Not a Cool Company

Not a Cool Company

31 January 2020

Infraestructura
WiFi
Seguridad
Redes Empresariales

Los protocolos de seguridad de las redes wifi


La inmensa mayoría de dispositivos wifi que usamos en nuestro día a día utilizan la familia de protocolos WPA2 para proteger la conexión inhalámbrica.

La variante más extendida del protocolo y mejor soportada es la denominada *WPA2-Personal* o *WPA2-PSK*, en la que la red inhalámbrica se encuentra protegida por una clave alfaumérica entre 8 y 63 caracteres de longitud, en otras palabras, la *"clave de la wifi de toda la vida"*. Esta es la configuración de seguridad que tenemos en el router de nuestro operador, en la red de una cafetería y en muchos entornos de trabajo, dónde el acceso a la red se restringe al conocimiento de dicha contraseña, y la posibilidad de monitorizar conexiones y realizar auditorías del sistema quedan limitadas por software que utilice el fabricante del router.

La otra variante de WPA2 que presta atención a estos dos últimos detalles además de ofrecer una autenticación mucho más granular sin tener que usar una clave común para la red es *WPA2-Enterprise*. Esta variante corporativa del protocolo proporciona en wifi mecanismos de control de acceso basado en puertos, como se define en el estándar [*IEEE 802.11X*](#1). En esta configuración, el cliente que se conecte a la red dispone de un usuario con su respectiva contraseña en un servidor de autenticación frente al que se identifica a través de una pasarela que abre el router wifi y cuando el servidor confirme la identidad del usuario, el router permitirá la conexión del cliente a la red inhalámbrica. La principal diferencia en este escenario frente *WPA2-Personal* es que ahora es un servidor quién autoriza la conexión y no el router wifi, por lo que este servidor lleva registro de usarios conectados y dispositivos conectados, permitiendo por una parte, un control más fino del acceso a la red, pues ahora se pueden añadir o revocar usuarios, y por otra parte, se puede hacer un registro de las conexiones y detectar usos no autorizados sin añadir complejidad al software del router wifi.

WPA2-Enterprise: opciones y ventajas


Anteriormente hicimos una introducción a *WPA2-Enterprise* desde el punto de vista de seguridad de la red inhalámbrica, pero las posibilidades de configuración y ventajas de este procolo son más extensas.

Servidor de autenticación


Para configurar una red wifi corporativa necesitaremos un servidor de autenticación o RADIUS. Este servidor contiene los usuarios de la red y sus credenciales, que pueden ser una contraseña, un certificado digital o una combinación de ambos, sin entrar en más detalle. Cuado un usuario inicie una conexión a la red, usará esos crendenciales para autenticarse en el punto de acceso que abrirá una pasarela con este servidor de autenticación. Además de esta función de autorización, el servidor radius también proporciona parámtros de configuración de la red, las opciones de contabilización de uso de un servicio si el punto de acceso (router) lo soporta y funciones de roaming o uso de los mismos crendenciales en otras redes que tengan servidores radius configurados en modo proxy según el dominio de cada usuario.

Existen diferentes implementaciones de servidores RADIUS tanto comerciales como libres, entre los que se pueden destacar freeRADIUS implementación de software libre y NPS (Servidor de directivas de redes) implementación comercial que forma parte de Windows Server.

Punto(s) de acceso


Por lo general los routers proporcionados por los operadores a los usuarios particulares y pequeñas empresas no incluyen soporte para redes WPA2-Enterprise por lo que es necesario hacerse con un router de terceros que disponga de esta capacidad (numerosos fabricantes disponen de routers con dicha funcionalidad, como AVM, Mikrotik, Cisco, Linksys...) o bien, otra ruta para aquellas organizaciones que quieran personalizar el firmware de su equipamiento y tener mayor control sobre los equipos, adquirir routers compatibles con el proyecto de OpenWRT.

Roaming o una red inhalámbrica con múltiple routers


Dentro de las especificaciones del protocolo WPA2+ existe una extensión que permite el despliegue de redes inhlámbricas con varios puntos de acceso con la particularidad de que las transiciones entre puntos de acceso se hacen de forma transparente para el usuario, sin ninguna interrupción apreciable de la conectividad con la red. Esta extensión se denomina IEE 802.11r o Fast BSS Transition permite establecer dominios de mobilidad dentro de una red wifi accesible por medio de varios routers, permitiendo cubrir una gran superficie como una nave o un bloque de oficinas. En conjunto con el mecanismo de autenticación centralizado que proporciona WPA2-Enterprise se consigue que las redes Wifi se comporten de una forma similar a las redes de telefonía móvil, pues los usuarios de forma se gestionan de forma centralizada y la cobertura de la red se realiza por varios routers.


IEEE 802.11X:

Se trata de un protocolo de red que proporciona un mecanismo de autenticación de los dispositivos que se conectan a una red cableada o inhlámbrico. Se le denomina también EAP (Extensible Authentication Protocol) sobre IEEE 802, puesto que las redes cableadas ethernet e inhlámbricas wifi pertenecen a la familia de estándares IEEE 802 del IEEE

IEEE o Instituto de Ingeniería Eléctrica y Eléctronica (*Institute of Electrical and Electronics Engineers*):

Se trata de una asociación mundial de ingenieros dedicada a las normalización y el desarrollo de áreas técnicas. Su actividad comprende gran cantidad aspectos de las nuevas tecnolgías y numerosos estándares tecnológicos proceden de este organismo, en áreas tan diferentes como redes de comunicaciones (familia estándares IEE 802) o representación de números decimales en un circuito eléctronico (IEE 754, coma flotante)

RADIUS (Remote Authentication Dial-In User Service):

Es un protocolo de autenticación, autorización y contabilización de los usuarios que usan una red. Se origina a principios de los 90 y es estandarizado por el IETF.

IETF (Internet Engineering Task Force):

Se trata de un organismo de estandarización que desarrolla y promociona estándares de Internet, tales como protocolos de red, transporte y formato de la información alojada en Internet.

OpenWRT:

Se trata de un proyecto de software libre que consiste en una optimización del sistema operativo Linux para routers y dispositivos embebidos. A mayores del software de gestión de las funciones de red propias de un router, exite una gran variedad de software para extender la funcionalidad de los dispositivos compatibles. Algunos fabricantes de equipamiento de red utilizan derivaciones de este proyecto para los entornos de desarrollo de sus dispositivos.

IEE 802.11r:

También denominado Fast Basic Service Set Transition es una extensión de los protocolos WPA2 que permite el cambio entre puntos de acceso de forma colaborativa reduciendo cualquier disrupción de la conectividad, lo cual permite el roaming o cambio de punto de acceso sin afectar a aplicaciones sensibles a interrupciones y calidad de la conexión como teleconferencias a través de servicios como skype u telefonía VoIP (SIP, WebRTC, Duo, FaceTime,...).