Aunque hablar de seguridad en las redes inalámbricas parece una utopía, esto empieza a cambiar gracias al uso del protocolo 802.1x, que aunque poco conocido, ofrece las seguridades de una red física. Sin embargo, asusta pensar que más del 98% de las empresas emplean el protocolo 802.11, el cual puede ser reventado con una simple PDA en menos de 2 horas.

La seguridad en las redes inalámbricas está más que cuestionada hoy en día. Muchas de las redes existentes en la actualidad, basadas en el protocolo 802.11, ni siquiera se encuentran cifradas, por lo que el acceso a estas redes es tan sencillo como dejar que Windows se conecte de manera automática o, como mucho, que tengamos que encontrar una IP válida para conectarnos a la red.

Pongamos un ejemplo sencillo: imaginemos un banco en el que tuviésemos dinero a la vista y ni siquiera tuviésemos personal de seguridad vigilando la entrada. En el mejor de los casos, alguien se colaría y cogería el dinero sin que ningún trabajador se diera cuenta.

Los usuarios con algunos conocimientos cifran las redes basadas en el protocolo 802.11 mediante WEP (Wired Equivalent Privacy). Este es un procedimiento mediante el cual todas las comunicaciones establecidas por la red se encuentran cifradas con una clave compartida para todos los usuarios, que se emplea tanto para cifrar como para descifrar los mensajes enviados. En este caso, el acceso a dichas redes, se complica un poco… pero no mucho: bastará con usar algún programa sniffer como AirSnort o WEPcrack, para monitorizar la red y sacar la clave que se está empleando para cifrar los datos. Asusta pensar que algunas claves, pueden ser descubiertas con una PDA con Linux y algún programa de este tipo en menos de 2 horas.

Sigamos con nuestro ejemplo: el banco, para evitar más robos, decide poner un agente de seguridad en la puerta que pida una clave, para acceder a las instalaciones. Tras unas horas, un ladrón, lo suficientemente cerca, escucha la clave y se introduce en el banco, mencionando dicha clave. Como vemos, no ha servido de mucho.

La solución parece sencilla: modificaremos nuestra clave lo suficientemente rápido como para que nadie sea capaz de descifrarla. Este procedimiento, auque posible, es inabordable: necesitaríamos de un administrador en nuestra red que, cada 2 horas, cambiase la clave de nuestra red en todos y cada uno de los equipos. Este procedimiento es imposible de llevar a cabo de manera automática, porque cualquier procedimiento que se intente, necesitaría que todos los ordenadores conectados se enterasen del cambio a la vez, ya que si por cualquier motivo un ordenador no estuviese conectado en el momento del cambio, se quedaría fuera de la red y tendría que ser reconfigurado manualmente. En nuestro ejemplo del banco: ¡el agente de seguridad tendría que estar llamando por teléfono a todos sus empleados para decirles la clave!

Protocolo 802.1x – Autentificación y Manejo de Claves

Con el fin de solucionar estos problemas surge el protocolo 802.1x, que aunque lleve ya algunos años en el mercado, pocas empresas lo utilizan, debido a su complejidad de instalación.

El protocolo 802.1x ofrece un marco en el que se lleva a cabo un proceso de autentificación del usuario, así como un proceso de variación dinámica de claves, todo ello ajustado a un protocolo, denominado EAP (Extensible Authentication Protocol). Mediante este procedimiento, todo usuario que esté empleando la red se encuentra autentificado y con una clave única, que se va modificando de manera automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. El servicio soporta múltiples procesos de autenticación tales como Kerberos, Radius, certificados públicos, claves de una vez, etc. Aunque no es el objetivo de este artículo enumerar los diferentes procesos de autentificación, basta con mencionar que Windows 2003 Server ® soporta este servicio.

Para entender cómo funciona el protocolo 802.1x sigamos el siguiente esquema.

1. El cliente, que quiere conectarse a la red, manda un mensaje de inicio de EAP que da lugar al proceso de autentificación. Siguiendo con nuestro ejemplo, la persona que quiere acceder al banco pediría acceso al guardia de seguridad de la puerta.
2. El punto de acceso a la red respondería con una solicitud de autentificación EAP. En nuestro ejemplo, el guardia de seguridad respondería solicitando el nombre y el apellido del cliente, así como su huella digital. Además, antes de preguntarle, el guarda de seguridad le diría una contraseña al cliente, para que éste sepa que realmente es un guardia de seguridad.
3. El cliente responde al punto de acceso con un mensaje EAP que contendrá los datos de autentificación. ‘Nuestro cliente le daría el nombre y los apellidos al guardia de seguridad además de su huella digital’.
4. El servidor de autentificación verifica los datos suministrados por el cliente mediante algoritmos, y otorga acceso a la red en caso de validarse. En nuestro caso, el sistema del banco verificaría la huella digital, y el guardia validaría que se correspondiese con el cliente.
5. El punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que el cliente se conecte o rechazándolo. Nuestro guardia de seguridad le abrirá la puesta o no, en función de la verificación al cliente.
6. Una vez autentificado, el servidor acepta al cliente, por lo que el punto de acceso establecerá el puerto del cliente en un estado autorizado. Nuestro cliente estará dentro del banco.

De esta manera, el protocolo 802.1x provee una manera efectiva de autentificar, se implementen o no claves de autentificación WEP. De todas formas, la mayoría de las instalaciones 802.1x otorgan cambios automáticos de claves de encriptación usadas solo para la sesión con el cliente, no dejando el tiempo necesario para que ningún sniffer sea capaz de obtener la clave.

Futuro

El uso del protocolo 802.1x está en proceso de convertirse en un estándar, y sería más que adecuado que pensases en él como la solución para tu red inalámbrica. Windows XP® implementa 802.1x de manera nativa, aunque necesita algún servidor Windows Server en la red.

Evotec Consulting dispone de profesionales que le podrían instalar una red inalámbrica con una seguridad igual a la de las redes físicas y así poder olvidarse de robos de información o ataques malintencionados.