WiFi: Cifrado y autenticación - Buenas prácticas - Capítulo 9

El autor de este post es Pol Padrisa (@polpadrisa). 

En este artículo vamos a hablar de los distintos protocolos de autenticación y cifrado de red WiFi.

Cuando configuramos por primera vez una red Wifi nos encontramos frecuentemente con distintas opciones WEP, WPA, WPA2… en este artículo vamos a repasar las diferencias que hay entre ellos y en qué casos podemos utilizar cada uno de ellos.

WEP o  Wired Equivalent Privacy:


Se trata del sistema de cifrado incluido en el estándar IEEE 802.11 se implementó como primer modelo de cifrado Wifi pero con el tiempo fue hackeado y actualmente se considera altamente vulnerable.

Para obtener la clave solo necesitamos inspeccionar los paquetes con un sniffer y aplicar ciertos algoritmos sobre el tráfico capturado.

El protocolo de encriptación WEP definitivamente debe ser desactivado de cualquier WiFi que administremos.

WPA o Wi-Fi Protected Access:


WPA es un protocolo de migración para cubrir las deficiencias y vulnerabilidades de WEP.

Fue diseñado para utilizar un servidor de autenticación (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a través del protocolo 802.1x) sin embargo, también se puede utilizar en un modo menos seguro de clave precompartida (handshake) para usuarios domésticos o pequeña oficina.

Una vez finalizado el nuevo estándar 802.11ie se crea el WPA2 basado en WPA.

WPA2:


Como indica el nombre es la revisión de WPA mejorando algunos de sus aspectos los complementos aplicables a WPA (MGT, CCMP, TKIP…) suelen ser aplicables tanto a WPA como WPA2.

Autenticación WPA:


Para la autenticación WPA existen dos formas, una con un servidor de autenticación (MGT) y otra con una clave precompartida (PSK).

WPA-MGT  y WPA2-MGT (aka WPA-Enterprise y WPA2-Enterprise)


Cuando utilizamos un servidor de autenticación como RADIUS estamos utilizando WPA MGT o WPA2 MGT significa que la contraseña no es una clave pre compartida.

La red Wifi dispone de un servicio o servidor de autenticación.

Son las redes más seguras pero también son las que necesitan de más infraestructura y mantenimiento, es por este motivo que solo suele utilizarse en entornos corporativos.

WPA-PSK y WPA2-PSK (aka WPA-Personal y WPA2-Personal)


Cuando no hay servidor de autenticación y por tanto una clave precompartida estamos utilizando WPA PSK.
 
Lo más habitual en una red WiFi doméstica con seguridad WPA es que la autenticación se base en PSK, que son las siglas de Pre Shared Key (clave compartida previamente), es decir, la seguridad de la red WiFi se basa en un secreto compartido (la contraseña de la red WiFi), que conocen sus usuarios y el punto de acceso.

Para simplificarlo, una red WiFi WPA-PSK dispone de una contraseña conocida por todos y cada uno de los clientes que se conectan a la red WiFi.

Es la configuración de red es más utilizada en los routers WiFi que los ISPs facilitan con sus conexiones de ADSL/Cable/Fibra óptica.

TKIP:


Temporal Key Integrity Protocol es el mecanismo de cifrado diseñado para proteger las comunicaciones inalámbricas nacido tras la aparición de WPA como sustituto de WEP.

Cuando vemos WPA – TKIP significa que tenemos una validación vía WPA (con o sin servidor de autenticación) y que luego el tráfico es cifrado mediante el sistema TKIP.

En la actualidad TKIP se considera obsoleto, ya que fue sustituido por CCMP (AES).

El uso de TKIP con WPA2 PSK (WPA2-PSK-TKIP) es soportado por la mayoría de dispositivos por si es necesario dar compatibilidad a dispositivos anticuados pero no es lo recomendado por el estándar.

CCMP (aka AES):


Counter Mode CBC-MAC Protocol. CCMP, también conocido como AES CCMP.

Es el elemento de cifrado que reemplaza a TKIP y el estándar definido para WPA2. 

Las especificaciones dicen que las redes WPA2 deben usar CCMP por defecto con WPA2-CCMP (WPA2-PSK-CCMP). Dónde WPA2-PSK sería el sistema de validación y CCMP o AES sería el sistema de cifrado.

CCMP o AES es compatible con WPA para añadir un poco más de seguridad a WPA aún que es mucho más preferible usar siempre WPA2.


Como podéis apreciar en la tabla la solución más segura es WPA2-MGT-AES (aka WPA2-ENTERPRISE-CCMP-AES) el problema de esta implementación es que requiere de un servidor de autenticación (normalmente RADIUS).

Normalmente se suele dar por aceptable la configuración WPA2-PSK-AES (aka WPA2-PERSONAL-PSK-CCMP-AES) nos permite una autenticación bastante segura (atacable por fuerza bruta) y un cifrado de última generación CCMP-AES.

Así pues como conclusión deberíamos utilizar:

- Siempre que podamos mantener un servidor RADIUS: WPA2-MGT-AES

- Para instalaciones sin servidor RADIUS: WPA2-PSK-AES utilizando siempre una contraseña aleatoria de mínimo 12 caracteres para prevenir ataques de fuerza bruta.

---

Capítulos de la serie: "WiFi: Buenas prácticas - SYSADMIT":

WiFi: 802.11 b/g/n/ac - Buenas prácticas - Capítulo 1 (SYSADMIT.com)

WiFi: Elegir canal - Buenas prácticas - Capítulo 2 (SYSADMIT.com)

WiFi: WifiAnalyzer - Buenas prácticas - Capítulo 3 (SYSADMIT.com)

WiFi: Potencia y ubicación - Buenas prácticas - Capítulo 4 (SYSADMIT.com)

WiFi: Tipos de antena - Buenas prácticas - Capítulo 5 (SYSADMIT.com)

WiFi: Repetidor de red (Wireless uplink) - Buenas prácticas - Capítulo 6 (SYSADMIT.com)

WiFi: Roaming - Buenas prácticas - Capítulo 7 (SYSADMIT.com)

WiFi: Interferencias y reflejos - Buenas prácticas - Capítulo 8 (SYSADMIT.com)

WiFi: Cifrado y autenticación - Buenas prácticas - Capítulo 9 (SYSADMIT.com)

1 comentario: