Redes Inalmbricas

Bloque 6.7

WLAN: Estndar IEEE 802.11

Seguridad
Ramn Agero Calvo
(ramon.agueroc@unican.es)

Ramn Agero Calvo

1

Redes Inalmbricas

Seguridad en 802.11: Introduccin

Requerimientos tradicionales de seguridad

Privacidad

Integridad de los datos

Autenticacin

El medio inalmbrico es intrnsecamente ms vulnerable

Se trat de solventar este problema, incluyendo el mtodo WEP (Wired
Equivalent Privacy) en la recomendacin 802.11
Sin embargo se ha demostrado como un mtodo poco eficaz, por lo que se
tienen que buscar otras alternativas

Ramn Agero Calvo

2

Redes Inalmbricas

Qu es WEP?
Se trata de un mecanismo de seguridad a nivel de enlace, y no extremo a
extremo

Trata de prevenir eavesdropping de tramas en el canal

Protege las tramas en el medio radio, pero no ms all del punto de acceso
Un segundo objetivo, menos explcito, es controlar el acceso a la red,
denegando el acceso a estaciones no autenticadas
Se basa en un algoritmo simtrico, RC4

Se genera una cadena de bits a partir de una llave

Esta se utiliza para cifrar el mensaje original, mediante la operacin lgica XOR

Entre otros requerimientos, tena originalmente el de su sencillez y facilidad

de implementacin

Ramn Agero Calvo

3

Redes Inalmbricas

Funcionamiento WEP
24 bits

1.

La llave secreta de 40 bits se combina con un

vector de inicializacin de 24 bits para formar la
llave RC4

2.

En paralelo, la trama de datos se protege con

un vector de chequeo de integridad (CRC-32)

3.

La llave se pasa por el algoritmo RC4, formando

una secuencia de bits de longitud apropiada

4.

Esta secuencia se emplea para cifrar la

informacin y el ICV (operacin lgica XOR)

40 bits

1011010...1
Datos
1

64 bits
Algoritmo Deteccin
de errores (CRC-32)

Integridad
Confidencialidad

4 BYTES
Algoritmo
RC4

Datos

ICV

4
802.11

1011000100001010...1

Claro

IV

Datos
Cifrado

ICV

FCS
Claro

Secuencia Llave RC4

(Trama de datos + ICV)

Ramn Agero Calvo

4

Redes Inalmbricas

Formato trama WEP

Parte cifrada

Cabecera MAC
802.11 [24B]

IV
[4B]

Vector Inicializacin
[3B]

Datos
[?B]

Res
[6b]

ID
[2b]

ICV
[4B]

FCS
[4B]

Existen 4 posibles llaves

Ramn Agero Calvo

5

Redes Inalmbricas

Autenticacin en WEP
Cmo se consigue la autenticacin?

Las estaciones tienen que compartir una llave con el Punto de Acceso

Esta llave se tiene que distribuir (fuera de banda) a todas las estaciones, antes
de afrontar la autenticacin

Estados Estaciones
1. No Autenticado / No Asociado
2. Autenticado / No Asociado
3. Autenticado / Asociado

Ramn Agero Calvo

6

Redes Inalmbricas

Problemas de WEP
RC4(KEY,DatosX) RC4 (KEY,DatosY) = DatosX DatosY

La llave cambia con el IV, pero este se transmite en claro en el paquete

Adems, siendo de 24 bits, el mismo IV se usar relativamente pronto: un punto

de acceso cargado, con paquetes de 1500 Bytes constantemente, utilizar todos
los IV en 5 horas slo hay en torno a 17 M de IV

El estndar recoge que es opcional modificar el IV en cada paquete

Debilidad de las llaves RC4 Ataque FMS

Hay ciertas llaves para las que los primeros bytes de la salida del RC4 no son
completamente aleatorios
El IV es el comienzo de la llave
Adems la primera parte de los datos cifrados se puede adivinar

Una solucin sera descartar los primeros bytes de la salida del RC4

La integridad se basa en un CRC

Seguro para errores arbitrarios, no deliberados

Es lineal, por lo que se pueden cambiar bits en los paquetes

La integridad se puede asegurar con funciones hash no predecibles

Ramn Agero Calvo
7

Redes Inalmbricas

Problemas de WEP
En la fase de autenticacin, se transmite el texto claro y despus el cifrado

RC4(KEY,Reto) Reto = RetoCifrado

RetoCifrado Reto = RC4(KEY,Reto)

