El aspecto más importante de cualquier configuración de Internet en 2019 es su red inalámbrica. Si bien las conexiones por cable son más rápidas y, a menudo, más seguras, con la letanía de dispositivos que se encuentran en su casa que requieren una señal inalámbrica. Desde televisores inteligentes y parlantes hasta su teléfono inteligente y tableta, una conexión inalámbrica es simplemente imprescindible en 2019.
Por supuesto, cuando se trata de internet inalámbrico, tendrá que lidiar con muchos términos de seguridad diferentes con los que quizás no esté familiarizado, lo que generará mucha confusión en torno al espacio de redes inalámbricas. Hay siglas en todas partes y un montón de opciones, y la mayoría de ellas tratan directamente con protocolos de seguridad. Todo esto significa que la seguridad de su red está directamente en riesgo a menos que sepa exactamente lo que está haciendo.
Entonces, para este artículo, veremos la seguridad de WPA2 Enterprise, cómo funciona y si la necesita. Desde la historia de WPA como protocolo de seguridad hasta cómo WPA2 Enterprise realmente puede mejorar la seguridad de su hogar, esta es su guía para configurar WPA2 Enterprise en su red.
¿Qué es el WPA2?
En respuesta al desastre de seguridad que fue WEP, WiFi Alliance desarrolló WPA (WiFi Protected Access). Dado que WPA fue una respuesta directa a WEP, resolvió muchos de los muchos problemas de WEP. WPA implementó TKIP (Protocolo de integridad de clave temporal), que mejoró enormemente el cifrado inalámbrico al generar dinámicamente claves para cada paquete transmitido. WPA también incluye comprobaciones para garantizar que los datos transmitidos no hayan sido alterados.
Si bien WPA era bueno, también tiene sus defectos. La mayoría de ellos se originaron del uso de TKIP. TKIP fue una mejora sobre el cifrado de WEP, pero aún es explotable. Entonces, la Wi-Fi Alliance introdujo WPA2 con cifrado obligatorio AES (Advanced Encryption Standard). AES es un estándar de cifrado más fuerte con soporte para cifrado de 256 bits. A partir de ahora, WPA2 con AES es la opción más segura.
¿Cuál es la diferencia entre Enterprise y Personal?
Ahora, todavía queda esa cuestión de WPA2 Enterprise. Después de todo, probablemente es por eso que hizo clic en este artículo en primer lugar. Si ha examinado los ajustes de configuración de un enrutador inalámbrico fabricado después de 2006, es posible que haya notado que hay dos opciones para WPA2. En la mayoría de los enrutadores, puede encontrar uno etiquetado como “Enterprise” y el otro marcado como “Personal”. Ambas opciones son WPA2 y usan el mismo cifrado AES. La diferencia entre ellos proviene de cómo manejan la conexión de los usuarios a la red.
WPA2 Personal también utiliza la clave precompartida WPA2-PSK o WPA2 porque administra las conexiones a la red con una contraseña que ya se ha compartido con la persona que se conecta. Esto funciona bien para redes domésticas pequeñas porque generalmente puede confiar en todos en la red, y no son un objetivo para intrusos potenciales. Lo más probable es que si se ha conectado a WiFi en la casa de un amigo o ha configurado su propia red inalámbrica, se configuró con WPA2-PSK.
WPA2 Enterprise obviamente se centra más en los usuarios comerciales. En lugar de usar una sola contraseña para autenticar el acceso, WPA2 Enterprise se basa en un servidor RADIUS y una base de datos de credenciales de cliente separadas para la autenticación. Esto es excelente para las empresas porque tienen los recursos para configurar un servidor para la autenticación. Las empresas también tienen mayores necesidades de seguridad. Una empresa también puede recuperarse rápidamente en caso de pérdida o robo de un dispositivo asignando a cada usuario su propia información de inicio de sesión. Además, permite que una empresa se proteja contra empleados descontentos que quieran dañar su red.
¿Cuáles son las ventajas de WPA2 Enterprise?
Las ventajas de WPA2 Enterprise no son exactamente ventajas para todos. Si solo está buscando configurar una red doméstica simple con poca molestia o mantenimiento, WPA2 Enterprise no será una buena solución para usted. Es casi lo contrario de lo que quieres. Sin embargo, si está ejecutando un negocio, o está buscando seguridad detallada en su red doméstica, WPA2 Enterprise tiene varias características que lo convierten en un excelente candidato.
WPA2 Enterprise hace uso de una base de datos. Si bien puede que no sea un gran problema cuando solo se trata de un puñado de usuarios, tener el poder y la utilidad de una base de datos puede ser crucial cuando se trabaja con una gran cantidad de conexiones. Permite a los administradores de red rastrear, administrar y manipular datos fácilmente con herramientas con las que están familiarizados de manera eficiente.
El uso de una base de datos también ayuda a mejorar otra característica clave de las redes empresariales WPA2, la capacidad de deshabilitar las credenciales de los usuarios. Un administrador de red puede deshabilitar fácilmente la cuenta de un usuario en caso de que un dispositivo se pierda, sea robado o ese usuario abandone la empresa. Las credenciales de inicio de sesión individuales también ayudan a contener amenazas potenciales al simplificar la eliminación de cualquier máquina comprometida de la red.
