Regresar a la página de contenido

Descripción de la seguridad: Guía del usuario de la Conexión de red Intel(R) PRO/Wireless 2915ABG



Codificación WEP

Puede prevenir la recepción no autorizada de datos inalámbricos mediante la Privacidad equivalente a cables (WEP) IEEE 802.11. La codificación incluye dos niveles de seguridad, con el uso de claves de 64 bits (denominadas algunas veces como de 40 bits) o de 128 bits (también conocida como de 104 bits). Para mayor seguridad, utilice una clave de 128 bits. Si utiliza la codificación, todos los dispositivos inalámbricos de la red inalámbrica deben utilizar las mismas claves de codificación.

La codificación y autenticación compartida de la privacidad equivalente a cables (WEP) brinda protección a los datos en una red. WEP utiliza una clave de codificación para codificar los datos antes de transmitirlos. Sólo los equipos que utilicen la misma clave de codificación pueden tener acceso a la red o descodificar los datos codificados transmitidos por otros equipos. La autenticación ofrece un proceso de validación adicional desde el adaptador hasta el punto de acceso.

El algoritmo de cifrado WEP es vulnerable a los ataques de red pasivos y activos. Los algoritmos TKIP y CKIP incluyen mejoras al protocolo WEP que mitigan los ataques de red existentes y fortalecen sus flaquezas.

Autenticación de clave abierta y compartida

802.11 admite dos tipos de métodos de autenticación de red: sistema abierto y clave compartida.


Autenticación 802.1x

Funcionamiento de la autenticación 802.1x
Funciones de 802.1x

Descripción general

La autenticación 802.1x es independiente del proceso de autenticación de 802.11. El estándar 802.1x provee un marco para varios protocolos de autenticación y gestión de claves. Existen distintos tipos de autenticación 802.1x y cada uno ofrece un método distinto de autenticación pero todos emplean el mismo protocolo y marco 802.1x para la comunicación entre un cliente y un punto de acceso. En la mayoría de los protocolos, al finalizar el proceso de autenticación 802.1x, el solicitante recibe una clave que utiliza para la codificación de datos. Consulte Funcionamiento de la autenticación 802.1x, si desea más información. Con la autenticación 802.1x, se utiliza un método de autenticación entre el cliente y el servidor de Servicio de usuario para el acceso telefónico remoto (RADIUS) conectado al punto de acceso. El proceso de autenticación utiliza credenciales, tales como la contraseña del usuario, las cuales no se transmiten a través de la red inalámbrica. La mayoría de los tipos 802.1x son compatibles con las claves dinámicas para cada usuario y cada sesión, lo cual fortalece la seguridad de claves estáticas. 802.1x se beneficia del uso del protocolo de autenticación existente conocido como Protocolo de autenticación ampliable ligero (EAP).

La autenticación 802.1x para redes locales inalámbricas tiene tres componentes principales: El autenticador (el punto de acceso), el solicitante (el software cliente) y el servidor de autenticación (un servidor de Servicio de usuario para el acceso telefónico remoto (RADIUS)). La seguridad de autenticación 802.1x inicia una solicitud de autorización desde el cliente inalámbrico al punto de acceso, el cual autentica al cliente en un servidor RADIUS compatible con el Protocolo de autenticación ampliable (EAP). El servidor RADIUS puede autenticar ya sea a los usuarios (mediante contraseñas o certificados) o a los equipos (mediante direcciones MAC). En teoría, un cliente inalámbrico puede unirse a las redes hasta que se complete la transacción. Existen varios algoritmos de autenticación utilizados para 802.1x. Algunos ejemplos son: Desafío MD5, EAP-TLS, EAP-TTLS, EAP protegido (PEAP) y el Protocolo de autenticación ampliable ligero inalámbrico EAP de Cisco (LEAP). Todos éstos son métodos que el cliente inalámbrico utiliza para identificarse a sí mismo ante el servidor RADIUS. Con la autenticación RADIUS, las identidades de los usuarios se verifican en las bases de datos. RADIUS constituye un conjunto de estándares que controlan la autenticación, la autorización y la contabilidad (AAA). Radius incluye un proceso proxy para validar los cliente en los entornos con varios servidores. El estándar IEEE 802.1x se utiliza para controlar y autenticar el acceso a redes inalámbricas 802.11 basadas en puerto y a redes Ethernet cableadas. El control del acceso a redes basadas en puerto es similar a una infraestructura de red de área local (LAN) conmutada que autentica los dispositivos que están conectados a un puerto LAN y previene el acceso a dicho puerto si falla el proceso de autenticación.

¿Qué es RADIUS?

RADIUS es el Servicio de usuario para el acceso telefónico remoto, un protocolo cliente servidor de autorización, autenticación y contabilidad (AAA) que se utiliza cuando un cliente de acceso telefónico AAA inicia o finaliza una sesión en un Servidor de acceso a redes. Por lo general, los Proveedores de servicios de Internet (ISP) utilizan servidores RADIUS para efectuar tareas AAA. A continuación se describen las fases AAA:


Funcionamiento de la autenticación 802.1x

La siguiente es una descripción simplificada de la autenticación 802.1x:

  1. Un cliente envía un mensaje de "solicitud de acceso" a un punto de acceso. El punto de acceso solicita la identidad del cliente.

