Universidad de Buenos Aires Facultad de Ciencias Exactas y Naturales Departamento de Computacin

Seguridad de la informacin
Primer Cuatrimestre Ao 2006

Seguridad en Redes Inalmbricas

Javier Alvarez Dasnoy Horacio Buhanna Jorge Garca

Seguridad en Redes Wireless

NDICE
1. INTRODUCCIN ............................................................................................................................. 3 2. CONCEPTOS CLAVES .................................................................................................................... 3
2.1. IEEE 802.11 / WI-FI / WLAN .......................................................................................................................3 2.2. MODOS DE OPERACIN .........................................................................................................................................5 2.2.1. MODO AD-HOC O PEER-TO-PEER ............................................................................................................................5 2.2.2. MODO INFRAESTRUCTURA
O ACCESS POINT / CLIENTE .........................................................................................6

2.3. WAP: WIRELESS ACCESS POINT ........................................................................................................................6 2.3.1. ROGUE ACCESS POINT ...........................................................................................................................................7 2.4. SSID: SERVICE SET IDENTIFIER .......................................................................................................................7 2.5. HOTSPOT ................................................................................................................................................................7 2.5.1. POISONED HOTSPOT ...............................................................................................................................................7 2.6. IEEE 802.1X........................................................................................................................................................8 2.7. WIMAX (IEEE 802.16) ....................................................................................................................................8

3. REDES INALMBRICAS SEGURAS .................................................................................................. 9

3.1. WEP: WIRED EQUIVALENT PRIVACY .................................................................................................................9 3.1.1. INTRODUCCIN ......................................................................................................................................................9 3.1.2. FUNCIONAMIENTO DE WEP ...................................................................................................................................9 3.1.3. DEBILIDADES .......................................................................................................................................................11 3.1.4. TCNICAS DE ATAQUE ..........................................................................................................................................12 3.2. WPA: WI-FI PROTECTED ACCESS....................................................................................................................14 3.2.1. INTRODUCCIN ....................................................................................................................................................14 3.2.2. FUNCIONAMIENTO DE WPA .................................................................................................................................14 3.2.3. DEBILIDADES Y TECNICAS DE ATAQUE .................................................................................................................18 3.3. WPA2 (IEEE 802.11I) ...................................................................................................................................19 3.3.1. INTRODUCCIN ....................................................................................................................................................19 3.3.2. FUNCIONAMIENTO DE WPA2 ...............................................................................................................................19 3.3.3. DEBILIDADES Y TCNICAS DE ATAQUE ..................................................................................................................21 3.4. MEDIDAS PARA HACER MS SEGURA UNA RED WI-FI .....................................................................................22 3.4.1. FILTRADO ............................................................................................................................................................22 3.4.2. CHECK-LIST DE MEDIDAS PARA ASEGURAR UNA RED INALMBRICA (YA SEA WEP, WPA O WPA2) ......................22

4. HERRAMIENTAS PARA DETECCIN Y CRACKEO DE REDES WIRELESS...................................... 24 5. RELEVAMIENTO DE LAS REDES INALMBRICAS DEL PABELLN 1 DE LA FCEYN DE LA UBA 26 6. BIBLIOGRAFA Y REFERENCIAS ................................................................................................. 29

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 2 de 29

Seguridad en Redes Wireless

1. INTRODUCCIN
Las redes inalmbricas estn adquiriendo una importancia cada vez mayor, debido a que la baja de los precios de los dispositivos para establecer una red inalmbrica hace que sea muchas veces una opcin mucho ms econmica (y flexible) que instalar una red cableada. Asimismo, no slo las computadoras personales utilizan este tipo de tecnologa, sino que cada vez ms se lanzan al mercado distintos dispositivos que utilizan la tecnologa (PDAs, consolas de juegos, celulares). Existen estndares en desarrollo para utilizar la tecnologa en autos y rutas para informar al conductor sobre accidentes, congestionamientos, recolectar estadsticas, etc. La creciente masividad de este tipo de redes presenta un desafo en materia de seguridad de la informacin. Cualquier persona que est dentro del rango de alcance de la red puede unirse a ella si no se toman las medidas de seguridad apropiadas. Cualquiera que sea parte de la red puede estar sniffeando muy fcilmente la informacin transmitida (claves de mail o conversaciones de chat por ejemplo) o acceder a directorios compartidos en alguna PC que forme parte de la red. Sin embargo, lo ms comn es utilizar una red inalmbrica no protegida para acceder a Internet sin pagar a un ISP. Esto puede generar perjuicios econmicos al poseedor del acceso a Internet si es que paga por la cantidad de datos transmitida o recibida. Adems un atacante puede realizar acciones ilegales utilizando la red atacada, aunque la responsabilidad legal del dueo de la red es discutible. Los dispositivos no obligan al usuario que instala una red inalmbrica a configurar una clave de acceso para acceder a la misma. Adems de eso, como se ver ms adelante, el primer estndar para proteger una red inalmbrica de accesos no permitidos (WEP) es violable utilizando las herramientas adecuadas, que pueden obtenerse libremente de Internet. En este trabajo, se presentarn los conceptos claves para comprender el funcionamiento de este tipo de redes y se analizarn en profundidad los distintos mecanismos de proteccin. Finalmente, se realizar un anlisis de las redes existentes en el mbito de la Facultad de Ciencias Exactas y Naturales de la Universidad de Buenos Aires.

2. CONCEPTOS CLAVES
2.1. IEEE 802.11 / Wi-Fi / WLAN
Cuando la tecnologa se comenz a comercializar, los consumidores no podan saber si productos de diferentes marcas iban a ser compatibles. En ese marco surgi una comunidad conocida actualmente como Wi-Fi Alliance, que comenz a identificar a los productos que eran interoperables entre s con el logo Wi-Fi Certified.

Wi-Fi es el nombre comercial que utiliza la Wi-Fi Alliance para describir a los productos de WLAN (Wireless LAN) que operan bajo el estndar 802.11 del IEEE (Institute of Electrical and Electronics Engineers).

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 3 de 29

Seguridad en Redes Wireless

La versin original del estndar se denomina 802.11 legacy y fue lanzada en 1997. Provea una capacidad de transferencia de datos de 2 Mbit/s, operando en la frecuencia de 2.4Ghz. Una desventaja de esta versin del estndar es que dejaba demasiada libertad en el momento de la implementacin, haciendo la interoperabilidad entre dispositivos de diferentes marcas muy difcil. En 1999 se lanz la extensin (amendment) 802.11b, que tuvo una amplia aceptacin por parte del mercado. Hoy en da la gran mayora de los dispositivos siguen siendo compatibles con esta versin del estndar. La capacidad de transferencia de datos es de 11 Mbit/s y opera en la frecuencia de 2.4Ghz. La extensin 802.11a del estndar fue ratificada tambin en 1999, aunque los primeros productos implementando este estndar salieron al mercado en 2001. La capacidad de transferencia de datos es de 54 Mbit/s. Al operar en la frecuencia de 5 Ghz, los riesgos de interferencia son mucho menores que para los dispositivos que operan en 2.4 Ghz, pues esta frecuencia es usada en varios dispositivos y electrodomsticos de uso cotidiano (telfonos inalmbricos, hornos microondas y dispositivos Bluetooth). Sin embargo, esta versin del estndar no fue adoptada masivamente debido a varias razones. En primer lugar, ya haba muchos productos en el mercado implementando el estndar 802.11b, que es incompatible con el 802.11a. En segundo lugar, las regulaciones gubernamentales atrasaron el lanzamiento de productos (en Europa por ejemplo, recin fue permitido su uso a partir del ao 2002). En tercer lugar, la utilizacin de la frecuencia de 5 Ghz implica que la penetracin de la seal no es tan alta como en el caso de 2.4 Ghz., ya que es absorbida con mayor facilidad. La extensin 802.11g del estndar fue ratificada en el ao 2003, y es compatible con dispositivos que implementan la versin 802.11b del estndar. Sin embargo, la presencia de un dispositivo 802.11b reduce significativamente la performance de una red 802.11g. La frecuencia de operacin es 2.4Ghz y la capacidad de transferencia de datos es de 54 Mbit/s. El alcance de los dispositivos 802.11g es un poco mayor que el de dispositivos 802.11b, aunque el alcance operando a mxima velocidad de transferencia de datos es mucho menor en una red 802.11g que en una red 802.11b. Esta versin del estndar es la que se encuentra vigente al momento de realizar este trabajo. Hoy en da, la gran mayora de los dispositivos en venta soportan este estndar, aunque existen algunos (ms econmicos) que slo soportan el estndar 802.11b. La extensin 802.11n del estndar est prevista para mediados del ao 2007. Operar en la frecuencia de 2.4 Ghz y tendr una capacidad de transferencia aproximada de 540 Mbit/s, con un alcance mayor que las extensiones 802.11b y 802.11g. A continuacin se muestra una tabla comparativa de las diferentes versiones del estndar. Versin del Estndar 802.11 legacy 802.11b 802.11a 802.11g 802.11n Ao de ratificacin del estndar 1997 1999 1999 2003 2007 (estimado) Frecuencia de Operacin 2.4 Ghz 2.4 Ghz 5 Ghz 2.4 Ghz 2.4 Ghz Mxima capacidad de transferencia 2 Mbit/s 11 Mbit/s 54 Mbit/s 54 Mbit/s 540 Mbit/s Alcance (en interiores) Informacin no disponible 30 metros 10 metros 30 metros 50 metros

