Seguridad en Redes y Análisis Inteligente de Amenazas

Master Universitario en Ciberseguridad

Dr. Manuel Urueña

Tema 7:
Seguridad en redes inalámbricas

Universidad Internacional de La Rioja

 Semana 10
Tema 7

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 2

Índice

1. Redes inalámbricas
2. Wired Equivalent Privacy (WEP)
3. Wi-Fi Protected Access (WPA)
4. Wi-Fi Protected Access 2 (WPA2)
5. Wi-Fi Protected Access 3 (WPA3)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 3

Redes inalámbricas (I)

► Redes inalámbricas de área local (WLAN): Redes radio de bajo

alcance y alta capacidad:
► E.g. ALOHAnet, ETSI HiperLAN , IEEE 802.11

► IEEE 802.11: Especificación técnica de un protocolo WLAN

estandarizado por el grupo IEEE 802 (el mismo que estandariza
Ethernet). Realmente una familia de estándares:
► IEEE 802.11a/b/g/n/ac/ax

► Wi-Fi: Estándar industrial definido por la Wi-Fi Alliance para

desarrollar productos interoperables basados en IEEE 802.11:

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 4

Redes inalámbricas (II)

► IEEE 802.11 ha ido evolucionando pasando de una capacidad de

1 Mbps hasta 46* Gbps!
Estánda Bandas de Ancho de
r Estándar frecuencia banda Tasa Alcance
Wi-Fi IEEE Nivel físico (GHz) (MHz) máxima (int/exterior)
Wi-Fi 0 802.11 FHSS/DSSS/Ir 2.4 22 2 Mbps 20/100m

Wi-Fi 1 802.11a OFDM 5 20 54 Mbps 35/120m

Wi-Fi 2 802.11b HR-DSSS 2.4 22 11 Mbps 38/140m

Wi-Fi 3 802.11g OFDM 2.4 20 54 Mbps 38/140m

Wi-Fi 4 802.11n OFDMx4MIMO 2.4/5 20/40 600 Mbps 70/250m

Wi-Fi 5 802.11ac OFDMx8MIMO 5 20/40/80/160 3,47 Gbps 90/300m

Wi-Fi 6 802.11ax MU-MIMOx8 2.4/5/6 20/40/80/160 14 Gbps 30/120m

Wi-Fi 7 802.11be MU-MIMOx16 2.4/5/6 320/160+160 46 Gbps 30/120m

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 5

 Redes inalámbricas (III)

Scenario to DS from DS Addr 1 Addr 2 Addr 3 Addr 4

Ad-hoc mode 0 0 DA SA BSSID -
Infrastructure mode, from AP 0 1 DA BSSID SA -
Infrastructure mode, to AP 1 0 BSSID SA DA -
Infrastructure mode, within DS* 1 1 RA TA DA SA
*The four addresses are only needed for wireless distribution systems

Source: [Link]

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 6

Redes inalámbricas (IV)
► Tres tipos de tramas IEEE 802.11:
– Tramas de Gestión: (Type=00)
• Association Request/Response (Subtype=0000/0001)
• Reassociation Request/Response (Subtype=0010/0011)
• Probe Request/Response (Subtype=0100/0101)
• Beacon (Subtype=1000)
• Disassociation (Subtype=1010)
• Authentication (Subtype=1011)
• Deauthentication (Subtype=1100)
– Tramas de Control: (Type=01)
• Power Save (PS) poll (Subtype=1010)
• Ready to Send (RTS) (Subtype=1011)
• Clear to Send (CTS) (Subtype=1100)
• Acknowledgement (ACK) (Subtype=1101)
– Tramas de Datos: (Type=10)
• LLC [+ SNAP] + Payload (Subtype=0000)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 7

Redes inalámbricas (V)
► Control de Acceso al Medio:
► Distributed Coordination Function (DCF): Distribuido, best-effort.

