Está en la página 1de 31

Redes de Acceso Celular

Redes Inalámbricas de Área Local y Personal

WLAN: Estándar IEEE 802.11

Ramón Agüero Calvo


(ramon.agueroc@unican.es)

Ramón Agüero Calvo


1
Redes de Acceso Celular

Contenido
 Introducción
 Estandarización
 Topologías
 Capa física 802.11
 Protocolo MAC 802.11
 Rendimiento
 Operaciones de gestión 802.11
 Seguridad en 802.11

Ramón Agüero Calvo


2
Redes de Acceso Celular

Seguridad en 802.11: Introducción


 Requerimientos tradicionales de seguridad
− Privacidad
− Integridad de los datos
− Autenticación

 El medio inalámbrico es intrínsecamente más vulnerable


 Se trató de solventar este problema, incluyendo el método WEP (Wired
Equivalent Privacy) en la recomendación 802.11
 Sin embargo se ha demostrado como un método poco eficaz, por lo que se
tienen que buscar otras alternativas

Ramón Agüero Calvo


3
Redes de Acceso Celular

¿Qué es WEP?
 Se trata de un mecanismo de seguridad a nivel de enlace, y no extremo a
extremo
− Trata de prevenir “eavesdropping” de tramas en el canal

 Protege las tramas en el medio radio, pero no más allá del punto de acceso
 Un segundo objetivo, menos explícito, es controlar el acceso a la red,
denegando el acceso a estaciones no autenticadas
 Se basa en un algoritmo simétrico, RC4
− Se genera una cadena de bits a partir de una llave
− Esta se utiliza para cifrar el mensaje original, mediante la operación lógica XOR

 Entre otros requerimientos, tenía originalmente el de su sencillez y facilidad


de implementación

Ramón Agüero Calvo


4
Redes de Acceso Celular

Funcionamiento WEP

1. La llave secreta de 40 bits se combina con un


24 bits 40 bits vector de inicialización de 24 bits para formar la
llave RC4

1011010...1 2. En paralelo, la trama de datos se protege con


Datos un vector de chequeo de integridad (CRC-32)
3. La llave se pasa por el algoritmo RC4, formando
1 una secuencia de bits de longitud apropiada

64 bits 4. Esta secuencia se emplea para cifrar la


Algoritmo Detección información y el ICV (operación lógica XOR)
2
de errores (CRC-32)

4 BYTES Integridad
Confidencialidad
Algoritmo Datos ICV
RC4 4

802.11 IV Datos ICV FCS

3 Claro Cifrado Claro


1011000100001010...1

Secuencia Llave RC4


(Trama de datos + ICV)

Ramón Agüero Calvo


5
Redes de Acceso Celular

Formato trama WEP

Parte cifrada

Cabecera MAC IV Datos ICV FCS


802.11 [24B] [4B] [?B] [4B] [4B]

Vector Inicialización Res ID Existen 4 posibles llaves


[3B] [6b] [2b]

Ramón Agüero Calvo


6
Redes de Acceso Celular

Autenticación en WEP
 ¿Cómo se consigue la autenticación?
− Las estaciones tienen que compartir una llave con el Punto de Acceso
− Esta llave se tiene que distribuir (“fuera de banda”) a todas las estaciones, antes
de afrontar la autenticación

Petición
Autentic
ación

nse
e Respo
Challeng
encriptar
Texto sin Estados Estaciones
Challeng
e Respo
Texto en nse 1. No Autenticado / No Asociado
criptado
2. Autenticado / No Asociado
Éxito
3. Autenticado / Asociado

Ramón Agüero Calvo


7
Redes de Acceso Celular

Problemas de WEP
 RC4(KEY,DatosX) ⊕ RC4 (KEY,DatosY) = DatosX ⊕ DatosY
− La llave cambia con el IV, pero este se transmite en claro en el paquete
− Además, siendo de 24 bits, el mismo IV se usará relativamente pronto: un punto
de acceso cargado, con paquetes de 1500 Bytes constantemente, utilizará todos
los IV en 5 horas  “sólo” hay en torno a 17 M de IV
− El estándar recoge que es opcional modificar el IV en cada paquete

