A estas alturas, todos conocemos los riesgos derivados de no proteger las redes Wi-Fi de su empresa, que pueden ser desde simplemente molestos (visitantes que se aprovechan de su red gratuita y colocan lentas sus conexiones) hasta críticos (terceros no autorizados que acceden a su información corporativa, intrusos que interceptan información sensible, roban credenciales de acceso y distribuyen malware o virus).
Afortunadamente, la mayoría de empresas han respondido a estas amenazas protegiendo sus redes con WPA o WPA2 para cifrar los datos transmitidos a través de la red y limitar el acceso únicamente a usuarios autorizados (WPA2 ofrece una protección mayor y es más recomendable para las empresas. En este artículo me referiré a este sistema.)
Sin embargo, desafortunadamente son muchas las empresas que optan por la modalidad personal de WPA2, también conocida como WPA2-Personal. Este sistema utiliza una frase secreta compartida para garantizar el acceso y no resulta la opción más idónea para entornos corporativos. A continuación, trataré de enumerar las desventajas de esta configuración y ofreceré una alternativa mejor.
Nota: Doy por supuesto que todos somos conscientes de que no debemos confiar en un cifrado WEP.
Los peligros de las frases secretas compartidas para redes Wi-Fi
El principal problema de la versión personal del sistema WPA2 es que depende de una frase secreta compartida. Esto significa que, para acceder a la red Wi-Fi, basta con introducir un mismo código empleado por todos los individuos y dispositivos. Aunque este entorno puede ser suficiente para una red doméstica, en ámbitos corporativos no resulta difícil imaginar los problemas que esta práctica puede ocasionar. Tenga en cuenta:
- Lo fácil que le resultaría a un empleado compartir la contraseña con individuos ajenos a la empresa.
- Es muy probable que alguien de la empresa acabe anotando la contraseña en un papel que, en última instancia, podría caer en las manos equivocadas.
- Estas contraseñas pueden sufrir ataques de fuerza bruta (brute-force cracking).
- Además, ¿qué sucede cuando un individuo deja la empresa? Deberá cambiar la contraseña para garantizar que no puede seguir accediendo a la red ni a ningún recurso compartido.
- Pero entonces, ¿qué sucede si alguien pierde un dispositivo? Como en el caso anterior, deberá actualizar la contraseña para que quien encuentre el dispositivo no pueda acceder a su red corporativa.
- Teniendo en cuenta los dos puntos anteriores, ¿con qué frecuencia y de qué manera comunicará los cambios de contraseña? ¿Deberá sentarse delante de cada máquina e introducir la nueva contraseña? Si no desea hacerlo, ¿cómo compartirá la nueva contraseña con sus empleados?
En resumen, las frases secretas compartidas introducen lagunas de seguridad que los usuarios no autorizados pueden aprovechar para acceder a su red. Una vez dentro de la red corporativa, podrán acceder a todos sus contenidos, lo que expondrá a su empresa a los riesgos inherentes a las redes abiertas que repasamos anteriormente. Los intrusos podrán interceptar datos, robar credenciales, supervisar el tráfico, acceder a los recursos compartidos, distribuir malware o virus, etc.
WPA2-Enterprise constituye una opción más adecuada para las redes Wi-Fi corporativas
Así que todos estamos de acuerdo en que el sistema WPA2-Personal no ofrece una protección suficiente para la mayoría de empresas. Una mejor solución es el sistema WPA2-Enterprise que, entre otras ventajas, acaba con el uso de frases secretas compartidas. Aunque la configuración de este tipo de implementaciones es algo más compleja, sin duda vale la pena si tenemos en cuenta las siguientes ventajas:
- Como vimos, cada usuario recibe una credencial exclusiva para acceder a la red en lugar de utilizar una contraseña universal. Además del claro beneficio para la seguridad, este sistema simplifica las cosas cuando un empleado abandona la empresa o pierde un dispositivo, ya que solo es necesario eliminar o actualizar una credencial. Los administradores son los encargados de implementar y gestionar estas credenciales, por lo que los usuarios finales no deben recordarlas ni configurarlas.
