Redes de Acceso Celular

Redes Inalámbricas de Área Local y Personal

WLAN: Estándar IEEE 802.11

Ramón Agüero Calvo

(ramon.agueroc@unican.es)

Ramón Agüero Calvo

1
 Redes de Acceso Celular

Contenido

Introducción

Estandarización

Topologías

Capa física 802.11

Protocolo MAC 802.11

Rendimiento

Operaciones de gestión 802.11

Seguridad en 802.11

Ramón Agüero Calvo

2
 Redes de Acceso Celular

Seguridad en 802.11: Introducción

Requerimientos tradicionales de seguridad
− Privacidad
− Integridad de los datos
− Autenticación

El medio inalámbrico es intrínsecamente más vulnerable

Se trató de solventar este problema, incluyendo el método WEP (Wired
Equivalent Privacy) en la recomendación 802.11

Sin embargo se ha demostrado como un método poco eficaz, por lo que se
tienen que buscar otras alternativas

Ramón Agüero Calvo

3
 Redes de Acceso Celular

¿Qué es WEP?

Se trata de un mecanismo de seguridad a nivel de enlace, y no extremo a
extremo
− Trata de prevenir “eavesdropping” de tramas en el canal

Protege las tramas en el medio radio, pero no más allá del punto de acceso

Un segundo objetivo, menos explícito, es controlar el acceso a la red,
denegando el acceso a estaciones no autenticadas

Se basa en un algoritmo simétrico, RC4
− Se genera una cadena de bits a partir de una llave
− Esta se utiliza para cifrar el mensaje original, mediante la operación lógica XOR

Entre otros requerimientos, tenía originalmente el de su sencillez y facilidad

de implementación

Ramón Agüero Calvo

4
 Redes de Acceso Celular

Funcionamiento WEP

1. La llave secreta de 40 bits se combina con un

24 bits 40 bits vector de inicialización de 24 bits para formar la
llave RC4

1011010...1 2. En paralelo, la trama de datos se protege con

Datos un vector de chequeo de integridad (CRC-32)
3. La llave se pasa por el algoritmo RC4, formando
1 una secuencia de bits de longitud apropiada

64 bits 4. Esta secuencia se emplea para cifrar la

Algoritmo Detección información y el ICV (operación lógica XOR)
2
de errores (CRC-32)

4 BYTES Integridad
Confidencialidad
Algoritmo Datos ICV
RC4 4

802.11 IV Datos ICV FCS

3 Claro Cifrado Claro

1011000100001010...1

Secuencia Llave RC4

(Trama de datos + ICV)

Ramón Agüero Calvo

5
 Redes de Acceso Celular

Formato trama WEP

Parte cifrada

Cabecera MAC IV Datos ICV FCS

802.11 [24B] [4B] [?B] [4B] [4B]

Vector Inicialización Res ID Existen 4 posibles llaves

[3B] [6b] [2b]

Ramón Agüero Calvo

6
 Redes de Acceso Celular

Autenticación en WEP

¿Cómo se consigue la autenticación?
− Las estaciones tienen que compartir una llave con el Punto de Acceso
− Esta llave se tiene que distribuir (“fuera de banda”) a todas las estaciones, antes
de afrontar la autenticación

Petición
Autentic
ación

nse
e Respo
Challeng
encriptar
Texto sin Estados Estaciones
Challeng
e Respo
Texto en nse 1. No Autenticado / No Asociado
criptado
2. Autenticado / No Asociado
Éxito
3. Autenticado / Asociado

Ramón Agüero Calvo

7
 Redes de Acceso Celular

Problemas de WEP

RC4(KEY,DatosX) ⊕ RC4 (KEY,DatosY) = DatosX ⊕ DatosY
− La llave cambia con el IV, pero este se transmite en claro en el paquete
− Además, siendo de 24 bits, el mismo IV se usará relativamente pronto: un punto
de acceso cargado, con paquetes de 1500 Bytes constantemente, utilizará todos
los IV en 5 horas  “sólo” hay en torno a 17 M de IV
− El estándar recoge que es opcional modificar el IV en cada paquete

Debilidad de las llaves RC4 – Ataque FMS

− Hay ciertas llaves para las que los primeros bytes de la salida del RC4 no son
completamente aleatorios
⋅ El IV es el comienzo de la llave
⋅ Además la primera parte de los datos cifrados se puede “adivinar”
− Una solución sería descartar los primeros bytes de la salida del RC4

La integridad se basa en un CRC

− Seguro para errores arbitrarios, no deliberados
− Es lineal, por lo que se pueden cambiar bits en los paquetes
− La integridad se puede asegurar con funciones “hash” no predecibles
Ramón Agüero Calvo
8
 Redes de Acceso Celular

