Espe Analisis Wpa Wep

I CONTENIDO

MAESTRIA EN GERENCIA DE REDES Y TELECOMUNICACIONES ESPE-ECUADOR

ANALISIS DE WPA/WPA2 Vs WEP MAESTRIA EN GERENCIA DE REDES Y TELECOMUNICACIONES LIC. JULIO CESAR ARDITA - CYBSEC S.A. La Tecnología WI-FI (Wireless Fidelity) es una de las tecnologías líderes en la comunicación inalámbrica, y el soporte para WI-FI se está incorporando en cada vez más aparatos: portátiles PDAs o teléfonos móviles. De todas formas, hay un aspecto que en demasiadas ocasiones pasa desapercibido: LA SEGURIDAD.

2008

JHONATAN REVELO - EDISON PAZMIÑOESCUELA POLITECNICA DEL EJÉRCITO - ECUADOR

03/02/2008

CONTENIDO

INTRODUCCIÓN _______________________________________________________ 1

SEGURIDAD WI-FI ____________________________________________________________2

PELIGROS Y ATAQUES _____________________________________________________________ 2

MECANISMOS DE SEGURIDAD ________________________________________________4

AUTENTICIDAD Y PRIVACIDAD _____________________________________________________ 4

BREVE HISTORIA DE WEP______________________________________________________5

WEP MUERE, NACEN WPA Y WPA2 ____________________________________________6

WPA2 – ACCESO PROTEGIDO A WI-FI ______________________________________________ 7

WEP (WIRED EQUIVALENT PRIVACY) _____________________________________ 8

FUNCIONAMIENTO __________________________________________________________8

PROBLEMAS _________________________________________________________________8

VARIANTES_________________________________________________________________10

CRACKEADO DE LA CLAVE WEP UTILIZANDO AIRCRACK _______________________10

WPA/WPA2 (Wireless Protected Access)________________________________ 13

FUNCIONAMIENTO _________________________________________________________13

PROBLEMAS ________________________________________________________________14

OTRAS MEDIDAS____________________________________________________________15

FILTRADO DE DIRECCIONES MAC _________________________________________________ 15 OCULTACIÓN DEL NOMBRE DE LA RED (ESSID) _____________________________________ 15

DEBILIDADES DE WPA/WPA2 _________________________________________________15

CONCLUSIONES Y RECOMENDACIONES ________________________________ 17

GLOSARIO ___________________________________________________________ 18

BIBLIOGRAFÍA ________________________________________________________ 21


INTRODUCCIÓN

Cuando se hablan de redes inalámbricas podemos distinguir dos grandes tipos: las redes

inalámbricas que necesitan una línea de visión directa y sin elementos que bloqueen la

señal, por ejemplo las señales de infrarrojos (IR), y las que no necesitan de una línea de

visión directa, como son las señales de radiofrecuencia (FR) para la transmisión de

información. Ejemplos típicos de este tipo de tecnología son los mandos a distancia para

el televisor o algunos modelos de teclados inalámbricos para ordenadores. Típicamente

este tipo de redes necesita de un funcionamiento próximo entre los componentes que la

forman para su correcta operatividad. Uno de los motivos es la limitada capacidad en

potencia de los dispositivos de transmisión regulada por los gobiernos para evitar

problemas de interferencias y otros aspectos específicos de cada estado. Otro factor

limitante es la frecuencia de operación (normalmente medida en Hz) a la que trabajan

estos dispositivos.

Algunas señales, como las señales de radio, los rayos-x o los RF son capaces de

traspasar objetos sólidos mientras que otras, como las señales infrarrojas, no. Dentro del

grupo de las primeras se encuentran las redes inalámbricas que nos ocupan: las redes

definidas por la especificación IEEE 802.11 normalmente conocidas por “WIFI” (Wireless

Fidelity). Este tipo de redes han supuesto una auténtica revolución en determinados

ámbitos de la comunicación permitiendo desplegar muy rápidamente redes de carácter

local (WLAN) sin necesidad de grandes infraestructuras y dotando de movilidad al

usuario. De hecho, son su velocidad y alcance (unos 100-150 metros en hardware

asequible) lo que la convierten en una fórmula perfecta para el acceso a internet sin

cables.

Una red Wi-Fi, al igual que ocurre con cualquier tipo de red inalámbrica, es una red en

principio insegura puesto que el medio de transmisión es el aire y las señales viajan libres,

de manera que cualquier individuo equipado con una antena de las características

adecuadas podría recibir la señal y analizarla. Sin embargo, esa capacidad de recibir la

señal no equivale a poder extraer la información que contiene, siempre y cuando se

tomen las medidas oportunas, como el cifrado de la misma.