 Debilidad de las llaves RC4 – Ataque FMS


− Hay ciertas llaves para las que los primeros bytes de la salida del RC4 no son
completamente aleatorios
⋅ El IV es el comienzo de la llave
⋅ Además la primera parte de los datos cifrados se puede “adivinar”
− Una solución sería descartar los primeros bytes de la salida del RC4

 La integridad se basa en un CRC


− Seguro para errores arbitrarios, no deliberados
− Es lineal, por lo que se pueden cambiar bits en los paquetes
− La integridad se puede asegurar con funciones “hash” no predecibles
Ramón Agüero Calvo
8
Redes de Acceso Celular

Problemas de WEP
 En la fase de autenticación, se transmite el texto claro y después el cifrado
− RC4(KEY,Reto) ⊕ Reto = RetoCifrado
− RetoCifrado ⊕ Reto = RC4(KEY,Reto)
 Control de acceso
− No especificado en el estándar, se suele basar en filtrado por dirección MAC

 Protección en las “respuestas”


− Un atacante que captura tramas y luego hace “mal” uso de ellas

 Distribución de llaves: Talón de Aquiles de los mecanismos de seguridad


simétricos
− La llave tiene que ser conocida por todas las estaciones
− ¿Cómo? El estándar no especifica ningún esquema de distribución
− La llave no puede considerarse como secreta, ya que se tienen que introducir en
el driver o en el firmware de la tarjeta (el usuario la conoce)

Ramón Agüero Calvo


9
Redes de Acceso Celular

Ataques a WEP
 Pasivo para descifrar texto
− Basado en la repetición de los IV
− PARKING LOT ATTACK
− Diccionario: con 15 Gb tabla IV y Llave RC4

 Activo
− Mandar paquetes maliciosos - RC4(X) ⊕ X ⊕ Y = RC4(Y) (Requiere conocer el
paquete original)
− También se pueden hacer ligeras modificaciones en el mensaje (comandos shell,
etc)
 Ataque “con cómplice”

INTERNET

Ramón Agüero Calvo


10
Redes de Acceso Celular

Deficiencias WEP públicas


 Herramientas
− AirSnort: http://airsnort.sourceforge.net/
− WEPCrack: http://sourceforge.net/projects/wepcrack/
− THC-RUT: www.thehackerschoice.com/releases.php
− NetStumbler (www.netstumbler.com/)
 Artículos
− Intercepting Mobile Communications: The Insecurity of 802.11," by Nikita Borisov,
Ian Goldberg and David Wagner
− "Weaknesses in the Key Scheduling Algorithm of RC4," by Scott Fluhrer, Itsik
Mantin and Adi Shamir

Ramón Agüero Calvo


11
Redes de Acceso Celular

Soluciones a la seguridad
 Redes Privadas Virtuales (VPN)
 Remote Authentication Dial In User Services (RADIUS)
 IPsec
 802.1x
 Implementaciones WEP propietarias

802.1x (Potenciado por las compañías)

Ramón Agüero Calvo


12
Redes de Acceso Celular

IEEE 802.1x
 Se basa en el Protocolo de Autenticación Extensible (EAP, RFC 2284,
RFC3748)
 Extensión EAP Over LAN (EAPOL), utilizando servidores RADIUS

Estación Punto de Acceso Servidor Radius


Comienzo EAPOL
Petición Identidad
Respuesta Identidad Petición Acceso RADIUS

Petición EAP Challenge Acceso RADIUS


En función del método de
Respuesta EAP Petición Acceso RADIUS autenticación empleado

