En esta sección se describen los distintos métodos de seguridad empleados para ayudar a proteger las redes WiFi.
Autenticación 802.1X (seguridad empresarial)
Tipos de codificación de datos
La red inalámbrica, si se deja desprotegida, es vulnerable al acceso desde otros equipos. Puede proteger fácilmente su red doméstica o de pequeña empresa contra casi cualquier forma de acceso no autorizado con los métodos de seguridad descritos en esta sección.
La autenticación es el proceso de identificar y aprobar una solicitud de un cliente (normalmente un portátil) para acceder a una red en un punto de acceso de red. Una vez realizada la autenticación y otorgado el acceso, el cliente tendrá acceso a la red.
Puede seleccionar algoritmos de codificación para codificar la información y los datos que se envían por la red inalámbrica. Sólo los equipos que disponen de claves precompartidas pueden codificar y descodificar los datos que se transmiten. Las claves de codificación están disponibles con dos niveles de seguridad: 64 bits y 128 bits. Utilice las claves de 128 bits para más seguridad.
Un modo sencillo de mejorar la seguridad de la red es ajustar el punto de acceso de la red para que no emita el Identificador del conjunto de servicios (SSID). El SSID es necesario para obtener acceso. Sólo aquellos equipos que conozcan el SSID pueden acceder a la red. (Esto no se ajusta en el adaptador que utiliza la Utilidad de conexión Intel(R) PROSet/Wireless WiFi, sino en el punto de acceso.)
IEEE 802.11 admite dos tipos de métodos de autenticación de red: sistema abierto y clave compartida.
La Privacidad cableada equivalente (WEP) utiliza la codificación para ayudar a evitar la recepción no autorizada de datos inalámbricos. WEP utiliza una clave de codificación para codificar los datos antes de transmitirlos. Sólo los equipos que utilicen la misma clave de codificación pueden tener acceso a la red y descodificar los datos transmitidos por otros equipos. La codificación WEP proporciona dos niveles de seguridad, con el uso de claves de 64 bits (denominadas algunas veces como de 40 bits) o de 128 bits (también conocidas como de 104 bits). Para mayor seguridad, debería utilizar una clave de 128 bits. Si utiliza la codificación, todos los dispositivos inalámbricos de la red inalámbrica deben utilizar las mismas claves de codificación.
Con codificación de datos WEP se puede configurar una estación inalámbrica con un máximo de cuatro claves (los valores del índice de las claves son 1, 2, 3 y 4). Cuando un punto de acceso o una estación inalámbrica transmite un mensaje codificado mediante una clave almacenada en un índice de claves determinado, el mensaje transmitido indica el índice de la clave que se utilizó para codificar el cuerpo del mensaje. El punto de acceso o estación inalámbrica receptores pueden, a continuación, recuperar la clave que está en el índice de claves y utilizarla para descodificar el cuerpo codificado del mensaje.
Dado que el algoritmo de codificación WEP es vulnerable a los ataques de red, debería contemplar la posibilidad de utilizar la seguridad WPA-Personal o WPA2-Personal.
El Modo WPA-Personal está diseñado para los entornos domésticos y de pequeña empresa. WPA-Personal requiere la configuración manual de una clave precompartida (PSK) en el punto de acceso y los clientes. No se necesita servidor de autenticación. La misma contraseña utilizada en el punto de acceso debe utilizarse en este equipo y en todos los demás dispositivos inalámbricos que tienen acceso a la red inalámbrica. La seguridad depende de la potencia y de la confidencialidad de la contraseña. Cuanto más larga sea la contraseña, más robusta será la seguridad de la red inalámbrica. Si el punto de acceso o enrutador inalámbrico es compatible con WPA-Personal y WPA2-Personal, debe activarlo en el punto de acceso y utilizar una contraseña extensa y robusta. WPA-Personal pone a disposición los algoritmos de codificación de datos TKIP y AES-CCMP.
