Saltar al contenido
Redes y Software

Descripción General de Wireless Protected Access 2 (WPA2)

por arnaldo
waP

Para facilitar nuestro acceso al ciberespacio las conexiones a internet han evolucionado desde las redes cableadas hasta las inalámbricas, facilitando así la portabilidad y accesibilidad desde cualquier sitio al mundo digital. Pero como todos los procesos digitales o físicos deben llevar de la mano ante todo la seguridad de los datos que se manejen, pues al primer descuido podemos dejar expuestos nuestros intereses.

A esto tampoco escapan las conexiones de red inalámbricas por lo que requieren de tecnologías de seguridad de alto nivel habilitadas en nuestros dispositivos móviles, para de esta forma evitar cualquier contratiempo. En el siguiente artículo estaremos hablando de una de las tecnologías de seguridad de red inalámbricas WIFI comúnmente utilizada WPA2. 

Tabla de contenidos

Una guía de configuración de WPA2 y cómo funciona

WPA2 o Wi-Fi Protected Access 2, conocido también como IEEE 802.11i. Se trata de una enmienda en la seguridad del estándar 802.11 (WPA). Establece medidas estándares de seguridad para redes inalámbricas. Además, WPA2 termina de reemplazar por completo el sistema de seguridad WEP, que carecía de la seguridad suficiente.

Mejora notoriamente el WPA introduciendo el CCMP que significa Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, una nueva forma de encriptación basada en cifrado por bloques AES con gran seguridad, quien emplea el algoritmo de seguridad AES (Advanced Encryption Standard). A diferencia de TKIP, la integridad de la clave de administración y mensaje es manejada por un único componente creado alrededor de AES usando una clave de 128 bits, un bloque de 128 bits y 10 rondas de codificación por el estándar FIPS 197.

El uso de WPA2 da un extra de seguridad a los usuarios con Wifi, así los usuarios autorizados pueden acceder a datos compartidos en la red. Actualmente son dos las versiones disponibles: WPA2-Personal y WPA2-Enterprise. La primera otorga seguridad a través de contraseña y la segunda autentificando a los usuarios a través de un servidor. ​

Configurar los Ajustes de Seguridad

Cuando agrega un SSID, puede configurar los ajustes de seguridad que controlan cómo los clientes inalámbricos deben conectarse a sus dispositivos AP. De manera predeterminada, se establece el modo de seguridad inalámbrica solamente para cifrar las transmisiones de la LAN inalámbrica entre las computadoras y los dispositivos AP, y para prevenir el acceso no autorizado al dispositivo AP.

Para proteger la privacidad, puede utilizar otros mecanismos de seguridad de LAN, como protección de contraseña, túneles VPN y autenticación de usuario.

Claves Precompartidas

Los métodos de Acceso Protegido Wi-Fi WPA (PSK) y WPA2 (PSK) utilizan claves precompartidas para autenticación. Cuando elige uno de estos métodos, configura una clave precompartida que todos los dispositivos inalámbricos deben utilizar para autenticar el dispositivo AP.

Los dispositivos AP son compatibles con tres configuraciones de autenticación inalámbricas que utilizan funciones precompartidas:

  • WPA solamente (PSK) — El dispositivo AP acepta conexiones de dispositivos inalámbricos configurados para utilizar WPA con funciones precompartidas.
  • WPA2 solamente (PSK) — El dispositivo AP acepta conexiones de dispositivos inalámbricos configurados para utilizarla con funciones precompartidas. WPA2 implementa la norma 802.11i completa; no funciona con algunas tarjetas de red inalámbricas antiguas.
  • WPA/WPA2 (PSK) — El dispositivo AP acepta conexiones de dispositivos inalámbricos configurados para utilizar WPA o WPA2 con funciones precompartidas.

Configure los ajustes para la seguridad WPA o WPA2 en la pestaña Seguridad cuando edite un SSID

Para configurar los ajustes de seguridad de SSID, desde Fireware Web UI: 

  1. Agregue o edite un SSID.
  2. En la página SSID, seleccione la pestaña Seguridad.
  3. En la lista desplegable Modo de seguridad, seleccione WPA (PSK), WPA2 (PSK) o WPA/WPA2 (PSK).
  4. Ajuste la configuración del WPA o WPA2.