Éxito EAP Acceso Aceptado RADIUS

Intercambio llaves

Fin EAPOL

Ramón Agüero Calvo


13
Redes de Acceso Celular

Arquitectura EAP en 802.11

Authentication
Supplicant Authenticator
Server

Método EAP

EAP

EAPOL EAPOL
Radius Radius
802.1x 802.1x

UDP/IP UDP/IP
802.11 802.11
Eth-II Eth-II

Ramón Agüero Calvo


14
Redes de Acceso Celular

Protocolo EAPOL
 EAPOL-Start
− Le manda el Supplicant cuando se conecta a LAN (no conoce la MAC del
Authenticator)
− Es un mensaje dirigido a un grupo [dirección multicast]
− Hay ocasiones que el Authenticator “es conocedor” de que una estación se ha
conectado y puede enviarle “proactivamente” un paquete previo

 EAPOL-Key
− Se emplea para que el Authenticator envíe al Supplicant llaves una vez que está
admitido en la red
 EAPOL-Packet
− Encapsula los mensajes EAP [conexión extremo a extremo con el servidor de
autenticación]

 EAPOL-Logoff
− Para finalizar la conexión

Ramón Agüero Calvo


15
Redes de Acceso Celular

Métodos de autenticación
 EAP-SIM y EAP-AKA
− Utilizando una tarjeta inteligente (GSM y UMTS, respectivamente)

 EAP-TLS (Transport Layer Security)


− Sucesor de TLS
− Autenticación mutua con certificados PKI
− No es muy empleado

 EAP-TTLS (Tunneled TSL) y EAP-PEAP


− Se establece un túnel TLS
− Uso de certificaciones más “restringidas” y sólo para la red: LDAP, Dominio Windows, etc
− Usan diferentes mecanismos de autenticación
⋅ TTLS: PAP, CHAP, MS-CHAP, MS-CHAPv2
⋅ PEAP: Generic Token Card (GTC), TSL, MSCHAP-v2

 LEAP (Lightweight EAP)


− Propietario CISCO

 EAP-FAST
− Propietario de CISCO, más cercano a PEAP y TTLS
− Autenticación: GTC, MS-CHAPv2

Ramón Agüero Calvo


16
Redes de Acceso Celular

¿Qué es WPA?
 Wireless Protected Access
 Solución “adoptada” por WiFi para mejorar las prestaciones de la seguridad
de 802.11
 Anterior al estándar 802.11i
− “Patch” intermedio antes del estándar definitivo

 ¿qué incorpora frente a WEP?


− Servidor 802.1x para la distribución de llaves
− Mejora de RC4  128 bits y vector inicialización de 48 bits
− TKIP (Temporal Key Integrity Protocol)
− MIC (Message Integrity Check)  Michael

Ramón Agüero Calvo


17
Redes de Acceso Celular

Comparativa WEP/WPA
 WEP Vs. WPA

Aspecto WEP WPA


Encriptación Debilidades conocidas Evita los fallos
conocidos de WEP
Llaves de 40 bits Llaves de 128 bits

Estático  la misma Llaves dinámicas 


llave se usa en toda la por usuario, por
red sesión, por paquete
Distribución de llaves Distribución de llaves
manual incorporada
Autenticación Usa WEP, con Sistema de
debilidades autenticación “fuerte”,
con EAP y 802.1x

Ramón Agüero Calvo


18
Redes de Acceso Celular

Elementos WPA
 Encriptación: TKIP
− Permite que sistemas WEP se actualicen para ser seguros
− La llave aumenta de 40 a 104 bits, y es dinámicamente generada por el servidor
de autenticación; además se cambia por trama
− Aumenta el tamaño del vector de inicialización IV (de 24 a 48 bits) y establece
normas de buen uso para seleccionar cada IV
− Además incorpora un TSC (TKIP sequence number) para evitar ataques REPLAY
⋅ Se aprovecha para ello el Vector de Inicialización
− Gestión de llaves jerárquico
⋅ Llave maestra (generada por el servidor de autenticación) que puede generar 500
trillones de llaves