SEGURIDAD WI-FI

Los ataques que sufren las redes de telecomunicaciones son muchos y variados, y van

desde la intrusión de virus y troyanos hasta la alteración y robo de información

confidencial. Uno de los problemas más graves a los cuales se enfrenta actualmente la

tecnología Wi-Fi es la seguridad. Un elevado porcentaje de redes son instaladas por

administradores de sistemas y redes por su simplicidad de implementación sin tener en

consideración la seguridad y, por tanto, convirtiendo sus redes en redes abiertas, sin

proteger la información que por ellas circulan. Existen varias alternativas para garantizar

la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado

de datos para los estándares Wi-Fi como el WEP y el WPA que se encargan de codificar

la información transmitida para proteger su confidencialidad, proporcionados por los

propios dispositivos inalámbricos, o IPSEC (túneles IP) en el caso de las VPN y el

conjunto de estándares IEEE 802.1X, que permite la autenticación y autorización de

usuarios. Actualmente existe el protocolo de seguridad llamado WPA2 (estándar 802.11i),

que es una mejora relativa a WPA, es el mejor protocolo de seguridad para Wi-Fi en este

momento.

PELIGROS Y ATAQUES

Las violaciones de seguridad en las redes wireless (WLAN) suelen venir de los puntos de

acceso no autorizados (rogue AP), es decir, aquellos instalados sin el conocimiento del

administrador del sistema. Estos agujeros de seguridad son aprovechados por los intrusos

que pueden llegar a asociarse al AP y, por tanto, acceder a los recursos de la red.

WARCHALKING Y WARDRIVING

El warchalking hace referencia a la utilización de un lenguaje de símbolos para reflejar

visualmente la infraestructura de una red inalámbrica y las características de alguno de

sus elementos. Estas señales se suelen colocar en las paredes de edificios situados en

las zonas en las que existen redes inalámbricas para indicar su condición y facilitar el

acceso a las mismas.

El wardriving se refiere a la acción de ir recorriendo una zona en busca de la existencia de

redes wireless y conseguir acceder a ellas. Requiere de un software especial que capture

las tramas broadcast que difunden los AP.


RUPTURA DE LA CLAVE WEP

El mecanismo de seguridad especificado en el estándar 802.11 es el cifrado de la

información utilizando una clave simétrica denominada WEP. Sin embargo, WEP tiene

deficiencias conocidas, como la corta longitud de su clave o la propagación de la misma,

que permiten acceder a redes protegidas solamente mediante WEP.

SUPLANTACIÓN

La suplantación es un ataque en el que el intruso pretende tomar la identidad de un

usuario autorizado. Una variante pasiva de la suplantación es la escucha (eavesdropping).

Como las comunicaciones inalámbricas viajan libremente por el aire cualquiera que esté

equipado con una antena que opere en el rango de frecuencias adecuado y dentro del

área de cobertura de la red podrá recibirlas.

También existen suplantaciones activas, como el spoofing. Consiste en que el intruso

consigue suplantar la identidad de una fuente de datos autorizada para enviar información

errónea a través de la red. El mecanismo más simple es emplear una dirección MAC

valida.

Otra técnica activa es la captura de canales (hijacking). Sucede cuando un intruso se

hace con un canal que, desde ese momento, ya no estará accesible para usuarios

autorizados disminuyendo así las prestaciones de la red. Otra posibilidad es que un punto

de acceso intruso logre conectarse a la red para que las estaciones le envíen información

reservada como son nombres de usuario o contraseñas.

DENEGACIÓN DE SERVICIO

Son aquellos ataques en los que el intruso consigue que los usuarios autorizados no

puedan conectarse a la red. Existen los siguientes ataques de denegación de servicio:

Crear un nivel elevado de interferencias en una zona cercana al punto de acceso.

Ataques por sincronización

• Smurf. El intruso envía un mensaje broadcast con una dirección IP falsa que, al ser

recibida, causará un aumento enorme de la carga de red.


MECANISMOS DE SEGURIDAD

La seguridad WIFI abarca dos niveles. En el nivel más bajo, se encuentran los

mecanismos de cifrado de la información, y en el nivel superior los procesos de

autenticación.

AUTENTICIDAD Y PRIVACIDAD

Al igual que en el resto de redes la seguridad para las redes wireless se concentra en el

control y la privacidad de los accesos. Un control de accesos fuerte impide a los usuarios

no autorizados comunicarse a través de los AP, que son los puntos finales que en la red

Ethernet conectan a los clientes WLAN con la red. Por otra parte, la privacidad garantiza

que solo los usuarios a los que van destinados los datos trasmitidos los comprendan. Así,

la privacidad de los datos transmitidos solo queda protegida cuando los datos son

encriptados con una clave que solo puede ser utilizada por el receptor al que están

destinados esos datos.

Por tanto, en cuanto a seguridad, las redes wireless incorporan dos servicios: de

autenticación y privacidad.

