A medida que más y más dispositivos se unen a las redes WiFi públicas, las preocupaciones sobre la seguridad y la autenticación de los usuarios continúan dominando la conversación. Esto es especialmente cierto cuando se debaten los protocolos de seguridad adecuados para redes WiFi de invitados a gran escala que cargan a cientos, miles o incluso millones de usuarios al día. Sin las medidas de seguridad necesarias, los usuarios de la red compartida quedan vulnerables. Aquellos que operan la red también pueden encontrar que la red es inmanejable.
Como un estándar básico de seguridad, el WiFi público de alto tráfico debe configurarse con protocolos empresariales WPA que utilicen un mecanismo de autenticación 802.1X. 802.1X funciona junto con dos protocolos de red segura: el protocolo de autenticación extensible a través de Lans (EAPoL) y el servidor de servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Esto hace que el 802.1x sea inherentemente más seguro que su estándar WPA-PSK o WPA2-PSK que requieren una contraseña compartida para que todos los usuarios accedan a la red.
Cuándo considerar la autenticación 802.1x
Cuando un usuario de Internet inicia sesión en una red WPA-PSK o WPA2-PSK (PSK significa “clave preseleccionada”), la autenticación se produce cuando el usuario ingresa la clave de seguridad/contraseña de red correcta. Esto permite que la máquina o el dispositivo del usuario se unan, operen y potencialmente controlen la red sin credenciales de identificación. Esto se vuelve especialmente problemático cuando las empresas (con computadoras conectadas, cajas y dispositivos IoT) comparten su red principal con sus clientes. A medida que más y más usuarios inician sesión en tu WiFi de invitados, es prácticamente imposible saber exactamente quién usa tu red (o quién sabe la contraseña). Cambiar la contraseña con frecuencia para eliminar usuarios no deseados de la red también es laborioso e ineficiente, y no es ideal para redes grandes con un gran volumen de usuarios.
Si eres una empresa o establecimiento que ofrece seguridad de puertos (determina qué máquinas pueden unirse a una red según la dirección MAC del dispositivo), aún surgen problemas de seguridad. Aunque los usuarios no solicitados no podrán unirse a la red en sus propios dispositivos, Keith Bogart de la nada les impide hacerse pasar por un individuo en ese dispositivo si se le da la oportunidad (es decir: si un dispositivo autorizado es robado, no se puede determinar si el usuario correcto está operando la máquina).
La autenticación 802.1x resuelve los problemas relacionados con la contraseña o los protocolos de red de seguridad de puertos exigiendo que el usuario esté autenticado, independientemente del dispositivo. Por esa razón, recomendamos que los entornos comerciales y profesionales utilicen estos marcos de autenticación, autorización y contabilidad AAA como medida estándar.
El proceso de autenticación 802.1x explicado
Hay tres partes en la autenticación 802.1x que trabajan juntas para permitir que un usuario inicie sesión en una red determinada: el solicitante, el autenticador y el servidor de autenticación.
El solicitante (o usuario final) que intenta unirse a una red SSID se le impide el acceso por primera vez a un autenticador. La comunicación que se produce entre el solicitante y el autenticador es parte del protocolo EAPoL y contiene tramas de Ethernet que llevan las credenciales de inicio de sesión únicas del solicitante para una red particular. Dependiendo del nivel de seguridad necesario, los autenticadores pueden solicitar detalles o interacciones adicionales del solicitante (es decir, que requieren un pin o un código de captcha).
Una vez que el autenticador identifica los datos de EAPoL como un intento de inicio de sesión, el autenticador prepara los datos para el servidor de autenticación, lo que finalmente permitirá o denegará el acceso de la red al usuario final. Esto implica la conversión de datos EAPoL en paquetes RADIUS que permiten al servidor interpretar las credenciales de inicio de sesión como una solicitud de acceso.
Los servidores que operan con el protocolo de seguridad RADIUS utilizan un sistema de autenticación, autorización y contabilidad (AAA o Triple A), que es un método mucho más inteligente y seguro para controlar el acceso a redes/servidores/computadoras, etc. Los servidores como estos requieren que los datos proporcionados por el autenticador tengan referencias cruzadas (o estén autenticados) con las infraestructuras de back-end, como directorios o bases de datos que contienen detalles del usuario y las credenciales correspondientes requeridas para la autenticación. Una vez que el servidor aprueba la información dentro del paquete RADIUS, se envía una solicitud de aprobación al autenticador, otorgándole al solicitante los derechos y permisos de acceso apropiados.
Hacer la vida más fácil
Debido a que la autenticación 802.1x opera en servidores con protocolo RADIUS, las dificultades que rodean la administración y escalabilidad del usuario para redes protegidas con WPA son inexistentes. Los usuarios que se unen a redes en la autenticación 802.1x pasan por dos niveles de cifrado de datos y sus sesiones seguras dentro de redes particulares son monitoreadas por el servidor RADIUS. A diferencia de las redes protegidas por contraseña (WPA), los usuarios autenticados pueden ser rastreados y eliminados individualmente de una red en caso de que representen una amenaza. Escalar la cantidad de usuarios también es mucho más fácil en ausencia de una contraseña, ya que los usuarios pueden autenticarse automáticamente en segundo plano. En términos de negocios que comparten la conexión con otros, el acceso también se puede restringir a ciertas áreas de una red en un servidor RADIUS, que es considerablemente más seguro que tener una red de acceso abierto que se puede infiltrar fácilmente.
En última instancia, las operaciones de WiFi a gran escala tienen mucho que ganar implementando una red autenticada. También tienen mucho que perder si ignoran los riesgos de seguridad involucrados en la operación de redes WPA-PSK o WPA2-PSK con acceso público.
Otras lecturas
Hay muchos recursos en la web que explican el funcionamiento interno de la autenticación 802.1x, sin embargo, el instructor del INE Keith Bogart ofrece una explicación muy completa en su video de descripción general.