- Los usuarios no pueden acceder a las sesiones de otros usuarios (por ejemplo, para supervisar el tráfico o robar sus credenciales). Todas las sesiones de usuario se cifran utilizando una clave distinta, a diferencia de lo que sucede cuando se utiliza el sistema WPA2-Personal, que se vale de una clave compartida. Los usuarios no pueden descifrar ni visualizar la actividad de otros usuarios. Este punto resulta especialmente útil cuando un usuario no autorizado logra acceder a la red.
Aunque el objetivo de esta publicación no es detallar los aspectos técnicos específicos de este tipo de implementaciones, el siguiente artículo ofrece un resumen bastante interesante: Seguridad Inalámbrica en la empresa: Implementación de WPA2-Enterprise
WPA2-Enterprise, combinado con el uso de certificados, constituye la mejor opción para las redes Wi-Fi corporativas
Durante la configuración de WPA2-Enterprise, deberá elegir su Protocolo de Autenticación Extensible (EAP), que, de forma resumida, determinará cómo se autenticarán los clientes para acceder a su red Wi-Fi. Una opción es utilizar un nombre de usuario/contraseña (es decir, las credenciales de dominio del empleado). Sin embargo, las contraseñas son poco seguras (los usuarios las anotan y pueden descifrarse utilizando la fuerza bruta, etc.) Otra posibilidad mucho más recomendable es el uso de certificados; Microsoft comparte esta convicción:
"Los métodos de autenticación basados en contraseñas no proporcionan un buen nivel de protección, por lo que su uso no es aconsejable. Se recomienda utilizar un método de autenticación basado en certificados en todos los protocolos de acceso a redes que permitan su uso. Este punto es especialmente importante en el caso de las conexiones inalámbricas..."
El uso de un EAP basado en certificados garantiza que únicamente los usuarios, las máquinas y los dispositivos móviles con un certificado correctamente configurado podrán acceder a sus redes Wi-Fi. Incluso si alguien obtuviera los datos de acceso de un empleado, no podría acceder a la red. Otra ventaja es que, a diferencia de los programas basados en contraseñas que únicamente son capaces de autenticar al usuario, los certificados pueden ser implementados en las propias máquinas con el objetivo de evitar el acceso de dispositivos maliciosos (por ejemplo, un dispositivo móvil de personas no autorizadas o un tercero malintencionado).
Aprovechamiento del Active Directory
Muchas implementaciones WPA2-Enterprise aprovechan el Active Directory, Group Policy y un servidor RADIUS para implementar configuraciones y credenciales de red inalámbrica. Los certificados vuelven a ser un elemento muy útil en estos casos. Al aprovechar el Group Policy y un servidor RADIUS, podrá enviar certificados a las computadoras cliente y crear políticas que asignen automáticamente los dispositivos a sus redes correspondientes. Determinadas Autoridades Certificadoras, como GlobalSign, ofrecen integracions con el Active Directory para que usted no tenga que ejecutar una Autoridad de Certificación interna –que podría consumir muchos recursos y tiempo– y pueda beneficiarse de esta funcionalidad.
Espero que esta publicación le haya concienciado sobre los peligros de utilizar frases secretas Wi-Fi compartidas y le haya animado a investigar sobre la implementación del WPA2-Enterprise si aún no lo ha hecho. Si ya lo usa, ¿emplea también certificados para reforzar la autenticación y proteger el acceso a sus redes inalámbricas? ¿Por qué sí (o no) lo hace? ¡Le invito a que me haga llegar sus comentarios!
¿Tiene alguna pregunta sobre cómo utilizar los certificados para controlar los accesos a redes inalámbricas o cómo implantarlos? No dude en ponerse en contacto con nosotros; ¡estaremos encantados de ayudarle!