible computer attack by a malicious intruder and increase the level of security of the military information of the National Army of Colombia.