Problemas de WEP

En la fase de autenticación, se transmite el texto claro y después el cifrado
− RC4(KEY,Reto) ⊕ Reto = RetoCifrado
− RetoCifrado ⊕ Reto = RC4(KEY,Reto)

Control de acceso
− No especificado en el estándar, se suele basar en filtrado por dirección MAC

Protección en las “respuestas”

− Un atacante que captura tramas y luego hace “mal” uso de ellas

Distribución de llaves: Talón de Aquiles de los mecanismos de seguridad

simétricos
− La llave tiene que ser conocida por todas las estaciones
− ¿Cómo? El estándar no especifica ningún esquema de distribución
− La llave no puede considerarse como secreta, ya que se tienen que introducir en
el driver o en el firmware de la tarjeta (el usuario la conoce)

Ramón Agüero Calvo

9
 Redes de Acceso Celular

Ataques a WEP

Pasivo para descifrar texto
− Basado en la repetición de los IV
− PARKING LOT ATTACK
− Diccionario: con 15 Gb tabla IV y Llave RC4

Activo
− Mandar paquetes maliciosos - RC4(X) ⊕ X ⊕ Y = RC4(Y) (Requiere conocer el
paquete original)
− También se pueden hacer ligeras modificaciones en el mensaje (comandos shell,
etc)

Ataque “con cómplice”

INTERNET

Ramón Agüero Calvo

10
 Redes de Acceso Celular

Deficiencias WEP públicas

Herramientas
− AirSnort: http://airsnort.sourceforge.net/
− WEPCrack: http://sourceforge.net/projects/wepcrack/
− THC-RUT: www.thehackerschoice.com/releases.php
− NetStumbler (www.netstumbler.com/)

Artículos
− Intercepting Mobile Communications: The Insecurity of 802.11," by Nikita Borisov,
Ian Goldberg and David Wagner
− "Weaknesses in the Key Scheduling Algorithm of RC4," by Scott Fluhrer, Itsik
Mantin and Adi Shamir

Ramón Agüero Calvo

11
 Redes de Acceso Celular

Soluciones a la seguridad

Redes Privadas Virtuales (VPN)

Remote Authentication Dial In User Services (RADIUS)

IPsec

802.1x

Implementaciones WEP propietarias

802.1x (Potenciado por las compañías)

Ramón Agüero Calvo

12
 Redes de Acceso Celular

IEEE 802.1x

Se basa en el Protocolo de Autenticación Extensible (EAP, RFC 2284,
RFC3748)

Extensión EAP Over LAN (EAPOL), utilizando servidores RADIUS

Estación Punto de Acceso Servidor Radius

Comienzo EAPOL
Petición Identidad
Respuesta Identidad Petición Acceso RADIUS

Petición EAP Challenge Acceso RADIUS

En función del método de
Respuesta EAP Petición Acceso RADIUS autenticación empleado

Éxito EAP Acceso Aceptado RADIUS

Intercambio llaves

Fin EAPOL

Ramón Agüero Calvo

13
 Redes de Acceso Celular

Arquitectura EAP en 802.11

Authentication
Supplicant Authenticator
Server

Método EAP

EAP

EAPOL EAPOL
Radius Radius
802.1x 802.1x

UDP/IP UDP/IP
802.11 802.11
Eth-II Eth-II

Ramón Agüero Calvo

14
 Redes de Acceso Celular

Protocolo EAPOL

EAPOL-Start
− Le manda el Supplicant cuando se conecta a LAN (no conoce la MAC del
Authenticator)
− Es un mensaje dirigido a un grupo [dirección multicast]
− Hay ocasiones que el Authenticator “es conocedor” de que una estación se ha
conectado y puede enviarle “proactivamente” un paquete previo

EAPOL-Key
− Se emplea para que el Authenticator envíe al Supplicant llaves una vez que está
admitido en la red

EAPOL-Packet
− Encapsula los mensajes EAP [conexión extremo a extremo con el servidor de
autenticación]

EAPOL-Logoff
− Para finalizar la conexión

Ramón Agüero Calvo

15
 Redes de Acceso Celular

Métodos de autenticación

EAP-SIM y EAP-AKA
− Utilizando una tarjeta inteligente (GSM y UMTS, respectivamente)

EAP-TLS (Transport Layer Security)

− Sucesor de TLS
− Autenticación mutua con certificados PKI
− No es muy empleado

EAP-TTLS (Tunneled TSL) y EAP-PEAP

− Se establece un túnel TLS
− Uso de certificaciones más “restringidas” y sólo para la red: LDAP, Dominio Windows, etc
− Usan diferentes mecanismos de autenticación
⋅ TTLS: PAP, CHAP, MS-CHAP, MS-CHAPv2
⋅ PEAP: Generic Token Card (GTC), TSL, MSCHAP-v2

LEAP (Lightweight EAP)

− Propietario CISCO

EAP-FAST
− Propietario de CISCO, más cercano a PEAP y TTLS
− Autenticación: GTC, MS-CHAPv2

Ramón Agüero Calvo

16
 Redes de Acceso Celular

¿Qué es WPA?

