Introducción a la Seguridad WIFI
Con la proliferación del uso de
portátiles y PDAs con capacidades inalámbricas wifi, cada vez es mayor la
demanda de conexiones a wireless access points. Las redes wireless se difunden con rapidez, a medida que el IEEE va aprobando nuevos estándares wifi como el 802.11i, 802.11e y 802.11n
La gran comodidad y ventajas que suponen
estas nuevas opciones de conexión inalámbricas han hecho que muchísimos usuarios no
se hayan percatado de los peligros a que están expuestas las redes wifi (al no haber ya una
conexión física) si no adoptan las medidas de seguridad aconsejadas por
los expertos.
Como se observa en el gráfico , existen diversas maneras de poner a prueba la seguridad wifi de una red inalámbrica.
Una alternativa consiste en que el intruso intente conectarse a un access point de la red inalámbrica para luego ganar acceso a la red corporativa.
La otra alternativa consiste en "implantar" un access point "pirata" para atraer a los usuarios desprevenidos o muy curiosos a una red de hackers o red pirata.
Es preciso comprender que en las redes wireless la información se transmite por medio de ondas de radio frecuencia y, esta, está en el aire y es imposible impedir que sea observada y/o capturada por cualquiera que se encuentre en un radio aproximado de 100 metros. |
|
Problemática y Peligros de las Redes Wireless
En el cuadro siguiente se enumeran los principales peligros que debemos mitigar para mejorar la seguridad wifi.
|
—
Cualquier otro usuario en un radio aproximado de 100 metros puede
ser un "intruso potencial", bien con intención o sin
ella.
— ¿Quién nos asegura que nos
estamos conectando al servidor que deseamos?
— Como administradores de una
red, ¿quién nos asegura que cada uno que intente conectarse a la
misma es "de los nuestros"?
— Debemos asegurarnos que, una
vez establecida la conexión, esta sea SEGURA, o lo que es lo
mismo, ENCRIPTADA. |
Como se ve en el gráfico de arriba, en las redes inalámbricas wifi existen 2 tramos por los que viajan los paquetes que llevan la información:
- Un tramo es inalámbrico (aéreo): es el que va desde cada equipo wifi hasta el access point.
- Otro tramo es cableado: es el que va desde el access point hasta el servidor de la organización.
Al no poder impedir de ninguna manera que la información que está en el aire sea vista por cualquiera, esta debe ser protegida por medio de protocolos de encriptación. En la actualidad se utilizan WEP, WPA y WPA2.
Pero la encriptación es una protección necesaria, muy necesaria, pero no suficiente pues no sirve para impedir accesos no deseados a nuestra red corporativa.
Estándar IEEE 802.1x, la Solución
Durante un tiempo se han intentado diversas
soluciones pero luego se iría demostrando su vulnerabilidad, hasta que
por fin en abril de 2001 el IEEE (Institute of Electrical
and Electronics Engineers) ha fijado un ESTÁNDAR: el IEEE 802.1x que se aplica a todas las redes con o sin cables. En 2004 fué ratificado para redes inalámbricas wifi.
802.1x establece un marco para la seguridad
en redes inalámbricas WIFI :
Básicamente la nueva filosofía consiste en el control de puertos de acceso. No se abrirá el puerto ni se permitirá la conexión, hasta que el usuario esté autenticado y autorizado contra una base de datos alojada en el Servidor RADIUS. Los principios básicos son:
|
I.
Autenticación
II. Claves para encriptación dinámicas o rotativas
III. Emplea EAP (Extensible Authentication Protocol) para autenticar y autorizar a los usuarios
IV. Usa un Servidor de tipo RADIUS para autenticar y autorizar contra la base de datos
|
El estándar 802.1x define 3 elementos:
- Servidor de Autenticación: Debe verificar las credenciales de los usuarios. Generalmente es un servidor RADIUS
- Autenticador : Es el dispositivo que recibe la información del usuario y la traslada al servidor de autenticación
- Suplicante: Es una aplicación o software cliente que provee la información de las credenciales del usuario al autenticador y que gestiona el "diálogo" con el servidor RADIUS
Ver Estándar IEE 802.1x - Autenticación
Protocólos de
Autenticación EAP
1) EAP-LEAP
a. Desarrollado por Cisco
b.Soporta:
- Autenticación mutua fuerte
- Credenciales de seguridad
- Claves dinámicas de encriptación
c. Requiere Infraestructura de Cisco
d. Requiere certificado digital en el servidor RADIUS
e. Sólo soporta las bases de datos de Microsoft: Active Directory y NT Domain
f. LEAP es vulnerable a ataques de diccionario
2) EAP-TLS
a. Desarrollado por Microsoft
b.Soporta:
- Autenticación mutua fuerte
- Credenciales de seguridad
- Claves dinámicas de encriptación
c. Requiere certificados digitales en todos los usuarios así como un
servidor RADIUS
d. Requiere certificado digital en el servidor RADIUS
e. Sólo soporta las bases de datos de Microsoft: Active Directory y NT Domain
3) EAP-TTLS
a. Desarrollado por Funk Software y
Certicom
b. Emplea:
- Autenticación mutua fuerte
- Credenciales de seguridad
- Claves dinámicas de encriptación
c. Requiere certificados digitales sólo en el servidor RADIUS
d. Se pueden utilizar certificados digitales en los clientes de manera opcional
e. Compatible con las bases de datos de seguridad preexistentes
incluyendo:
- Windows Active Directory
- Dominios NT
- Tokens
- SQL
- LDAP
- etc...
|
