Puede prevenir la recepción no autorizada de datos inalámbricos mediante la Privacidad equivalente a cables (WEP) IEEE 802.11. La codificación WEP ofrece dos niveles de seguridad: El uso de claves de 64 bits (denominadas algunas veces como de 40 bits) o de 128 bits (también conocida como de 104 bits). Para mayor seguridad, utilice una clave de 128 bits. Si utiliza la codificación, todos los dispositivos inalámbricos de la red inalámbrica deben utilizar las mismas claves de codificación.
La codificación y autenticación compartida de la privacidad equivalente a cables (WEP) brinda protección a los datos en una red. WEP utiliza una clave de codificación para codificar los datos antes de transmitirlos. Sólo los equipos que utilicen la misma clave de codificación pueden tener acceso a la red o descodificar los datos codificados transmitidos por otros equipos. La autenticación ofrece un proceso de validación adicional desde el adaptador hasta el punto de acceso.
El algoritmo de cifrado WEP es vulnerable a los ataques de red pasivos y activos. Los algoritmos TKIP y CKIP incluyen mejoras al protocolo WEP que mitigan los ataques de red existentes y fortalecen sus flaquezas.
IEEE 802.11 admite dos tipos de métodos de autenticación de red: sistema abierto y clave compartida.
Funcionamiento de la autenticación 802.1x
Funciones de 802.1x
La autenticación 802.1x es independiente del proceso de autenticación de 802.11. El estándar 802.1x provee un marco para varios protocolos de autenticación y gestión de claves. Existen distintos tipos de autenticación 802.1x y cada uno ofrece un método distinto de autenticación, pero todos emplean el mismo protocolo y marco 802.1x para la comunicación entre un cliente y un punto de acceso. En la mayoría de los protocolos, al finalizar el proceso de autenticación 802.1x, el solicitante recibe una clave que utiliza para la codificación de datos. Consulte Funcionamiento de la autenticación 802.1x, si desea más información. Con la autenticación 802.1x, se utiliza un método de autenticación entre el cliente y el servidor de Servicio de usuario para el acceso telefónico remoto (RADIUS) conectado al punto de acceso. El proceso de autenticación utiliza credenciales, tal como la contraseña del usuario, las cuales no se transmiten a través de la red inalámbrica. La mayoría de los tipos 802.1x son compatibles con las claves dinámicas para cada usuario y cada sesión, lo cual fortalece la seguridad de claves estáticas. 802.1x se beneficia del uso del protocolo de autenticación existente conocido como Protocolo de autenticación ampliable ligero (EAP).
La autenticación 802.1x para redes locales inalámbricas tiene tres componentes principales:
La seguridad de autenticación 802.1x inicia una solicitud de autorización desde el cliente inalámbrico al punto de acceso, el cual autentica al cliente en un servidor RADIUS compatible con el Protocolo de autenticación ampliable (EAP). El servidor RADIUS puede autenticar ya sea a los usuarios (mediante contraseñas o certificados) o a los equipos (mediante direcciones MAC). En teoría, un cliente inalámbrico puede unirse a las redes hasta que se complete la transacción.
Existen varios algoritmos de autenticación utilizados para 802.1x. Algunos ejemplos son: EAP-TLS, EAP-TTLS, y EAP (PEAP) protegido. Todos éstos son métodos que el cliente inalámbrico utiliza para identificarse a sí mismo ante el servidor RADIUS. Con la autenticación RADIUS, las identidades de los usuarios se verifican en las bases de datos. RADIUS constituye un conjunto de estándares que controlan la autenticación, la autorización y la contabilidad (AAA). Radius incluye un proceso proxy para validar los cliente en los entornos con varios servidores. El estándar IEEE 802.1x se utiliza para controlar y autenticar el acceso a redes inalámbricas 802.11 basadas en puerto y a redes Ethernet cableadas. El control del acceso a redes basadas en puerto es similar a una infraestructura de red de área local (LAN) conmutada que autentica los dispositivos conectados a un puerto LAN y previene el acceso a dicho puerto si falla el proceso de autenticación.
RADIUS es el Servicio de usuario para el acceso telefónico remoto, un protocolo cliente servidor de autorización, autenticación y contabilidad (AAA) que se utiliza cuando un cliente de acceso telefónico AAA inicia o finaliza una sesión en un Servidor de acceso a redes. Por lo general, los Proveedores de servicios de Internet (ISP) utilizan servidores RADIUS para efectuar tareas AAA. A continuación se describen las fases AAA:
La siguiente es una descripción simplificada de la autenticación 802.1x:
El Acceso protegido Wi-Fi (WPA o WPA2) es una mejora de la seguridad que aumenta considerablemente el nivel de protección de datos y el control del acceso a una red inalámbrica. WPA impone la autenticación y el intercambio de claves de 802.1x y funciona sólo con claves de codificación dinámicas. Para reforzar la codificación de datos, WPA utiliza el Protocolo de integridad de claves (TKIP). TKIP brinda importantes mejoras en la codificación de datos, que incluyen una función de mezcla de claves por paquete, una verificación de integridad de mensajes (MIC) llamada Michael, un vector de inicialización (IV) extendido con reglas de secuencia y un mecanismo de reintroducción de claves. Con estas mejoras, TKIP brinda protección para las flaquezas conocidas de WEP.