Wireless Protected Access

Solución “adoptada” por WiFi para mejorar las prestaciones de la seguridad
de 802.11

Anterior al estándar 802.11i
− “Patch” intermedio antes del estándar definitivo

¿qué incorpora frente a WEP?

− Servidor 802.1x para la distribución de llaves
− Mejora de RC4  128 bits y vector inicialización de 48 bits
− TKIP (Temporal Key Integrity Protocol)
− MIC (Message Integrity Check)  Michael

Ramón Agüero Calvo

17
 Redes de Acceso Celular

Comparativa WEP/WPA

WEP Vs. WPA

Aspecto WEP WPA

Encriptación Debilidades conocidas Evita los fallos
conocidos de WEP
Llaves de 40 bits Llaves de 128 bits

Estático  la misma Llaves dinámicas 

llave se usa en toda la por usuario, por
red sesión, por paquete
Distribución de llaves Distribución de llaves
manual incorporada
Autenticación Usa WEP, con Sistema de
debilidades autenticación “fuerte”,
con EAP y 802.1x

Ramón Agüero Calvo

18
 Redes de Acceso Celular

Elementos WPA

Encriptación: TKIP
− Permite que sistemas WEP se actualicen para ser seguros
− La llave aumenta de 40 a 104 bits, y es dinámicamente generada por el servidor
de autenticación; además se cambia por trama
− Aumenta el tamaño del vector de inicialización IV (de 24 a 48 bits) y establece
normas de buen uso para seleccionar cada IV
− Además incorpora un TSC (TKIP sequence number) para evitar ataques REPLAY
⋅ Se aprovecha para ello el Vector de Inicialización
− Gestión de llaves jerárquico
⋅ Llave maestra (generada por el servidor de autenticación) que puede generar 500
trillones de llaves

Integridad: MIC
− El MIC se usa para reemplazar el CRC
− Protege fuertemente los paquetes, para que no sean modificados  integridad

Autenticación: 802.1x + EAP

Ramón Agüero Calvo

19
 Redes de Acceso Celular

WPA: Jerarquía de llaves

WPA emplea diferentes tipos de llaves a distinto nivel
− Pairwise key: se emplea en el intercambio de información entre dos terminales
⋅ Cada terminal necesita, al menos, la pairwise key para comunicarse con el AP, y éste
necesitará una por cada uno de los terminales
− Group key: llave que se comparte por un grupo de terminales y se emplea en la
difusión de mensajes broadcast o multicast

Cada tipo de llave tiene asociada su jerarquía correspondiente

También se distingue entre llaves “pre-compartidas” y “basadas en servidor”
− Las últimas requieren una autenticación de nivel superior [servidor RADIUS]

Ramón Agüero Calvo

20
 Redes de Acceso Celular

Jerarquía Pairwise

Comienza con la Llave pairwise maestra (PMK)  puede ser preshared o
server-based
− En entornos reducidos (oficinas pequeñas, hogar) no es práctico montar un
servidor Radius: se usa la solución PreShared Key (PSK)

LA PMK tiene un tamaño de 32 octetos

El punto de acceso maneja una PMK diferente con cada terminal
− En una solución con servidor, éste mantiene/genera el PMK

La PMK no se usa directamente para el cifrado!!! Se generan un conjunto

de llaves temporales, denominadas PTK (pairwise transient key)
− Llave para cifrado de datos (1)
PMK
− Llave para integridad de datos (2) (1)
Nonce1
− Llave para cifrado EAPOL (3) (2)
Nonce2 Generación
− Llave para integridad EAPOL (4) PTK (3)
MAC1
(4)
MAC2

Ramón Agüero Calvo

21
 Redes de Acceso Celular

Obtención de las llaves PTK

1. Tanto el AP como la estación generan sus
valores Nonce, sin ninguna relación entre
ellos
2. El AP manda su ANNonce a la estación,
utilizando un mensaje EAPOL; el mensaje
va en claro

Estación Punto de Acceso 3. La estación puede generar ya las llaves

temporales, pues conoce toda la
información necesaria
1 1
4. La estación manda su SNonce al AP;
ANNonce
2 también viaja en claro, pero esta vez se
3
protege con un MIC, para no poder ser
4 modificado (se utiliza la llave de integridad
SNonce + MIC EAPOL – 4)  Además permite que el AP
6
5
confirme la identidad de la estación
7 5. El AP calcula las llaves temporales y,
además, comprueba (a través del MIC) la
identidad de la estación
6. El AP le comunica a la estación que está
listo para empezar a utilizar las llaves; utiliza
MIC para que la estación compruebe su
identidad
7. ACK, se comienzan a emplear las llaves
para la encriptación

