Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guillaume Lehembre
Grado de dificultad
A
un cuando se activen las medidas de donde || es un operador de concatenacin y
seguridad en los aparatos Wi-Fi, se + es un operador XOR. Claramente, el vector
utiliza un protocolo de encriptacin de inicializacin es la clave de la seguridad
dbil, como WEP. En este artculo, exami- WEP, as que para mantener un nivel decen-
naremos las debilidades de WEP y veremos te de seguridad y minimizar la difusin, el IV
lo sencillo que es crackear el protocolo. La debe ser aplicado a cada paquete, para que
lamentable inadecuacin de WEP resalta los paquetes subsiguientes estn encriptados
la necesidad de una nueva arquitectura de con claves diferentes. Desafortunadamente
seguridad en el estndar 802.11i, por lo que para la seguridad WEP, el IV es transmitido en
tambin estudiaremos la puesta en prctica texto simple, y el estndar 802.11 no obliga a la
de WPA y WPA2 junto a sus primeras vulne- incrementacin del IV, dejando esta medida de
rabilidades menores y su integracin en los seguridad como opcin posible para una termi-
sistemas operativos.
802.11i
IEEE 802.1X y EAP En enero de 2001, el grupo de
El protocolo de autenticacin IEEE 802.1X (tambin conocido como Port-Based Net- trabajo i task group fue creado en
work Access Control) es un entorno desarrollado originalmente para redes de cable, y IEEE para mejorar la seguridad en
posee mecanismos de autenticacin, autorizacin y distribucin de claves y adems la autenticacin y la encriptacin
incorpora controles de acceso para los usuarios que se unan a la red. La arquitectura de datos. En abril de 2003, la Wi-Fi
IEEE 802.1X est compuesta por tres entidades funcionales:
Alliance (una asociacin que pro-
el suplicante que se une a la red, mueve y certifica Wi-Fi) realiz una
el autenticador que hace el control de acceso, recomendacin para responder a
el servidor de autenticacin que toma las decisiones de autorizacin. las preocupaciones empresariales
ante la seguridad inalmbrica. Sin
En las redes inalmbricas, el punto de acceso sirve de autenticador. Cada puerto fsico embargo, eran conscientes de que
(puerto virtual en las redes inalmbricas) se divide en dos puertos lgicos, formando los clientes no querran cambiar sus
la PAE (Port Access Entity). La PAE de autenticacin est siempre abierta y permite el
equipos.
paso de procesos de autenticacin, mientras que el PAE de servicio slo se abre tras
En junio de 2004, la edicin final
una autenticacin exitosa (por ejemplo, una autorizacin) por un tiempo limitado (3600
segundos por defecto). La decisin de permitir acceso est hecha por lo general por la
del estndar 802.11i fue adoptada y
tercera entidad, el servidor de autenticacin (que puede ser un servidor Radius dedi- recibi el nombre comercial WPA2
cado o por ejemplo en las redes domsticas un simple proceso funcionando en el por parte de la alianza Wi-Fi. El es-
punto de acceso). La Figura 3 ilustra el modo de comunicacin entre estas entidades. tndar IEEE 802.11i introdujo varios
El estndar 802.11i hace pequeas modificaciones a IEEE 802.1X para que las cambios fundamentales, como la
redes inalmbricas estn protegidas frente al robo de identidades. La autenticacin separacin de la autenticacin de
de mensajes se ha incorporado para asegurarse de que tanto el suplicante como el usuario de la integridad y privacidad
autenticador calculan sus claves secretas y activan la encriptacin antes de acceder de los mensajes, proporcionando
a la red. una arquitectura robusta y escala-
El suplicante y el autenticador se comunican mediante un protocolo basado en
ble, que sirve igualmente para las
EAP. El rol del autenticador es, esencialmente, pasivo se limita a enviar todos los
redes locales domsticas como para
mensajes al servidor de autenticacin. EAP es un entorno para el transporte de varios
mtodos de autenticacin y permite slo un nmero limitado de mensajes (Request,
los grandes entornos de red corpo-
Response, Success, Failure), mientras que otros mensajes intermedios son depen- rativos. La nueva arquitectura para
dientes del mtodo seleccionado de autenticacin: EAP-TLS, EAP-TTLS, PEAP, las redes wireless se llama Robust
Kerberos V5, EAP-SIM etc. Cuando se completa el proceso (por la multitud de mto- Security Network (RSN) y utiliza
dos posibles no entraremos en detalles), ambas entidades (suplicante y servidor de autenticacin 802.1X, distribucin de
autenticacin) tendrn una clave maestra secreta. El protocolo utilizado en las redes claves robustas y nuevos mecanis-
inalmbricas para transportar EAP se llama EAPOL (EAP Over LAN), las comunica- mos de integridad y privacidad.
