El primer método usa el SSID, para que una estación pueda asociarse con un AP ambos deben tener el mismo SSID; este esquema de seguridad es rudimentario, ya que el SSID es conocido por los usuarios y puede ser compartido fácilmente. Otra desventaja de usar SSID como única forma de autenticación es que si el SSID de la red es cambiado, todas las estaciones deben también cambiarlo. Si se deshabilita la difusión del SSID se crearía una red oculta, con lo que el cliente debería entrar manualmente el SSID. Se podría entonces pensar que si no se conoce el SSID, el cliente no se puede conectar a la red. Esto es falso, ya que existen programas que sirven para explorar redes inalámbricas y fácilmente monitorear el tráfico que pasa por la red supuestamente oculta.
El segundo método se basa en una lista de direcciones MAC de los clientes a los cuales se les permite el acceso a la red. Esta autenticación puede hacerse por medio del AP o por algún otro dispositivo ubicado en la red cableada. Si la dirección MAC no está en la lista, el cliente no se puede asociar, pero como con el método anterior existen programas que pueden monitorear el tráfico que pasa por una red inalámbrica y luego con la técnica conocida como spoofing pueden suplantar ilegalmente una dirección MAC.
El tercer método que 802.11 ofrece es mediante el uso de privacidad equivalente cableada (WEP). WEP opera a nivel de la capa MAC. Es un algoritmo de encriptación que usa procesos de autenticación de clave compartida para autenticación de usuarios y para encriptación de datos sobre un segmento WLAN. WEP usa un vector de inicialización (IV Initialization Vector), un generador de número seudo aleatorio (PRNG Pseudo-Random Number Generator) y RC4 (Ron’s Cipher 4) que es un código de cifrado. Las claves WEP son asignadas de forma estática o manual para todos los clientes y APs, sin embargo WEP no es muy seguro, ya que, todas las estaciones de la WLAN comparten la misma clave WEP, de modo que cuando se descubre, es necesario cambiar la clave WEP de todos los equipos en forma manual.
Una clave WEP puede ser usada de dos maneras en una WLAN, para autenticación o encriptación de datos. Cuando un cliente con WEP intenta autenticarse y asociarse con un AP, el AP determina si el cliente manda la clave WEP correcta, si la clave es la misma ellos, pueden asociarse. Las claves WEP pueden ser distribuidas manualmente o mediante sistemas de distribución de claves WEP, que van desde claves estáticas hasta el uso de servidores de claves centralizadas.
En redes pequeñas tales como una red casera o una pequeña empresa se pueden usar claves WEP estáticas, siempre y cuando se tenga en cuenta que la clave WEP debe ser cambiada frecuentemente, contener una combinación de caracteres alfanuméricos y no alfanuméricos y tan grande como sea posible dependiendo del tipo de WEP que use el equipo (WEP 64 o WEP 128 o WEP 256) para evitar ataques diccionario o de fuerza bruta.
En redes grandes tales como redes empresariales, redes universitarias se pueden usar sistemas de distribución de claves que se hace por medio de servidores centralizados los cuales generan distribuyen automáticamente claves, dependiendo del fabricante, esta implementación puede ser por generación de claves por paquete, por sesión u otro método.
Como una mejora a WEP se creó el protocolo de integridad de claves temporales (TKIP Temporal Key Integrity Protocol), para arreglar los problemas de WEP con la implementación del algoritmo RC4, ayudando a determinar la integridad de los mensajes chequeando si usuarios no autorizados han modificado el tráfico de la red.
También fue creado el estándar avanzado de encriptación (AES Advanced Encryption Standar), que reemplaza el algoritmo RC4 con el algoritmo Rijndale. AES está incluido en el estándar 802.11i. Para mejorar las fallas de WEP para autenticación, la industria está trabajando en muchas soluciones basadas en la especificación 802.1x que proporciona especificaciones de control de acceso a la red basado en puerto, estos puertos hacen referencia a puertos físicos, 802.1x fue inicialmente diseñado para redes cableadas con lo cual se ejerce un control sobre las conexiones RJ-45. En una red inalámbrica el cliente es una conexión virtual RJ-45. 802.1x se encarga de bloquear el tráfico de un puerto, hasta que el cliente sea autenticado por un servidor de autenticación.
