Seguridad de los datos
INTRODUCCIÓN
Las redes de área local inalámbricas están experimentando un rápido crecimiento y
los entornos comerciales en continuo cambio exigen una mayor flexibilidad por
parte de los usuarios y de sus equipos de trabajo. Por lo tanto, las empresas de todos
los tamaños están empezando a darse cuenta de la importancia de la conectividad
inalámbrica dentro de sus oficinas. Al mismo tiempo, las normas del sector IEEE
802.11 e IEEE 802.11b para LAN inalámbricas han creado nuevas posibilidades
para la implantación de soluciones LAN inalámbrica. Gracias a los nuevos
productos de LAN inalámbrica interoperables que hay actualmente en el mercado,
todas las empresas y organizaciones pueden disfrutar de la comodidad y carácter
práctico de las LAN inalámbricas. Muchas de estas empresas manejan datos muy
confidenciales y, por lo tanto, los temas de seguridad son especialmente
importantes.
Las redes LAN inalámbricas son sistemas de comunicación de datos muy flexibles
que se implantan como una ampliación de las LAN conectadas dentro de un
edificio o recinto empresarial. Mediante tecnología de radiofrecuencia (RF), las
LAN inalámbricas transmiten y reciben datos por el aire, lo que reduce la necesidad
de conexiones mediante cables. Las LAN inalámbricas proporcionan a los usuarios
acceso móvil a una LAN conectada en su área de cobertura. Recientemente, las
LAN inalámbricas han adquirido gran popularidad en una serie de mercados
verticales, entre los que se incluyen los sectores de sanidad, venta al por menor,
fabricación, almacenaje y universidades. Todos estos sectores han mejorado su
productividad gracias al empleo de dispositivos de mano y ordenadores portátiles
para transmitir información en tiempo real a los sistemas centrales que se encargan
de su proceso. La demanda de instalaciones LAN en cualquier ubicación y la
necesidad de trabajar sin instalaciones y cableados complicados también está
imponiéndose en los entornos de oficina. Con la normalización de las tecnologías
de LAN inalámbrica, cada vez resulta más atractiva la idea de ampliar o sustituir
una parte de una LAN tradicional por una solución inalámbrica.
Al planificar una arquitectura de conexión en red, hay que considerar
cuidadosamente los temas de seguridad y adoptar todas las medidas necesarias
para garantizar la confidencialidad e integridad de los datos, tanto en las redes de
área local conectadas como en las inalámbricas. A diferencia de las redes de
telecomunicaciones, las redes LAN con tráfico IP y acceso a Internet no ofrecen una
elevada fiabilidad ni garantías de seguridad. Sin las precauciones adecuadas,
cualquier LAN, ya sea conectada o inalámbrica, puede resultar vulnerable y verse
expuesta a riesgos de seguridad y a otros problemas. Por ejemplo, un usuario
1
externo que desee hacer negocio vendiendo información comercial confidencial a
la competencia puede acceder e incluso modificar los datos de la red. En los dos
últimos años, estos riesgos han supuesto un problema para la utilización a escala
completa de LAN inalámbricas con datos confidenciales, ya que, por lo general, los
usuarios tienen requisitos y políticas muy estrictos para la seguridad e integridad de
los datos.
INTRODUCCIÓN A LA SEGURIDAD DE LOS DATOS
Amenazas para la seguridad
Las redes y sistemas informáticos se enfrentan a graves amenazas a su seguridad,
que pueden provocar daños importantes en un sistema, sus servicios o la
información que contiene. Un ataque a la seguridad es una acción que pone en
peligro la seguridad de los datos propiedad de una empresa, mientras que una
amenaza para la seguridad es la posibilidad de que se produzca dicho ataque. Entre
algunas de las amenazas más habituales se encuentran la negación de servicio
(denial of service), interceptación (interception), manipulación (manipulation),
suplantación (masquerading) y repudio (repudiation).
Por negación de servicio se entiende que el sistema o la red no estén disponibles para
los usuarios autorizados, o bien que la comunicación se vea interrumpida o
retrasada. Esta situación podría deberse a la sobrecarga de la red con paquetes no
válidos (ilegales), por ejemplo. En el caso de las LAN inalámbricas, puede estar
provocada por interferencia deliberada con las frecuencias de radio, lo que
perturba el funcionamiento de la red inalámbrica.
