En los últimos años, las redes de área local inalámbricas (WLAN) están ganando mucha popularidad, que se ve acrecentada conforme sus prestaciones aumentan y se descubren nuevas aplicaciones para ellas. Debido a su facilidad de instalación y conexión, se han convertido en una excelente alternativa para ofrecer conectividad en lugares donde resulta inconveniente o imposible brindar servicio con una red cableada.
Sin embargo, el acceso sin necesidad de cables, característica intrínseca de las WLAN, constituye a la vez el problema más grande al que se enfrentan este tipo de redes en lo que a seguridad se refiere. Y es que, a diferencia de la relativa simplicidad asociada a las redes de cable, la transmisión de datos en las inalámbricas se realiza a través de ondas de radio que se transfieren entre estaciones y puntos de acceso que intercomunican las redes inalámbricas con redes Ethernet, por lo que cualquier cliente en el radio de acción de un punto de acceso podría recibir las señales.
Desde que se detectaron las vulnerabilidades en la seguridad de WLAN de primera generación, expertos y analistas dedicados a la seguridad en las redes han procurado resolver estos problemas mediante el desarrollo de nuevas soluciones. De forma paralela, el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), junto con otros organismos normativos y consorcios, han vuelto a definir y han mejorado con celeridad los estándares de seguridad inalámbrica para permitir que las WLAN hagan frente al entorno de seguridad hostil del Siglo XXI. Gracias a los esfuerzos de los organismos normativos y los líderes del sector, los términos seguridad y redes inalámbricas han dejado de ser incompatibles y las WLAN pueden implementarse y utilizarse actualmente con un gran nivel de confianza en su seguridad.
Como ocurre en otras redes cableadas, la seguridad para redes inalámbricas se centra en la privacidad de los datos y el control de acceso. La privacidad de la WLAN se consigue mediante el cifrado de los datos con una clave que sólo puede utilizar el destinatario deseado. Por su parte, un control de acceso robusto, también denominado autenticación, impide que los usuarios no autorizados se comuniquen a través de los puntos de acceso y garantiza que los clientes se registren únicamente con aquellos puntos de acceso a los que pueden asociarse según la política corporativa. “Cuanto más sólida sea la política de control de acceso, más difícil le resultará al intruso acceder a los recursos de la red inalámbrica”, recalca Yolanda Lamilla, Business Development Manager de Cisco España.
Antes de que una estación terminal pueda asociarse con un punto de acceso y conseguir acceder a la WLAN, debe llevar a cabo unos mecanismos de seguridad que se pueden clasificar en básicos o avanzados en función de su grado de efectividad.
Dentro de los mecanismos de seguridad inalámbrica básicos encontramos:
Wired Equivalent Protocol (WEP) desde 64 a 256 Bits: Se trata del primer algoritmo de seguridad implementado en la norma 802.11. Fue diseñado para proteger los datos que se transmiten en una conexión inalámbrica mediante cifrado, pero no puede compararse con protocolos de redes más seguros tales como IPSec para la creación de Virtual Private Networks (VPN). WEP comprime y cifra los datos que se envían a través de las ondas de radio. WEP utiliza una clave secreta, el RC4, para el cifrado de los paquetes antes de su retransmisión. Por omisión, WEP está deshabilitado.
Open System Authentication: Es el mecanismo de autenticación definido por el estándar 802.11 y consiste en dar por auténticas todas las peticiones que se reciben. Uno de los principales inconvenientes de este mecanismo es que no realiza ninguna comprobación y, además, todas las tramas de gestión son enviadas sin ningún tipo de cifrado, incluso cuando se ha activado WEP.
Closed Network Access Control: Sólo se permite el acceso a la red a aquellos que conozcan el nombre de la red, o SSID, que es el nombre de red que identifica el área cubierta por uno o más puntos de acceso.
Firewall: Sistema de protección basado en la instalación de una “barrera” entre un ordenador, un punto de acceso o un router y la red por la que circulan todos los datos. Este tráfico es autorizado o denegado por el cortafuegos, siguiendo instrucciones previamente configuradas.
En cuanto a los mecanismos de seguridad inalámbrica avanzados, cabe destacar los siguientes:
Protocolo de Integridad de Clave Temporal (TKIP): Este protocolo, creado para resolver las deficiencias del algoritmo WEP, hace que prácticamente cada trama de datos esté encriptada de forma diferente, por lo que si de alguna forma fuera posible averiguar una de estas claves el resto de las tramas se mantienen a salvo ya que son totalmente diferentes.
