El bloqueo inalámbrico es un concepto de protección para clientes de redes LAN o WLAN autenticados que ofrecen diversos proveedores en diversas formas funcionales y diseños físicos. A diferencia de las llaves inalámbricas , el bloqueo inalámbrico pone énfasis en el bloqueo automático en lugar de solo bloquear por tiempo de espera o desbloquear.
El concepto de cerradura inalámbrica permite inicializar el cliente con autenticación e inicio de sesión como soluciones de llave electrónica. Además, una cerradura inalámbrica permite el cierre de sesión automático después de que el usuario abandona el cliente de red desbloqueado e independientemente de las condiciones de tiempo de espera . La protección entra en vigor mientras el receptor/transceptor integrado o conectado galvánicamente y emparejado permanece conectado con el objeto cliente protegido tan pronto como el token inalámbrico se separa del cliente excediendo una distancia máxima permitida establecida, generalmente el alcance manual necesario para operar el teclado conectado al cliente.
Actualmente (2011-07) no existe un estándar general que respalde la interoperabilidad de los conceptos de cerraduras inalámbricas.
El token inalámbrico funciona como un segundo factor de autenticación independiente. El emparejamiento local del token con el objeto de cliente en red protegido es el procedimiento de autenticación. La personalización del token con el usuario es una acción preparatoria que puede administrarse independientemente de la red. Las credenciales de usuario asignadas se proporcionarán desde el servidor de autorización en red para el acceso permitido a los datos y funciones, y desde el servidor de autenticación para el acceso permitido a la red y a los clientes.
Una métrica de distancia de comunicación inalámbrica establece el objeto protegido como "bloqueado" tan pronto como se excede el nivel de distancia establecido entre el transmisor y el receptor emparejados de una transmisión de señal inalámbrica. El objeto protegido vuelve al estado "desbloqueado" tan pronto como la distancia se reduce y el nivel de intensidad de la señal recibida es mayor que el límite establecido. Los transmisores pueden ser usados por el propietario de un objeto, mientras que el otro elemento receptor se conecta al objeto protegido para protegerlo lógicamente y que solo lo pueda usar el propietario.
El dispositivo electrónico básico es un dispositivo inalámbrico que se comunica con un dispositivo análogo conectado al objeto que se desea controlar de forma inalámbrica. Las instrucciones de uso para el modo de funcionamiento recomiendan llevar un dispositivo de alarma de diseño muy ligero con un collar, una pulsera o un dispositivo similar directamente sujeto al cuerpo. Los niveles de potencia de transmisión muy bajos garantizan una baja interferencia electromagnética y un funcionamiento totalmente inocuo desde el punto de vista biológico.
Después de configurar el objeto a proteger para que funcione y emparejar inicialmente los dos dispositivos de token inalámbricos entre sí, el objeto protegido rechaza la operación cuando se excede la distancia establecida entre el token y el objeto protegido.
Las soluciones avanzadas ofrecen comunicaciones basadas en protocolos de comunicación estandarizados y basados en enlaces de interfaz aérea estandarizados.
Las soluciones sencillas utilizan tokens RFID pasivos, lo que requiere un nivel de transmisión más alto desde un lector conectado al objeto protegido y que ilumina el token para la respuesta. La banda de frecuencia elegida y el nivel máximo de potencia de transmisión permitido definen el alcance posible de la respuesta del token en las proximidades del objeto protegido.
La aplicación se conoce principalmente como bloqueo de PC para condiciones de inicio de sesión autenticado. El control de objetos protegidos funciona con el token en mano que funciona como transceptor (RFID pasivo) o transmisor de baliza (RFID activo). Actualmente, varios proveedores sin nombre ofrecen algunas aplicaciones similares y con especificaciones no garantizadas.
El estándar existente relevante para tal aplicación es Bluetooth V4.0 Low Energy del 17 de diciembre de 2009 con los perfiles Find Me y Proximity . [2]
Los conceptos publicados para la transmisión segura de claves se publican en varios contextos. [3] La estandarización en IETF ( PKI ), W3C ( XML ) e ITU ( X.509 ) está en curso. Básicamente, existen diferentes conceptos disponibles para implementar un concepto de seguridad sólido:
Las opciones de métricas para detectar la separación del objeto protegido y el usuario autenticado deben tener en cuenta varios fenómenos físicos y, por lo tanto, ofrecer una variedad de procesamiento de señales para superarlos.