AUTENTICIDAD

Los sistemas basados en 802.11 operan muy frecuentemente como sistemas abiertos, de

manera que cualquier cliente inalámbrico puede asociarse a un punto de acceso si la

configuración lo permite. También existen listas de control de accesos basadas en la

dirección MAC, disponiendo en el AP de una lista con los clientes autorizados para

rechazar a los que no lo están. También es posible permitir el acceso a cualquier nodo

que se identifique y que proporcione el SSID (Service Set ID) correcto.

PRIVACIDAD

Por defecto, los datos se envían sin utilizar ningún cifrado. Si se utiliza la opción WEP los

datos se encriptan antes de ser enviados utilizando claves compartidas, que pueden ser

estáticas o dinámicas. Para realizar el cifrado se emplea la misma clave que se usa para

la autenticación WEP. También se pueden utilizar otros mecanismos más potentes, como

WPA o el nuevo estándar 802.11i.


BREVE HISTORIA DE WEP

El protocolo WEP no fue creado por expertos en seguridad o criptografía, así que pronto

se demostró que era vulnerable ante los problemas RC4 descritos por David Wagner

cuatro años antes. En 2001, Scott Fluhrer, Itsik Mantin y Adi Shamir (FMS para abreviar)

publicaron su famoso artículo sobre WEP, mostrando dos vulnerabilidades en el algoritmo

de encriptación: debilidades de no-variación y ataques IV conocidos. Ambos ataques se

basan en el hecho de que para ciertos valores de clave es posible que los bits en los

bytes iniciales del flujo de clave dependan de tan sólo unos pocos bits de la clave de

encriptación (aunque normalmente cada bit de un flujo de clave tiene una posibilidad del

50% de ser diferente del anterior). Como la clave de encriptación está compuesta

concatenando la clave secreta con el IV, ciertos valores de IV muestran claves débiles.

Estas vulnerabilidades fueron aprovechadas por herramientas de seguridad como

AirSnort, permitiendo que las claves WEP fueran descubiertas analizando una cantidad de

tráfico suficiente. Aunque este tipo de ataque podía ser desarrollado con éxito en una red

con mucho tráfico en un plazo de tiempo razonable, el tiempo requerido para el

procesamiento de los datos era bastante largo. David Hulton (h1kari) ideó un método

optimizado de este mismo ataque, tomando en consideración no sólo el primer byte de la

salida RC4 (como en el método FMS), sino también los siguientes. Esto resultó en una

ligera reducción de la cantidad de datos necesarios para el análisis.

La etapa de comprobación de integridad también sufre de serias debilidades por culpa del

algoritmo CRC32 utilizado para esta tarea. CRC32 se usa normalmente para la detección

de errores, pero nunca fue considerado como seguro desde un punto de vista

criptográfico, debido a su linealidad, algo que Nikita Borisov, Ian Goldberg y David

Wagner ya habían advertido en 2001.

Desde entonces, se ha aceptado que WEP proporciona un nivel de seguridad aceptable

sólo para usuarios domésticos y aplicaciones no críticas. Sin embargo, incluso eso se

desvaneció con la aparición de los ataques KoreK en 2004 (ataques generalizados FMS,

que incluían optimizaciones de h1kari), y el ataque inductivo invertido Arbaugh,

permitiendo que paquetes arbitrarios fueran des encriptados sin necesidad de conocer la

clave utilizando la inyección de paquetes. Las herramientas de cracking, como Aircrack de

Christophe Devine o WepLab de José Ignacio Sánchez, ponen en práctica estos ataques


y pueden extraer una clave WEP de 128-bits en menos de 10 minutos (o algo más,

dependiendo del punto de acceso y la tarjeta wireless específicos).

La incorporación de la inyección de paquetes mejoró sustancialmente los tiempos de

crackeo de WEP, requiriendo tan sólo miles, en lugar de millones, de paquetes con sufi-

cientes IVs únicos – alrededor de 150,000 para una clave WEP de 64-bits y 500,000 para

una clave de 128-bits. Con la inyección de paquetes, el obtener los datos necesarios era

apenas una tarea de minutos. En la actualidad, WEP está definitivamente muerto (ver

Tabla 1) y no debería ser utilizado, ni siquiera con rotación de claves.

Fecha Descripciónsep-95 Vulnerabilidad RC4 potencial (Wagner)

oct-00Primera publicación sobre las debilidades de WEP: Insegura para cualquier tamaño de clave; Análisis de la encapsulación WEP (Walker)

may-01 Ataque contra WEP/WEP2 de Arbaugh

jul-01Ataque CRC bit flipping – Intercepting Mobile Communications: The Insecurity of 802.11 (Borisov, Goldberg, Wagner)

ago-01Ataques FMS – Debilidades en el algoritmo de programación de RC4 (Fluhrer, Mantin, Shamir)

ago-01 Publicación de AirSnortfeb-02 Ataques FMS optimizados por h1kariago-04 Ataques KoreK (IVs únicos) – publicación de chopchop y chopperJulio/

Agosto 2004Publicación de Aircrack (Devine) y WepLab (Sánchez), poniendo en práctica los ataques KoreK.

