Un cliente puede usar diferentes métodos de autenticación inalámbrica para asociarse a la red. Esta sección cubre los métodos de autenticación de redes inalámbricas que más se usan.
Resumen de Métodos de Autenticación Inalámbrica:
- Autenticación Abierta – Credencial usada: Ninguna otra que no sea el protocolo 802.11
- WEP (Wired Equivalent Privacy) – Credencial usada: Claves WEP Estáticas
- 802.1x/EAP (Extensible Authentication Protocol) – Credencial usada: Depende del Método usado basado en EAP, ver en el siguiente capítulo.
Autenticación Abierta
El estándar 802.11 originalmente ofrecía solo dos opciones para autenticar a un cliente: autenticación abierta y WEP.
La autenticación abierta es fiel a su nombre; ofrece acceso abierto a una WLAN. El único requisito es que un cliente debe utilizar una solicitud de autenticación 802.11 antes de intentar asociarse con un AP. No se necesitan otras credenciales.
¿Cuándo querría utilizar la autenticación abierta? Después de todo, no suena muy seguro porque no lo es. Sin ningún desafío, cualquier cliente 802.11 puede autenticarse para acceder a la red. Ese es, de hecho, todo el propósito de la autenticación abierta: validar que un cliente es un dispositivo 802.11 válido mediante la autenticación del hardware inalámbrico y el protocolo. La autenticación de la identidad del usuario se maneja como un verdadero proceso de seguridad a través de otros medios.
Probablemente has usado este tipo de autenticación en una red abierta como una cafetería o plaza pública, donde luego te pedirá una autenticación vía web.
WEP
Como era de esperar, la autenticación abierta no ofrece nada que pueda ocultar o cifrar los datos que se envían entre un cliente y un AP. Como alternativa, el estándar 802.11 ha definido tradicionalmente la Privacidad Equivalente por Cable o en inglés, Wired Equivalent Privacy (WEP) como un método para hacer que un enlace inalámbrico sea más parecido o equivalente a una conexión por cable.
WEP utiliza el algoritmo de cifrado RC4 para hacer que cada trama de datos inalámbricos sea privada y oculta a los espías. El mismo algoritmo cifra los datos en el remitente y los descifra en el receptor. El algoritmo utiliza una cadena de bits como clave, comúnmente llamada clave WEP, para derivar otras claves de cifrado, una por trama inalámbrica. Siempre que el remitente y el receptor tengan una clave idéntica, uno puede descifrar lo que el otro cifra.
WEP se conoce como un método de seguridad de clave compartida. La misma clave debe compartirse entre el remitente y el receptor antes de tiempo, para que cada uno pueda derivar otras claves de cifrado mutuamente aceptables. De hecho, todos los clientes potenciales y AP deben compartir la misma clave antes de tiempo para que cualquier cliente pueda asociarse con el AP.
La clave WEP también se puede utilizar como método de autenticación opcional y como herramienta de cifrado. A menos que un cliente pueda usar la clave WEP correcta, no se puede asociar con un AP. El AP prueba el conocimiento del cliente de la clave WEP enviándole una frase de desafío aleatoria.
El cliente cifra la frase de desafío con WEP y devuelve el resultado al AP. El AP puede comparar el cifrado del cliente con el suyo para ver si las dos claves WEP producen resultados idénticos.
Las claves WEP pueden tener una longitud de 40 o 104 bits, representadas por una cadena de 10 o 26 dígitos hexadecimales. Como regla general, las claves más largas ofrecen bits más únicos para el algoritmo, lo que resulta en un cifrado más robusto. Excepto en el caso de WEP, claro. Debido a que WEP se definió en el estándar 802.11 original en 1999, cada adaptador inalámbrico se construyó con hardware de cifrado específico para WEP. En 2001, se descubrieron y revelaron varias debilidades, por lo que se comenzó a trabajar para encontrar mejores métodos de seguridad inalámbrica. En 2004, la enmienda 802.11i fue ratificada y WEP quedó oficialmente en desuso. Tanto el cifrado WEP como la autenticación de clave compartida WEP se consideran en general métodos débiles para asegurar una LAN inalámbrica.
802.1x/EAP
Con solo la autenticación abierta y WEP disponibles en el estándar 802.11 original, se necesitaba un método de autenticación más seguro.
En lugar de incorporar métodos de autenticación adicionales en el estándar 802.11, se eligió un marco de autenticación más flexible y escalable, el Protocolo de Autenticación Extensible o en inglés, Extensible Authentication Protocol (EAP).
EAP es extensible y no consta de ningún método de autenticación. En cambio, EAP define un conjunto de funciones comunes que los métodos de autenticación reales pueden utilizar para autenticar a los usuarios.
EAP tiene otra cualidad interesante: puede integrarse con el estándar de control de acceso basado en puertos IEEE 802.1x. Cuando se habilita 802.1x, limita el acceso a un medio de red hasta que un cliente se autentica. Esto significa que un cliente inalámbrico podría asociarse con un AP, pero no podrá pasar datos a ninguna otra parte de la red hasta que se autentique correctamente.
Con la autenticación abierta y WEP, los clientes inalámbricos se autentican localmente en el AP sin más intervención. El escenario cambia con 802.1x; el cliente usa autenticación abierta para asociarse con el AP, y luego el proceso de autenticación del cliente real ocurre en un servidor de autenticación dedicado. La siguiente imagen muestra la disposición 802.1x tripartita que consta de las siguientes entidades:
- Suplicante: El dispositivo cliente que solicita el acceso
- Autenticador: El dispositivo de red que provee acceso a la red (usualmente un controlador de red de LAN Inalámbrica [WLC])
- Servidor de Autenticación (AS): El dispositivo que toma las credenciales del usuario o cliente y permite o deniega el acceso a la red basado en una base de datos de usuarios y políticas (usualmente un servidor RADIUS)