El acceso al medio fsico en todas las versiones del estndar hasta la actualidad se realiza utilizando CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Por ltimo, la extensin 802.11i del estndar especifica mejoras en la seguridad de las redes inalmbricas. Fue ratificada en el ao 2004 y es conocida comercialmente como WPA2. Vase la seccin 3 y en particular la seccin 3.3 de este trabajo para una descripcin detallada.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 4 de 29

Seguridad en Redes Wireless

El estndar 802.11 (b y g) especifica que el espectro de 2.4 Ghz se divide en 14 canales. Cada canal utiliza 22 Mhz. La diferencia en el centro de la frecuencia utilizada por dos canales contiguos es de 5 Mhz. Esto significa necesariamente que las frecuencias de los canales se superponen (ver figura).

En general se recomienda que si existen redes que operan en forma cercana, se utilicen los canales 1, 6 y 11, ya que stos no se superponen. Sin embargo, esto ser as solamente si la potencia de los transmisores es tal que la seal no es demasiado fuerte fuera del lmite de los 22 Mhz asignados a cada canal.

2.2. Modos de operacin

2.2.1. Modo ad-hoc o peer-to-peer
Un dispositivo funcionando en modo ad-hoc puede comunicarse directamente con otro sin necesidad de un access point. Utilizar este modo de operacin es anlogo a una red peer to peer de oficina, en la cual no existe una estacin que debe operar como server. En este tipo de red existen un nmero de nodos o estaciones inalmbricas que se comunican unas con otras ad-hoc construyendo una topologa de tipo full mesh. Habitualmente se utiliza por ejemplo cuando se desea conectar dos PC para compartir el acceso a Internet de una de las PC sin utilizar un access point.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 5 de 29

Seguridad en Redes Wireless

2.2.2. Modo infraestructura o access point / cliente

Es el modo de funcionamiento ms comn. Una computadora o un dispositivo especfico (el caso ms usual) acta como access point y los clientes inalmbricos se conectan a la red mediante el access point. La administracin de los access points se realiza usualmente mediante una interfase web. En la mayora de las redes corporativas, las estaciones requieren acceso a servicios de red cableadas y por esa razn deben hacer uso de este tipo de topologas, donde el access point se encuentra conectado a la red corporativa (va una red cableada) y acta como nexo entre las estaciones inalmbricas y la red tradicional.

2.3. WAP: Wireless Access Point

Un access point es usualmente un dispositivo dedicado que est conectado a una red cableada y que permite el acceso inalmbrico a esa red. Sin embargo, el access point puede tambin ser una computadora configurada a tal efecto, y tambin es posible que el access point no est conectado a una red cableada, sino que se utilice solamente para formar una red inalmbrica. La configuracin ms comn en mbitos hogareos es conectar el access point a Internet mediante una conexin de banda ancha, y de esta manera permitir el acceso inalmbrico a Internet. Tambin se utilizan (cada vez ms frecuentemente) con el fin de ofrecer acceso a Internet a los clientes de un comercio, creando lo que se denomina un Hotspot (ver seccin 2.5)

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 6 de 29

Seguridad en Redes Wireless

En mbitos empresarios, un access point es tpicamente utilizado para permitir acceso inalmbrico a una red cableada existente. Tambin pueden ser usados para unir dos redes cableadas cuando las condiciones fsicas hacen difcil o costoso realizar un enlace fsico.

2.3.1. Rogue Access Point

Un access point instalado en una red de una compaa sin autorizacin es denominado un Rogue Access Point. Representa un gran riesgo de seguridad, ya que permite que personas no autorizadas accedan a la red de la compaa. Si no es posible controlar que no se instalen access points en la organizacin, puede utilizarse un sistema de deteccin de intrusiones inalmbrico (wireless intrusion detection system) para verificar que no se instalen access points no autorizados. Estos sistemas monitorean las frecuencias utilizadas por las WLANs en bsqueda de access points no autorizados.

2.4. SSID: Service Set IDentifier

El SSID es un identificador que se incluye en todos los paquetes de una red inalmbrica con el propsito de identificar cada paquete como parte de la red. Todos los dispositivos deben compartir el mismo SSID para comunicarse entre s mediante la red inalmbrica. Un access point (modo infraestructura) o un dispositivo puesto en modo peer to peer realiza un broadcast de su SSID cada 100 ms, mediante paquetes llamados beacons. Los beacons son transmitidos a una velocidad de 1 Mbit/s y no afectan la performance de la conexin ya que no poseen un gran tamao. El broadcast del SSID puede ser deshabilitado, pero esto no redunda en una mayor seguridad ya que las herramientas disponibles en la actualidad permiten detectar redes inalmbricas aunque no realicen el broadcast del SSID.

2.5. Hotspot
Un Hotspot es un lugar con acceso pblico a Internet mediante redes inalmbricas. En general cuando el cliente se conecta a la red, es redirigido a una pgina donde se le requiere algn tipo de autenticacin o pago, o se le pide que acepte las condiciones de uso. Estas pginas reciben el nombre de captive portals. En general, una vez realizado el pago, la IP y MAC address son habilitadas para acceder a la red. Sin embargo, esta proteccin es muy fcil de evadir utilizando un simple sniffer. Una vez que una PC se autentica con xito, es posible realizar un spoofing de su MAC address e IP y obtener acceso.

2.5.1. Poisoned hotspot

Un poisoned hotspot es un access point que se hace pasar por otro en un lugar de acceso pblico, instalado por intrusos con el objetivo de obtener informacin personal como tarjetas de crdito, nombres de usuario, etc. El usuario final cree que se est conectando con el access point de un lugar confiable, pero en realidad se est conectando al falso access point, que puede recabar los datos que el usuario utiliza para el pago del servicio, como los datos de su tarjeta de crdito. Tambin puede ser utilizado para sniffear el trfico de los clientes que se conectan y recabar la informacin transmitida.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 7 de 29

Seguridad en Redes Wireless

2.6. IEEE 802.1X

IEEE 802.1X es un estndar para Control de Acceso a redes que permite la autenticacin de dispositivos de una red LAN. En redes inalmbricas, se utiliza para la autenticacin de los dispositivos que intentan unirse a la red. Est basado en el framework de autenticacin EAP (Extensible Authentication Protocol). En general la autenticacin se realiza por una entidad independiente, como puede ser un servidor RADIUS. La autenticacin puede ser slo del lado del servidor (PEAP) o tanto del Cliente como del Servidor utilizando una PKI (EAP-TLS). La implementacin de Microsoft de un servidor Radius utilizando PEAP es el IAS (Internet Authentication Service). La Wi-Fi Alliance incluye en su programa de certificacin cinco mecanismos de autenticacin basados en EAP para los productos que implementan WPA y WPA2 (EAP-TLS, EAP-TTLS, PEAPv0, PEAPv1, EAP-SIM). Previamente, las distintas compaas comenzaron a incorporar soporte para estos protocolos, pero sin que exista un programa de certificacin para asegurar la interoperabilidad de dispositivos de distintas marcas. Hasta Abril de 2005, EAP-TLS era el nico que las compaas deban certificar para obtener el logo de certificacin de WPA o WPA2.

