Wi-Fi 7 y seguridad: lo que debe saber

Este blog se centra en cómo Wi-Fi 7 ayuda a impulsar una mejor seguridad inalámbrica, hablando específicamente sobre cómo algunas de las nuevas características y capacidades, como el uso requerido de WPA3 en 6Ghz y capacidades MLO para frases de contraseña/validación.

Autor

Categorías

En la sexta entrega de nuestra serie de blogs de Wi-Fi 7, vamos a hablar de un tema que parece surgir mucho en la conversación de Wi-Fi 7 pero que no está directamente relacionado con la enmienda 802.11be al estándar IEEE, y eso es seguridad.

Para ayudar a las personas a comprender algunas mejoras clave que vienen con Wi-Fi 7, así como algunos aspectos de la seguridad de Wi-Fi®, RUCKUS Networks ha publicado un informe técnico sobre Wi-Fi 7. El informe técnico se puede encontrar en la página dedicada a Wi-Fi 7 en el nuevo sitio web de RUCKUS Networks.

Seguridad Wi-Fi con diferentes tipos de WPA

Aunque no se aborda directamente en el estándar Wi-Fi 7, la seguridad siempre es algo en lo que la gente debería pensar cuando se trata de cualquier nuevo estándar, especialmente Wi-Fi. Operar en un espectro sin licencia con una interfaz de aire común (CAI) que se publica para que el mundo cumpla, abre muchas oportunidades para que los atacantes encuentren vulnerabilidades, como KrACK y FragAttacks. En el mundo actual, es casi un requisito que las personas comprendan mejor cómo se protegen sus paquetes de datos cuando se envían por Wi-Fi en un esfuerzo por evitar que los hackers obtengan acceso a datos personales como su préstamo hipotecario, cuentas bancarias, y otra información de identificación personal, o PII.

El simple hecho de cambiar la contraseña predeterminada del router, aunque sigue siendo un requisito, no es lo único que los usuarios deben conocer.

Aunque no hay nada centrado en la seguridad Wi-Fi en Wi-Fi 7, hay un artefacto que surge de la operación de Multi-Link que tendrá algún impacto en la forma en que los dispositivos y AP protegen la conexión inalámbrica. Pero primero, veamos algunos aspectos básicos.

Seguridad de cifrado de datos WPA2

El WPA2℮ se introdujo en 2004 con el 802.11i como reemplazo "permanente" para el estándar WPA℮ (Wi-Fi Protected Access®) que se lanzó como medida de espacio libre cuando se agrietó el WEP en 2003. Excepto para la nueva banda de 6 GHz, las 802,11 enmiendas de PHY (802.11a/b/g/n/ac/ax/be) han sido compatibles con versiones anteriores. Eso significa que tu iPhone 4 al que te niegas a renunciar aún puede conectarse a un nuevo punto de acceso Wi-Fi 7. Probablemente no vaya a funcionar bien (por muchas otras razones), pero seguirá funcionando. Solo porque tenemos WPA3℮, a menos que las redes estén configuradas para ignorar específicamente cualquier otra cosa que no sea WPA3℮, aún puede funcionar.

Incluso su portátil de 2001 con 802.11b y WEP seguirá siendo capaz de ver una red 802.11be en 2,4 GHz, simplemente no podrá conectarse a menos que los administradores hayan habilitado WEP en el SSID. Pero el panorama general es que la WPA2 no está obsoleta solo porque tenemos la WPA3. 6 La operación de GHz tiene una provisión para admitir solo WPA3, pero eso es un requisito del espectro, no de ninguna generación Wi-Fi específica.

Seguridad de cifrado de datos WPA3

Después de 14 años de servicio en el mundo de la tecnología (de por vida, en realidad) se introdujo WPA3 en 2018 para aportar algunas mejoras muy necesarias a la forma en que se implementa la seguridad inalámbrica. Si bien es demasiado para entrar en este blog, en resumen, realmente ayuda a evitar que los atacantes ataquen a una fuerza bruta un protocolo de encriptación después del hecho, comúnmente conocido como ataque de diccionario fuera de línea.

