Control de Acceso en una WLAN

CONTROL DE ACCESO EN WLANs

RESUMEN: El presente trabajo se ubica en el área de administración de redes inalámbricas de computadoras el cual consiste en una propuesta de instalación y configuración de un servidor de autenticación RADIUS para el control de acceso de una WLAN, el cual busca ser una alternativa de solución ante el escaso o nulo control de acceso de usuarios hacia las redes de datos públicas (Internet) dentro de redes inalámbricas privadas.

PALABRAS CLAVES: Autenticación, RADIUS, Seguridad, WLAN, 802.1x.

1. Introducción

La ausencia de cables para acceder a los recursos de red, es lo que ha marcado el gran impacto de las redes inalámbricas actualmente. Aunque las redes inalámbricas han traído innumerables beneficios como la movilidad, la facilidad en el despliegue, la flexibilidad y el bajo costo de instalación, tienen una gran desventaja: la inseguridad. Las redes inalámbricas, al tratarse de ondas electromagnéticas, se propagan por el espacio libre, creando la oportunidad para que un intruso acceda a la red sin que tenga autorización o intercepte la comunicación, comprometiendo información sensible [1].

Controlar quién accede a un recurso y la forma cómo se usa, son necesidades evidentes hoy en día para cualquier institución, no sólo por la importancia de la información que circula en la red, sino también para velar por la prestación de un buen servicio de internet a los usuarios [2].

2. Wireless Local Area Network (WLAN)

En la actualidad el uso de redes inalámbricas se ha extendido por sus ventajas de movilidad, flexibilidad y productividad. Esta tendencia hacia las redes inalámbricas ha hecho que se las pueda encontrar en aeropuertos, campus universitarios, cafés y en ciudades con los hotspots que se están difundiendo rápidamente por lo que no es de extrañarse que las empresas vean en las WLANs una solución a sus necesidades de comunicación [1].

Existen dos topologías de red diferentes:

1. Red ad-hoc: Una red ad hoc (peer to peer) es una red de área local independiente que no está conectada a una infraestructura cableada y donde todas las estaciones se encuentran conectadas directamente unas con otras.

2. Red de infraestructura: En una red de infraestructura, los clientes WLAN se conectan a una red corporativa a través de un punto de acceso inalámbrico (AP).

Los puntos de acceso (AP) son dispositivos que permiten la conexión inalámbrica de un equipo móvil de cómputo con una red. Generalmente los puntos de acceso tienen como función principal permitir la conectividad con la red, delegando la tarea de ruteo y direccionamiento a servidores, ruteadores y switches. La mayoría de los AP siguen el estándar de comunicación 802.11 de la IEEE lo que permite una compatibilidad con una gran variedad de equipos inalámbricos [1].

3. Seguridad en las redes inalámbricas

Inicialmente para resolver los problemas de seguridad que aparecen con el uso de las redes inalámbricas, muchos fabricantes han fomentado la creación de dispositivos que soporten protocolos de cifrado. Se desarrolla el protocolo WEP —Wireless Encryption Protocol / Protocolo de Cifrado Inalámbrico— el cual utiliza una clave secreta estática —no hay renovación de la clave de manera automática y frecuente— que es compartida por el Punto de Acceso y todos los clientes que accedan a través de este a la red, y con la cual se realiza la autenticación y la protección de los datos [3].

La IEEE consciente de las fallas de seguridad que presentó el protocolo WEP, desarrolló el estándar de seguridad 802.11i para redes inalámbricas. Por otro lado, el consorcio de proveedores de tecnología inalámbrica Wi-Fi generó el estándar WPA —Wi-Fi Protected Access / Acceso Protegido Wi-Fi— para la protección de los datos y el control del acceso inalámbrico a las redes, el cual se basa en el estándar 802.11 y puede implementarse en las tecnologías inalámbricas de tipo Wi-Fi. Este estándar incluye los mecanismos más adecuados para realizar el control de acceso y protección de datos en ambientes inalámbricos porque integra mecanismos fuertes de autenticación, control de acceso, integridad y confidencialidad. WPA utiliza 802.1x como mecanismo de control de acceso y autenticación a la red y para generar y entregar las llaves de sesión WPA a los usuarios autenticados [1].

Muchas prácticas se han establecido como recomendables para minimizar los riesgos asociados al acceso indebido en redes inalámbricas. Entre las principales recomendaciones de este tipo se encuentran: [1]

• Evitar la difusión del identificador de red o SSID (Service Set Identifier).

• Establecer listas de control de acceso por direcciones físi-cas o de MAC (Media Access Control) de los dispositivos que acceden a la red.

• Utilizar cifrado en las conexiones inalámbricas. Segmentar los puntos de acceso inalámbricos en zonas de seguridad administradas por un firewall.

• Establecer redes privadas virtuales o VPNs en las conex-iones inalámbricas.

• Combinar mecanismo de autenticación a la red y cifrado de datos

3.1. Estándar 802.11i

Wi-Fi Alliance creó una nueva certificación, denominada WPA2, para dispositivos que admiten el estándar 802.11i. A diferencia del WPA, el WPA2 puede asegurar tanto redes inalámbricas en modo de infraestructura como también redes en modo ad hoc [3].

El estándar IEEE 802.11i define dos modos operativos:

WPA-Personal: este modo permite la implementación de una infraestructura segura basada en WPA sin tener que utilizar un servidor de autenticación. WPA Personal se fundamenta en el uso de una clave compartida, llamada PSK —Pre Shared Key— que significa Clave Precompartida, que se almacena en el Punto de Acceso y en los dispositivos cliente. A diferencia de WEP no se necesita ingresar una clave de longitud predefinida. El WPA le permite al usuario ingresar una contraseña. Después, un algoritmo condensador la convierte en PSK.

WPA-Enterprise: este modo requiere de una infraestructura de autenticación

...