La interceptación puede consistir en interceptación de identidad, en la que se
controla la identidad de una de las partes de la comunicación con el fin de utilizarla
posteriormente de forma indebida, o puede referirse a interceptación de datos,
cuando un usuario no autorizado controla los datos durante una sesión de
comunicación. Se trata de un ataque a la confidencialidad y un ejemplo perfecto
sería cuando un usuario ajeno escucha en un medio inalámbrico, o conectado, y
captura los datos transmitidos.
La manipulación se refiere a una situación en la que se insertan, eliminan o
sustituyen datos de un sistema. Se trata de un ataque a la integridad de los datos y
puede ser fortuito (debido a un error de hardware) o intencionado si el usuario
externo escucha una comunicación de datos y los modifica.
La suplantación se produce cuando el usuario externo pretende hacerse pasar por
un usuario autorizado para acceder a información o a un sistema concreto. Un
ejemplo en una LAN inalámbrica sería cuando un usuario no autorizado intenta
acceder a la red inalámbrica.
El repudio significa que el usuario niega haber realizado acción alguna que pueda
resultar perjudicial para el sistema o la comunicación. Por ejemplo, los usuarios
pueden negar que hayan enviado determinados mensajes o que hayan utilizado un
sistema de LAN inalámbrica.
2
Mecanismos y servicios de seguridad
Para protegerse de todas las amenazas anteriores, es necesario utilizar varios
mecanismos y servicios de seguridad. Estos servicios mejoran la seguridad de las
transmisiones de datos y del sistema de información. Los mecanismos de
seguridad, por otra parte, son las medidas activas que se utilizan para ofrecer
servicios de seguridad. La encriptación o codificación es un ejemplo de mecanismo
que puede utilizarse con distintos servicios de seguridad.
La autenticación (authentication) es un servicio que confirma la identidad de una
entidad como, por ejemplo, un usuario o un dispositivo, o la originalidad de un
mensaje transmitido. La autenticación suele utilizarse como medida de protección
contra la suplantación y la modificación. En los sistemas inalámbricos actuales,
por ejemplo, los puntos de acceso tienen que realizar la autenticación de los
dispositivos inalámbricos para evitar el acceso no autorizado a la red.
Estrechamente relacionado con la autenticación está el servicio de control de
acceso que limita y controla el acceso a las aplicaciones y sistemas de la red. Para
que una entidad pueda acceder a un sistema, hay que identificarla o autenticarla
primero.
La confidencialidad de los datos (Data confidentiality) consiste en la protección de
los datos para evitar su interceptación. En comunicaciones inalámbricas, esto
significa conservar la privacidad de los datos que se transfieren entre un dispositivo
inalámbrico y un punto de acceso a través del aire. Como es lógico, no todos los
datos se consideran confidenciales, pero la información esencial no debería
transmitirse a menos que se hayan adoptado las oportunas medidas de seguridad.
La integridad de los datos (Data integrity) es un importante servicio de seguridad
que demuestra que los datos transmitidos no se han alterado de forma alguna. La
autenticación de las partes que establecen la comunicación no es suficiente si el
sistema no puede garantizar la integridad del mensaje durante la transmisión. La
integridad de los datos puede utilizarse para detectar y proteger los datos de
posibles manipulaciones.
El no repudio (Non-repudiation) impide que una entidad niegue algo que
realmente ha sucedido. Por lo general, se refiere a una situación en la que una
entidad ha utilizado un servicio o transmitido un mensaje y posteriormente afirma
no haberlo hecho.
SEGURIDAD Y LA NORMA IEEE 802.11
Existen varias soluciones y protocolos de seguridad para la protección de las
transmisiones en redes informáticas. Estas soluciones también pueden aplicarse a
LAN inalámbricas en las que es preciso proteger el tráfico de las escuchas no
autorizadas. En este apartado se presentan las soluciones que pueden emplearse
para resolver problemas de seguridad en LAN inalámbricas.
La norma IEEE 802.11 para LAN inalámbricas, que se ratificó en 1997, se ha
desarrollado para maximizar la interoperabilidad entre distintas marcas de
productos de LAN inalámbrica, y para introducir una serie de ventajas y mejoras en
el rendimiento. La norma IEEE 802.11 define tres opciones de nivel PHY: FHSS,
DSSS e IR. DSSS cuenta con algunas ventajas en comparación con las otras dos
opciones de nivel PHY: DSSS tiene las velocidades de datos más altas (hasta 11
Mbps) y proporciona una mayor área de cobertura que las opciones FH e IR. Los
3
sistemas DSSS se utilizaban generalmente en comunicaciones militares. Los
sistemas de radio basados en DSSS son también muy resistentes a las interferencias.
La norma IEEE 802.11 para LAN inalámbricas existente define dos servicios de
autenticación:
• Autenticación de clave compartida basada en protección equivalente conectada
(WEP)
• Autenticación de sistema abierta (sencillamente anuncia que un dispositivo
inalámbrico desea asociarse con otro dispositivo o punto de acceso inalámbrico)
Protección equivalente conectada - WEP
Las estaciones de una LAN inalámbrica IEEE 802.11 pueden evitar las escuchas no
autorizadas implementando el algoritmo opcional WEP, que también se emplea en
el esquema de autenticación de clave compartida. El algoritmo WEP utiliza el
algoritmo RC4 con una clave secreta de hasta 128 bits. Si los dispositivos
inalámbricos de una LAN inalámbrica desean comunicarse por medio de WEP,
deben tener la misma clave secreta. La norma no establece reglas para la
distribución de las claves a los dispositivos inalámbricos.
Desde un punto de vista criptográfico, la longitud de la clave y la protección que
proporciona el algoritmo son fundamentales, mientras que desde la perspectiva de
la arquitectura de sistemas, lo esencial es la forma en que se distribuyen y gestionan
las claves WEP, ya que la seguridad se basa en mantener el carácter secreto de las
claves. WEP espera que la clave secreta compartida se distribuya a todos los
dispositivos inalámbricos con tiempo suficiente y de forma segura. Por ejemplo, las
claves pueden cargarse en sus bases de gestión al configurar puntos de acceso y
dispositivos inalámbricos. La ventaja de utilizar WEP es que el tráfico se encripta o
codifica en el nivel de enlace entre los dispositivos inalámbricos, por lo que no se
precisan mecanismos de encriptación en niveles superiores. El algoritmo puede
incorporarse a la tarjeta de hardware para que la encriptación o codificación sea
más rápida que con soluciones de software.
Autenticación de sistema abierta
Para limitar el acceso a una red inalámbrica sin WEP, la mayoría de los
distribuidores de productos de LAN inalámbrica han implantado un método de
control de acceso que se basa en el bloqueo de asociaciones de direcciones MAC no
deseadas en los puntos de acceso. Las tarjetas LAN inalámbrica tienen una
dirección MAC de 48 bits que las identifica de forma exclusiva, tal y como se define
en IEEE 802. En los puntos de acceso puede definirse una lista que contenga las
direcciones MAC de las tarjetas LAN inalámbrica válidas y, de esta forma , se
impedirá la asociación de cualquier dispositivo inalámbrico con una tarjeta LAN
inalámbrica cuya dirección MAC no figure en la lista y, por lo tanto, la utilización
de la interfaz de LAN inalámbrica. Si no se utilizan métodos de autenticación o de
encriptación, la LAN inalámbrica puede suponer un riesgo para la seguridad si las
señales de radio fluyen fuera del edificio de oficinas. Un intruso que conozca el SSID
(Service Set Identifier, identificador de conjunto de servicios) que identifica la red
LAN inalámbrica podría configurar un dispositivo inalámbrico para que funcione
en la misma red y frecuencia que los puntos de acceso y acceder así a la red si no se
utiliza el bloqueo de direcciones MAC. Con las herramientas adecuadas, el intruso
podría escuchar de forma no autorizada los datos que transmiten los usuarios
4
legítimos. Asimismo, se pueden falsificar direcciones MAC de tarjetas LAN
inalámbrica de forma que tras aprender una dirección MAC autorizada, el intruso
podría programar una tarjeta LAN inalámbrica para que tuviera la misma
dirección MAC y acceder así a la LAN inalámbrica. Naturalmente, la utilización de
la tarjeta LAN inalámbrica al mismo tiempo causaría problemas en la red.
REDES PRIVADAS VIRTUALES
La tecnología de red privada virtual (VPN) puede utilizarse en redes LAN
inalámbricas para crear túneles virtuales con vistas a garantizar la seguridad de las
comunicaciones. Siempre y cuando la VPN esté correctamente configurada, estos
túneles virtuales garantizan que sólo el personal autorizado podrá acceder a la red
de la empresa y que ningún usuario externo podrá leer ni modificar los datos. En la
implantación de redes privadas virtuales se utilizan distintos estándares y
planteamientos técnicos. En todos ellos, el elemento de seguridad se distingue
generalmente por dos componentes principales: autenticación de usuario y
encriptación de los datos.
