4 Decisión de la solución de seguridad WLAN - Emilia Zerpa

 Como lo define el IEEE, WEP está diseñado para proteger a usuarios de una WLAN de espías casuales y su intención era tener las siguientes propiedades:

Encripción razonablemente fuerte. Depende de la dificultad de recuperar la llave secreta a través de un ataque de fuerza bruta. La dificultad crece con el tamaño de la llave.

• Auto-sincronización. No hay necesidad de lidiar con los paquetes perdidos. Cada paquete contiene la información requerida para desencriptarlo.
• Eficiente. Puede ser implementado en software de forma razonable.
• Exportable. Limitar el largo de la llave conlleva a una mayor posibilidad de exportar más allá de las fronteras de los Estados unidos.
• El algoritmo WEP esencialmente el algoritmo criptográfico RC4 de Data Security Inc. es considerado un algoritmo simétrico por qué utiliza la misma llave para cifrar y para descifrar la Unidad de Información de Protocolo (PDU) de texto plano. Para cada transmisión el texto plano es XOR con una llave pseudo aleatoria para producir texto cifrado. El proceso es invertido para la desencripción.

El algoritmo funciona de la siguiente manera:

• Se asume que la llave secreta ha sido distribuida en la estación de transmisión y recepción por algún medio seguro.
• En la estación de transmisión, la llave secreta de 40 bits es concatenada con el Vector de Inicialización (IV) de 24 bits para producir la semilla para la entrada hacia el PRNG WEP.
• La semilla es pasada al PRNG para producir un stream (keystream) de octetos pseudo aleatorios.
• El texto plano PDU es XOR con la keystream pseudo aleatoria para producir el texto cifrado PDU.
• El texto cifrado PDU se concatena con el IV y transmitido por el WM.
• La estación receptora lee el IV y lo concatena con la llave secreta, produciendo la semilla que pasa al PRNG.
• El PRNG del receptor deberá producir un keystream idéntico al usado por la estación de transmisión, de tal forma que cuando XOR con el texto cifrado, el texto plano original PDU sea producido.

Vale la pena mencionar que el texto plano PDU también está protegido con CRC para prevenir manejo aleatorio del texto cifrado en tránsito. Desafortunadamente, la especificación no incluye ninguna regla relacionada con el uso del IV, excepto que dice que el IV podrá ser cambiado "tan frecuentemente como cualquier MPDU." La especificación sin embargo si pone sobre aviso a los implementadores a considerar los peligros de una pobre administración del IV. Esto es en parte responsable de la facilidad con la que algunas implementaciones WEP son comprometidas.

La especificación 802.11 del IEEE original utilizó tres mecanismos para proteger las redes LAN inalámbricas.

• El Identificador Fijo del Servicio (SSID) es una simple contraseña que identifica la WLAN. Los clientes deben estar configurados con el SSID correcto para acceder su WLAN.
• El Control de Acceso al Medio (MAC) direcciona el filtrado que restringe el acceso WLAN a aquellas computadoras que se encuentran en la lista creada por usted para cada punto de acceso en su WLAN.
• La Privacidad Equivalente Cableada (WEP) es un esquema de encriptación que protege las corrientes de datos WLAN entre los clientes y los puntos de acceso (APs), según lo especifica el estándar 802.11. Se encontraron fallas.

Elección entre WEP dinámica y WPA

La protección de datos de WEP, cuando se combina con la autenticación segura y la actualización de clave dinámica proporcionada por 802.1X y EAP, proporciona un nivel de seguridad que es más que adecuado para la mayoría de las organizaciones. No obstante, el estándar WPA mejora por encima de esto y ofrece mejores niveles de seguridad.

