Seguridad wireless con WPA
WPA, basado en el borrador de la norma en desarrollo IEEE 802.11i, viene a cubrir los huecos e ineficiencias de WEP, el tradicional estándar de seguridad para entornos Wi-Fi. Este mecanismo de seguridad puede proporcionar excelentes niveles de seguridad y, al incluirse en las certificaciones Wi-Fi, se podrá disfrutar en el modo plug-and-play que tanto éxito ha dado a este tipo de redes wireless.
Ya es de sobra conocida la mala fama que rodea al que fue el primer remedio de seguridad adoptado por la industria para los entornos de LAN inalámbricas 802.11; una mala fama bien merecida que, a estas alturas, ya nadie discute. Se trata de Wired Equivalent Privacy (WEP), al decir de los expertos, tan fácil de “romper” como una cerradura de plástico. Aunque ciertamente el estándar es capaz de mantener a salvo los accesos wireless de algunos intentos de ataque, lo que ofrece es hoy muy poco para las empresas.
Para cubrir los huecos de WEP han aparecido diversas técnicas de seguridad, algunas, como Lightweight Extensible Authentication Protocol (LEAP), de Cisco Systems, muy en uso actualmente; pero todas ofrecen una interoperatividad muy limitada. En la mayoría de los casos, estas soluciones exigen que las tarjetas wireless cliente y los puntos de acceso sean del mismo fabricante, lo que no resulta muy práctico en entornos de acceso público, como los hotspots, ni en aquellas empresas cuyas WLAN hayan ido creciendo con soluciones de sobremesa de distinta marca.
Fundamentos básicos
Consciente desde un primer momento de la gran traba que representan las cuestiones de seguridad para la difusión de las WLAN, pronto la industria se puso a trabajar en el desarrollo de nuevas técnicas que garantizasen a las empresas, mientras llegan nuevos estándares, un uso de las redes inalámbricas al menos tan seguro como el de las infraestructuras cableadas. Así, el año pasado Wireless Fidelity Alliance (Wi-Fi Alliance), la entidad responsable de la certificación de las WLAN de acuerdo a las normas del IEEE, anunció Wi-Fi Protected Access (WPA), un mecanismo de seguridad basado en estándares que elimina las principales debilidades de seguridad de 802.11.
WPA se basa en el estado actual de desarrollo del estándar 802.11i, cuya ratificación final por IEEE no se espera hasta finales de año. Una fecha que Wi-Fi Alliance cree que supone una espera demasiada larga para los usuarios que ha querido reducir con el lanzamiento de WPA, ya presente en algunos productos desde esta primavera.
Una ventaja de WPA es que permite implementar WLAN abiertas y seguras en áreas públicas y universidades, donde antes depender de WEP era algo más que una temeridad. Una debilidad fundamental de WEP era que sus claves de encriptación eran estáticas, en vez de ser generadas dinámicamente. Esto supone que, para actualizar dichas claves, el personal TI debe visitar cada máquina, lo que si resulta molesto en un entorno universitario, o incluso corporativo de grandes dimensiones, llega a ser imposible del todo en los hotspots.
Con estas dificultades, la única alternativa posible en estos ambientes wireless era, sencillamente, no actualizar las claves, aumentando así la vulnerabilidad ante ataques e intrusos, o bien utilizar mecanismos propietarios más potentes, como LEAP, enfrentándose a serios problemas de interoperatividad. Ahora, afortunadamente, WPA proporciona una distribución de claves efectiva, al tiempo que permite su uso con tarjetas wireless multimarca.
Para asegurarse la aceptación de WPA por parte del mercado, Wi-Fi Alliance exigirá a partir de finales de año que se incorpore el mecanismo de seguridad a las nuevas certificaciones Wi-Fi. Así, se convertirá en la técnica de seguridad por defecto de todas las configuraciones de WLAN, una gran ayuda especialmente para la mayoría de los usuarios SOHO (small office/ home office). Para los productos ya instalados, se prevé además que los suministradores realicen las actualizaciones precisas.
En acción
WPA incluye los mecanismos Temporal Key Integrity Protocol (TKIP) y 802.1x, que, juntos, aportan encriptación dinámica de claves y autenticación mutua entre clientes móviles; es decir, genera periódicamente una clave de encriptación única para cada máquina cliente. TKIP introduce nuevos algoritmos, como vectores de iniciación de 48 bits extendidos y reglas de secuenciación asociadas, creación de claves por paquete, funciones de distribución y derivación de claves y código de integridad de mensaje (conocido como “Michael”). En la segunda versión que surja tras la aparición del estándar 802.11i, también incluirá el protocolo conocido como CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol), que aportará un nivel adicional de seguridad.
