Opciones de seguridad inalámbrica
Tests de NetWorld+InterOp 2002 Labs (iLabs)
El pasado mes de septiembre, en la edición de Atlanta de NetWorld+InterOp 2002, la mayor feria de networking a nivel mundial, con varias convocatorias anuales en diferentes ciudades de Estados Unidos y Europa, sus afamados laboratorios de pruebas de interoperatividad, iLabs, se centraron, entre otras cuestiones, en las tecnologías de seguridad inalámbrica. Los tests realizados representan la mayor prueba de interoperatividad llevada a cabo con 802.1X, además de ofrecer una demo de la autenticación basada en Web y de IPSec inalámbrico, mostrando asimismo cómo funciona WEP.
Docenas de voluntarios se concentraron cerca de San Francisco para instalar y desplegar en una sola red una gran variedad de productos que emplean tecnologías inalámbricas al objeto de realizar pruebas de interoperatividad y compatibilidad. Después, el equipo de iLabs empaquetó el banco de pruebas y lo transportó a Atlanta, donde el público asistente a la edición de NetWorld+InterOp 2002 celebrada en esa ciudad en septiembre pudo experimentar con los productos probados.
Network World, la revista de networking y telecomunicaciones que IDG edita en Estados Unidos, tuvo acceso exclusivo a iLabs y desplazó hasta allí a diversos miembros de su Network World Global Test Alliance para conseguir información de primera mano sobre los resultados de los análisis.
El equipo de iLabs dividió las pruebas en cuatro partes, dedicadas específicamente cada una de ellas a una estrategia de seguridad diferente en función de los distintos requerimientos de las empresas. La red inalámbrica de iLabs está basada en 802.1X, el reciente estándar de IEEE para autenticación y autorización en LAN, y especialmente en LAN inalámbricas 802.11. El equipo de iLabs probó cinco clientes 802.1X, cinco puntos de acceso 802.11b y seis servidores de autenticación.
La segunda estrategia de seguridad giró alrededor de la autenticación basada en navegador para entornos en los que se requiere una máxima compatibilidad con los equipos ya existentes, mientras que la tercera se basa en la utilización de IPSec como mecanismo de seguridad y autenticación para accesos inalámbricos. La cuarta prueba mostró los puntos flacos del algoritmo de encriptación de WEP, que pese a ellos, siempre es mejor que nada.
Interoperatividad con 802.1X
Los profesionales de red en busca de tecnología que permita disfrutar de las ventajas de las LAN inalámbricas sin renunciar a la seguridad que ofrecen la encriptación y la autenticación verán un alivio en la norma 802.1X. Como protocolo de autenticación de Nivel 2, no permite a nadie acceder a la red hasta que no sea autenticado apropiadamente. Gracias a la posibilidad de establecer claves de encriptación inalámbricas, 802.1x soluciona además los peores problemas de WEP (Wired Equivalent Privacy), evitando el uso de claves ampliamente distribuidas. El único inconveniente de 802.1X es que se trata de una tecnología emergente que obliga a actualizar el software cliente de todos los PC y los servidores de autenticación, así como a configurar apropiadamente los puntos de acceso inalámbrico.
Los nuevos productos que soportan 802.1X han surgido rápidamente, e iLabs ha realizado la mayor demostración pública del funcionamiento del estándar. Desde la última ronda de pruebas de los laboratorios, realizada el pasado mes de mayo, el equipo ha añadido a su despliegue inalámbrico seguro un nuevo servidor de autenticación (Aegis, de Meetinghouse Data Communications), un cliente 802.1x Mac OS (también de Meetinghouse), y, en prototipo, soporte de Protected Extensible Authentication Protocol (PEAP) en un cliente Windows XP y un servidor de autenticación ACS de Cisco. PEAP y Tunneled Transport Layer Security (TTLS) son dos propuestas que añaden a la especificación 802.1X soporte de mecanismos de autenticación ya existentes, como nombre de usuario/contraseña y tarjetas token. Sin embargo, ninguno ha alcanzado el estado de estándar. Internet Engineering Task Force (IETF) requiere que cualquier protocolo estandarizado sea probado debidamente, y tener múltiples implementaciones interoperativas es un paso crítico en el camino.
TTLS ofrece soporte para un rango más amplio de métodos de autenticación heredados y fue implementado primero, por lo que debería ganarse el favor de los administradores de redes. Sin embargo, RSA Security, Microsoft y Cisco han propuesto PEAP. Aunque su procedencia no tiene trascendencia en el proceso de trabajo del IETF, las propuestas de estos gigantes suelen ser tomadas muy en serio.