Para configurar los ajustes de seguridad de SSID, desde Policy Manager: 

Para ajustar la configuración del WPA o WPA2:

  1. En la lista desplegable Cifrado, seleccione un método de cifrado:
  • TKIP o AES — Usa ya sea TKIP o AES para encryption (cifrado).
  • AES — Usa solamente AES (Estándar de Encryption (Cifrado) Avanzado) para el cifrado.

Para ajustar la configuración del Enterprise:

  1. En la lista desplegable Modo de Seguridad, seleccione WPA Enterprise, WPA2 Enterprise o WPA/WPA2 Enterprise.
  2. En la lista desplegable Cifrado, seleccione un método de cifrado:
  • TKIP o AES — Usa ya sea TKIP o AES para encryption (cifrado).
  • AES — Usa solamente AES (Estándar de Encryption (Cifrado) Avanzado) para el cifrado.
  1. (Opcional) En el cuadro de texto Intervalo de Actualización de Clave de Grupo, establezca el intervalo de actualización de función de grupo WPA.
    Le recomendamos que use las configuraciones predeterminadas de 3600 segundos.
  2. En el cuadro de texto Servidor RADIUS, ingrese la dirección IP del servidor RADIUS.
  1. En el cuadro de texto Puerto RADIUS, asegúrese de que el número de puerto que el servidor RADIUS utiliza para autenticación sea correcto.
    El número de puerto predeterminado es 1812. Algunos servidores de RADIUS antiguos utilizan el puerto 1645.
  1. En el cuadro de texto Secreto RADIUS, ingrese el secreto compartido entre el dispositivo AP y el servidor RADIUS.
    El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en la configuración SSID tal como está en el servidor RADIUS.

Diferencias entre autenticación de WPA y WPA2 con Enterprise

Puede ser confuso ver las siglas WPA2, WPA porque parecen tan similares que no debería importar cuál elijas para proteger tu red, pero hay diferencias. Debido a que los métodos de autenticación WPA Enterprise y WPA2 Enterprise utilizan el estándar IEEE 802.1X para autenticación de red.

Estos métodos de autenticación utilizan la estructura EAP (Protocolo de Autenticación Extensible) para habilitar la autenticación del usuario a un servidor de autenticación RADIUS externo. Los métodos de autenticación WPA Enterprise y el Enterprise son más seguros que WPA/WPA2 (PSK), ya que los usuarios deben realizar la autenticación con sus propias credenciales en vez de usar una clave compartida.

Para utilizar los métodos de autenticación Enterprise, debe configurar un servidor de autenticación RADIUS externo.

Los dispositivos WatchGuard AP admiten tres métodos de autenticación inalámbricos:

  • WPA Enterprise — El dispositivo AP acepta conexiones de dispositivos inalámbricos configurados para utilizar autenticación WPA Enterprise.
  • WPA2 Enterprise — El dispositivo AP acepta conexiones de dispositivos inalámbricos configurados para utilizar autenticación WPA2 Enterprise. Implementa la norma 802.11i completa; no funciona con algunas tarjetas de red inalámbricas antiguas.
  • WPA/WPA2 Enterprise — El dispositivo AP acepta conexiones de dispositivos inalámbricos configurados para utilizar autenticación WPA Enterprise o WPA2 Enterprise.

Limitaciones de WPA2

Como todo en la vida tiene sus ventajas y desventajas WPA2 no es la excepción, si bien WPS está diseñado para simplificar el proceso de configuración de la seguridad de la red doméstica, las fallas en la forma en que se implementó limitan su utilidad.

Con WPA2 y WPS deshabilitados, un atacante necesita determinar el WPA2 PSK que usan los clientes, lo cual es un proceso que requiere mucho tiempo. Con ambas funciones habilitadas, un atacante solo necesita encontrar el PIN WPS de los clientes para revelar la clave WPA2. Este es un proceso más simple. Los defensores de la seguridad recomiendan mantener WPS deshabilitado por este motivo.

WPA y WPA2 a veces interfieren entre sí si ambos están habilitados en un enrutador al mismo tiempo y pueden causar fallas en la conexión del cliente.

Su uso, reduce el rendimiento de las conexiones de red debido a la carga de procesamiento adicional de cifrado y descifrado. El impacto en el rendimiento de WPA2 suele ser insignificante, especialmente cuando se compara con el mayor riesgo de seguridad de usar WPA o WEP, o sin ningún tipo de cifrado.