Tabla 1 Cronología de la muerte de WEP

WEP MUERE, NACEN WPA Y WPA2

Luego del deceso del WEP, en 2003 se propone el Acceso Protegido a Wi-Fi (WPA, por

sus iniciales en inglés) y luego queda certificado como parte del estándar IEEE 802.11i,

con el nombre de WPA2 (en 2004).

WPA y WPA2 son protocolos diseñados para trabajar con y sin un servidor de manejo de

llaves. Si no se usa un servidor de llaves, todas las estaciones de la red usan una “llave


previamente compartida” (PSK - Pre-Shared-Key-, en inglés), El modo PSK se conoce

como WPA o WPA2-Personal.

Cuando se emplea un servidor de llaves, al WPA2 se le conoce como WPA2-Corporativo

(o WPA2-Enterprise, en inglés). En WPA-Corporativo, se usa un servidor IEEE 802.1X

para distribuir las llaves.

Una mejora notable en el WPA” sobre el viejo WEP es la posibilidad de intercambiar

llaves de manera dinámica mediante un protocolo de integridad temporal de llaves (TKIP -

Temporal Key Integrity Protocol).

WPA2 – ACCESO PROTEGIDO A WI-FI

WPA2 es la versión certificada de WPA y es parte del estándar IEEE 802.11i. Hay dos

cambios principales en WPA2 vs. WPA:

1. El reemplazo del algoritmo Michael por un código de autenticación conocido como el

protocolo “Counter-Mode/CBC-Mac” (CCMP), que es considerado criptográficamente

seguro.

2. El reemplazo del algoritmo RC4 por el “Advanced Encryption Standard (AES)” conocido

también como Rijndael.

Recomendaciones para confidencialidad en datos: Si se necesita confidencialidad

mediante el cifrado a nivel de enlace: la mejor opción es WPA2 en modo “corporativo”

(WPA2-Enterprise”).

En caso de usarse una solución más simple como la WPA2-Personal, deben tomarse

precauciones especiales al escoger una contraseña (llave pre-compartida, PSK).

El protocolo WEP y sus variantes WEP+, y WEP2, deben ser descartados.

WEP (WIRED EQUIVALENT PRIVACY) 8


WEP (WIRED EQUIVALENT PRIVACY)

FUNCIONAMIENTO

Este acrónimo refiere, literalmente a “seguridad equivalente a un sistema cableado” (wired

equivalent privacy). Y es uno de los protocolos sobre las redes inalámbricas 802.11 que

más se ha utilizado a pesar de ser un sistema de seguridad que está claramente

superado. De hecho es muy fácil romper la seguridad en este tipo de redes. Aún así, para

entornos domésticos en los que la seguridad no sea un requisito imperativo puede ser un

sistema sencillo y simple de obtener un grado aceptable de seguridad.

El modo de funcionamiento de WEP se aplica sobre la capa MAC del sistema. En primer

lugar se genera una semilla. Ésta está formada por un lado, por la clave que proporciona

el usuario (Key) que normalmente se introduce como una cadena de caracteres o de

valores hexadecimales. Esta clave ha de estar presente tanto en el receptor como en el

emisor por lo que es necesario introducirla manualmente en los mismos. El otro elemento

es un vector de 24 bits (IV, o vector de inicialización) generado aleatoriamente que

además puede cambiar en cada frame. Las semillas más habituales son de 64 bits o de

128 bits (algunos vendedores lo llaman WEP2). Una vez generada la semilla es llevada a

un generador de pseudonúmeros aleatorios formando una cadena de longitud igual al

payload del frame más una parte de comprobación de la integridad de los datos de 32 bits

(ICV). Este proceso se lleva a cabo mediante un algoritmo de cifrado llamado RC4.

Finalmente se combinan la clave de cifrado generada (keystream) con el payload/ICV

mediante una xor. Dado que para poder desencriptar es necesario disponer de los bits de

IV, éstos son transmitidos sin encriptar en el propio frame.

PROBLEMAS

Por un lado, las claves de usuario son estáticas lo que implica que todos y cada uno de

los usuarios tienen que usar la misma clave. Este hecho suele provocar que las claves no

se cambien durante meses o incluso años, facilitando su obtención. Por otra parte el

hecho de que el IV se transmita sin encriptar y de que se pueda repetir cada cierto tiempo,

además de que el algoritmo que genera este vector presenta ciertos caracteres de



predictibilidad, hace que sea un sistema perfecto para romper por la fuerza bruta. Algunos

de los tipos de ataques son:

• Ataques pasivos basados en el análisis de paquetes para intentar descifrar el

tráfico.