ciones entre autenticador y servidor de autenticacin utilizan protocolos de capa ms Adems de tener una arquitectu-
alta, como Radius, etc. ra ms compleja, RSN proporciona
soluciones seguras y escalables
Algunos puntos de acceso re- comportamiento puede ser mini- para la comunicacin inalmbrica.
quieren que los clientes se vuelvan mizado en aireplay sustituyendo la Una RSN slo aceptar mquinas
a asociar cada 30 segundos. Este segunda opcin (0) por 30. con capacidades RSN, pero IEEE
802.11i tambin define una red tran-
sicional de seguridad Transitional
Security Network (TSN), arquitectu-
ra en la que pueden participar siste-
mas RSN y WEP, permitiendo a los
usuarios actualizar su equipo en el
futuro. Si el proceso de autenticacin
o asociacin entre estaciones utiliza
4-Way handshake, la asociacin
recibe el nombre de RSNA (Robust
Security Network Association).
El establecimiento de un contex-
to seguro de comunicacin consta
de cuatro fases (ver Figura 4):
Fase 3: jerarqua y
distribucin de claves
La seguridad de la conexin se
basa en gran medida en las claves
secretas. En RSN, cada clave tiene
una vida determinada y la seguri-
dad global se garantiza utilizando
un conjunto de varias claves organi- Figura 7. Fase 3: derivacin y distribucin de claves
zadas segn una jerarqua. Cuando
se establece un contexto de seguri-
dad tras la autenticacin exitosa, se
crean claves temporales de sesin
y se actualizan regularmente hasta
que se cierra el contexto de seguri-
dad. La generacin y el intercambio
de claves es la meta de la tercera
fase. Durante la derivacin de la
clave, se producen dos handshakes
(vase Figura 7):
Figura 12. Esquema y encriptacin de TKIP Key-Mixing zones de rendimiento, porque debe
ser soportado por el viejo hardware
de red para que pueda ser actuali-
zado a WPA). Por esta limitacin, se
necesitan contramedidas para evitar
la falsificacin del MIC. Los fallos de
MIC deben ser menores que 2 por
minuto, o se producir una desco-
nexin de 60 segundos y se esta-
blecern nuevas claves GTK y PTK
tras ella. Michael calcula un valor de
Figura 13. Computacin de MIC utilizando el algoritmo Michael comprobacin de 8 octetos llamado
toda la informacin utilizada para cowpatty se cre para aprovechar ser pre-calculada (y guardada en
calcular su valor se transmite en este error, y su cdigo fuente fue tablas) porque la frase de acceso
formato de texto. usado y mejorado por Christophe est codificada adicionalmente se-
La fuerza de PTK radica en el Devine en Aircrack para permitir gn la ESSID. Una buena frase que
valor de PMK, que para PSK signifi- este tipo de ataques sobre WPA. no est en un diccionario (de unos
ca exactamente la solidez de la fra- El diseo del protocolo (4096 para 20 caracteres) debe ser escogida
se. Como indica Robert Moskowitz, cada intento de frase) significa que para protegerse eficazmente de
el segundo mensaje del 4-Way el mtodo de la fuerza bruta es muy esta debilidad.
Handshake podra verse sometido lento (unos centenares de frases Para hacer este ataque, el ata-
a ataques de diccionario o ataques por segundo con el ltimo proce- cante debe capturar los mensajes
offline de fuerza bruta. La utilidad sador simple). La PMK no puede de 4-Way Handshake monitorizando
Glosario
AP Access Point, punto de acceso, estacin base de una MPDU Mac Protocol Data Unit, paquete de datos antes de
red Wi-Fi que conecta clientes inalmbricos entre s y a redes la fragmentacin.
de cable. MSDU Mac Service Data Unit, paquete de datos despus
ARP Address Resolution Protocol, protocolo para traducir de la fragmentacin.
las direcciones IP a direcciones MAC. PAE Port Access Entity, puerto lgico 802.1x.
