Aunque es tentador usar el modo personal de seguridad Wi-Fi, que es fácil de configurar y usar, las empresas y organizaciones realmente necesitan utilizar el modo Enterprise de WPA2 -también conocido como 802.11i. A pesar de que se requiere un servidor RADIUS para hacer la autenticación 802.1X y que es más complejo de configurar, proporciona una seguridad Wi-Fi superior y se puede ahorrar tiempo y dinero a largo plazo.
Aquí hay varias razones por las que las empresas y las organizaciones deben utilizar la seguridad Wi-Fi en nivel Enterprise.
1. Elimina los riesgos de seguridad de contraseñas compartidas
Al activar el modo de Personal – técnicamente denominado método de Clave Pre-compartida (PSK)- de seguridad WPA o WPA2, se crea una contraseña global única. Todo el mundo entra con esta misma contraseña antes de conectarse a la red inalámbrica, clave que luego se almacena en el dispositivo. El problema aquí es que cuando una computadora, portátil o teléfono inteligente se pierde o es robado, al que le llegue el dispositivo a sus manos tendrá la contraseña y puede ir a la ubicación para conectarse a la red. Además, cuando los empleados o personal dejan la organización, todavía tienen la contraseña Wi-Fi y el acceso en todos los dispositivos que utilizan para conectarse.
Con el fin de proteger adecuadamente su red tendría que cambiar la contraseña global de Wi-Fi cada vez que alguien pierde un dispositivo o deja la organización. Esto significa informar a todo el mundo del cambio de contraseña, e ingresar la nueva contraseña en todos los dispositivos Wi-Fi. Además, con algunas versiones de Windows y otros dispositivos móviles, tiene que eliminar o modificar la contraseña guardada existente, ya que tratará de conectarse con la antigua y no lo dejará ingresar la nueva cuando se conecte. Esto puede causar confusión entre los usuarios finales y por lo tanto más trabajo para el personal de TI que debe ayudarle.
Sin embargo, el modo Enterprise de seguridad WPA o WPA2, le permite asignar a los usuarios un nombre de usuario y contraseña únicos para acceder a la conexión Wi-Fi, si implementa el método popular PEAP. Si alguien pierde un dispositivo o deja la organización, simplemente cambie su contraseña individual o borre su nombre de usuario.
Tenga en cuenta que con Windows Vista y posteriores se puede encontrar fácilmente guardadas las contraseñas Wi-Fi en el perfil de la red inalámbrica. Y con Windows XP, también puede usar una utilidad para revelar las contraseñas. Aunque Windows también almacena en caché las credenciales de acceso 802.1X, la contraseña se almacena encriptada. Además, incluso si la contraseña se recupera de alguna manera, siempre se puede cambiar fácilmente la contraseña de un solo usuario.
Aunque algunos proveedores inalámbricos han implementado soluciones PSK dinámicas para remediar el problema de la clave estática, ésta sería una característica propia de su controlador inalámbrico.
2. Pone un freno al fisgoneo
Con el modo personal de seguridad Wi-Fi, cualquier persona con la contraseña inalámbrica puede capturar y leer el tráfico de la red inalámbrica. Además de ver la navegación web de todo el mundo, podrían capturar o secuestrar los inicios de sesión a los sitios y servicios sin encriptar, tales como algunas redes sociales y proveedores de correo electrónico.
Sin embargo, con el modo Enterprise de seguridad Wi-Fi, la forma en que las claves de cifrado están asignadas y el intercambio en el fondo impide que los usuarios descifren y vean el tráfico inalámbrico del otro. Esto no afecta al uso compartido de red, por lo que los usuarios pueden acceder a todas las carpetas o impresoras compartidas, pero no pueden espiar el tráfico real de otros usuarios.
3. Habilita métodos de seguridad mejorados
Además de proporcionar la capacidad de entregar contraseñas únicas con el método de PEAP 802.1x, el modo Enterprise le da la opción de requerir un certificado de seguridad SSL (X.509) en el cliente cuando se utiliza el método EAP-TLS. A pesar de que requiere distribuir e instalar certificados de cliente, puede ser un método más seguro que las contraseñas. Además, para mayor seguridad, se puede implementar certificados de usuario con claves privadas que se almacenan en tarjetas inteligentes: por tanto, también se requieren una tarjeta física enchufada en el cliente para completar la autenticación 802.1X.
4. Los métodos de autenticación se pueden extender a la red cableada
La autenticación 802.1X que se requiere por el modo Enterprise y proporcionado por un servidor RADIUS también se puede utilizar para proporcionar autenticación en la parte cableada de la red. Aunque por sí solo, el 802.1X no proporcionará encriptación de la red Ethernet por cable para evitar que quienes estén conectados espíen, sí requiere que los que se conecten tengan credenciales de acceso antes de conectarse con éxito.