WPA2-Personal requiere la configuración manual de una clave precompartida (PSK) en el punto de acceso y los clientes. No se necesita servidor de autenticación. La misma contraseña utilizada en el punto de acceso debe utilizarse en este equipo y en todos los demás dispositivos inalámbricos que tienen acceso a la red inalámbrica. La seguridad depende de la potencia y de la confidencialidad de la contraseña. Cuanto más larga sea la contraseña, más robusta será la seguridad de la red inalámbrica. WPA2 es una mejora de WPA e implementa todo el estándar IEEE 802.11i completo. WPA2 es compatible con la versión anterior, WPA. WPA2-Personal pone a disposición los algoritmos de codificación de datos TKIP y AES-CCMP.
NOTA: WPA - Personal y WPA2 - Personal son interoperables.
Esta sección describe la seguridad común utilizada por empresas grandes.
Descripción general
¿Qué es RADIUS?
Funcionamiento de la autenticación 802.1X
Funciones de 802.1X
La autenticación 802.1X es independiente del proceso de autenticación de 802.11. El estándar 802.11. provee un marco para varios protocolos de autenticación y gestión de claves. Existen distintos tipos de autenticación 802.1X y cada uno ofrece un método distinto de autenticación, pero todos emplean el mismo protocolo y marco 802.11 para la comunicación entre un cliente y un punto de acceso. En la mayoría de los protocolos, tras finalizar el proceso de autenticación 802.1X, el cliente recibe una clave que utiliza para la codificación de datos. Consulte Funcionamiento de la autenticación 802.1X si desea más información. Con la autenticación 802.1X, se utiliza un método de autenticación entre el cliente y el servidor (por ejemplo, un servidor de Servicio de usuario para el acceso telefónico de autenticación remoto (RADIUS)) conectado al punto de acceso. El proceso de autenticación utiliza credenciales, tal como la contraseña del usuario, las cuales no se transmiten a través de la red inalámbrica. La mayoría de los tipos 802.1X son compatibles con las claves dinámicas para cada usuario y cada sesión, lo cual fortalece la seguridad de las claves. La autenticación 802.1X se beneficia del uso del protocolo de autenticación existente conocido como Protocolo de autenticación ampliable (EAP).
La autenticación 802.1X para redes inalámbricas tiene tres componentes principales:
La seguridad de autenticación 802.1X inicia una solicitud de autorización desde el cliente inalámbrico al punto de acceso, el cual autentica al cliente en un servidor RADIUS compatible con el Protocolo de autenticación ampliable (EAP). El servidor RADIUS puede autenticar ya sea a los usuarios (mediante contraseñas o certificados) o a los equipos (mediante direcciones MAC). En teoría, un cliente inalámbrico no puede conectarse a las redes hasta que se complete la transacción. (No todos los métodos de autenticación utilizan un servidor RADIUS. WPA-Personal y WPA2-Personal utilizan una contraseña común que debe introducirse en el punto de acceso y en todos los dispositivos que soliciten acceso a la red.)
Con 802.1X se utilizan varios algoritmos de autenticación. He aquí algunos ejemplos: EAP-TLS, EAP-TTLS, EAP Protegido (PEAP) y el Protocolo de Autenticación ampliable ligero inalámbrico Cisco EAP (LEAP). Todos éstos son métodos que el cliente inalámbrico utiliza para identificarse a sí mismo ante el servidor RADIUS. Con la autenticación RADIUS, las identidades de los usuarios se verifican en las bases de datos. RADIUS constituye un conjunto de estándares que controla la autenticación, la autorización y la auditoría (AAA). RADIUS incluye un proceso proxy para validar clientes en los entornos con varios servidores. El estándar IEEE 802.1X proporciona un mecanismo para controlar y autenticar el acceso a redes inalámbricas 802.11 basadas en puerto y a redes Ethernet cableadas. El control del acceso a redes basadas en puerto es similar a una infraestructura de red de área local (LAN) conmutada que autentica los dispositivos conectados a un puerto LAN y previene el acceso a dicho puerto si falla el proceso de autenticación.
RADIUS es el Servicio de usuario para el acceso telefónico de autenticación remoto, un protocolo cliente-servidor de autorización, autenticación y auditoría (AAA) que se utiliza cuando un cliente de acceso telefónico AAA inicia o finaliza una sesión en un Servidor de acceso a redes. Por lo general, los Proveedores de servicios de Internet (ISP) utilizan servidores RADIUS para efectuar tareas AAA. A continuación se describen las fases AAA:
A continuación se presenta una descripción simplificada de cómo funciona la autenticación 802.1X.