Control de acceso

No especificado en el estndar, se suele basar en filtrado por direccin MAC

Proteccin en las respuestas

Un atacante que captura tramas y luego hace mal uso de ellas

Distribucin de llaves: Taln de Aquiles de los mecanismos de seguridad

simtricos

La llave tiene que ser conocida por todas las estaciones

Cmo? El estndar no especifica ningn esquema de distribucin

La llave no puede considerarse como secreta, ya que se tienen que introducir en

el driver o en el firmware de la tarjeta (el usuario la conoce)

Ramn Agero Calvo

8

Redes Inalmbricas

Ataques a WEP
Pasivo para descifrar texto

Basado en la repeticin de los IV

PARKING LOT ATTACK

Diccionario: con 15 Gb tabla IV y Llave RC4

Activo

Mandar paquetes maliciosos - RC4(X) X Y = RC4(Y) (Requiere conocer el

paquete original)
Tambin se pueden hacer ligeras modificaciones en el mensaje (comandos shell,
etc)

Ataque con cmplice

INTERNET

Ramn Agero Calvo

9

Redes Inalmbricas

Deficiencias WEP pblicas

Herramientas

AirSnort: http://airsnort.sourceforge.net/

WEPCrack: http://sourceforge.net/projects/wepcrack/

THC-RUT: www.thehackerschoice.com/releases.php

NetStumbler (www.netstumbler.com/)

InSSIDer (www.metageek.net/products/inssider/)

Artculos

Intercepting Mobile Communications: The Insecurity of 802.11," by Nikita Borisov,

Ian Goldberg and David Wagner

"Weaknesses in the Key Scheduling Algorithm of RC4," by Scott Fluhrer, Itsik

Mantin and Adi Shamir

Ramn Agero Calvo

10

Redes Inalmbricas

Soluciones a la seguridad
Redes Privadas Virtuales (VPN)
Remote Authentication Dial In User Services (RADIUS)
IPsec
802.1x
Implementaciones WEP propietarias

802.1x (Potenciado por las compaas)

Ramn Agero Calvo

11

Redes Inalmbricas

IEEE 802.1x
Se basa en el Protocolo de Autenticacin Extensible (EAP, RFC 2284,
RFC3748)
Extensin EAP Over LAN (EAPOL), utilizando servidores RADIUS

Estacin

Punto de Acceso
Comienzo EAPOL

Servidor Radius

Peticin Identidad
Respuesta Identidad

Peticin Acceso RADIUS

Peticin EAP

Challenge Acceso RADIUS

Respuesta EAP

Peticin Acceso RADIUS

xito EAP

Acceso Aceptado RADIUS

En funcin del mtodo de

autenticacin empleado

Intercambio llaves
Fin EAPOL

Ramn Agero Calvo

12

Redes Inalmbricas

Arquitectura EAP en 802.11

Supplicant

Authenticator

Authentication
Server

Mtodo EAP
EAP
EAPOL
802.1x

802.11

EAPOL
802.1x

Radius

Radius

UDP/IP

UDP/IP

Eth-II

Eth-II

802.11

Ramn Agero Calvo

13

Redes Inalmbricas

Protocolo EAPOL
EAPOL-Start

Le manda el Supplicant cuando se conecta a LAN (no conoce la MAC del

Authenticator)

Es un mensaje dirigido a un grupo [direccin multicast]

Hay ocasiones que el Authenticator es conocedor de que una estacin se ha

conectado y puede enviarle proactivamente un paquete previo

EAPOL-Key

Se emplea para que el Authenticator enve al Supplicant llaves una vez que est
admitido en la red

EAPOL-Packet

Encapsula los mensajes EAP [conexin extremo a extremo con el servidor de

autenticacin]

EAPOL-Logoff

Para finalizar la conexin

Ramn Agero Calvo

14

Redes Inalmbricas

Mtodos de autenticacin
EAP-SIM y EAP-AKA

Utilizando una tarjeta inteligente (GSM y UMTS, respectivamente)

EAP-TLS (Transport Layer Security)

Sucesor de TLS

Autenticacin mutua con certificados PKI

No es muy empleado

EAP-TTLS (Tunneled TSL) y EAP-PEAP

Se establece un tnel TLS

Uso de certificaciones ms restringidas y slo para la red: LDAP, Dominio Windows, etc

Usan diferentes mecanismos de autenticacin

TTLS: PAP, CHAP, MS-CHAP, MS-CHAPv2

PEAP: Generic Token Card (GTC), TSL, MSCHAP-v2

LEAP (Lightweight EAP)

Propietario CISCO

EAP-FAST

Propietario de CISCO, ms cercano a PEAP y TTLS

Autenticacin: GTC, MS-CHAPv2

Ramn Agero Calvo
15

Redes Inalmbricas

Qu es WPA?
Wireless Protected Access
Solucin adoptada por WiFi para mejorar las prestaciones de la seguridad
de 802.11
Anterior al estndar 802.11i

Patch intermedio antes del estndar definitivo

qu incorpora frente a WEP?