Autenticación de usuario
Los métodos fiables de autenticación de usuario son fundamentales en el entorno
de LAN inalámbrica. Hasta hace poco, la autenticación se basaba a menudo en ID
y contraseña de usuario, reto-respuesta o una base de datos central de políticas de
usuario. Un ejemplo de este tipo de base de datos es el protocolo RADIUS (Remote
Authentication Dial-in User Service, servicio de autenticación remota de usuarios
por marcación), que se utiliza para transmitir consultas de autenticación por medio
de un ID y una contraseña de usuario fijos. La tarjeta SecurID de RSA Security
ofrece otro método de autenticación. SecurID es un hardware que genera códigos
de acceso únicos, de un solo uso e imposibles de predecir. Este código de acceso se
puede utilizar con un código PIN personal secreto para proporcionar un servicio de
autenticación muy sólido. Existen también muchos métodos modernos para la
autenticación de usuario. Las tarjetas inteligentes con un microcontrolador y
memoria pueden incluir un conjunto de aplicaciones que van desde un sencillo
algoritmo de autenticación a pagos electrónicos. Estas tarjetas ofrecen a los
usuarios una forma sencilla de llevar consigo un dispositivo de autenticación.
Encriptación de datos
La encriptación o codificación de datos se utiliza para proteger los datos de accesos
no autorizados mediante la codificación de su contenido. Se pueden utilizar
muchos métodos que se diferencian entre sí por sus algoritmos de encriptación. Los
algoritmos de clave pública como RSA utilizan distintas claves relacionadas
matemáticamente para la codificación y descodificación. Los algoritmos de clave
secreta como RC4, DES y 3DES utilizan la misma clave para la codificación y
descodificación. Los métodos de clave secreta son rápidos, pero, como se utiliza la
misma clave para la codificación y la descodificación, la seguridad de los datos
puede verse comprometida si la gestión de las claves no es fiable. La eficacia de la
encriptación depende en gran medida de la longitud de la clave y su gestión. La
clave debe ser lo suficientemente larga y, en soluciones modernas, debe superar el
requisito mínimo de 56 bits.
5
IPSEC - Norma de seguridad de protocolo de Internet
IPSEC es una nueva norma de seguridad que consta de componentes que ofrecen
varios servicios de seguridad al nivel de IP como, por ejemplo, autenticación y
encriptación. El IETF (Internet Engineering Taskforce, grupo de ingeniería para
Internet) la publicó en 1998. IPSEC puede funcionar de dos formas distintas. En el
modo de transporte, las direcciones IP originales se incorporan al paquete de datos
y sólo se encripta la carga útil. En el modo túnel, las direcciones IP originales
también se encapsulan y se añade una nueva cabecera al paquete. La asociación
para seguridad (SA), base de la norma IPSEC, está formada por sistemas centrales
que se comunican y especifica, por ejemplo, los algoritmos de encriptación y
autenticación utilizados, las propiedades de la gestión de claves, así como la vida
útil de las claves de codificación y la asociación para seguridad. Uno de los
principales temas de IPSEC es el protocolo IKE (Internet key exchange,
intercambio de claves de Internet) para la gestión de claves, que establece claves
para la encriptación. La norma de seguridad IPSEC e IKE despliega pares de claves
privadas-públicas. Cada cliente/usuario tiene una clave privada y la red almacena
la correspondiente clave pública. También se admite el método basado en clave
precompartida en el que el cliente/usuario y la red comparten la misma clave secreta
que les ha sido entregada antes de la comunicación. En el futuro, IPSEC
normalizará el método para protección de datos y se prevé que todos los fabricantes
importantes de hardware y software lancen productos compatibles con IPSEC
durante el año 2000. Se espera que IPSEC se convierta en la solución de seguridad
estándar de facto en Internet. También podría utilizarse como tal en LAN
inalámbricas de forma que todos los sistemas y soluciones de seguridad sean
interoperables.
Conexiones seguras con intranets gracias a VPN
Una forma alternativa de crear una LAN inalámbrica con acceso a intranet es
diseñar un segmento de LAN dedicado en el que se conecten los puntos de acceso.
Este segmento de LAN inalámbrica puede separarse después de la intranet con una
pasarela (gateway) de seguridad que controla el acceso a los recursos de la intranet.