► Enhanced Distributed Channel Access (EDCA) [802.11e]: QoS

► DCF implementa (Virtual) Carrier Sense Multiple Access with

Collision Avoidance (CSMA/CA):

DIFS
RTS Data Tiempo
Emisor
SIFS SIFS SIFS
CTS ACK
Receptor
Ventana de
NAV (RTS) Contención
NAV (CTS)
DIFS
Otras estaciones Data

Short Interframe Space (SIFS) < DCF Interframe Space (DIFS)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 8

Redes inalámbricas (VI)
► Escaneo Pasivo: Los Puntos de Acceso (APs) envían tramas Beacon
cada 100 ms:
► Service Set Identifier (SSID): Nombre de la red WLAN → Ocultarla?

► 11 canales → >1 Segundo

► Escaneo Activo: La Estación (STA) mandan tramas Probe Request y

esperan Probe Response del AP:
► Problemas de privacidad:

► ¡Las estaciones deben enviar el SSID de todas las redes

ocultas que conocen!

► La dirección MAC de las estaciones es globalmente única →

Direcciones aleatorias temporales

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 9
2. Wired Equivalent
Privacy (WEP)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 10

 Objetivos WEP
1. “Deber ser razonablemente seguro”: Equivalente a la seguridad de una red
cableada (i.e. no demasiada).

2. “Debe auto sincronizarse”: Cada mensaje debe poder descifrarse

independientemente del resto, porque el medio inalámbrico puede tener
muchas pérdidas.

3. “Debe ser eficiente”: El algoritmo WEP debe poder implementarse en

hardware o software.

4. “Debe poderse exportar”: Fuera de EEUU (i.e. EEUU debe poder

descifrarlo).

5. “Es opcional”: La implementación de WEP es opcional.

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 11

 Autenticación en IEEE 802.11
► Dos métodos de Autenticación:
► Abierto (OSA):
► No necesita clave
► Autenticación WEP (SKA):
1. STA pide autenticarse
2. AP le envía un reto
3. STA cifra el reto con WEP
4. AP descifra el reto con WEP
Devuelve Success/Failure

► ¡¡¡ La Autenticación WEP SKA está rota !!!

► Sin autenticación mutua ni nonces aleatorios:
► ¡Un atacante (AP falso) puede pedir al STA
que cifre cualquier reto!
► Wi-Fi Alliance solo soporta Autenticación
Abierta (OSA):
► Las tramas de datos están cifradas con
WEP y tienen control de integridad ¿no?

► WiFi-Alliance: Autenticación abierta,

seguida de petición de Asociación
(sin cifrar):
► Incluye el SSID (incluso en WLAN ocultas)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 12

 Cifrado e Integridad con WEP
► Cifrado: RC4 con una clave de 40 ó 102 bits + 24 bits de Vector de Inicialización (IV)
que cambia en cada paquete:
► Hasta 4 claves para permitir el rotado → 4 Key IDs
► Todas las STAs comparten la misma clave con el AP → ¡Cualquier STA puede
descifrar todo el tráfico!

► Integridad: Integrity Check Value (ICV) = CRC-32 de los Datos, cifrado con WEP
Sin Cifrado ni Integridad Cifrado = WEP(IV+Kid, DATA | ICV)

