U11.3 Métodos de seguridad en redes inalámbricas

WEP (Wired Equivalent Privacy)
WEP es un método de seguridad de red que forma parte del estándar 802.11 desde sus orígenes. Es el sistema más simple de cifrado admitido por casi la totalidad de los adaptadores inalámbricos. El cifrado WEP se realiza en la capa MAC del adaptador de red inalámbrico o en el punto de acceso, utilizando claves compartidas de 64 o 128 bits. Cada clave consta de dos partes, una de las cuales la tiene que configurar el usuario/administrador en cada uno de los adaptadores o puntos de acceso de la red. La otra parte se genera automáticamente y se denomina vector de inicialización (IV). El objetivo del vector de inicialización es obtener claves distintas para cada trama.
Para cifrar los datos WEP utiliza el algoritmo RC4, que básicamente consiste en generar un flujo de bits a partir de la clave generada, que utiliza como semilla, y realizar una operación XOR entre este flujo de bits y los datos que tiene que cifrar. El valor IV garantiza que el flujo de bits no sea siempre el mismo. WEP incluye el IV en la parte no cifrada de la trama, lo que aumenta la inseguridad. La estación receptora utiliza este IV con la clave compartida para descifrar la parte cifrada de la trama.

802.11i
El estándar IEEE 802.11i incluye protocolos de gestión de claves y mejoras de cifrado y autenticación con IEEE 802.1X.

TKIP
TKIP (Temporary Key Integrity Protocol) es un protocolo de gestión de claves dinámicas admitido por cualquier adaptador que permite utilizar una clave distinta para cada paquete transmtido. La clave se construye a partir de la clave base, la dirección MAC de la estación emisora y del número de serie del paquete como vector de inicialización.
Cada paquete que se transmite utilizando TKIP incluye un número de serie único de 48 bits que se incrementa en cada nueva transmisión para asegurar que todas las claves son distintas. Esto evita "ataques de colisión" que se basan en paquetes cifrados con la misma clave.

CCMP
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) es un nuevo protocolo que utiliza AES como algoritmo criptográfico y proporciona integridad y confidencialidad.
CCMP se basa en el modo CCM del algoritmo de cifrado AES y utiliza llaves de 128 bits con vectores de inicialización de 48 bits.

WPA
El Acceso protegido Wi-Fi cifra la información y también se asegura de que la clave de seguridad de red no haya sido modificada. Además, el Acceso protegido Wi-Fi autentica a los usuarios con el fin de garantizar que únicamente las personas autorizadas puedan tener acceso a la red.
Existen dos tipos de autenticación WPA: WPA y WPA2. WPA se ha diseñado para trabajar con todos los adaptadores de red inalámbricos, pero es posible que no funcione con enrutadores o puntos de acceso antiguos. WPA2 es más seguro que WPA, pero no funcionará con algunos adaptadores de red antiguos.

WPA con TKIP
WPA utiliza TKIP (Temporal Key Integrity Protocol) para la gestión de las claves dinámicas mejorando notablemente el cifrado de datos, incluyendo el vector de inicialización. En general WPA es TKIP con 802.1x. Por lo demás WPA funciona de una manera parecida a WEP pero utilizando claves dinámicas, utiliza el algoritmo RC4 para generar un flujo de bits que se utilizan para cifrar con XOR y su vector de inicialización (IV) es de 48 bits. La modificación dinámica de claves puede hacer imposible utilizar el mismo sistema que con WEP para abrir una red inalámbrica con seguridad WPA.
Además WPA puede admitir diferentes sistemas de control de acceso incluyendo la validación de usuario-contraseña, certificado digital u otro sistema o simplemente utilizar una contraseña compartida para identificarse.

WPA se ha diseñado para utilizarse con un servidor de autenticación 802.1x, que distribuye claves diferentes a cada usuario. Esto se denomina WPA-Enterprise o WPA2-Enterprise. También se puede usar en el modo de clave previamente compartida (PSK), donde cada usuario recibe la misma frase de contraseña. Esto se denomina WPA-Personal o WPA2-Personal.

WPA-PSK
Es el sistema más simple de control de acceso tras WEP, a efectos prácticos tiene la misma dificultad de configuración que WEP, una clave común compartida, sin embargo, la gestión dinámica de claves aumenta notoriamente su nivel de seguridad. PSK se corresponde con las iniciales de PreShared Key y viene a significar clave compartida previamente, es decir, a efectos del cliente basa su seguridad en una contraseña compartida.
WPA-PSK usa una clave de acceso de una longitud entre 8 y 63 caracteres, que es la clave compartida. Al igual que ocurría con WEP, esta clave hay que introducirla en cada una de las estaciones y puntos de acceso de la red inalámbrica. Cualquier estación que se identifique con esta contraseña, tiene acceso a la red.
Las características de WPA-PSK lo definen como el sistema, actualmente, más adecuado para redes de pequeñas oficinas o domésticas, la configuración es muy simple, la seguridad es aceptable y no necesita ningún componente adicional.

WPA empresarial
En redes corporativas resultan imprescindibles otros mecanismos de control de acceso más versátiles y fáciles de mantener como por ejemplo los usuarios de un sistema identificados con nombre/contraseña o la posesión de un certificado digital. Evidentemente el hardware de un punto de acceso no tiene la capacidad para almacenar y procesar toda esta información por lo que es necesario recurrir a otros elementos de la red cableada para que comprueben unas credenciales. Ahora bien, parece complicado que un cliente se pueda validar ante un componente de la red por cable si todavía no tenemos acceso a la red. En este punto es donde entra en juego el IEEE 802.1X, para permitir el tráfico de validación entre un cliente y una máquina de la red local. Una vez que se ha validado a un cliente es cuando WPA inicia TKIP para utilizar claves dinámicas.
Los clientes WPA tienen que estar configurados para utilizar un sistema concreto de validación que es completamente independiente del punto de acceso. Los sistemas de validación WPA pueden ser, entre otros, EAP-TLS, PEAP, EAP-TTLS.

Autenticación 802.1x
La autenticación 802.1x puede ayudar a mejorar la seguridad de las redes inalámbricas 802.11 y de las redes Ethernet con cable. 802.1x usa un servidor de autenticación para validar a los usuarios y proporcionar acceso a la red. En las redes inalámbricas, 802.1x puede funcionar con claves WPA, WPA2 o WEP. Este tipo de configuración se suele utilizar al conectarse a una red de área local.

EAP
El estándar 802.1X utiliza un protocolo de autenticación llamado EAP (Extensible Authentication Protocol) que admite distintos métodos de autenticación como certificados, tarjetas inteligentes, ntlm, Kerberos, ldap, etc. En realidad EAP actúa como intermediario entre un solicitante y un motor de validación permitiendo la comunicación entre ambos.

EAP-TLS
Es un sistema de autenticación fuerte basado en certificados digitales, tanto del cliente como del servidor, es decir, requiere una configuración PKI (Public Key Infraestructure) en ambos extremos. TLS (transport Layer Security) es el nuevo estándar que sustituye a SSL (Secure Socket Layer).

EAP-TTLS
El sistema de autenticación se basa en una identificación de un usuario y contraseña que se transmiten cifrados mediante TLS, para evitar su transmisión en texto limpio. Es decir se crea un túnel mediante TLS para transmitir el nombre de usuario y la contraseña. A diferencia de EAP-TLS sólo requiere un certificado de servidor.

PEAP
El significado de PEAP se corresponde con Protected EAP y consiste en un mecanismo de validación similar a EAP-TTLS, basado en usuario y contraseña también protegidos.

investigacion11