BarnaBarna

17 Febrero 200517 Febrero 2005

Security DaySecurity Day

AgendaAgendaSeguridad en WirelessIntroducción redes Wireless

ComponentesDiseñoProtocolos 802.11StackTipos

Debilidades de las Redes WirelessContramedidas

Securización:WEPWPAWPA2 (802.11i)Control de Acceso

Arquitectura SeguraCertificados DigitalesPEAP

IntroducciónIntroducción

IntroducciónIntroducción

Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN tradicionales: Bajo costo de instalación Disponibilidad No requiere de software adicional Movilidad

La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grades empresas.

Este mercado esta menos concienciado de los problema de seguridad

IntroducciónIntroducción Proveen grandes agujeros en la seguridad de

la red. El aire es un medio inseguro. Los estándares iniciales tienen muchos problemas

de seguridad.

Si las Wireless LANs (WLANs) no las implementamos correctamente …

Los datos sensible o confidenciales en nuestros sistemas pueden ser considerados como públicos.

Familia de Protocolos IEEE 802.11

• 802.11 Estandar de la IEEE frecuencias de 2.4 a 5 GHz

• 802.11 1 a 2 Mbps a 2.4GHz

• 802.11a 54 Mbps a 5GHz

• 802.11b 11Mbps a 2.4GHz WI-FI

• 802.11g 54 Mbps 2.4GHz

IntroducciónIntroducción

• 802.11

• El primer estándar Wireless, Publicado en 1997

• Opera a una frecuencia de 2.4GHz

• Posee un muy bajo ancho de banda de 1 a 2 Mbps

IntroducciónIntroducción

• 802.11a

• Publicado en septiembre de 1999 como complemento de 802.11

• Opera en una frecuencia de 5GHz• Usa (OFDM) Orthogonal Frequency Division Multiplexing.• Posee un ancho de banda de 54Mbps, con algunas

implementaciones propietarias se llego a 72Mbps el data rate es de 27Mbpss

• No es directamente compatible con 801.11b y 802.11g aunque si lo es con AP duales en el caso de algunos AP 802.11g

• El rango de alcance es menor al del 802.11b, algunos lo utilizan como una ventaja en seguridad (falsa sensación)

IntroducciónIntroducción

• 802.11b

• Publicada tambien a fines de 1999• Estandar de facto en tecnologias Wireless• Opera en una frecuencia de 2.4GHz• Utiliza el encoding DSSS (Direct Sequence Spread

Spectrum)• Posee un ancho de banda de 11Mbps y el data rate

es de 5 a 6 Mbps• Es el protocolo mas uilizado hoy en dia, se suele

referir a este como WI-FI

IntroducciónIntroducción

• 802.11g

• Es una extensión de 802.11b• Opera en una frecuencia de 2.4GHz• Utiliza el encoding “Orthogonal Frequency Division

Multiplexing” (OFDM)• Posee un ancho de banda de 54Mbps con un data

rate de 20 a 25 Mbps• Compatible con 802.11b

IntroducciónIntroducción

Presente y Futuro…Presente y Futuro…

Cada fabricante implementa sus propias Cada fabricante implementa sus propias soluciones para mejorar el rendimiento soluciones para mejorar el rendimiento en la transferencia de datos. (108 Mbps)en la transferencia de datos. (108 Mbps)

WiMax: Es un estándar basado en la WiMax: Es un estándar basado en la tecnología Wireless que proporciona gran tecnología Wireless que proporciona gran ancho de banda en conexiones de larga ancho de banda en conexiones de larga distanciadistancia

www.www.wimaxwimaxforum.orgforum.org

STACKSTACK del protocolo 802.11 del protocolo 802.11

ComponentesComponentes

Punto de acceso o AP: Equivalente al HUB de la tecnología ETHERNET. Ojo, no es un Switch por lo que los usuarios comparten el ancho de banda total.

Adaptador WIFI: en modos PCMCIA o como adaptador PCI principalmente.

Antenas: unidireccionales y omnidireccionales.

Modo “AD-HOC”En el modo ad-hoc, los clientes se comunican directamente entre ellos, generando una red de clientes únicamente. Este modo fue diseñado de tal manera que solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos.

