La seguridad es una preocupación creciente en Internet y en todas las redes de datos de cualquier parte, sólo basta recordar los datos que le confiamos a ésta tecnología para que nos sintamos un poco incómodos. Si hablamos de redes empresariales el problema es más serio todavía, porque hablamos de información que puede costar dinero si se daña, se intercepta o se cambia en el camino. Los problemas de seguridad de Internet son tan complejos, que hay expertos que dicen que Internet debería rediseñarse desde cero con la seguridad dentro de los criterios básicos de diseño. Hasta acá todos son problemas de diario que con firewalls y anti-spyware «solucionamos», pero hay muchos problemas de seguridad que provienen del descuido de los usuarios. Un caso particularmente malo es el de los enrutadores inalámbricos. Los enrutadores inalámbricos son muy útiles, sobre todo en entornos donde hay equipos portátiles (por ejemplo las empresas) pero con frecuencia se instalan enrutadores inalámbricos sin ninguna planificación o consideraciones técnicas y eso genera una brecha de seguridad gigantesca. Antes de continuar, hay que hacer una aclaración técnica importante ¿qué es un enrutador inalámbrico y qué es un punto de acceso (AP por sus siglas en inglés, Access Point)?. La diferencia entre los dos es tan sutil, que casi no existe. El conepto principal es un AP, un AP es un dispositivo de ofrece acceso inalábrico a una red de datos, con frecuencia el AP se conecta a una red alambrada y por medio del AP se accede a la última, pero esa definición también aplica para un enrutador inalámbrico… porque también son APs. ¿Entonces podemos decir que un enrutador inalámbrico es un AP? Sí, lo que no podemos decir es que el AP es un enrutador, porque el enrutador soporta características más sofisticadas que solamente ofrecer acceso por red inalámbrica. Usualmente un enrutador inalámbrico es un dispositivo que combina el acceso alambrado e inalámbrico y lo conecta a un servicio Wan. La definición de enrutador es dispositivo que pasa tráfico de una red a otra y usualmente tienen salidas especiales para tecnologías especiales como ADSL o Cablemodem, en otras palabras, los últimos también son enrutadores, sólo que no inalámbricos (excepto por algunos nuevos modelos). En el caso de los enrutadores caseros, la red de la casa es una y la red del proveedor (a veces Internet) es otra red y por eso se les dice enrutadores. Para terminar con ésta definición, es importante aclarar que aunque los términos son difusos, se usan en contextos diferentes. AP se usa para hablar de dispositivos que dan cobertura en una infraestructura inalámbrica, por ejemplo en una empresa, mientras que enrutadores inalámbricos se usa para referirse a los enrutadores caseros. Dicho lo anterior, prosigamos con nuestro tema de seguridad, teniendo en cuenta que a veces cuando se habla de un AP se habla del enrutador inalámbrico y viceversa.
Acceso indebidoEl primer problema directo de una conexión inalámbrica es que no hay control físico de quién accede a mi red, es decir, con la red cableada para que alguien acceda a ella debe estar dentro de las instalaciones y yo puedo permitir o denegar esa conexión física. Con el acceso inalámbrico, la posibilidad de acceso se da por fuera del edificio sin que yo pueda controlar dónde y cómo se conecta la gente. Esa es una posibilidad de ataques por fuerza a los que arriesgo toda mi red cuando instalo un enrutador inalámbrico. Una forma de mitigar ese problema es reducir la potencia del enrutador para que no irradie señal mucho más lejos de mi propio edificio, ahí es donde entra en juego un diseño cuidadoso de la cobertura del acceso inalámbrico y esquemas de redes inalámbricas administrables. Estos esquemas permiten administrar centralizadamente el acceso en la red inalámbrica y a veces pueden solucionar automáticamente problemas simples como caída de un AP. Un enrutador inalámbrico tiene una contraseña de administración que normalmente se accede desde los puertos de LAN, esa contraseña controla qué se podrá hacer con la red inalámbrica, por lo tanto es fundamental que se configure un nombre de usuario y contraseña diferentes a las que vienen con el equipo. Los nombres de usuario y contraseñas por defecto, son pocas y fáciles de ensayar, por lo tanto si tengo acceso no revisto a un enrutador inalámbrico, puedo ensayar con parámetros por defecto y acceder a la configuración, eso podría inutilizar el propio enrutador y por supuesto la red.
