Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Publicado: octubre 11, 2004 | Actualizado: 24/11/04
En esta página
Introducción
Diseño conceptual
Criterios de diseño de soluciones
Diseño lógico de la solución
Reevaluación de los criterios de diseño
Resumen
Introducción
El capítulo anterior mostraba las opciones de seguridad de WLAN y describía las razones por las que se seleccionó la autenticación inalámbrica de 802.1X con el protocolo EAP-TLS para esta solución. Este capítulo ofrece una descripción de la arquitectura de la solución y, seguidamente, se genera un diseño lógico a partir de los criterios de diseño tomados de una organización de ejemplo. Puede utilizar esta información como base para implementar su solución. El diseño lógico utiliza hardware de red WLAN 802.1X, autenticación de RADIUS y PKI.
Requisitos previos
Le será útil conocer los conceptos de diseño de infraestructuras de TI y estar familiarizado con los componentes clave que forman parte de dicho diseño. Los componentes clave son los siguientes: WLAN y componentes de red, RADIUS, el servicio de directorio Active Directory® y PKI. No se necesita un conocimiento profundo de estos componentes.
Descripción general del capítulo
Los objetivos de este capítulo son los siguientes:
proporcionar una descripción conceptual del funcionamiento de una solución de WLAN segura basada en los protocolos 802.1X y EAP-TLS, así como de los componentes principales de este tipo de solución.
definir los criterios de diseño de la solución para el diseño lógico y las fases posteriores del diseño técnico detallado.
producir un diseño lógico coherente que constituya la base para el diseño detallado en los capítulos siguientes.
explicar la forma en que puede modificarse la solución para cumplir los requisitos de organizaciones de diferentes tamaños.
explicar en detalle algunas de las formas en que puede ampliarse el diseño propuesto o utilizarse como base para generar otras soluciones de acceso de red (por ejemplo, redes privadas virtuales y control de acceso a redes por cable) y examinar el modo en que el componente PKI del diseño puede servir de punto de partida para varias aplicaciones de seguridad.
En los capítulos siguientes examinaremos el proceso de diseño detallado para cada uno de los componentes principales del diseño lógico (WLAN, RADIUS y PKI) como preparación para generar y poner la solución en funcionamiento.
Diseño conceptual
Como se mencionó en el capítulo anterior, hay diversos puntos débiles graves en la seguridad inherentes a las redes inalámbricas. En el mejor de los casos, estos puntos débiles se solucionan parcialmente mediante el uso de la privacidad equivalente por cable (WEP, Wired Equivalent Privacy), como se especifica en el estándar 802.11 del IEEE. La solución propuesta en esta guía se ocupa del problema de cómo mejorar la seguridad de las comunicaciones mediante redes inalámbricas. La solución ideal necesita contar con las características siguientes:
autenticación sólida de cliente inalámbrico. Esto debe incluir la autenticación mutua del cliente, el punto de acceso (PA) inalámbrico y el servidor RADIUS.
un proceso de autorización para determinar quién tendrá o no tendrá acceso a la red inalámbrica.
control de acceso que solamente permita el acceso de red a clientes autorizados.
cifrado eficaz del tráfico de la red inalámbrica.
Una administración segura de las claves de cifrado.
Una resistencia a los ataques de denegación de servicio (DoS).
El estándar del protocolo 802.1X para control de acceso a la red, en combinación con un método de autenticación segura como EAP-TLS, cumple con algunos de estos requisitos. La WEP de alta potencia brinda un cifrado seguro del tráfico de red pero ofrece un nivel de administración de claves deficiente. Los métodos para administrar claves de cifrado WEP inherentes a 802.1X y EAP son mucho más seguros que lo permitido por los estándares básicos de 802.11. El estándar de acceso protegido WiFi (WPA, WiFi Protected Access) es un grupo de normas basadas en el sector que incluye 802.1X y EAP (entre otras mejoras) y un protocolo estandarizado para la administración de claves conocido como Protocolo de integridad de claves temporales (TKIP, Temporal Key Integrity Protocol). El estándar WPA representa un paso considerable hacia la seguridad de WLAN y cuenta con el respaldo de la mayoría de los analistas y proveedores.
Nota: ninguna de las mejoras de WPA se ocupa de los problemas de denegación de servicio inherentes a 802.11 y 802.1X. Estas debilidades no representan un problema tan grave como los otros fallos de WEP, y la mayoría de los ataques de denegación de servicio demostrados causan únicamente una disrupción temporal en la red. Sin embargo, la amenaza de los ataques de denegación de servicio continúa siendo un tema preocupante para algunas empresas. La solución debería estar disponible tras la publicación del estándar IEEE 802.11i.
