2 de enero de 2013

Wi-Fi Protected Setup

Wi-Fi Protected Setup (WPS) es una prestación propuesta por la Alianza Wi-Fi con el objetivo de facilitar la implementación de sistemas de seguridad inalámbrica robustos en entornos de redes hogareñas. No es un estándar ya que no se encuentra definido por un organismo de estandarización; a lo sumo podría ser considerado un estándar de hecho como ocurre con WPA.
Se trata de un protocolo introducido en el año 2007 con el propósito de que usuarios con mínimos conocimientos de las redes inalámbricas puedan implementar WPA2 y agregar nuevos dispositivos a la red existente sin necesidad de utilizar contraseñas extensas o complejas.
La arquitectura
WSP define 3 componentes del sistema:
  • Registrador.
    Dispositivo en el que descansa la autoridad de mantener o revocar las credenciales que dan acceso a la red. Generalmente está integrado en el access point, aunque podría estar separado.
  • Solicitante.
    Dispositivo que desea conectarse a la red inalámbrica.
  • Access Point.
    Actúa como un proxy entre el solicitante y el registrador.
El modelo que habitualmente encontramos en redes hogareñas (aunque hay otros posibles) consta de un access point con capacidades de registrador que configura y enrola una terminal solicitante. De esta manera, la sesión corre sobre un enlace inalámbrico como una intercambio de EAP.
El protocolo
WSP requiere el intercambio de una serie de mensajes EAP que son disparador por una acción del usuario y que posibilitan brindar información descriptiva que el solicitante necesita para conectarse a la red.
Esta información descriptiva es transportada en information element (IE) específicos que se incorporan en los beacons y los mensajes de solicitud y respuesta de asociación. En estos bloques de información se incluyen los métodos de configuración de los dispositivos.
Para iniciar el proceso se requiere alguna intervención de parte del usuario. A partir de allí se intercambian 8 mensajes que, cuando el reconocimiento es exitoso, culminan con un mensaje que termina el proceso.
Procedimientos
Hay por el momento 4 métodos de operación posibles para que un dispositivo terminal se asocie a una red inalámbrica que implementa WSP:
  • Utilizando un PIN.
    (PIN - Personal Identification Number)
    Se trata de un identificador de 8 cifras que se puede obtener de una etiqueta adherida al dispositivo o a través de la interfaz gráfica, y que debe ser ingresado en el access point al que intenta conectarse; o alternativamente, se ingresa el PIN del access point en la terminal que está intentando conectarse.
    Este método debe ser soportado en todo dispositivo certificado como Wi-Fi Protected Setup.
  • Presionando un botón.
    (PBC - Push Button Configuration)
    En este caso el usuario simplemente presiona simultáneamente un botón que puede ser físico (en el hardware) o virtual (en la interfaz gráfica) tanto en el access point como en el dispositivo que desea conectarse a la red inalámbrica.
    Este método es obligatorio también en todos los access points certificados, y opcional en las terminales.
  • Comunicación por proximidad.
    (NFC - Near Field Communications)
    El usuario simplemente coloca el nuevo dispositivo a conectar cerca (hasta aproximadamente 20 cm.) del access point para permitir que ambos dispositivos se comuniquen utilizando tags RFID.
    El soporte de este modo es opcional.
  • Utilizando un USB.
    En este caso el usuario debe utilizar una memoria USB flash para copiar en el cliente nuevo la información necesaria.
    Este método está contemplado en las definiciones pero ya está obsoleto.
WPS permite desarrollar SSIDs que implemetan seguridad WPA2-Personal (o PSK) que utilizan claves WPA pre compartidas de 14 caracteres de longitud, definidos al azar, con un método de configuración simple que no exige al usuario estar recordando e ingresando claves complejas.

En diciembre de 2011 se notificó (Stefan Viehböck y Craig Heffnet) que el método de PIN es vulnerable a ataques de fuerza bruta, por lo que algunos fabricantes han optado por incluir la posibilidad de deshabilitar WPS luego de un número limitado de intentos de ingreso de un PIN válido.
Los productos certificados como WPS por la Alianza Wi-Fi están identificador con un logo específico:

Enlaces de referencia



2 comentarios:

  1. Esto no tiene nada que ver con el tema,es mas una consulta, quiero saber si en los dispositivos cisco existe la posiblidad de realizar un balanceo de conectividad, como lo hace un firewall fortigate, y que dispositivos cisco lo pueden hacer, agradeceria mucho esa informacion ya que trabajo con equipos cisco,y al saber que otro dispositivo tenia esa caracteristica, me sorprendio ya que no habia escuchado algo parecido sobre equipos cisco.

    ResponderBorrar
    Respuestas
    1. Javier.
      No se a qué te referís específicamente con balanceo de conectividad y el término "dispositivos Cisco" es muy amplio. Pero si, dependiendo del dispositivo y los objetivos que tengas, hay diferentes metodologías y recursos para realizar balanceo de tráfico.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.