2.7. WiMAX (IEEE 802.16)

Es una tecnologa para desarrollar una Metropolitan Area Network que permite conectar dispositivos 802.11 entre s y con Internet. Es una alternativa a los servicios tradicionales de banda ancha.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 8 de 29

Seguridad en Redes Wireless

3. REDES INALMBRICAS SEGURAS

3.1. WEP: Wired Equivalent Privacy 3.1.1. Introduccin
WEP fue el primer protocolo de encriptacin introducido en el estndar 802.11, en el ao 1999. No fue creado por expertos en criptografa, y rpidamente se demostr que era inseguro. Uno de los artculos ms importantes demostrando las debilidades de WEP es el de Scott Fluhrer, Itsik Mantin y Adi Shamir en el ao 2001, titulado Weaknesses in the Key Scheduling Algorithm of RC4. En el ao 2004, una nueva optimizacin de los ataques (Korek) y el desarrollo de herramientas implementando estos ataques mostraron que WEP no es apto ni siquiera para uso hogareo.
RC4

Desde el punto de vista de distribucin de claves, WEP no establece ni obliga a utilizar un mecanismo predeterminado. En la realidad ocurre que en la mayora de las implementaciones la distribucin de claves se realiza en forma manual (es decir, el usuario debe ingresar una clave manualmente en todos los dispositivos que formarn parte de la red). Sin embargo, otras implementaciones utilizan mecanismos de distribucin ms robustos, como el uso de servidores de autenticacin (por ejemplo RADIUS). El problema en la mecnica WEP es que el estndar no obliga a soportar un mecanismo especfico de distribucin de claves, dejando a libre albedro la incorporacin en los dispositivos de estos mecanismos. A diferencia de WEP, para certificar WPA la Wi-Fi Alliance exige que los dispositivos permitan ambos mtodos de distribucin. La filosofa del estndar 802.11 es dejar en manos del administrador de la red el control y mantenimiento de la seguridad, y es por ello que al momento de definir los aspectos de seguridad a incluir se plantearon los siguientes criterios para elegir un mtodo de encriptacin. El mtodo deba ser: Exportable Razonablemente robusto Auto-sincrnico (es decir, no debe requerir sincronizacin manual). Computacionalmente eficiente Opcional

3.1.2. Funcionamiento de WEP

WEP est basado en el algoritmo de encriptacin RC4, con una clave secreta de 40 o 104 bits y un vector de inicializacin de 24 bits. El algoritmo de encriptacin RC4 fue diseado por Ron Rivest de RSA Security en el ao 1987. Hasta el ao 1994 fue un secreto comercial, pero el cdigo fue publicado en Internet de manera annima. Se trata de un algoritmo de cifrado de flujo (stream cipher). Se genera un stream de bits pseudoaleatorio (keystream) que se combina con el mensaje a encriptar realizando un XOR bit a bit. Es de mucha importancia para un cifrador de flujo que el encriptar el mismo mensaje dos veces produzca un texto cifrado diferente. Para la generacin del keystream en WEP, se utiliza un vector de inicializacin (IV) de 24 bits, que es enviado en claro. Cada paquete es encriptado con distintos vectores de inicializacin, para lograr que cada paquete sea encriptado con una clave diferente. El vector de inicializacin se utiliza porque, debido a la naturaleza del algoritmo RC4, si un atacante tiene acceso a 2 textos cifrados con la misma clave es posible obtener mediante ataques estadsticos los 2 textos planos originales, y una vez que se obtiene el texto plano a partir de un texto cifrado es simple obtener la clave.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 9 de 29

Seguridad en Redes Wireless

RC4 consta de dos partes: un algoritmo denominado Key-Scheduling Algorithm (KSA) y un algoritmo denominado Pseudo-Random Generation Algorithm (PRGA). El algoritmo KSA convierte una clave aleatoria dada K en una permutacin inicial, que luego es utilizada por el algoritmo PRGA para generar un keystream pseudo-aleatorio, que es el que se utiliza para la encriptacin. A cada mensaje en claro M a ser encriptado se le calcula un checksum de integridad denominado Integrity Check Value (ICV) a fin de prevenir modificaciones en el texto cifrado, ya que una alteracin en el mismo implicara una alteracin del mensaje original (si un atacante conoce la estructura del mensaje que se est enviando podra alterar valores estratgicos en la informacin enviada). Este checksum es calculado utilizando CRC-32. Dada una clave K, el mensaje encriptado C se calcula de la siguiente forma: C = [ M ++ ICV (M) ] XOR [ RC4 (K ++ IV) ] Donde ++ es un operador de concatenacin. A este mensaje C se le agregan al comienzo 4 bytes, indicando el vector de inicializacin (3 bytes) y el KeyID (indica cul de las 4 posibles claves guardadas tanto en el cliente como en el servidor se utiliz para realizar la encriptacin).

Cada uno de los paquetes es encriptado utilizando un IV diferente, de manera que cada paquete es encriptado con una clave diferente. La distribucin de claves est a cargo del administrador de la red y suele implementarse de forma esttica (asignando manualmente las claves a los usuarios) o mediante un servidor de claves centralizado. Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 10 de 29

Seguridad en Redes Wireless

La asignacin esttica tiene como ventajas la facilidad de implementacin, ya que consta en ingresar manualmente las claves entre los clientes autorizados. La desventaja es el mantenimiento, ya que en caso de que las claves resulten comprometidas deben reemplazarse manualmente todas las claves del sistema, por lo que esta metodologa no es factible para redes con muchas terminales. Cada AP permite la asignacin de hasta 4 claves de 40 bits o una clave de 128 bits. La asignacin de varias claves permite que distintos usuarios de una misma red utilicen diferentes claves WEP, minimizando levemente el riesgo de comprometer toda la red, ya que si se vulnera una clave slo se comprometen las workstations que usan dicha clave y no las otras workstations de la red. La opcin de un servidor centralizado de claves supone la dedicacin exclusiva de un servidor para las tareas de generacin de claves, distribucin de claves y la rotacin de las claves en los casos que se requiera. El objetivo de un servidor dedicado es no comprometer la performance de la red con el proceso de encriptacin y distribucin de claves. Generalmente los access point y las estaciones tienen asignadas claves manualmente.