BSSID Basic Service Set Identifier, Direccin MAC del PMK Pairwise Master Key, clave principal de la jerarqua de
punto de acceso. pares de claves.
CCMP Counter-Mode / Cipher Block Chaining Message PSK Pre-Shared Key, clave derivada de una frase de ac-
Authentication Code Protocol, protocolo de encriptacin ceso que sustituye a la PMK normalmente enviada por un
utilizado en WPA2, basado en la suite de cifrado de bloques servidor de autenticacin.
AES. PTK Pairwise Transient Key, clave derivada de la PMK.
CRC Cyclic Redundancy Check, pseudo-algoritmo de inte- RSN Robust Security Network, mecanismo de seguridad
gridad usado en el protocolo WEP (dbil). de 802.11i (TKIP, CCMP etc.).
EAP Extensible Authentication Protocol, entorno para va- RSNA Robust Security Network Association, asociacin de
rios mtodos de autenticacin. seguridad usada en una RSN.
EAPOL EAP Over LAN, protocolo usado en redes inalm- RSN IE Robust Security Network Information Element,
bricas para transportar EAP. campos que contienen informacin RSN incluida en Probe
GEK Group Encryption Key, clave para la encriptacin de Response y Association Request.
datos en trfico multicast (tambin usada para la integridad SSID Service Set Identifier, identificador de la red (el mis-
en CCMP). mo que ESSID).
GIK Group Integrity Key, clave para la encriptacin de da- STA Station, estacin, cliente wireless.
tos en trfico multicast (usada in TKIP). TK Temporary Key, clave para la encriptacin de datos en
GMK Group Master Key, clave principal de la jerarqua de trfico unicast (usada tambin para la comprobacin de la
group key. integridad de datos en CCMP).
GTK Group Transient Key, clave derivada de la GMK. TKIP Temporal Key Integrity Protocol, protocolo de encrip-
ICV Integrity Check Value, campo de datos unido a los da- tacin usado en WPA basado en el algoritmo RC4 (como en
tos de texto para la integridad (basado en el algoritmo dbil WEP).
CRC32). TMK Temporary MIC Key, clave para la integridad de datos
IV Initialization Vector, vector de inicializacin, datos com- en trfico unicast (usada en TKIP).
binados en la clave de encriptacin para producir un flujo de TSC TKIP Sequence Counter, contador de repeticin usa-
claves nico. do en TKIP (al igual que Extended IV).
KCK Key Confirmation Key, clave de integridad que prote- TSN Transitional Security Network, sistemas de seguridad
ge los mensajes handshake. pre-802.11i (WEP etc.).
KEK Key Encryption Key, clave de confidencialidad que WEP Wired Equivalent Privacy, protocolo de encriptacin
protege los mensajes handshake. por defecto para redes 802.11.
MIC Message Integrity Code, campo de datos unido a los WPA Wireless Protected Access, implementacin de una
datos de texto para la integridad (basdo en el algoritmo Mi- versin temprana del estndar 802.11i, basada en el proto-
chael). colo de encriptacin TKIP.
MK Master Key, clave principal conocida por el suplicante y WRAP Wireless Robust Authenticated Protocol, antiguo
el autenticador tras el proceso de autenticacin 802.1x. protocolo de encriptacin usado en WPA2.
