La seguridad en redes inalámbricas se centra en las siguientes áreas:
- Identificación de los endpoints o puntos finales de una conexión inalámbrica
- Identificación del usuario final
- Protección de los datos inalámbricos contra los espías
- Protección de los datos inalámbricos contra alteraciones
Los clientes inalámbricos que forman asociaciones con puntos de acceso inalámbricos (AP) pasan datos de un lado a otro por el aire.
Siempre que todos los clientes y AP cumplan con el estándar 802.11, todos pueden coexistir, incluso en el mismo canal. Sin embargo, no todos los dispositivos 802.11 son amigables y confiables lo que no aporta a la seguridad en redes inalámbricas. A veces es fácil olvidar que las tramas transmitidas no van directamente del remitente al receptor, como en una conexión cableada o conmutada. En cambio, viajan de acuerdo con el patrón de antena del transmisor, llegando potencialmente a cualquier receptor que esté dentro del alcance.
Imagine que un cliente comparte una contraseña confidencial, si hay usuarios que no son de confianza dentro del alcance de la señal del cliente, también pueden aprender la contraseña capturando tramas que se han enviado en el canal. La conveniencia de la comunicación inalámbrica también facilita que las transmisiones sean escuchadas y explotadas por usuarios malintencionados.
El estándar 802.11 ofrece mecanismos de seguridad en redes inalámbricas que se pueden usar:
- Confianza
- Privacidad
- Integridad
Autenticación
Los clientes deben estar autenticados por algún medio antes de que puedan convertirse en miembros funcionales de la LAN inalámbrica.
Los clientes potenciales deben identificarse presentando algún tipo de credenciales a los AP.
Algunos métodos de autenticación requieren solo una cadena de texto estático que es común en todos los clientes y AP confiables. ¿Qué podría pasar si el dispositivo es robado o perdido? Lo más probable es que cualquier usuario que posea el dispositivo aún pueda autenticarse en la red. Otros métodos de autenticación más estrictos requieren la interacción con una base de datos de usuarios corporativos. En esos casos, el usuario final debe ingresar un nombre de usuario y contraseña válidos. Algo que no sería conocido por un ladrón o un impostor.
Dado que uno se conecta a una red de acuerdo el nombre del SSID, si ese nombre parece ser seguro uno se conectaria a él en una cafetería o un aeropuerto, pero es posible que no sea una red segura, sin saberlo, podrías unirte a un SSID con el mismo nombre que otro si lo anunciara un impostor.
Mensajes Privados
Supón que te has autenticado a una red, de todas maneras los datos que pasan a través de ella aun son visibles y por tanto un espía que ya estuviese identificado a la red podría captar esas tramas y leer los mensajes.
Para proteger la privacidad de los datos en una red inalámbrica, los datos deben estar encriptados para su viaje a través del espacio libre. Esto se logra encriptando la carga útil de datos en cada trama inalámbrica justo antes de ser transmitida, luego descifrando a medida que se recibe. La idea es utilizar un método de cifrado que comparten el transmisor y el receptor, por lo que los datos se pueden cifrar y descifrar correctamente.
El AP negocia una clave de cifrado única con cada cliente asociado.
Idealmente, el AP y un cliente son los únicos dos dispositivos que tienen las claves de cifrado en común para que puedan comprender los datos del otro. Ningún otro dispositivo debería conocer o poder utilizar las mismas claves para espiar y descifrar los datos.
Integridad del Mensaje
La encriptación de datos los oculta de la vista mientras viajan a través de una red pública o no confiable. El destinatario previsto debería poder descifrar el mensaje y recuperar el contenido original, pero ¿qué pasa si alguien logra alterar el contenido en el camino? Al destinatario le resultaría muy difícil descubrir que los datos originales se habían modificado.
Una verificación de integridad de mensajes (MIC o Message Integrity Check) es una herramienta de seguridad que puede proteger contra la manipulación de datos. Puedes pensar en un MIC como una forma para que el remitente agregue un sello secreto dentro de la trama de datos cifrada. El sello se basa en el contenido de los bits de datos a transmitir. Una vez que el destinatario descifra la trama, puede comparar el sello secreto con su propia idea de cuál debería ser el sello, basándose en los bits de datos que se recibieron. Si los dos sellos son idénticos, el destinatario puede asumir con seguridad que los datos no han sido alterados.