Ramón Agüero Calvo

22
 Redes de Acceso Celular

Llaves de grupo en WPA

Se componen de la GMK (Group Master Key), que genera el AP

También existen las GTK (Group Transient Key)
− Llave de cifrado de grupo
− Llave de integridad de grupo

El AP manda el GTK a cada estación tras generar las llaves PTK

− Información cifrada (mensajes EAPOL)

Ramón Agüero Calvo

23
 Redes de Acceso Celular

EAPOL-Key

Mensaje definido en WPA para el intercambio de llaves entre el AP
(Authenticator) y el terminal móvil (Supplicant)

Tipo Descriptor [1B] 254 en WPA

Información llave Longitud llave Información control acerca del mensaje

[2B] [2B]

Número secuencia [8B] Protege frente ataques REPLAY

Nonce [32B]
IV para la protección de mensajes
IV EAPOL Key [16B]
EAPOL (e.g. GTK)
Sequence Start [8B] Valor de secuencia esperado tras el intercambio
de llaves – Evita ataques REPLAY
Key ID [8B] No se usa en WPA

Key MIC [8B]

Longitud datos llave Datos llave

Datos cifrados (e.g. GTK)
[2B] [2B]

Ramón Agüero Calvo

24
 Redes de Acceso Celular

Funcionamiento WPA
Datos
• La llave se obtiene a partir de la
dirección MAC origen el IV y la llave
Llave Sesión
de la sesión
MICHAEL

Mezcla llave Generación IV

8B 4B
Algoritmo Datos Michael ICV
RC4 IV/KeyID IV ext
4B 4B

1011000100001010.1 802.11 IV Datos MIC ICV FCS

Claro Cifrado Claro

Ramón Agüero Calvo

25
 Redes de Acceso Celular

Funcionamiento WPA: Mezcla llaves

Vector Inicialización
Dirección MAC Llave
[Contador Secuencia]
Transmisor Sesión
32 msb 16 msb

Fase 1
Mezcla llaves

Fase 2
Dummy Byte, para
Mezcla llaves
evitar llaves débiles

IV D IV 104 bits
[8b] [8b] [8b] [Llave Secreta]

Ramón Agüero Calvo

26
 Redes de Acceso Celular

Formato trama WPA

Parte cifrada

Cabecera MAC IV IV Ext Datos MIC ICV FCS

802.11 [24B] [4B] [4B] [?B] [8B] [4B] [4B]

Vector Inicialización Res Ext IV ID

[3B] [5b] [2b]

Ramón Agüero Calvo

27
 Redes de Acceso Celular

IEEE 802.11i – WPA2

Publicado en Junio de 2004, se le conoce como WPA2

La mayor diferencia con WPA es que usa AES como método de
encriptación
− No se conocen “ataques” exitosos a este método
− Es un método de encriptación de bloque (no de flujo, como RC4)
− AES está basado en el algoritmo de Rijndael

Define un nuevo tipo de red inalámbrica: RSN (Robust Security Network)

− Puede estar basada en TKIP o CCMP [por defecto]
− Para favorecer la interoperabilidad, también establece la red TSN (Transitional
Security Network)

Arquitectura 802.11i / WPA2

− 802.1x para la autenticación  idéntica a la empleada por WPA/TKIP
− CCMP (Counter-Mode/CBC-Mac Protocol)  integridad, confidencialidad,
integridad y autenticación

Ramón Agüero Calvo

28
 Redes de Acceso Celular

Funcionamiento CCMP
Cabecera MAC

AAD
Campos
protegidos MIC

Trama MAC
SRC@ Nonce Cifrado
PN + SRC@ CCMP
+ Priority
(MIC)
Datos

Temporary
Key

Packet Incremento
Number PN

Cabecera
KeyID
CCMP

Ramón Agüero Calvo

29
 Redes de Acceso Celular

Formato CCMP

El formato de su trama es similar al de TKIP
− No incorpora ICV – Packet Number
− El formato de la cabecera CCMP es similar al de TKIP (combinación IV/IV
Extendido)
− La principal diferencia es en la implementación  se emplea AES y no RC4

Parte cifrada

Cabecera MAC CCMP Datos MIC FCS

802.11 [24B] [8B] [?B] [8B] [4B]
Ext IV

PN(0-1) Res Res ID PN(2-5)

[2B] [1B] [5b] [2b] [4B]

Ramón Agüero Calvo

30
 Redes de Acceso Celular

Seguridad desde un punto de vista práctico

En los puntos de acceso  Routers Wi-FI

Filtrado MAC/IP

DHCP

No transmisión de Beacons

Soluciones más avanzadas, de cortafuegos

Ramón Agüero Calvo

31