Windows Vista e Infraestructura Wireless I
¿Qué tal? Antes de iniciar esta serie sobre
redes WiFi y Windows Vista es de recibo que sepamos de qué estamos hablando. En
un breve pero intenso articulo haremos un repaso a como ha ido evolucionando la
seguridad de las redes inalámbricas y como podemos protegerlas ante los ataques
externos.
Al principio el IEEE diseño un estándar para
comunicaciones WiFi al que nombro 802.11. Para hacerlo tan seguro "como una conexión por cable"
desarrollaron un protocolo de autentificación al que llamaron WEP (Wired Equivalent
Privacy) y que al principio pareció funcionar bien, pero claro, solo al
principio...
WEP usa un sistema de cifrado de tipo RC4,
con claves de 40 o 104 bits, que sumados a los 24 bits del vector de
inicialización (IV) dan unas longitudes de clave de 64 o 128 bits. Esto en los
años en los que se publico la especificación (1997) y con el hardware
disponible en aquella época, era considerado seguro, pero en la actualizad, y
usando técnicas para intensificar el envío de paquetes en la red, es posible
crackear una de estas claves en menos de 15 minutos, aunque con técnicas
recientes se ha conseguido reducir este tiempo a solamente 60 segundos. Es por
eso que no vamos a dedicarle mucho más tiempo al tema de la encriptación
mediante WEP, considerándola insegura, insuficiente y desfasada en comparación
con las actuales técnicas de encriptación como son WPA y WPA2.
Cuando la industria de fabricantes de
dispositivos WiFi se dio cuenta de los riesgos que presentaba para sus clientes
la debilidad de WEP se puso en marcha para desarrollar un sistema de
encriptación que permitiese asegurar las comunicaciones. Bajo el auspicio de la
Wi-Fi Alliance, que agrupa a empresas tan importantes como Cisco, AT&T o HP,
se desarrollo un nuevo sistema de seguridad al que llamaron WPA (Wi-Fi
Protected Access) que lanzaron en el 2003, adelantándose en un año al IEEE
802.11i (o WPA2).
¿Qué ventajas trae este nuevo protocolo de
encriptación frente a WEP? Pues para empezar nos proporciona dos maneras
distintas de autenticarnos, la primera como en WEP, con una clave compartida,
la segunda, contra un servidor de autentificación IEEE 802.1X, con encriptación
basada en EAP o, mediante un servidor RADIUS, con EAP-TLS.
En el caso de la autenticación por clave
compartida (o WPA-Personal), aunque siguen
haciendo uso del cifrado RC4 (con clave de 128 bits y IVs de 48 bits), se usa
un sistema de TKIP (Temporal Key Integrity Protocol) que nos permite asegurar
nuestra red de una forma mucho mas consistente, haciendo que cada paquete
enviado vaya encriptado de forma única. Por otro lado, la autenticación contra
el servidor de autenticación IEEE802.1X (WPA-Enterprise),
nos proporciona una clave única para cada usuario, haciendo más difícil si cabe
el crackeo de la red.
¿Y que diferencia hay con la WPA2? Pues
básicamente dos. La primera es que se modifica el sistema de protección de TKIP
por otro aun mas seguro, el CCMP, basado en el algoritmo de encriptación AES.
La segunda y no menos importante es que este ya si es un estándar de la IEEE y
que la Wi-Fi Alliance marca como requisito indispensable para los nuevos
dispositivos inalámbricos para lograr el reconocimiento de Wi-Fi Certified, con
lo que eso nos garantiza para una red de mediana o gran empresa.
Bueno, todo esto esta muy bien, pero ¿como
nos afecta esto a la red esa que queremos montar en nuestra empresa y por la
que van a viajar datos confidenciales de clientes? La respuesta es simple. Para
empezar hay que descartar de raíz la autentificación WEP, es insegura por
definición y no debe de ser usada en ningún tipo de entorno. Luego llegamos a
la disyuntiva entre WPA y WPA2. En este caso, aunque la diferencia no es tan
abismal como cuando hablamos de WEP, debemos decantarnos por WPA2 en la medida
de lo posible, pues la encriptación de los paquetes ofrece mayor seguridad.
Para terminar, la elección entre Personal o Enterprise va a venir definida por
el número de personas que se conectaran a nuestra red. En el caso de una red
domestica o una pequeña empresa, con una clave compartida no bastara, pero si
tenemos un gran grupo de usuarios con necesidad de conectarse a nuestra red lo
mejor será decantarse por un servidor RADIUS de autenticación y configurar los
ordenadores clientes para conectarse usando este.
Todas estas tecnologías vienen soportadas de base
por Windows Vista y en el próximo artículo veremos como configurar nuestro
ordenador para que se conecte a una red con autenticación WPA2-Enterprise.
¡Un saludo y hasta pronto!
Referencias Externas
----------------------------------------------------------------
Wifi
WPA Enterprise
Comparte este post: