RODRIGUEZ ESQUIVEL JOSE MANUEL

1401

BASE DE DATOS

QUE CONSIDERACIONES SE DEBEN TENER PARA

TRANSFORMAR UNA WLAN

Las redes de área local inalámbricas (WLAN) constituyen un tema que ha suscitado controversia en el mundo empresarial; en la mayoría de las empresas ya se ha implementado una WLAN de algún tipo o, al menos, se han sopesado las ventajas y los inconvenientes de la tecnología inalámbrica. En cualquier caso, a las empresas que han implementado redes inalámbricas les suele preocupar la seguridad de la solución utilizada, en tanto que a las que han rehuido de la tecnología inalámbrica les inquieta haber podido perder una evidente productividad y un considerable ahorro en infraestructura.

La mayoría de los responsables de tomar decisiones tecnológicas han sentido en el pasado un miedo justificado acerca de la seguridad de la tecnología inalámbrica e, incluso en la actualidad, dicha tecnología lleva el estigma de no haber sido nunca segura, debido a la detección y divulgación de brechas de seguridad en la primera generación de protocolos de seguridad WLAN IEEE 802.11. A pesar de que se han desarrollado muchas soluciones alternativas a lo largo de los años, las soluciones habituales que se han diseñado para abordar los problemas de la seguridad inalámbrica han tenido un coste excesivo o han presentado imperfecciones inherentes.

Desde aquella primera etapa de las redes inalámbricas se han producido numerosos desarrollos y, al igual que la tecnología ha avanzado para admitir velocidades superiores y una mayor confiabilidad, también han evolucionado los estándares empleados para garantizar la seguridad de las transmisiones inalámbricas. Los últimos protocolos de seguridad inalámbrica, WPA y WPA2, basados en el estándar IEEE 802.11i, contribuyen a ofrecer una mayor protección del tráfico inalámbrico incluso en los entornos con una seguridad más rigurosa. Estos estándares actuales, si se configuran correctamente, son mucho más seguros y se pueden utilizar con un elevado nivel de confianza en el entorno de una mediana empresa.

Definiciones

El lector debe comprender y estar familiarizado con los siguientes términos y conceptos que se utilizan en este documento.

AES. El Estándar de cifrado avanzado (AES) utiliza una técnica de cifrado simétrico de datos de bloque y forma parte de WPA2.

EAP. El Protocolo de autenticación extensible (EAP) es un estándar 802.1X que permite a los programadores transferir datos de autenticación entre los servidores RADIUS y los puntos de acceso inalámbrico. EAP dispone de una serie de

RODRIGUEZ ESQUIVEL JOSE MANUEL

1401

BASE DE DATOS

variantes, entre las que se incluyen las siguientes: EAP MD5, EAP-TLS, EAP-TTLS, LEAP y PEAP.

EAP-TLS. Microsoft desarrolló EAP-Seguridad de la capa de transporte (EAP-TLS) sobre la base del estándar 802.1X para utilizar certificados digitales en el proceso de autenticación. Actualmente, constituye el estándar del sector para la autenticación 802.11i.

IEEE 802.1X. El estándar IEEE 802.1X controla el proceso de encapsulación EAP que se produce entre los suplicantes (clientes), los autenticadores (puntos de acceso inalámbrico) y los servidores de autenticación (RADIUS).

IEEE 802.11. El estándar IEEE 802.11 controla las comunicaciones de red por aire e incluye varias especificaciones que abarcan desde el estándar 802.11g, que proporciona un tráfico de 20+ Mbps en la banda de 2,4 GHz, y el estándar 802.11i, que controla la autenticación y el cifrado WPA2.

IEEE 802.11i. La enmienda IEEE 802.11i al estándar 802.11 especifica los métodos de seguridad (WPA2) que utilizan cifrado de bloque AES para garantizar la seguridad de los procesos de autenticación de origen (EAP) con el fin de solucionar las deficiencias anteriores de las especificaciones y los estándares de seguridad inalámbrica.

MS-CHAP v2. El Protocolo de autenticación por desafío mutuo de Microsoft, versión 2 (MS-CHAP v2) es un protocolo de autenticación mutua de desafío-respuesta que se basa en contraseña y utiliza el cifrado MD4 y DES. Se utiliza junto con PEAP (PEAP-MS-CHAP v2) para garantizar la seguridad de las comunicaciones inalámbricas.

PEAP. El Protocolo de autenticación extensible protegido (PEAP) es un tipo de comunicación EAP que soluciona problemas de seguridad asociados con transmisiones EAP de texto no cifrado al crear un canal seguro cifrado y protegido mediante TLS.

SSID. El Identificador de red SSID es el nombre asignado a una WLAN y que el cliente utiliza para identificar la configuración correcta y las credenciales que se necesitan para tener acceso a una WLAN.

TKIP. El Protocolo de integridad de clave temporal (TKIP) forma parte del estándar de cifrado WPA para redes inalámbricas. TKIP es la siguiente generación de WEP, que proporciona una combinación de claves por paquete para solucionar las imperfecciones detectadas en el estándar WEP.

WEP. La Privacidad equivalente por cable (WEP) forma parte del estándar IEEE 802.11 y utiliza el cifrado RC4 de 64 o 128 bits. En 2001 se detectaron brechas de seguridad graves en el estándar WEP, principalmente ocasionadas

RODRIGUEZ ESQUIVEL JOSE MANUEL

1401

BASE DE DATOS

porque la longitud del vector de inicialización del cifrado de secuencias RC4 permitía la descodificación pasiva de la clave RC4.

WLAN. Red de área local inalámbrica.

WPA. Como respuesta a las deficiencias detectadas en el estándar WEP, en 2003 se presentó la solución Acceso protegido Wi-Fi (WPA) como un subconjunto interoperable de especificaciones de seguridad inalámbrica del estándar IEEE 802.11. Este estándar ofrece funciones de autenticación y utiliza TKIP para el cifrado de datos.

WPA2. La Wi-Fi Alliance estableció en septiembre de 2004 el estándar WPA2, que constituye la versión interoperable certificada de la especificación IEEE 802.11i completa ratificada en junio de 2004. Al igual que su predecesor, WPA2 es compatible con la autenticación IEEE 802.1X/EAP o la tecnología PSK, pero incluye un nuevo mecanismo de cifrado avanzado que utiliza CCMP (del inglés Counter-Mode/CBC-MAC Protocol) que se conoce como Estándar de cifrado avanzado (AES).