More blogs about wifi wimax mesh.

domingo, enero 29, 2006

Repasando novedades en seguridad WiFi

Acabo de leer un artículo detallando las diferencias entre ciertos estándares y algoritmos de cifrado usados en redes WiFi de cualquier tipo y me ha parecido interesante hacer un repaso rápido por los "grandes clásicos".

La 1ª ola vino con WEP (Wired Equivalency Privacy), el básico algoritmo de cifrado. Fue "roto" en 2001 por Borisov y Fluhrer, cuando empleaba claves de 128 bit. WEP se vuelve más complejo cuanto mayor es el cifrado (63 / 128 / 256 bits), pero es cuestión de tiempo romperlo. Su arquitectura es mala.

La 2ª ola se produjo con la entrada del WPA (WiFi Protected Access), una evolución del anterior. Aunque sigue basado en cifrado RC4 viene con soporte TKIP (Temporal Key Integrity Protocol), asegurando así la confidencialidad y la integridad de la información. TKIP produce cambios de claves muy rápidos, por lo que es MUY complicado pillar las tramas necesarias para desencriptar unos paquetes y hacer todo esto ANTES que se produzca la rotación a una nueva clave. No es imposible, pero sí muy, muy difícil.

Quizás la 3ª ola la tengamos ahora con el WPA2, que sí supone un salto respecto a los anteriores, ya que utiliza un métido de encriptación diferente al RC4 llamado CCMP (Counter-Mode with CBC-MAC Protocol), basado en AES, algoritmo mucho más potente que el anterior.

Con WPA2 podemos asegurar la confidencialidad y la integridad de la información enviada a través de la red WiFi, sin necesidad de más cosas. Este hecho es muy importante para aplastar el antiguo mito de que "las redes WiFi no son seguras".

En una instalación de Red Mallada o Mesh, los sistemas de seguridad que se utilizan son muy superiores a los anteriores (simpre y cuando el servicio que vaya por detrás lo demande). Por ejemplo, para un municipio que tenga cámaras o equipos de la policía local conectados a la malla, se utilizan mecanismos más avanzados: AES entre nodos, y una combinación de 802.1x contra varios Radius y WPA-PSK contra el usuario final, todo ello con un SSID infinito e impronunciable en ninguna lengua conocida del planeta. Ello hace que sea físicamente imposible -OJO, no me gusta usar esta palabra- de romper.

Más info interesante aquí.