Se crea un túnel entre el dispositivo inalámbrico y la pasarela de seguridad, y los
datos transmitidos por este túnel se autentican y encriptan. Desde la perspectiva de
la implementación, esta disposición podría basarse en una configuración VPN. Se
puede integrar la pasarela de seguridad y el sistema de protección principal de
forma que el segmento de LAN inalámbrica se conecte al mismo dispositivo que
también está conectado a Internet. No obstante, por motivos administrativos (y
dado el hecho de que el sistema de protección podría estar físicamente ubicado lejos
del segmento de LAN inalámbrica), es mejor contar con dispositivos diferentes, tal
y como se muestra en la figura anterior.
6
BD de la
empresa
Empresa
LAN inalámbrica
Pasarela de seguridad
(sistema de protección/pasarela VPN)
Puntos de acceso
Servidor de
autenticación
Estación
de trabajo
Estación
de trabajo
Sistema de protección
INTERNET
Túneles
VPN
Dispositivos inal
con cliente VPN
Figura 1. Segmento de LAN inalámbrica en una corporación
La ventaja de esta solución es que protege los datos que se transmiten a y desde la
intranet, y que evita el acceso no autorizado. Lo que hay que tener en cuenta es que
como en este modelo el tráfico se encripta entre el dispositivo inalámbrico y la
pasarela, el tráfico entre dos dispositivos inalámbricos en el segmento de LAN
inalámbrica no se encripta a menos que los dos dispositivos utilicen otras medidas
como, por ejemplo, IPSEC (Internet Protocol Security, seguridad de protocolo de
Internet), TLS (Transport Layer Security, seguridad a nivel de transporte), u otros
métodos de encriptación a nivel de aplicación. Además, el túnel seguro se establece
cuando el dispositivo inalámbrico se conecta a la pasarela de seguridad, de forma
que los dispositivos inalámbricos son los únicos que pueden iniciar conexiones con
los sistemas centrales de intranet; estos sistemas centrales no pueden conectarse
directamente a los dispositivos inalámbricos.
ámbricos
LA SEGURIDAD Y LOS PRODUCTOS DE LAN INALÁMBRICA DE NOKIA
Este apartado le servirá de ayuda a la hora de definir un nivel de seguridad
adecuado para los productos de LAN inalámbrica de Nokia.
LAN inalámbrica de 2 Mbps de Nokia
La Tarjeta LAN inalámbrica Nokia C020/C021 y el Punto de acceso de LAN
inalámbrica Nokia A020 no proporcionan opciones de seguridad adicionales
como, por ejemplo, funciones WEP. Por este motivo, se debe utilizar una solución
VPN con autenticación y encriptación de datos para los productos de LAN
inalámbrica de 2Mbps de Nokia en instalaciones que requieran un elevado grado
de seguridad, por ejemplo, en bancos.
7
Codificaci de datos y autenticación VPNón
LAN corporativa
Dispositivos
inalámbricos
Punto de acceso LAN
inalámbrica Nokia A020
LAN conectada
de 10 Mbps
Hub o
conmutador
Servidor
VPN
Figura 2. Ejemplo de autenticación VPN en una LAN inalámbrica
Puede incrementar la seguridad con listas NID (Network Identifier, identificador
de red) en determinados puntos de acceso o en todos ellos. Esto impide que los
usuarios externos sin autorización, así como los internos, utilicen determinados
puntos de acceso.
La configuración y control de puntos de acceso puede bloquearse con la función de
bloqueo de punto de acceso y también limitando el número de administradores que
pueden configurar y controlar el punto de acceso (máximo 4 administradores).
Asimismo, se puede definir a qué direcciones IP se permite el acceso. Se dispone
también de opciones para cambiar puertos y restringir la utilización de Telnet, Web
y TFTP.
Nueva LAN inalámbrica de 11 Mbps de Nokia
La nueva Tarjeta LAN inalámbrica Nokia C110/C111 ofrece funciones adicionales
para incrementar la seguridad de la red inalámbrica. En primer lugar, dispone de un
lector de tarjetas inteligentes integrado que ofrece una herramienta muy fiable y
eficaz para la gestión de identidades de usuario. En segundo lugar, la solución
incluye encriptación de enlace de radio y autenticación WEP de LAN inalámbrica.
