|
Asesor de seguridad en 5 minutos
(Índice general)
Índice:
En el mundo de la seguridad, es una verdad innegable que el peor tipo de característica de seguridad es aquella que infunde una falsa sensación de seguridad. Al fin y al cabo, si se sabe que algo no es seguro, se pueden tomar medidas de protección adecuadas; si se cree que algo es seguro, no es probable que se le preste mucha atención. El cifrado en las redes inalámbricas entra lamentablemente en la categoría de medidas de seguridad que se dan por sentado: ofrecen una sensación de satisfacción, pero con resultados dudosos. Aunque es verdad que el protocolo de privacidad equivalente por cable (WEP, Wired Equivalent Privacy) es mucho mejor que la ausencia total de cifrado, es importante conocer sus limitaciones para tener una imagen precisa de lo que se obtiene. Igualmente importante es conocer la forma de obtener la máxima seguridad posible con el protocolo WEP.
El cifrado WEP utiliza una clave secreta compartida y el algoritmo de cifrado RC4. El punto de acceso (PA) y todas las estaciones que se conectan a él deben utilizar la misma clave compartida. Para cada paquete de datos enviado en una dirección, el transmisor combina el contenido del paquete con una suma de comprobación del mismo. Después, el estándar WEP solicita que el transmisor cree un vector de inicialización (VI) específico del paquete, que se combina con la clave y se utiliza para cifrarlo. El receptor genera su propia clave correspondiente del paquete y la utiliza para descifrarlo. En teoría, este enfoque es mejor que la táctica evidente de utilizar únicamente la clave secreta compartida, ya que agrega un bit de datos específico del paquete que hace más difícil la posibilidad de descifrarlo.
[subir]
En general, debe evitarse el uso de una clave compartida, ya que su descubrimiento significa que un atacante puede interceptar el tráfico o unirse a la red. El primer error de WEP es su requisito de establecer un secreto compartido; sería mucho mejor si fuera posible utilizar un mecanismo de desafío-respuesta como los de 802.1X y Kerberos. Sin embargo, los secretos compartidos no son el mayor problema; el segundo error es que los ingenieros de diseño de WEP tomaron algunas decisiones erróneas acerca de la implementación del cifrado WEP. En consecuencia, determinados
criptógrafos inteligentes han ideado
varios
ataques teóricos contra WEP, algunos de los cuales se han convertido rápidamente en ataques reales. El método cuenta con varios problemas:
- El propio algoritmo RC4 tiene una
sutil debilidad que se puede aprovechar para descifrar las claves.
- El estándar WEP permite que el vector de inicialización se pueda reutilizar (como promedio, cada cinco horas aproximadamente). Esta característica facilita mucho los ataques contra WEP, puesto que la repetición del VI garantiza que el atacante dispondrá de texto de cifrado repetido que analizar.
- El estándar WEP no proporciona ninguna forma de cambiar las claves automáticamente. Como resultado, el cambio de clave de un punto de acceso (PA) y sus estaciones sólo se puede llevar a cabo manualmente; pero en la práctica, nadie cambia las claves, con lo que las redes LAN inalámbricas (WLAN) quedan expuestas a ataques pasivos en los que se recopila tráfico y se descifran las claves.
- Las implementaciones WEP de los primeros escasos proveedores sólo ofrecían cifrado de 40 bits, una longitud de clave irrisoria. Los sistemas más modernos ofrecen cifrado WEP de 128 bits; la longitud de clave de 128 bits menos el VI de 24 bits proporciona en realidad una longitud de clave de 104 bits, que sería aceptable si no fuera por los otros inconvenientes.
Los inconvenientes son más de tres, pero no por eso WEP es inútil: sigue siendo mejor que nada, siempre que se comprenda que no es infalible.
[subir]
IEEE es consciente de los problemas existentes con WEP pero, como sucede con la mayoría de los demás estándares de hardware, es demasiado tarde para corregir los problemas en los millones de dispositivos 802.11b ya implementados. No obstante, se pueden poner en práctica algunas medidas para mejorar la seguridad de las redes WLAN:
- Asegúrese de que la seguridad WEP está activada en su máximo nivel. El cifrado WEP de 128 bits es mejor que nada; sin el cifrado WEP, cualquiera puede husmear en el tráfico de datos.
- Considere la posibilidad de colocar los PA fuera de los servidores de seguridad de la red. Fundamentalmente, esta precaución fuerza que las conexiones inalámbricas se traten como si no fueran de confianza, de forma similar a cualquier otra conexión desde Internet.
- Exija que los clientes WLAN utilicen redes privadas virtuales para proteger el tráfico. Este paso es sencillo con
Windows 2000 o Windows XP, y también existe un robusto cliente VPN IPsec para los clientes Windows 98, Windows ME y Windows NT Workstation.
- En las implementaciones futuras, elija hardware 802.11b que admita el cambio automático de claves WEP. La línea Aironet de
Cisco (que es la que Microsoft utiliza internamente) ofrece esta característica; el Protocolo de integridad de claves temporales (TKIP, Temporal Key Integrity Protocol) de IEEE especifica métodos interoperables para llevar a cabo el cambio automático de claves WEP y los proveedores están agregando esta característica a los equipos existentes mediante versiones de firmware.
[subir]
Última actualización de esta página: 11 de agosto de 2004
|
