Escolar Documentos
Profissional Documentos
Cultura Documentos
2008 I
ANALISIS DE
WPA/WPA2 Vs
WEP
MAESTRIA EN GERENCIA DE REDES Y
TELECOMUNICACIONES
LIC. JULIO CESAR ARDITA - CYBSEC S.A.
INTRODUCCIÓN _______________________________________________________ 1
FUNCIONAMIENTO __________________________________________________________ 8
PROBLEMAS _________________________________________________________________ 8
VARIANTES _________________________________________________________________10
FUNCIONAMIENTO _________________________________________________________13
PROBLEMAS ________________________________________________________________14
OTRAS MEDIDAS____________________________________________________________15
FILTRADO DE DIRECCIONES MAC _________________________________________________ 15
OCULTACIÓN DEL NOMBRE DE LA RED (ESSID) _____________________________________ 15
GLOSARIO ___________________________________________________________ 18
BIBLIOGRAFÍA ________________________________________________________ 21
INTRODUCCIÓN
Cuando se hablan de redes inalámbricas podemos distinguir dos grandes tipos: las redes
inalámbricas que necesitan una línea de visión directa y sin elementos que bloqueen la
señal, por ejemplo las señales de infrarrojos (IR), y las que no necesitan de una línea de
visión directa, como son las señales de radiofrecuencia (FR) para la transmisión de
información. Ejemplos típicos de este tipo de tecnología son los mandos a distancia para
el televisor o algunos modelos de teclados inalámbricos para ordenadores. Típicamente
este tipo de redes necesita de un funcionamiento próximo entre los componentes que la
forman para su correcta operatividad. Uno de los motivos es la limitada capacidad en
potencia de los dispositivos de transmisión regulada por los gobiernos para evitar
problemas de interferencias y otros aspectos específicos de cada estado. Otro factor
limitante es la frecuencia de operación (normalmente medida en Hz) a la que trabajan
estos dispositivos.
Algunas señales, como las señales de radio, los rayos-x o los RF son capaces de
traspasar objetos sólidos mientras que otras, como las señales infrarrojas, no. Dentro del
grupo de las primeras se encuentran las redes inalámbricas que nos ocupan: las redes
definidas por la especificación IEEE 802.11 normalmente conocidas por “WIFI” (Wireless
Fidelity). Este tipo de redes han supuesto una auténtica revolución en determinados
ámbitos de la comunicación permitiendo desplegar muy rápidamente redes de carácter
local (WLAN) sin necesidad de grandes infraestructuras y dotando de movilidad al
usuario. De hecho, son su velocidad y alcance (unos 100-150 metros en hardware
asequible) lo que la convierten en una fórmula perfecta para el acceso a internet sin
cables.
Una red Wi-Fi, al igual que ocurre con cualquier tipo de red inalámbrica, es una red en
principio insegura puesto que el medio de transmisión es el aire y las señales viajan libres,
de manera que cualquier individuo equipado con una antena de las características
adecuadas podría recibir la señal y analizarla. Sin embargo, esa capacidad de recibir la
señal no equivale a poder extraer la información que contiene, siempre y cuando se
tomen las medidas oportunas, como el cifrado de la misma.
Los ataques que sufren las redes de telecomunicaciones son muchos y variados, y van
desde la intrusión de virus y troyanos hasta la alteración y robo de información
confidencial. Uno de los problemas más graves a los cuales se enfrenta actualmente la
tecnología Wi-Fi es la seguridad. Un elevado porcentaje de redes son instaladas por
administradores de sistemas y redes por su simplicidad de implementación sin tener en
consideración la seguridad y, por tanto, convirtiendo sus redes en redes abiertas, sin
proteger la información que por ellas circulan. Existen varias alternativas para garantizar
la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado
de datos para los estándares Wi-Fi como el WEP y el WPA que se encargan de codificar
la información transmitida para proteger su confidencialidad, proporcionados por los
propios dispositivos inalámbricos, o IPSEC (túneles IP) en el caso de las VPN y el
conjunto de estándares IEEE 802.1X, que permite la autenticación y autorización de
usuarios. Actualmente existe el protocolo de seguridad llamado WPA2 (estándar 802.11i),
que es una mejora relativa a WPA, es el mejor protocolo de seguridad para Wi-Fi en este
momento.
PELIGROS Y ATAQUES
Las violaciones de seguridad en las redes wireless (WLAN) suelen venir de los puntos de
acceso no autorizados (rogue AP), es decir, aquellos instalados sin el conocimiento del
administrador del sistema. Estos agujeros de seguridad son aprovechados por los intrusos
que pueden llegar a asociarse al AP y, por tanto, acceder a los recursos de la red.