En instalaciones bancarias donde la seguridad es esencial, se recomienda integrar la
red LAN inalámbrica con una solución VPN. No obstante, la tarjeta inteligente
integrada puede utilizarse para guardar identidades de usuario a nivel VPN e
incluso contraseñas de acceso a la red.
Razones para utilizar WEP: WEP puede aplicarse para incrementar el nivel de
seguridad de la red. En primer lugar, aumenta la seguridad de la interfaz de radio
tanto para la autenticación como para la encriptación. En segundo lugar, hace
posibles soluciones rentables y fáciles de configurar. WEP permite la transferencia
segura de datos entre dispositivos inalámbricos y ofrece además una herramienta
adicional de autenticación y encriptación de datos que puede utilizarse como tal en
muchas instalaciones.
8
WEP
LAN corporativa
Codificaci de datos y autenticación VPNón
Codificación de datos
y autenticación WEP
Punto de acceso LAN
inalámbrica Nokia A032
LAN conectada
de 10 Mbps
Hub o
conmutador
Servidor
VPN
Figura 3. Ejemplo de VPN y WEP en una LAN inalámbrica
¿Qué se puede decir de las tarjetas inteligentes? El lector de tarjetas inteligentes de
LAN inalámbrica integrado de Nokia proporciona una eficaz herramienta para la
gestión de identidades e autenticación de usuario en la red inalámbrica. La tarjeta
LAN inalámbrica de Nokia ofrece una interfaz estándar de lector de tarjetas
inteligentes Windows y de tamaño ID000 que admite una gama de soluciones de
tarjetas inteligentes comerciales relacionadas con la red corporativa y la
autenticación de servicios.
La Nokia C110/C111 dispone de una interfaz abierta de lector de tarjetas
inteligentes que admite la mayoría de las soluciones VPN del mercado e incluso
permite el desarrollo de soluciones de tarjetas inteligentes personalizadas para
usuarios de portátiles. El lector de tarjetas integrado admite API (Application
Program Interface, interfaz de programa de aplicación) de tarjetas inteligentes
Microsoft® estándar.
Este lector también proporciona una forma eficaz de empezar a aplicar firmas
electrónicas. Con la Nokia C110/C111, puede empezar a utilizar productos de
autenticación basados en PKI (Public Key Infrastructure, infraestructura de clave
pública) junto con otra solución de seguridad. Cada vez es mayor el número de
instituciones financieras y de otro tipo que empiezan a utilizar PKI. A este respecto,
la Nokia C110 ofrece una solución segura para exigencias de seguridad mayores.
Las principales ventajas del planteamiento de tarjeta inteligente son:
• La tarjeta inteligente es una forma tangible y fiable de distribuir claves de
autenticación de red a los usuarios que se desplazan con frecuencia. Además,
proporciona almacenamiento con protección mediante PIN para las contraseñas.
• La tarjeta inteligente puede integrarse de forma eficaz con autenticación de red
por medio de productos corporativos de autenticación de red existentes.
• En el futuro, la tarjeta inteligente integrada hará posible el uso de firmas digitales
y servicios PKI, que cada vez son más habituales, especialmente en el sector
bancario.
• Con el lector de tarjetas integrado se consigue una solución rentable para
proporcionar servicios de tarjeta inteligente a los equipos portátiles.
9
PREGUNTAS Y RESPUESTAS
P1: ¿Cómo se lleva a cabo la autenticación de usuario y la encriptación de datos entre un
dispositivo de LAN inalámbrica y un punto de acceso?
La norma IEEE 802.11 para LAN inalámbrica define dos servicios de autenticación:
• Autenticación de sistema abierta (sencillamente anuncia que un dispositivo
inalámbrico quiere asociarse con otro dispositivo inalámbrico o punto de acceso).
• Autenticación de clave compartida basada en protección equivalente conectada
(WEP)
En la autenticación de sistema abierta, sólo las tarjetas LAN inalámbrica válidas
pueden asociarse con puntos de acceso. Este tipo de autenticación no proporciona
autenticación basada en paquetes ni ningún tipo de protección de datos.
Para proporcionar protección de transmisión de tramas, IEEE 802.11 define WEP
opcional. WEP es encriptación simétrica que ayuda a evitar las escuchas no
autorizadas en la red. Los productos de LAN inalámbrica de 11 Mbps permiten
utilizar longitudes de clave de hasta 128 bits y el mecanismo WEP encripta todos los
paquetes de datos de usuario que utilizan el algoritmo RC4.
