Las organizaciones que han implementado WLAN están preocupadas acerca de si son o no seguras; a las que no las han implementado aún les preocupa desaprovechar la oportunidad de aumentar la productividad del usuario y reducir costos de propiedad. Existe todavía una gran confusión en relación con la seguridad de una WLAN en el entorno informático corporativo.

La IEEE, junto con otros organismos normativos y consorcios, han vuelto a definir y han mejorado con diligencia los estándares de seguridad inalámbrica para permitir que las WLAN hagan frente al entorno de seguridad hostil de principios del siglo veintiuno. Gracias a los esfuerzos de los organismos normativos y los líderes del sector, las palabras "seguridad WLAN" han dejado de ser contradictorias. Las WLAN pueden implementarse y utilizarse actualmente con un gran nivel de confianza en su seguridad.

Microsoft ha elaborado dos soluciones WLAN, basadas en los estándares abiertos de organismos tales como el IEEE, el Grupo de trabajo de ingeniería de Internet (IETF) y la Alianza Wi-Fi. Estas dos soluciones son: Solución de Seguridad de LAN inalámbricas — Servicios de Certificate Server de Microsoft Windows Server 2003 y Seguridad en LAN inalámbricas con PEAP y contraseñas. Como sus propios nombres indican, la primera utiliza certificados de clave pública para autenticar equipos y usuarios en la WLAN mientras que la segunda recurre simplemente a los nombres de usuario y las contraseñas. No obstante, la arquitectura básica de las dos soluciones es muy similar.

Desde el descubrimiento de las vulnerabilidades de seguridad de las WLAN que se han descrito hasta el momento, los principales proveedores de redes, los organismos reguladores y los analistas han centrado gran parte de sus esfuerzos en encontrar soluciones para hacer frente a estos problemas. De esta forma, se han generado una serie de respuestas a las preocupaciones sobre la seguridad de las WLAN. Las principales opciones son:

Quizás la manera más evidente de lidiar con las amenazas de la seguridad en las WLAN sea evitarlas por completo al no implementar ninguna WLAN. Además de tener que renunciar a los beneficios de las WLAN esbozados con anterioridad en este documento, esta estrategia no está libre de dificultades. Las organizaciones que siguen este enfoque deben tratar con lo que el grupo META denomina el "precio de la demora", que es más que un mero coste de la oportunidad. El estudio del grupo META basó sus hallazgos en el análisis del método no administrado con el que se desarrolló el uso de las redes locales por cable en muchas organizaciones durante una década. En la mayoría de los casos, los departamentos de TI centrales se vieron obligados a dar el paso y tomar el control de la implementación de la LAN a posteriori. Como suele ocurrir, el coste de volver a implementar las numerosas redes locales de departamentos independientes y, a menudo, incompatibles, fue enorme. Si desea obtener más información, consulte el artículo "How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information" publicado por el grupo META el 18 de diciembre de 2002.

Ésta es la misma amenaza que ha emergido con las WLAN, sobre todo en empresas grandes donde, con frecuencia, no se puede ver físicamente lo que sucede en cada ubicación. La implementación de bases no administradas de WLAN, posible debido al coste extremadamente bajo de los componentes, es con toda probabilidad la peor situación. De esta forma, las organizaciones quedan expuestas a todas las amenazas de la seguridad descritas con anterioridad, y además, no disponen del grupo de TI central que conoce todo lo necesario acerca de ellas o que es capaz de dar los pasos precisos para combatir las amenazas.

Por tanto, si su estrategia es la de no adoptar la tecnología de WLAN, tendrá que llevarla a cabo de forma activa y no pasiva. Debe respaldar esta decisión con una directiva clara publicada y asegurarse de que todos los empleados conocen tanto esta directiva como las consecuencias de no cumplirla. Podría interesarle disponer de equipamiento de exploración y monitores de paquetes de red para detectar el uso no autorizado de equipos inalámbricos en su red.

La seguridad 802.11 básica (WEP estática) emplea una clave compartida para controlar el acceso a la red y usa la misma clave para cifrar el tráfico inalámbrico. Este modelo de autorización simple se complementa a menudo con el uso del filtrado de puertos basado en direcciones de hardware de tarjeta de WLAN, aunque no forma parte de la seguridad de 802.11 como tal. El principal atractivo de este enfoque es su sencillez. Si bien ofrece un nivel de seguridad algo mejor que las WLAN sin proteger, cuenta con grandes inconvenientes de administración y seguridad, sobre todo en organizaciones de gran tamaño.

Las VPN son probablemente la manera más popular de cifrado de red; mucha gente confía en las tecnologías de VPN probadas y de confianza para proteger la confidencialidad de los datos enviados a través de Internet. Cuando se detectaron las vulnerabilidades de la WEP estática, VPN se propuso rápidamente como la manera de proteger los datos que viajan a través de una WLAN. Algunos analistas, como el Grupo Gartner, promocionaron este enfoque y, lógicamente, los distribuidores de soluciones para VPN lo fomentaron con entusiasmo.