• Ataques activos basados en la introducción de paquetes.

• Ataques activos basados en el ataque/engaño al punto de acceso

• Ataques de diccionario.

El ISAAC (Internet Security, Applications, Authentication and Cryptography) hizo un

estudio minucioso acerca de los problemas y debilidades de WEP llegando a las

siguientes conclusiones generales:

• El manejo de las claves es un constante generador de problemas. Para empezar el

hecho de tener que distribuir la misma clave a todos los usuarios implica que este

proceso se tiene que realizar un mismo día en un momento determinado,

teniéndose que cambiar de nuevo si un usuario abandona la empresa o lugar en

donde se utilicen la red WEP. Las claves que se distribuyen por todo el sistema y

que se guardan con esmero tienden a ser públicas con el tiempo. Los ataques de

Sniffing se basan sólo en obtener la clave WEP que es cambiada

infrecuentemente.

• Una longitud de claves de 64 o 128 bits no es hoy en día suficiente para garantizar

un buen nivel de seguridad.

• Los algoritmos de cifrado son vulnerables al análisis si se utiliza frecuentemente

los mismos keystreams. Dos frames que usan el mismo IV usaran casi con toda

probabilidad la misma key y por tanto el mismo keystream.

• El cambio infrecuente de las claves permite a los atacantes usar las técnicas de

ataque por diccionario

• WEP utiliza CRC para garantizar la integridad de los frames enviados. Aunque el

CRC es encriptado por el algoritmo de RC4, los CRC no son criptográficamente

seguros.



VARIANTES

Existen algunas variantes que básicamente se basan en intentar mejorar el IV, por

ejemplo aumentándolo en tamaño. Así tenemos:

WEP2: se trata del mismo sistema en esencia y sus únicas diferencias consisten en un

mayor tamaño del IV y una protección de encriptación de 128 bits.

WEP+: consiste en una variante propietaria de la empresa Lucent Technologies que se

basa en la eliminación de los IV “débiles”. Para ser efectivo debe de utilizarse tanto en el

emisor como en el receptor. Dado que es una tecnología propietaria no existen muchos

fabricantes que lo integren y por tanto no presenta de una gran disponibilidad.

CRACKEADO DE LA CLAVE WEP UTILIZANDO AIRCRACK

El crackeado de WEP puede ser demostrado con facilidad utilizando herramientas como

Aircrack (creado por el investigador francés en temas de seguridad, Christophe Devine).

Aircrack contiene tres utilidades principales, usadas en las tres fases del ataque necesario

para recuperar la clave:

• airodump: herramienta de sniffing utilizada para descubrir las redes que tienen

activado WEP

• aireplay: herramienta de inyección para incrementar el tráfico

• aircrack: crackeador de claves WEP que utiliza los IVs únicos recogidos.

En la actualidad, Aireplay sólo soporta la inyección en algunos chipsets wireless, y el

soporte para la inyección en modo monitor requiere los últimos drivers parcheados. El

modo monitor es el equivalente del modo promiscuo en las redes de cable, que previene

el rechazo de paquetes no destinados al host de monitorización (lo que se hace

normalmente en la capa física del stack OSI), permitiendo que todos los paquetes sean

capturados. Con los drivers parcheados, sólo se necesita una tarjeta wireless para

capturar e inyectar tráfico simultáneamente.

La meta principal del ataque es generar tráfico para capturar IVs únicos utilizados entre un

cliente legítimo y el punto de acceso. Algunos datos encriptados son fácilmente re-

conocibles porque tienen una longitud fija, una dirección de destino fija, etc. Esto sucede



con los paquetes de petición ARP (véase comentario ARP-Request)[JRV1], que son

enviadas a la dirección broadcast (FF:FF:FF:FF:FF:FF) y tienen una longitud fija de 68

octetos. Las peticiones ARP pueden ser repetidas para generar nuevas respuestas ARP

desde un host legítimo, haciendo que los mensajes wireless sean encriptados con nuevos

IVs.

El primer paso, es la activación del modo monitor en nuestra tarjeta wireless (en este

caso, un modelo basado en Atheros), así que podemos capturar todo el tráfico (ver

Listado 1)[JRV2]. El paso siguiente, será descubrir redes cercanas y sus clientes,

escaneando los 14 canales que utilizan las redes Wi-Fi (ver Listado 2).[JRV3] El resultado

del Listado 2 se puede interpretar de esta forma: un punto de acceso con BSSID

00:13:10:1F:9A:72 está usando encriptación WEP en el canal 1 con SSID hakin9demo y

un cliente identificado con MAC 00:0C:F1:19:77:5C están asociados y autenticados en

esta red wireless.

