Protección de la red inalámbrica

En las publicaciones anteriores, cubrí la protección de redes cableadas. Aunque las redes cableadas pueden no ser tan “divertidas” como las inalámbricas, son fundamentales para pensar en la dirección cuando nos fijamos en proteger TODA la red, no solo la parte o dos con las que la gente ve e interactúa. Por lo tanto, vamos a cambiar a hablar de proteger las redes inalámbricas.

Presentamos 802.11i

Mucho antes de que Wi-Fi Alliance creara los términos de marketing de Wi-Fi 5, Wi-Fi 6 y Wi-Fi 6E, nos introdujeron otro término de marketing, incluso si la mayoría no se daba cuenta en ese momento. Este término de marketing es WPA, o Acceso Protegido Wi-Fi. La WPA no es un estándar oficial de IEEE; es una certificación de Wi-Fi Alliance. Aunque la WPA es la piedra angular de la seguridad inalámbrica, no es una norma o enmienda IEEE, pero depende en gran medida del IEEE para funcionar.

El cifrado original utilizado en Wi-Fi era la privacidad equivalente por cable (Wired Equivalent Privacy, WEP) y esperamos que todo el mundo sepa y comprenda que WEP se vio comprometido a principios de los 2000 con herramientas como aircrack.ng y John the Ripper. El WEP contiene un par de fallos fatales que le permiten ser hackeado por fuerza bruta en cuestión de segundos, lo que le llevó a ser “retirado oficialmente” en 2004. Digo “retirado oficialmente” porque, aunque los problemas con WEP aún existen, hay redes que se pueden encontrar en la naturaleza que aún utilizan WEP gracias a los dispositivos cliente que no admiten ningún cifrado más reciente.

En 2003, después de que WEP se hubiera visto comprometida, pero antes de que el IEEE pudiera introducir oficialmente la enmienda 802.11i, la Wi-Fi Alliance lanzó WPA como una solución stop-gap para redes que necesitaban migrar desde WEP, pero sin que 802.11i fuera oficialmente ratificada, siempre estaba destinada a ser nada más que una solución stop-gap.

Concedido, era un espacio de parada crítico, pero sin embargo, cuando 802.11i se ratificó en 2004, fue “reemplazado” por Wi-Fi Protected Access 2, o el protocolo WPA2 basado en la enmienda 802.11i con la que todos estamos familiarizados. Es entonces cuando el WEP se retiró oficialmente. WPA2 introdujo un par de mejoras que le permitieron servir al mundo Wi-Fi de forma admirable durante 14 años antes de que WPA3 introdujera su sustitución en 2018.

En publicaciones posteriores, profundizaremos un poco más en el funcionamiento de estos protocolos y en lo que se necesita para que funcionen, pero por ahora, en esta introducción, quiero cubrir cierta información básica para poder volver a consultarla en el futuro.

Limitaciones con generaciones anteriores

WEP se puede agrietar porque solo utilizó una clave durante el proceso de cifrado y, si esa clave se capturó, era un proceso sencillo simplemente reutilizar esa misma clave. También era muy limitado en el número de bits utilizados en el cifrado.

¡Recuerde! Menos bits = menos complejidad para agrietar = tiempos más rápidos para agrietar el cifrado.

La WPA introdujo un concepto conocido como Protocolo de Integridad de Clave Temporal (TKIP) que impidió a los atacantes simplemente copiar la clave que vieron transmitida por aire. Hay una desventaja para TKIP que realmente no entró en juego hasta que se introdujo 802.11n en 2007. TKIP tiene una limitación que limita las velocidades de Wi-Fi a 54 Mbps. Antes de 802.11n, 54 Mbps era lo más rápido que podías ir, por lo que la limitación TKIP coincidía con la limitación de velocidad PHY. Sin problemas.

Afortunadamente para 802.11n, que fácilmente superaba los 54 Mbps, WPA2 con cifrado AES-CCMP ya estaba fuera. AES-CCMP eliminó esta limitación de velocidad y mejoró el algoritmo de cifrado general.

¿Por qué cubrimos el cifrado de seguridad antiguo? Demasiadas veces en el mundo Wi-Fi, se nos pide que admitamos dispositivos que están muy por encima de su punto álgido desde el punto de vista tecnológico, pero desde el punto de vista funcional siguen desempeñando su trabajo como se esperaba.

Un ejemplo perfecto de esto son los escáneres de códigos de barras utilizados en entornos de almacén. Estos dispositivos deben ser resistentes, tener baterías de larga duración, escanear códigos de barras e introducir un número relativamente sencillo y, a continuación, transmitir esa información a un servidor. Incluso si el ser humano pudiera escanear 1 etiqueta por segundo, el requisito de rendimiento de este dispositivo ni siquiera se mide en megabits por segundo; incluso 802.11b está bien desde una perspectiva de velocidad.

