1

Introducción a la seguridad en

redes WiFiJose Luis Moyano García Cuevas y Marcos Blanco Galán

1

2

¿ Qué es Wi-Fi ?

- Protocolo de comunicación inalámbrica de área local (802.11b) ( con diferentes variantes como 802.11a, 802.11g, 802.11e y 802.11i )

- Su despegue comenzó en el año 2003 y hoy día es líder en comunicación inalámbrica

- Soporte Wi-Fi incorporado en multitud de aparatos ( portátiles, pda`s, teléfonos móviles… )

- Desde su aparición, la seguridad ha supuesto un punto débil

2

3

Encriptación WEP (funcionamiento)

- WEP, Wired Equivalent Privacy. Introducido en el primer estándar 802.11 en 1999 para cifrar la información durante la transmisión

- Basado en el algoritmo de encriptación RC4, con una clave secreta de 40 ó 104 bits, combinada con un Vector de Inicialización (IV) de 24 bits para encriptar el mensaje M y el cheksum ICV (Integrity Check Value).

- Llamaremos C al mensaje encriptado, así que tendremos:

C = [ M || ICV(M) ] + [ RC4 (K || IV) ]

|| operador concatenación + operador XOR

3

4

Encriptación WEP (funcionamiento)

4

5

Encriptación WEP (funcionamiento)

- El Vector de Inicialización es la clave de la seguridad WEP

- El IV se aplica a cada paquete a la hora de encriptar paquetes

- RC4 es un algoritmo de cifrado de flujo

- Para comprobar la integridad de un mensaje encriptado se utiliza el algoritmo CRC ( Código de Redundancia Cíclica )

5

6

Encriptación WEP (debilidades)

- WEP no fue creado por expertos en seguridad o criptografía

- El IV se transmite en texto simple y el estándar 802.11 no obliga a su incrementación para encriptar los paquetes subsiguientes con claves diferentes

- El tamaño de los IV’s es demasiado pequeño ( 24 bits )

- La cantidad de tramas que pasan a través de un punto de acceso es muy grande. No es difícil encontrar dos mensajes con el mismo IV, y por lo tanto es posible averiguar fácilmente la clave

- Vulnerabilidad ante los problemas de RC4 ( David Wagner )

6

7

Encriptación WEP (debilidades)

- Existen ciertos valores de IV que dan lugar a claves débiles ( derivado de la concatenación de IV||clave y las debilidades del algoritmo RC4 )

- Estas vulnerabilidades son aprovechadas por herramientas de seguridad para crackear una red utilizando simplemente un packet sniffer y un WEP cracker ( airodump & aircrack )

- Crackear claves WEP es sólo cuestión de tiempo Más tráfico Menos tiempo ( aireplay )

- La etapa de integridad también tiene debilidades, pues el algoritmo CRC32 se usa normalmente para detección de errores y no es seguro desde el punto de vista criptográfico ( características lineares de CRC32 )

7

8

Encriptación WEP (R.I.P)8

9

Encriptación WEP (ataques)

Pasos generales para romper una clave WEP (ACCESO)

1º Captura de tráfico y filtrado de paquetes

-Tarjeta en modo monitor. Son necesarios drivers que permitan capturar paquetes que no van dirigidos a nosotros (ataque pasivo)

2º Puede ser necesario / útil la inyección de tráfico en la red

- Envío de ARP-requests para generar respuestas (reinyección ARP) - Ataque chop-chop ( explota deficiencias del chequeo de integridad de WEP, modificación de paquetes / CRC y la dependencia del oper. XOR ) - Otros tipos de ataques activos (desautentificación, falsa autentificación...)

3º Averiguar la clave a partir de IV’s únicos recogidos (crackear)

9

10

Encriptación WEP (ataques)

Desencriptación de tráfico (CONFIDENCIALIDAD)

- La reutilización de un mismo IV al aplicar RC4 posibilita de ataques estadísticos a textos cifrados con el mismo IV

- Solo hay 16 millones de IV’s posibles. Después de interceptar suficiente tráfico seguro que se repiten IV’s

Z = RC4 ( key || IV ) P y P’ plaintexts C y C’ ciphertexts C = (P xor Z) y C’ = (P’ xor Z) C xor C’ = ( P xor Z ) xor ( P’ xor Z ) = ( Z xor Z ) xor ( P xor P’ ) = ( P xor P’ )

C xor C’ = P xor P’ Si hay redundancia, se pueden descubrir P y P’

10

11

Encriptación WEP (ataques)

Modificación y reenvío de tráfico (INTEGRIDAD)