3 bytes 6 bits 2 bits 0 - 2304 bytes 4 bytes

802.11 Header IV Pad Key ID DATA ICV FCS
WEP=1

CRC-32(DATA)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 13

 ¿Por qué WEP es inseguro?
► Mala Gestión de Claves:
► Las claves de usuario no deberían utilizarse directamente sino derivarse en claves
de sesión, únicas por usuario.
► Las claves de cifrado no deberían emplearse también para la autenticación.
► Ataques de Repetición:
► Hay un número de secuencia en la cabecera 802.11, pero no está protegida por ICV
(solo los Datos).
► Sin Control de Integridad efectivo:
► CRC no es un Message Integrity Code (MIC) sino un método lineal → El Atacante
sabe qué bits cambiar en el ICV (aunque esté cifrado con XOR).
► Problemas de Cifrado:
► Reutilización de IV: Sólo tiene 24 bits (= 500 tramas/s * 7 horas)
C1 = P1 XOR KSIV+K
C2 = P2 XOR KSIV+K
C1 XOR C2 = (P1 XOR KSIV+K) XOR (P2 XOR KSIV+K) = P1 XOR P2
► Claves RC4 débiles: WEP no ignora los primeros 2048 bytes de RC4.
► Ataques a WEP:
► Encuentran bytes de la clave de manera lineal (una clave de 102 bits solo tarda 2.5
veces más que una clave de 40 bytes).
► Basta con capturar 40.000 tramas (~60 segundos en una WLAN ocupada).

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 14

3. Wi-Fi Protected
Access (WPA)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 15

Wi-Fi Protected Access (WPA)
► Los problemas en WEP se detectaron cuando ya existía una gran base instalada:
► Solución a largo plazo: 802.11i → WPA2
► Solución a corto plazo: WPA

► Wi-Fi Protected Access (WPA) intenta arreglar las debilidades de WEP, manteniendo la
compatibilidad con el hardware RC4:
► Jerarquía de claves
► Autenticación mejorada
► Distribución de claves (EAPOL-Key)
► Autenticación con EAP (EAPOL+RADIUS) con Control de Acceso 802.1x
► Temporal Key Integrity Protocol (TKIP)

► Dos tipos de Autenticación en WPA:

► WPA-Personal: Basada en una Clave Pre-Compartida (PSK) por todas las STAs
► WPA-Empresarial: Basada en la contraseña del usuario en el servidor RADIUS de
la empresa o un certificado digital

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 16

Jerarquía de claves WPA
► Claves Individuales: Cada STA mantiene una clave temporal diferente con el AP para las tramas
unicast:
► Pairwise Master Key (PMK) de 256 bits: Bien una Pre-Shared Key (PSK) (extendida) o un
secreto del servidor AAA empresarial (recortado)
► Pairwise Transient Key (PTK) de 512 bits derivada del PMK durante el 4-way handshake de
EAPOL-Key, luego se dividide en:
► Clave de Cifrado Temporal (TK): 128 bits
► Clave de Integridad (para MIC Michael): 128 bits
► EAPOL-Key Encryption Key (KEK): 128 bits
► EAPOL-Key Confirmation Key (KCK): 128 bits

► Claves de Grupo: Compartidas por todas las STAs para las tramas broadcast/multicast, aunque el
AP puede cambiarlas cada vez que una STA abandona la red:
► El AP crea una Group Master Key (GMK) aleatoria
► Una Group Transient Key (GTK) de 256 bits se deriva de la GMK y se divide en:
► Clave de Cifrado de Grupo: 128 bits
► Clave de Integridad de Grupo: 128 bits

► La derivación de claves se realiza con una Función Pseudo-Aleatoria (PRF) basada en HMAC-SHA1:

PRF ( K, A, B, Len ) {
R = 0;
for (i=0; i<(Len+159)/160); i++)
R = R ∥ HMAC-SHA1(K, A ∥ 0 ∥ B ∥ i);
return trunc(R, Len);
}

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 17

 EAPOL-Key 4-way and Group Key Handshakes
► EAPOL (Extensible Authentication Protocol over LAN) ya se PMK = PBKDF2(PSK,4096)
empleaba para Controlar el Acceso en redes Ethernet
(802.1x). Se le añadió el método EAPOL-Key para WPA: Open Authentication Request
Open Authentication Response
Association Request
Association Response

