Seguridad en Wlan

CURSO
Redes Inalmbricas (WLAN)

Redes Wi-Fi Visin desde la Prctica
Mg. Ing. Santiago Perez

Esp. Ing. Higinio Facchini
CURSO REDES WI-FI VISIN PRCTICA - Ings. PEREZ - FACCHINI
SEGURIDAD EN WLAN
Seguridad en WLAN:
Vulnerabilidades
Tecnologa
TCP/IP
WEP y SSID de Broadcast
Proceso de Asociacin
Interferencia Inalmbrica
Configuracin
Passwords predeterminadas
Servicios Innecesarios activados
Pocos o ningn filtro
Mantenimiento pobre de los dispositivos
Poltica
Poltica de Seguridad Dbil
Ninguna Poltica de Seguridad
Poltica pobremente reforzada
Acceso fsico
Supervisin pobre o inexistente
Seguridad en WLAN:
Ataques
Internos
Externos
Estructurados
No Estructurados
Seguridad en WLAN: Ataques

Reconocimiento y Acceso
Seguridad en WLAN: Ataques

Denegacin de Servicio (DoS)
Seguridad en WLAN: WEP

En
el ao 1999, el IEEE aprob el estndar 802.11b, una

extensin del 802.11 para WLAN empresariales, con una
velocidad de 11 Mbit/s , utilizando la banda de 2,4 GHz y
que incluye la Privacidad Equivalente Almbrica (WEP)
para cifrar los paquetes transmitidos.
La WEP introdujo 3 parmetros de seguridad:
AUTENTICACIN
ENCRIPTACIN
VERIFICACIN DE INTEGRIDAD

AUTENTICACIN:
utiliza tramas de autenticacin

(independiente de las tramas de datos), utilizando llaves
compartidas (shared keys) entre el cliente (estacin) y el
AP. Una vez autenticado, el cliente se asocia al AP
ENCRIPTACIN:
para las tramas de datos utiliza el

algoritmo de cifrado RC4 de 40 104 bits.
INTEGRIDAD:
a la trama anterior se le agregan 24 bits

adicionales que varan de trama en trama para asegurar
que la misma no haya sido cambiada. Se implementa con
un chequeo de redundancia cclica.
Open System authentication:
Mtodo ms simple.
Es un algoritmo de autenticacin nulo.
Es el mtodo por defecto.
Involucra una secuencia de 2 fases:
1 trama:
tipo: Management
Subtipo: Authentication
Items de informacin: Authentication Algorithm Identification = Open
System; Station Identity Assertion,
Direccin del mensaje: desde la STA que inicia la autenticacin hacia la
STA autenticadora
2 trama:
Tipo: Management
Subtipo: Authentication
Items de informacin: Authentication Algorithm Identification = Open
System
Direccin del mensaje: De la STA autenticadora a la STA que inicia

Shared Key authentication:
Soporta autenticacin de estaciones mediante una llave compartida. Se
transmite la llave en texto plano o se hace uso de WEP.
La llave compartida secreta se ha ingresado a cada estacin mediante un modo
seguro independiente de 802.11
Durante el intercambio de la llave, se genera un texto de intercambio
encriptado mediante 4 tramas.
10

El algoritmo WEP tiene las siguientes propiedades:
Es razonablemente fuerte:
La seguridad dada por el algoritmo se refiere a la dificultad de descubrir
la llave secreta a travs de un ataque de fuerza bruta. Esto est
relacionado con la longitud de la llave secreta y la frecuencia de
intercambio de llaves. WEP permite el cambio de la llave y el cambio de
la frecuencia.
Es autosincronizado:
WEP se autosincroniza para cada mensaje. Esta propiedad es crtica para
algoritmos de encriptacin de nivel de capa de enlace, ya que se asume
envo best effort y la prdida de paquetes puede ser alta.
Es eficiente:
es eficiente y puede implementarse en hardware o software.
Es opcional:
La implementacin y uso de WEP es una opcin en IEEE 802.11.
11
La llave secreta es concatenada con un initialization vector (IV) y

el seed resultante se toma como entrada al PRNG. La salida del
PRNG es una secuencia de llaves k de octetos pseudoaleatorios de
longitud igual al nmero de octetos de datos a transmitir.
12
13
Seguridad en WLAN:
Deficiencias WEP
La WEP utiliza un esquema de cifrado simtrico en el que la
misma clave y algoritmo se utilizan tanto para el cifrado de datos
como para su descifrado.
La WEP utiliza claves estticas como parte de su metodologa de
encriptacin, que en cierta forma facilitan la interceptacin de
paquetes suficientes para discernir la clave y por lo tanto
descifrar el trfico codificado, y/o modificar los paquetes
perdiendo as la INTEGRIDAD de la informacin
Los clientes de la red comparten todos el mismo conjunto de
claves predeterminadas
El vector IV es demasiado corto
14
Seguridad en WLAN: Mejoras
Para solucionar los problemas de seguridad de WEP se han publicado las

siguientes normas:
802.11i
El instituto IEEE aprob en Julio 2004 la norma 802.11i , una extensin
de la 802.11 para mejorar la seguridad
WPA
Por su parte, la Alianza Wi-Fi, una Asociacin inalmbrica Internacional
sin nimo de lucro, adopt una norma provisional de seguridad
inalmbrica llamada Acceso Protegido de WI-FI (WPA) en otoo de 2002
y comenz a realizar pruebas de interoperabilidad en la primavera de
2003.
La norma WPA tiene como objetivo solucionar todas las deficiencias de la
WEP; combina la autenticacin de usuario con un elemento de
encriptacin ms fuerte que el de la norma 802.11i denominada Protocolo
de Integridad Clave Temporal (TKIP), la cual incluye el Control de
Integridad de Mensajes (MIC), que protege de falsificaciones y de los
denominados ataques repetidos (replay)
15
Seguridad en WLAN: Mejoras
El WPA se considera una solucin provisional y no cumple la norma IEEE

