Aunque hablar de seguridad en las redes inalámbricas parece una utopía, esto empieza a cambiar gracias al uso del protocolo 802.1x, que aunque poco conocido, ofrece las seguridades de una red física. Sin embargo, asusta pensar que más del 98% de las empresas emplean el protocolo 802.11, el cual puede ser reventado con una simple PDA en menos de 2 horas.

La seguridad en las redes inalámbricas está más que cuestionada hoy en día. Muchas de las redes existentes en la actualidad, basadas en el protocolo 802.11, ni siquiera se encuentran cifradas, por lo que el acceso a estas redes es tan sencillo como dejar que Windows se conecte de manera automática o, como mucho, que tengamos que encontrar una IP válida para conectarnos a la red.

Pongamos un ejemplo sencillo: imaginemos nuestra Universidad (FUP) en el que tuviésemos dinero a la vista y ni siquiera contara con personal de seguridad vigilando la entrada. En el mejor de los casos, alguien se colaría y cogería el dinero sin que ningún trabajador o estudiante se diera cuenta.

Los usuarios con algunos conocimientos cifran las redes basadas en el protocolo 802.11 mediante WEP (Wired Equivalent Privacy). Este es un procedimiento mediante el cual todas las comunicaciones establecidas por la red se encuentran cifradas con una clave compartida para todos los usuarios, que se emplea tanto para cifrar como para descifrar los mensajes enviados. En este caso, el acceso a dichas redes, se complica un poco… pero no mucho: bastará con usar algún programa sniffer como AirSnort o WEPcrack, para monitorizar la red y sacar la clave que se está empleando para cifrar los datos. Asusta pensar que algunas claves, pueden ser descubiertas con una PDA con Linux y algún programa de este tipo en menos de 2 horas, y si que funciona !!!

Sigamos con nuestro ejemplo: En la Universidad, para evitar más robos, decide poner un agente de seguridad en la puerta que pida una clave, para acceder a las instalaciones. Tras unas horas, un ladrón, lo suficientemente cerca, escucha la clave y se introduce en la FUP, mencionando dicha clave. Como vemos, no ha servido de mucho.

La solución parece sencilla: modificaremos nuestra clave lo suficientemente rápido como para que nadie sea capaz de descifrarla. Este procedimiento, aunque posible, es inabordable: necesitaríamos de un administrador en nuestra red que, cada 2 horas, cambiase la clave de nuestra red en todos y cada uno de los equipos. Este procedimiento es imposible de llevar a cabo de manera automática, porque cualquier procedimiento que se intente, necesitaría que todos los ordenadores conectados se enterasen del cambio a la vez, ya que si por cualquier motivo un ordenador no estuviese conectado en el momento del cambio, se quedaría fuera de la red y tendría que ser reconfigurado manualmente. En nuestro ejemplo del la FUP el agente de seguridad tendría que estar llamando por teléfono a todos sus empleados para decirles la clave!

Con el fin de solucionar estos problemas surge el protocolo 802.1x, que aunque lleve ya algunos años en el mercado, pocas empresas lo utilizan, debido a su complejidad de instalación. Pero gracias a esta guía que implemente las cosas van hacer mucho mas fácil y compleja su instalación.

El protocolo 802.1x ofrece un marco en el que se lleva a cabo un proceso de autentificación del usuario, así como un proceso de variación dinámica de claves, todo ello ajustado a un protocolo, denominado EAP (Extensible Authentication Protocol). Mediante este procedimiento, todo usuario que esté empleando la red se encuentra autentificado y con una clave única, que se va modificando de manera automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. El servicio soporta múltiples procesos de autenticación tales como Kerberos, Radius, certificados públicos, claves de una vez, etc. Aunque no es el objetivo de esta guia enumerar los diferentes procesos de autentificación, basta con mencionar que Windows 2003 Server ® soporta este servicio.

Para entender cómo funciona el protocolo 802.1x sigamos el siguiente esquema.

• El cliente, que quiere conectarse a la red, manda un mensaje de inicio de EAP que da lugar al proceso de autentificación. Siguiendo con nuestro ejemplo, la persona que quiere acceder a la FUP pediría acceso al guardia de seguridad de la puerta.
• El punto de acceso a la red respondería con una solicitud de autentificación EAP. En nuestro ejemplo, el guardia de seguridad respondería solicitando el nombre y el apellido del cliente, así como su huella digital. Además, antes de preguntarle, el guarda de seguridad le diría una contraseña al cliente, para que éste sepa que realmente es un guardia de seguridad.
• El cliente responde al punto de acceso con un mensaje EAP que contendrá los datos de autentificación. ‘Nuestro cliente le daría el nombre y los apellidos al guardia de seguridad además de su huella digital’.
• El servidor de autentificación verifica los datos suministrados por el cliente mediante algoritmos, y otorga acceso a la red en caso de validarse. En nuestro caso, el sistema de la FUP verificaría la huella digital, y el guardia validaría que se correspondiese con el cliente.
• El punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que el cliente se conecte o rechazándolo. Nuestro guardia de seguridad le abrirá la puesta o no, en función de la verificación al cliente.
• Una vez autentificado, el servidor acepta al cliente, por lo que el punto de acceso establecerá el puerto del cliente en un estado autorizado. Nuestro cliente estará dentro de la FUP.

De esta manera, el protocolo 802.1x provee una manera efectiva de autentificar, se implementen o no claves de autentificación WEP. De todas formas, la mayoría de las instalaciones 802.1x otorgan cambios automáticos de claves de encriptación usadas solo para la sesión con el cliente, no dejando el tiempo necesario para que ningún sniffer sea capaz de obtener la clave.

El uso del protocolo 802.1x está en proceso de convertirse en un estándar, y sería más que adecuado que pensases en él como la solución para tu red inalámbrica. Windows XP® implementa 802.1x de manera nativa, aunque necesita algún servidor Windows Server en la red.

Así pues, que ya conoces que las Wlan así tengan implementadas su esquema de seguridad son Inseguras, espero que esta guía te sirva para que implementes y mejores tu red Inalámbrica.

Esta solución está diseñada para guiarle a través del ciclo completo de planeamiento, implementación, prueba y administración de soluciones de seguridad inalámbricas. Se sirve de una arquitectura flexible que se adapta tanto a aquellas organizaciones con menos de 50 usuarios, como a las que cuentan con varios miles. La solución se basa en el protocolo de autenticación 802.1x del Instituto de ingenieros de electricidad y electrónica (IEEE). Se creó y probó en clientes Microsoft® Windows® XP, y en equipos que ejecutan Microsoft Windows Server™ 2003.