Modo “INFRASTUCTURE”En el modo infrastructure, cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.

ArquitecturasArquitecturas

BSS (Basic Service Set)BSS (Basic Service Set) Una colección de Estaciones que se Una colección de Estaciones que se

comunican entre si mediante Wireless.comunican entre si mediante Wireless. Para diferenciar entre su BSS y una que Para diferenciar entre su BSS y una que

esta cerca utilizan el BSSID, que tiene esta cerca utilizan el BSSID, que tiene formato de dirección MAC. formato de dirección MAC.

Todas las estaciones en un BSS utilizan la misma Todas las estaciones en un BSS utilizan la misma BSSIDBSSID

DefinicionesDefiniciones

Red de laCompañia A

Red de laCompañia B

BSSID en Modo BSSID en Modo “INFRASTUCTURE” “INFRASTUCTURE”

Normalmente el BSSID es la dirección MAC del punto de acceso (AP)

Existen AP sofisticados capaces gestionar varios BSS con diferentes BSSIDs y aparecer como varios AP virtuales

AP

Estaciones conel mismo BSSID

Red Cableada

BSSID en Modo “AD-HOC”BSSID en Modo “AD-HOC”

Las estaciones usan un BSSID aleatorio. La primera estación elige el BSSID

aleatoriamente y los otros utilizan el mismo

Estaciones conel mismo BSSID

DefinicionesDefiniciones ESS: Extended Service Set

Compuesto de varios BSS unidos.

SSID: Service Set ID Normalmente conocido como el nombre de la red

inalámbrica. Es el nombre que el usuario entiende.

"ESSID" es utilizado en ocasiones para referirse al SSID en el contexto de un ESS Transparente para el usuario Solo conoce el SSID El trafico en un ESS puede utilizar varios BSSIDs diferentes si

existen varios APs en el.

FuncionamientoFuncionamiento

Consiste principalmente de tres tipos de tramas: Tramas de Gestión:

Usadas para la gestión de los equipos Se transmiten igual que las demás pero no se envía a

las capas superiores. Nivel 2

Tramas de Control: Usadas par el control de acceso al medio.

Tramas de Datos: Usadas para la transmisión de los datos

FuncionamientoFuncionamiento1. Descubrimiento: La estación ha de conocer

la existencia del PA al que conectarse. Escaneo Pasivo: Espera recibir la señal de PA Escaneo Activo: La estación lanza tramas a un PA

determinado y espera una respuesta

2. Autenticación: La estación ha de autenticarse para conectarse a la red

3. Asociación: La estación ha de asociarse para poder intercambiar datos con otras.

Beacon FramesBeacon Frames

Las Tramas Baliza o “Beacon Frames” Son tramas de gestion de capa nivel 2 Envían información sobre la red Wireless

Sincronización horaria Anchos de banda, canal, tipo de señal, etc.. SSID

Ayudan al las estaciones a localizar y asociarse a PA disponibles.

Las redes que no emiten el SSID en las BFs se denominan “redes cerradas” Simplemente significa que el SSID no se anuncia Es un intento débil de asegurar la red tratando de

ocultar información de su existencia.

Descubrimiento PasivoDescubrimiento PasivoRedes AbiertasRedes Abiertas

Nodo Punto AccesoBeacon

Coincide el SSID Association Req

El PA aceptaal nodo.

Association Resp

El Nodo se Asocia

Descubrimiento ActivoDescubrimiento ActivoRedes CerradasRedes Cerradas

Nodo Punto AccesoProbe Req

Coincide el SSIDProbe Resp

Coincide el SSID Association Req

El PA aceptaal nodo.

Association Resp

El Nodo se Asocia

Autenticación y AsociaciónAutenticación y Asociación Para formar parte de una BSS, una estación

primero se tiene que autenticar a si misma con la red. Después tiene que solicitar una asociación con un PA

específico.