La nueva Nokia C110/C111 con codificación y autenticación WEP impide que los
usuarios no autorizados utilicen los servicios de red y proporciona encriptación de
datos de usuario a través del aire. En instalaciones que exigen un elevado nivel de
seguridad, la protección de la red y de los datos del usuario puede mejorar
desplegando mecanismos de seguridad a nivel de IP, tales como productos VPN. En
este caso, el segmento de red LAN se aísla de la red de la empresa mediante un
dispositivo VPN, que realiza la encriptación de datos y autenticación de usuario
entre el terminal inalámbrico y la red por medio de sólidos algoritmos de
codificación como, por ejemplo, DES o 3DES. La solución de LAN inalámbrica de
Nokia admite soluciones VPN líderes que resultan transparentes para la LAN
inalámbrica.
P2: ¿Es vulnerable el enlace de radio a los ataques de espectro?
La versión de espectro de dispersión de secuencia directa de la norma IEEE 802.11
se ha diseñado de forma que ofrezca una protección segura frente a interferencias.
No obstante, hay que tener en cuenta que ningún sistema de LAN inalámbrica
comercial maneja bien las perturbaciones intencionadas.
P3: ¿Cómo podemos estar seguros de que cada dispositivo inalámbrico tiene una
contraseña de arranque y desconexión de sesión por inactividad?
El punto de acceso da por finalizada la autenticación después de un determinado
plazo de tiempo si el dispositivo inalámbrico se apaga o se sale de rango.
La Nokia C110/C111 proporciona autenticación WEP, que utiliza una clave WEP
como contraseña de arranque. La LAN inalámbrica como tal no garantiza ninguna
desconexión basada en temporizador, sino que más bien actúa como LAN normal
para este tipo de aplicación.
Si se necesita una contraseña de arranque y desconexión de sesión fiable, es
aconsejable integrar la LAN inalámbrica con un producto VPN que proporcione
dichas funciones.
10
P4: ¿Se puede negar el acceso a la LAN inalámbrica a nodos individuales?
Sí. Hay dos opciones complementarias: se pueden utilizar listas NID en puntos de
acceso de LAN inalámbrica. En este caso, los puntos de acceso sólo permiten el
acceso a la red de las tarjetas LAN inalámbrica que aparecen en la lista (direcciones
MAC). Las NID limitan la utilización de la red de radio basándose en las dirección
MAC de la tarjeta LAN inalámbrica. En instalaciones en las que se precisa un
elevado nivel de seguridad, aconsejamos el despliegue de un método de
autenticación más sólido basado en una solución VPN para reducir al mínimo el
riesgo de intrusión en la red. No obstante, en soluciones de gran importancia se
puede aplicar autenticación tanto a nivel VPN como de LAN inalámbrica. En esta
solución, la autenticación de LAN inalámbrica proporciona el primer escudo de
protección que debe romperse para poder acceder de forma no autorizada al
sistema de protección VPN.
P5: ¿Cómo influyen las LAN inalámbricas en los temas de seguridad de las corporaciones?
Dependen por completo de la política de las empresas. La red de radio de LAN
inalámbrica aportará una nueva dimensión al campo de la seguridad pero, como
siempre, una planificación adecuada contribuirá a evitar posibles problemas. En
aplicaciones en las que la seguridad es esencial, aconsejamos aislar la red LAN
inalámbrica de los componentes fundamentales de la red por medio de un sistema
de protección VPN. No obstante, a diferencia de la mayoría de los productos de l a
competencia, la tarjeta de LAN inalámbrica de 11 Mbps de Nokia ofrece dos
herramientas de seguridad avanzadas que pueden integrarse con sistemas de
seguridad de la red corporativa: autenticación de usuario basada en tarjeta
inteligente y codificación de datos y autenticación WEP de LAN inalámbrica.
La protección WEP ofrece un escudo adicional contra los intrusos. Con el lector de
tarjetas de red integrado, la administración de la red puede distribuir con facilidad
identidades de usuario tangibles y claves seguras a los terminales de LAN
inalámbrica. La tarjeta inteligente también ofrece almacenamiento de contraseñas
protegido mediante PIN y permite el cálculo de contraseñas de un solo uso, una
solución significativamente más segura que las contraseñas estáticas de amplia
distribución.
Para obtener información actualizada sobre los productos de LAN inalámbrica de
Nokia y la seguridad de los datos, visite nuestra página de inicio en
www.forum.nokia.com de forma periódica.
11
Loading...