- Vulnerabilidad demostrada por Borisov, Goldberg y Wagner

- El ICV se genera simplemente haciendo un CRC de 32 bits - Los CRC’s son independientes de la clave y del IV - Los CRC’s son lineares: CRC(m xor k) = CRC(m) xor CRC(k)

- El receptor sólo acepta mensajes con ICV válido

- Técnica ‘bit flipping’ para generar un ICV válido ( aprovecha la linearidad del CRC y de la operación XOR )

11

12

Encriptación WEP (conclusiones)

- Somos conscientes de que la encriptación WEP es insegura

- Aumentar el tamaño de las claves de cifrado sólo aumenta el tiempo necesario para romperlo

- Existen mecanismos complementarios para incrementar la seguridad de las WLAN basadas en WEP

- Control de direcciones MAC permitidas - Protocolos de autentificación en niveles superiores - Adaptar la intensidad de señal en los AP a las necesidades - etc … pero sigue siendo insuficiente

- Es necesario otras alternativas de encriptación (WPA, WPA2)

12

13

¿ Qué es WPA ?

- WPA aparece para corregir fallos de seguridad en WEP

- WPA fue creado por ‘The Wi-Fi Alliance’ ( La Alianza Wi-Fi )

- WPA implementa la mayoría del estándar IEEE 802.11i. Medida intermedia mientras se ultimaba IEEE 802.11i (WPA2)

- Diseñado para utilizar un servidor de autenticación, que distribuye claves diferentes a cada usuario. También puede utilizarse un método menos seguro de clave precompartida (PSK, PreShared Key)

13

14

Encriptación WPA (novedades)

- Protocolo de Integridad de Clave Temporal denominado TKIP o Temporal Key Integrity Protocol. Cambia claves dinámicamente a medida que el sistema es utilizado

- Para cifrar la información se sigue utilizando RC4, con una clave de 128 bits y un Vector de Inicialización de 48 bits. El IV mayor evita ataques de recuperación de clave (estadísticos)

- Mejora de la integridad de la información cifrada. En lugar de CRC, se utiliza lo que se denomina MIC ( Message Integrity Check )

o algoritmo ‘Michael’

- WPA incluye un contador de tramas, evitando los ‘replay atacks’

14

15

Encriptación WPA (debilidades)

- Aunque se han descubierto pequeñas debilidades en WPA desde su lanzamiento, ninguna es peligrosa si se siguen unas mínimas recomendaciones de seguridad

- El algoritmo Michael fue el más fuerte que los diseñadores de WPA pudieron crear, bajo la premisa de que debía funcionar en las tarjetas de red inalámbricas más viejas; sin embargo es suceptible a ataques

- Para limitar este riesgo, algunos puntos de acceso requieren que los clientes se vuelvan a asociar cada 30 segundos

15

16

Encriptación WPA (debilidades)

- La La principal debilidad de WPA-PSK es la clave compartida entre estaciones. Siempre que hablemos de claves, será posible realizar ataques basados en diccionario o mediante fuerza bruta

Limitación de WPA

En esta implementación de IEEE 802.11i no se puede utilizar WPA en redes Ad-Hoc ( host a host ), hay que limitarse a utilizar encriptación WEP

16

17

¿ Qué es WPA2 ?

- WPA2 está basada en el nuevo estándar 802.11i. WPA, por ser una versión previa, podría considerarse de ‘migración’. WPA2 sí soporta el estándar al completo.

- WPA2 permite utilizar encriptación WPA en redes de tipo Ad-Hoc, a diferencia de la versión anterior

- Dos posibles modos de funcionamiento:

- WPA2-enterprise incluye todo el conjunto de requisitos WPA2 y es compatible con la autenticación basada en 802.1x/EAP

- WPA2-personal está pensado principalmente para pymes y hogares que requieren una administración de la red menos compleja

17

18

Encriptación WPA2 (debilidades)

- Una debilidad WPA2 es una posibilidad de Denegación del Servicio durante el 4-Way Handshake, utilizado en el proceso de asociación entre dos estaciones

Con los equipos actuales, puede decirse que WPA2 ofrece un buen nivel de seguridad en comparación con WEP

18

19

¿ El futuro de las WLAN?

- WiMAX ( Wireless Microwave Access ) parece ser el substituto de Wi-Fi. Promete revolucionar el sector de las telecomunicaciones

- WiMAX incorpora 3DES ( Triple Data Encription Standard ) y se prevé que se incorpore AES ( Advanced Encryption Standard ) cuando comience su comercialización a gran escala

- Centros pilotos para realización de pruebas repartidos por toda península, incluida Extremadura, en los campus de Cáceres y Badajoz ( red operativa desde el 30 de Septiembre del 2005 )

19

20

F I N

mblanco83@gmail.com

20