Los siguientes métodos de autenticación son compatibles con Windows XP:
Consulte Autenticación abierta.
Consulte Autenticación compartida.
Consulte WPA-Personal.
Consulte WPA2-Personal.
La autenticación de Modo empresarial está diseñada para entornos corporativos o gubernamentales. WPA-Empresa verifica los usuarios de red mediante un servidor RADIUS o cualquier otro servidor de autenticación. WPA utiliza claves de codificación de 128 bits y claves de sesión dinámica para garantizar la privacidad y seguridad empresarial de su red inalámbrica. Se selecciona un tipo de autenticación que coincida con el protocolo de autenticación del servidor 802.1X.
La autenticación WPA-Empresa está diseñada para entornos corporativos o gubernamentales. WPA2-Empresa verifica los usuarios de red mediante un servidor RADIUS o cualquier otro servidor de autenticación. WPA2 utiliza claves de codificación de 128 bits y claves de sesión dinámica para garantizar la privacidad y seguridad empresarial de su red inalámbrica. Se selecciona un tipo de autenticación que coincida con el protocolo de autenticación del servidor 802.1X. El Modo empresarial está diseñado para entornos corporativos o gubernamentales. WPA2 es una mejora de WPA e implementa todo el estándar IEEE 802.11i completo.
Estándar de codificación avanzada - Protocolo CBC-MAC contrario. El nuevo método de protección de la privacidad de transmisiones inalámbricas especificado en el estándar IEEE 802.11i. AES-CCMP ofrece un método de codificación más robusto que TKIP. Elija AES-CCMP como el método de codificación de datos siempre que sea necesaria una protección de datos sólida. AES-CCMP está disponible con la autenticación de red WPA/WPA2-Personal/Empresa.
NOTA: Es probable que el sistema operativo del equipo no admita algunas soluciones de seguridad y que sea preciso instalar software adicional o hardware particular, al igual que compatibilidad con la infraestructura de LAN inalámbrica. Consulte con el fabricante del equipo para más detalles.
El Protocolo de integridad de claves temporales ofrece la mezcla de claves por paquete, la verificación de la integridad de los mensajes y un mecanismo de reintroducción de claves. TKIP está disponible con la autenticación de red WPA/WPA2-Personal/Empresa.
Consulte CKIP.
La Privacidad cableada equivalente (WEP) utiliza la codificación para ayudar a evitar la recepción no autorizada de datos inalámbricos. WEP utiliza una clave de codificación para codificar los datos antes de transmitirlos. Sólo los equipos que utilicen la misma clave de codificación pueden tener acceso a la red y descodificar los datos transmitidos por otros equipos. La WEP empresarial no es exactamente lo mismo que la WEP personal en el hecho de que puede optar por Abrir la autenticación de red y luego hacer clic en Activar 802.1X y poder elegir entre todos los tipos de autenticación de clientes. La selección de tipos de autenticación no está disponible en la WEP personal.
Un tipo de método de autenticación que utiliza el protocolo de autenticación ampliable (EAP) y un protocolo de seguridad denominado seguridad del nivel de transporte (TLS). EAP-TLS utiliza certificados que usan contraseñas. La autenticación EAP-TLS admite la gestión de claves WEP dinámicas. El protocolo TLS está diseñado para asegurar y autenticar la comunicación a través de una red pública mediante la codificación de datos. El Protocolo de enlace TLS permite que el servidor y el cliente provean autenticación mutua y negocien un algoritmo y claves de codificación antes de transmitir los datos.
Estas opciones definen el protocolo y las credenciales utilizadas para autenticar un usuario. En TTLS (Seguridad del nivel de transporte de túnel), el cliente utiliza EAP-TLS para validar el servidor y crear un canal TLS codificado entre el cliente y el servidor. El cliente puede utilizar otro protocolo de autenticación. Por lo general, los protocolos basados en contraseña desafían un canal TLS codificado no expuesto. En la actualidad, la implementación TTLS admite todos los métodos definidos por EAP, al igual que varios métodos antiguos (PAP, CHAP, MS-CHAP y MS-CHAP-V2). TTLS se puede ampliar con facilidad para que funcione con protocolos nuevos mediante la definición de nuevos atributos que admitan protocolos nuevos.