El punto de acceso se encarga de autentificar y aceptar la asociación de la estación. Salvo que se implemente otro sistema de autenticación

(e.g., Radius)

Dos tipos de Autenticación: Abierta: Open System Authentication Cerrada: Shared Key Authentication

Open System AuthenticationOpen System Authentication

Protocolo de autenticación por defecto para 802.11

Es un proceso de autenticación NULO: Autentica a cualquier cliente que pide ser

autenticado. Las tramas se mandan en texto plano aunque

esté activado el cifrado WEP

Debilidades WirelessDebilidades Wireless

Obstaculización de Comunicaciones Protección física

Interceptación de datos Cifrado de comunicaciones

Ataques de “deception” Man In The Middle Autenticación

Utilización no autorizada de recursos: Protección en la autorización de clientes

Debilidades 802.11Debilidades 802.11

Los mecanismos de seguridad utilizados por la mayoría de los usuarios son: Ocultación SSID Filtrado de direcciones MAC WEP

La mayoría de los usuarios desconocen otros mecanismos.

Muchos puntos de acceso no soportan otros mecanismos.

Wired Equivalent Privacy (WEP)Wired Equivalent Privacy (WEP) El mecanismo de seguridad principal del protocolo 802.11.

Usa cifrado RC4 de 40 ó 104 bits

Su intencionalidad era que las redes inalámbricas fueran tan seguras como las redes con cable.

Desgraciadamente , desde la ratificación del estándar 802.11, se han encontrado vulnerabilidades, dejando al protocolo 802.11 inseguro frente a ataques.

Pau Oliva Fora pof@eslack.org http://pof.eslack.org/wireless

Fundamentos WEPFundamentos WEP WEP es un algoritmo de cifrado de flujo.

Usa el algoritmo RC4 para obtener un flujo de bytes que son XOR con el texto claro.

Como entrada del algoritmo de cifrado de flujo se utiliza la clave secreta y un vector de inicialización (IV) que se envía dentro del paquete en texto claro.

El IV es de 24 bits. La longitud de la clave secreta es 40 o 104 bits para una

longitud total sumando el IV de 64 o 128 bits. El Marketing publicita que las claves secretas son de 64

o 128 bits. Con la palabra clave que introducen los usuarios se

calculan 4 claves automáticamente y solo se utiliza una.

Generación de la Clave WEPGeneración de la Clave WEP

Se hace una XOR con la cadena ASCII para obtener una semilla de32 bits

El PRNG utiliza la semilla para generar 40 cadenas de 32 bits cada una.

Se toma un bit de cada una de las 40 cadenas generadas por el PRNG para construir una llave y se generan 4 llaves de 40 bits.

Sólo una de las 4 se utilizará para la cifrado WEP

Cifrado WEPCifrado WEP

Descifrado WEPDescifrado WEP

Shared Key AuthenticationShared Key Authentication

La estación que quiere autenticarse (cliente), envía una trama AUTHENTICATION REQUEST indicando que quiere utilizar una “clave compartida”.

Nodo Punto Acceso

Envía el desafió.Cifra el desafíoy lo envía de vuelta

Auth Chall Resp

El Punto de AccesoAcepta al Nodo

Auth Resp

El Nodo se autentica

Auth Req

Auth Chall Req

El destinatario (AP) contesta enviando una trama quecontiene 128 octetos de texto (desafío) al cliente.•El desafío se genera con la clave compartida y un vector de inicialización (IV) aleatorio utilizando el PRNG.

•Una vez el cliente recibe la trama, copia el contenido del texto de desafío en el payload de una nueva trama que cifra con WEP utilizando la passphrase y añade un nuevo IV (elegido por el cliente).•Una vez construida esta nueva trama cifrada, el cliente la envía al AP.

El AP descifra la trama recibida y comprueba que:•El ICV (Integrity Check Value) sea valido.•El texto de desafío concuerde con el enviado en el primer mensaje.

Si la comprobación es correcta se produce la autenticación del cliente con el APSe vuelve a repetir el proceso pero esta vez el primero que manda la trama con el AUTHENTICATION REQUEST es el AP, de esta manera se asegura una autenticación mutua.

