Los riesgos del uso de WPA2 personal en redes Wi-Fi corporativas y posibles alternativas

-
A estas alturas, todos conocemos los riesgos derivados de no proteger las redes Wi-Fi de su empresa, que pueden ser desde simplemente molestos (visitantes que se aprovechan de su red gratuita y colocan lentas sus conexiones) hasta críticos (terceros no autorizados que acceden a su información corporativa, intrusos que interceptan información sensible, roban credenciales de acceso y distribuyen malware o virus).
Afortunadamente, la mayoría de empresas han respondido a estas amenazas protegiendo sus redes con WPA o WPA2 para cifrar los datos transmitidos a través de la red y limitar el acceso únicamente a usuarios autorizados (WPA2 ofrece una protección mayor y es más recomendable para las empresas. En este artículo me referiré a este sistema.)
Sin embargo, desafortunadamente son muchas las empresas que optan por la modalidad personal de WPA2, también conocida como WPA2-Personal. Este sistema utiliza una frase secreta compartida para garantizar el acceso y no resulta la opción más idónea para entornos corporativos. A continuación, trataré de enumerar las desventajas de esta configuración y ofreceré una alternativa mejor.
Nota: Doy por supuesto que todos somos conscientes de que no debemos confiar en un cifrado WEP.

Los peligros de las frases secretas compartidas para redes Wi-Fi


El principal problema de la versión personal del sistema WPA2 es que depende de una frase secreta compartida. Esto significa que, para acceder a la red Wi-Fi, basta con introducir un mismo código empleado por todos los individuos y dispositivos.  Aunque este entorno puede ser suficiente para una red doméstica, en ámbitos corporativos no resulta difícil imaginar los problemas que esta práctica puede ocasionar. Tenga en cuenta:

  • Lo fácil que le resultaría a un empleado compartir la contraseña con individuos ajenos a la empresa.
  • Es muy probable que alguien de la empresa acabe anotando la contraseña en un papel que, en última instancia, podría caer en las manos equivocadas.
  • Estas contraseñas pueden sufrir ataques de fuerza bruta (brute-force cracking).
  • Además, ¿qué sucede cuando un individuo deja la empresa? Deberá cambiar la contraseña para garantizar que no puede seguir accediendo a la red ni a ningún recurso compartido.
  • Pero entonces, ¿qué sucede si alguien pierde un dispositivo? Como en el caso anterior, deberá actualizar la contraseña para que quien encuentre el dispositivo no pueda acceder a su red corporativa.
  • Teniendo en cuenta los dos puntos anteriores, ¿con qué frecuencia y de qué manera comunicará los cambios de contraseña? ¿Deberá sentarse delante de cada máquina e introducir la nueva contraseña? Si no desea hacerlo, ¿cómo compartirá la nueva contraseña con sus empleados?
En resumen, las frases secretas compartidas introducen lagunas de seguridad que los usuarios no autorizados pueden aprovechar para acceder a su red. Una vez dentro de la red corporativa, podrán acceder a todos sus contenidos, lo que expondrá a su empresa a los riesgos inherentes a las redes abiertas que repasamos anteriormente. Los intrusos podrán interceptar datos, robar credenciales, supervisar el tráfico, acceder a los recursos compartidos, distribuir malware o virus, etc.


WPA2-Enterprise constituye una opción más adecuada para las redes Wi-Fi corporativas

Así que todos estamos de acuerdo en que el sistema WPA2-Personal no ofrece una protección suficiente para la mayoría de empresas. Una mejor solución es el sistema WPA2-Enterprise que, entre otras ventajas, acaba con el uso de frases secretas compartidas. Aunque la configuración de este tipo de implementaciones es algo más compleja, sin duda vale la pena si tenemos en cuenta las siguientes ventajas:

  • Como vimos, cada usuario recibe una credencial exclusiva para acceder a la red en lugar de utilizar una contraseña universal. Además del claro beneficio para la seguridad, este sistema simplifica las cosas cuando un empleado abandona la empresa o pierde un dispositivo, ya que solo es necesario eliminar o actualizar una credencial. Los administradores son los encargados de implementar y gestionar estas credenciales, por lo que los usuarios finales no deben recordarlas ni configurarlas.
  • Los usuarios no pueden acceder a las sesiones de otros usuarios (por ejemplo, para supervisar el tráfico o robar sus credenciales). Todas las sesiones de usuario se cifran utilizando una clave distinta, a diferencia de lo que sucede cuando se utiliza el sistema WPA2-Personal, que se vale de una clave compartida. Los usuarios no pueden descifrar ni visualizar la actividad de otros usuarios. Este punto resulta especialmente útil cuando un usuario no autorizado logra acceder a la red.
Aunque el objetivo de esta publicación no es detallar los aspectos técnicos específicos de este tipo de implementaciones, el siguiente artículo ofrece un resumen bastante interesante: Seguridad Inalámbrica en la empresa: Implementación de WPA2-Enterprise 


WPA2-Enterprise, combinado con el uso de certificados, constituye la mejor opción para las redes Wi-Fi corporativas

Durante la configuración de WPA2-Enterprise, deberá elegir su Protocolo de Autenticación Extensible (EAP), que, de forma resumida, determinará cómo se autenticarán los clientes para acceder a su red Wi-Fi. Una opción es utilizar un nombre de usuario/contraseña (es decir, las credenciales de dominio del empleado). Sin embargo, las contraseñas son poco seguras (los usuarios las anotan y pueden descifrarse utilizando la fuerza bruta, etc.) Otra posibilidad mucho más recomendable es el uso de certificados; Microsoft comparte esta convicción:

"Los métodos de autenticación basados en contraseñas no proporcionan un buen nivel de protección, por lo que su uso no es aconsejable. Se recomienda utilizar un método de autenticación basado en certificados en todos los protocolos de acceso a redes que permitan su uso. Este punto es especialmente importante en el caso de las conexiones inalámbricas..." 