WARCHALKING Y WARDRIVING
SUPLANTACIÓN
DENEGACIÓN DE SERVICIO
Son aquellos ataques en los que el intruso consigue que los usuarios autorizados no
puedan conectarse a la red. Existen los siguientes ataques de denegación de servicio:
• Smurf. El intruso envía un mensaje broadcast con una dirección IP falsa que, al ser
recibida, causará un aumento enorme de la carga de red.
La seguridad WIFI abarca dos niveles. En el nivel más bajo, se encuentran los
mecanismos de cifrado de la información, y en el nivel superior los procesos de
autenticación.
AUTENTICIDAD Y PRIVACIDAD
Al igual que en el resto de redes la seguridad para las redes wireless se concentra en el
control y la privacidad de los accesos. Un control de accesos fuerte impide a los usuarios
no autorizados comunicarse a través de los AP, que son los puntos finales que en la red
Ethernet conectan a los clientes WLAN con la red. Por otra parte, la privacidad garantiza
que solo los usuarios a los que van destinados los datos trasmitidos los comprendan. Así,
la privacidad de los datos transmitidos solo queda protegida cuando los datos son
encriptados con una clave que solo puede ser utilizada por el receptor al que están
destinados esos datos.
Por tanto, en cuanto a seguridad, las redes wireless incorporan dos servicios: de
autenticación y privacidad.
AUTENTICIDAD
Los sistemas basados en 802.11 operan muy frecuentemente como sistemas abiertos, de
manera que cualquier cliente inalámbrico puede asociarse a un punto de acceso si la
configuración lo permite. También existen listas de control de accesos basadas en la
dirección MAC, disponiendo en el AP de una lista con los clientes autorizados para
rechazar a los que no lo están. También es posible permitir el acceso a cualquier nodo
que se identifique y que proporcione el SSID (Service Set ID) correcto.
PRIVACIDAD
Por defecto, los datos se envían sin utilizar ningún cifrado. Si se utiliza la opción WEP los
datos se encriptan antes de ser enviados utilizando claves compartidas, que pueden ser
estáticas o dinámicas. Para realizar el cifrado se emplea la misma clave que se usa para
la autenticación WEP. También se pueden utilizar otros mecanismos más potentes, como
WPA o el nuevo estándar 802.11i.
El protocolo WEP no fue creado por expertos en seguridad o criptografía, así que pronto
se demostró que era vulnerable ante los problemas RC4 descritos por David Wagner
cuatro años antes. En 2001, Scott Fluhrer, Itsik Mantin y Adi Shamir (FMS para abreviar)
publicaron su famoso artículo sobre WEP, mostrando dos vulnerabilidades en el algoritmo
de encriptación: debilidades de no-variación y ataques IV conocidos. Ambos ataques se
basan en el hecho de que para ciertos valores de clave es posible que los bits en los
bytes iniciales del flujo de clave dependan de tan sólo unos pocos bits de la clave de
encriptación (aunque normalmente cada bit de un flujo de clave tiene una posibilidad del
50% de ser diferente del anterior). Como la clave de encriptación está compuesta
concatenando la clave secreta con el IV, ciertos valores de IV muestran claves débiles.
La etapa de comprobación de integridad también sufre de serias debilidades por culpa del
algoritmo CRC32 utilizado para esta tarea. CRC32 se usa normalmente para la detección
de errores, pero nunca fue considerado como seguro desde un punto de vista
criptográfico, debido a su linealidad, algo que Nikita Borisov, Ian Goldberg y David
Wagner ya habían advertido en 2001.
Fecha Descripción
sep-95 Vulnerabilidad RC4 potencial (Wagner)
Primera publicación sobre las debilidades de WEP:
oct-00 Insegura para cualquier tamaño de clave; Análisis de la encapsulación
WEP (Walker)
may-01 Ataque contra WEP/ WEP2 de Arbaugh
Ataque CRCbit flipping – Intercepting Mobile Communications:
jul-01
The Insecurity of 802.11 (Borisov, Goldberg, Wagner)
Ataques FMS– Debilidades en el algoritmo de programación
ago-01
de RC4 (Fluhrer, Mantin, Shamir)
ago-01 Publicación de AirSnort
feb-02 Ataques FMSoptimizados por h1kari
ago-04 Ataques KoreK (IVs únicos) – publicación de chopchop y chopper
Julio/ Publicación de Aircrack (Devine) y WepLab (Sánchez),
Agosto 2004 poniendo en práctica los ataques KoreK.
Luego del deceso del WEP, en 2003 se propone el Acceso Protegido a Wi-Fi (WPA, por
sus iniciales en inglés) y luego queda certificado como parte del estándar IEEE 802.11i,
con el nombre de WPA2 (en 2004).