Puesta en prctica
ciacin AP, autenticacin 802.1X, soluciones de encriptacin de alto
en los sistemas 4-Way Handshake etc.). Cuando to- nivel (como VPNs). WPA es una so-
operativos de WPA/ do est funcionando, wpa_supplicant lucin segura para el equipo actua-
WPA2 debera ejecutarse en modo daemon lizable que no soporte WPA2, pero
Windows no incorpora soporte (sustituye la opcin -dd por -B). WPA2 ser pronto el estndar de la
WPA2 por defecto. Una actualizacin En Macintosh, WPA2 es soporta- seguridad inalmbrica. No olvides
para Windows XP SP2 (KB893357) do tras la salida de la actualizacin poner tu equipamiento wireless en
lanzada el 29 de abril de 2005, aa- 4.2 del software Apple AirPort: Los un lugar filtrado y ten a mano una
di WPA2 y una mejor deteccin de Macintosh con AirPort Extreme, La conexin tradicional (con cables)
redes (ver Figura 16). Otros siste- estacin base AirPort Extreme Base para las redes ms importantes
mas operativos de Microsoft tienen Station y AirPort Express. los ataques de interceptacin/
que utilizar un suplicante externo interferencia de radio-frecuencia y
(comercial o de cdigo abierto, co- Sumario los ataques de bajo nivel (violacin
mo wpa_supplicant la versin de Parece claro que la encriptacin del estndar 802.11, de-asociacin
Windows es experimental). WEP no proporciona suficiente falsa, etc.) siguen pudiendo ser de-
En Linux y *BSD, wpa_suppli- seguridad para las redes inalmbri- vastadores. l
cant estaba listo para cuando sali cas, y que slo puede ser usado con
el estndar 802.11i. El suplicante
externo soporta un gran nmero
de mtodos EAP y caractersticas
En la Red
de gestin de claves para WPA, http://standards.ieee.org/getieee802/download/802.11i-2004.pdf Estndar IEEE
WPA2 y WEP. Pueden declararse 802.11i,
varias redes con diferentes tipos http://www.awprofessional.com/title/0321136209 Real 802.11 Security Wi-Fi
de encriptacin, gestin de claves y Protected Access and 802.11i (John Edney, William A. Arbaugh) Addison Wesley
mtodos EAP el Listado 9 presen- ISBN: 0-321-13620-9,
ta un simple fichero de configuracin http://www.cs.umd.edu/~waa/attack/v3dcmnt.htm Un ataque inductivo de texto
de WPA2. El lugar por defecto de la contra WEP/WEP2 (Arbaugh),
configuracin de wpa_supplicant es http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf Debilidades en el algorit-
mo de programacin de claves de RC4 (Fluhrer, Mantin, Shamir),
/etc/wpa_supplicant.conf, y el archi-
http://www.dachb0den.com/projects/bsd-airtools/wepexp.txt optimizacin
vo slo debera ser accesible para el
h1kari,
usuario root. http://www.isaac.cs.berkeley.edu/isaac/mobicom.pdf Interceptacin de comuni-
El daemon wpa_supplicant de- caciones mviles: La inseguridad de 802.11 (Borisov, Goldberg, Wagner),
bera primero lanzarse con privile- http://airsnort.shmoo.com/ AirSnort,
gios de root en modo debug (opcin http://www.cr0.net:8040/code/network/aircrack/ Aircrack (Devine),
-dd), con el controlador adecuado http://weplab.sourceforge.net/ Weplab (Snchez),
(en nuestro ejemplo es -D madwifi http://www.wifinetnews.com/archives/002452.html debilidades de WPA PSK
para soportar el chipset Atheros), el (Moskowitz),
nombre de la interfaz (opcin -i, en http://new.remote-exploit.org/images/5/5a/Cowpatty-2.0.tar.gz Cowpatty, he-
nuestro caso ath0) y la ruta del fiche- rramientas de crackeo de WPA-PSK,
http://byte.csc.lsu.edu/~durresi/7502/reading/p43-he.pdf Anlisis del 4-Way
ro de configuracin (opcin -c):
Handshake de 802.11i (He, Mitchell),
http://www.cs.umd.edu/%7ewaa/1x.pdf Anlisis inicial de seguridad del estn-
# wpa_supplicant
dar IEEE 802.1X (Arbaugh, Mishra),
-D madWi-Fi http://support.microsoft.com/?kbid=893357 WPA2 Actualizacin para Microsoft
-dd -c /etc/wpa_supplicant.conf Windows XP SP2,
-i ath0 http://hostap.epitest.fi/wpa_supplicant/ wpa_supplicant,
http://www.securityfocus.com/infocus/1814 WEP: Dead Again, Parte 1,
Todos los pasos tericos descritos http://www.securityfocus.com/infocus/1824 WEP: Dead Again, Parte 2.
son resultado del modo debug (Aso-