Los diseñadores y administradores de redes se sienten locos por intentar mantener el soporte para estos clientes heredados, al tiempo que apoyan a los gerentes y sus últimos requisitos de aplicaciones y tabletas. Un dispositivo valora la resistencia y la estabilidad, mientras que el otro busca velocidad y flexibilidad. Y, lo que es más importante para este debate, uno utiliza una seguridad muy antigua mientras que otro es más probable que esté cerca de las capacidades de cifrado más recientes.

Probado y probado WPA2

WPA2 ha sido nuestro amigo de confianza desde 2004 y, en su mayoría, nos ha servido bien. Claro, ha habido un contratiempo aquí y allá (¿recuerdas KRACK?) pero cuando se implementa y gestiona de manera responsable, era y sigue siendo muy seguro. Esto es especialmente cierto cuando comparamos las dos versiones de WPA2, Personal y Enterprise, y observamos WPA2-Enterprise. WPA2-Enterprise, que utiliza un tipo EAP robusto (el EAP es un protocolo de autenticación extensible), sigue siendo un método muy sólido para proteger las redes inalámbricas. Basado en los protocolos 802.1X, WPA2-Enterprise con EAP-TLS es muy seguro, incluso hoy en día.

Cuando observamos WPA2-Personal utilizando claves precompartidas (PSK), comenzamos a ver algunos problemas que condujeron a la introducción de WPA3-SAE. WPA2-Personal es el tipo habitual de red que se ve en implementaciones residenciales y en áreas públicas como cafeterías donde publican la contraseña de Wi-Fi en un cartel en una zona pública. Los problemas inherentes a cómo WAP2-Personal crea las claves de cifrado han necesitado pasar a un estándar como WPA3-SAE, que trataremos con más detalle en una publicación posterior.

Si la WPA2 es buena, ¿por qué necesitábamos la WPA3?

Al igual que con todas las cosas de la tecnología, el progreso ayuda a los atacantes de una red tanto, si no más, como a los operadores y usuarios de red legítimos. A medida que aumentaban las velocidades y la capacidad del procesador para ayudar a las personas a hacer más en sus dispositivos móviles, también se aceleraba la fuerza bruta de contraseñas y credenciales capturadas en la naturaleza. La computación en la nube y las conexiones a Internet omnipresentes hicieron que fuera más rápido y fácil para las organizaciones extender su carga de trabajo, como lo hacía para los atacantes.

Lo que solía tardar meses en agrietarse por fuerza bruta ahora se puede hacer en días; lo que solía tardar semanas ahora se puede agrietar en horas, si no minutos. Con la capacidad de los atacantes de recopilar claves de cifrado en la naturaleza y luego enviarlas a una instancia de computación en la nube o de vuelta a un servidor de cracking central en el que trabajar, el coste de descifrar una clave de cifrado es mucho más barato de lo que solía ser.

WPA3-SAE (Simultaneous Authentication of Equals) introdujo nuevos métodos de cifrado más similares a los estándares 802.1X, lo que hace que sea mucho más difícil descifrar en la naturaleza o fuera de línea utilizando un servidor de cracker de cifrado de fuerza bruta creado a medida para la tarea en cuestión.

En publicaciones posteriores trataré más sobre esto para ayudar a las personas a comprender cuáles son las vulnerabilidades exactas, los riesgos a los que podría enfrentarse y cualquier obstáculo que pueda interponerse en su camino de actualización a los nuevos estándares.

Conclusión

En un mundo en el que parece que nos sentimos presionados para tener siempre lo “último y lo mejor”, algunos de los detalles pueden perderse en el shuffle. Aunque WPA3-Enterprise es donde deberíamos apuntar, no pasa nada si no todos los dispositivos terminan en esa red. Si bien WPA2-Personal puede no ser la “mejor”, recuerde que con algunas prácticas recomendadas, puede ser suficiente. Si bien WEP puede ser descifrado por un atacante competente en cuestión de segundos, podría ser suficiente si eso es todo lo que el dispositivo admitirá. Recomendaría ENCARECIDAMENTE actualizar a casi cualquier cosa para eliminar el WEP, pero esa es una conversación para un día diferente.

Permanezca atento a los próximos plazos en los que entraré en un poco más de detalle sobre los dos métodos principales para proteger las redes inalámbricas hoy en día: Personal/SAE y Enterprise.