La seguridad de IEEE 802.11 consta de cifrado y de autenticación. El cifrado se utiliza para cifrar o codificar, los datos de las tramas inalámbricas antes de que se envíen a la red inalámbrica. Con la autenticación se requiere que los clientes inalámbricos se autentiquen antes de que se les permita unirse a la red inalámbrica.
Cifrado
Están disponibles los siguientes tipos de cifrado para su uso con las redes 802.11:
• WEP
• WPA
• WPA2
Cifrado WEP
Para el cifrado de los datos inalámbricos, el estándar 802.11 original definió la privacidad equivalente por cable (WEP). Debido a la naturaleza de las redes inalámbricas, la protección del acceso físico a la red resulta difícil. A diferencia de una red con cables donde se requiere una conexión física directa, cabe la posibilidad de que cualquier usuario dentro del alcance de un punto de acceso inalámbrico o un cliente inalámbrico pueda enviar y recibir tramas, así como escuchar otras tramas que se envían, con lo que la interceptación y el espionaje remoto de tramas de red inalámbrica resultan muy sencillos.
WEP utiliza una clave compartida y secreta para cifrar los datos del nodo emisor. El nodo receptor utiliza la misma clave WEP para descifrar los datos. Para el modo de infraestructura, la clave WEP debe estar configurada en el punto de acceso inalámbrico y en todos los clientes inalámbricos. Para el modo ad hoc, la clave WEP debe estar configurada en todos los clientes inalámbricos.
Tal como se especifica en los estándares de IEEE 802.11, WEP utiliza una clave secreta de 40 bits. La mayor parte del hardware inalámbrico para IEEE 802.11 también admite el uso de una clave WEP de 104 bits. Si su hardware admite ambas, utilice una clave de 104 bits.
Algunos proveedores de productos inalámbricos anuncian el uso de una clave de cifrado inalámbrico de 128 bits. Es la suma de una clave WEP de 104 bits y otro número empleado durante el proceso de cifrado denominado vector de inicialización (un número de 24 bits). Asimismo, algunos puntos de acceso inalámbricos recientes admiten el uso de una clave de cifrado inalámbrico de 152 bits. Se trata de una clave WEP de 128 bits sumada al vector de inicialización de 24 bits. Los cuadros de diálogo de configuración de Windows XP no admiten claves WEP de 128 bits. Si debe utilizar claves de cifrado inalámbrico de 152 bits, deshabilite la configuración automática desactivando la casilla de verificación Usar Windows para establecer mi config. de red inalámbrica en la ficha Redes inalámbricas de las propiedades de la conexión inalámbrica en Conexiones de red y emplee la utilidad de configuración incluida con el adaptador de red inalámbrico.
Elección de una clave WEP
La clave WEP debe ser una secuencia aleatoria de caracteres de teclado (letras mayúsculas y minúsculas, números y signos de puntuación) o dígitos hexadecimales (números del 0 al 9 y letras de la A a la F). Cuanto más aleatoria sea la clave WEP, más seguro será su uso.
Una clave WEP basada en una palabra (como un nombre de compañía en el caso de una pequeña empresa o el apellido si se trata de una red doméstica) o en una frase fácil de recordar se puede averiguar fácilmente. Después de que el usuario malintencionado haya determinado la clave WEP, puede descifrar las tramas cifradas con WEP, cifrar tramas WEP correctamente y comenzar a atacar la red.
Aunque la clave WEP sea aleatoria, todavía se puede averiguar si se recopila y analiza una gran cantidad de datos cifrados con la misma clave. Por lo tanto, se recomienda cambiar la clave WEP por una nueva secuencia aleatoria periódicamente, por ejemplo, cada tres meses.
Cifrado WPA
IEEE 802.11i es un nuevo estándar que especifica mejoras en la seguridad de las redes locales inalámbricas. El estándar 802.11i soluciona muchos de los problemas de seguridad del estándar 802.11 original. Mientras se ratifica el nuevo estándar IEEE 802.11i, los proveedores de productos inalámbricos han acordado un estándar intermedio interoperable denominado WPA™ (acceso protegido Wi-Fi).