Una vez se haya localizado la red objetivo, deberíamos empezar a capturar en el canal

correcto para evitar la pérdida de paquetes mientras escaneamos otros canales. Esto

produce la misma respuesta que el comando previo:

# airodump ath0 wep-crk 1

Después, podremos usar la información recogida para inyectar tráfico utilizando aireplay.

La inyección empezará cuando una petición ARP capturada, asociada con el BSSID

objetivo aparezca en la red inalámbrica:

# aireplay -3 \ -b 00:13:10:1F:9A:72 \ -h 00:0C:F1:19:77:5C \ -x 600 ath0 (...) Read 980 packets (got 16 ARP requests), sent 570 packets...

Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el fichero pcap se

hace posible lanzar este paso final mientras airodump sigue capturando datos (véase

Figura 2para los resultados):

# aircrack -x -0 wep-crk.cap



Ilustración 1 Resultados de Aircrack después de unos minutos

WPA/WPA2 (Wireless Protected Access) 13


WPA/WPA2 (WIRELESS PROTECTED ACCESS)

FUNCIONAMIENTO

Su nombre proviene del acrónimo WPA, es decir, Wireless Protected Access (acceso

inalámbrico protegido) y tiene su origen en los problemas detectados en el anterior

sistema de seguridad creado para las redes inalámbricas. La idea era crear un sistema de

seguridad que hiciera de puente entre WEP y el 802.11i (WPA2), el cual estaba por llegar.

Para ello utiliza el protocolo TKIP (Temporal Key Integrity Protocol) y mecanismos 802.1x.

La combinación de estos dos sistemas proporciona una encriptación dinámica y un

proceso de autentificación mutuo. Así pues, WPA involucra dos aspectos: un sistema de

encriptación mediante TKIP y un proceso de autentificación mediante 802.1x.

El proceso de encriptación es similar al realizado en WEP, pero con varias diferencias.

Para empezar, si bien TKIP usa el algoritmo RC4 proporcionado por RSA Security para

encriptar el cuerpo del frame así como el CRC antes de la transmisión, en este caso se

utilizan IV de 48 bits, lo que reduce significativamente la reutilización y por tanto la

posibilidad de que un hacker recoja suficiente información para romper la encriptación.

Por otro lado y a diferencia de WEP, WPA automáticamente genera nuevas llaves de

encriptación únicas para cada uno de los clientes lo que evita que la misma clave se

utilice durante semanas, meses o incluso años, como pasaba con WEP.

Por último WPA implementa lo que se conoce como MIC o message integrity code, es

decir código de integridad del mensaje. Recordemos que WEP introduce unos bits de

comprobación de integridad o ICV en el payload del paquete. Desgraciadamente es

relativamente fácil, a pesar de que los bits de ICV también se encriptan, de modificarlos

sin que el receptor lo detecte. Para evitarlo se hace uso del MIC (8 bytes, Message

Integrity Check), un sistema de comprobación de la integridad de los mensajes, que se

instala justo antes del ICV.

Para el proceso de autentificación WPA y WPA2 usan una combinación de sistemas

abiertos y 802.1x. El funcionamiento es igual al ya comentado en el apartado del 802.1x.

Inicialmente el cliente se autentifica con el punto de acceso o AT, el cual le autoriza a

enviarle paquetes. Acto seguido WPA realiza la autentificación a nivel de usuario

haciendo uso de 801.1x. WPA sirve de interfaz para un servidor de autentificación como



RADIUS o LDAP. En caso de que no se disponga de un servidor de autentificación se

puede usar el modo con PSK. Una vez se ha verificado la autenticidad del usuario el

servidor de autentificación crea una pareja de claves maestras (PMK) que se distribuyen

entre el punto de acceso y el cliente y que se utilizarán durante la sesión del usuario. La

distribución de las claves se realizará mediante los algoritmos de encriptación

correspondientes TKIP o AES con las que se protegerá el tráfico entre el cliente y el punto

de acceso.

WPA2 fue lazada en septiembre de 2004 por la Wi-Fi Alliance. WPA2 es la versión

certificada que cumple completamente el estándar 802.11i ratificado en junio de 2004.

Análogamente a WPA presenta dos vertientes: la autentificación y la encriptación de

datos. Para el primer elemento utiliza 802.1x / EAP o bien PSK. Para la encriptación se

utiliza un algoritmo mejor que el TKIP, concretamente el AES.