Las diferencias entre emplear WPA y una WEP dinámica en cualquiera de las soluciones son mínimas y la migración de un entorno WEP dinámico a un entorno WPA es muy sencilla. Los cambios fundamentales al pasar de una WEP dinámica al WPA son:

• Si su hardware de red (puntos de acceso inalámbrico y adaptadores de red inalámbricos) no admite el WPA actualmente, deberá obtener e implementar las actualizaciones de firmware necesarias para ello. Las actualizaciones de firmware para los adaptadores de red inalámbricos se incluyen a menudo en las actualizaciones de controladores de red.
• Deberá activar el WPA en sus puntos de acceso inalámbrico.
• La configuración de cliente WLAN debe modificarse para negociar el WPA en lugar de la seguridad de WEP.
• La directiva de acceso remoto sobre el tiempo de espera de la sesión en el servicio de autenticación de Internet (IAS), que se emplea para imponer una actualización de claves WEP, debería incrementarse con el fin de reducir la carga en el servidor IAS.
• Nota: IAS es la implementación del servidor RADIUS de Microsoft y se incluye en Windows Server 2003, aunque no se instala de forma predeterminada.

WPA debería ser la primera elección, si se encuentra disponible. No obstante, debería reflexionar acerca de si alguno de los siguientes problemas pudiese complicar más el empleo de WPA:

• Es posible que su hardware de red no sea compatible todavía con WPA (es poco probable que ocurra con los nuevos dispositivos, pero es posible que tenga una base amplia de hardware previo a WPA instalada).
• La compatibilidad con la configuración controlada por el GPO sólo se encuentra disponible en el Service Pack 1 de Windows Server 2003 (previsto para la segunda mitad de 2004); las versiones anteriores no eran compatibles así que la configuración de WPA debe establecerse manualmente en los clientes de Windows XP.
• Es posible que WPA no sea compatible con todos sus clientes; por ejemplo, Windows 2000 y anteriores o Pocket PC no disponen en la actualidad de compatibilidad integrada para WPA.

Si decide que todavía no se encuentra en condiciones de implementar WPA, debería implementar una solución de WEP dinámica y planear la migración a WPA cuando lo permitan las circunstancias.

Aunque no se deduzca de sus nombres, el público al que están destinadas estas soluciones difiere. Solución de Seguridad de LAN inalámbricas — Servicios de Certificate Server de Microsoft Windows Server 2003 está orientada sobre todo a organizaciones de gran tamaño con entornos de tecnología de la información (TI) relativamente complejos; mientras que Seguridad en LAN inalámbricas con PEAP y contraseñas es una solución bastante más sencilla y se puede implementar con facilidad en organizaciones mucho más pequeñas.

Esto no quiere decir que la autenticación de contraseñas no se pueda utilizar en el caso de organizaciones de gran tamaño (o que la autenticación de certificados no sea adecuada para organizaciones más pequeñas), sólo se trata de reflejar el tipo de organización donde es más probable que se utilice esa tecnología en particular. La siguiente ilustración muestra un árbol de decisión sencillo que ayuda a seleccionar la solución adecuada para su organización. Las tres opciones principales disponibles son:

• El acceso protegido Wi-Fi (WPA) con clave compartida previamente (PSK) dirigida a empresas muy pequeñas u oficinas domésticas.
• Seguridad de WLAN basada en contraseñas para organizaciones que no utilizan ni necesitan certificados.
• Seguridad de WLAN basada en certificados para organizaciones que necesitan y pueden implementar certificados.

A raíz de la información manejada en este tema, debería ser obvio que una solución de WLAN 802.1X es, con diferencia, la mejor opción disponible. Sin embargo y como se indica en la sección "Comprensión de la seguridad de WLAN", una vez que se ha decidido emplear una solución 802.1X, es preciso elegir entre una serie de opciones que conformarán la solución.

Las dos elecciones principales son:

• Si se emplean contraseñas o certificados para autenticar los equipos y los usuarios.
• Si se emplea la WEP dinámica o la protección de datos de WLAN de WPA.

Estos dos elementos son independientes el uno del otro.

Como se comentó con anterioridad en este documento, Microsoft posee dos guías sobre la solución de seguridad de WLAN; una, que emplea autenticación de contraseña y otra, que emplea autenticación de certificados. Estas soluciones funcionan tanto con WEP dinámica como con WPA.