5. Las VLAN se puede asignar de forma dinámica
El uso de la autenticación 802.1X también le da una manera de asignar dinámicamente clientes a las VLAN. Por ejemplo, en lugar de tener que asignar a todos los que conectan a un SSID la misma VLAN, se puede definir un ID de VLAN particular para cada usuario en el servidor RADIUS, y se les pone automáticamente en esa VLAN cuando se conecten a cualquier SSID con su nombre de usuario único.
6. Permite controles adicionales
Al utilizar el modo Personal, todo el mundo se registra en la red Wi-Fi con la misma contraseña y por lo general usted no tiene ningún control sobre la conectividad de los clientes individuales. Pero cuando se utiliza el modo Enterprise, los servidores RADIUS normalmente soportan atributos que se pueden aplicar opcionalmente a usuarios individuales o a grupos de usuarios, los cuales son luego verificados cuando los usuarios acceden con su nombre de usuario único.
Los atributos comunes que soportan los servidores RADIUS incluyen Login-Time, Called Station-ID para especificar a través de qué access points pueden conectarse, y Calling-Station-ID para especificar dispositivos cliente desde los que se pueden conectar.
7. Soporta Network Access Protection (NAP)
Además de los atributos básicos de acceso de cliente que admite el servidor RADIUS; puede utilizar cualquiera de las capacidades de protección de acceso a redes (NAP) del servidor junto con la autenticación 802.1X. Por ejemplo, con Windows Server 2008, y posteriores, se puede configurar el Servidor de Directivas de Redes (NPS –Network Policy Server) para llevar a cabo tanto la funcionalidad del NAP y la autenticación 802.1X.
NAP es una tecnología diseñada por Microsoft para permitirle controlar el acceso de usuarios a la red en base al estado de salud deseado del sistema del cliente. Por ejemplo, para que los clientes reciban el acceso completo a la red, podría asegurarse que el sistema operativo y el antivirus estén actualizados, un firewall personal esté habilitado, y que haya otros parámetros de seguridad que sean de su agrado.
Sugerencias de implementación
Aunque hay servidores, software y appliances de hardware comerciales RADIUS, que pueden costar hasta miles de dólares, hay soluciones más rentables para redes pequeñas y medianas que casi cualquier tecnología o persona de TI puede entender. Así que no deje que la falta de dinero o la experiencia le impide utilizar la seguridad Enterprise Wi-Fi.
En primer lugar compruebe si cualquier servidor o componente en la red ya pueden ofrecer una funcionalidad de servidor RADIUS. Por ejemplo, si ya tiene un servidor de Windows puede utilizar el componente de Internet Authentication Service (IAS) de Windows Server 2003 R2 y versiones anteriores, o el componente de Policy Network Server (NPS) de Windows Server 2008 y versiones posteriores.
Si no quiere instalar su propio servidor RADIUS, considere servicios hospedados o basados en la nube que pueden realizar la autenticación 802.1X a través de Internet por usted.
Ya con Windows XP, tuvo que pre-configurar los valores de autenticación 802.1X antes de conectarse a una red Wi-Fi con seguridad Enterprise. Sin embargo, con Windows Vista y posteriores por lo general puede simplemente conectarse y escribir su nombre de usuario y contraseña sin tener que configurar nada de antemano. Además, lo mismo se aplica a la mayoría de los dispositivos móviles o sistemas operativos (como iOS y Android).
Para los casos en los que desee que los ajustes 802.1X pre-configurados se aseguren de que ciertos parámetros de seguridad están definidos, o para distribuir certificados de usuario cuando se usa EAP-TLS, hay soluciones que pueden ayudar. Para máquinas de dominio unido, puede distribuir perfiles de red através de Group Policy. También está la herramienta de línea de comandos en Windows Vista y posteriores que puede enviar los ajustes de red a los usuarios. O en caso de una herramienta de terceros, considere la gratuita SU1X 802.1X Configuration Deployment Tool, u opciones comerciales como XpressConnect o ClearPass QuickConnect.
En el pasado, es posible que haya renunciado a la implementación de la autenticación 802.1X si tenía máquinas legacy o dispositivos que solo soportan WEP o simplemente el modo PSK de WPA. Si ese es el caso, es posible que desee volver a evaluar esos clientes. Vea si hay alguna actualización de software para añadir soporte 802.1X, o maneras en las que puede mejorar el adaptador inalámbrico. Y si no, considere inclusive la posibilidad de crear un SSID independiente con el modo PSK de WPA/WPA2 para todos los clientes no 802.1X.
-Eric Geier, Network World (EE.UU.)