WPA WPA2Autentificación: 802.1x / EAP Autentificación: 802.1x / EAP

Encriptación: TKIP / MIC Encriptación: AES-CCMPAutentificación: PSK Autentificación: PSK

Encriptación: TKIP / MIC Encriptación: AES-CCMP

Modo Enterprise

Modo Personal

Tabla 2 Diferentes modos de WPA Y WPA2

En el modo Enterprise el sistema trabaja gestionada mente asignando a cada usuario una

única clave de identificación, lo que proporciona un alto nivel de seguridad. Para la

autentificación el sistema utiliza el ya comentado 802.1x y para la encriptación un

algoritmo de cifrado mejor que el TKIP, el AES. Para el caso de funcionamiento en la

versión personal, se utiliza una clave compartida (PSK) que es manualmente introducida

por el usuario tanto en el punto de acceso como en las máquinas cliente, utilizando para

la encriptación o bien TKIP o AES. En este sentido las diferencias con WEP se basan en

el algoritmo de cifrado de los datos.

PROBLEMAS

Desgraciadamente WPA no está exento de problemas. Uno de los más importantes sigue

siendo los DoS o ataques de denegación de servicio. Si alguien envía dos paquetes

consecutivos en el mismo intervalo de tiempo usando una clave incorrecta el punto de

acceso elimina todas las conexiones de los usuarios durante un minuto. Este mecanismo



de defensa utilizado para evitar accesos no autorizados a la red puede ser un grave

problema.

OTRAS MEDIDAS

Otras medidas que se pueden utilizar en conjunción con los diferentes sistemas de

seguridad son:

FILTRADO DE DIRECCIONES MAC

Aunque no es una práctica que implique un aumento elevado en la seguridad del sistema,

es un extra que añade un nivel más de seguridad de cara a los posibles atacantes

casuales y es recomendable, si bien no supondrá ningún impedimento para hackers

profesionales ya que hoy día es muy fácil simular las direcciones MAC de un sistema.

OCULTACIÓN DEL NOMBRE DE LA RED (ESSID)

De nuevo es una medida más que es prudente tomar a la hora de realizar las

implementaciones de seguridad de nuestra red inalámbrica, pero que en ningún caso

supone impedimentos graves para hackers profesionales.

DEBILIDADES DE WPA/WPA2

Aunque se han descubierto algunas pequeñas debilidades en WPA/WPA2 desde su

lanzamiento, ninguna de ellas es peligrosa si se siguen unas mínimas recomendaciones

de seguridad.

La vulnerabilidad más práctica es el ataque contra la clave PSK de WPA/WPA2. La PSK

proporciona una alternativa a la generación de 802.1X PMK usando un servidor de auten-

ticación. Es una cadena de 256 bits o una frase de 8 a 63 caracteres, usada para generar

una cadena utilizando un algoritmo conocido: PSK = PMK = PBKDF2(frase, SSID, SSID

length, 4096, 256), donde PBKDF2 es un método utilizado en PKCS#5, 4096 es el

número de hashes y 256 la longitud del resultado. La PTK es derivada de la PMK

utilizando el 4-Way Handshake y toda la información utilizada para calcular su valor se

transmite en formato de texto.

La fuerza de PTK radica en el valor de PMK, que para PSK significa exactamente la

solidez de la frase. Como indica Robert Moskowitz, el segundo mensaje del 4-Way



Handshake podría verse sometido a ataques de diccionario o ataques offline de fuerza

bruta. La utilidad cowpatty se creó para aprovechar este error, y su código fuente fue

usado y mejorado por Christophe Devine en Aircrack para permitir este tipo de ataques

sobre WPA. El diseño del protocolo (4096 para cada intento de frase) significa que el

método de la fuerza bruta es muy lento (unos centenares de frases por segundo con el

último procesador simple). La PMK no puede ser pre-calculada (y guardada en tablas)

porque la frase de acceso está codificada adicionalmente según la ESSID. Una buena

frase que no esté en un diccionario (de unos 20 caracteres) debe ser escogida para

protegerse eficazmente de esta debilidad.

CONCLUSIONES Y RECOMENDACIONES 17


CONCLUSIONES Y RECOMENDACIONES

• La seguridad meramente inalámbrica solo incluye mecanismos de seguridad

presentes en las capas 1 y 2.

• La encripción a nivel de la capa de enlace (WEP, WPA, WPA2) es una medida de

seguridad comúnmente utilizada pero no garantiza confidencialidad punto-a-punto.

Si se necesita seguridad a nivel de capa de enlace evite el uso de WEP, y use

IEEE 802.11i (WPA2). La supresión del anuncio de la SSID y el filtrado mediante

direcciones MAC no son métodos de autenticación seguros. Es necesario un

método de autenticación de más alto nivel, como por ejemplo un portal cautivo.

• Una red puede tornarse inoperativa como resultado de ataques de Negación de

servicio o software malicioso, pero también debido a nodos ocultos de los que no

tenemos idea de su existencia, y problemas de interferencia. Solo mediante el

monitoreo de tráfico en la red, se pueden encontrar las causas reales de un

problema.

• No hay una solución estándar de seguridad para todas las redes inalámbricas. Es

necesario tener una idea clara de los requisitos de seguridad, y la solución

depende de cada escenario.