Servidor 802.1x para la distribucin de llaves

Mejora de RC4 128 bits y vector inicializacin de 48 bits

TKIP (Temporal Key Integrity Protocol)

MIC (Message Integrity Check) Michael

Ramn Agero Calvo

16

Redes Inalmbricas

Comparativa WEP/WPA
WEP Vs. WPA

Aspecto

WEP

WPA

Encriptacin

Debilidades conocidas

Evita los fallos

conocidos de WEP

Llaves de 40 bits

Llaves de 128 bits

Esttico la misma
llave se usa en toda la
red

Llaves dinmicas
por usuario, por
sesin, por paquete

Distribucin de llaves
manual

Distribucin de llaves
incorporada

Usa WEP, con

debilidades

Sistema de
autenticacin fuerte,
con EAP y 802.1x

Autenticacin

Ramn Agero Calvo

17

Redes Inalmbricas

Elementos WPA
Encriptacin: TKIP

Permite que sistemas WEP se actualicen para ser seguros

La llave aumenta de 40 a 104 bits, y es dinmicamente generada por el servidor

de autenticacin; adems se cambia por trama

Aumenta el tamao del vector de inicializacin IV (de 24 a 48 bits) y establece

normas de buen uso para seleccionar cada IV

Adems incorpora un TSC (TKIP sequence number) para evitar ataques REPLAY
Se aprovecha para ello el Vector de Inicializacin

Gestin de llaves jerrquico

Llave maestra (generada por el servidor de autenticacin) que puede generar 500
trillones de llaves

Integridad: MIC

El MIC se usa para reemplazar el CRC

Protege fuertemente los paquetes, para que no sean modificados integridad

Autenticacin: 802.1x + EAP

Ramn Agero Calvo

18

Redes Inalmbricas

WPA: Jerarqua de llaves

WPA emplea diferentes tipos de llaves a distinto nivel

Pairwise key: se emplea en el intercambio de informacin entre dos terminales

Cada terminal necesita, al menos, la pairwise key para comunicarse con el AP, y ste
necesitar una por cada uno de los terminales

Group key: llave que se comparte por un grupo de terminales y se emplea en la

difusin de mensajes broadcast o multicast

Cada tipo de llave tiene asociada su jerarqua correspondiente

Tambin se distingue entre llaves pre-compartidas y basadas en servidor

Las ltimas requieren una autenticacin de nivel superior [servidor RADIUS]

Ramn Agero Calvo

19

Redes Inalmbricas

Jerarqua Pairwise
Comienza con la Llave pairwise maestra (PMK) puede ser preshared o
server-based

En entornos reducidos (oficinas pequeas, hogar) no es prctico montar un

servidor Radius: se usa la solucin PreShared Key (PSK)

LA PMK tiene un tamao de 32 octetos

El punto de acceso maneja una PMK diferente con cada terminal

En una solucin con servidor, ste mantiene/genera el PMK

La PMK no se usa directamente para el cifrado!!! Se generan un conjunto

de llaves temporales, denominadas PTK (pairwise transient key)

Llave para cifrado de datos (1)

Llave para integridad de datos (2)

Llave para cifrado EAPOL (3)

Llave para integridad EAPOL (4)

PMK

(1)

Nonce1
Nonce2

Generacin
PTK

(2)
(3)

MAC1
(4)
MAC2
Ramn Agero Calvo
20

Redes Inalmbricas

Obtencin de las llaves PTK

1. Tanto el AP como la estacin generan sus
valores Nonce, sin ninguna relacin entre
ellos
2. El AP manda su ANNonce a la estacin,
utilizando un mensaje EAPOL; el mensaje
va en claro
Punto de Acceso

Estacin
1

ANNonce

3
4

SNonce + MIC
5
6

3. La estacin puede generar ya las llaves

temporales, pues conoce toda la
informacin necesaria
4. La estacin manda su SNonce al AP;
tambin viaja en claro, pero esta vez se
protege con un MIC, para no poder ser
modificado (se utiliza la llave de integridad
EAPOL 4) Adems permite que el AP
confirme la identidad de la estacin
5. El AP calcula las llaves temporales y,
adems, comprueba (a travs del MIC) la
identidad de la estacin

6. El AP le comunica a la estacin que est

listo para empezar a utilizar las llaves; utiliza
MIC para que la estacin compruebe su
identidad
7. ACK, se comienzan a emplear las llaves
para la encriptacin
Ramn Agero Calvo
21