3.1.3. Debilidades
CRC no es criptogrficamente seguro: Los CRC, si bien son tiles para detectar errores de transmisin, no deben ser considerados confiables para verificar la integridad de los datos ya que, debido a su naturaleza, es muy fcil cambiar datos intencionalmente. Esto se debe a que es un algoritmo lineal (dada la modificacin de 1 bit es simple calcular el CRC que corresponde a los datos modificados) y no est asociado a la clave de WEP. Es decir que el ICV no debera ser utilizado para verificacin de integridad. El IV no es suficientemente grande: Dado que RC4 es un cifrador por flujo, es de mucha importancia que una misma clave de encriptacin no sea usada ms de una vez para cifrar paquetes. Este es el propsito del vector de inicializacin, pero 24 bits no son suficientes para prevenir repeticiones en una red con mucho trfico. Si un atacante captura paquetes que han sido encriptados utilizando el mismo IV, sabr que fueron encriptados con la misma clave RC4, y le permitir atacar esos paquetes para descubrir su contenido. Con una rpida cuenta, vemos que un access point muy ocupado que constantemente enve paquetes de 1500 bytes a 11 Mbps habr agotado el espacio de IV en 1500*8/(11*106)*224 =~ 18000 segundos o 5 horas (incluso el tiempo puede disminurse con paquetes de menor tamao, ya que no todos son de 1500 bytes). Adems algunas implementaciones utilizan la misma clave WEP para todas las estaciones (en lugar de utilizar las 4 disponibles), lo que aumenta la probabilidad de colisiones considerablemente. Deficiencia en el Algoritmo de Key Scheduling de RC4: En el ao 2001 Fluhrer, Mantin y Shamir encontraron deficiencias en el algoritmo de KSA (ver seccin 3.1.2). Existen ciertas claves de RC4 (llamadas dbiles) para las cuales los bits de la permutacin inicial dependen de slo unos pocos bits de la clave dada (recordar que la permutacin inicial es calculada a partir de la clave dada y luego es utilizada para generar un keystream pseudo-aleatorio). Este hecho abre la posibilidad de realizar un related-key attack, es decir, poder realizar un criptoanlisis sobre el algoritmo sabiendo que existe una relacin matemtica entre las diferentes claves utilizadas. Es importante recordar que la clave de encriptacin de RC4 en WEP est formada por el IV ms la clave dada, por lo tanto habr ciertos valores de IV que generarn claves dbiles. Este ataque es independiente del tamao del IV. Generadores de claves reducen la entropa: Existen varios dispositivos que permiten ingresar la clave WEP como una cadena ASCII, por una cuestin de facilidad de uso. No existe un estndar al respecto pero su uso se encuentra bastante extendido. En el caso de encriptacin de 64 bits, a partir del string provisto por el usuario se generan 4 claves de 40 bits. Se ha demostrado que este generador slo puede generar 2^21 claves posibles (en lugar de 2^40), Adems muchas veces se utilizan claves fciles de recordar y que pueden encontrarse en diccionarios, haciendo el sistema vulnerable a un ataque de diccionario. En el caso de las claves de 128 bits, la fortaleza de la encriptacin depende de la cadena ingresada por el usuario.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 11 de 29

Seguridad en Redes Wireless

3.1.4. Tcnicas de Ataque

3.1.4.1. Ataques Pasivos de Desencripcin de Trfico
Ocurren cuando se intercepta al trfico wireless en busca de una colisin de IV. Un eavesdropper intercepta el trfico en forma pasiva hasta obtener 2 paquetes que comiencen con el mismo IV. Con el XOR de estos 2 paquetes el atacante puede obtener el XOR de los 2 textos planos. Esto le permite inferir datos acerca del contenido de ambos mensajes. Como el trfico IP es a menudo predecible y redundante, se utiliza ese conocimiento para descartar posibilidades acerca del contenido de los mensajes. Cualquier otro conocimiento acerca del contenido de los paquetes tambin se puede utilizar con ese fin. Cuando tal anlisis estadstico es poco concluyente basado en solamente dos mensajes, el atacante puede buscar ms colisiones del mismo IV. Una vez que se obtiene un texto plano entero, todos los dems mensajes con el mismo IV se obtienen de forma directa Una extensin de este ataque utiliza un host en alguna parte de internet para enviar trfico desde el exterior a un host en una red wireless. El contenido del texto plano es conocido por el atacante. Cuando el atacante intercepta la versin cifrada de su mensaje, podr descifrar todos los paquetes que comiencen con el mismo IV.

3.1.4.2. Ataques activos para inyeccin de trfico

Ocurre cuando el atacante inserta paquetes propios encriptados en el flujo de datos de una red wireless. Supongamos que un atacante sabe el texto plano exacto para un mensaje cifrado. Entonces puede utilizar este conocimiento para construir paquetes cifrados correctamente. El procedimiento implica la construccin de un nuevo mensaje, calculando el CRC-32, y cambiar los bits necesarios en el mensaje cifrado original para cambiar el texto plano en el nuevo mensaje. Una propiedad bsica es que RC4 (X) xor X xor Y = RC4 (Y). Este paquete se puede ahora enviar al access point o a una estacin mvil, y ser aceptado como paquete vlido. Una modificacin leve a este ataque lo hace mucho ms complicado. Incluso sin el conocimiento completo del paquete, es posible mover pedazos seleccionados en un mensaje y ajustar con xito el CRC cifrado, para obtener una versin cifrada correcta de un paquete modificado. Si el atacante tiene conocimiento parcial del contenido de un paquete, puede interceptarlo y realizar una modificacin selectiva en el mismo. Por ejemplo, es posible alterar los comandos que se envan al shell en una sesin de Telnet o en interacciones con un file server.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 12 de 29

Seguridad en Redes Wireless

3.1.4.3. Ataques activos para desencriptar trfico

Ocurre cuando se engaa al access point para descifrar trfico arbitrario. En este caso, el atacante hace una conjetura no sobre el contenido, sino sobre el header de un paquete. Esta informacin es generalmente fcil de obtener o conjeturar; particularmente, todo lo que es necesario conjeturar es el IP address de destino. Armado con este conocimiento, el atacante puede cambiar partes apropiadas para transformar el IP address de destino y enviar el paquete a una mquina que l controla, en alguna parte de Internet. La mayora de las instalaciones wireless tienen conectividad a Internet; el paquete ser descifrado con xito por el access point y enviado en forma desencriptada a la mquina del atacante, revelando el texto plano. Si se puede hacer una conjetura tambin sobre los headers del paquete TCP, puede incluso ser posible cambiar el puerto de destino en el paquete para que sea enviado al puerto 80, lo que permitir que sea enviado a travs de la mayora de los firewalls.

3.1.4.4. Ataques de diccionario

El pequeo espacio de IVs posibles permite que un atacante construya una tabla de descifrado. Una vez que aprenda el texto plano para un paquete, el atacante puede calcular el keystream de RC4 generado por el IV usado. Esta key stream se puede utilizar para descifrar el resto de los paquetes que utilicen el mismo IV. En un cierto plazo, el atacante puede acumular una tabla de IVs y de key streams correspondientes. Esta tabla requiere una cantidad bastante pequea del almacenamiento (~15GB) y una vez que se construya, el atacante puede descifrar cada paquete que se enve sobre la red wireless.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 13 de 29

Seguridad en Redes Wireless

3.2. WPA: Wi-Fi Protected Access 3.2.1. Introduccin

WPA fue introducido por la Wi-Fi Alliance con el fin de proveer una infraestructura de seguridad ms robusta que la alcanzada con WEP mientras se esperaba la publicacin de la versin definitiva del estndar 802.11i. Esta solucin inmediata deba tener en cuenta dos temas fundamentales: o o Era necesario establecer un mecanismo de seguridad mas robusto que WEP, ya que la falencias de este ltimo lo hacia inaceptable para entornos corporativos. El estndar que se estaba definiendo en la norma 802.11i impona determinados requisitos computacionales que obligaba a que el hardware utilizado (es decir, las placas de red Wi-Fi disponibles en el mercado) no puedan cumplir con los mismos.