WPA y WPA2 son protocolos diseñados para trabajar con y sin un servidor de manejo de
llaves. Si no se usa un servidor de llaves, todas las estaciones de la red usan una “llave
WPA2 es la versión certificada de WPA y es parte del estándar IEEE 802.11i. Hay dos
cambios principales en WPA2 vs. WPA:
2. El reemplazo del algoritmo RC4 por el “Advanced Encryption Standard (AES)” conocido
también como Rijndael.
En caso de usarse una solución más simple como la WPA2-Personal, deben tomarse
precauciones especiales al escoger una contraseña (llave pre-compartida, PSK).
FUNCIONAMIENTO
El modo de funcionamiento de WEP se aplica sobre la capa MAC del sistema. En primer
lugar se genera una semilla. Ésta está formada por un lado, por la clave que proporciona
el usuario (Key) que normalmente se introduce como una cadena de caracteres o de
valores hexadecimales. Esta clave ha de estar presente tanto en el receptor como en el
emisor por lo que es necesario introducirla manualmente en los mismos. El otro elemento
es un vector de 24 bits (IV, o vector de inicialización) generado aleatoriamente que
además puede cambiar en cada frame. Las semillas más habituales son de 64 bits o de
128 bits (algunos vendedores lo llaman WEP2). Una vez generada la semilla es llevada a
un generador de pseudonúmeros aleatorios formando una cadena de longitud igual al
payload del frame más una parte de comprobación de la integridad de los datos de 32 bits
(ICV). Este proceso se lleva a cabo mediante un algoritmo de cifrado llamado RC4.
Finalmente se combinan la clave de cifrado generada (keystream) con el payload/ICV
mediante una xor. Dado que para poder desencriptar es necesario disponer de los bits de
IV, éstos son transmitidos sin encriptar en el propio frame.
PROBLEMAS
Por un lado, las claves de usuario son estáticas lo que implica que todos y cada uno de
los usuarios tienen que usar la misma clave. Este hecho suele provocar que las claves no
se cambien durante meses o incluso años, facilitando su obtención. Por otra parte el
hecho de que el IV se transmita sin encriptar y de que se pueda repetir cada cierto tiempo,
además de que el algoritmo que genera este vector presenta ciertos caracteres de
predictibilidad, hace que sea un sistema perfecto para romper por la fuerza bruta. Algunos
de los tipos de ataques son:
• Ataques de diccionario.
• Una longitud de claves de 64 o 128 bits no es hoy en día suficiente para garantizar
un buen nivel de seguridad.
• El cambio infrecuente de las claves permite a los atacantes usar las técnicas de
ataque por diccionario
• WEP utiliza CRC para garantizar la integridad de los frames enviados. Aunque el
CRC es encriptado por el algoritmo de RC4, los CRC no son criptográficamente
seguros.
VARIANTES
Existen algunas variantes que básicamente se basan en intentar mejorar el IV, por
ejemplo aumentándolo en tamaño. Así tenemos:
WEP2: se trata del mismo sistema en esencia y sus únicas diferencias consisten en un
mayor tamaño del IV y una protección de encriptación de 128 bits.
El crackeado de WEP puede ser demostrado con facilidad utilizando herramientas como
Aircrack (creado por el investigador francés en temas de seguridad, Christophe Devine).
Aircrack contiene tres utilidades principales, usadas en las tres fases del ataque necesario
para recuperar la clave:
• airodump: herramienta de sniffing utilizada para descubrir las redes que tienen
activado WEP
• aircrack: crackeador de claves WEP que utiliza los IVs únicos recogidos.
La meta principal del ataque es generar tráfico para capturar IVs únicos utilizados entre un
cliente legítimo y el punto de acceso. Algunos datos encriptados son fácilmente re-
conocibles porque tienen una longitud fija, una dirección de destino fija, etc. Esto sucede
con los paquetes de petición ARP (véase comentario ARP-Request)[JRV1], que son
enviadas a la dirección broadcast (FF:FF:FF:FF:FF:FF) y tienen una longitud fija de 68
octetos. Las peticiones ARP pueden ser repetidas para generar nuevas respuestas ARP
desde un host legítimo, haciendo que los mensajes wireless sean encriptados con nuevos
IVs.
El primer paso, es la activación del modo monitor en nuestra tarjeta wireless (en este
caso, un modelo basado en Atheros), así que podemos capturar todo el tráfico (ver
Listado 1)[JRV2]. El paso siguiente, será descubrir redes cercanas y sus clientes,
escaneando los 14 canales que utilizan las redes Wi-Fi (ver Listado 2).[JRV3] El resultado
del Listado 2 se puede interpretar de esta forma: un punto de acceso con BSSID
00:13:10:1F:9A:72 está usando encriptación WEP en el canal 1 con SSID hakin9demo y
un cliente identificado con MAC 00:0C:F1:19:77:5C están asociados y autenticados en
esta red wireless.