Aunque la compatibilidad con WPA ya está bastante extendida, todavía hay muchos dispositivos y sistemas incapaces de acomodar este estándar. Por esta razón, la solución en esta guía está diseñada para funcionar con WPA y WEP dinámica. La mayoría de los proveedores de hardware de red venden productos compatibles con 802.1X con claves WEP dinámicas y WPA. La finalidad de este capítulo ofrece la posibilidad de tratar los dos métodos indistintamente; el uso de uno u otro no influye significativamente en el diseño.
La figura siguiente muestra un diagrama conceptual de la solución (autenticación de 802.1X EAP-TLS).
Figura 3.1 Concepto de la solución basado en la autenticación de 802.1X EAP-TLS
El diagrama muestra cuatro componentes principales:
El cliente inalámbrico. Se trata de un equipo o dispositivo que ejecuta una aplicación que requiere acceso a los recursos de red. El cliente tiene la capacidad de cifrar su tráfico de red, además de guardar e intercambiar credenciales de manera segura (como claves o contraseñas).
El PA inalámbrico. En términos de redes más generales se conoce como "servicio de acceso a la red" (NAS, Network Access Service) pero en los estándares inalámbricos se hace referencia a este componente como "AP" o "punto de acceso". El punto de acceso inalámbrico implementa funciones de control de acceso para permitir o denegar el acceso a la red y ofrece la capacidad de cifrar el tráfico inalámbrico. También cuenta con los medios para intercambiar claves de cifrado de manera segura con el cliente a fin de asegurar el tráfico de red. Finalmente, puede consultar un servicio de autenticación y autorización para tomar decisiones de autorización.
servicio de autenticación (AS, Authentication Service). Guarda y comprueba las credenciales de los usuarios válidos y toma decisiones de autorización basándose en una directiva de acceso. También puede recopilar información contable y de auditoría sobre el acceso de los clientes a la red. El servidor RADIUS es el componente principal de este servicio pero el directorio y la entidad emisora también contribuyen a esta función.
La red interna. Se trata de un área segura de servicios conectados a la red a los que la aplicación cliente inalámbrica debe obtener acceso.
Los números del diagrama ilustran el proceso de acceso a la red, que se describe con más detalle en los pasos siguientes:
El cliente inalámbrico debe establecer credenciales con el servicio de autenticación antes de que se establezca el acceso a la red inalámbrica. (Esto podría realizarse con algunos medios fuera de banda como, por ejemplo, mediante un intercambio de disquetes, o bien podría realizarse en una red segura por cable o de otro tipo.)
Cuando se encuentra al alcance del punto de acceso inalámbrico, el equipo cliente intenta conectarse a la WLAN activa en el punto de acceso. Para su identificación, la WLAN cuenta con un identificador del conjunto de servicios (SSID, Service Set Identifier). El cliente detecta el SSID de la WLAN y lo usa para determinar la configuración correcta y el tipo de credencial que debe utilizarse para esta WLAN específica.
El punto de acceso inalámbrico se configura para permitir únicamente conexiones seguras (autenticadas de 802.1X). Cuando el cliente intenta conectarse a él, el punto de acceso envía un desafío al cliente. A continuación, el punto de acceso configura un canal restringido que permite al cliente comunicarse sólo con el servidor RADIUS. Este canal bloquea el acceso al resto de la red. El servidor RADIUS solamente aceptará una conexión de un punto de acceso inalámbrico de confianza o de uno que haya sido configurado como cliente RADIUS en el servicio de autenticación de Internet (IAS, Internet Authentication Service) de Microsoft y que proporcione el secreto compartido para dicho cliente RADIUS.
El cliente intenta realizar la autenticación con el servidor RADIUS a través del canal restringido por medio de 802.1X. Como parte de la negociación EAP-TLS, el cliente establece una sesión de seguridad de la capa de transporte (TLS, Transport Layer Security) con el servidor RADIUS. El uso de una sesión de TLS tiene las finalidades siguientes:
permite al cliente llevar a cabo la autenticación del servidor RADIUS, lo que significa que el cliente solamente establecerá la sesión con un servidor que cuente con un certificado de confianza.
permite al cliente suministrar sus credenciales de certificado al servidor RADIUS.
protege el intercambio de autenticación frente a intrusiones contra paquetes.
la negociación de la sesión de TLS genera una clave que el cliente y el servidor RADIUS pueden utilizar para establecer claves maestras comunes. Estas claves se usan para derivar las claves utilizadas en el cifrado de tráfico de WLAN.
Durante este intercambio, solamente el cliente y el servidor RADIUS pueden ver el tráfico en el túnel de TLS y no queda nunca expuesto al punto de acceso inalámbrico.
El servidor RADIUS valida las credenciales de cliente con el directorio. Si la autenticación del cliente se lleva a cabo de forma satisfactoria, el servidor RADIUS reunirá la información que le permitirá decidir si debe autorizarse el uso de la WLAN al cliente. Utiliza información del directorio (por ejemplo, sobre la pertenencia a grupos) y las restricciones definidas en su directiva de acceso (por ejemplo, los períodos de tiempo en que se permite el acceso a la WLAN) para conceder o denegar el acceso del cliente. Seguidamente, el servidor RADIUS transmite la decisión al punto de acceso.