Redes Inalmbricas

Llaves de grupo en WPA

Se componen de la GMK (Group Master Key), que genera el AP
Tambin existen las GTK (Group Transient Key)

Llave de cifrado de grupo

Llave de integridad de grupo

El AP manda el GTK a cada estacin tras generar las llaves PTK

Informacin cifrada (mensajes EAPOL)

Ramn Agero Calvo

22

Redes Inalmbricas

EAPOL-Key
Mensaje definido en WPA para el intercambio de llaves entre el AP
(Authenticator) y el terminal mvil (Supplicant)
Tipo Descriptor [1B]
Informacin llave
[2B]

Longitud llave
[2B]

Nmero secuencia [8B]

254 en WPA
Informacin control acerca del mensaje
Protege frente ataques REPLAY

Nonce [32B]
IV EAPOL Key [16B]
Sequence Start [8B]
Key ID [8B]

IV para la proteccin de mensajes

EAPOL (e.g. GTK)
Valor de secuencia esperado tras el intercambio
de llaves Evita ataques REPLAY
No se usa en WPA

Key MIC [8B]

Longitud datos llave
[2B]

Datos llave
[2B]

Datos cifrados (e.g. GTK)

Ramn Agero Calvo

23

Redes Inalmbricas

Funcionamiento WPA
Datos

La llave se obtiene a partir de la

direccin MAC origen el IV y la llave
de la sesin

Llave Sesin
MICHAEL

Mezcla llave

Algoritmo
RC4

Generacin IV

Datos

8B

4B

Michael

ICV

1011000100001010.1

IV/KeyID
4B

802.11
Claro

IV

IV ext
4B

Datos

MIC
Cifrado

ICV

FCS
Claro

Ramn Agero Calvo

24

Redes Inalmbricas

Funcionamiento WPA: Mezcla llaves

Direccin MAC
Transmisor

Llave
Sesin

Vector Inicializacin
[Contador Secuencia]
32 msb

16 msb

Fase 1
Mezcla llaves

Fase 2
Mezcla llaves

Dummy Byte, para

evitar llaves dbiles

IV
[8b]

D
[8b]

IV
[8b]

104 bits
[Llave Secreta]

Ramn Agero Calvo

25

Redes Inalmbricas

Formato trama WPA

Parte cifrada

IV
[4B]

IV Ext
[4B]

Vector Inicializacin Res

[3B]
[5b]

Datos
[?B]

Ext IV

Cabecera MAC
802.11 [24B]

MIC
[8B]

ICV
[4B]

FCS
[4B]

ID
[2b]

Ramn Agero Calvo

26

Redes Inalmbricas

IEEE 802.11i WPA2

Publicado en Junio de 2004, se le conoce como WPA2
La mayor diferencia con WPA es que usa AES como mtodo de
encriptacin

No se conocen ataques exitosos a este mtodo

Es un mtodo de encriptacin de bloque (no de flujo, como RC4)

AES est basado en el algoritmo de Rijndael

Define un nuevo tipo de red inalmbrica: RSN (Robust Security Network)

Puede estar basada en TKIP o CCMP [por defecto]

Para favorecer la interoperabilidad, tambin establece la red TSN (Transitional

Security Network)

Arquitectura 802.11i / WPA2

802.1x para la autenticacin idntica a la empleada por WPA/TKIP

CCMP (Counter-Mode/CBC-Mac Protocol) integridad, confidencialidad y
autenticacin

Ramn Agero Calvo

27

Redes Inalmbricas

Funcionamiento CCMP
Cabecera MAC
AAD
Campos
protegidos MIC

Trama MAC

SRC@

Nonce
PN + SRC@
+ Priority

Cifrado
CCMP
(MIC)

Datos
Temporary
Key
Packet
Number

Incremento
PN

Cabecera
CCMP

KeyID

Ramn Agero Calvo

28

Redes Inalmbricas

Formato CCMP
El formato de su trama es similar al de TKIP

No incorpora ICV Packet Number

El formato de la cabecera CCMP es similar al de TKIP (combinacin IV/IV

Extendido)

La principal diferencia es en la implementacin se emplea AES y no RC4

Parte cifrada

CCMP
[8B]

PN(0-1) Res Res

[2B] [1B] [5b]

Ext IV

Cabecera MAC
802.11 [24B]

Datos
[?B]

ID
[2b]

MIC
[8B]

FCS
[4B]

PN(2-5)
[4B]

Ramn Agero Calvo

29

Redes Inalmbricas

Seguridad desde un punto de vista prctico

En los puntos de acceso Routers Wi-FI
Filtrado MAC/IP
DHCP
No transmisin de Beacons
Soluciones ms avanzadas, de cortafuegos

Ramn Agero Calvo

30