Como sabemos, la seguridad en redes tipo inalámbricas, es un factor muy importante debido a la naturaleza del medio de transmisión: el aire. Las características de seguridad en la WLAN (Red Local Inalámbrica), se basan especialmente en la protección a la comunicación entre el punto de acceso y los clientes inalámbricos, controlan el ingreso a esta red, y protegen al sistema de administración de acceso no autorizado.

La falta de confianza en esta tecnología por parte de los responsables de T.I., posiblemente el principal factor que retarda su despegue. Tras la publicación de los primeros estándares que determinaron el nacimiento de las redes wireless ethernet (IEEE 802.11a y b), también denominadas Wi-Fi por el consorcio que empuja su implantación e interoperabilidad de los productos, surgió la necesidad inmediata de proporcionar un protocolo que proporcionase seguridad frente a intrusiones en este tipo de transmisiones: WEP (Wired Equivalent Privacy). Este protocolo proporciona tres mecanismos de seguridad (por nombre de la red o SSID, por clave estática compartida y por autentificación de dirección MAC) que se pueden utilizar por separado pero que es más recomendable combinarlos. Sin embargo pronto se descubrió que todos ellos eran fácilmente desbloqueados en corto tiempo (incluso minutos) por expertos utilizando herramientas de escucha en redes (sniffers). Para paliar este grave inconveniente, se han diseñado soluciones no estandarizadas apuntando en diferentes áreas. La primera de ellas es sustituir el mecanismo de clave estática por uno de clave dinámica WEP (TKIP u otros), lo que dificulta su identificación, puesto que el tiempo de computación que lleva es mayor que la frecuencia de cambio. Sin embargo debe ser complementada con otras técnicas como sistemas Radius para forzar la identificación del usuario, túneles VPN con cifrado IPSEC o análogo entre el terminal de usuario y un servidor seguro interno para imposibilitar el análisis de las tramas enviadas por radio.

Los consorcios reguladores, conscientes de la gravedad de esta debilidad y su fuerte impacto negativo en el crecimiento de las WLAN, han propuesto una recomendación provisional denominada WPA (Wi-Fi Protected Access) que conjuga todas las nuevas técnicas anteriormente expuestas.

En los inicios de la tecnología inalámbrica, los procedimientos y mecanismos de seguridad eran tan débiles que podía ganarse acceso con relativa facilidad hacia redes WLAN de compañías desde la calle.

Una vez conocidas las inseguridades de las redes wireless, no tardaron en aparecer los ataques, y una de las más sofisticadas formas se ha denominado "wardriving". Consiste en que expertos en redes wireless ethernet se desplazan en un coche con un portátil con tarjeta de red inalámbrica y una antena pequeña, realizando una exploración de las frecuencias empleadas por estas redes en zonas empresariales y centros de negocios de grandes ciudades. Los resultados de estas búsquedas revelan que con mínimo esfuerzo se puede penetrar en una gran mayoría de las redes. Las razones de ello son: elevados porcentajes de redes con los parámetros por defecto de los equipos, no activadas las reglas de seguridad básicas o sólo parcialmente, exceso de potencia de señal que permite su fácil recepción desde el exterior, empleados que implantan su propio punto de acceso inalámbrico sin conocimiento de la empresa, seguridad sólo basada en WEP, etc. Solamente una muy pequeña proporción responde a un patrón de diseño cuidadoso, habiendo introducido mecanismos adicionales de protección (túneles, radius, etc).

La seguridad WLAN abarca dos elementos: el acceso a la red y la protección de los datos (autenticación y encriptación, respectivamente). Las violaciones a la seguridad de la red inalámbrica, generalmente, vienen de los puntos de acceso no autorizados, aquéllos instalados sin el conocimiento de los administradores de la red, o que operan con las funcionalidades de protección deshabilitadas (que es la configuración por omisión en los dispositivos inalámbricos).