WPA3 tiene las mismas dos opciones que WPA2, con los mismos dos métodos pero con un nombre ligeramente diferente. WPA2-Personal, a menudo denominada red de clave precompartida (PSK), ha sido reemplazada por WPA3-SAE o Autenticación simultánea de iguales. Aunque el usuario final no notará ninguna diferencia (aún introduce una frase de contraseña en su dispositivo para proteger sus conexiones Wi-Fi), hay algunos grandes cambios en el backend que solucionan algunos problemas de seguridad con WPA2-Personal que no entraremos aquí (aunque puede leer más sobre él en nuestro blog Seguridad inalámbrica con frases de contraseña).

WPA3-Enterprise es muy similar a WPA2-Enterprise, el tipo de seguridad que se observa actualmente en la mayoría de las redes empresariales. Todavía hay varios tipos de EAP (protocolo de autenticación extensible) y el método preferido es la seguridad de la capa de transporte (o EAP-TLS). WPA3-Enterprise añade aumentos adicionales obligatorios en la fuerza criptográfica, así como la obligación de 802.11w (estructuras de gestión protegidas) para la norma, mientras que las especificaciones anteriores tenían 802.11w como opción.

Las redes se pueden configurar con lo que se conoce como una “postura de seguridad de transición” que aceptará dispositivos WPA2 y WPA3 en el mismo SSID (esto sería un SSID de 5 GHz, ya que WPA2 no se puede configurar en 6 GHz) para preservar la compatibilidad con versiones anteriores de dispositivos más antiguos; pero como con todo, existe un riesgo con esto. Si bien los dispositivos más nuevos son compatibles con versiones anteriores de los estándares más antiguos, los dispositivos más antiguos pueden ver los indicadores de transición en el nuevo SSID y no saber cómo lidiar con eso, y simplemente no conectarse.

Esto significa que, aunque nos gustaría poder ofrecer un servicio muy sencillo y directo a todos los dispositivos cliente, esos días podrían ser limitados. Una solución alternativa sería crear SSID específicos de banda y seguridad para distribuir la carga y la posición de seguridad de la red.

¿La introducción de WPA3 significa que WPA2 es ahora tan malo como WEP (para uso en Internet, contraseñas, etc.)?

¡Por el contrario! La WEP (Wired Equivalent Privacy, privacidad equivalente por cable) estaba realmente rota cuando se anunció la WPA, mientras que la WPA3 es una actualización de la WPA2. WPA2, configurado correctamente, es susceptible a ataques de diccionario fuera de línea, pero el tiempo necesario para descifrar esa contraseña se mide en décadas, no horas.

Configurado correctamente significa usar una frase de contraseña que tenga al menos 16 caracteres, no compartida con nadie más, y usar cifrado estándar de cifrado avanzado (AES). WPA2-Enterprise está lo suficientemente cerca de WPA3-Enterprise como para poder habilitar 802.11w lo acerca bastante a WPA3-Enterprise para "la mayoría" de las instancias. WPA3 sigue siendo el lugar al que queremos llegar, pero WPA2, con algunas precauciones adicionales incorporadas, sigue siendo un método respetable para proteger sus redes inalámbricas.

Uso de WPA3 en 6 GHz como guía de diseño

Gracias a la infinidad de variables que vemos al examinar los dispositivos cliente que utilizan redes Wi-Fi de hoy en día (Android frente a iOS, viejo frente a nuevo, dispositivos móviles frente a fijos), muchas personas ven el requisito de usar WPA3 en cualquier modo (Enterprise utilizando Protocolo de autenticación extensible o EAP, y SAE, Autenticación simultánea de iguales) u OWE como un obstáculo para este nuevo espectro, pero hay otra forma de pensar en esto. En lugar de intentar evitar estos nuevos protocolos de seguridad, deberíamos adoptarlos realmente.

Cuadro de diseño de Wi-Fi específico de banda, Wi-Fi RUCKUS 7

Para los dispositivos que nos importan (y son nuevos), les asignaríamos un SSID de 6 GHz con WPA3. Dispositivos como BYOD u otros dispositivos que podrían no preocuparnos tanto permanecerán a 5 GHz con WPA2 Personal (PSK o DPSK); podríamos agregar un segundo SSID para WPA3-Enterprise para esos dispositivos que realmente nos importan pero que no son lo suficientemente nuevos para la nueva banda de 6Ghz. Por último, esto deja 2,4 GHz para IoT y otros dispositivos clasificados como “Mejor esfuerzo” sin requisitos ni expectativas de servicio impecable. Por cierto, al separar los dispositivos de esta manera, estamos categorizando los dispositivos y protegiéndolos con la “mejor” seguridad disponible para cada uno, que, si hace referencia a uno de nuestros blogs anteriores, es una mejor práctica. Para obtener aún más prácticas recomendadas sobre la separación de dispositivos IoT, asegúrese de consultar también nuestro blog sobre seguridad de dispositivos IoT.

