A medida que conectamos cada vez más dispositivos a redes WiFi públicas, las preocupaciones sobre la seguridad y la autenticación de usuarios siguen dominando la conversación. Esto es especialmente cierto cuando se debaten los protocolos de seguridad adecuados para redes WiFi de invitados a gran escala que incorporan cientos, miles o incluso millones de usuarios al día. Sin las medidas de seguridad necesarias, los usuarios de la red compartida quedan vulnerables. Quienes operan la red también pueden descubrir que esta se vuelve inmanejable.
Como estándar básico de seguridad, el WiFi público de alto tráfico debe configurarse con protocolos WPA-Enterprise que utilicen un mecanismo de autenticación 802.1X. El 802.1X opera en conjunto con dos protocolos de red seguros: el Protocolo de Autenticación Extensible sobre LAN (EAPoL) y el servidor de Servicio de Usuario de Acceso Telefónico de Autenticación Remota (RADIUS). Estos hacen que el 802.1x sea inherentemente más seguro que el WPA-PSK o WPA2-PSK estándar, los cuales requieren una contraseña compartida para que todos los usuarios accedan a la red.
Cuándo considerar la autenticación 802.1x
Cuando un usuario de internet se conecta a una red WPA-PSK o WPA2-PSK (donde PSK significa 'clave preseleccionada'), la autenticación ocurre cuando el usuario ingresa la contraseña o clave de seguridad correcta de la red. Esto permite que la máquina o dispositivo del usuario se una, opere y potencialmente controle la red sin ninguna credencial de identificación. Esto se vuelve especialmente problemático cuando las empresas (con computadoras conectadas, cajas registradoras y dispositivos IoT) comparten su red principal con sus clientes. A medida que más y más usuarios se conectan a su WiFi de invitados, saber exactamente quién usa su red (o quién conoce la contraseña) se vuelve virtualmente imposible. Cambiar la contraseña con frecuencia para eliminar usuarios no deseados de la red también es laborioso e ineficiente, y no es ideal para redes grandes con un alto volumen de usuarios.
Si usted es una empresa o establecimiento que ofrece seguridad de puertos (determina qué máquinas pueden unirse a una red según la dirección MAC del dispositivo), aún surgen problemas de seguridad. Aunque los usuarios no solicitados no podrán unirse a la red en sus propios dispositivos, Keith Bogart señala que nada les impide hacerse pasar por un individuo en ese dispositivo si se les da la oportunidad (es decir: si se roba un dispositivo autorizado, no se puede determinar si el usuario correcto está operando la máquina).
La autenticación 802.1x resuelve los problemas relacionados con los protocolos de red de seguridad de puertos o contraseñas al exigir que el usuario sea autenticado, independientemente del dispositivo. Por esa razón, recomendamos que los entornos comerciales y profesionales utilicen estos marcos AAA (Autenticación, autorización y contabilidad) como medida estándar.
El proceso de autenticación 802.1x explicado
Hay tres partes en la autenticación 802.1x que trabajan juntas para permitir que un usuario inicie sesión en una red determinada: el suplicante, el autenticador y el servidor de autenticación.
El autenticador primero impide el acceso al suplicante (o usuario final) que intenta unirse a una red SSID. La comunicación que ocurre entre el suplicante y el autenticador es parte del protocolo EAPoL y contiene tramas de Ethernet que transportan las credenciales de inicio de sesión únicas del suplicante para una red en particular. Dependiendo del nivel de seguridad necesario, los autenticadores pueden solicitar más detalles o interacciones del suplicante (por ejemplo, requerir un PIN o completar un código captcha).
Después de que el autenticador identifica los datos EAPoL como un intento de inicio de sesión, el autenticador prepara los datos para el servidor de autenticación, que en última instancia permitirá o denegará el acceso a la red al usuario final. Esto implica la conversión de los datos EAPoL en paquetes RADIUS que permiten al servidor interpretar las credenciales de inicio de sesión como una solicitud de acceso.
Los servidores que operan con el protocolo de seguridad RADIUS utilizan un sistema de Autenticación, Autorización y Contabilidad (AAA o Triple A), que es un método mucho más inteligente y seguro para controlar el acceso a redes, servidores, computadoras, etc. Servidores como estos requieren que los datos proporcionados por el autenticador se crucen (o autentiquen) con infraestructuras backend como directorios o bases de datos que contienen detalles del usuario y las credenciales correspondientes requeridas para la autenticación. Una vez que el servidor aprueba la información dentro del paquete RADIUS, se envía una solicitud de aprobación al autenticador, otorgando al suplicante los derechos y permisos de acceso adecuados.
Haciendo la vida más fácil
Debido a que la autenticación 802.1x opera en servidores habilitados para el protocolo RADIUS, las dificultades en torno a la gestión de usuarios y la escalabilidad para las redes protegidas por WPA son inexistentes. Los usuarios que se unen a redes con autenticación 802.1x pasan por dos niveles de cifrado de datos y sus sesiones seguras dentro de redes particulares son monitoreadas por el servidor RADIUS. A diferencia de las redes protegidas por contraseña (WPA), los usuarios autenticados pueden ser rastreados individualmente y eliminados de una red en caso de que representen algún tipo de amenaza. Escalar la cantidad de usuarios también es mucho más fácil en ausencia de una contraseña, ya que los usuarios pueden autenticarse automáticamente en segundo plano. En términos de empresas que comparten la conexión con otros, el acceso también puede restringirse a ciertas áreas de una red en un servidor RADIUS, lo cual es considerablemente más seguro que tener una red de acceso abierto que puede ser infiltrada fácilmente.
En última instancia, las operaciones de WiFi a gran escala tienen mucho que ganar al implementar una red autenticada. También tienen mucho que perder si ignoran los riesgos de seguridad que implica operar redes WPA-PSK o WPA2-PSK con acceso público.
