30 de junio de 2018

Ahora... WPA3

Cuando se publicó inicialmente el protocolo IEEE 802.11 para la implementación de redes inalámbricas se incluyó un método de aseguramiento de estas redes llamado WEP.
Sin embargo este mecanismo previsto inicialmente fue rápidamente roto generando de esta manera la necesidad de nuevos mecanismos de seguridad que permitan el desarrollo de sistemas inalámbricos con un marco de seguridad aceptable para los requerimientos de la industria.

 En este contexto la Alianza WiFi (que no es un organismo de estandarización sino una organización orientada a la promoción de tecnologías 802.11) presentó en el año 2003 su propuesta, WPA.
De esta manera dio inicio a una familia de soluciones de seguridad para redes 802.11 que ahora presenta su tercera revisión: WPA3.

 WPA considera 2 soluciones básicas que se han conservado a través de todas sus versiones:
  • WPA Personal
    Tambien conocido como WPA-PSK.
    Diseñado para pequeños despliegues (hogar y pequeñas oficinas) ya que al no requerir la presencia de un servidor de autenticación su implementación es más simple.
    Es considerado más débil como método de seguridad y consiguientemente inadecuado para despliegues de tipo corporativo o industrial.
  • WPA Enterprise
    En algunos casos denominado WPA 802.1X ya que implementa como método de autenticación de usuarios en el acceso IEEE 802.1X con la implementación de servidores RADIUS. Esto hace la implementación un poco más compleja pero asegura métodos más robustos de protección para la red inalámbrica.
La historia de WPA
Una vez violada la propuesta de seguridad inicial de IEEE 802.11 diversos fabricantes desarrollaron alternativas propietarias que buscaban dar una respuesta a los requerimientos de las redes corporativas. Sin embargo las soluciones propietarias no cubrían los requerimientos de interoperabilidad o compatibilidad que son indispensables para el despliegue de estas redes.
De allí que la Alianza WiFi asumiera el desafío de elaborar mecanismos de seguridad más robustos que dieran respuesta a la demanda de la industria.
No solo se trató de generar una propuesta de seguridad sino también de asegurar y certificar la compatibilidad de la implementación de diferentes fabricantes, superando así la limitación de las propuestas propietarias presentadas hasta ese momento.
  • 2003 - WPA
    La Alianza WiFi presenta WPA.
    Desde su nacimiento con 2 modalidades básicas: Personal y Enterprise.
    Basado en los borradores de IEEE 802.11i que estaba en desarrollo en ese momento, incorporó nuevos mecanismos de autenticación, mejoró el cifrado incorporando TKIP e incorporó herramientas de control de integridad de la información. Su implementación se pudo hacer con una actualización de software sobre el hardware ya existente.
  • 2004 - WPA2
    Una vez publicado IEEE 802.11i en el mes de junio de ese año la Alianza WiFi presentó WPA2, que algunos consideran como la versión certificada o comercial del estándar.
    Implementa las tecnologías especificadas en el estándar 802.11i con lo que hace que el cifrado de datos utilice AES.
    Desde el año 2006 WPA2 ha sido obligatorio para todos los dispositivos que cubren los requerimientos de certificación de la Alianza WiFi.
  • 2018 - WPA3
    Ya en enero de este año la Alianza WiFi anunció el lanzamiento de una nueva versión de su propuesta de seguridad, con importantes mejoras tanto en su solución personal como enterprise.
WPA3
Está desarrollado sobre la base de 2 ideas rectoras: brindar un mecanismo de seguridad más robusto que sostenga el crecimiento de las redes inalámbricas; facilitar para el usuario la implementación de políticas de seguridad robusta para asegurar su utilización.
  • WPA3 Personal
    Se mejora particularmente la protección en la clave de autenticación.
    Para esto implementa SAE en reemplazo de PSK. Este algoritmo es más resistente a ataques de diccionario lo que hace más difícil los intentos de "adivinar" la clave de autenticación del sistema.
    Esto permite que los usuarios domiciliarios puedan seleccionar claves que sean más simples de recordar con una protección más robusta y sin complicaciones adicionales.
  • WPA3 Enterprise
    Incorpora algoritmos de seguridad más robustos para alinearse con los estándares de seguridad requeridos por la industria.
    Manteniendo los mecanismos ya conocidos de autenticación y cifrado de WPA2 se incorporan nuevos algoritmos para robustecer la protección:
    GCMP-256 como protocolo de autenticación.
    HMAC-SHA384 para la derivación y confirmación de llaves.
    Intercambio ECDH y ECDSA de 384 bits para el establecimiento de llaves y la autenticación.
    BIP-GMAC-256 para una protección robusta de las tramas de gestión de la red 802.11.
¿Cuáles son las novedades entonces?
  • Se mejora la autenticación de la implementación WPA-Personal con la introducción de SAE.
  • Se fortalecen los procedimientos de intercambio de autenticación en WPA-Enterprise.
  • Se fortalece el cifrado de datos con una serie de mecanismos de última generación que dan un marco de cifrado equivalente a 192 bits.
  • Se introduce como obligatoria la protección de las tramas de gestión de las redes 802.11 (PMF) que hasta el momento no estaba contemplada en los esquemas WPA.
Respecto de su implementación:
  • WPA2 continúa siendo obligatorio para todos los dispositivos certificados por la Alianza WiFi.
  • Los nuevos dispositivos que busquen certificación de la Alianza WiFi a partir de diciembre de 2018 deberán soportar también WPA3 obligatoriamente.
  • Se asegura la compatibilidad de WPA3 con WPA2 con un modo de transición, por lo que los dispositivos certificados WPA3 podrán trabajar con dispositivos WPA2.
  • La implementación de WPA3 no exige por sí misma nuevo hardware, por lo que se puede incorporar con una actualización de software.
    Sin embargo, dado que se utilizan algoritmos de cifrado avanzados, los requerimientos de procesamiento son mayores por lo que diferentes fabricantes desplegarán diferentes estrategias. Es posible que en algunos casos WPA3 sólo sea soportado en dispositivos nuevos.
  • La implementación de PMF es obligatoria en los nuevos dispositivos que se certifiquen.
Tengamos presente que para poder implementar WPA3 es necesario que tanto la infraestructura inalámbrica (access points, controladores) como los clientes inalámbricos de nuestras laptops, smartphones, tablets o cámaras soporten la nueva implementación. Por este motivo también es muy importante la introducción del modo de transición para asegurar que los terminales que sólo soportan WPA2 puedan operar en entornos que implementan WPA3.


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


Publicado por
Labels: , , , ,

No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.

Suscribirse a: Comentarios de la entrada (Atom)