Está en la página 1de 4

Seguridad wireless con WPA

WPA, basado en el borrador de la norma en desarrollo IEEE 802.11i, viene a cubrir los huecos e ineficiencias de WEP, el tradicional estndar de seguridad para entornos Wi-Fi. Este mecanismo de seguridad puede proporcionar excelentes niveles de seguridad y, al incluirse en las certificaciones Wi-Fi, se podr disfrutar en el modo plug-and-play que tanto xito ha dado a este tipo de redes wireless.

Ya es de sobra conocida la mala fama que rodea al que fue el primer remedio de seguridad adoptado por la industria para los entornos de LAN inalmbricas 802.11; una mala fama bien merecida que, a estas alturas, ya nadie discute. Se trata de Wired Equivalent Privacy (WEP), al decir de los expertos, tan fcil de romper como una cerradura de plstico. Aunque ciertamente el estndar es capaz de mantener a salvo los accesos wireless de algunos intentos de ataque, lo que ofrece es hoy muy poco para las empresas. Para cubrir los huecos de WEP han aparecido diversas tcnicas de seguridad, algunas, como Lightweight Extensible Authentication Protocol (LEAP), de Cisco Systems, muy en uso actualmente; pero todas ofrecen una interoperatividad muy limitada. En la mayora de los casos, estas soluciones exigen que las tarjetas wireless cliente y los puntos de acceso sean del mismo fabricante, lo que no resulta muy prctico en entornos de acceso pblico, como los hotspots, ni en aquellas empresas cuyas WLAN hayan ido creciendo con soluciones de sobremesa de distinta marca.

Fundamentos bsicos Consciente desde un primer momento de la gran traba que representan las cuestiones de seguridad para la difusin de las WLAN, pronto la industria se puso a trabajar en el desarrollo de nuevas tcnicas que garantizasen a las empresas, mientras llegan nuevos estndares, un uso de las redes inalmbricas al menos tan seguro como el de las infraestructuras cableadas. As, el ao pasado Wireless Fidelity Alliance (Wi-Fi Alliance), la entidad responsable de la certificacin de las WLAN de acuerdo a las normas del IEEE, anunci Wi-Fi Protected Access (WPA), un mecanismo de seguridad basado en estndares que elimina las principales debilidades de seguridad de 802.11.

WPA se basa en el estado actual de desarrollo del estndar 802.11i, cuya ratificacin final por IEEE no se espera hasta finales de ao. Una fecha que Wi-Fi Alliance cree que supone una espera demasiada larga para los usuarios que ha querido reducir con el lanzamiento de WPA, ya presente en algunos productos desde esta primavera. Una ventaja de WPA es que permite implementar WLAN abiertas y seguras en reas pblicas y universidades, donde antes depender de WEP era algo ms que una temeridad. Una debilidad fundamental de WEP era que sus claves de encriptacin eran estticas, en vez de ser generadas dinmicamente. Esto supone que, para actualizar dichas claves, el personal TI debe visitar cada mquina, lo que si resulta molesto en un entorno universitario, o incluso corporativo de grandes dimensiones, llega a ser imposible del todo en los hotspots. Con estas dificultades, la nica alternativa posible en estos ambientes wireless era, sencillamente, no actualizar las claves, aumentando as la vulnerabilidad ante ataques e intrusos, o bien utilizar mecanismos propietarios ms potentes, como LEAP, enfrentndose a serios problemas de interoperatividad. Ahora, afortunadamente, WPA proporciona una distribucin de claves efectiva, al tiempo que permite su uso con tarjetas wireless multimarca. Para asegurarse la aceptacin de WPA por parte del mercado, Wi-Fi Alliance exigir a partir de finales de ao que se incorpore el mecanismo de seguridad a las nuevas certificaciones Wi-Fi. As, se convertir en la tcnica de seguridad por defecto de todas las configuraciones de WLAN, una gran ayuda especialmente para la mayora de los usuarios SOHO (small office/ home office). Para los productos ya instalados, se prev adems que los suministradores realicen las actualizaciones precisas.