Si se concede acceso al cliente, RADIUS transmitirá la clave maestra del cliente al punto de acceso inalámbrico. Con ello, el cliente y el punto de acceso comparten información de clave común que pueden utilizar para cifrar y descifrar el tráfico de WLAN que se desplaza entre ellos.
Cuando se utiliza WEP dinámica para cifrar el tráfico, las claves maestras deben cambiarse periódicamente para evitar ataques de recuperación de claves WEP. El servidor RADIUS realiza este proceso de forma regular, lo que obliga al cliente a repetir la autenticación y generar un conjunto de claves nuevo.
Si se utiliza WPA para proteger la comunicación, la información de la clave maestra se usa para derivar las claves de cifrado de datos, que cambian para cada paquete transmitido. WPA no necesita exigir la repetición frecuente de la autenticación para garantizar la seguridad de las claves.
A continuación, el punto de acceso establece la conexión de WLAN del cliente con la LAN interna, lo que ofrece al cliente un acceso sin restricciones a los sistemas de la red interna. Ahora, el tráfico transmitido entre el cliente y el punto de acceso está cifrado.
Si el cliente requiere una dirección IP, puede solicitar una concesión del protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) de un servidor en la LAN. Tras la asignación de la dirección IP, el cliente puede empezar a intercambiar información con los sistemas en el resto de la red de forma normal.
La figura siguiente muestra este proceso en más detalle.
Figura 3.2 Proceso de acceso de 802.1X EAP-TLS
El diagrama muestra los componentes individuales de forma más detallada. En secciones posteriores de este capítulo regresaremos a este diagrama con explicaciones sobre diferentes aspectos del mismo. Por el momento, recuerde los subcomponentes del servicio de autenticación: la entidad emisora de certificados (CA), el directorio y el servidor RADIUS. Si bien conceptualmente estos subcomponentes llevan a cabo un conjunto de tareas relativamente simples, para hacerlo de manera segura, escalable, administrable y fiable, necesitan una infraestructura auxiliar muy sofisticada. La mayor parte de las tareas de planeamiento, implementación y administración requeridas para ello se explican con detalle en capítulos posteriores de esta guía.
Criterios de diseño de soluciones
Una vez descritos los conceptos básicos de la solución, deben analizarse sus principales criterios de diseño. Éstos proporcionarán las pautas con las que el concepto de la solución se transformará en un diseño que pueda implementarse en una situación real.
Los criterios de diseño se han tomado de los requisitos de una organización típica en proceso de implementación de esta solución. Las secciones siguientes describen esta organización y sus principales requisitos técnicos.
Organización de destino
La descripción de la organización en esta sección sólo tiene la finalidad de proporcionar un contexto para los criterios de diseño. Al evaluar la utilidad de esta solución para su organización, procure centrarse en averiguar si los criterios de diseño pueden serle de utilidad, en lugar de intentar descubrir si su organización es exactamente igual a la que describimos aquí.
Es posible que la organización de destino haya implementado una WLAN en algunas ubicaciones para reducir los costos de infraestructura de la red y aumentar la movilidad y productividad del personal. La organización tiene una idea clara de sus necesidades de seguridad y ya ha implementado varias tecnologías para mejorar la seguridad de TI, por ejemplo, la autenticación de dominios, servidores de seguridad de Internet, programas de detección de virus y una solución VPN o de acceso remoto. Probablemente, tendrá planes a largo plazo para utilizar otras aplicaciones de alta seguridad, como el cifrado de archivos y el correo electrónico seguro.
El diseño de red lógico / físico simplificado de esta organización podría ser similar al definido en el diagrama siguiente:
Figura 3.3 Esquema del diseño físico y de red de la organización de destino
Aunque la figura solamente incluye una oficina grande y una pequeña remota, en realidad podría haber varias de cada tipo. En virtud de la claridad, sólo se muestran algunos servidores y clientes. Este número reducido de hosts no tiene por qué ser representativo del tamaño de la organización.
Dentro de ciertos límites, el tamaño de la organización de destino tiene un efecto relativamente menor en los criterios de diseño de la solución. En el extremo inferior de la escala, es posible que la oficina central cuente con varios cientos de usuarios que trabajan con sucursales que incluyen a decenas de empleados. En el extremo superior de la escala, es posible que la oficina central tenga varios miles de empleados y las sucursales varios cientos. En ambos extremos de la escala, las organizaciones también suelen contar con oficinas más pequeñas y una cantidad menor de empleados.