802.11i
La alianza WiFi cre a continuacin el WPA2
El WPA2 es la segunda generacin del WPA . Proporciona encriptacin con

AES, un alto nivel de seguridad en la autentificacin de usuarios y est basado
en la norma IEEE 802. 11i
Utiliza AES (Advanced Encryption Standard) y proporciona seguridad grado

gubernamental implementando NIST (National Institute of Standards and
Technology) FIPS 14202
Totalmente compatible with IEEE 802.11i (version final ratificada).
Proporciona administracin de red con un alto nivel de seguridad de forma

que solamente usuarios autorizados pueden acceder a la red.
16
Seguridad en WLAN: 802.11i

Fases Operacionales
17

Fase: Descubrimiento de la red
Determina las partes posibles que se pueden comunicar
Los AP avisan las capacidades de seguridad de la red a las STAs
18

Fase: Autenticacin
Centraliza las polticas de decisin de la red al AS (serv. aut)
Autenticacin mutua entre STA y AS
19

Fase: Autenticacin
20

Fase: Autenticacin
Al final de la autenticacin :
El AS y la STA establecieron una sesin si EAP fue exitoso
Ambos poseen una llave MK (Master) autenticada mutuamente
STA y AS derivan cada uno una PMK (Pairwise Master Key)
PMK es un token de autorizacin para asegurar la decisin de
control de acceso
AS distribuy PMK a un AP (el que se asocia con la STA)
21

Fases: Autenticacin
22

Fase: Administracin de claves
23
Administracin de claves
24
Transferencia de datos
Data Transfer
802.11i define 3 protocolos para proteger transferencia de
datos: CCMPWRAPTKIP
Los protocolos de cifrado son conjuntos de algoritmos de
encriptacin e integridad.
Estos proporcionan proteccin de WEP y permiten el uso de
la administracin de clave autenticada.
Se deben usar para activar:
WPA Acceso Protegido de Wi-Fi
CCKM Admin. de Claves Centralizada de Cisco
25
TKIP: Temporal Key Integrity Protocol
Sucesor de WEP
Puede implementarse en software
Se puede utilizar sobre hardware existente WEP
Tiene un proceso de autenticacin de mensajes MICHAEL
26
TKIP
Construye una llave de encriptacin mejor por paquete
Temporal encryption key = PTK bits 256-383, GTK 0-127
bits
Temporal data origin authenticity keys = PTK bits 384-511,
GTK bits 128-255
27
CCMP
Basado en AES in CCM mode
CCM = Counter Mode Encryption
AES requiere nuevo hardware para AP y Hand-helds (no
para PCs)
AES soporta llaves de 128, 192 y 256 bits, tanto estticas
como dinmicas
Incluye MIC
Autenticacin e integridad usa CBC-MAC (Cipher Block
Chaining Message Authentication Code), con una simple llave
de 128 bit
Diseado para IEEE 802.11i por D. Whiting, N. Ferguson, and
R. Housley
28
Consideraciones sobre la
seguridad en WLAN
Autenticacin slo deberan estar permitidos usuarios y

dispositivos autorizados.
Encriptacin el trfico debera estar protegido de accesos no

autorizados.
Seguridad de la Administracin slo usuarios autorizados

deberan poder acceder y configurar las interfaces del AP.
29
seguridad en WLAN
Seguridad Mejorada
Seguridad Bsica
Acceso Abierto
Sin Encriptacin,
Autenticacin Bsica
Hotspots Pblicos
Acceso
Remoto
Encriptacin WEP
Esttica - 40 o 128 bits
802.1x, Encriptacin
TKIP/WPA,
Autenticacin Mutua,
Admin. Clave Escalable,
etc.
Uso Hogareo
Empresas
Red
Privada
Virtual
(VPN)
Viajantes de
Negocios,
Teletrabajadores
30
seguridad en WLAN
31

Seguridad en Wlan

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seguridad en Wlan

Enviado por

Direitos autorais:

Formatos disponíveis

CURSO

Redes Inalmbricas (WLAN)

Mg. Ing. Santiago Perez

CURSO REDES WI-FI VISIN PRCTICA - Ings. PEREZ - FACCHINI

CURSO REDES WI-FI VISIN PRCTICA - Ings. PEREZ - FACCHINI

CURSO REDES WI-FI VISIN PRCTICA - Ings. PEREZ - FACCHINI

CURSO REDES WI-FI VISIN PRCTICA - Ings. PEREZ - FACCHINI