La segunda generación de WPA que es compatible con la especificación IEEE TGi se conoce como WPA2.
Modo empresarial: El Modo empresarial verifica los usuarios de red mediante un servidor RADIUS o cualquier otro servidor de autenticación. WPA utiliza claves de codificación de 128 bits y claves de sesión dinámica para garantizar la privacidad y seguridad empresarial de su red inalámbrica. El Modo empresarial está diseñado para entornos corporativos o gubernamentales.
Modo personal: El Modo personal requiere la configuración manual de una clave precompartida (PSK) en el punto de acceso y los clientes. PSK autentica a los usuarios con una contraseña o código de identificación, tanto en la estación cliente como en el punto de acceso. No se necesita servidor de autenticación. El Modo personal está diseñado para los entornos domésticos y de pequeña empresa.
WPA-Empresa y WPA2-Empresa: Provee este nivel de seguridad en redes empresariales con un servidor 802.1x RADIUS. Se selecciona un tipo de autenticación que coincida con el protocolo de autenticación del servidor 802.1x.
WPA-Personal y WPA2-Personal: Provee este nivel de seguridad en entornos de redes pequeñas o domésticas. Utiliza una contraseña que también se conoce como clave precompartida (PSK). Cuanto más larga sea la contraseña, más robusta será la seguridad de la red inalámbrica. Si el punto de acceso o enrutador inalámbrico es compatible con WPA-Personal y WPA2-Personal, debe activarlo en el punto de acceso y utilizar una contraseña extensa y robusta. La misma contraseña utilizada en el punto de acceso debe utilizarse en este equipo y en todos los demás dispositivos inalámbricos que tienen acceso a la red inalámbrica.
NOTA: WPA-Personal y WPA2-Personal no son interoperables.
AES-CCMP - (Estándar de codificación avanzada - Protocolo CBC-MAC contrario) es el nuevo método de protección de la privacidad en transmisiones inalámbricas especificado en el estándar IEEE 802.11i. AES-CCMP ofrece un método de codificación más robusto que TKIP. Elija AES-CCMP como el método de codificación de datos siempre que sea necesaria una protección de datos sólida.
NOTA: Es probable que el sistema operativo del equipo no admita algunas soluciones de seguridad y que sea preciso instalar software adicional o hardware particular, al igual que compatibilidad con la infraestructura de LAN inalámbrica. Consulte con el fabricante del equipo para más detalles.
TKIP (Protocolo de integridad de claves temporales) es una mejora de la seguridad WEP (Privacidad equivalente a cables). TKIP ofrece la mezcla de claves por paquete, la verificación de la integridad de los mensajes y un mecanismo de reintroducción de clave, lo cual corrige las debilidades de WEP.
Message Digest 5 (MD5) es un método de autenticación de una vía que utiliza nombres de usuario y contraseñas. Este método no admite la gestión de claves, pero requiere de una clave preconfigurada si se utiliza la codificación de datos. Se puede desplegar de forma segura para la autenticación inalámbrica dentro de los métodos de túnel EAP.
Un tipo de método de autenticación que utiliza el protocolo de autenticación ampliable (EAP) y un protocolo de seguridad denominado seguridad del nivel de transporte (TLS). EAP-TLS utiliza certificados que usan contraseñas. La autenticación EAP-TLS admite la gestión de claves WEP dinámicas. El protocolo TLS está diseñado para asegurar y autenticar la comunicación a través de una red pública mediante la codificación de datos. El Protocolo de enlace TLS permite que el servidor y el cliente provean autenticación mutua y negocien un algoritmo y claves de codificación antes de transmitir los datos.
Estas opciones definen el protocolo y las credenciales utilizadas para autenticar un usuario. En TTLS (Seguridad del nivel de transporte de túnel), el cliente utiliza EAP-TLS para validar el servidor y crear un canal TLS codificado entre el cliente y el servidor. El cliente puede utilizar otro protocolo de autenticación, por lo general protocolos basados en contraseñas, como el Desafío MD5 a través de este canal codificado para activar la validación del servidor. Los paquetes de desafío y respuesta se envían a través del canal TLS codificado no expuesto. En la actualidad, la implementación TTLS admite todos los métodos definidos por EAP, al igual que varios métodos antiguos (PAP, CHAP, MS-CHAP y MS-CHAPv2). TTLS se puede ampliar con facilidad para que funcione con protocolos nuevos mediante la definición de nuevos atributos que admitan protocolos nuevos.