Vulnerabilidades WEPVulnerabilidades WEP Deficiencias en el cifrado WEP

ICV Características lineares de ICV (CRC32) ICV Independiente de la llave

IV Tamaño de IV demasiado corto Reutilización de IV

Deficiencias en el método de autenticación Shared Key

ICV- Características lineares ICV- Características lineares de CRC32de CRC32

El ICV se genera simplemente haciendo un CRC (Cyclic Redundancy Check) de 32 bits del payload de la trama.

Este mecanismo tiene dos graves problemas: Los CRCs son lineales: CRC(mk) = CRC(m)CRC(k) Los CRCs son independientes de la llave utilizada y del IV

Debido a que los CRCs son lineales: Se puede generar un ICV válido, ya que el CRC se combina

con una operación XOR que también es lineal y esto permite hacer el ‘bit flipping’

ICV Independiente de la llaveICV Independiente de la llave Esta vulnerabilidad en WEP es conocida en inglés como

“Lack of keyed MIC”: Ausencia de mecanismo de chequeo de integridad del mensaje (MIC) dependiente de la llave.

El que utiliza WEP es un simple CRC-32 calculado a partir del payload, por lo tanto no depende de la llave ni del IV.

Esto da lugar a que conocido el texto claro de un solo paquete cifrado con WEP sea posible inyectar paquetes a la red

Tamaño de IV demasiado cortoTamaño de IV demasiado corto El Vector de Inicialización (IV) tiene sólo 24 bits de longitud

y aparece en claro (sin cifrar). Sólo hay 224=16.777.216 posibles valores de IV. 16M de paquetes pueden generarse en pocas horas en una

red wireless con tráfico intenso: Un AP que constantemente envíe paquetes de 1500 bytes a

11Mbps, acabará con todo el espacio de IV disponible después de (1500 x 8 / (11 x 106)) x 224 = ~1800 segundos, o 5 horas.

La corta longitud del IV, hace que éste se repita frecuentemente y dé lugar a la posibilidad de realizar ataques estadísticos para recuperar el texto claro gracias a la reutilización del IV.

Reutilización de IVReutilización de IV WEP no utiliza el algoritmo RC4 “con cuidado”:

El IV se repite frecuentemente. Se pueden hacer ataques estadísticos contra texto cifrado con el mismo IV.

Si RC4 no se usa con cuidado, se vuelve inseguro ¡El estándar 802.11 especifica que cambiar el IV en cada

paquete es opcional! El IV normalmente es un contador que empieza con

valor cero y se va incrementando de uno en uno: Rebotar causa la reutilización de IV’s Sólo hay 16M de IV’s posibles, así que después de interceptar

suficientes paquetes, seguro que hay IV’s repetidos

Un atacante capaz de escuchar el tráfico 802.11 puede descifrar textos cifrados interceptados incluso sin conocer la clave.

Deficiencias en el método de Deficiencias en el método de autenticación Shared Keyautenticación Shared Key

El atacante captura el segundo y el tercer “management messages” de una autenticación mutua y obtiene IV Desafió aleatorio en texto plano Desafió aleatorio cifrado

Todos los elementos excepto el texto de desafío son los mismos para TODAS las “Authentication Responses”.

El atacante tiene por lo tanto todos los elementos para autenticarse con éxito sin conocer la clave secreta compartida K. No podría asociarse.

Ataques a Redes WirelessAtaques a Redes Wireless

Ataques a Redes WirelessAtaques a Redes Wireless Ataque de Denegación de Servicio (DoS)Ataque de Denegación de Servicio (DoS) Descubrir SSID ocultadosDescubrir SSID ocultados Romper ACL’s basados en MACRomper ACL’s basados en MAC Ataque Ataque Man in the middleMan in the middle Ataque Ataque ARP PoisoningARP Poisoning

Ataques WEPAtaques WEP Ataque de fuerza brutaAtaque de fuerza bruta Ataque inductivo ArbaughAtaque inductivo Arbaugh Debilidades del algoritmo keyScheduling de RC4 (FSM)Debilidades del algoritmo keyScheduling de RC4 (FSM)

Ataque de denegación de Ataque de denegación de Servicio (DoS)Servicio (DoS)

Esnifar y ver cual es la dirección MAC del APEsnifar y ver cual es la dirección MAC del AP

Nos ponemos la MAC del AP, es decir nos hacemos Nos ponemos la MAC del AP, es decir nos hacemos pasar por AP.pasar por AP.