Requisitos de la organización
Los requisitos siguientes suelen aplicarse al tipo de organización descrita en este escenario:
la organización debe mejorar la seguridad de la WLAN para eliminar o reducir considerablemente las amenazas siguientes:
Intrusos que intercepten transmisiones de datos en la WLAN.
Intrusos que intercepten y modifiquen transmisiones de datos en la WLAN.
Intrusos u otros usuarios no autorizados que se conecten a la WLAN e introduzcan virus u otro tipo de código hostil en la red interna.
ataques de denegación de servicio a nivel de la red (en lugar de a nivel de radio).
intrusos que utilizan la WLAN corporativa para obtener acceso a Internet.
las medidas de seguridad no deben tener un impacto negativo en la capacidad de uso de la red y no deben dar lugar a un incremento significativo de las llamadas al servicio de asistencia.
Los costos de implementación y administración continua deben ser lo suficientemente bajos como para ser justificables aunque solamente utilicen la solución de WLAN unos pocos usuarios (menos del 10% del personal).
El diseño debe ser compatible con gran variedad de clientes y dispositivos.
Adicionalmente, suelen existir otros requisitos técnicos de naturaleza general:
resistencia a errores de componente individual.
posibilidad de escalabilidad para soportar niveles de uso superiores en el futuro, posiblemente de más del 100% del personal existente. El costo de la provisión de compatibilidad con números de usuarios cada vez mayores debería ser mínimo o, al menos, lo será en proporción a la ampliación requerida.
posibilidad de reutilización de los componentes, siempre que sea posible. La solución debe reutilizar la infraestructura existente y los proyectos futuros deben poder reutilizar los nuevos componentes introducidos por la solución.
la infraestructura de administración y supervisión existente debería poder acomodar la nueva solución sin dificultad.
capacidad de recuperación en caso de errores graves (por ejemplo, mediante la restauración de copias de seguridad en hardware alternativo).
cumplimiento de los protocolos y formatos de los estándares del sector. Donde no existan normas actuales, la solución debería instaurarse según estándares futuros.
seguridad sólida (incluyendo una renovación regular) de las credenciales y las claves utilizadas en la solución.
información de auditoría completa para la inscripción de usuarios y el acceso de clientes a la red.
Criterios de diseño de soluciones
A partir de estos requisitos, pueden determinarse los criterios de compatibilidad con el diseño de la solución en la tabla siguiente.
Tabla 3.1: Criterios de diseño de la solución
Factor de diseño | Criterios |
---|---|
Seguridad | –autenticación sólida de los clientes inalámbricos. –control de acceso que solamente permita el acceso de red a clientes autorizados. –cifrado eficaz del tráfico de red inalámbrica. –administración segura de las claves de cifrado. –resistencia a ataques de denegación de servicio. |
Escalabilidad | Diseño básico con escalabilidad ascendente y descendente para abarcar un amplio espectro de tamaños de organización |
–Número mínimo/máximo de usuarios admitidos | –de 500 a 15000 (o más) usuarios de WLAN. –de 500 a 15000 (o más) usuarios de certificados. |
–Número de sitios admitidos | –múltiples sitios grandes, con controladores de dominio de autenticación locales y servicio de autenticación de Internet (IAS, Internet Authentication Service) de Microsoft, admitidos con resistencia a errores de red de área extensa (WAN, Wide Area Network). –múltiples sitios pequeños admitidos sin resistencia a errores de WAN. |
Reutilización de componentes (uso de la infraestructura existente) | Utilización de Active Directory, servicios de red y clientes con Microsoft Windows® XP |
Reutilización de componentes (capacidad de uso por parte de aplicaciones futuras) | –compatibilidad con otras aplicaciones de acceso a la red (acceso a red por cable 802.1X y VPN) mediante la infraestructura de autenticación. –compatibilidad con una amplia variedad de aplicaciones, como el sistema de archivos cifrados (EFS, Encrypting File System) y VPN, mediante PKI. |
Disponibilidad | Resistencia a errores de componentes individuales o de vínculo de red |
Extensibilidad | –extensible para admitir capacidad y normas futuras (por ejemplo, 802.11i, WPA y 802.11a para WLAN). –infraestructura de servicios de Certificate Server extensible para admitir la mayoría de los usos comunes de certificados de claves públicas (correo electrónico seguro, inicio de sesión con tarjeta inteligente, firma de código y Seguridad de servicio Web, entre otros). |
Capacidad de administración | Integración con las soluciones de administración corporativa existentes (incluye la supervisión del sistema y del servicio, la creación de copias de seguridad, la administración de la configuración, etc.) |
Estructura de la organización de TI | Favorece las TI centralizadas (departamento con un mínimo de cinco empleados y, normalmente, con 20 o 30 empleados de TI) |
Cumplimiento de las normas | Cumplimiento de los principales estándares actuales y oferta de una ruta de migración clara a futuras normas importantes |