PEAP es un nuevo tipo de autenticación del Protocolo de autenticación ampliable (EAP) IEEE 802.1x diseñado para sacar provecho de la seguridad del nivel de transporte EAP (EAP-TLS) del lado del servidor y para admitir varios métodos de autenticación, los cuales incluyen las contraseñas de usuarios, las contraseñas de un solo uso y las tarjetas de testigo genérico.
LEAP de Cisco (EAP ligero de Cisco) es una autenticación 802.1x de servidor a cliente que utiliza una contraseña de inicio de sesión proporcionada por el usuario. Cuando el punto de acceso inalámbrico se comunica con un RADIUS habilitado para LEAP de Cisco (Servidor de control de acceso seguro de Cisco [ACS]), LEAP de Cisco ofrece el control del acceso a través de la autenticación mutua entre los adaptadores inalámbricos de los clientes y las redes inalámbricas y brinda claves de codificación de usuario individuales y dinámicas para ayudar a proteger la privacidad de los datos transmitidos.
La función de punto de acceso dudoso de Cisco ofrece protección segura de la introducción de un punto de acceso dudoso que pudiese imitar un punto de acceso legítimo en una red, a fin de extraer información acerca de las credenciales de usuario y protocolos de autenticación, lo cual podría poner en peligro la seguridad. Esta función solo opera con la autenticación LEAP de Cisco. La tecnología 802.11 estándar no protege una red de la introducción de un punto de acceso pirata. Consulte autenticación de LEAP, si desea más información.
Cuando se configura una red local inalámbrica para la reconexión rápida, los dispositivos cliente activados para LEAP pueden itinerar de un punto de acceso a otro sin involucrar al servidor principal. Con Cisco Centralized Key Management (CCKM), un punto de acceso configurado para brindar servicios de dominio inalámbrico (WDS) toma el lugar del servidor RADIUS y autentica el cliente sin retraso perceptible en la voz o en otras aplicaciones sensibles al tiempo.
El Protocolo de integridad de claves de Cisco (CKIP) es un protocolo de seguridad propiedad de Cisco para la codificación en medios 802.11. CKIP utiliza las funciones siguientes para mejorar la seguridad 802.11 en el modo de infraestructura:
Algunos puntos de acceso, como Cisco 350 o Cisco 1200, admiten entornos en los que no todas las estaciones cliente son compatibles con la codificación WEP, lo cual se denomina modo de celda mixta. Cuando dichas redes inalámbricas funcionan en el modo de "codificación optativa", las estaciones cliente que se unen en el modo WEP envían todos los mensajes codificados y las estaciones que utilizan el modo estándar envían los mensajes sin codificar. Estos puntos de acceso difunden que la red no utiliza codificación, pero admiten a los clientes utilizan el modo WEP. Al habilitar una Celda mixta en un perfil, se permite la conexión a puntos de acceso que estén configurados para la "codificación optativa".
EAP-FAST, al igual que EAP-TTLS y PEAP, utiliza túneles para proteger el tráfico. La diferencia principal es que EAP-FAST no utiliza certificados para la autenticación. La provisión de EAP-FAST es negociada solamente por el cliente como primer intercambio de comunicación, cuando se solicita EAP-FAST en el servidor. Si el cliente no tiene una Credencial de acceso protegido (PAC) secreta y precompartida, puede iniciar un intercambio de provisión de EAP-FAST para obtener una del servidor de forma dinámica.
EAP-FAST documenta dos métodos para la entrega de la PAC: la entrega manual a través de un mecanismo seguro fuera de banda y la provisión automática.
El método EAP-FAST se divide en dos partes: la provisión y la autenticación. La fase de provisión implica la entrega inicial de la PAC al cliente. Esta fase solamente necesita realizarse una vez por cada cliente y usuario.
Algunos puntos de acceso, como Cisco 350 o Cisco 1200, admiten entornos en los que no todas las estaciones cliente son compatibles con la codificación WEP, lo cual se denomina modo de celda mixta. Cuando dichas redes inalámbricas funcionan en el modo de "codificación optativa", las estaciones cliente que se unen en el modo WEP envían todos los mensajes codificados y las estaciones que utilizan el modo estándar envían los mensajes sin codificar. Estos puntos de acceso difunden que la red no utiliza codificación, pero admiten a los clientes que utilizan el modo WEP para unirse. Al habilitar la "celda mixta" en un perfil, se permite la conexión a puntos de acceso que estén configurados para la "codificación optativa".
Si se activa esta función, el adaptador inalámbrico provee la gestión del aparato de radio en la infraestructura Cisco. Si se utiliza la utilidad Cisco Radio Management en la infraestructura, ésta configura los parámetros del aparato de radio y detecta la interferencia y los puntos de acceso dudosos.
Marcas comerciales y cláusula de exención de responsabilidad