En las empresas, los entornos wireless pueden ser configurados de modo que WPA interactúe con un servidor de autenticación, como Remote Authentication Dial-In User Service (RADIUS), usando 802.1x con EAP (Extensible Authentication Protocol). De este modo, el servidor de autenticación almacenará las credenciales de los usuarios, lo que permitirá realizar un control e integración efectivos de la autenticación de los sistemas de información.
Sin embargo, la implementación de WPA en entornos SOHO no requiere servidor de autenticación, ya que, al igual que WEP, puede operar en modo de pre compartición de claves (conocido como “pass phrase”). Es decir, la clave pre compartida del cliente debe ser emparejada con la almacenada (“frase de paso”) en el punto de acceso. Cuando se produce el emparejamiento, el cliente consigue acceso a la parte cableada del punto de acceso.
Pero, pese a sus ventajas y a que es capaz de solucionar todos los problemas de seguridad conocidos de WEP, WPA nada puede hacer contra los ataques de denegación de servicio (DoS-denial-of-service), que suponen un enorme riesgo potencial para cualquier aplicación Wi-Fi en la que la pérdida de acceso conlleve una pérdida cierta o un problema de imagen, como en los hotspots.
Un hacker puede fácilmente “cargarse” una red protegida por WPA enviando al menos dos paquetes cada segundo usando la clave correcta. Cuando esto ocurre, el punto de acceso asume que un hacker está intentando acceder a la red, y desactiva todas las conexiones durante un minuto a fin de no poner en riesgo los recursos de la red. Como una cadena continua de datos no autorizados pueden hacer que la red deje de operar, es conveniente tener un proceso de backup preparado para las aplicaciones críticas.
Consideraciones de implementación
WPA es fundamentalmente una solución para el equipamiento ya existente, puesto que se puede instalar mediante sencillas actualizaciones de software en los puntos de acceso certificados como Wi-Fi. Esto hace posible disponer de una seguridad efectiva entre clientes con tarjetas wireless de diversas marcas, siempre que dichas tarjetas también soporten esta técnica de seguridad. Pero, en el mundo real, será muy habitual que los puntos de acceso con WPA den servicio a entornos de dispositivos cliente mixtos, donde unos soporten la especificación y otros no.
WPA será compatible con el estándar 802.11i, que incluirá como opción Advanced Encryption Standard (AES), más potente que RC4. Esto supone un inconveniente puesto que probablemente AES requiera la sustitución de los puntos de acceso ya instalados, pues precisa procesadores de mayor rendimiento. Com
Ya es de sobra conocida la mala fama que rodea al que fue el primer remedio de seguridad adoptado por la industria para los entornos de LAN inalámbricas 802.11; una mala fama bien merecida que, a estas alturas, ya nadie discute. Se trata de Wired Equivalent Privacy (WEP), al decir de los expertos, tan fácil de “romper” como una cerradura de plástico. Aunque ciertamente el estándar es capaz de mantener a salvo los accesos wireless de algunos intentos de ataque, lo que ofrece es hoy muy poco para las empresas.
Para cubrir los huecos de WEP han aparecido diversas técnicas de seguridad, algunas, como Lightweight Extensible Authentication Protocol (LEAP), de Cisco Systems, muy en uso actualmente; pero todas ofrecen una interoperatividad muy limitada. En la mayoría de los casos, estas soluciones exigen que las tarjetas wireless cliente y los puntos de acceso sean del mismo fabricante, lo que no resulta muy práctico en entornos de acceso público, como los hotspots, ni en aquellas empresas cuyas WLAN hayan ido creciendo con soluciones de sobremesa de distinta marca.
Fundamentos básicos
Consciente desde un primer momento de la gran traba que representan las cuestiones de seguridad para la difusión de las WLAN, pronto la industria se puso a trabajar en el desarrollo de nuevas técnicas que garantizasen a las empresas, mientras llegan nuevos estándares, un uso de las redes inalámbricas al menos tan seguro como el de las infraestructuras cableadas. Así, el año pasado Wireless Fidelity Alliance (Wi-Fi Alliance), la entidad responsable de la certificación de las WLAN de acuerdo a las normas del IEEE, anunció Wi-Fi Protected Access (WPA), un mecanismo de seguridad basado en estándares que elimina las principales debilidades de seguridad de 802.11.
WPA se basa en el estado actual de desarrollo del estándar 802.11i, cuya ratificación final por IEEE no se espera hasta finales de año. Una fecha que Wi-Fi Alliance cree que supone una espera demasiada larga para los usuarios que ha querido reducir con el lanzamiento de WPA, ya presente en algunos productos desde esta primavera.