Bajo esas premisas, WPA intenta ser una solucin provisoria que provee un entorno de seguridad razonable y en la cual no es necesario actualizar el hardware (basta slo con una actualizacin del firmware a lo sumo). Posee las siguientes caractersticas: o o o o Es una medida inmediata para brindar mayor seguridad Barata en trminos de tiempo y costo Compatible cross vendedor Es accesible tanto para empresas como para hogares

3.2.2. Funcionamiento de WPA

Desde el punto de vista del funcionamiento, WPA incorpora por un lado mecanismos definidos dentro del estndar 802.11i como por ejemplo en lo que respecta al proceso de autenticacin y por otro lado hace uso del mismo algoritmo de confidencialidad que utiliza WEP, aunque le incorpora procesos adicionales para subsanar las deficiencias de WEP. Con respecto a Autenticacin, WPA soporta dos modos de operacin: o o Enterprise Pre-shared Key (PSK)

En el modo Enterprise se opera contra un servidor de Autenticacin (por ejemplo un servidor RADIUS) para el establecimiento de la autenticacin. De esta manera se establece un proceso de autenticacin centralizado. Este proceso de autenticacin se basa en el estndar definido dentro de la norma 802.1X. La definicin y abordaje sobre este ltimo estndar excede el alcance de este informe pero a grandes rasgos el mismo tiene por objetivo establecer un contexto seguro de comunicacin, definiendo las siguientes fases: o o o Acuerdo sobre poltica de seguridad entre ambas partes Autenticacin de Terminal (certificados, pregunta secreta, etc.) Derivacin y distribucin de claves que sern utilizadas dentro de la conexin (claves de sesin, claves de encriptacin de paquetes, claves de encriptacin de mensajes multicast, etc.). Las mismas estn basadas en una estructura jerrquica.

La norma 802.1X est basada en el framework de autenticacin Extensible Authentication Protocol (EAP). Para poder certificar un producto como WPA o WPA2 el dispositivo debe proveer los siguientes mtodos: o EAP-TLS: Fue el primero en ser certificado, y es considerado uno de los ms seguros. Requiere certificados por parte del Cliente y del Servidor (es decir, se necesita de una infraestructura de claves). Hasta abril de 2005, los distintos fabricantes slo necesitaban soportar ste mtodo de autenticacin para certificar WPA o WPA2. Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 14 de 29

Seguridad en Redes Wireless o o o o EAP-TTLS: EAP-Tunneled Transport Layer Security utiliza certificados slo del lado del servidor. PEAPv0 / EAP-MSCHAPv2: Protected EAP / Microsoft Challenge Handshake Authentication Protocol. Diseado en forma conjunta por Microsoft, Apple y RSA. Similar a TTLS. Es el ms utilizado. PEAPv1 / EAP-GTC: Creado por Cisco como alternativa a PEAPv0. No posee soporte nativo en sistemas Windows. EAP-SIM: Utiliza el Subscriber Identity Module (SIM) de los celulares GSM para proveer autenticacin a una WLAN.

En el modo Pre Shared Key no se opera con un servidor de autenticacin sino que utiliza la tcnica de secreto compartido para autenticarse con el servidor. Cabe aclarar que en este modo tambin se realizan las fases mencionadas en el modo anterior como el acuerdo de poltica de seguridad, derivacin de jerarqua de claves, etc. Con respecto a la confidencialidad, WPA sigue haciendo uso del algoritmo RC4 como mecanismo de encriptacin en sus comunicaciones. Esto a priori es preocupante, puesto que ya hemos visto que una de las debilidades ms fuertes de WEP es la utilizacin del RC4. Una de las razones por las que se sigue utilizando este algoritmo en WPA es que uno de los objetivos de este estndar era evitar que se deba realizar un cambio de hardware forzoso. Por esta razn se hace uso del mismo algoritmo que se estaba utilizando en WEP, pero incorporando mejoras en el uso del mismo. Esos avances e incorporaciones en la forma de utilizar RC4 dentro de WPA se denominan TKIP (Temporal Key Integrity Protocol). Este nuevo protocolo incorpora nuevas tcnicas tales como: o Extiende el tamao del vector de inicializacin utilizado en el algoritmo RC4: En WEP el tamao de los IV es de 24 bits, que resultan en 16.777.216 valores diferentes, algo totalmente inaceptable cuando se sabe que una red con un volumen razonable ser necesario reutilizar los IV. Por esa razn, en WPA se decidi extender el tamao del IV a 48 bits, dando un espacio de valores inmensamente ms grande. Se incorporan nuevas reglas para la seleccin de los IV: En WEP no hay reglas para evitar la reutilizacin de los IV y por esa razn la mayora de los fabricantes elegan, en el momento de seleccionar un IV, uno al azar. Esto en conjunto con el corto tamao de los mismos haca que la probabilidad de que un IV se repitiera sea grande. En cambio en WPA se especifican reglas para la asignacin de los IV. En particular se define que se empieza desde el numero 1 y se incrementa en uno con cada paquete que se transmite. De esta forma la reutilizacin del IV es mucho ms espaciada, sobre todo combinando esto con el incremento del tamao del IV a 48 bits. Esta poltica de incremento secuencial de IV trae aparejado un beneficio adicional que se basa en que el mismo es utilizado como contador de paquetes recibidos y por ende se puede utilizar para evitar el tipo de ataque denominado replay attack. Integridad del Mensaje: Incorpora un protocolo de integridad de los mensajes para prevenir tampering, que puede ser producido en software sobre microprocesadores lentos. Se modifica el usado por WEP (CRC-32) por el Message Integrity Code (MIC). El MIC en WPA est basado en un algoritmo denominado Michael, que realiza un hash unidireccional e involucra la clave del paquete, por lo que no es susceptible a ataques como el CRC-32.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 15 de 29

Seguridad en Redes Wireless

Clave de Paquetes: Se establece que las claves de encriptacin de los paquetes son temporales. Es decir que cada paquete transmitido es encriptado utilizando una clave diferente, derivada de la jerarqua de claves generada en el proceso de autenticacin mencionado anteriormente. Mecanismo de generacin y distribucin de claves: Ver la siguiente seccin para una explicacin detallada.

Mecanismo de generacin y distribucin de Claves La seguridad de la conexin se basa en gran medida en las claves secretas. En WPA y WPA2, cada clave tiene una vida determinada y la seguridad global se garantiza utilizando un conjunto de varias claves organizadas segn una jerarqua. Cuando se establece un contexto de seguridad tras la autenticacin exitosa, se crean claves temporales de sesin. El proceso de generacin de esta jerarqua involucra varios intercambios y negociaciones entre partes, as como tambin procesos de derivacin de claves en funcin de otras. El proceso de derivacin es un proceso bastante complejo y excede el alcance de este informe, pero a modo de ejemplo describiremos algunos procesos y claves que se generan: o o 4-Way Handshake para la derivacin de la PTK (Pairwise Transient Key) y GTK (Group Transient Key), Group Key Handshake para la renovacin de GTK.

La derivacin de la clave PMK (Pairwise Master Key) depende del mtodo de autenticacin: o o Si se utiliza una PSK (Pre-Shared Key), PMK = PSK. La PSK es generada desde una passphrase (de 8 a 63 caracteres) o una cadena de 256 bits y proporciona una solucin para redes domsticas o pequeas empresas que no tienen servidor de autenticacin Si se utiliza un servidor de autenticacin, la PMK es derivada de la MK de autenticacin 802.1X.

La PMK en s misma no se utiliza nunca para la encriptacin o la comprobacin de integridad. Al contrario, se utiliza para generar dos claves de encriptacin temporales: la PTK (Pairwise Transient Key) para el trfico unicast y la GTK (Group Transient Key) para el trfico mulitcast.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 16 de 29

Seguridad en Redes Wireless

La PTK consiste de varias claves temporales dedicadas: o o o o KCK (Key Confirmation Key 128 bits): Clave para la autenticacin de mensajes (MIC) durante el 4-Way Handshake y el Group Key Handshake, KEK (Key Encryption Key 128 bits): Clave para asegurar la confidencialidad de los datos durante el 4-Way Handshake y el Group Key Handshake, TK (Temporary Key 128 bits): Clave para encriptacin de datos (usada por TKIP o CCMP en WPA2), TMK (Temporary MIC Key 2x64 bits): Clave para la autenticacin de datos (usada slo por Michael con TKIP en WPA). Se usa una clave dedicada para cada lado de la comunicacin.

