Seguridad en el aire
Las redes locales inalámbricas 802.11 proporcionan a las empresas un gran nivel de flexibilidad y movilidad, pero también suponen un serio reto de seguridad para los administradores de redes. Industria y organismos de estandarización trabajan para garantizar la seguridad en el aire.
El pasado verano saltaron las alarmas. Las sospechas de la entidad de investigación ISAAC (Internet, Security, Applications, Authentication and Criptography) se confirmaron: en agosto tres expertos en seguridad de AT&T descubrieron la manera de conseguir las claves utilizadas por el sistema de encriptación WEP (Wired Equivalent Privacy), empleado por las LAN inalámbricas 802.11a y 802.11b. Como era de esperar, cundió rápidamente la preocupación entre los usuarios de estos sistemas. No en vano, si la seguridad es hoy día uno de los asuntos prioritarios para los responsables de redes, cuando se trata de infraestructuras sin cables, obviamente la preocupación es mayor.
Sin embargo, el sector reaccionó con la rapidez necesaria. Tanto IEEE como los fabricantes se pusieron manos a la obra para solucionar estas y otras cuestiones de seguridad que afectan a los entornos inalámbricos. No sólo el grupo de trabajo de IEEE encargado del nuevo mecanismo de autenticación 802.1 para WLAN está ya desarrollando la norma con el objetivo añadido de minimizar estas vulnerabilidades de WEP; también los propios fabricantes de WLAN adoptaron esquemas de encriptación propietarios que minimizan la exposición a potenciales peligros.
Por supuesto, las firmas especializadas en seguridad tampoco se quedaron cruzadas de brazos. El mismo mes de agosto pasado empresas como Guardent y SafeNet empezaron a preparar soluciones que ayudan a los usuarios a cubrir las debilidades descubiertas de WEP.
Teniendo en cuenta tales medidas en marcha, ISAAC y WECA (Wireless Ethernet Compatibility Alliance) recomiendan a las empresas seguir utilizando el sistema de encriptación WEP de las WLAN 802.11 pero reforzando la seguridad de estas redes inalámbricas con la amplia gama de herramientas hoy disponibles, como VPN (redes privadas virtuales), IPSec (IP Security), cortafuegos y servidores de autenticación RADIUS. Se impone, pues, la precaución.
AUTENTICACIÓN CENTRALIZADA
Pero la seguridad depende de mucho más que la sola encriptación. Es necesario disponer de un sólido mecanismo de autenticación que, además de garantizar la identidad de los usuarios y estaciones de trabajo, ayude a escalar sin temores los entornos inalámbricos 802. La nueva norma 802.1X ayuda en la tarea proporcionando un mecanismo estándar para autenticar centralmente estaciones y usuarios, simplificando así el soporte de cientos o miles de puestos. 802.1X será además lo suficientemente flexible para soportar distintos algoritmos de autenticación, y, como estándar abierto, facilitará a los fabricantes el desarrollo de innovaciones y mejoras complementarias.
Básicamente, 802.1X se apoya en el protocolo de autenticación EAP (Extensible Authentication Protocol), vinculándolo al medio físico de la red. Para ello, los mensajes EAP son encapsulados en mensajes 802.1X, creando lo que se conoce como EAP over LAN.
ESQUEMA FUNCIONAL
La autenticación 802.1X para WLAN se basa en tres componentes principales: el solicitante (generalmente el software cliente), el autenticador (el punto de acceso) y el servidor de autenticación (por lo general, pero no necesariamente, un servidor RADIUS -Remote Authentication Dial-In User Service).
Cuando un puesto cliente intenta conectar con el punto de acceso, éste le detecta y activa su puerto para proceder a la autenticación, al tiempo que le desautoriza a que transmita ningún tipo de tráfico salvo el relacionado con 802.x. El cliente entonces, utilizando EAP, envía un mensaje de inicio al punto de acceso, que, al recibirlo, devuelve un mensaje de petición de identidad. El cliente le remite acto seguido un mensaje de respuesta con su identidad, que será pasado al servidor de autenticación. El resultado es un paquete de aceptación o rechazo que el servidor envía al punto de acceso, que, nada más recibirlo, vuelve a autorizar al puerto del cliente a que comience la transmisión.
Con este simple esquema centralizado de funcionamiento, 802.1X tiene el potencial de simplificar la gestión de la seguridad de grandes despliegues inalámbricos. Pero hay que recordar que la autenticación no es la única pieza del puzzle de la seguridad de los entornos 802.11. Su utilización requiere obviamente la presencia de un algoritmo de autenticación y de un sistema de encriptación de datos. Juntos, los tres componentes ofrecen a los administradores de redes un modo efectivo de proporcionar servicios de red móviles, flexibles, gestionables y escalables.
802.1X en acción
-----------------------
1- Cuando el cliente precisa realizar una transacción, envía antes un mensaje de “inicio” a un punto de acceso, el cual solicita su identidad e incapacita al puerto para cursar tráfico, salvo el relacionado con 802.x.
2- El cliente contesta con un paquete de respuesta que contiene la identidad, y el punto de acceso lo envía a un servidor de autenticación.
3- El servidor de autenticación envía un paquete de “aceptación” al punto de acceso.
4- El punto de acceso devuelve de nuevo el puerto del cliente a un estado autorizado y comienza la transmisión.
La nueva norma 802.1X proporciona un mecanismo estándar para autenticar centralmente estaciones y usuarios, simplificando así el soporte de cientos o miles de puestos. 802.1X será además lo suficientemente flexible para soportar distintos algoritmos de autenticación, y, como estándar abierto, facilitará a los fabricantes el desarrollo de innovaciones y mejoras complementarias.