 Integridad: MIC
− El MIC se usa para reemplazar el CRC
− Protege fuertemente los paquetes, para que no sean modificados  integridad

 Autenticación: 802.1x + EAP

Ramón Agüero Calvo


19
Redes de Acceso Celular

WPA: Jerarquía de llaves


 WPA emplea diferentes tipos de llaves a distinto nivel
− Pairwise key: se emplea en el intercambio de información entre dos terminales
⋅ Cada terminal necesita, al menos, la pairwise key para comunicarse con el AP, y éste
necesitará una por cada uno de los terminales
− Group key: llave que se comparte por un grupo de terminales y se emplea en la
difusión de mensajes broadcast o multicast

 Cada tipo de llave tiene asociada su jerarquía correspondiente


 También se distingue entre llaves “pre-compartidas” y “basadas en servidor”
− Las últimas requieren una autenticación de nivel superior [servidor RADIUS]

Ramón Agüero Calvo


20
Redes de Acceso Celular

Jerarquía Pairwise
 Comienza con la Llave pairwise maestra (PMK)  puede ser preshared o
server-based
− En entornos reducidos (oficinas pequeñas, hogar) no es práctico montar un
servidor Radius: se usa la solución PreShared Key (PSK)

 LA PMK tiene un tamaño de 32 octetos


 El punto de acceso maneja una PMK diferente con cada terminal
− En una solución con servidor, éste mantiene/genera el PMK

 La PMK no se usa directamente para el cifrado!!! Se generan un conjunto


de llaves temporales, denominadas PTK (pairwise transient key)
− Llave para cifrado de datos (1)
PMK
− Llave para integridad de datos (2) (1)
Nonce1
− Llave para cifrado EAPOL (3) (2)
Nonce2 Generación
− Llave para integridad EAPOL (4) PTK (3)
MAC1
(4)
MAC2

Ramón Agüero Calvo


21
Redes de Acceso Celular

Obtención de las llaves PTK


1. Tanto el AP como la estación generan sus
valores Nonce, sin ninguna relación entre
ellos
2. El AP manda su ANNonce a la estación,
utilizando un mensaje EAPOL; el mensaje
va en claro

Estación Punto de Acceso 3. La estación puede generar ya las llaves


temporales, pues conoce toda la
información necesaria
1 1
4. La estación manda su SNonce al AP;
ANNonce
2 también viaja en claro, pero esta vez se
3
protege con un MIC, para no poder ser
4 modificado (se utiliza la llave de integridad
SNonce + MIC EAPOL – 4)  Además permite que el AP
6
5
confirme la identidad de la estación
7 5. El AP calcula las llaves temporales y,
además, comprueba (a través del MIC) la
identidad de la estación
6. El AP le comunica a la estación que está
listo para empezar a utilizar las llaves; utiliza
MIC para que la estación compruebe su
identidad
7. ACK, se comienzan a emplear las llaves
para la encriptación

Ramón Agüero Calvo


22
Redes de Acceso Celular

Llaves de grupo en WPA


 Se componen de la GMK (Group Master Key), que genera el AP
 También existen las GTK (Group Transient Key)
− Llave de cifrado de grupo
− Llave de integridad de grupo

 El AP manda el GTK a cada estación tras generar las llaves PTK


− Información cifrada (mensajes EAPOL)

Ramón Agüero Calvo


23
Redes de Acceso Celular

EAPOL-Key
 Mensaje definido en WPA para el intercambio de llaves entre el AP
(Authenticator) y el terminal móvil (Supplicant)

Tipo Descriptor [1B] 254 en WPA

Información llave Longitud llave Información control acerca del mensaje


[2B] [2B]