WPA2 Enterprise elimina la necesidad de cambiar la información de inicio de sesión cuando un administrador elimina a un usuario de la red o una sola máquina se ve comprometida. Sería un dolor enorme para el departamento de TI de una gran corporación tener que volver a conectar cada dispositivo en su red con un nuevo inicio de sesión cada vez que alguien abandona la empresa. Eso simplemente no tiene sentido.
El uso de claves de autenticación de usuarios individuales también divide en compartimientos la red, restringiendo a qué datos de red tiene acceso cada usuario. En una red WPA2-PSK, cada usuario puede ver los datos de la red de cualquier otro usuario. Esto hace que sea muy fácil para un intruso o un posible atacante obtener acceso a más información en la red y causar más daños. Para las redes empresariales, esto no es un problema, gracias a las claves individuales.
Otra gran característica de WPA2 Enterprise es la capacidad de usar certificados para la autenticación. Las contraseñas son problemáticas por muchas razones, entre ellas su vulnerabilidad a los ataques de diccionario. Para empeorar las cosas, es casi imposible confiar en sus usuarios para crear contraseñas seguras. Es casi como si la gente eligiera instintivamente los de basura cada vez. Este es realmente el mayor riesgo para las redes WPA2-PSK. Los certificados son casi como una póliza de seguro contra contraseñas malas. Incluso si un atacante puede adivinar la horrible contraseña de un usuario, no podrá iniciar sesión sin el certificado de ese usuario. Los certificados proporcionan otra capa de protección a las redes empresariales.
¿Cómo implementar una red empresarial WPA2?
Es absolutamente imposible abarcar todas las configuraciones y combinaciones de circunstancias posibles que pueden intervenir para configurar una red WPA2 Enterprise WiFi. Nadie tendrá el mismo hardware y software de red, y nadie tendrá los mismos clientes. Sin embargo, hay pasos básicos que los administradores de red pueden usar en cada configuración de red.
Antes de profundizar en la red, configure su base de datos de usuarios. Puede parecer excesivo, pero MySQL o un clon compatible como MariaDB es la mejor opción. Puede configurar su base de datos en su propia máquina, en un servidor de base de datos existente o en la misma máquina que el servidor RADIUS. El lugar que elija debe depender de cuán grande será la base de datos y de cómo planea administrarla. MySQL ha demostrado ser rápido y confiable. También es de código abierto y es compatible con cualquier plataforma de servidor que elija.
El servidor RADIUS está en el corazón de WPA2 Enterprise. Es el factor principal que diferencia las redes empresariales de las personales. RADIUS es responsable de administrar las conexiones y la autenticación. También coordina todo lo que pasa entre el enrutador, la base de datos y los clientes. Hay varias opciones para configurar un servidor RADIUS. En algunos casos, un enrutador tiene RADIUS incorporado. También hay una serie de opciones comerciales para elegir. FreeRADIUS es un excelente servidor RADIUS de código abierto que se puede implementar en servidores basados en Linux, Windows y Mac. En cualquier caso, tendrá que configurar su servidor RADIUS para conectarse y utilizar su base de datos MySQL.
Necesitarás algunas llaves. Las claves de cifrado son obviamente un componente importante en toda esta ecuación. Una vez más, hay varias maneras de acercarse a generar sus claves y establecer una autoridad de certificación. En casi cualquier sistema operativo, OpenSSL es una gran opción. OpenSSL también es un programa de código abierto que es compatible con casi cualquier plataforma.
Con ambos servidores configurados y en ejecución y sus claves generadas, finalmente puede configurar su enrutador. Cada enrutador es diferente, por lo que no es fácil entrar en detalles aquí. Solo asegúrese de cambiar la configuración inalámbrica de su enrutador a WPA2 Enterprise con cifrado AES. También deberá proporcionar a su enrutador información para conectarse a su servidor RADIUS.
Finalmente, puede comenzar a conectar clientes. Cree credenciales de cliente e intercambie claves. Conectar a cada cliente será diferente. Cada sistema operativo y dispositivo maneja la conexión a redes y la administración de conexiones de manera diferente. En términos generales, necesitará sus certificados y la información de inicio de sesión que ya ha creado. Asegúrese de configurar los dispositivos del cliente para que se conecten automáticamente para ahorrar futuros problemas.
Entonces, ¿cambio?
Dependiendo de quién es usted y qué necesita que haga su red, la conmutación puede ser una buena idea. Si su red está configurada para usar WEP o WPA actualmente, ¡cambie a WPA2 ahora! No esperes Simplemente hazlo. Si está utilizando WPA2 Personal y está pensando en saltar a la empresa, no está tan claro.
No cambie a WPA2 Enterprise si es un usuario doméstico y no sabe nada sobre bases de datos o servidores en ejecución. Acabarás frustrado con una red rota. Apéguese a WPA2 Personal y seleccione una contraseña segura. Serás mucho más feliz con eso.
Si está ejecutando un negocio y tiene empleados, cambiar a WiFi empresarial puede ser el movimiento adecuado para usted. Solo asegúrese de estar preparado y tener todas las partes y piezas en orden antes de dar el salto. La configuración adecuada es tan importante para la seguridad como elegir el cifrado y el estándar WiFi adecuados.