Para ms detalles sobre el funcionamiento de WPA, especialmente la parte de autenticacin y el 4-way handshake, vese la seccin de WPA2. Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 17 de 29

Seguridad en Redes Wireless

3.2.3. Debilidades y Tecnicas de Ataque

A pesar que WPA resuelve problemticas muy puntuales de seguridad que WEP tiene, no por eso es un sistema infalible y se han descubierto algunas vulnerabilidades sobre este mtodo. Como se ha mencionado anteriormente, WPA subsana las vulnerabilidades provenientes en WEP. En WEP no importa que tan buena o mala, larga o corta sea la clave WEP seteada, esta puede ser crackeada. Sin embargo, en WPA es diferente. Una clave WPA puede construirse lo suficientemente buena como para hacer su crackeo casi imposible. Como contrapatida, el crackeo de WPA es mucho ms amigable y sencillo, pues capturando los paquetes adecuados se puede realizar un ataque offline. Esto significa que slo en un momento muy corto es necesario tener acceso al trafico que llega al AP. La vulnerabilidad principal radica en tratar de vulnerar la clave maestra de donde se deducen el resto de las claves. Esta clave se genera en el proceso de autenticacin inicial y por ende sera necesario capturar los mensajes de ese proceso para tratar de vulnerar la misma. Para ello existen herramientas que provocan desautenticaciones forzadas de las estaciones provocando que las mismas vuelvan a generar el proceso de autenticacin correspondiente. Cuando las claves preestablecidas utilizadas en el modo PSK de WPA utilizan palabras presentes en el diccionario y la longitud es inferior a los 20 caracteres, el atacante slo necesitar interceptar el trfico inicial de intercambio de claves. Sobre este trfico, realizando un ataque de diccionario o de fuerza bruta, el atacante puede obtener la clave preestablecida, que es la informacin necesaria para obtener acceso a la red. Esto se debe a que en el modo PSK, la clave secreta compartida coincide con la clave maestra generada (PMK) en el proceso de generacin de claves. Es decir, a diferencia de WEP en que es necesario capturar un volumen significativo de trfico para poder identificar las claves, en WPA alcanza con capturar el trfico de intercambio de claves para poder realizar este ataque. Sin embargo, el problema slo es explotable bajo una serie de circunstancias muy concretas y es ms, los especialistas coinciden en que no es, en absoluto, una indicacin de la debilidad de WPA sino un recordatorio de la necesidad de utilizar claves convenientemente largas y que incluyan caracteres especiales. Esta vulnerabilidad puede minimizarse haciendo uso de una autenticacin en modo Enterprise o utilizando claves mayores de 20 caracteres que incluyan caracteres especiales. La otra vulnerabilidad inherente de este mtodo es que se sigue utilizando RC4 para el encriptacin de datos, pero al utilizar claves temporales y TKIP se torna bastante improbable explotar la misma.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 18 de 29

Seguridad en Redes Wireless

3.3. WPA2 (IEEE 802.11i) 3.3.1. Introduccin

El esperado estndar 802.11i de la IEEE fue publicado en Junio de 2004. La Wi-Fi Alliance comenz a certificar a los productos que cumplan el estndar a partir de Septiembre de 2004, dndole el nombre comercial de WPA2.

3.3.2. Funcionamiento de WPA2

Del mismo modo que en WPA, la autenticacin se realiza utilizando o bien EAP (denominado comercialmente Enterprise Mode) o bien una clave compartida por todas las estaciones (Pre-Shared Key Mode o PSK). Las principales diferencias con WPA son la utilizacin del Advanced Encription Standard (AES) en lugar de RC4 y del Counter-mode / Cbc Mac Protocol (CCMP) de AES en lugar de TKIP y MIC. La utilizacin de AES, considerado uno de los algoritmos ms seguros hasta el momento, es una mejora muy importante en la seguridad de las redes inalmbricas. El Advanced Encryption Standard es un cifrador por bloque, a diferencia del RC4 que es un cifrador por flujo. AES se utiliza en WPA2 con una longitud de clave de 128 bits. La arquitectura especificada por el estndar 802.11i se denomina Robust Security Network (RSN). Adems, se define una Transitional Security Network (TSN) en la que pueden participar sistemas RSN (es decir WPA o WPA2) y WEP. Cuando el proceso de autenticacin utiliza el 4-way handshake, la asociacin recibe el nombre de Robust Security Network Association (RSNA). Las fases utilizadas son las mismas que las descriptas en el apartado de WPA, como se muestra en la figura de ms abajo.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 19 de 29

Seguridad en Redes Wireless

La autenticacin utilizando 802.1X se realiza de la misma forma que en WPA:

Si la autenticacin fue exitosa, se realiza el 4-way handshake de la misma manera que en WPA para obtener a partir de la Pairwise Master Key (PMK) las claves Pairwise Transient Key (PTK) y Group Transient Key (GTK). La clave PTK se utiliza para encriptar el trfico entre el cliente y el access point, mientras que la clave GTK se utiliza para encriptar mensajes multicast.

Una diferencia importante entre WPA y WPA 2 es que en WPA el MIC se calcula sobre un paquete de datos antes de ser fragmentado, mientras que en WPA2 el MIC se calcula sobre un paquete de datos luego de ser fragmentado.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 20 de 29

Seguridad en Redes Wireless La encriptacin de los mensajes con la clave PTK o GTK se realiza utilizando el modo de operacin de AES denominado CCM (Counter with Cbc-Mac). Este modo de operacin de AES fue diseado para autenticar y encriptar bloques de 128 bits. Utiliza un vector de inicializacin (que en el algoritmo se denomina Counter) de 48 bits. El Cbc-Mac (Cipher Block Chaining Message Authentication Code) generado como parte del algoritmo provee integridad y autenticacin. El output de esta parte del algoritmo es el MIC, que luego es encriptado con el resto de los datos. Es importante notar que, a diferencia de WPA donde exista un algoritmo separados para el chequeo de integridad y autenticacin, en WPA2 el mecanismo de encripcin y de autenticacin e integridad se basan en un solo algoritmo: AES. La utilizacin de AES en su modo CCM en WPA2 ha sido denominada CCMP, en contraposicin a TKIP y MIC en WPA.

3.3.3. Debilidades y tcnicas de ataque

La utilizacin del mismo mecanismo de autenticacin hace vulnerable a WPA2 al mismo tipo de ataque que WPA para el modo PSK: si un atacante logra interceptar los paquetes de autenticacin puede intentar un ataque de diccionario o de fuerza bruta sobre la clave PMK (que es la misma que la PSK). A partir de esta clave puede derivarse el resto de las claves utilizadas por el algoritmo. Es importante recordar que para minimizar la posibilidad de la explotacin de esta vulnerabilidad deben utilizarse claves mayores a 20 caracteres que incluyan caracteres especiales. Ciertas vulnerabilidades conocidas del protocolo 802.1X afectan obviamente a WPA y WPA2. Ningn protocolo inalmbrico est protegido frente a un ataque de denegacin de servicio con un jammer.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 21 de 29

Seguridad en Redes Wireless

3.4. Medidas para hacer ms segura una red Wi-Fi 3.4.1. Filtrado
El filtrado es un mecanismo de seguridad bsico que puede ser usado como complemento de WEP o WPA/WPA2. La idea es permitir el ingreso de los usuarios de una red siguiendo el concepto de la lista de acceso de un router, o sea definir parmetros para permitir el acceso de estaciones a la red. Hay 3 tipos bsicos de filtrado o SSID o MAC address Filtering o Protocol Filtering

3.4.1.1. SSID Filtering

El filtrado por SSID es un mtodo rudimentario de filtrado, y slo debera ser usado en conjunto con otras medidas de seguridad. Algunos access point tienen la capacidad de enviar su SSID fuera del marco de transmisin normal (es decir en los beacons que se transmiten cada 100ms). En estos casos el cliente tiene que poseer lo que se denomina un matching SSID para poder asociarse al access point. En estos casos, se dice que el sistema es un sistema cerrado (closed system). Algunos errores comunes con respecto a los SSID son: Usar el SSID por defecto: cada fabricante tiene un SSID por defecto. Usando un sniffer para obtener la MAC address del access point se puede obtener la marca del mismo y por ende el SSID por defecto que le corresponde. Poner un SSID relativo a la entidad que lo posee: Esto da una idea de la ubicacin geogrfica del access point lo que representa para un hacker una gran ayuda. Usar el SSID Filtering como mtodo de seguridad en la red. Hacer broadcast innecesarios del SSID.