Con WPA, el cifrado se realiza mediante TKIP (Protocolo de integridad de claves temporales), que reemplaza WEP por un algoritmo de cifrado más seguro. A diferencia de WEP, TKIP proporciona la determinación de una única clave de cifrado de unidifusión de inicio para cada autenticación y el cambio sincronizado de la clave de cifrado de unidifusión para cada trama. Debido a que las claves TKIP se determinan automáticamente, no es necesario configurar una clave de cifrado para WPA.
Cifrado WPA2
WPA2™ es una certificación de producto que otorga Wi-Fi Alliance y certifica que los equipos inalámbricos son compatibles con el estándar 802.11i. WPA2 admite las características de seguridad obligatorias adicionales del estándar 802.11i que no están incluidos para productos que admitan WPA. Con WPA2, el cifrado se realiza mediante AES (estándar de cifrado avanzado), que también reemplaza WEP por un algoritmo de cifrado más seguro. Al igual que TKIP para WPA, AES proporciona la determinación de una clave de cifrado de unidifusión de inicio exclusiva para cada autenticación y el cambio sincronizado de la clave de cifrado de unidifusión para cada trama. Debido a que las claves AES se determinan automáticamente, no es necesario configurar una clave de cifrado para WPA2. WPA2 es la forma más eficaz de seguridad inalámbrica.
Autenticación
Están disponibles los siguientes tipos de autenticación para utilizarlos con las redes 802.11:
• Sistema abierto
• Clave compartida
• IEEE 802.1X
• WPA o WPA2 con clave previamente compartida
Sistema abierto
La autenticación de sistema abierto no es realmente una autenticación, porque todo lo que hace es identificar un nodo inalámbrico mediante su dirección de hardware de adaptador inalámbrico. Una dirección de hardware es una dirección asignada al adaptador de red durante su fabricación y se utiliza para identificar la dirección de origen y de destino de las tramas inalámbricas.
Para el modo de infraestructura, aunque algunos puntos de acceso inalámbricos permiten configurar una lista de direcciones de hardware permitidas para la autenticación de sistema abierto, resulta bastante sencillo para un usuario malintencionado capturar las tramas enviadas en la red inalámbrica para determinar la dirección de hardware de los nodos inalámbricos permitidos y, a continuación, utilizar la dirección de hardware para realizar la autenticación de sistema abierto y unirse a su red inalámbrica.
Para el modo ad hoc, no existe equivalencia para la configuración de la lista de direcciones de hardware permitidas en Windows XP. Por lo tanto, se puede utilizar cualquier dirección de hardware para realizar la autenticación de sistema abierto y unirse a su red inalámbrica basada en el modo ad hoc.
Clave compartida
La autenticación de clave compartida comprueba que el cliente inalámbrico que se va a unir a la red inalámbrica conoce una clave secreta. Durante el proceso de autenticación, el cliente inalámbrico demuestra que conoce la clave secreta sin realmente enviarla. Para el modo de infraestructura, todos los clientes inalámbricos y el punto de acceso inalámbrico utilizan la misma clave compartida. Para el modo ad hoc, todos los clientes inalámbricos de la red inalámbrica ad hoc utilizan la misma clave compartida.
IEEE 802.1X
El estándar IEEE 802.1X exige la autenticación de un nodo de red para que pueda comenzar a intercambiar datos con la red. Si se produce un error en el proceso de autenticación, se deniega el intercambio de tramas con la red. Aunque este estándar se diseñó para las redes Ethernet inalámbricas, se ha adaptado para su uso con 802.11. IEEE 802.1X utiliza EAP (Protocolo de autenticación extensible) y métodos de autenticación específicos denominados tipos EAP para autenticar el nodo de red.
IEEE 802.1X proporciona una autenticación mucho más segura que el sistema abierto o la clave compartida y la solución recomendada para la autenticación inalámbrica de Windows XP es el uso de EAP-TLS (Transport Layer Security) y certificados digitales para la autenticación. Para utilizar la autenticación EAP-TLS para las conexiones inalámbricas, debe crear una infraestructura de autenticación que conste de un dominio de Active Directory, servidores RADIUS (Servicio de usuario de acceso telefónico de autenticación remota) y entidades emisoras de certificados para emitir certificados a los servidores RADIUS y los clientes inalámbricos. Esta infraestructura de autenticación resulta más adecuada para grandes empresas y organizaciones empresariales, pero no es práctica para una oficina doméstica o de pequeña empresa.