Se probaron diferentes métodos de autenticación inalámbrica para ver como mezclar y emparejar productos en la red de iLabs. MD5, el método de autenticación más simple del mundo 802.1X, funcionó muy bien, pero algunos puntos de acceso, como los de Symbol, no lo soportan. Y ello es una buena cosa, porque MD5 no resulta apropiado para la autenticación 802.1X inalámbrica, ya que no establece claves WEP.
Cuando se probó TLS con certificados digitales, el único servidor de autenticación que dio problemas al soportar este método fue el de Microsoft. Se intentó utilizar autenticación TLS con una versión beta de .Net Server. Fue fácil establecer el servidor de autenticación 802.1X de .Net, pero sólo para MD5. Cuando se intentó pasar a autenticación TLS, usando certificados digitales, .Net Server no reconoció a la autoridad de certificación empleada, concretamente la de Netscape. Microsoft asume una implementación propietaria, con múltiples servidores, Active Directory y la autoridad de certificados de la compañía, lo que, obviamente, no representa la interoperatividad que se buscaba.
A pesar del revés sufrido con .Net Server, las pruebas se concentraron en los servidores 802.1X, añadiendo dos nuevos productos (de Cisco y Meetinghouse) a la lista y volviendo a probar los servidores de Funk Software, Hewlett-Packard, Microsoft y Secure Computing. Los resultados fueron sorprendentes. Aunque se trataba de productos nuevos y de código beta, se consiguió la colaboración de los equipos de desarrollo de los fabricantes para lograr que todo funcionase. Por ejemplo, Wind River, el OEM que se esconde detrás de muchos populares puntos de acceso, modificó su software para que pudiese pasar PEAP apropiadamente, después de que se descubriese una incompatibilidad con el protocolo.
Seguridad basada en navegador
Para algunas empresas, la "seguridad inalámbrica" tiene más que ver con el control de accesos que con la privacidad. En tal caso, medidas de seguridad estándar, como la que ofrece WEP (WEP-Wired Equivalent Privacy), no resultan útiles. Por ejemplo, en un centro de conferencias o cualquier otro punto donde exista una elevada concentración de potenciales usuarios (aeropuertos, estaciones, hoteles…), la aplicación de seguridad fundamental se reduce a realizar a controlar el tiempo que los individuos permanecen en la red a fin de que el propietario pueda cargar los costes en sus correspondientes facturas. Por el contrario, el uso interno de una LAN inalámbrica (WLAN) en una empresa obviará por lo general este punto para centrarse fundamentalmente en impedir el acceso a personas no autorizadas.
Para ilustrar este ejemplo, el equipo de iLabs construyó una red inalámbrica que permitía a los usuarios autenticarse utilizando tan sólo un navegador. Se trata de una tecnología disponib
Docenas de voluntarios se concentraron cerca de San Francisco para instalar y desplegar en una sola red una gran variedad de productos que emplean tecnologías inalámbricas al objeto de realizar pruebas de interoperatividad y compatibilidad. Después, el equipo de iLabs empaquetó el banco de pruebas y lo transportó a Atlanta, donde el público asistente a la edición de NetWorld+InterOp 2002 celebrada en esa ciudad en septiembre pudo experimentar con los productos probados.
Network World, la revista de networking y telecomunicaciones que IDG edita en Estados Unidos, tuvo acceso exclusivo a iLabs y desplazó hasta allí a diversos miembros de su Network World Global Test Alliance para conseguir información de primera mano sobre los resultados de los análisis.
El equipo de iLabs dividió las pruebas en cuatro partes, dedicadas específicamente cada una de ellas a una estrategia de seguridad diferente en función de los distintos requerimientos de las empresas. La red inalámbrica de iLabs está basada en 802.1X, el reciente estándar de IEEE para autenticación y autorización en LAN, y especialmente en LAN inalámbricas 802.11. El equipo de iLabs probó cinco clientes 802.1X, cinco puntos de acceso 802.11b y seis servidores de autenticación.
La segunda estrategia de seguridad giró alrededor de la autenticación basada en navegador para entornos en los que se requiere una máxima compatibilidad con los equipos ya existentes, mientras que la tercera se basa en la utilización de IPSec como mecanismo de seguridad y autenticación para accesos inalámbricos. La cuarta prueba mostró los puntos flacos del algoritmo de encriptación de WEP, que pese a ellos, siempre es mejor que nada.