3.4.1.2. MAC Address Filtering

Casi todos los access points permiten el filtrado por MAC address. La idea es filtrar el mediante la MAC address de las estaciones que componen la red. Para implementar este filtro en una gran red se suelen utilizar servidores dedicados cercanos a cada access point. Esto permite una solucin escalable para grandes redes. El filtrado de MAC address puede funcionar a la inversa, es decir, denegando el accesso a ciertas MAC address puntuales. A pesar de todo, este mtodo es susceptible a las siguientes intrusiones: o o Robo de una tarjeta de PC que esta en el listado de MAC address permitida de un access point Sniffear la red y luego hacer spoofing con una MAC address fuera del horario de trabajo.

3.4.1.3. Protocol Filtering

La idea es filtrar paquetes basndose en protocolos de las capas 2 a 7. En muchos casos, los fabricantes hacen filtros por protocolos configurables independientemente del tipo de red (wireless o wired). Se suele utilizar en contextos donde el medio de transmisin es compartido entre redes inalmbricas y redes comunes.

3.4.2. Check-List de medidas para asegurar una red inalmbrica (ya sea WEP, WPA o WPA2)
Nunca utilizar la red inalmbrica sin cifrado Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 22 de 29

Seguridad en Redes Wireless Los access points no deberan estar asociados a una red cableada. En caso de que esto sea absolutamente necesario, deben implementarse medidas de seguridad muy restrictivas para prevenir que sujetos no autorizados puedan ingresar a la red de la compaa. Los usuarios deben ser autenticados con algn mtodo (802.1X, SSH a travs de un captive portal, etc.) Desactivar el broadcast del SSID por parte de los Access Points y activar el enmascaramiento del SSID. Desactivar la comunicacin cliente-cliente en el Access Point. Utilizar claves de ms de 20 caracteres si se utiliza WPA-PSK. Evitar la utilizacin de claves fciles de adivinar. Cambiar los parmetros por defecto de los Access Point (SSID, claves por defecto, direcciones IP, etc.) Actualizar el firmware de los Access Point y de las placas de red inalmbricas a medida que surjan actualizaciones Activar el filtrado por MAC y por IP. Considerar la utilizacin de Access Point y placas de red que soporten el estndar WPA2 (esto no siempre es posible ya que son ms caras que las que no lo soportan). Desactivar el protocolo DHCP para las redes inalmbricas. Configurar las direcciones IP en cada host manualmente. Monitorear la red con un sistema de deteccin de intrusiones, para prevenir la creacin de Access Points falsos por parte de un atacante. Verificar que los empleador no instalen Access Points no autorizados (Rogue Access Points) Instalar un falso Access Point a fin de descubrir a los posibles atacantes sin comprometer la seguridad de la red. Asegurar los Access Point contra el acceso fsico, para evitar que un intruso pueda cambiar la configuracin del mismo. Asegurar todas las estaciones que forman o formaron parte de la red. Algunos software clientes (por ejemplo 3Com) guardan la clave WEP no codificada en el registro de Windows. Nunca confiar totalmente en la existencia de una red inalmbrica. Es muy fcil hacer que una red sea inutilizable utilizando un jammer.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 23 de 29

Seguridad en Redes Wireless

4. HERRAMIENTAS PARA DETECCIN Y CRACKEO DE REDES WIRELESS

Todas las herramientas mencionadas se han desarrollado para el sistema operativo Linux, salvo que se mencione explcitamente lo contrario. AirSnort: Fue la primer herramienta que aprovech las vulnerabilidades descubiertas por Fluhrer, Mantin y Shamir. Fue publicada en agosto de 2001 y es totalmente pasivo y por lo tanto imposible de detectar. En general se necesitan varias horas de captura de trfico con esta herramienta para poder obtener la clave WEP. Chopchop: Herramienta que permite descifrar paquetes multicast sin conocer la clave WEP. Los ms fciles de descifrar son los paquetes ARP. Publicada en el ao 2004. Aircrack: Esta herramienta, publicada en el ao 2004, permite realizar ataques utilizando inyeccin de paquetes. Se trata de la herramienta ms completa desarrollada hasta el momento. Consta de varias partes: o Airodump: Permite capturar el trfico a un archivo. o Aireplay: Permite para inyectar paquetes para incrementar el trfico de la red. o Aircrack: Una vez obtenida una cantidad suficiente de trfico, permite desencriptar la clave WEP. Adems de poder utilizarse para crackear la clave WEP, esta herramienta puede utilizarse para: desautenticar a un cliente desencriptar paquetes arbitrarios de WEP sin conocer la clave Capturar los dos primeros mensajes del 4-way handshake de WPA/WPA2 para poder realizar un ataque offline sobre la clave cuando se utiliza PSK. Weplab: Se trata de una herramienta Open Source para descifrar claves WEP, utilizando tanto ataques de fuerza bruta, de diccionario o basados en las debilidades de RC4 y la forma de calcular el ICV. Kismet: Es un poderoso detector de redes y sniffer indetectable. Permite obtener la informacin necesaria para realizar los ataques. Es capaz de detectar redes aunque stas no hagan el broadcast del SSID. Netstumbler: Es una detector de redes inalmbricas para Windows y para dispositivos PDA con sistema operativo Windows CE. Sin embargo, a diferencia de Kismet, no es indetectable y no es capaz de detectar redes que no hagan broadcast del SSID. Adems hasta el momento no es posible diferenciar una red con WEP de una red con WPA o WPA2. Void11: Herramienta que permite desautenticar a un cliente vlido de la red. Esto es til porque varios ataques requieren la captura de los paquetes de asociacin y autenticacin de los clientes a la red. Airopeek: Es un sniffer de redes inalmbricas comercial. Es muy similar al Ethereal pero para redes Wireless. Sniffer PRO: Otro sniffer comercial de redes LAN y WLAN. Airtraf: Es un analizador de trfico inalmbrico, que permite capturar y analizar el trfico de la red para capturar rogue access points o clientes no autorizados. File2air: Permite inyectar paquetes en una red inalmbrica FakeAP: Permite emitir beacons con SSID y BSSID predefinidas o aleatorias y en diferentes canales. Originalmente diseado como un honeypot inalmbrico, puede ser utilizado maliciosamente para provocar un ataque de denegacin de servicio o inutilizar un sistema de deteccin de intrusiones llenando el log disponible para el mismo.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 24 de 29

Seguridad en Redes Wireless

HotSpotter: Esta herramienta se hace pasar como un access point de un Hotspot para que un cliente se autentique y asocie al mismo. Una vez asociado un cliente, pueden ejecutarse ataques contra la vctima. Jammer: Se trata de un dispositivo que interfiere en las seales de radio en las que trabajan las redes inalmbricas, haciendo que la red sea inutilizable. Es un dispositivo de bajo costo (alrededor de 500 euros).

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 25 de 29

Seguridad en Redes Wireless

5. RELEVAMIENTO DE LAS REDES INALMBRICAS DEL PABELLN 1 DE LA FCEYN DE LA UBA

5.1 Objetivo
Realizar un monitoreo de las redes Wireless detectadas en el Pabelln I Seleccionar una de las redes detectadas e intentar obtener la clave asociada (WEP) haciendo uso de distintas herramientas para tal fin.