Número secuencia [8B] Protege frente ataques REPLAY

Nonce [32B]
IV para la protección de mensajes
IV EAPOL Key [16B]
EAPOL (e.g. GTK)
Sequence Start [8B] Valor de secuencia esperado tras el intercambio
de llaves – Evita ataques REPLAY
Key ID [8B] No se usa en WPA

Key MIC [8B]

Longitud datos llave Datos llave


Datos cifrados (e.g. GTK)
[2B] [2B]

Ramón Agüero Calvo


24
Redes de Acceso Celular

Funcionamiento WPA
Datos
• La llave se obtiene a partir de la
dirección MAC origen el IV y la llave
Llave Sesión
de la sesión
MICHAEL

Mezcla llave Generación IV

8B 4B
Algoritmo Datos Michael ICV
RC4 IV/KeyID IV ext
4B 4B

1011000100001010.1 802.11 IV Datos MIC ICV FCS

Claro Cifrado Claro

Ramón Agüero Calvo


25
Redes de Acceso Celular

Funcionamiento WPA: Mezcla llaves


Vector Inicialización
Dirección MAC Llave
[Contador Secuencia]
Transmisor Sesión
32 msb 16 msb

Fase 1
Mezcla llaves

Fase 2
Dummy Byte, para
Mezcla llaves
evitar llaves débiles

IV D IV 104 bits
[8b] [8b] [8b] [Llave Secreta]

Ramón Agüero Calvo


26
Redes de Acceso Celular

Formato trama WPA

Parte cifrada

Cabecera MAC IV IV Ext Datos MIC ICV FCS


802.11 [24B] [4B] [4B] [?B] [8B] [4B] [4B]

Vector Inicialización Res Ext IV ID


[3B] [5b] [2b]

Ramón Agüero Calvo


27
Redes de Acceso Celular

IEEE 802.11i – WPA2


 Publicado en Junio de 2004, se le conoce como WPA2
 La mayor diferencia con WPA es que usa AES como método de
encriptación
− No se conocen “ataques” exitosos a este método
− Es un método de encriptación de bloque (no de flujo, como RC4)
− AES está basado en el algoritmo de Rijndael

 Define un nuevo tipo de red inalámbrica: RSN (Robust Security Network)


− Puede estar basada en TKIP o CCMP [por defecto]
− Para favorecer la interoperabilidad, también establece la red TSN (Transitional
Security Network)

 Arquitectura 802.11i / WPA2


− 802.1x para la autenticación  idéntica a la empleada por WPA/TKIP
− CCMP (Counter-Mode/CBC-Mac Protocol)  integridad, confidencialidad,
integridad y autenticación

Ramón Agüero Calvo


28
Redes de Acceso Celular

Funcionamiento CCMP
Cabecera MAC

AAD
Campos
protegidos MIC

Trama MAC
SRC@ Nonce Cifrado
PN + SRC@ CCMP
+ Priority
(MIC)
Datos

Temporary
Key

Packet Incremento
Number PN

Cabecera
KeyID
CCMP

Ramón Agüero Calvo


29
Redes de Acceso Celular

Formato CCMP
 El formato de su trama es similar al de TKIP
− No incorpora ICV – Packet Number
− El formato de la cabecera CCMP es similar al de TKIP (combinación IV/IV
Extendido)
− La principal diferencia es en la implementación  se emplea AES y no RC4

Parte cifrada

Cabecera MAC CCMP Datos MIC FCS


802.11 [24B] [8B] [?B] [8B] [4B]
Ext IV

PN(0-1) Res Res ID PN(2-5)


[2B] [1B] [5b] [2b] [4B]

Ramón Agüero Calvo


30
Redes de Acceso Celular

Seguridad desde un punto de vista práctico


 En los puntos de acceso  Routers Wi-FI
 Filtrado MAC/IP
 DHCP
 No transmisión de Beacons
 Soluciones más avanzadas, de cortafuegos

Ramón Agüero Calvo


31