GLOSARIO 18


GLOSARIO

• AP – Access Point, punto de

acceso, estación base de una red

Wi-Fi que conecta clientes

inalámbricos entre sí y a redes de

cable.

• ARP – Address Resolution

Protocol, protocolo para traducir las

direcciones IP a direcciones MAC.

• BSSID – Basic Service Set

Identifier, Dirección MAC del punto

de acceso.

• CCMP – Counter-Mode / Cipher

Block Chaining Message

Authentication Code Protocol,

protocolo de encriptación utilizado

en WPA2, basado en la suite de

cifrado de bloques AES.

• CRC – Cyclic Redundancy Check,

pseudo-algoritmo de integridad

usado en el protocolo WEP (débil).

• EAP – Extensible Authentication

Protocol, entorno para varios

métodos de autenticación.

• EAPOL – EAP Over LAN, protocolo

usado en redes inalámbricas para

transportar EAP.

• GEK – Group Encryption Key, clave

para la encriptación de datos en

tráfico multicast (también usada

para la integridad en CCMP).

• GIK – Group Integrity Key, clave

para la encriptación de datos en

tráfico multicast (usada in TKIP).

• GMK – Group Master Key, clave

principal de la jerarquía de group

key.

• GTK – Group Transient Key, clave

derivada de la GMK.

• ICV – Integrity Check Value, campo

de datos unido a los datos de texto

para la integridad (basado en el

algoritmo débil CRC32).

• IV – Initialization Vector, vector de

inicialización, datos combinados en

la clave de encriptación para

producir un flujo de claves único.

• KCK – Key Confirmation Key, clave

de integridad que protege los

mensajes handshake.

• KEK – Key Encryption Key, clave

de confidencialidad que protege los

mensajes handshake.

• MIC – Message Integrity Code,

campo de datos unido a los datos

de texto para la integridad (basdo

en el algoritmo Michael).

GLOSARIO 19


• MK – Master Key, clave principal

conocida por el suplicante y el

autenticador tras el proceso de

autenticación 802.1x.

• MPDU – Mac Protocol Data Unit,

paquete de datos antes de la

fragmentación.

• MSDU – Mac Service Data Unit,

paquete de datos después de la

fragmentación.

• PAE – Port Access Entity, puerto

lógico 802.1x.

• PMK – Pairwise Master Key, clave

principal de la jerarquía de pares

de claves.

• PSK – Pre-Shared Key, clave

derivada de una frase de acceso

que sustituye a la PMK

normalmente enviada por un

servidor de autenticación.

• PTK – Pairwise Transient Key,

clave derivada de la PMK.

• RSN – Robust Security Network,

mecanismo de seguridad de

802.11i (TKIP, CCMP etc.).

• RSNA – Robust Security Network

Association, asociación de

seguridad usada en una RSN.

• RSN IE – Robust Security Network

Information Element, campos que

contienen información RSN incluida

en Probe Response y Association

Request.

• SSID – Service Set Identifier,

identificador de la red (el mismo

que ESSID).

• STA – Station, estación, cliente

wireless.

• TK – Temporary Key, clave para la

encriptación de datos en tráfico

unicast (usada también para la

comprobación de la integridad de

datos en CCMP).

• TKIP – Temporal Key Integrity

Protocol, protocolo de encriptación

usado en WPA basado en el

algoritmo RC4 (como en WEP).

• TMK – Temporary MIC Key, clave

para la integridad de datos en

tráfico unicast (usada en TKIP).

• TSC – TKIP Sequence Counter,

contador de repetición usado en

TKIP (al igual que Extended IV).

• TSN – Transitional Security

Network, sistemas de seguridad

pre-802.11i (WEP etc.).

• WEP – Wired Equivalent Privacy,

protocolo de encriptación por

defecto para redes 802.11.

GLOSARIO 20


• WPA – Wireless Protected Access,

implementación de una versión

temprana del estándar 802.11i,

basada en el protocolo de

encriptación TKIP.

• WRAP – Wireless Robust

Authenticated Protocol, antiguo

protocolo de encriptación usado en

WPA2.

BIBLIOGRAFIA 21


BIBLIOGRAFÍA

• Seguridad en Redes Inalámbricas/ Alberto Escudero Pascual, LaNeta, IT +46/

www.wilac.net/tricalcar – Versión final. Octubre 2007

• Seguridad Wi-Fi – WEP, WPA y WPA2/ Guillaume Lehembre/ hakin9 Nº 1/2006/

www.hakin9.org

• Tutorial sobre la seguridad WIFI/ Por Jamj 2007

• Seguridad en Redes Inalambricas/ Roberto Hernando/http://www.rhernando.net/ 9 de julio de 2007

Espe Analisis Wpa Wep

Documents

Transcript of Espe Analisis Wpa Wep