AP 802.1x controlled port blocked

U1. EAPOL-Key(ANonce)
U2. EAPOL-Key(SNonce, MIC)
► Autenticación mutua gracias al MIC:
U3. EAPOL-Key(Install, MIC)
[Link] = HMAC-MD5(KCK, EAPOL-Key msg)
► PTK se deriva del PMK a partir del EAPOL-Key 4-way U4. EAPOL-Key(ACK, MIC)
handshake (todos los datos son públicos excepto la PMK):
AP 802.1x controlled port
Nonce = PRF(Rand, “Init Counter”, MAC ∥ Time, 256);
unblocked for unicast traffic
PTK = PRF(PMK, “Pairwise key expansion”, PTK
MAC1 ∥ MAC2 ∥ Nonce1 ∥ Nonce2, 512); G1. EAPOL-Key(RC4(GTK), MIC)
► Luego el AP genera la GTK y la envía a la STA cifrada con
G2. EAPOL-Key(ACK, MIC)
RC4(PTK+IV):
GTK = PRF(GMK, “Group key expansion”, GTK Data session
MAC ∥ GNonce, 256);

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 18

 Ejemplo de Autenticación WPA Empresarial

802.11 / EAPOL / EAP

802.11 / EAPOL / EAP / TLS

EAP-TLS

802.11 / EAPOL / EAP / TLS / EAP

PEAP

802.11 / EAPOL-Key PEAP(MS-CHAPv2) = EAP-TLS / EAP(MS-CHAPv2)

PEAP(EAP-TLS) = EAP-TLS / EAP-TLS(client cert.)

Source: [Link]

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 19

Temporal Key Integrity Protocol (TKIP)
► TKIP se creó para resolver las debilidades de WEP cambiando únicamente el firmware
del hardware RC4 legado:
► Ataques de Repetición:
► Usa IV como contador anti-repetición: IV++ por trama
► Evitar la reutilización del IV:
► Aumentar el tamaño del IV de 24 a 48 bits
► IV depende de la dirección MAC → Diferente en cada sentido
► Construye el IV para evitar las claves débiles usadas en los ataques a WEP
► Nuevo Message Integrity Code (MIC) sencillo → algoritmo Michael
► Vulnerable a ataques de fuerza bruta
► Mitigación: Bloquear a la STA durante 60s y renegociar claves cada vez que
falla el MIC
► Utilizar una clave RC4 diferente para cada trama:

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 20

Formato de las tramas WPA
► El MIC lo calcula el driver del Sistema Operativo:
► Dirección MAC Destino (DA)
► Dirección MAC Origen (SA)
► Datos de la trama
► El cifrado TKIP se realiza a nivel de trama 802.11:
► También se aplica al MIC y al viejo ICV de WEP

IV, DA, Data encryption key

Key DA+SA+Data, Data integrity key

mixing

IV, Per-packet encryption key Michael

PRNG Key stream XOR Data+MIC+ICV

IV+Key ID Ext IV
802.11 Header DATA MIC ICV FCS
(Ext IV=1) (IV++)
4 bytes 4 bytes 0 - 2292 bytes 8 bytes 4 bytes

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 21

4. Wi-Fi Protected
Access 2 (WPA2)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 22

IEEE 802.11i / WPA2
► La solución a largo plazo de WEP es IEEE 802.11i (WPA2 según la
Wi-Fi Alliance):
► NO es compatible con el hardware RC4 como WPA

► Principales características de WPA2:

► Mantiene la Autenticación basada en EAPOL-Key y el Control de

Acceso basado en 802.1x de WPA:

► GTK cifrado también se envía en el U3 del 4-way Handshake

► Reemplaza el cifrado de flujo de RC4 por cifrado de bloque con

AES-128-CCMP:
► Requiere nuevo hardware

► Reemplaza MIC Michael con AES-CCMP para la integridad:

► AES-CCMP proporciona tanto cifrado como integridad

► Cambia ligeramente la jerarquía de claves de WPA:

► Única PTK y GTK para cifrado e integridad (AES-CCMP)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 23

AES-CCMP
► AES Counter Mode CBC-MAC Protocol (AES-CCMP):
► Diseñado para 802.11i, luego estandarizado por el NIST
► Cifrado: AES-CTR con clave de 128 bits
► Integridad: Cipher Block Chaining – Message Authentication Code (CBC-MAC)