El enfoque seguro es la estimación del tiempo de viaje con pulsos ultracortos (por ejemplo, UWB y CSS ), el enfoque económico es la estimación de RSSI con solo la variación de los niveles de potencia. [ cita requerida ]
Muchas de las ofertas de productos actuales en relación con los estándares de comunicación son solo prototipos. Se propone un diseño básico, por ejemplo, con la oferta de muestra de Texas Instruments que utiliza el estándar de protocolo de bajo consumo de energía Bluetooth V4.0 [4] y con propuestas comparables de otras fundiciones de chips.
Actualmente (2011-07) no se ofrece ningún producto certificado según los requisitos de seguridad de la norma ISO/IEC 15408. Sin embargo, cualquier solución viable es mejor que nada en comparación con puestos de trabajo con sesión iniciada sin supervisión. [ cita requerida ]
Una implementación conocida es la solución BlueProximity [5] disponible para Linux y Windows . El alojamiento en sistemas similares a PC permite detectar la presencia de teléfonos móviles cerca de un dispositivo Bluetooth conectado a la PC o una interfaz equivalente. La PC se bloquea al salir. Las deficiencias de esta solución, entre otras, son las siguientes:
Sin embargo, este enfoque basado en Bluetooth es la solución mejor protegida en comparación con otros enfoques propietarios sin medios comparables al bloqueo de la tarjeta SIM del teléfono móvil o a la protección del enlace Bluetooth.
Los requisitos básicos de infraestructura con bloqueo inalámbrico son muy bajos. No hay requisitos de funciones de servidor adicionales más allá de los estándares de infraestructura de clave pública. El requisito de infraestructura para incluir un receptor inalámbrico en los objetos protegidos mediante la integración o el uso de llaves es de última generación. Toda manipulación puede detectarse automáticamente. La conexión del receptor/transmisor en forma de llave al objeto protegido se realiza fácilmente a través del puerto USB. Las pequeñas aplicaciones de seguridad harán uso de los mecanismos de protección del sistema operativo del objeto protegido. Ni la llave ni la unidad protegida pueden verse comprometidas siempre que se detecte cualquier manipulación de la aplicación de seguridad.
La principal ventaja del bloqueo inalámbrico es que permite cerrar la sesión automáticamente, por lo que la falta de precaución habitual de los usuarios móviles puede compensarse por completo. Los factores de autenticación inalámbrica automática no requieren manipulación. El único requisito para el usuario es llevar una ficha sin necesidad de introducir ninguna clave, lo que resulta insuperable en cuanto a comodidad y valor funcional. El bloqueo inalámbrico proporciona seguridad adicional a las redes contra el acceso y el uso fraudulentos. Los déficits de seguridad notificados con la autenticación de segundo factor pueden compensarse reduciendo todas las cargas que suponen el mantenimiento, la manipulación y el uso de dichos factores. [6]
La potencia de transmisión del token inalámbrico para el objeto puede ser muy baja, en el rango de 1 mW, ya que solo se debe salvar la distancia entre el portador y el artículo a proteger. Se trata de un nivel que no causa daños en ningún entorno ni puede producir interferencias electromagnéticas en dispositivos sensibles, es decir, se pueden despreciar las interferencias con dispositivos médicos.
El bloqueo inalámbrico ofrece la mejor solidez contra ataques de desautenticación . El intercambio continuo de claves cifradas basado en conexión entre el token activo y el dispositivo receptor proporciona un nivel de seguridad suficiente para la certificación según la especificación de criterios comunes ISO/IEC 15408. Inicialmente, el intercambio de claves cifradas basado en conexión sirve para un nivel de seguridad más bajo que parece suficiente para la mayoría de los requisitos.
Todos los enfoques conocidos para el bloqueo inalámbrico son propietarios [7] o simplemente estándares industriales, como por ejemplo ZigBee, ANT u otras plataformas de comunicación, por lo que requieren un emparejamiento especial de token y receptor/transmisor respectivamente. La adhesión a los estándares de interfaz aérea inalámbrica y a los protocolos de comunicaciones inalámbricas compensa esa brecha de estandarización de alto nivel.
La comunicación unidireccional entre el token de balizamiento y el dispositivo receptor puede ser pirateada con un ataque Man-in-the-middle . [8] Sin embargo, la inicialización desafío-respuesta basada en conexión ofrece un nivel de seguridad mucho más alto.
No se publican especificaciones claras del desgaste de la batería en las ofertas de todos los proveedores conocidos.