EAP-TLS (Extensible Authentication Protocol with Transport Layer Security): Protocolo de autenticación basado en certificados digitales. Ofrece un control de acceso robusto, credenciales de seguridad y claves de encriptación dinámicas. Requiere la distribución de certificados digitales a todos los usuarios así como a los servidores RADIUS (Remote Authentication Dial In User Service).
Redes Privadas Virtuales (VPN): Sistema que emplea tecnologías de cifrado para crear un canal virtual privado sobre una red de uso público. Las VPN resultan especialmente atractivas para proteger redes inalámbricas porque funcionan sobre cualquier tipo de hardware inalámbrico y superan las limitaciones de WEP.
Estándar IEEE 802.1X: Utiliza el protocolo de autenticación extensible o EAP. Juntos proporcionan un marco para una potente autenticación de los usuarios, que puede utilizar un servidor central de autenticación, como RADIUS, para autenticar a cada usuario en la red local antes de que se conecte.
Wi-Fi Protected Access (WPA): Se trata de una solución interina que mejora la seguridad de WEP
Wi-Fi Protected Access 2 (WPA2): Fue aprobado por la Wi-Fi Alliance el 1 de Septiembre de 2004. Se basa en el estándar de seguridad para 802.11i y cumple con las normas del National Institute of Standards and Technology (NIST) FIPS 140-2. WPA2 implementa el algoritmo AES a diferencia de WPA que utiliza RC4, sin embargo WPA2 es totalmente compatible con WPA. Los dispositivos modernos deben soportar este protocolo.
Como se ha podido ver, el asunto de la seguridad en WLAN ha traído de cabeza a la industria durante años y ha desembocado en una incontable cantidad de protocolos, abreviaciones y siglas casi jeroglíficas, empezando con WEP, pasando por 802.11i y TKIP, y llegando hasta WPA+ y RADIUS.
En opinión de Rodolfo Lomascolo, director general de ipsCA, “para que la WLAN de tipo empresarial esté protegida frente amenazas debería contar, al menos, con soporte para WPA Enterprise, o mejor aún, para WPA2 Enterprise, pues la encriptación más compleja de los datos del usuario con TKIP o AES no puede ofrecer una seguridad absoluta”. Asimismo señala que es preferible llevar a cabo la autorización del usuario a través de un protocolo EAP en un servidor RADIUS, junto a la autorización estándar de los dispositivos finales. “Sólo entonces insiste- el acceso seguro quedará garantizado de forma independiente, así como la seguridad de los datos”.
Un enfoque muy similar es el que comparte Antonio Navarro, director comercial de D-Link Iberia. Aunque afirma que hoy en día existe un buen sistema de protección de datos gracias al nuevo estándar de seguridad 802.11i y a su fácil complementación con el servidor RADIUS (802.1x), reconoce que “sigue sin existir un dispositivo seguro al cien por cien”. De acuerdo con su valoración, las últimas tecnologías garantizan una seguridad del 99 por ciento, por lo que pueden permanecer tranquilas con la aplicación de medidas de seguridad relacionadas con el estándar 802.11i, en combinación con servidores de autenticación RADIUS y protocolos de encriptación TKIP y AES”. Por tanto, mientras las empresas tengan una política de seguridad para protegerse del exterior y del interior, se podrá recomendar la instalación de redes WLAN para crear una red, complementar y dar soporte a las cableadas”.
Sin embargo, contar con unas buenas medidas de protección no siempre es sinónimo de seguridad. Eusebio Nieva, director técnico de Check Point España y Portugal, considera que la seguridad implementada hoy en día en las redes inalámbricas es insuficiente porque aunque haya algunas técnicas disponibles que pueden ayudar en cierta medida “la inmensa mayoría de las implementaciones que se ven en el mundo real no hacen uso de ellas y esto delimita las tecnologías de acceso inalámbrico para un uso muy especializado o marginal”. Por esta razón, la mayoría de empresas dedicadas a la seguridad inalámbrica que han sido consultadas por REDES&TELECOM, recomiendan a las empresas que desarrollen un plan integral de seguridad y que cuando vayan a proteger sus redes con alguna solución, lo hagan siempre bajo la supervisión de un socio tecnológico.