Una ventaja de WPA es que permite implementar WLAN abiertas y seguras en áreas públicas y universidades, donde antes depender de WEP era algo más que una temeridad. Una debilidad fundamental de WEP era que sus claves de encriptación eran estáticas, en vez de ser generadas dinámicamente. Esto supone que, para actualizar dichas claves, el personal TI debe visitar cada máquina, lo que si resulta molesto en un entorno universitario, o incluso corporativo de grandes dimensiones, llega a ser imposible del todo en los hotspots.
Con estas dificultades, la única alternativa posible en estos ambientes wireless era, sencillamente, no actualizar las claves, aumentando así la vulnerabilidad ante ataques e intrusos, o bien utilizar mecanismos propietarios más potentes, como LEAP, enfrentándose a serios problemas de interoperatividad. Ahora, afortunadamente, WPA proporciona una distribución de claves efectiva, al tiempo que permite su uso con tarjetas wireless multimarca.
Para asegurarse la aceptación de WPA por parte del mercado, Wi-Fi Alliance exigirá a partir de finales de año que se incorpore el mecanismo de seguridad a las nuevas certificaciones Wi-Fi. Así, se convertirá en la técnica de seguridad por defecto de todas las configuraciones de WLAN, una gran ayuda especialmente para la mayoría de los usuarios SOHO (small office/ home office). Para los productos ya instalados, se prevé además que los suministradores realicen las actualizaciones precisas.
En acción
WPA incluye los mecanismos Temporal Key Integrity Protocol (TKIP) y 802.1x, que, juntos, aportan encriptación dinámica de claves y autenticación mutua entre clientes móviles; es decir, genera periódicamente una clave de encriptación única para cada máquina cliente. TKIP introduce nuevos algoritmos, como vectores de iniciación de 48 bits extendidos y reglas de secuenciación asociadas, creación de claves por paquete, funciones de distribución y derivación de claves y código de integridad de mensaje (conocido como “Michael”). En la segunda versión que surja tras la aparición del estándar 802.11i, también incluirá el protocolo conocido como CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol), que aportará un nivel adicional de seguridad.
En las empresas, los entornos wireless pueden ser configurados de modo que WPA interactúe con un servidor de autenticación, como Remote Authentication Dial-In User Service (RADIUS), usando 802.1x con EAP (Extensible Authentication Protocol). De este modo, el servidor de autenticación almacenará las credenciales de los usuarios, lo que permitirá realizar un control e integración efectivos de la autenticación de los sistemas de información.
Sin embargo, la implementación de WPA en entornos SOHO no requiere servidor de autenticación, ya que, al igual que WEP, puede operar en modo de pre compartición de claves (conocido como “pass phrase”). Es decir, la clave pre compartida del cliente debe ser emparejada con la almacenada (“frase de paso”) en el punto de acceso. Cuando se produce el emparejamiento, el cliente consigue acceso a la parte cableada del punto de acceso.
Pero, pese a sus ventajas y a que es capaz de solucionar todos los problemas de seguridad conocidos de WEP, WPA nada puede hacer contra los ataques de denegación de servicio (DoS-denial-of-service), que suponen un enorme riesgo potencial para cualquier aplicación Wi-Fi en la que la pérdida de acceso conlleve una pérdida cierta o un problema de imagen, como en los hotspots.
Un hacker puede fácilmente “cargarse” una red protegida por WPA enviando al menos dos paquetes cada segundo usando la clave correcta. Cuando esto ocurre, el punto de acceso asume que un hacker está intentando acceder a la red, y desactiva todas las conexiones durante un minuto a fin de no poner en riesgo los recursos de la red. Como una cadena continua de datos no autorizados pueden hacer que la red deje de operar, es conveniente tener un proceso de backup preparado para las aplicaciones críticas.
Consideraciones de implementación
WPA es fundamentalmente una solución para el equipamiento ya existente, puesto que se puede instalar mediante sencillas actualizaciones de software en los puntos de acceso certificados como Wi-Fi. Esto hace posible disponer de una seguridad efectiva entre clientes con tarjetas wireless de diversas marcas, siempre que dichas tarjetas también soporten esta técnica de seguridad. Pero, en el mundo real, será muy habitual que los puntos de acceso con WPA den servicio a entornos de dispositivos cliente mixtos, donde unos soporten la especificación y otros no.
WPA será compatible con el estándar 802.11i, que incluirá como opción Advanced Encryption Standard (AES), más potente que RC4. Esto supone un inconveniente puesto que probablemente AES requiera la sustitución de los puntos de acceso ya instalados, pues precisa procesadores de mayor rendimiento. Com