VPN es una solución excelente para atravesar una red hostil como Internet (aunque la calidad de las implementaciones de VPN varíe). Sin embargo, no es necesariamente la mejor solución para asegurar las WLAN internas. Para este tipo de aplicaciones, una VPN ofrece poca o ninguna seguridad adicional en comparación con las soluciones 802.1X; al mismo tiempo que incrementan de manera significativa la complejidad y los costes, reducen el aprovechamiento y hacen que partes importantes de las funciones no estén operativas.

Se distingue de la utilización de VPN para asegurar el tráfico a través de zonas interactivas de la LAN pública inalámbrica. La protección de los datos de red de usuarios que se conectan a través de redes remotas hostiles constituye un uso legítimo de las VPN. En estos escenarios, los usuarios esperan que las conexiones seguras sean más molestas y menos funcionales que las conexiones LAN; algo inesperado dentro de las propias instalaciones de la empresa.

Entre las ventajas de utilizar VPN para proteger las WLAN se incluyen:

• La mayoría de las organizaciones ya han implementado una solución de VPN, así que tanto los usuarios como el personal de TI estarán familiarizados con la solución.
• La protección de los datos de la VPN suele emplear el cifrado de software que permite que los algoritmos se modifiquen y se actualicen con mayor facilidad que el cifrado basado en el hardware.
• Es posible utilizar hardware relativamente menos costoso porque la protección de VPN es independiente del hardware de WLAN (aunque el aumento de precio que conlleva el hardware de red apto para 802.1X no ha desaparecido en absoluto).

Entre los inconvenientes de utilizar VPN en lugar de la seguridad de WLAN nativa se incluyen:

• Las VPN carecen de transparencia para el usuario. Por regla general, los clientes VPN precisan que el usuario inicie manualmente una conexión con el servidor de VPN; por lo tanto, la conexión nunca será tan transparente como una conexión LAN con cable.
• Dado que la conexión de VPN sólo la puede iniciar el usuario, un equipo inactivo o desconectado no se conectará a la VPN (y por lo tanto, tampoco a la LAN corporativa). En consecuencia, un equipo no se puede administrar o supervisar remotamente a menos que un usuario inicie la sesión.
• Es posible que los perfiles de itinerancia, las secuencias de comandos de inicio de sesión y el software implementado para el usuario mediante el GPO no funcionen como se esperaba. A menos que el usuario elija iniciar la sesión mediante la conexión de VPN desde el mensaje de inicio de sesión de Windows, el equipo no se conectará a la LAN corporativa hasta después de que el usuario haya iniciado la sesión y haya iniciado la conexión de VPN.
• Si se reanuda desde un estado de espera o hibernación, la conexión de VPN no se volverá a establecer de forma automática, sino que el usuario deberá hacerlo manualmente.
• Aunque los datos del interior del túnel VPN están protegidos, la VPN no ofrece protección para la propia WLAN. Un intruso podría seguir conectado a la WLAN e intentar sondear o atacar dispositivos conectados a la WLAN.
• Los servidores de la VPN se pueden convertir en un cuello de botella. Todo el acceso de clientes WLAN a la LAN corporativa se realiza a través del servidor. Los dispositivos VPN suelen prestar servicio a una gran cantidad de clientes remotos con velocidades relativamente bajas; de ahí, que la mayoría de las puertas de enlace VPN no puedan hacer frente a las decenas o cientos de clientes que se ejecutan con toda la velocidad de una LAN.
• Los gastos de hardware adicional y de administración continua de los dispositivos de VPN son probablemente muy superiores a los de una solución de WLAN nativa. Cada sitio necesitará, habitualmente, su propio servidor VPN junto con los puntos de acceso de WLAN.
• Las sesiones de VPN son más susceptibles de desconectarse cuando los clientes se mueven entre puntos de acceso. Aunque las aplicaciones admitirán a menudo desconexiones momentáneas al cambiar de un punto de acceso inalámbrico a otro, las sesiones de VPN se interrumpirán con frecuencia y necesitarán que el usuario las vuelva a conectar manualmente.El coste del servidor VPN y de las licencias de software del cliente, así como el coste de implementar el software, pueden constituir un problema en el caso de soluciones de VPN ajenas a Microsoft. Es posible también que le preocupe la compatibilidad del software del cliente VPN ya que, a menudo, los clientes que no son de Microsoft sustituyen funciones principales de Windows.
• Muchos analistas y proveedores suponen, sin manifestarlo abiertamente, que la seguridad de las VPN siempre es mejor que la de las WLAN. Aunque esto puede ser cierto en el caso de la WEP estática, no tiene por qué ser necesariamente el caso de las soluciones basadas en EAP 802.1X . En especial los métodos de autenticación de VPN son, a menudo, muy poco seguros y, en el mejor de los casos, no suelen ser mucho más seguros. Por ejemplo, las soluciones de WLAN compatibles con Microsoft utilizan exactamente los mismos métodos de autenticación de EAP que sus soluciones de VPN (EAP-TLS y MS-CHAP versión 2).
• Una VPN no protege la WLAN propiamente dicha. Aunque los datos del interior de los túneles VPN son seguros, cualquiera puede seguir conectándose a la WLAN e intentando atacar a clientes inalámbricos legítimos u otros dispositivos de la WLAN.

