Uno de los métodos más básicos de proteger una red inalámbrica es desactivar el broadcast del SSID, ya que para el usuario medio no aparecerá como una red en uso. Sin embargo no debe ser el único método de defensa para proteger una red inalámbrica.
2. CONTROL DE ACCESO POR DIRECCIONES MAC Los dispositivos inalámbricos como los Access Point puede restringir las direcciones MAC de las estaciones que se conecten a él. La Tabla de Direcciones MAC permitidas se define en el mismo despositivo.
3. WEP Wired Equivalent Privacy Es un mecanismo de seguridad para las redes inalámbricas. Mediante el cual la asociación de los dispositivos con un Access Point y la información transmitida por la red inalámbrica pueden encriptarse.
WEP utiliza el algoritmo de encripción RC4, que emplea llaves de 64, 128 o 256 bits, las cuales tienen un vector de inicialización de 24 bits. Todos los dispositivos (Estaciones y Access Point) deben tener definida unas llaves de encripción llamdas WEP Key. Estas llaves de encripción deben ser iguales en todos los dispositivos de la red inalámbrica.
RC4 genera un flujo pseudoaleatorio de bits (un keystream) que, para encriptación, se combina con el texto plano usando la función XOR como en cualquier Cifrado Vernam. La fase de descifrar el mensaje se realiza del mismo modo.
Para generar el keystream, el algoritmo de cifrado tiene un estado interno secreto que consiste en:
o Una permutación de todos los 256 posibles símbolos de un byte de longitud (lo llamaremos "S").
o Dos índices-apuntadores de 8 bits (los llamaremos "i" y "j")
La permutación se inicializa con una clave de longitud variable, habitualmente entre 40 y 256 bits usando un algoritmo de programación de claves (Key scheduling algorithm o KSA). Una vez completado , el flujo de bits cifrados se genera usando un algoritmo de generación pseudoaleatoria (pseudo-random generation algorithmo PRGA).
WEP define 2 mecanismos para realizar la Autenticación:
- Open System
La Autenticación Open System permite a un dispositivo asociarse con otro si coincide la información básica (SSID)
- Shared Key
Autenticación Shared Key, al dispositivo permite la asociación de una estación, si además del SSID, coincide la llave de Encripción.
Configuración WEP de Tarjetas de Red
El mecanismo de seguridad para las redes inalámbricas se puede realizar dentro de cada una de las tarjetas de Red, dentro de su configuración, para ello hay que tener en cuenta los siguiente:
Encripción de Datos : Habilitada / Deshabilitada
Tipo de Autenticación : Open System \ Shared Key
Llaves de Encripción : Bits de Encripción. 64, 128, 256
Formato de la llave : ASCIl o Hexadesimal
WEP Key : Llaves de encripción.
4. LEAP (LighweightExtensible Authentication Protocol). Protocolo del tipo EAP patentado por Cisco basado en nombre de usuario y contraseña que se envía sin protección. Esta metodología descuida la protección de las credenciales durante la fase de autenticación del usuario con el servidor. Debido a que se trata de un protocolo propietario, los fabricantes han puesto gran esfuerzo en el desarrollo y mejoras de la seguridad de los sistemas WiFi. La ventaja más obvia del protocolo LEAP es la de proveer una seria mejora a la seguridad incorporando el concepto de una llave específica de encriptación por cada sesión; a diferencia de la encriptación estática y “Shared Key”, que están expuestas a la amenaza “WEB Cracking”. Adicionalmente, la llave es generada una vez que el acceso ha sido exitoso, la cual puede ser implementada usando una base de datos local de autenticación.
Algunos de los beneficios del protocolo LEAP son los siguientes :
o Autenticación mejorada para los clientes wireless: utiliza una llave de encriptación por sesión.
o Administración centralizada de usuarios y llaves.
o Reducción de la exposición de la llave de encriptación. En el caso de LEAP la llave es una por sesión, a diferencia de WEP que es una para todas las sesiones.
o Permite ser implementado utilizando las bases de datos existentes para la autenticación de los usuarios.