El uso de un EAP basado en certificados garantiza que únicamente los usuarios, las máquinas y los dispositivos móviles con un certificado correctamente configurado podrán acceder a sus redes Wi-Fi. Incluso si alguien obtuviera los datos de acceso de un empleado, no podría acceder a la red. Otra ventaja es que, a diferencia de los programas basados en contraseñas que únicamente son capaces de autenticar al usuario, los certificados pueden ser implementados en las propias máquinas con el objetivo de evitar el acceso de dispositivos maliciosos (por ejemplo, un dispositivo móvil de personas no autorizadas o un tercero malintencionado).

Aprovechamiento del Active Directory

Muchas implementaciones WPA2-Enterprise aprovechan el Active Directory, Group Policy y un servidor RADIUS para implementar configuraciones y credenciales de red inalámbrica. Los certificados vuelven a ser un elemento muy útil en estos casos. Al aprovechar el Group Policy y un servidor RADIUS, podrá enviar certificados a las computadoras cliente y crear políticas que asignen automáticamente los dispositivos a sus redes correspondientes. Determinadas Autoridades Certificadoras, como GlobalSign, ofrecen integraciones con el Active Directory para que usted no tenga que ejecutar una Autoridad de Certificación interna –que podría consumir muchos recursos y tiempo– y pueda beneficiarse de esta funcionalidad.

Fuente : Globalsign - Eduardo Zambrano

Comentarios

Publicar un comentario

Entradas más populares de este blog

estrategia de comunicación digital

-
Imagen
¿Se ha completado su estrategia de comunicación digital? Atrás han quedado los días en que los medios convencionales, tales como mensajes, teléfono, y correo electrónico que solía ser el modo principal de comunicación. Con los tiempos y los avances en la tecnología cambia en una escala macro, los medios digitales ha tomado las empresas. Por lo tanto, para contrarrestar la competencia salvaje y para mantenerse por delante de los demás, es para usted una estrategia de comunicación digital eficiente y eficaz está en su lugar. Vamos a comenzar con la comunicación digital ¿por qué? Es el elemento clave para la adquisición y retención de clientes y es igualmente esencial para sostener un negocio en crecimiento. Por ahí cuando todo el mundo tiene más o menos el mismo producto o servicio a ofrecer, se convierte en importante para tocar la base con el conjunto adecuado de las perspectivas de una manera rápida, oportuna y atractiva. Se puede hacer sólo cuando hay una estrat...
Leer más

Todo comienza con el primer acceso

-
Imagen
Todo comienza con el primer acceso SSO para Clientes. Single Sign-On (SSO) es algo que funciona de maravilla, pero incluye mucho más de lo que parece. Aquí, voy a tratar de compartir algo de luz sobre la tecnología ... SSO es la (pieza compleja de) la tecnología que le permite navegar por Internet de un sitio a otro ya través de un poco de “magia” que no tiene que volver a autenticarse al entrar en el segundo servicio. Cuando funciona, usted es una persona feliz. Hay algunos temas subyacentes para ayudarle a entender de lo que hay bajo el capó del SSO. La autenticación y el nivel de seguridad (LOA) Todo comienza con el primer acceso. En aras de la simplicidad supongamos que ya se ha registrado a la primera aplicación. Dependiendo del nivel de confidencialidad de la información o recursos que está intentando acceder, es necesario utilizar la autenticación adecuada para la primera aplicación. La autenticación puede ser tan simple como la determin...
Leer más

Identidad y Acceso (AIM)

-
Imagen
¿AIM simple lujo o necesidad? Los servicios de identidad les permiten a las organizaciones implementar servicios electrónicos seguros, manejar identidades de empleados e identidades empresariales, y automatizar las implementaciones PKI para móviles, usuarios y maquinas. ¿Cuantas veces te ha ocurrido que más de una vez te a has olvidado de una o más de una de las claves corporativas que ocupas a diario? ¿Aburrido de tener que ingresar los datos de autenticación cada vez que se conecta a un servicio en su organización? ¿Los usuarios llaman seguido a soporte para recuperar sus contraseñas? Hoy en día muchas empresas mal gastan sus recursos y retrasan muchos procesos por el simple hecho de no contar con un sistema AIM, las soluciones buscan autenticar a un usuario en varias aplicaciones en Internet sin la necesidad de que lo hagan más de una vez agilizando procesos corporativos. Los datos de acceso son interceptados a través de un Proxy (AIM), de un componente en el servidor ...
Leer más