  2. El cliente responde con un paquete de identidad que se pasa al servidor de autenticación.

  3. El servidor de autenticación envía un paquete de "aceptación" al punto de acceso.

  4. El punto de acceso coloca el puerto del cliente en el estado autorizado y se permite el tráfico de datos.


Funciones de 802.1x

Consulte Opciones de seguridad si desea más información.


WPA/WPA2

El Acceso protegido Wi-Fi (WPA/WPA2) es una mejora de la seguridad que aumenta considerablemente el nivel de protección de datos y el control del acceso a una red inalámbrica. WPA impone la autenticación y el intercambio de claves de 802.1x y funciona sólo con claves de codificación dinámicas. Para reforzar la codificación de datos, WPA utiliza el Protocolo de integridad de claves (TKIP). TKIP brinda importantes mejoras en la codificación de datos que incluyen una función de mezcla de claves por paquete, una verificación de integridad de mensajes (MIC) de nombre Michael, un vector de inicialización (IV) extendido con reglas de secuencia y un mecanismo de reintroducción de claves. Mediante estas mejoras, TKIP brinda protección para las flaquezas conocidas de WEP.

La segunda generación de WPA que es compatible con la especificación IEEE TGi se conoce como WPA2.

WPA/WPA2 – Empresa proporciona ese nivel de seguridad en redes empresariales con un servidor 802.1x RADIUS. Se selecciona un tipo de autenticación que coincida con el protocolo de autenticación del servidor 802.1x.

WPA/WPA2 - Personal brinda ese nivel de seguridad en entornos de redes pequeñas o domésticas. Utiliza una contraseña que también se conoce como clave precompartida (PSK). Entre más larga sea la contraseña, más robusta será la seguridad de la red inalámbrica. Si el punto de acceso o enrutador inalámbrico es compatible con WPA/WPA2 Personal (WPA-PSK), debe activarlo en el punto de acceso y utilizar una contraseña extensa y robusta. La misma contraseña utilizada en el punto de acceso debe utilizarse en este equipo y en todos los demás dispositivos inalámbricos que tienen acceso a la red inalámbrica.


Funciones de Cisco

LEAP de Cisco

LEAP de Cisco (EAP ligero de Cisco) es una autenticación 802.1x de servidor a cliente que utiliza una contraseña de inicio de sesión proporcionada por el usuario. Cuando el punto de acceso inalámbrico se comunica con un RADIUS habilitado para LEAP de Cisco (servidor de control de acceso seguro de Cisco (ACS)), LEAP de Cisco ofrece el control del acceso a través de la autenticación mutua entre los adaptadores inalámbricos de los clientes y la red inalámbrica y brinda claves de codificación de usuario individuales y dinámicas para ayudar a proteger la privacidad de los datos transmitidos.

Itinerancia rápida (CCKM)

Cuando se configura una red local inalámbrica para la reconexión rápida, los dispositivos cliente activados para LEAP pueden itinerar de un punto de acceso a otro sin involucrar al servidor principal. Con Cisco Centralized Key Management (CCKM), un punto de acceso configurado para brindar servicios de dominio inalámbrico (WDS) toma el lugar del servidor RADIUS y autentica el cliente sin retraso perceptible en la voz o en otras aplicaciones sensibles al tiempo.

CKIP

El Protocolo de integridad de claves de Cisco (CKIP) es un protocolo de seguridad propiedad de Cisco para la codificación en medios 802.11. CKIP utiliza las funciones siguientes para mejorar la seguridad 802.11 en el modo de infraestructura:

 

EAP-FAST

 

EAP-FAST, al igual que EAP-TTLS y PEAP, utiliza túneles para proteger el tráfico. La diferencia principal es que EAP-FAST no utiliza certificados para la autenticación.

 

La provisión de EAP-FAST es negociada solamente por el cliente como primer intercambio de comunicación, cuando se solicita EAP-FAST en el servidor.  Si el cliente no tiene una Credencial de acceso protegido (PAC) secreta y precompartida, puede solicitar el inicio de un intercambio de provisión de EAP-FAST para obtener una del servidor de forma dinámica.

 

EAP-FAST documenta dos métodos para la entrega de la PAC: la entrega manual a través de un mecanismo seguro fuera de banda y la provisión automática.

El método EAP-FAST se puede dividir en dos partes: la provisión y la autenticación.

La fase de provisión implica la entrega inicial de la PAC al cliente. Esta fase solamente necesita realizarse una vez por cada cliente y usuario.

 

 

Modo de celdas mixtas

 

Algunos puntos de acceso, como Cisco 350 o Cisco 1200, admiten entornos en los que no todas las estaciones cliente son compatibles con la codificación WEP, lo cual se denomina modo de celda mixta. Cuando dichas redes inalámbricas funcionan en el modo de "codificación optativa", las estaciones cliente que se unen en el modo WEP envían todos los mensajes codificados y las estaciones que se unen en el modo estándar envían los mensajes sin codificar. Estos AP difunden que la red no utiliza codificación pero permiten que los clientes se unan en el modo WEP. Cuando se habilita la "celda mixta" en un perfil, se permite la conexión a puntos de acceso que estén configurados para la "codificación optativa".  Consulte Opciones de Cisco Compatible Extensions, si desea más información.

 

Gestión del aparato de radio

 

Si se activa esta función, el adaptador inalámbrico provee la gestión del aparato de radio en la infraestructura Cisco. Si se utiliza la utilidad Cisco Radio Management en la infraestructura, ésta configura los parámetros del aparato de radio y detecta la interferencia y los puntos de acceso Rogue.

 

 


 

Regresar a la página de contenido