► Formato de las tramas WPA2:

► La cabecera CCMP incluye un número de paquete (PN) de 48 bits para evitar
ataques de repetición
DATA MIC
PL(i)=[MAC|PN|i]
PL(1) PL(2) … PL(n) PL(0)

AES(K) AES(K) … AES(K) AES(K)

128 bits 128 bits 128 bits 64 bits

CCMP Header
802.11 Header DATA MIC FCS
(Key ID, PN++)
8 bytes 0 - 2293 bytes 8 bytes
128 bits 128 bits 128 bits 128 bits 128 bits
…

AES(K) AES(K) AES(K) AES(K) AES(K) AES(K)

IV 64 64

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 24

Ataques a WPA/WPA2
► AP falso: El atacante utiliza el SSID de la red WAP-Enterprise:
► Si el cliente no comprueba el certificado del servidor RADIUS, ¡se autentica
contra el atacante!
► Ataques de fuerza bruta contra los PINs de Wi-Fi Protected Setup
(WPS) → Wi-Fi Easy Connect:
► La validación emplea 2 mensajes EAP, así que un NAK tardío indica que la
primera parte del PIN es correcta
► PIN de 8 dígitos (pero uno es un checksum) → 104+103 = 11.000 intentos
en lugar de 107.
► Ataques de Denegación de Servicio mediante Desautenticación:
► Las tramas de Gestión no están cifradas, así que el atacante puede enviar
tramas de Desautenticación/Desasocaición a cualquier STA → PMF
► Ataques de diccionario contra el 4-way handshake de EAPOL:
► Todos los datos son públicos excepto PMK = Contraseña (¿débil?)
► Ataque KRACK [Vanhoef & Piessens 2017] al 4-way handshake de
WPA/WPA2 → SAE
► El atacante repite el mensaje U3 para que la STA vuelva a utilizar la misma
Clave y PN=0 → ¡Misma Clave e IV para AES-CTR!
T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 25
5. Wi-Fi Protected
Access 3 (WPA3)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 26

Wi-Fi Protected Access 3 (WPA3)
► Simultaneous Authentication of Equals (SAE) [IEEE 802.11s]:
► Reemplaza PSK con ECDH autenticado

► No es susceptible a KRACK o ataques de diccionario

► Reemplaza AES-CCMP con AES-GCM (acelerado en HW):

► WPA3-Personal: 128 bits

► WPA3-Empresarial: 192 bits

► Wi-Fi Easy Connect:

► Reemplaza WPS (WPA2/WPA3)

► Permite utilizar códigos QR

► Protected Management Frames (PMF) [IEEE 802.11w]:

► Protege a las tramas de gestión (e.g. Desautenticación)
► Oportunistic Wireless Encryption (OWE):
► Utiliza DH para generar una clave de sesión en redes abiertas (i.e. sin clave)
► Susceptible a ataques activos de MitM contra DH (no autenticado)

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 27

 Simultaneous Authentication of Equals (SAE)
► Negociación de PMK basado en ECDH autenticado: Dragonfly [RFC7664]
► Proporciona Perfect Forward Secrecy (PFS) incluso si se descubre la clave

PE = EC(PSK)

SAE Commit (sA, PE-A)

SAE Commit (sB, PE-B)
SAE Confirm (HA)
SAE Confirm (HB)
PMK
Association Request
Association Response

U1. EAPOL-Key(ANonce)
U2. EAPOL-Key(SNonce, MIC)

U3. EAPOL-Key(Install, GTK, MIC)

U4. EAPOL-Key(ACK, MIC)
PTK
Data session
Source: [Link]

T6 - Seguridad en Redes y Análisis Inteligente de Amenazas 28

 Muchas
gracias

[Link]
T6 - Seguridad en Redes y Análisis Inteligente de Amenazas