5. PROTOCOLO EAP (Extensible Authentication Protocol) Otro importante modelo de seguridad para las redes WiFi es la implementación de Autenticación WLAN y administración de llaves mediante RADIUS para el protocolo EAP-TLS. El protocolo EAP (Extensible Authentication Protocol) es una estructura diseñada para la autenticación de redes ethernet basada en puertos de red. Fue originalmente creada para exigir a los usuarios autenticarse antes de obtener los privilegios de red; sin embargo, esta fue adaptada para ser utilizada en este tipo de ambiente. El wireless EAP ha sido mejorado para incluir la encriptación en la capa de transporte y administración de llaves.
Esta nueva característica es importante ya que elimina el riesgo de la administración estática de las llaves por parte de WEP. EAP utiliza un servidor RADIUS para administrar de manera centralizada las credenciales y los registros de usuarios (Accounting). Esta administración centralizada elimina la necesidad de los administradores para realizar actualizaciones manuales de las llaves estáticas, como en el protocolo WEP y de las direcciones MAC de numerosos AP Algunos de los tipos de EAP son los siguientes:
EAP-MD5: Provee un robusto mecanismo de autenticación utilizando el algoritmo hash MD5, en vez de un password en texto plano.
EAP-TLS: Provee la administración de las llaves para la encriptación de la capa de transporte.
EAP-TTLS: Es similar al modelo EAP-TLS, pero utiliza servidores certificados (Server Certificates).
Algunos de los beneficios de este modelo son los siguientes:
Reducción o eliminación de las vulnerabilidades de WEP.
Administración centralizada de las direcciones MAC y de los usuarios.
Reportes de actividades (Accounting) acerca de las actividades de acceso y autorización.
Interoperatividad: RADIUS es soportado por una gran cantidad de fabricantes de AP y clientes Wireless.
6. IPSEC (Internet Protocol security) es una extensión al protocolo IP que añade cifrado fuerte para permitir servicios de autenticación y, de esta manera, asegurar las comunicaciones a través de dicho protocolo. Inicialmente fue desarrollado para usarse con el nuevo estandar IPv6 aunque posteriormente se adaptó a IPv4. Presenta un gran nivel de seguridad y compatibilidad, también denominado Wireless VPN. Debido a la gran popularidad en redes alambradas, IPSEC es normalmente recomendado como una solución para resolver las implementaciones de seguridad que presentan anomalías en redes wireless. Muchas organizaciones utilizan IPSEC debido a que cuentan con la infraestructura adecuada y disponible para implementar un cliente remoto utilizando VPN, puesto que los costos y las horas hombre utilizadas son mínimos. Los beneficios de la aplicación de IPSEC en redes WiFi son los siguientes:
o Provee un alto nivel de seguridad: IPSEC se en funcionalidades que chequean la integridad, autenticación mutua y anti-replay.
o Permite interoperatividad: A diferencia de otros sistemas, hoy en día IPSEC es un estándar maduro y de alto grado de utilización.
o Repara los errores del diseño de redes WiFi. VPN Wireless es la mejor opción para remediar la seguridad en redes WLAN, ya sea por un mal diseño o porque los estándares de diseños no son los adecuados, esta opción permite eliminar cualquier problema de seguridad sin tener que realizar inversiones por dispositivos adicionales.
o Existe una nueva forma de establecer túneles mediante los llamados “Clientless” VPN, los cuales no requieren implementar IPSEC en los clientes, sino que existe un sólo mecanismo centralizado que realiza esta función, dejando la tarea de encriptación por parte del cliente a aplicaciones de capa superiores.
7. AES (Advanced Encription Standard). Es un robusto esquema de encripción adoptado como estándar de seguridad por algunos estamentos gubernamentales en E.U y por NIST (National Institute ofStandards and Technology), que junto al 802.1x/EAP (Extensible Autentication Protocol) y Preshared Key, encripción y autenticación hacen para WPA2 la versión completa del estándar de seguridad en redes inalámbricas IEEE 802.11i. 802.1x/EAP utiliza Servidor Radius (Remote Autentication Dial In User Service) en la red cableada para autenticar usuarios. Requiere Cliente 802.1x en la estación de trabajo. Preshared Key, utiliza una llave secreta. No requiere Servidor Radius. También es llamada " WPA Personal".
