¿Podría alguien decirme por qué se colocan algoritmos criptográficos en la capa de enlace de datos para redes inalámbricas?
Aunque el modelo OSI es más a menudo una fuente de confusión que de iluminación, aquí es razonablemente informativo. El cifrado de WiFi se produce en la capa 2 ("enlace de datos") porque se esfuerza por incorporar una función de seguridad que está inherentemente relacionada con el enlace de datos.
Es decir, WiFi fue diseñado para ser el equivalente por aire de Ethernet por cable. En las redes Ethernet, existe un aislamiento físico entre los sistemas que están conectados físicamente a uno de los cables y los que no lo están. Esto se puede ver desde un punto de vista de seguridad: si puede evitar el acceso físico al cableado, por ejemplo. Al mantener los cables dentro de un edificio y bloquear las puertas, puede evitar que entren intrusos en su red local. Dado que WiFi está basado en la radio y las ondas de radio tienden a propagarse libremente (ese es su punto), se necesitaba algo para proporcionar algo equivalente a la seguridad, y ese algo es cifrado (ya sea que se haya hecho correctamente es otra pregunta).
Dado que la función de seguridad (que mantiene la red local fuera del alcance de los atacantes) está vinculada a la red local (por lo tanto, "capa 2"), también tenía sentido utilizar el cifrado en la capa 2. Esto tiene la ventaja adicional de ser inmediatamente compatible con cualquier protocolo que se use para las capas que se encuentran por encima de él; En palabras sencillas, siempre que el controlador de la tarjeta WiFi sea consciente del cifrado, nada más en el sistema operativo del host, en particular su pila TCP / IP, debe modificarse de alguna manera.
(Esto no es del todo cierto porque el sistema de administración de la conexión tiene que ocurrir en algún lugar, el usuario debe ingresar la contraseña de WiFi al menos una vez), pero esto también puede estar contenido. Las primeras tarjetas y controladores de WiFi para Windows hicieron todo el trabajo sin que Windows se dé cuenta de que existía algo así como WiFi.)
Sería posible colocar el cripto en alguna capa superior, pero ese es otro modelo. Básicamente, esto significa perder el nivel de seguridad del enlace, usarlo como si fuera un área de juego hostil y agregar un algoritmo de cifrado (por ejemplo, IPsec ) a la capa TCP / IP para restaurar algún tipo de seguridad. Eso es exactamente lo que sucede cuando alguien se conecta a un WiFi abierto en un restaurante u hotel y luego activa su VPN para conectarse Su red de oficinas, o simplemente utiliza solo sitios web HTTPS.
Hay muchos métodos de ataque en la capa de enlace de datos. Las redes de área local inalámbricas (WLAN) no son una excepción. Las WLAN tienen muchos métodos de ataque, o como diría yo, muchos métodos de enfoque. Existen varias técnicas utilizadas para mitigar los ataques que involucran la capa de enlace de datos. Para las WLAN, uno de estos métodos es utilizar ciertos protocolos / encriptación. Muchos puntos de acceso inalámbrico (WAP) permiten cambiar el firmware e instalar ciertos demonios de software que pueden permitir el uso de algoritmos híbridos o personalizados. Entonces, para responder a su pregunta, diría que el uso de algoritmos criptográficos (algo personalizado / híbrido, o conocido) para su (s) WLAN (s), en la capa DataLink, es simplemente "Business as Usual".
Lea otras preguntas en las etiquetas encryption wifi wireless