El pasado verano saltaron las alarmas. Las sospechas de la entidad de investigación ISAAC (Internet, Security, Applications, Authentication and Criptography) se confirmaron: en agosto tres expertos en seguridad de AT&T descubrieron la manera de conseguir las claves utilizadas por el sistema de encriptación WEP (Wired Equivalent Privacy), empleado por las LAN inalámbricas 802.11a y 802.11b. Como era de esperar, cundió rápidamente la preocupación entre los usuarios de estos sistemas. No en vano, si la seguridad es hoy día uno de los asuntos prioritarios para los responsables de redes, cuando se trata de infraestructuras sin cables, obviamente la preocupación es mayor.
Sin embargo, el sector reaccionó con la rapidez necesaria. Tanto IEEE como los fabricantes se pusieron manos a la obra para solucionar estas y otras cuestiones de seguridad que afectan a los entornos inalámbricos. No sólo el grupo de trabajo de IEEE encargado del nuevo mecanismo de autenticación 802.1 para WLAN está ya desarrollando la norma con el objetivo añadido de minimizar estas vulnerabilidades de WEP; también los propios fabricantes de WLAN adoptaron esquemas de encriptación propietarios que minimizan la exposición a potenciales peligros.
Por supuesto, las firmas especializadas en seguridad tampoco se quedaron cruzadas de brazos. El mismo mes de agosto pasado empresas como Guardent y SafeNet empezaron a preparar soluciones que ayudan a los usuarios a cubrir las debilidades descubiertas de WEP.
Teniendo en cuenta tales medidas en marcha, ISAAC y WECA (Wireless Ethernet Compatibility Alliance) recomiendan a las empresas seguir utilizando el sistema de encriptación WEP de las WLAN 802.11 pero reforzando la seguridad de estas redes inalámbricas con la amplia gama de herramientas hoy disponibles, como VPN (redes privadas virtuales), IPSec (IP Security), cortafuegos y servidores de autenticación RADIUS. Se impone, pues, la precaución.
AUTENTICACIÓN CENTRALIZADA
Pero la seguridad depende de mucho más que la sola encriptación. Es necesario disponer de un sólido mecanismo de autenticación que, además de garantizar la identidad de los usuarios y estaciones de trabajo, ayude a escalar sin temores los entornos inalámbricos 802. La nueva norma 802.1X ayuda en la tarea proporcionando un mecanismo estándar para autenticar centralmente estaciones y usuarios, simplificando así el soporte de cientos o miles de puestos. 802.1X será además lo suficientemente flexible para soportar distintos algoritmos de autenticación, y, como estándar abierto, facilitará a los fabricantes el desarrollo de innovaciones y mejoras complementarias.
Básicamente, 802.1X se apoya en el protocolo de autenticación EAP (Extensible Authentication Protocol), vinculándolo al medio físico de la red. Para ello, los mensajes EAP son encapsulados en mensajes 802.1X, creando lo que se conoce como EAP over LAN.
ESQUEMA FUNCIONAL
La autenticación 802.1X para WLAN se basa en tres componentes principales: el solicitante (generalmente el software cliente), el autenticador (el punto de acceso) y el servidor de autenticación (por lo general, pero no necesariamente, un servidor RADIUS -Remote Authentication Dial-In User Service).
Cuando un puesto cliente intenta conectar con el punto de acceso, éste le detecta y activa su puerto para proceder a la autenticación, al tiempo que le desautoriza a que transmita ningún tipo de tráfico salvo el relacionado con 802.x. El cliente entonces, utilizando EAP, envía un mensaje de inicio al punto de acceso, que, al recibirlo, devuelve un mensaje de petición de identidad. El cliente le remite acto seguido un mensaje de respuesta con su identidad, que será pasado al servidor de autenticación. El resultado es un paquete de aceptación o rechazo que el servidor envía al punto de acceso, que, nada más recibirlo, vuelve a autorizar al puerto del cliente a que comience la transmisión.
Con este simple esquema centralizado de funcionamiento, 802.1X tiene el potencial de simplificar la gestión de la seguridad de grandes despliegues inalámbricos. Pero hay que recordar que la autenticación no es la única pieza del puzzle de la seguridad de los entornos 802.11. Su utilización requiere obviamente la presencia de un algoritmo de autenticación y de un sistema de encriptación de datos. Juntos, los tres componentes ofrecen a los administradores de redes un modo efectivo de proporcionar servicios de red móviles, flexibles, gestionables y escalables.
802.1X en acción
-----------------------
1- Cuando el cliente precisa realizar una transacción, envía antes un mensaje de “inicio” a un punto de acceso, el cual solicita su identidad e incapacita al puerto para cursar tráfico, salvo el relacionado con 802.x.
2- El cliente contesta con un paquete de respuesta que contiene la identidad, y el punto de acceso lo envía a un servidor de autenticación.
3- El servidor de autenticación envía un paquete de “aceptación” al punto de acceso.
4- El punto de acceso devuelve de nuevo el puerto del cliente a un estado autorizado y comienza la transmisión.
La nueva norma 802.1X proporciona un mecanismo estándar para autenticar centralmente estaciones y usuarios, simplificando así el soporte de cientos o miles de puestos. 802.1X será además lo suficientemente flexible para soportar distintos algoritmos de autenticación, y, como estándar abierto, facilitará a los fabricantes el desarrollo de innovaciones y mejoras complementarias.