PEAP es un nuevo tipo de autenticación del Protocolo de autenticación ampliable (EAP) IEEE 802.1X diseñado para sacar provecho de la seguridad del nivel de transporte EAP (EAP-TLS) del lado del servidor y para admitir varios métodos de autenticación, los cuales incluyen las contraseñas de usuarios, las contraseñas temporales y las tarjetas de testigo genérico.
Es una versión del Protocolo de autenticación ampliable (EAP). El Protocolo de autenticación ampliable ligero (LEAP) es un protocolo de autenticación ampliable desarrollado por Cisco que proporciona un mecanismo de autenticación desafío-respuesta y permite la asignación de claves dinámica.
El Protocolo de autenticación ampliable para el Módulo de identidad de abonado de GSM (EAP-SIM) es un mecanismo de autenticación y distribución de claves de sesión. Utiliza el Módulo de identidad de abonado (SIM) del Sistema global para las comunicaciones móviles (GSM). EAP-SIM utiliza una clave WEP basada en sesión dinámica, que se deriva del adaptador del cliente y el servidor RADIUS, para codificar datos. EAP-SIM requiere que el usuario escriba un código de verificación del usuario, o PIN, para la comunicación con la tarjeta de Módulo de identidad de abonado (SIM). La tarjeta SIM es una tarjeta inteligente que se utiliza en redes celulares digitales basadas en Global System for Mobile Communications (GSM). RFC 4186 describe EAP-SIM.
EAP-AKA (Método de protocolo de autenticación ampliable para la concordancia de claves y autenticación UMTS) es un mecanismo de autenticación y distribución de claves de sesión que utiliza el Módulo de identidad de abonado (USIM) del Sistema universal de telecomunicaciones móviles (UMTS). La tarjeta USIM es una tarjeta inteligente especial utilizada con redes de telefonía móvil que permite validar a un usuario determinado con la red.
El Protocolo de autenticación de contraseña es un protocolo de enlace de dos vías que se utiliza con PPP. El Protocolo de autenticación de contraseña es una contraseña de texto plano utilizada en sistemas SLIP más antiguos. No es seguro. Sólo disponible para el tipo de autenticación TTLS.
El Protocolo de autenticación de intercambio de señales es un protocolo de enlace de tres vías que se considera más seguro que el Protocolo de autenticación de contraseña. Sólo disponible para el tipo de autenticación TTLS.
Utiliza una versión de Microsoft del protocolo de desafío y respuesta de RSA Message Digest 4. Éste sólo funciona en sistemas Microsoft y activa la codificación de datos. La selección de este método de autenticación hace que se codifiquen todos los datos. Sólo disponible para el tipo de autenticación TTLS.
Introduce una función adicional que no está disponible con la autenticación MS-CHAP-V1 o CHAP estándar, la cual es la función de cambio de contraseña. Esta función permite que el cliente cambie la contraseña de cuenta si el servidor RADIUS informa que ha vencido la contraseña. Disponible para los tipos de autenticación TTLS y PEAP.
Transporta las tarjetas de testigo específicas para la autenticación. La función principal de GTC es la autenticación basada en certificado digital o tarjeta de testigo. Además, GTC incluye la capacidad para ocultar las identidades de nombre de usuario hasta que se establezca el túnel codificado TLS, lo cual proporciona una mayor seguridad de que no se difundan los nombres de usuario durante la fase de autenticación. Sólo disponible para el tipo de autenticación PEAP.
El protocolo TLS está diseñado para asegurar y autenticar la comunicación a través de una red pública mediante la codificación de datos. El Protocolo de enlace TLS permite que el servidor y el cliente provean autenticación mutua y negocien un algoritmo y claves de codificación antes de transmitir los datos. Sólo disponible para el tipo de autenticación PEAP.
LEAP de Cisco (EAP ligero de Cisco) es una autenticación 802.1X de servidor y cliente que utiliza una contraseña de inicio de sesión proporcionada por el usuario. Cuando el punto de acceso inalámbrico se comunica con un RADIUS habilitado para LEAP de Cisco (Servidor de control de acceso seguro de Cisco [ACS]), LEAP de Cisco ofrece el control del acceso a través de la autenticación mutua entre los adaptadores WiFi de los clientes y las redes inalámbricas y brinda claves dinámicas de codificación de usuario individuales para ayudar a proteger la privacidad de los datos transmitidos.
