A medida que conectamos cada vez más dispositivos a redes WiFi públicas, las preocupaciones en torno a la seguridad y la autenticación de usuarios siguen dominando la conversación. Esto es especialmente cierto cuando se debaten los protocolos de seguridad adecuados para redes WiFi de invitados a gran escala que incorporan cientos, miles o incluso millones de usuarios al día. Sin las medidas de seguridad necesarias, los usuarios de la red compartida quedan vulnerables. Quienes operan la red también pueden descubrir que esta resulta inmanejable.
Como estándar básico de seguridad, el WiFi público de alto tráfico debe configurarse con protocolos WPA-Enterprise que utilicen un mecanismo de autenticación 802.1X. El 802.1X funciona junto con dos protocolos de red seguros: el Protocolo de Autenticación Extensible sobre LAN (EAPoL) y el servidor de Servicio de Usuario de Acceso Telefónico de Autenticación Remota (RADIUS). Estos hacen que el 802.1x sea inherentemente más seguro que el WPA-PSK o WPA2-PSK estándar, los cuales requieren una contraseña compartida para que todos los usuarios accedan a la red.
Cuándo considerar la autenticación 802.1x
Cuando un usuario de internet se conecta a una red WPA-PSK o WPA2-PSK (donde PSK significa 'clave preseleccionada'), la autenticación se produce cuando el usuario introduce la contraseña o clave de seguridad correcta de la red. Esto permite que la máquina o dispositivo del usuario se una, opere y potencialmente controle la red sin ninguna credencial de identificación. Esto resulta especialmente problemático cuando las empresas (con ordenadores, cajas registradoras y dispositivos IoT conectados) comparten su red principal con sus clientes. A medida que más y más usuarios se conectan a su WiFi de invitados, saber exactamente quién utiliza su red (o quién conoce la contraseña) se vuelve prácticamente imposible. Cambiar la contraseña con frecuencia para eliminar usuarios no deseados de la red también es laborioso e ineficiente, y no es ideal para redes grandes con un alto volumen de usuarios.
Si es una empresa o establecimiento que ofrece seguridad de puertos (determina qué máquinas pueden unirse a una red en función de la dirección MAC del dispositivo), siguen surgiendo problemas de seguridad. Aunque los usuarios no solicitados no podrán unirse a la red con sus propios dispositivos, Keith Bogart señala que nada les impide hacerse pasar por un individuo en ese dispositivo si se les da la oportunidad (por ejemplo: si se roba un dispositivo autorizado, no se puede determinar si el usuario correcto está operando la máquina).
La autenticación 802.1x resuelve los problemas en torno a los protocolos de red de seguridad de puertos o contraseñas al exigir que el usuario se autentique, independientemente del dispositivo. Por esa razón, recomendamos que los entornos comerciales y profesionales utilicen estos marcos AAA (Autenticación, autorización y contabilidad) como medida estándar.
El proceso de autenticación 802.1x explicado
Hay tres partes en la autenticación 802.1x que trabajan juntas para permitir que un usuario se conecte a una red determinada: el suplicante, el autenticador y el servidor de autenticación.
Un Autenticador impide inicialmente el acceso al suplicante (o usuario final) que intenta unirse a una red SSID. La comunicación que se produce entre el suplicante y el autenticador forma parte del protocolo EAPoL y contiene tramas Ethernet que transportan las credenciales de inicio de sesión únicas del suplicante para una red en particular. Dependiendo del nivel de seguridad necesario, los autenticadores pueden solicitar más detalles o interacciones al suplicante (por ejemplo, requerir un PIN o rellenar un código captcha).
Una vez que el autenticador identifica los datos EAPoL como un intento de inicio de sesión, prepara los datos para el servidor de autenticación, que en última instancia permitirá o denegará el acceso a la red al usuario final. Esto implica la conversión de los datos EAPoL en paquetes RADIUS que permiten al servidor interpretar las credenciales de inicio de sesión como una solicitud de acceso.
Los servidores que operan con el protocolo de seguridad RADIUS utilizan un sistema de Autenticación, Autorización y Contabilidad (AAA o Triple A), que es un método mucho más inteligente y seguro para controlar el acceso a redes, servidores, ordenadores, etc. Este tipo de servidores requieren que los datos proporcionados por el autenticador se crucen (o autentiquen) con infraestructuras backend, como directorios o bases de datos que contienen detalles del usuario y las credenciales correspondientes necesarias para la autenticación. Una vez que el servidor aprueba la información dentro del paquete RADIUS, se envía una solicitud de aprobación de vuelta al autenticador, otorgando al suplicante los derechos y permisos de acceso adecuados.
Haciendo la vida más fácil
Debido a que la autenticación 802.1x opera en servidores habilitados para el protocolo RADIUS, las dificultades que rodean la gestión de usuarios y la escalabilidad para las redes protegidas por WPA son inexistentes. Los usuarios que se unen a redes con autenticación 802.1x pasan por dos niveles de cifrado de datos y sus sesiones seguras dentro de redes particulares son monitorizadas por el servidor RADIUS. A diferencia de las redes protegidas por contraseña (WPA), los usuarios autenticados pueden ser rastreados individualmente y eliminados de una red en caso de que representen algún tipo de amenaza. Escalar la cantidad de usuarios también es mucho más fácil en ausencia de una contraseña, ya que los usuarios pueden autenticarse automáticamente en segundo plano. En el caso de las empresas que comparten la conexión con otros, el acceso también puede restringirse a ciertas áreas de una red en un servidor RADIUS, lo que es considerablemente más seguro que tener una red de acceso abierto que puede ser infiltrada fácilmente.
En última instancia, las operaciones WiFi a gran escala tienen mucho que ganar al implementar una red autenticada. También tienen mucho que perder si ignoran los riesgos de seguridad que implica operar redes WPA-PSK o WPA2-PSK con acceso público.