Operaciones y seguridad de Multi-Link

Como se prometió, hay un ángulo de seguridad para esta nueva función Wi-Fi 7. Funcionamiento con varios enlaces (MLO, puedes leer más sobre eso en nuestro anterior Wi-Fi 7, blog MLO) es la idea de que varias radios dentro de un dispositivo hablarán con otro dispositivo al mismo tiempo, pero en diferentes bandas de radio. Para que esto funcione, hubo un problema con la identidad que debía resolverse, y se trataba de asegurarse de que las tramas de capa 2 del mismo dispositivo tuvieran la misma dirección MAC para que el extremo receptor pudiera confirmar que las tramas recibidas eran del mismo dispositivo, y no mezclar fotogramas de diferentes dispositivos.

¿Qué tienen que ver Wi-Fi 7 y MLO con la seguridad?

Con MLO, hay una introducción de una dirección MAC de “nivel más alto” en las tres radios de un dispositivo Wi-Fi 7. Esta única dirección MAC de alto nivel se utiliza para las claves de cifrado; en lugar de utilizar tres claves (una clave para cada una de las posibles bandas de radio que se utilizan), los dispositivos solo necesitan crear un conjunto de claves. Conocida como una dirección de extremo MAC-SAP o MLD (dispositivo multienlace), esta dirección se encuentra por encima del transceptor de radio real.

Wi-Fi 7 MLO que muestra el punto final MAC-SAP

Esta clave única significa que, a medida que el dispositivo cliente cambia de banda durante la selección del enlace MLO, no es necesario crear una nueva clave de cifrado. Con los requisitos de latencia más bajos de VR/AR/deportes, cualquier microsegundo ahorrado en el lado de RF de la transmisión es fundamental para lograr los números de latencia que estas aplicaciones buscan.

Aunque no es un desarrollo revolucionario en el mundo de la seguridad, MLO señala algunos desarrollos futuros que podrían afectar a la forma en que las redes y los dispositivos cliente se ven entre sí en todas las comunicaciones inalámbricas. Compartir una única dirección MAC para cada conexión inalámbrica tiene algunas ventajas cuando empezamos a considerar el acceso de radio convergente entre Wi-Fi y móvil y cómo un dispositivo podría cambiar entre los dos, dependiendo de una miríada de factores.

No hay nada en el horizonte para ningún desarrollo como ese, pero, al igual que la forma en que MLO permite que los dispositivos seleccionen el mejor canal operativo en el momento de la transmisión, sugiere que nuestros dispositivos cliente están empezando a funcionar mejor con nuestras infraestructuras inalámbricas, y solo las cosas buenas pueden provenir de eso.

¿Qué pasa con las redes RUCKUS?

Puede obtener más información sobre Wi-Fi 7 visitando la página web de Wi-Fi 7 en el sitio web de RUCKUS Networks. Esta página será un recurso de referencia para cualquier persona que desee mantenerse al día sobre Wi-Fi 7 a medida que nos acerquemos a la ratificación de la enmienda por parte del IEEE y el anuncio de certificación Wi-Fi 7 de la Alianza Wi-Fi. Para seguir leyendo el resto de esta serie de blogs, vuelve a la página de Wi-Fi 7 para ver futuros enlaces o nuestra sección de blog.

Nuestros lectores también pueden aprender más sobre los productos y soluciones de RUCKUS Networks visitando estos sitios web: Productos de RUCKUS Networks y Soluciones de RUCKUS Networks. Para obtener más información sobre cómo RUCKUS puede ayudar a su organización con la última evolución en tecnología de redes, envíenos una nota y un especialista puede ponerse en contacto con usted para ayudarle, con Wi-Fi 7 o cualquier producto de RUCKUS Networks.