Una vez se haya localizado la red objetivo, deberíamos empezar a capturar en el canal
correcto para evitar la pérdida de paquetes mientras escaneamos otros canales. Esto
produce la misma respuesta que el comando previo:
Después, podremos usar la información recogida para inyectar tráfico utilizando aireplay.
La inyección empezará cuando una petición ARP capturada, asociada con el BSSID
objetivo aparezca en la red inalámbrica:
# aireplay -3 \
-b 00:13:10:1F:9A:72 \
-h 00:0C:F1:19:77:5C \
-x 600 ath0
(...)
Read 980 packets
(got 16 ARP requests),
sent 570 packets...
Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el fichero pcap se
hace posible lanzar este paso final mientras airodump sigue capturando datos (véase
Figura 2para los resultados):
# aircrack -x -0 wep-crk.cap
FUNCIONAMIENTO
Su nombre proviene del acrónimo WPA, es decir, Wireless Protected Access (acceso
inalámbrico protegido) y tiene su origen en los problemas detectados en el anterior
sistema de seguridad creado para las redes inalámbricas. La idea era crear un sistema de
seguridad que hiciera de puente entre WEP y el 802.11i (WPA2), el cual estaba por llegar.
Para ello utiliza el protocolo TKIP (Temporal Key Integrity Protocol) y mecanismos 802.1x.
La combinación de estos dos sistemas proporciona una encriptación dinámica y un
proceso de autentificación mutuo. Así pues, WPA involucra dos aspectos: un sistema de
encriptación mediante TKIP y un proceso de autentificación mediante 802.1x.
Por último WPA implementa lo que se conoce como MIC o message integrity code, es
decir código de integridad del mensaje. Recordemos que WEP introduce unos bits de
comprobación de integridad o ICV en el payload del paquete. Desgraciadamente es
relativamente fácil, a pesar de que los bits de ICV también se encriptan, de modificarlos
sin que el receptor lo detecte. Para evitarlo se hace uso del MIC (8 bytes, Message
Integrity Check), un sistema de comprobación de la integridad de los mensajes, que se
instala justo antes del ICV.
WPA2 fue lazada en septiembre de 2004 por la Wi-Fi Alliance. WPA2 es la versión
certificada que cumple completamente el estándar 802.11i ratificado en junio de 2004.
WPA WPA2
Autentificación: 802.1x / EAP Autentificación: 802.1x / EAP
Modo Enterprise
Encriptación: TKIP / MIC Encriptación: AES-CCMP
Autentificación: PSK Autentificación: PSK
Modo Personal
Encriptación: TKIP / MIC Encriptación: AES-CCMP
En el modo Enterprise el sistema trabaja gestionada mente asignando a cada usuario una
única clave de identificación, lo que proporciona un alto nivel de seguridad. Para la
autentificación el sistema utiliza el ya comentado 802.1x y para la encriptación un
algoritmo de cifrado mejor que el TKIP, el AES. Para el caso de funcionamiento en la
versión personal, se utiliza una clave compartida (PSK) que es manualmente introducida
por el usuario tanto en el punto de acceso como en las máquinas cliente, utilizando para
la encriptación o bien TKIP o AES. En este sentido las diferencias con WEP se basan en
el algoritmo de cifrado de los datos.
PROBLEMAS
Desgraciadamente WPA no está exento de problemas. Uno de los más importantes sigue
siendo los DoS o ataques de denegación de servicio. Si alguien envía dos paquetes
consecutivos en el mismo intervalo de tiempo usando una clave incorrecta el punto de
acceso elimina todas las conexiones de los usuarios durante un minuto. Este mecanismo
de defensa utilizado para evitar accesos no autorizados a la red puede ser un grave
problema.
OTRAS MEDIDAS
Otras medidas que se pueden utilizar en conjunción con los diferentes sistemas de
seguridad son:
Aunque no es una práctica que implique un aumento elevado en la seguridad del sistema,
es un extra que añade un nivel más de seguridad de cara a los posibles atacantes
casuales y es recomendable, si bien no supondrá ningún impedimento para hackers
profesionales ya que hoy día es muy fácil simular las direcciones MAC de un sistema.
De nuevo es una medida más que es prudente tomar a la hora de realizar las
implementaciones de seguridad de nuestra red inalámbrica, pero que en ningún caso
supone impedimentos graves para hackers profesionales.
DEBILIDADES DE WPA/WPA2
La fuerza de PTK radica en el valor de PMK, que para PSK significa exactamente la
solidez de la frase. Como indica Robert Moskowitz, el segundo mensaje del 4-Way
CONCLUSIONES Y RECOMENDACIONES
• No hay una solución estándar de seguridad para todas las redes inalámbricas. Es
necesario tener una idea clara de los requisitos de seguridad, y la solución
depende de cada escenario.
GLOSARIO
BIBLIOGRAFÍA