martes, 24 de junio de 2008

Sistema abierto

La autenticación de sistema abierto no es realmente una autenticación, porque todo lo que hace es identificar un nodo inalámbrico mediante su dirección de hardware de adaptador inalámbrico. Una dirección de hardware es una dirección asignada al adaptador de red durante su fabricación y se utiliza para identificar la dirección de origen y de destino de las tramas inalámbricas.

Para el modo de infraestructura, aunque algunos puntos de acceso inalámbricos permiten configurar una lista de direcciones de hardware permitidas para la autenticación de sistema abierto, resulta bastante sencillo para un usuario malintencionado capturar las tramas enviadas en la red inalámbrica para determinar la dirección de hardware de los nodos inalámbricos permitidos y, a continuación, utilizar la dirección de hardware para realizar la autenticación de sistema abierto y unirse a su red inalámbrica.

Para el modo ad hoc, no existe equivalencia para la configuración de la lista de direcciones de hardware permitidas en Windows XP. Por lo tanto, se puede utilizar cualquier dirección de hardware para realizar la autenticación de sistema abierto y unirse a su red inalámbrica basada en el modo ad hoc.

Clave compartida
La autenticación de clave compartida comprueba que el cliente inalámbrico que se va a unir a la red inalámbrica conoce una clave secreta. Durante el proceso de autenticación, el cliente inalámbrico demuestra que conoce la clave secreta sin realmente enviarla. Para el modo de infraestructura, todos los clientes inalámbricos y el punto de acceso inalámbrico utilizan la misma clave compartida. Para el modo ad hoc, todos los clientes inalámbricos de la red inalámbrica ad hoc utilizan la misma clave compartida.

IEEE 802.1X
El estándar IEEE 802.1X exige la autenticación de un nodo de red para que pueda comenzar a intercambiar datos con la red. Si se produce un error en el proceso de autenticación, se deniega el intercambio de tramas con la red. Aunque este estándar se diseñó para las redes Ethernet inalámbricas, se ha adaptado para su uso con 802.11. IEEE 802.1X utiliza EAP (Protocolo de autenticación extensible) y métodos de autenticación específicos denominados tipos EAP para autenticar el nodo de red.

IEEE 802.1X proporciona una autenticación mucho más segura que el sistema abierto o la clave compartida y la solución recomendada para la autenticación inalámbrica de Windows XP es el uso de EAP-TLS (Transport Layer Security) y certificados digitales para la autenticación. Para utilizar la autenticación EAP-TLS para las conexiones inalámbricas, debe crear una infraestructura de autenticación que conste de un dominio de Active Directory, servidores RADIUS (Servicio de usuario de acceso telefónico de autenticación remota) y entidades emisoras de certificados para emitir certificados a los servidores RADIUS y los clientes inalámbricos. Esta infraestructura de autenticación resulta más adecuada para grandes empresas y organizaciones empresariales, pero no es práctica para una oficina doméstica o de pequeña empresa.

La solución al uso de IEEE 802.1X y EAP-TLS para las pequeñas y medianas empresas es PEAP (EAP protegido) y el protocolo de autenticación por desafío mutuo de Microsoft, versión 2 (MS-CHAP v2) tipo EAP. Con PEAP-MS-CHAP v2, se puede lograr un acceso inalámbrico seguro mediante la instalación de un certificado adquirido en un servidor RADIUS y utilizando credenciales de nombre y contraseña para la autenticación. Windows XP con SP2, Windows XP con SP1, Windows Server 2003 y Windows 2000 con Service Pack 4 (SP4) admiten PEAP-MS-CHAP v2.