Regresar a la página de contenido

Descripción de la seguridad

Seguridad inalámbrica

Debido a que los dispositivos de red inalámbricos transmiten información a través de ondas de radio, es imprescindible proteger la información mediante la configuración de la seguridad. Existen tres elementos principales que, cuando se usan en conjunto, pueden ayudar a proteger las redes inalámbricas:

Directrices de seguridad

Los pasos siguientes pueden ayudarle a lograr una seguridad máxima para la red inalámbrica.

  1. Habilite WEP en la red inalámbrica y cambie la clave WEP cada día o cada semana.
  2. Proteja las unidades y carpetas con contraseñas.
  3. Cambie el SSID predeterminado.
  4. Cambie la clave WEP con cada sesión, de ser posible.
  5. Habilite el filtrado de dirección MAC, de ser posible.
  6. Implemente un sistema de red privada virtual (VPN) para aumentar la seguridad. La mayoría de los sistemas operativos incluyen un cliente VPN.

Protección de la red

Tipos de autenticación

El estándar IEEE 802.1x ofrece una estructura de autenticación general para redes virtuales 802 y especifica un protocolo de autenticación ampliable (EAP) para habilitar el transporte de redes locales en varios tipos diferentes de protocolos de autenticación.

Claves de codificación

Para proteger el tráfico de los clientes, el estándar 802.11 define la Privacidad de codificación inalámbrica (WEP) con claves de codificación (y tres longitudes de clave optativas). El uso de claves fijas ha facilitado el montaje de varios ataques en contra de WEP. Consulte Claves de red para más información.

Codificación WEP

Puede ayudar a prevenir la recepción no autorizada de datos inalámbricos mediante la Privacidad equivalente a cables (WEP) IEEE 802.11. El estándar incluye dos niveles de seguridad, con el uso de claves de 64 bits (denominadas algunas veces como de 40 bits) o de 128 bits. Para mayor seguridad, utilice una clave de 128 bits. Si utiliza la codificación, todos los dispositivos inalámbricos en la WLAN deben utilizar la misma configuración de la codificación. El algoritmo de codificación WEP es vulnerable a los ataques de red pasivos y activos. Los algoritmos TKIP y CKIP incluyen mejoras al protocolo WEP que mitiga los ataques de red existentes y sus flaquezas.

Si desea obtener información adicional, consulte Configuración de la codificación WEP.

802.1x:

Un cliente WAN inicia una solicitud de autorización al punto de acceso, el cual autentica al cliente en un servidor RADIUS compatible con el Protocolo de autenticación ampliable (EAP). El servidor RADIUS puede autenticar ya sea usuarios (mediante contraseñas) ya sea equipos (mediante direcciones MAC). La autenticación 802.1x es independiente del proceso de autenticación de 802.11. El estándar 802.1x provee un marco de trabajo para la autenticación.

Existen distintos tipos de autenticación 802.1x y cada uno ofrece un método distinto de autenticación que emplea el mismo protocolo y marco de trabajo para la comunicación entre un cliente y un punto de acceso. En la mayoría de los protocolos, al finalizar el proceso de autenticación 802.1x, el solicitante recibe una clave que utiliza para la codificación de datos.

Consulte Configuración del cliente para la autenticación WEP y MD5 para más detalles sobre la configuración de un perfil 802.1x.

IPSEC

Seguridad de transporte IPSEC basado en el software.

Acceso protegido Wi-Fi (WPA)

El Acceso protegido Wi-Fi (WPA) es una mejora de la seguridad que aumenta considerablemente el nivel de protección de datos y el control del acceso a una WLAN. El modo WPA impone la autenticación y el intercambio de claves de 802.1x. Sólo funciona con claves de codificación dinámicas.

TKIP (Protocolo de integridad de clave temporal)

Utiliza un método de codificación llamado cambio de clave de paquete rápido, el cual cambia la frecuencia de las claves de codificación.

PEAP

PEAP es un nuevo tipo de autenticación del Protocolo de autenticación ampliable (EAP) IEEE 802.1x diseñado para sacar provecho de la seguridad del nivel de transporte EAP (EAP-TLS) del lado del servidor y para admitir varios métodos de autenticación, los cuales incluyen las contraseñas de inicio de sesión, las contraseñas de un solo uso y las tarjetas de testigo genérico.

Redes privadas virtuales (VPN)

El software de cliente VPN siguiente es compatible con Intel(R) PROSet. Consulte Red privada virtual (VPN) para más información.

  • Netstructure VPN (SST)
  • Netstructure VPN (IPsec-IKE)
  • Cisco VPN Gateway - Cisco VPN Gateway 3005s, Cisco Client V3.51B o posterior
  • Checkpoint VPN (modo transparente no comercial, modo de conexión comercial y modo de conexión no comercial)
  • Microsoft* VPN Cisco VPN Gateway - (L2TP sobre el transporte IPsec, L2TP para la configuración
    con ESP en UDP)

La seguridad VPN puede proteger los servicios basados en TCP/IP. Los protocolos de túnel VPN IPSec e PPTP brindan la codificación robusta para los datos que se envían a través de una red local inalámbrica. VPN es de utilidad cuando el administrador de red requiere que todos los usuarios se autentiquen a través de un servidor VPN existente a la vez que se comparte una base de datos de usuarios autorizados existente. Para acomodar los clientes VPN y los que no son VPN, se podría dirigir todo el tráfico de la WLAN a una pasarela para que los clientes puedan restringirse a los recursos de red predefinidos. Por ejemplo, los usuarios invitados podrían tener acceso a la Internet, mientras que los usuarios de confianza con clientes VPN autenticados reciben acceso a la Intranet al igual que a la Internet. Este mismo tipo de solución podría ofrecer seguridad en aplicaciones de acceso público, al dirigir a los usuarios de acuerdo con métodos de autenticación específicos.

Nota: Puede aumentarse 802.11a y 802.11b con la seguridad VPN para ayudar a proteger los servicios basados en TCP/IP.

LEAP de Cisco

LEAP de Cisco (EAP ligero de Cisco) es una autenticación 802.1x de servidor a cliente que utiliza una contraseña de inicio de sesión proporcionada por el usuario. Cuando el punto de acceso inalámbrico se comunica con un RADIUS habilitado para LEAP de Cisco (servidor de control de acceso seguro de Cisco (ACS)), LEAP de Cisco ofrece el control del acceso a través de la autenticación mutua entre los adaptadores inalámbricos de los clientes y la red inalámbrica y brinda claves de codificación de usuario individuales y dinámicas para ayudar a proteger la privacidad de los datos transmitidos.

Función de seguridad Rogue AP de Cisco

La función Rogue AP de Cisco ofrece protección segura de la introducción de un punto de acceso pirata que pudiese imitar un punto de acceso legítimo en una red a fin de extraer información acerca de las credenciales de usuario y protocolos de autenticación, lo cual podría poner en peligro la seguridad. Esta función solo opera con la autenticación LEAP de Cisco. La tecnología 802.11 estándar no protege una red de la introducción de un punto de acceso pirata.

CKIP

El Protocolo de integridad de claves de Cisco (CKIP) es un protocolo de seguridad propiedad
de Cisco para la codificación en medios 802.11. CKIP utiliza las funciones siguientes para mejorar la seguridad 802.11 en el
modo de infraestructura:

  • Permutación de clave (KP)
  • Verificación de integridad de mensajes (MIC)
  • Número de secuencia de mensajes

Regresar a la página de contenido


Copyright (c) 2003 Intel Corporation.