Los tres aspectos fundamentales que se deben tener en cuenta al diferenciar una red WiFi de una cableada, son:
|| - || Autenticación ||
|| - || Control de acceso ||
|| - || Confidencialidad ||
1. Autenticación y control de acceso:
Los métodos que se emplean son los siguientes:
a. SSID (Service Set Identifier): Contraseña (WEP: Wired equivalent Protocol).
b. Seguridad por restricción de direccionamiento MAC (Múmero de seis octetos que identifca univocamente a la tarjeta):
c. Contraseñas no estáticas: -Periódicas: -OTP (One Time Password): Contraseñas de un solo uso, conocidas como token flexibles.
d. 802.1x: Este estándar no fue presentado para WiFi, sino para el acceso seguro PPP. Se trata del método más seguro actualmente. La arquitectura 802.1x está compuesta por tres partes: - Solicitante: Generalmente se trata del cliente WiFi - Auenticador: Suele ser el AP (Punto de acceso), que actúa como mero traspaso de datos y como bloqueo hasta que se autoriza su acceso (importante esto último). - Servidor de autenticación: Suele ser un Servidor RADIUS (Remote Authentication Dial In User Service) o Kerberos, que intercambiará el nombre y credencial de cada usuario. El almacenamiento de las mismas puede ser local o remoto en otro servidor de LDAP, de base de datos o directorio activo.
Otra de las grandes ventajas de emplear 802.1x es que el servidor de autenticación, permite también generar claves de cifrado OTP muy robustas, tema en particular que ya lo posiciona como imprescindible en una red WiFi que se precie de segura.
e. 802.11i (esto en realidad aplica también a confidencialidad): El Task Group de IEEE 802.11i se conformó en el año 2001 con la intención de analizar una arquitectura de seguridad más robusta y escalable, debido a la inminente demanda del mercado en este tema y en julio de 2004 aprobó este estándar. Por su parte la WiFi Alliance lo lanzó al mercado en septiembre de ese año.
En forma resumida, este nuevo estándar, propone a 802.1x como protocolo de autenticación,pudiendo trabajar con su referencia EAP (Extensible Authentication Protocol: RFC 2284), este último proporciona una gran flexibilidad (sobre todo a los fabricantes) en la metodología de autenticación.
Previo al estándar, varios fabrticantes ofrecieron métodos de autenticación:LEAP, PEAP, EAP/TLS, EAP/TTLS. Lo importante es el grado de flexibilidad que el estándar 802.11i ofrece hacia los mismos, pues soporta a la mayoría de ellos.
2. Cifrado:
a. WEP: Protocolo extremadamente débil y actualmente en desuso.
b. Las deficiencias de WEP, se están tratando de solucionar en la actividad de cifrado, a través del protocolo TKIP (Temporal Key Integrity Protocol). Esta propuesta aparece a finales de 2002 y propone tres mejoras importantes:
- Combinación de clave por paquete: Generando trillones de claves diferentes, una para cada paquete. -VI (Vector de inicialización) de 48 bits: Este tema era una de las mayores debilidades de WEP al emplear sólo 24 bits.
- MIC (Message Integrity Check): Se plantea para evitar el conocido ataque inductivo o de hombre del medio. Y propone descartar todo mensaje que no sea validado.
c. Microsoft ofrece otra alternativa que inicialmente denominó SSN (Simple Security Network), el cual es una implementación de TKIP al estilo Microsoft. SSN lo adoptó 802.11i renombrándolo como WPA (WiFi Protected Access), en el año 2004 aparece WPA2 que es la segunda generación del WPA . Este ya proporciona encriptación con un fuerte algoritmo llamado AES (Norma de Encriptación Avanzada) y está contemplado en IEEE 802.11i . En realidad 802.11i propone un “Mix” de funciones criptográficas cuyo eje central es AES, y lo bautiza como CCMP, su nombre completo proviene el “Counter mode” (CTR) que habilita la encriptación de datos y el Cipher Block Chaining Message Authentication Code (CBC-MAC) para proveer integridad, y de ahí su extraña sigla CCMP. La mayoría de los fabricantes están migrando hacia este algoritmo y se aprecia que será el estándar que se impondrá en el muy corto plazo.
3. VPNs: La última opción que se menciona aquí es la aplicación de VPNs. Esta alternativa no responde a ningún estándar de WiFi, pero se trata de llevar al wireless toda la experiencia y solidez que tiene hoy esta tecnología.. Existen muchos tipos de VPNs, que no se mencionarán aquí, por no ser parte de WiFi, pero sí se debe aclarar que es una opción muy válida y de hecho se está implementado cada vez con mayor frecuencia en las opciones de wireless.