Una vez conocidas las inseguridades de las redes wireless, no tardaron en aparecer los ataques. Y una de las más sofisticadas formas se ha denominado "wardriving". Consiste en que expertos en redes wireless ethernet se desplazan en un coche con un portátil con tarjeta de red inalámbrica y una antena pequeña, realizando una exploración de las frecuencias empleadas por estas redes en zonas empresariales y centros de negocios de grandes ciudades.

Los resultados de estas búsquedas revelan que con mínimo esfuerzo se puede penetrar en una gran mayoría de las redes. Las razones de ello son: elevados porcentajes de redes con los parámetros por defecto de los equipos, no activadas las reglas de seguridad básicas o sólo parcialmente, exceso de potencia de señal que permite su fácil recepción desde el exterior, empleados que implantan su propio punto de acceso inalámbrico sin conocimiento de la empresa, seguridad sólo basada en WEP, etc. Solamente una muy pequeña proporción respondía a un patrón de diseño cuidadoso, habiendo introducido mecanismos adicionales de protección (túneles, radius).

1. Configure todos los puntos de acceso inalámbrico para que admitan WEP dinámica y WPA a la vez.
2. Cree un nuevo objeto de directiva de grupo de la configuración del cliente WLAN.
3. Cree una directiva de red inalámbrica que establezca la configuración adecuada para WPA (consulte el procedimiento de la sección "Configuración manual de WLAN en Windows XP para WPA" de este apéndice). A continuación, deshabilite el objeto de directiva de grupo de la WEP actual y habilite el de WPA para que todas las configuraciones de WPA se envíen a todos los clientes. Los clientes comenzarán a utilizar WPA en la WLAN una vez se haya actualizado el objeto de directiva de grupo.
4. Nota: si configura los clientes de forma manual, deberá deshabilitar el objeto de directiva de grupo que contenga la configuración WEP, ya que, de no hacerlo, el objeto de directiva de grupo sobrescribirá la configuración WPA manual.
5. Finalmente, debe actualizar el tiempo de espera de la sesión de la directiva de acceso remoto IAS y de la sesión de cliente en el punto de acceso (tal y como se describe en la sección sobre la directiva de acceso remoto IAS anterior de este apéndice).

1. Cree un nuevo SSID de WLAN para la red WPA.
2. Modifique el objeto de directiva de grupo de la configuración de red del cliente y agregue el nuevo SSID con los parámetros de WPA (tal y como se describe en la sección "Configuración manual de WLAN en Windows XP para WPA" anterior de este apéndice). Si configura los clientes de forma manual, deberá hacerlo con el nuevo SSID y, asimismo, con la configuración de WPA para ese SSID. En cualquier caso, no quite la configuración del SSID de la WEP anterior.
3. De forma simultánea, vuelva a configurar los puntos de acceso que admitían WEP para que sean compatibles con WPA y modifique el SSID del punto de acceso. A medida que vaya configurando cada punto de acceso, los clientes cambiarán al nuevo SSID y utilizarán WPA.
4. Una vez que haya reconfigurado todos los puntos de acceso, podrá actualizar las directivas de acceso remoto en todos los servidores IAS. Será necesario aumentar el valor de tiempo de espera de la sesión en la directiva de acceso remoto (de 60 minutos a 8 horas) y, además, modificar la misma configuración en los puntos de acceso inalámbrico (tal y como se describe en la sección sobre la directiva de acceso remoto IAS anterior de este apéndice).

Una vez que ha finalizado la migración, puede quitar el SSID de la WEP del objeto de directiva de grupo.

Tecnologías para redes LAN inalambricas y Windows XP. Pag. 3 de 5: Retos actuales de las redes LAN inalámbricas.

El articulo habla acerca de los retos que siempre han tenido las rede, pero éstos aumentan cuando se agrega complejidad, tal como sucede con las redes inalámbricas. Por ejemplo, a medida que la configuración de red continúa simplificándose, las redes inalámbricas incorporan características (en ocasiones para resolver otros retos) y métrica que se agrega a los parámetros de configuración.