La solución al uso de IEEE 802.1X y EAP-TLS para las pequeñas y medianas empresas es PEAP (EAP protegido) y el protocolo de autenticación por desafío mutuo de Microsoft, versión 2 (MS-CHAP v2) tipo EAP. Con PEAP-MS-CHAP v2, se puede lograr un acceso inalámbrico seguro mediante la instalación de un certificado adquirido en un servidor RADIUS y utilizando credenciales de nombre y contraseña para la autenticación. Windows XP con SP2, Windows XP con SP1, Windows Server 2003 y Windows 2000 con Service Pack 4 (SP4) admiten PEAP-MS-CHAP v2.
WPA o WPA2 con clave previamente compartida
Para una red doméstica o de pequeña empresa donde no se pueda realizar la autenticación 802.1X, WPA y WPA2 proporcionan un método de autenticación de clave previamente compartida para redes inalámbricas en modo de infraestructura. La clave previamente compartida se configura en el punto de acceso inalámbrico y en cada cliente inalámbrico. La clave de cifrado WPA o WPA2 inicial se deriva del proceso de autenticación, que comprueba que tanto el cliente inalámbrico como el punto de acceso inalámbrico están configurados con la misma clave previamente compartida. Cada clave de cifrado WPA o WPA2 inicial es exclusiva.
La clave WPA o WPA2 previamente compartida debe ser una secuencia aleatoria de caracteres de teclado (letras mayúsculas y minúsculas, números y signos de puntuación) de una longitud mínima de 20 caracteres o dígitos hexadecimales (números del 0 al 9 y letras de la A a la F) de una longitud mínima de 24 dígitos hexadecimales. Cuanto más aleatoria sea la clave WPA o WPA2 previamente compartida, más seguro será su uso. A diferencia de la clave WEP, la clave WPA o WPA2 previamente compartida no está sujeta a la determinación mediante la recopilación de una gran cantidad de datos cifrados. Por lo tanto, no es necesario cambiar la clave WPA o WPA2 previamente compartida con tanta frecuencia.
Cifrado
Están disponibles los siguientes tipos de cifrado para su uso con las redes 802.11:
• WEP
• WPA
• WPA2
Cifrado WEP
Para el cifrado de los datos inalámbricos, el estándar 802.11 original definió la privacidad equivalente por cable (WEP). Debido a la naturaleza de las redes inalámbricas, la protección del acceso físico a la red resulta difícil. A diferencia de una red con cables donde se requiere una conexión física directa, cabe la posibilidad de que cualquier usuario dentro del alcance de un punto de acceso inalámbrico o un cliente inalámbrico pueda enviar y recibir tramas, así como escuchar otras tramas que se envían, con lo que la interceptación y el espionaje remoto de tramas de red inalámbrica resultan muy sencillos.
WEP utiliza una clave compartida y secreta para cifrar los datos del nodo emisor. El nodo receptor utiliza la misma clave WEP para descifrar los datos. Para el modo de infraestructura, la clave WEP debe estar configurada en el punto de acceso inalámbrico y en todos los clientes inalámbricos. Para el modo ad hoc, la clave WEP debe estar configurada en todos los clientes inalámbricos.
Tal como se especifica en los estándares de IEEE 802.11, WEP utiliza una clave secreta de 40 bits. La mayor parte del hardware inalámbrico para IEEE 802.11 también admite el uso de una clave WEP de 104 bits. Si su hardware admite ambas, utilice una clave de 104 bits.
Algunos proveedores de productos inalámbricos anuncian el uso de una clave de cifrado inalámbrico de 128 bits. Es la suma de una clave WEP de 104 bits y otro número empleado durante el proceso de cifrado denominado vector de inicialización (un número de 24 bits). Asimismo, algunos puntos de acceso inalámbricos recientes admiten el uso de una clave de cifrado inalámbrico de 152 bits. Se trata de una clave WEP de 128 bits sumada al vector de inicialización de 24 bits. Los cuadros de diálogo de configuración de Windows XP no admiten claves WEP de 128 bits. Si debe utilizar claves de cifrado inalámbrico de 152 bits, deshabilite la configuración automática desactivando la casilla de verificación Usar Windows para establecer mi config. de red inalámbrica en la ficha Redes inalámbricas de las propiedades de la conexión inalámbrica en Conexiones de red y emplee la utilidad de configuración incluida con el adaptador de red inalámbrico.
