802.11Seguridad – Protección Wireless
802.11Seguridad – Protección Wireless
Autor: David Alejandro Yanover
—————————–
El caos que gira en torno a la protección de la redes Wi-Fi respira con la salida de una nueva especificación que busca satisfacer a los sectores más exigentes. Recorremos las soluciones actuales hasta llegar a WEP2.
La disponibilidad de zonas Wi-Fi en la sociedad creció de manera notable en estos últimos años, teniendo su mayor expresión en Estados Unidos, impactando en Europa y llegando lentamente a Latinoamérica. Básicamente, ya sea una PC, notebook, teléfono móvil u otro dispositivo con soporte Wi-Fi, que se encuentra con una LAN inalámbrica (WLAN), tiene acceso a Internet. De esta manera, resulta cada día más habitual encontrar puntos de conexión o Hotspots en aeropuertos, restaurantes y comercios, siendo una forma de atraer al público. Sin embargo, es precisamente la facilidad de acceso a las redes WLAN uno de sus mayores desafíos, en el ámbito de la seguridad.
Es uno de los aspectos más débiles, inclusive en entornos corporativos, donde, en varios casos, la implementación de estas tecnologías está a la espera de mejoras técnicas en el área, que garanticen la confiabilidad del tráfico de datos. Por otro lado, es extraordinario ver como redes privadas de empresas no aplican medidas para proteger la información. La salida de la norma 802.11i tiene previsto cambiar las cosas.
El hecho de que la información de una PC conectada a una WLAN sea accesible desde otra computadora, obliga a que sean analizadas las opciones de seguridad, para evitar que extraños puedan ver datos que no les corresponde. Es importante destacar que los puntos de conexión son fáciles de detectar, ya que revelan su presencia estando en actividad.
Una medida falsa de seguridad
Nos proponemos entonces hacer un análisis de las distintas medidas de protección que abundan hoy en el mercado. Al iniciar el camino nos topamos con WEP (Wired Equivalent Privacy). Presentado como el primer estándar de seguridad, se trata de una opción que jamás logró obtener la confianza de los técnicos a raíz de que sus sistemas invitan a los intrusos. Haciendo uso de claves compartidas, cada usuario de la red necesita tener su equipo configurado con la contraseña asignada para entrar en la WLAN.
Durante las conexiones, WEP reserva 24 bits para resolver claves que varían con el tiempo de manera automática y se constituyen con las originales, sin embargo el procesamiento de estos datos no utiliza ninguna herramienta de codificación. No obstante, pueden hacerse algunos agregados a WEP, para establecer un mayor reto a los que tratan de invadir la red. Para monitorear las PCs que participan en la WLAN pueden usarse listas de control de acceso basadas en direcciones MAC (Media Access Control).
Herramientas de intrusión
Los sistemas que utilizan la seguridad WEP son fáciles de romper, lo cual queda reflejado en dos aplicaciones especializadas, AirSnort y Kismet. Ambos programas son capaces de resolver de manera pasiva las claves que son ejecutadas en las WLAN bajo WEP, aprovechando sus debilidades de encriptación. Al quebrar la red, es posible hacerse pasar como usuario legítimo, y observar y modificar los datos del resto de los miembros de la conexión. Por otro lado, una vez destruido WEP, las filtraciones MAC de los usuarios, en caso de utilizarse, son visibles.
Sin embargo, es aconsejable activar WEP antes que no establecer ningún parámetro de seguridad.
Otro punto que interviene en la inseguridad de los puntos de conexión inalámbricos son los ataques de negación de servicios (DNS). De esta forma, la capacidad de radio puede afectarse, transfiriéndose datos a un ritmo superior de la que la red es capaz de soportar.
La transición: en búsqueda una solución
Luego, destaca en la lista WPA (Wi-Fi Protected Access), una de las soluciones más usadas hasta la fecha, ya que emplea métodos de encriptación de 128 bits y autentificación EAP (Extensible Authentication Protocol), además de operar con sesiones dinámicas. Lanzado en noviembre de 2002 por la Alianza Wi-Fi, encargada de certificar las normas de conectividad inalámbricas, WPA tenía como objetivo reemplazar a WEP y servir de estándar provisional, hasta que hiciera su aparición IEEE (Institute for Electrical and Electronics Engineers) 802.11i.
Temporal Key Integrity Protocol (TKIP) es otra propuesta de seguridad a parir de WPA, la cual emplea claves de sesión dinámicas de 128 bits. Mientras WEP usa claves estáticas, TKIP envía una contraseña maestra a los usuarios autentificados de la WLAN al mismo tiempo que funciona de parámetro de partida para generar claves auxiliares.
Otras tecnologías de seguridad que sugiere el organismo Wi-Fi son servidores RADIUS, para trabajar con claves de acceso en usuarios inalámbricos y remotos, VPN (Virtual Private Network), que supone un canal más seguro entre el usuario y la red, Firewalls, para controlar los datos salientes y entrantes de las máquinas de tal manera de impedir que usuarios sin autorización tengan acceso a la información, y Kerberos, servicio de autentificación desarrollado en el MIT (Massachussets Institute of Technology).
El lanzamiento de una norma real de seguridad
Cuando la seguridad en las redes wireless estaba en su peor momento, habiendo decepcionado a los entornos corporativos e inmersa en duras críticas, es presentado, el pasado septiembre, WPA2, dos meses después de la ratificación del estándar 802.11i sobre el cual está basado. WPA2 proporciona la administración segura de las conexiones Wi-Fi, garantizando un completo monitoreo de los usuarios activos. Entre las características principales destacan el uso de métodos de encriptación AES y el hecho de ser compatible con WPA, su antecesor, por lo que es posible migrar a esta nueva especificación.
Las WLAN comienzan a consolidarse, respondiendo a las necesidades de los ámbitos más exigentes. La aparición de WPA2 es uno de los mayores logros en el campo de la seguridad. Aún es temprano para decir que todos los problemas de intrusión desaparecerán, pero la implementación de las medidas que se han puntualizado debería ser suficiente para que las redes trabajen sin preocupaciones.
Por Sistemas, el 13/01/2005.