En accin WPA incluye los mecanismos Temporal Key Integrity Protocol (TKIP) y 802.1x, que, juntos, aportan encriptacin dinmica de claves y autenticacin mutua entre clientes mviles; es decir, genera peridicamente una clave de encriptacin nica para cada mquina cliente. TKIP introduce nuevos algoritmos, como vectores de iniciacin de 48 bits extendidos y reglas de secuenciacin asociadas, creacin de claves por paquete, funciones de distribucin y derivacin de claves y cdigo de integridad de mensaje (conocido como Michael). En la segunda versin que surja tras la aparicin del estndar 802.11i, tambin incluir el protocolo conocido como CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol), que aportar un nivel adicional de seguridad.

En las empresas, los entornos wireless pueden ser configurados de modo que WPA interacte con un servidor de autenticacin, como Remote Authentication Dial-In User Service (RADIUS), usando 802.1x con EAP (Extensible Authentication Protocol). De este modo, el servidor de autenticacin almacenar las credenciales de los usuarios, lo que permitir realizar un control e integracin efectivos de la autenticacin de los sistemas de informacin. Sin embargo, la implementacin de WPA en entornos SOHO no requiere servidor de autenticacin, ya que, al igual que WEP, puede operar en modo de pre comparticin de claves (conocido como pass phrase). Es decir, la clave pre compartida del cliente debe ser emparejada con la almacenada (frase de paso) en el punto de acceso. Cuando se produce el emparejamiento, el cliente consigue acceso a la parte cableada del punto de acceso. Pero, pese a sus ventajas y a que es capaz de solucionar todos los problemas de seguridad conocidos de WEP, WPA nada puede hacer contra los ataques de denegacin de servicio (DoS-denial-of-service), que suponen un enorme riesgo potencial para cualquier aplicacin Wi-Fi en la que la prdida de acceso conlleve una prdida cierta o un problema de imagen, como en los hotspots. Un hacker puede fcilmente cargarse una red protegida por WPA enviando al menos dos paquetes cada segundo usando la clave correcta. Cuando esto ocurre, el punto de acceso asume que un hacker est intentando acceder a la red, y desactiva todas las conexiones durante un minuto a fin de no poner en riesgo los recursos de la red. Como una cadena continua de datos no autorizados pueden hacer que la red deje de operar, es conveniente tener un proceso de backup preparado para las aplicaciones crticas.

Consideraciones de implementacin WPA es fundamentalmente una solucin para el equipamiento ya existente, puesto que se puede instalar mediante sencillas actualizaciones de software en los puntos de acceso certificados como Wi-Fi. Esto hace posible disponer de una seguridad efectiva entre clientes con tarjetas wireless de diversas marcas, siempre que dichas tarjetas tambin soporten esta tcnica de seguridad. Pero, en el mundo real, ser muy habitual que los puntos de acceso con WPA den servicio a entornos de dispositivos cliente mixtos, donde unos soporten la especificacin y otros no. WPA ser compatible con el estndar 802.11i, que incluir como opcin Advanced Encryption Standard (AES), ms potente que RC4. Esto supone un inconveniente puesto que

probablemente AES requiera la sustitucin de los puntos de acceso ya instalados, pues precisa procesadores de mayor rendimiento

IEEE 802.1X La IEEE 802.1X es una norma del IEEE para el control de acceso a red basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la autenticacin de dispositivos conectados a un puerto LAN, estableciendo una conexin punto a punto o previniendo el acceso por ese puerto si la autenticacin falla. Es utilizado en algunos puntos de acceso inalmbricos cerrados y se basa en el protocolo de autenticacin extensible (EAP RFC 2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC 3748. 802.1X est disponible en ciertos conmutadores de red y puede configurarse para autenticar nodos que estn equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos. Algunos proveedores estn implementando 802.1X en puntos de acceso inalmbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta autenticacin es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticacin slo del cliente o, ms apropiadamente, una autenticacin mutua fuerte utilizando protocolos como EAP-TLS.