Si atendemos ahora a las prácticas de seguridad que deben adoptar las empresas -en función de su tamaño- para proteger sus redes WLAN, Eusebio Nieva señala que las pequeñas y medianas deberían implementar, al menos, la especificación WPA2 para mantener un mínimo de confidencialidad y después aplicar tecnologías de segmentación adecuadas para contener las intrusiones al ámbito de la red inalámbrica. En cuanto a las compañías de tamaño medio, opina que, como mínimo, deben adoptar la aplicación de tecnologías de detección de intrusión especializadas, segmentación de las diferentes redes inalámbricas y el mayor nivel de autenticación posible. Por último, para las grandes firmas, además de todas las anteriores medidas, recomienda el uso de 802.1x para ayudar a la segmentación y a las tecnologías de seguridad.
En contraste con esta valoración se posiciona Juan Carlos Crespo, director del Centro Experto de Comunicaciones y Seguridad de Informática El Corte Inglés Consultoría y Servicios, que considera que la protección de las redes inalámbricas no debería ser diferente entre unas empresas y otras sólo por su tamaño. “Normalmente se asume que una empresa pequeña tiene unos requisitos de seguridad inferiores que una grande, pero esto es incorrecto puntualiza-, por eso en Informática El Corte Inglés creemos que lo primero que hay que hacer es analizar las necesidades de seguridad del cliente en función de su análisis de riesgos, de la disponibilidad con la que quiere contar, etcétera. Eso sí, cuanto mayor es la seguridad de la red, mayor será su complejidad de administración”. En este sentido, una empresa pequeña que requiera un alto nivel de seguridad, deberá estar dispuesta a dotarse de un sistema cuya configuración y mantenimiento posteriores serán más complejos que si se instalan los mismos equipos sin adaptarlos a su nivel de seguridad máximo. A modo de ejemplo, Juan Carlos Crespo comenta que “en el propio entorno Wi-Fi, y tomando el estándar más seguro WPA2, se puede configurar tanto en modo WPA2-Personal (una autenticación PSK) como en modo WPA2-Enterprise (donde como ya se introdujo la autenticación es mediante 802.1x/EAP).
Cuando los puntos de acceso y el software de las estaciones de trabajo no están configurados éstos se convierten en una puerta trasera que vulnera por completo la seguridad informática de la compañía.
En la actualidad, existen dos prácticas bien conocidas para localizar redes inalámbrica: el warchalking y el wardriving. El primero consiste en caminar por la calle con un ordenador portátil dotado de una tarjeta WLAN buscando la señal de puntos de acceso. Cuando el dispositivo encuentra alguno, el intruso marca en algún lugar cercano un símbolo que le indica la presencia del punto de acceso y si tiene configurado algún tipo de seguridad o no. De esta manera, otras personas pueden conocer la localización de la red. El método wardriving se emplea para localizar puntos de acceso inalámbrico desde un automóvil. Para este fin se necesita de un ordenador portátil con una tarjeta WLAN, una antena adecuada, un GPS para localizar los puntos de acceso en un mapa y un software para detectar las redes inalámbricas, que se consigue libremente en Internet.
Una vez que el intruso accede a la red, la propagación de ataques puede ser inminente. Según Rodolfo Lomascolo, “las amenazas a las que están expuestas las redes inalámbricas van desde aquellas que combinan las características de virus, gusanos, troyanos y demás códigos maliciosos con las vulnerabilidades de los equipos de escritorio, servidores y gateways para lanzar un ataque, hasta la simple intrusión no autorizada vulnerando los sistemas de acceso”. Por eso, hay especialistas como Linksys que insisten en que “los mecanismos de seguridad deben instalarse y configurarse en las WLAN de la misma forma que si se tratase de redes cableadas, es decir, utilizando cortafuegos y otros dispositivos que aseguren la identificación correcta de los usuarios, tanto internos como externos (desde Internet) de una red.
Uno de los ataques que se producen con mayor frecuencia en redes inalámbricas es “la captura de tramas”, que permite la desencriptación de la clave de la WLAN que da acceso a la red corporativa. De acuerdo con Fernando Martínez, Country Presales Manager Spain&Portugal de Symantec, “el ataque a estas redes, siempre conlleva el mismo fin, conseguir la clave de acceso a una red; por lo que dependiendo de los diferentes niveles de encriptación de las redes, lograr desencriptar las tramas será más o menos sencillo y requerirá un mayor o menor tiempo”. Para capturar esos paquetes, los atacantes sólo necesitan un software específico que permita, a través de una tarjeta inalámbrica, captar los datos de información que circulan a través de la WLAN. Según Yolanda Lamilla, este tipo de amenaza podría mitigarse mediante la utilización de claves WEP dinámicas, aunque reconoce que es una técnica”insuficiente” para que el despliegue masivo de redes inalámbricas tenga éxito.