802.1x a su vez se basa en el protocolo de autenticación extensible (EAP Extensible Authentication Protocol) definido en el RFC 2284, que es un protocolo flexible usado por muchas redes para la autenticación usando contraseñas, certificados, claves públicas, tarjetas inteligentes, biometría, etc. La seguridad de una red depende del tipo de este protocolo que sea escogido.
Los elementos básicos de 802.1x son el AP, el cliente 802.1x y el servidor de autenticación. Si un cliente no está autenticado, el AP no le permite pasar tráfico a la red, excepto mensajes 802.1x, después de que el cliente es autenticado se le permite enviar datos. Para este proceso se usan dos puertos virtuales uno controlado y otro no controlado.
El puerto no controlado se usa para la comunicación entre el AP y el servidor de autenticación. El puerto controlado permite pasar el tráfico solo cuando el cliente esté autenticado.
La forma de autenticación funciona de la siguiente manera:
1. El cliente envía una trama de iniciación EAP.
2. El AP sabe que alguien quiere entrar a la red y contesta con una petición de identidad EAP.
3. El cliente contesta con una respuesta de identidad EAP al AP.
4. El AP transmite esta respuesta al servidor de autenticación.
5. El servidor envía al AP una petición de autorización EAP.
6. El AP se la transmite al cliente.
7. El cliente envía la respuesta al AP.
8. El AP se la envía al servidor de autenticación.
9. El servidor de autenticación evalúa las credenciales y contesta con un mensaje de éxito (o fallo) EAP al AP.
10. El AP transmite el mensaje exitoso al cliente y cambia el estado del puerto controlado a modo de transmisión.
802.1x es efectivo en cuanto a seguridad de redes inalámbricas, ya que soporta generación de clave dinámica, por sesión o por usuario. La preocupación por el aspecto de la seguridad en las redes inalámbricas llevó a la alianza Wi-Fi (Fidelidad Inalámbrica) ha adoptar una tecnología de seguridad mejorada conocida como acceso Wi-Fi protegido (WPA Wi-Fi Protected Access) como una medida provisional. WPA añade un mayor nivel de seguridad a 802.11.
Las características de WPA son:
• WPA requiere autenticación 802.1x.
• En entornos sin RADIUS, WPA admite el uso de una clave compartida previamente. En entornos con RADIUS, se admite el protocolo de autenticación extensible (EAP).
• WPA requiere el manejo de claves con el protocolo TKIP.
• WPA define el uso del estándar de cifrado avanzado (AES) como sustituto adicional para el cifrado de WEP.
WPA requiere cambios de software en:
• Puntos de acceso inalámbrico
• Adaptadores de red inalámbrica
• Programas clientes inalámbricos
En el estándar 802.11i se menciona las soluciones de seguridad y sistemas criptográficos para las redes inalámbricas, el estándar 802.11i tiene las habilidades de WPA y adiciona el uso de AES para encriptación de datos. El inconveniente de AES es que puede necesitar nuevo hardware para muchas redes inalámbricas existentes. La alianza Wi-Fi usará WPA2 para referirse a 802.11i, los productos 802.11i/WPA2 tendrán compatibilidad hacia atrás con los productos WPA, siempre y cuando soporten AES. Cuando se trata de redes que exigen mucha seguridad es necesario implementar soluciones hardware y/o software que involucran seguridad de red cableadas. Entre ellas están:
Firewalls: mediante su uso es posible separar usuarios inalámbricos de los usuarios internos de una red. Un firewall puede bloquear peticiones no autorizadas creando una barrera a crackers que quieren acceder a la red interna.
VPN: enlaza computadores o redes remotas a un servidor corporativo por medio de un túnel sobre un protocolo como IP. El tráfico dentro del túnel es encriptado y totalmente aislado por lo tanto se protegen los datos en una red inalámbrica insegura.
RADIUS: el servicio de usuario de acceso telefónico de autenticación remota (Remote Authentication Dial-in User Service) es un protocolo que sirve para autenticar conexiones remotas, de modo que proporciona autorización para los recursos de red, es usada en una WLAN para controlar la conexión de los usuarios.
No hay comentarios:
Publicar un comentario