5.2 Plan de Intrusin Definido

El plan de intrusin que se defini es el siguiente: o o o o o o Escaneo de Redes en el Pabelln I Seleccin de una de las Redes detectadas que estn utilizando seguridad WEP Toma de datos necesarios para realizar el ataque Captura de trfico necesario para intentar vulnerar la clave WEP Si es necesario, inyectar trfico en la red Utilizar el trfico capturado para descubrir la clave WEP.

Para la realizacin de este trabajo se utiliz una distribucin de Linux denominada Auditor que incluye las herramientas para monitorear y crackear claves WEP. Se intent utilizar la ltima versin de esta distribucin, denominada BackTrack, pero debido a que existieron incompatibilidades para reconocer la placa de red de la notebook utilizada, se decidi utilizar la versin anterior.

5.2.1 Escaneo de Redes

Se utilizaron las herramientas de escaneo Network Stumbler y Kismet para la deteccin de las redes. Esta herramienta nos permiti conocer: o Redes disponibles o Nivel de seguridad de cada una de ellas (Sin Seguridad, WEP, WPA) o Informacin detallada y necesaria para vulnerar la seguridad de la red seleccionada: o SSID o BSSID/Mac Address o Channel En el momento del escaneo se detectaron 10 redes con la siguiente configuracin: o o o o 1 con cifrado WPA 4 con cifrado WEP 4 sin cifrado 1 Peer to peer

El escaneo se realiz con la herramienta Network Stumbler, para poder tomar screenshots fcilmente de las redes disponibles. Luego con el Kismet se verific si alguna de las redes posea cifrado WPA, ya que el Network Stumbler no distingue entre estos dos tipos de cifrado. Se encontr una red con cifrado WPA.

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 26 de 29

Seguridad en Redes Wireless

5.2.2 Captura de Trfico

El objetivo de esta etapa es la captura de trfico suficiente de la red seleccionada para que la herramienta de crack cuente con la mayor informacin posible para hacer su trabajo. Para ello es necesario que la informacin capturada sea lo suficientemente nutrida para que la misma incluya la mayor cantidad de IV posibles. De esta manera la herramienta de crack podr vulnerar el algoritmo de encriptacin utilizado por WEP (RC4), y de esta forma encontrar la clave utilizada. Para la captura del trfico se utiliz la herramienta llamada Airodump que permite, dado los valores del canal utilizado por la red y el BBSID de la red capturar los paquetes y almacenarlos en un archivo. > > > > iwconfig ath0 mode monitor iwconfig ath0 channel 06 cd /ramdisk airodump ath0 pabellon1.cap

5.2.3 Inyeccin de Trfico

Debido a que la tcnica de este ataque es conseguir suficiente trfico en la red a vulnerar, puede ocurrir que el trfico actual que tiene la red no sea el suficiente para capturar la informacin necesaria o eventualmente se necesitara bastante tiempo de captura. Para resolver este problema fue necesario inyectar trafico vlido en la red para poder acelerar el proceso y capturar la informacin necesaria lo antes posible. Existen varias tcnicas para la reinyeccin de ese trfico: o Desautenticacin o Autenticacin falsa o Seleccin interactiva del paquete a enviar o Reinyeccin de peticin ARP

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 27 de 29

Seguridad en Redes Wireless Para avanzar con esta tarea hicimos uso de la herramienta Aireplay que nos permite capturar paquetes de la red y decidir cules deseamos reinyectar. En esta etapa decidimos utilizar la tcnica de reinyeccin de paquetes ARP, que son fciles de detectar pues tienen un tamao fijo, son pequeos y son tiles para generar rpidamente nuevos IV. > cd /ramdisk > aireplay -i ath0 -b MACADDRESSOFAP -m 68 -n 68 -d ff:ff:ff:ff:ff:ff

En el momento de realizar este paso nos topamos con un inconveniente. El problema fue que a pesar de reinyectar trfico no pudimos conseguir la cantidad que esperbamos, pues en un momento dado no se generaban ms IV por parte del AP de la red y por esa razn el volumen de informacin no fue el esperado por nosotros. Esto probablemente se debi a que el anlisis fue realizado alrededor de las 22 horas, y es probable que el AP haya sido apagado.

5.2.4 Crack de Clave

A pesar del problema de no haber podido generar la suficiente cantidad de trfico decidimos continuar con este paso, con el fin de intentar conseguir la clave WEP con el volumen de trfico conseguido. En este paso se tom el trfico capturado y se utiliz la herramienta Aircrack para que tome esa informacin y aplique fuerza bruta para descubrir la clave. Realizamos 2 corridas de esta herramienta una indicndole que la clave era de 64 bits y otra indicndole que la clave era de 128 bits, sin xito pues la herramienta no pudo deducir la clave con la informacin que habamos capturado. > cd /ramdisk > aircrack -f 2 -m MACADDRESSOFAP -n WEPKEYLENGTH -q 3 pabellon1.cap

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 28 de 29

Seguridad en Redes Wireless

6. BIBLIOGRAFA Y REFERENCIAS
Wikipedia, the Free encyclopedia (http://en.wikipedia.org) o Artculos: Wi-Fi, Wiress LAN, Service Set Identifier, Hotspot, Captive Portal, Rogue Access Point, Wardriving, IEEE 802.11, IEEE 802.1X. Wireless LAN Security, Wired Equivalent Privacy, Related-key attack, Wi-Fi Protected Access, IEEE 802.11i, Cyclic redundancy check Revista de Seguridad Hakin9. (http://www.hakin9.org). Artculos: o Wardriving en pratique (francs). Nmero 2/2003 o Seguridad Wi-Fi: WEP, WPA y WPA 2. Nmero 1/2006 Herv Schauer Consultants. (http://www.hsc.fr) o Artculos: Le Wi-Fi: Scurit et Risques. 25 de abril de 2004. Jrme Poggi o WPA/WPA2: Une scurit fiable pour le Wi-Fi? 14 de Junio de 2005. Guillaume Lehembre. IEEE Standard for Information technology 802.11i (http://standards.ieee.org/getieee802/802.11.html) Weaknesses in the Key Scheduling Algorithm of RC4. Scott Fluhrer, Itsik Mantin, Adi Shamir. Wireless LAN Deployment and Security Basics. (http://www.extremetech.com/article2/0,1697,1157726,00.asp) Cracking WEP keys. Applying known techniques to WEP keys. Tim Newsham. @Stake Real 802.11 Security: Wi-Fi Protected Access and 802.11i. Jon Edney, William A. Arbaugh, Addison Wesley. An Inductive Chosen Plaintext Attack against WEP/WEP2.Real 802.11 Security: Wi-Fi Protected Access and 802.11i. Jon Edney, William A. Arbaugh. University of Maryland. , Addison Wesley. WepLab Project Home Page. (http://weplab.sourceforge.net) Void11. (http://www.wirelessdefence.org/Contents/Void11Main.htm) 802.1x/EAP-SIM Authentication for WLANUser Manual. AMUSE. A Mobility trial with Umts/wlan SEamlessly. Technische Universiteit Eindhoven & Vodafone. (http://amuse.ele.tue.nl/) Auditor & BackTrack Linux distributions. (http://www.remote-exploit.org) Certified Wireless Network Administrator Official Study Guide. Planet3 Wireless. Captulo 10. Security of the WEP Algorithm. Nikita Borisov, Ian Goldberg, and David Wagner. Internet Security, Applications, Authentication and Cryptography Group. University of California, Berkeley. (http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html) Wi-Fi Protected Access, WPA2 and IEEE 802.11i Q&A. Cisco Systems. Counter with CBC-MAC (CCM) AES Mode of Operation. (http://www.csrc.nist.gov/encryption/modes/proposedmodes/ccm/ccm.pdf)

Javier lvarez Dasnoy Horacio Buhanna Jorge Garca Pgina 29 de 29