La autenticación basada en certificados de Wi-Fi (CBA) utiliza certificados digitales para crear una identidad en cualquier red Wi-Fi determinada. Esta forma de CBA ofrece un nivel de seguridad mucho mayor que los métodos de autenticación Wi-Fi más tradicionales, ya que en gran medida se basan en contraseñas o credenciales compartidas… y todos sabemos que las contraseñas son la forma de autenticación menos segura por ahí. En este blog, repasaremos qué son EAP-TLS y Wi-Fi CBA y por qué su organización debería emplearlos.
EAP (Protocolo de autenticación extensible) es un protocolo de autenticación de acceso a red flexible desarrollado por Internet Engineering Task Force (IETF), como se detalla en RFC3748. EAP es particularmente útil en escenarios donde el Protocolo de Internet (IP) no está disponible y ofrece un medio seguro para transmitir datos de identificación para la autenticación de la red.
Originalmente, EAP se creó para usarse con el protocolo punto a punto (PPP), destinado a establecer una conexión directa entre dos dispositivos. Inicialmente, PPP tenía dos métodos de autenticación: Protocolo de autenticación de contraseña (PAP) y Protocolo de autenticación por desafío mutuo (CHAP). A medida que crecía la necesidad de métodos de autenticación más diversos, se desarrolló EAP para mejorar las capacidades de PPP. EAP funciona dentro del marco de autenticación de PPP y admite una gama más amplia de mecanismos de autenticación más allá de PAP y CHAP. Estos incluyen métodos como Kerberos, autenticación basada en certificados y clave pública, así como opciones basadas en hardware como dongles, tarjetas inteligentes y tokens USB.
Al desarrollar el estándar 802.1x, el IETF decidió utilizar el marco EAP existente de PPP en lugar de crear nuevos métodos de autenticación; por lo tanto, 802.1x adoptó EAP para la autenticación, particularmente al definir cómo se transmiten los paquetes EAP a través de LAN, incluidas configuraciones tanto cableadas como inalámbricas. 802.1x, que gobierna el control de acceso a la red basado en la autenticación, emplea EAP para el proceso de autenticación real. Dentro de este marco, 802.1x utiliza EAP para administrar los métodos de autenticación. Cuando un cliente solicita acceso a la red, ya sea a través de una conexión por cable o una red inalámbrica, el conmutador o punto de acceso inalámbrico respectivo solicita al cliente las credenciales mediante una solicitud EAP.
EAP delinea varios métodos de autenticación, conocidos como métodos EAP (nombre inteligente, lo sabemos), que se adaptan a diferentes tipos de credenciales como nombres de usuario y contraseñas, certificados digitales o datos biométricos. En redes inalámbricas, los métodos EAP comunes incluyen PEAP-MSCHAPv2, EAP-TTLS/PAP y EAP-TLS. Para las organizaciones que utilizan WPA2-Enterprise con autenticación basada en contraseña, normalmente se emplean estos métodos; sin embargo, este artículo se centra en EAP-TLS debido a la ya mencionada falta de dependencia de contraseñas y uso compartido de credenciales. EAP-TLS es reconocido como el protocolo de autenticación más sólido para redes 802.1x y se basa en certificados para la autenticación Wi-Fi.
Para configurar la autenticación Wi-Fi basada en certificados EAP-TLS a gran escala en su organización, se necesitan varios componentes clave más allá del cliente (solicitante) y el punto de acceso inalámbrico (negociador). Éstas incluyen:
Una PKI interna o autoridad de certificación: Esencial para EAP-TLS, que se basa en CBA, una plataforma de autoridad de certificación sofisticada (como EZCA de Keytos) es crucial para la emisión y gestión automatizadas de certificados configurados correctamente para dispositivos verificados.
Servicio MDM: Aunque es opcional, es muy beneficioso. Una plataforma de administración de dispositivos como Intune o ManageEngine simplifica el despliegue de certificados y la correcta configuración de Wi-Fi, evitando confusiones a los usuarios finales.
El flujo de trabajo de autenticación basada en certificados con EAP-TLS para WPA2/WPA3-Enterprise Wi-Fi normalmente implica estos pasos:
1) Inscripción del dispositivo con el MDM.
2) Instalación MDM del certificado CA raíz en el dispositivo, junto con un perfil y un SCEP o Carga útil ACME, que indica al dispositivo que solicite un certificado de dispositivo cliente para Wi-Fi a la autoridad certificadora.
3) La verificación por parte de la CA y la emisión del certificado de cliente al dispositivo.
4) La autenticación del dispositivo del servidor RADIUS a través del Punto de Acceso, confirmando que se está conectando a un servidor confiable.
5) La verificación del dispositivo del certificado del servidor RADIUS contra una raíz confiable, evitando la conexión a servidores no reconocidos y protegiendo contra ataques.
6) El uso por parte del dispositivo de su certificado de cliente para solicitar acceso a la red a través del Punto de Acceso, que luego se reenvía al servidor RADIUS.
7) La verificación por parte del servidor RADIUS de la autenticidad del certificado y su emisión por una CA reconocida, comprobando también su caducidad o revocación.
8) El servidor RADIUS otorga acceso a Wi-Fi a través de un mensaje de aceptación al Punto de Acceso o lo niega si falla la verificación.
Este riguroso proceso garantiza que el acceso a la red solo se conceda a usuarios autenticados y autorizados con dispositivos seguros y compatibles que posean certificados válidos, lo que aumenta significativamente la seguridad de la red. Para los usuarios, todo este procedimiento es sencillo y fluido.
EAP-TLS CBA es ampliamente reconocido como el método más seguro para la autenticación de red en entornos Wi-Fi empresariales WPA2 y WPA3, especialmente en comparación con los métodos tradicionales de autenticación Wi-Fi basados en contraseña. Esto se debe a varias ventajas:
A diferencia de las contraseñas, que son muy vulnerables al robo y a menudo contribuyen a las violaciones de la red, la autenticación basada en certificados ofrece una alternativa más segura. Las contraseñas pueden ser difíciles de recordar y requieren actualizaciones periódicas, pero los certificados eliminan estos problemas. Son una forma de posesión digital, que no depende de la memorización ni de cambios frecuentes.
Este enfoque no sólo agiliza el acceso de los usuarios sino que también ofrece resistencia al phishing, ya que las claves privadas de los certificados nunca se comparten.
Los métodos EAP tradicionales pueden implicar hasta 22 pasos desde la conexión inicial hasta la autorización; EAP-TLS simplifica este proceso a solo 4 pasos, acelerando significativamente la autorización y el acceso a la red tanto para las conexiones por primera vez como cuando los dispositivos se desplazan dentro de una red Wi-Fi. Esta reducción de pasos no sólo mejora las capacidades de roaming y reduce la latencia, sino que también proporciona una experiencia más fluida y eficiente para las redes que administran una gran cantidad de dispositivos.
EAP-TLS, que se centra en los certificados, evita los problemas asociados con los cambios de contraseña. La gestión eficaz de certificados por parte de una CA competente puede automatizar y simplificar el proceso, ofreciendo una solución sin problemas para las organizaciones.
La autenticación EAP-TLS, mediante el uso de certificados digitales, mejora el control y la visibilidad de la red. Estos certificados contienen información contextual importante, como tipos de usuarios, propiedad del dispositivo, especificaciones, registros de autorización, roles de usuario y datos situaciones. Esta gran cantidad de información refuerza la seguridad de la red y facilita una administración de red más eficaz.