La función de punto de acceso dudoso de Cisco ofrece protección segura ante la intrusión de un punto de acceso dudoso que pudiese imitar un punto de acceso legítimo en una red, a fin de extraer información acerca de las credenciales de usuario y protocolos de autenticación, lo cual podría poner en peligro la seguridad. Esta función solo opera con la autenticación LEAP de Cisco. La tecnología 802.11 estándar no protege una red de la introducción de un punto de acceso dudoso. Consulte Autenticación LEAP si desea más información.
Algunos puntos de acceso, como Cisco 350 o Cisco 1200, admiten entornos en los que no todas las estaciones cliente son compatibles con la codificación WEP, lo cual se denomina modo de celda mixta. Cuando dichas redes inalámbricas funcionan en el modo de "codificación optativa", las estaciones cliente que se unen en el modo WEP envían todos los mensajes codificados y las estaciones que utilizan el modo estándar envían los mensajes sin codificar. Estos puntos de acceso difunden que la red no utiliza codificación, pero admiten a los clientes que utilizan el modo WEP. Cuando se habilita la "celda mixta" en un perfil, se permite la conexión a puntos de acceso que estén configurados para la "codificación optativa".
El Protocolo de integridad de claves de Cisco (CKIP) es un protocolo de seguridad propiedad de Cisco para la codificación en medios 802.11. CKIP utiliza las funciones siguientes para mejorar la seguridad 802.11 en el modo de infraestructura:
NOTA: CKIP no se utiliza con la autenticación de red WPA/WPA2-Personal/Empresa.
NOTA: CKIP sólo es compatible mediante el uso de la Utilidad de conexión WiFi en Windows XP.
Cuando se configura una red local inalámbrica para la reconexión rápida, los dispositivos cliente activados para LEAP pueden itinerar de un punto de acceso a otro sin involucrar al servidor principal. Con Cisco Centralized Key Management (CCKM), un punto de acceso configurado para brindar servicios de dominio inalámbrico (WDS) toma el lugar del servidor RADIUS y autentica el cliente sin retraso perceptible en la voz o en otras aplicaciones sensibles al tiempo.
Algunos puntos de acceso, como Cisco 350 o Cisco 1200, admiten entornos en los que no todas las estaciones cliente son compatibles con la codificación WEP, lo cual se denomina modo de celda mixta. Cuando dichas redes inalámbricas funcionan en el modo de "codificación optativa", las estaciones cliente que se unen en el modo WEP envían todos los mensajes codificados y las estaciones que utilizan el modo estándar envían los mensajes sin codificar. Estos puntos de acceso difunden que la red no utiliza codificación, pero admiten a los clientes que utilizan el modo WEP para unirse. Cuando se habilita la celda mixta en un perfil, se permite la conexión a puntos de acceso que estén configurados para la "codificación optativa".
Si se activa esta función, el adaptador WiFi provee la gestión del aparato de radio en la infraestructura Cisco. Si se utiliza la utilidad Cisco Radio Management en la infraestructura, ésta configura los parámetros del aparato de radio, detecta la interferencia y los puntos de acceso dudosos.
EAP-FAST, al igual que EAP-TTLS y PEAP, utiliza túneles para proteger el tráfico. La diferencia principal es que EAP-FAST no utiliza certificados para la autenticación. La provisión de EAP-FAST es negociada solamente por el cliente como primer intercambio de comunicación, cuando se solicita EAP-FAST en el servidor. Si el cliente no tiene una Credencial de acceso protegido (PAC) secreta y precompartida, puede iniciar un intercambio de provisión de EAP-FAST para obtener una del servidor de forma dinámica.
EAP-FAST documenta dos métodos para la entrega de la PAC: la entrega manual a través de un mecanismo seguro fuera de banda y la provisión automática.
El método EAP-FAST se divide en dos partes: la provisión y la autenticación. La fase de provisión implica la entrega inicial de la PAC al cliente. Esta fase solamente necesita realizarse una vez por cada cliente y usuario.