Seguridad de los datosLa seguridad es un problema complejo que incluye una gama de consideraciones, sin embargo con un enrutador inalámbrico sólo podemos atacar dos cosas, generalmente configuradas al mismo tiempo: encriptación y autenticación. Normalmente con eso basta para mitigar riesgos de acceso indebido, otros problemas como denegación del servicio no son tan simples de evitar. Para configurar la seguridad de los datos se configura la autenticación y que ésta coincida con la configuración de los PCs, por ejemplo, si se decide usar WPA-PSK, se configura eso en los enrutadores, una contraseña y lo mismo en cada PC que va a usar la red inalámbrica. WPA usa mecanismos de autenticación y encriptación cuando se configuran, por lo que usualmente basta con eso para asegurar los datos que van por el aire. Lo que hay que garantizar es que todos los usuarios sepan cómo conectarse a la red y eso esté controlado administrativamente, es decir, que la contraseña tampoco se vuelva de público conocimiento (no haríamos nada). Todo lo que he mencionado sirve tanto para la casa como para la empresa y de hecho en la casa podemos acceder a material incluso personal e íntimo. De todas las opciones que ofrece un enrutador inalámbrico, la única recomentable es WPA-PSK. La opción de WEP es muy débil y existen muchos programas diseñados para romper esta seguridad, otras opciones pueden necesitar servidores empresariales. Los tipos de encriptación pueden ser DES, 3DES, TKIP y AES, en su orden del más débil al más seguro.
Conclusiones
Carlos, muy interesante el artículo. Yo he estado bastante interesado en este tema y también he leido sobre IEEE 802.1x, 802.11i como mecanismos de autenticación y encriptación, complemetados con otras técnicas como VPN, RADIUS, que aunque no son exclusivas de las redes inalámbricas, pueden aportar a fortalecer la seguridad.
Cuales técnicas consideras que se podrían aplicar a una red inalámbrica en un campus universitario para considerarla segura?
Oops, perdón por cambiarte el nombre Cesar, es que tengo un conocido que se llama Carlos Cabrera
Hola Javier,
gracioso lo del nombre, ¿será primo?. Sobre lo de la autenticación en un campus, lo primero que hay que tener en cuenta es dividir los usuarios en usuarios recurrentes (estudiantes, administrativos y docentes) y visitantes. A ambos hay que aplicarles políticas de seguridad diferentes.
La seguridad no es mi fuerte, pero si estuviera a cargo de una red de esas me preocuparía más por que los switches y enrutadores estuvieran asegurados antes de cualquier cosa, por ejemplo, en el currículo de CCNA se enseña algo llamado port-security que a la gente le pasa de largo, pero hace poco hablaba con un administrador de red amigo, quien sabe mucho, sobre una auditoría de seguridad que le hicieron y el auditor convertía los switches en hubs con un ataque muy sencillo. Pues vieras la cara de mi amigo cuando le dije que eso se podía solucionar con un port-security (módulo 1 de ccna exploration semestre 3).
Hay muchos temas de seguridad básicos que impactan mucho la seguridad general de una red sin necesidad de ser sofisticados es un problema de visión holística o integral.
Sobre la pregunta concreta que me haces, yo me aseguraría de que la solución sea administrable (APs ligeros y controladores) y que tuviera WPA con un servidor de autenticación para los usuarios recurrentes (previa inscipción en el sistema) y WPA simple para los invitados y éstos en una VLAN diferente al resto de los usuarios. Hay que determinar qué tanto acceso a la red interna se va a permitir a los visitantes., por ejemplo, a cuáles sistemas de información de la universidad o si sólo sería acceso a Internet.
Gracias y hasta pronto.