Interoperatividad con 802.1X
Los profesionales de red en busca de tecnología que permita disfrutar de las ventajas de las LAN inalámbricas sin renunciar a la seguridad que ofrecen la encriptación y la autenticación verán un alivio en la norma 802.1X. Como protocolo de autenticación de Nivel 2, no permite a nadie acceder a la red hasta que no sea autenticado apropiadamente. Gracias a la posibilidad de establecer claves de encriptación inalámbricas, 802.1x soluciona además los peores problemas de WEP (Wired Equivalent Privacy), evitando el uso de claves ampliamente distribuidas. El único inconveniente de 802.1X es que se trata de una tecnología emergente que obliga a actualizar el software cliente de todos los PC y los servidores de autenticación, así como a configurar apropiadamente los puntos de acceso inalámbrico.
Los nuevos productos que soportan 802.1X han surgido rápidamente, e iLabs ha realizado la mayor demostración pública del funcionamiento del estándar. Desde la última ronda de pruebas de los laboratorios, realizada el pasado mes de mayo, el equipo ha añadido a su despliegue inalámbrico seguro un nuevo servidor de autenticación (Aegis, de Meetinghouse Data Communications), un cliente 802.1x Mac OS (también de Meetinghouse), y, en prototipo, soporte de Protected Extensible Authentication Protocol (PEAP) en un cliente Windows XP y un servidor de autenticación ACS de Cisco. PEAP y Tunneled Transport Layer Security (TTLS) son dos propuestas que añaden a la especificación 802.1X soporte de mecanismos de autenticación ya existentes, como nombre de usuario/contraseña y tarjetas token. Sin embargo, ninguno ha alcanzado el estado de estándar. Internet Engineering Task Force (IETF) requiere que cualquier protocolo estandarizado sea probado debidamente, y tener múltiples implementaciones interoperativas es un paso crítico en el camino.
TTLS ofrece soporte para un rango más amplio de métodos de autenticación heredados y fue implementado primero, por lo que debería ganarse el favor de los administradores de redes. Sin embargo, RSA Security, Microsoft y Cisco han propuesto PEAP. Aunque su procedencia no tiene trascendencia en el proceso de trabajo del IETF, las propuestas de estos gigantes suelen ser tomadas muy en serio.
Se probaron diferentes métodos de autenticación inalámbrica para ver como mezclar y emparejar productos en la red de iLabs. MD5, el método de autenticación más simple del mundo 802.1X, funcionó muy bien, pero algunos puntos de acceso, como los de Symbol, no lo soportan. Y ello es una buena cosa, porque MD5 no resulta apropiado para la autenticación 802.1X inalámbrica, ya que no establece claves WEP.
Cuando se probó TLS con certificados digitales, el único servidor de autenticación que dio problemas al soportar este método fue el de Microsoft. Se intentó utilizar autenticación TLS con una versión beta de .Net Server. Fue fácil establecer el servidor de autenticación 802.1X de .Net, pero sólo para MD5. Cuando se intentó pasar a autenticación TLS, usando certificados digitales, .Net Server no reconoció a la autoridad de certificación empleada, concretamente la de Netscape. Microsoft asume una implementación propietaria, con múltiples servidores, Active Directory y la autoridad de certificados de la compañía, lo que, obviamente, no representa la interoperatividad que se buscaba.
A pesar del revés sufrido con .Net Server, las pruebas se concentraron en los servidores 802.1X, añadiendo dos nuevos productos (de Cisco y Meetinghouse) a la lista y volviendo a probar los servidores de Funk Software, Hewlett-Packard, Microsoft y Secure Computing. Los resultados fueron sorprendentes. Aunque se trataba de productos nuevos y de código beta, se consiguió la colaboración de los equipos de desarrollo de los fabricantes para lograr que todo funcionase. Por ejemplo, Wind River, el OEM que se esconde detrás de muchos populares puntos de acceso, modificó su software para que pudiese pasar PEAP apropiadamente, después de que se descubriese una incompatibilidad con el protocolo.
Seguridad basada en navegador
Para algunas empresas, la "seguridad inalámbrica" tiene más que ver con el control de accesos que con la privacidad. En tal caso, medidas de seguridad estándar, como la que ofrece WEP (WEP-Wired Equivalent Privacy), no resultan útiles. Por ejemplo, en un centro de conferencias o cualquier otro punto donde exista una elevada concentración de potenciales usuarios (aeropuertos, estaciones, hoteles…), la aplicación de seguridad fundamental se reduce a realizar a controlar el tiempo que los individuos permanecen en la red a fin de que el propietario pueda cargar los costes en sus correspondientes facturas. Por el contrario, el uso interno de una LAN inalámbrica (WLAN) en una empresa obviará por lo general este punto para centrarse fundamentalmente en impedir el acceso a personas no autorizadas.
Para ilustrar este ejemplo, el equipo de iLabs construyó una red inalámbrica que permitía a los usuarios autenticarse utilizando tan sólo un navegador. Se trata de una tecnología disponib