Elección de una clave WEP
La clave WEP debe ser una secuencia aleatoria de caracteres de teclado (letras mayúsculas y minúsculas, números y signos de puntuación) o dígitos hexadecimales (números del 0 al 9 y letras de la A a la F). Cuanto más aleatoria sea la clave WEP, más seguro será su uso.
Una clave WEP basada en una palabra (como un nombre de compañía en el caso de una pequeña empresa o el apellido si se trata de una red doméstica) o en una frase fácil de recordar se puede averiguar fácilmente. Después de que el usuario malintencionado haya determinado la clave WEP, puede descifrar las tramas cifradas con WEP, cifrar tramas WEP correctamente y comenzar a atacar la red.
Aunque la clave WEP sea aleatoria, todavía se puede averiguar si se recopila y analiza una gran cantidad de datos cifrados con la misma clave. Por lo tanto, se recomienda cambiar la clave WEP por una nueva secuencia aleatoria periódicamente, por ejemplo, cada tres meses.
Cifrado WPA
IEEE 802.11i es un nuevo estándar que especifica mejoras en la seguridad de las redes locales inalámbricas. El estándar 802.11i soluciona muchos de los problemas de seguridad del estándar 802.11 original. Mientras se ratifica el nuevo estándar IEEE 802.11i, los proveedores de productos inalámbricos han acordado un estándar intermedio interoperable denominado WPA™ (acceso protegido Wi-Fi).
Con WPA, el cifrado se realiza mediante TKIP (Protocolo de integridad de claves temporales), que reemplaza WEP por un algoritmo de cifrado más seguro. A diferencia de WEP, TKIP proporciona la determinación de una única clave de cifrado de unidifusión de inicio para cada autenticación y el cambio sincronizado de la clave de cifrado de unidifusión para cada trama. Debido a que las claves TKIP se determinan automáticamente, no es necesario configurar una clave de cifrado para WPA.
Cifrado WPA2
WPA2™ es una certificación de producto que otorga Wi-Fi Alliance y certifica que los equipos inalámbricos son compatibles con el estándar 802.11i. WPA2 admite las características de seguridad obligatorias adicionales del estándar 802.11i que no están incluidos para productos que admitan WPA. Con WPA2, el cifrado se realiza mediante AES (estándar de cifrado avanzado), que también reemplaza WEP por un algoritmo de cifrado más seguro. Al igual que TKIP para WPA, AES proporciona la determinación de una clave de cifrado de unidifusión de inicio exclusiva para cada autenticación y el cambio sincronizado de la clave de cifrado de unidifusión para cada trama. Debido a que las claves AES se determinan automáticamente, no es necesario configurar una clave de cifrado para WPA2. WPA2 es la forma más eficaz de seguridad inalámbrica.
Autenticación
Están disponibles los siguientes tipos de autenticación para utilizarlos con las redes 802.11:
• Sistema abierto
• Clave compartida
• IEEE 802.1X
• WPA o WPA2 con clave previamente compartida
Sistema abierto
La autenticación de sistema abierto no es realmente una autenticación, porque todo lo que hace es identificar un nodo inalámbrico mediante su dirección de hardware de adaptador inalámbrico. Una dirección de hardware es una dirección asignada al adaptador de red durante su fabricación y se utiliza para identificar la dirección de origen y de destino de las tramas inalámbricas.
Para el modo de infraestructura, aunque algunos puntos de acceso inalámbricos permiten configurar una lista de direcciones de hardware permitidas para la autenticación de sistema abierto, resulta bastante sencillo para un usuario malintencionado capturar las tramas enviadas en la red inalámbrica para determinar la dirección de hardware de los nodos inalámbricos permitidos y, a continuación, utilizar la dirección de hardware para realizar la autenticación de sistema abierto y unirse a su red inalámbrica.