También es muy común en las WLAN las amenazas del tipo Man in the middle. Se trata de un ataque de derivación activa y son efectivos en redes 802.11, debido a la ineficiente integridad en los mensajes. Cuando se produce este ataque el receptor no detecta que la conexión ha sido “pinchada” en el transcurso de la transmisión de los datos. No obstante, existen mecanismos de modificación de los bits de control (CRC) que exploran la vulnerabilidad intrínseca a la ineficiente comprobación de integridad del mensaje.
Otro importante grupo de amenazas está ligado a las denegaciones de servicio (DoS), que suceden cuando un atacante intenta ocupar la mayoría de los recursos disponibles de una red inalámbrica e impide que los usuarios legítimos de ésta los utilicen. Para evitar este tipo de amenazas habría que controlar el acceso a la red inalámbrica mediante 802.1X, ya que no existe en la actualidad ninguna defensa contra los ataques DoS de 802.11 de bajo nivel, ya sea WEP dinámica o WPA.
Sin embargo, de todos los ataques a los que se exponen las redes inalámbricas el más sencillo de ejecutar, y el que puede ocasionar más perjuicio a la empresa es el denominado Ingenieria Social. Es tan fácil como que el intruso llama al departamento de informática en nombre de un empleado para que le proporcionen la clave porque se le ha olvidado. Para evitar este tipo de amenaza, una empresa sólo puede protegerse estableciendo unas políticas claras y estrictas de seguridad, y cerciorándose de que sus empleados cumplen los protocolos establecidos.
El estancamiento que ha supuesto la seguridad en la adopción general de servicios inalámbricos de banda ancha propietarios y de los de Wi-Fi, ha llevado a que el IEEE y el WiMAX Forum trabajen en la definición de un entorno de seguridad robusto y consolidado, que ofrezca plena confianza a los usuarios. Así pues, el estándar WiMAX está diseñado teniendo en cuenta las cuestiones relacionadas con la seguridad y ofrece una protección más sólida mediante la encriptación basada en certificados.~
Según Raymond Forado, Country Manager de Alvarion para España y Portugal, “el estándar WiMAX tiene muchas más funcionalidades de seguridad incorporadas de lo que nunca un sistema Wi-Fi ha ofrecido hasta ahora, por lo que los fabricantes sabemos que la seguridad tendrá que ser mayor a medida que WiMAX gana la confianza de usuarios empresariales, residenciales y carriers”. De este modo, continúa, “llegará un punto en el que los servicios de banda ancha estarán disponibles en cualquier lugar a cualquier hora. Cuando llegue este momento, disfrutaremos de Banda Ancha Personal y la seguridad será robusta y, por lo tanto, se habrá logrado uno de los principales objetivos”.
Actualmente, el estándar WiMAX aborda las principales áreas de seguridad a tener en cuenta, como son: prevenir el uso clandestino de la conexión wireless, denegación de servicios para unidades robadas o utilizadas de forma fraudulenta, suministrar servicios sólo a los usuarios finales específicos y cumplir con la Gestión de Acceso Seguro.
Para prevenir el uso clandestino de la red Raymon Forado recomienda la encriptación. “La seguridad WiMAX soporta dos estándares de encriptación de calidad, DES3 y AES, que es considerado tecnología de vanguardia. Básicamente, todo el tráfico en redes WiMAX debe ser encriptado empleando el Counter Mode con Cipher Block Chaining Message Authentication Code Protocol (CCMP) que utilizan AES para transmisiones seguras y autenticación de la integración de datos”. Por su parte, la autenticación end-to-end de la metodología PKM-EAP (Protocolo de Autenticación Extensible) está utilizada de acuerdo con el estándar TLS de encriptación de clave pública que define un proceso de seguridad dedicada en la estación base para los principiantes. Del mismo modo, también hay unos requerimientos de encriptación mínimos para el tráfico, así como para la autenticación end-to-end. Para garantizar el suministro de servicios sólo para los usuarios finales específicos se utiliza la autenticación, basada en certificados digitales X.509. La autenticación se incluye en la capa de control de acceso a los medios y proporciona a cada usuario 802.16 su propio certificado, más otro para el fabricante, permitiendo a la estación base autorizar al usuario final.