1.- Especificación original 802.11

Utiliza tres mecanismos para proteger las redes WLAN:

• SSID (Identificador de Servicio): es una contraseña simple que identifica la WLAN. Los clientes deben tener configurado el SSID correcto para accesar a la red inalámbrica. El uso del SSID como método único de control de acceso a la infraestructura es peligroso, porque típicamente no está bien asegurado; comúnmente el punto de acceso está configurado para distribuir este parámetro en su señal guía (beacon).
• Filtrado con dirección MAC (Control de Acceso al Medio): restringe el acceso a computadoras cuya dirección MAC de su adaptador está presente en una lista creada para cada punto de acceso en la WLAN. Este esquema de seguridad se rompe cuando se comparte o se extravía el adaptador inalámbrico.
• WEP (Privacidad Equivalente a Cable): es un esquema de encriptación que protege los flujos de datos entre clientes y puntos de acceso como se especifica en el estándar 802.11. Aunque el soporte para WEP es opcional, la certificación Wi-Fi exige WEP con llaves de 40 bits. El estándar recomienda dos esquemas para definir las llaves WEP. En el primer esquema, un conjunto de hasta cuatro llaves establecidas es compartido por todas las estaciones (clientes y puntos de acceso). El problema con estas llaves es que cuando se distribuyen ampliamente, la seguridad se ve comprometida. En el segundo esquema cada cliente establece una relación de llaves con otra estación. Este método ofrece una alternativa más segura, porque menos estaciones tienen las llaves, pero la distribución de las mismas se dificulta con el incremento en el número de estaciones.

2.- Estándar IEEE 802.1X

Para contrarrestar los defectos de la seguridad WEP, el IEEE creó el estándar 802.1X. Se trata de un mecanismo de seguridad diseñado para proporcionar acceso controlado entre dispositivos inalámbricos clientes, puntos de acceso y servidores. Emplea llaves dinámicas en lugar de llaves estáticas usadas en la autenticación WEP, y requiere de un protocolo de autenticación para reconocimiento mutuo. Es necesario un servidor que proporcione servicios de autenticación remota de usuarios entrantes (RADIUS, Servicio Remoto de Autenticación de Usuarios Entrantes).

3.- Estándar 802.11i del IEEE: Un venidero estándar de seguridad que el IEEE está actualmente desarrollando; se caracteriza por las protecciones de autenticación 802.1X y agrega el estándar de encriptación de avance (AES)1 para la protección de encriptación junto a otras mejoras.

4.- WPA: El Acceso Protegido Wi-Fi (WPA) es un estándar de seguridad de la Alianza Wi-Fi que resuelve los inconvenientes de la encriptación de la Privacidad Equivalente Cableada (WEP), utilizando el Protocolo de Integridad de Llave temporal (TKIP), el cual se envuelve alrededor de la WEP y cierra sus hoyos de seguridad. El Acceso Protegido Wi-Fi (WPA), incluye además los beneficios de autenticación del estándar 802.1X.

4.- EAP2: El Protocolo de Autenticación Extensible (EAP) es un protocolo punto a punto que soporta métodos de autenticación múltiples. El soporte para los tipos de EAP depende del OS que se soporta.

6.- TKIP: El Protocolo de Integridad de Llave Temporal es utilizado por los estándares 802.1X y WPA para autenticar. Diseñado por los mejores criptógrafos ofrece un recubrimiento alrededor de la WEP, cerrando los hoyos de seguridad de la misma.

7.- VPN3: La Tecnología de la Red Privada Virtual (VPN) ofrece protección WLAN adicional importante para datos críticos. La red privada virtual (VPN) protege una WLAN creando un túnel que resguarda los datos del mundo exterior.

8.- RADIUS4: El Servicio al Usuario de Marcado de Autenticación Remota (RADIUS) es un servidor de punto final que desempeña la autenticación utilizando el Protocolo de Autenticación Extensible (EAP). Este es un requerimiento del estándar de seguridad 802.1X del IEEE.

Artículos Asesor de seguridad, donde se desarrolla el tema de la seguridad y los de seguridad en las redes Wlan. El protocolo de las redes WLAN 802.11 no es muy seguro y no se puede hacer mucho al respecto. Afortunadamente, IEEE (junto con Microsoft, Cisco y otros líderes del sector) se ha dado cuenta de los problemas de 802.11; el resultado es el estándar IEEE 802.1x, que ofrece un conjunto mucho más robusto de mecanismos de autenticación y seguridad para las redes LAN inalámbricas (WLAN) y las LAN tradicionales. 802.1x se puede implementar mediante una combinación de controladores de dominio de Windows 2000 o Windows Server 2003 y clientes de Windows XP.