Para el modo ad hoc, no existe equivalencia para la configuración de la lista de direcciones de hardware permitidas en Windows XP. Por lo tanto, se puede utilizar cualquier dirección de hardware para realizar la autenticación de sistema abierto y unirse a su red inalámbrica basada en el modo ad hoc.
Clave compartida
La autenticación de clave compartida comprueba que el cliente inalámbrico que se va a unir a la red inalámbrica conoce una clave secreta. Durante el proceso de autenticación, el cliente inalámbrico demuestra que conoce la clave secreta sin realmente enviarla. Para el modo de infraestructura, todos los clientes inalámbricos y el punto de acceso inalámbrico utilizan la misma clave compartida. Para el modo ad hoc, todos los clientes inalámbricos de la red inalámbrica ad hoc utilizan la misma clave compartida.
IEEE 802.1X
El estándar IEEE 802.1X exige la autenticación de un nodo de red para que pueda comenzar a intercambiar datos con la red. Si se produce un error en el proceso de autenticación, se deniega el intercambio de tramas con la red. Aunque este estándar se diseñó para las redes Ethernet inalámbricas, se ha adaptado para su uso con 802.11. IEEE 802.1X utiliza EAP (Protocolo de autenticación extensible) y métodos de autenticación específicos denominados tipos EAP para autenticar el nodo de red.
IEEE 802.1X proporciona una autenticación mucho más segura que el sistema abierto o la clave compartida y la solución recomendada para la autenticación inalámbrica de Windows XP es el uso de EAP-TLS (Transport Layer Security) y certificados digitales para la autenticación. Para utilizar la autenticación EAP-TLS para las conexiones inalámbricas, debe crear una infraestructura de autenticación que conste de un dominio de Active Directory, servidores RADIUS (Servicio de usuario de acceso telefónico de autenticación remota) y entidades emisoras de certificados para emitir certificados a los servidores RADIUS y los clientes inalámbricos. Esta infraestructura de autenticación resulta más adecuada para grandes empresas y organizaciones empresariales, pero no es práctica para una oficina doméstica o de pequeña empresa.
La solución al uso de IEEE 802.1X y EAP-TLS para las pequeñas y medianas empresas es PEAP (EAP protegido) y el protocolo de autenticación por desafío mutuo de Microsoft, versión 2 (MS-CHAP v2) tipo EAP. Con PEAP-MS-CHAP v2, se puede lograr un acceso inalámbrico seguro mediante la instalación de un certificado adquirido en un servidor RADIUS y utilizando credenciales de nombre y contraseña para la autenticación. Windows XP con SP2, Windows XP con SP1, Windows Server 2003 y Windows 2000 con Service Pack 4 (SP4) admiten PEAP-MS-CHAP v2.
WPA o WPA2 con clave previamente compartida
Para una red doméstica o de pequeña empresa donde no se pueda realizar la autenticación 802.1X, WPA y WPA2 proporcionan un método de autenticación de clave previamente compartida para redes inalámbricas en modo de infraestructura. La clave previamente compartida se configura en el punto de acceso inalámbrico y en cada cliente inalámbrico. La clave de cifrado WPA o WPA2 inicial se deriva del proceso de autenticación, que comprueba que tanto el cliente inalámbrico como el punto de acceso inalámbrico están configurados con la misma clave previamente compartida. Cada clave de cifrado WPA o WPA2 inicial es exclusiva.
La clave WPA o WPA2 previamente compartida debe ser una secuencia aleatoria de caracteres de teclado (letras mayúsculas y minúsculas, números y signos de puntuación) de una longitud mínima de 20 caracteres o dígitos hexadecimales (números del 0 al 9 y letras de la A a la F) de una longitud mínima de 24 dígitos hexadecimales. Cuanto más aleatoria sea la clave WPA o WPA2 previamente compartida, más seguro será su uso. A diferencia de la clave WEP, la clave WPA o WPA2 previamente compartida no está sujeta a la determinación mediante la recopilación de una gran cantidad de datos cifrados. Por lo tanto, no es necesario cambiar la clave WPA o WPA2 previamente compartida con tanta frecuencia.
No hay comentarios:
Publicar un comentario