 Alternativa 4: Seguridad IP

IPSec permite que dos partes de una red se autentiquen la una a la otra de forma segura y autentiquen o cifren paquetes de red individuales. IPSec se puede utilizar tanto para abrir un túnel seguro de una red a otra, como para simplemente proteger los paquetes IP que se transmiten entre dos equipos.

Los túneles IPSec se suelen utilizar en el acceso de cliente o las conexiones de VPN de sitio a sitio. El modo de túnel IPSec es una forma de VPN y funciona con la encapsulación de un paquete de IP completo dentro de un paquete protegido mediante IPSec. Esto agrega una carga a la comunicación, al igual que otras soluciones de VPN, que no es realmente necesaria para la comunicación entre sistemas de la misma red. Los pros y los contras del modo de túnel IPSec se han desarrollado en la sección anterior sobre VPN.

IPSec también puede asegurar el tráfico de un extremo a otro entre dos equipos (sin túnel) mediante el modo de transporte IPSec. Al igual que VPN, IPSec es una solución excelente en muchas circunstancias, si bien, como se aclarará en esta sección, no puede sustituir directamente a la protección de WLAN nativa que se distribuye en la capa de hardware de red.

Algunas de las ventajas de la protección del modo de transporte IPSec son:

• Es transparente para los usuarios. Al contrario de las VPN, no se precisa ningún procedimiento de inicio de sesión especial.
• La protección de IPSec es independiente del hardware de WLAN. Sólo precisa una WLAN abierta y sin autenticar. A diferencia de las VPN, no se necesitan servidores ni dispositivos adicionales porque la seguridad se negocia entre los equipos en cada extremo de la comunicación.
• La utilización de algoritmos de cifrado no se encuentra limitada por el hardware de WLAN.

IPSec utiliza sólo la autenticación de nivel de equipo y no existe manera de implementar a la vez un esquema de autenticación basado en el usuario. Para muchas organizaciones, esto no supondrá ningún problema pero permite que los usuarios no autorizados se conecten a otros equipos protegidos con IPSec de la red si inician la sesión en un equipo autorizado.

Al igual que las VPN, IPSec constituye una solución excelente para muchas situaciones de seguridad pero no afronta la seguridad de la WLAN ni tampoco la protección de WLAN nativa.

La solución de WLAN 802.1X es, con diferencia, la mejor opción disponible. Sin embargo es preciso elegir entre una serie de opciones que conformarán la solución.

Las dos elecciones principales son:

• Si se emplean contraseñas o certificados para autenticar los equipos y los usuarios.
• Si se emplea la WEP dinámica o la protección de datos de WLAN de WPA.
• Estos dos elementos son independientes el uno del otro.

 Decisión de la solución de seguridad para WLAN correcta

El siguiente diagrama de flujo resume la elección entre las dos soluciones de seguridad de WLAN.

El resultado de este árbol de decisión depende del tamaño y de los requisitos de seguridad específicos de su organización. La mayoría de las organizaciones serán capaces de utilizar una u otra solución de WLAN de Microsoft sin ninguna modificación.

La protección de datos de WEP, cuando se combina con la autenticación segura y la actualización de clave dinámica proporcionada por 802.1X y EAP, proporciona un nivel de seguridad que es más que adecuado para la mayoría de las organizaciones. No obstante, el estándar WPA mejora por encima de esto y ofrece mejores niveles de seguridad.

Las diferencias entre emplear WPA y una WEP dinámica en cualquiera de las soluciones son mínimas y la migración de un entorno WEP dinámico a un entorno WPA es muy sencilla. Los cambios fundamentales al pasar de una WEP dinámica al WPA son:

• Si su hardware de red (puntos de acceso inalámbrico y adaptadores de red inalámbricos) no admite el WPA actualmente, deberá obtener e implementar las actualizaciones de firmware necesarias para ello. Las actualizaciones de firmware para los adaptadores de red inalámbricos se incluyen a menudo en las actualizaciones de controladores de red.
• Deberá activar el WPA en sus puntos de acceso inalámbrico.
• La configuración de cliente WLAN debe modificarse para negociar el WPA en lugar de la seguridad de WEP.
• La directiva de acceso remoto sobre el tiempo de espera de la sesión en el servicio de autenticación de Internet (IAS), que se emplea para imponer una actualización de claves WEP, debería incrementarse con el fin de reducir la carga en el servidor IAS.

 Si aun no se encuentra en condiciones de implementar WPA, se debería implementar una solución de WEP dinámica y planear la migración a WPA cuando lo permitan las circunstancias