Para denegarle el servicio a un cliente mandamos Para denegarle el servicio a un cliente mandamos continuamente notificaciones de desasociación o continuamente notificaciones de desasociación o desautenticación (desautenticación (management framesmanagement frames).).

Si en lugar de a un solo cliente queremos denegar el Si en lugar de a un solo cliente queremos denegar el servicio a todos los clientes de la WLAN, mandamos servicio a todos los clientes de la WLAN, mandamos estas tramas a la dirección MAC de broadcast.estas tramas a la dirección MAC de broadcast.

Ataques de Autenticación y Ataques de Autenticación y desasociación.desasociación.

Cualquier estación puede impersonar a otra o a Cualquier estación puede impersonar a otra o a un PA y atacar o interferir con los mecanismos un PA y atacar o interferir con los mecanismos de autenticación y asociación. de autenticación y asociación. Como estas tramas no van cifradas, el nivel de Como estas tramas no van cifradas, el nivel de

dificultad es trivial.dificultad es trivial.

Tramas de desaciociación y desautenticación.Tramas de desaciociación y desautenticación. Una estación que reciba una de estas tramas debe de Una estación que reciba una de estas tramas debe de

rehacer el proceso de autenticación y asociación.rehacer el proceso de autenticación y asociación. Con una pequeña y simple trama un atacante puede Con una pequeña y simple trama un atacante puede

retardar la transmisión de los datos y obliga a la retardar la transmisión de los datos y obliga a la estación y el PA a rehacer este proceso.estación y el PA a rehacer este proceso. Son necesarias varias tramas para rehacerlo.Son necesarias varias tramas para rehacerlo.

Ataque DoSAtaque DoS

Atacante

Nodo Punto Acceso

El atacante envía el “Disassoc” de nuevo y el proceso se repite.

Assoc Req

El atacante envía el “Disassoc” al nodo y este, se desasocia del PAEl Nodo intenta reasociarse con el APEl Nodo se asocia temporalmente con el AP

Disassoc

Associated

Ocultación del SSIDOcultación del SSID Por defecto el SSID se anuncia cada pocos Por defecto el SSID se anuncia cada pocos

segundos. Beacon Frames.segundos. Beacon Frames. Si se oculta es mas complicado saber que Si se oculta es mas complicado saber que

existe una red inalámbrica.existe una red inalámbrica. Si se leen los paquetes se averigua el SSID, Si se leen los paquetes se averigua el SSID,

pues aunque se utilice WEP el SSSID va en pues aunque se utilice WEP el SSSID va en texto claro.texto claro.

Conclusión: Las redes cerradas son un Conclusión: Las redes cerradas son un inconveniente para los usuarios legítimos e inconveniente para los usuarios legítimos e incrementan la dificultad del despliegueincrementan la dificultad del despliegue

¿Es el SSID secreto?¿Es el SSID secreto?

Las estaciones que buscan un AP envían el Las estaciones que buscan un AP envían el SSID buscado en una trama de solicitud "probe SSID buscado en una trama de solicitud "probe request"request"

Los puntos de acceso contestan la solicitud en Los puntos de acceso contestan la solicitud en una trama "probe reply“, que contiene el par una trama "probe reply“, que contiene el par SSID/BSSID.SSID/BSSID.

Las estaciones que quieren formar parte de una Las estaciones que quieren formar parte de una BSS envían una trama de solicitud de BSS envían una trama de solicitud de asociación, que también contiene el par asociación, que también contiene el par SSID/BSSID en texto claroSSID/BSSID en texto claro Las solicitudes de reasociación y sus respuestas Las solicitudes de reasociación y sus respuestas

también.también. Por lo tanto, el SSID solo se mantiene secreto Por lo tanto, el SSID solo se mantiene secreto

en redes cerradas sin actividad.en redes cerradas sin actividad.

Acelerar la Detección de redes Acelerar la Detección de redes CerradasCerradas

Atacante

Nodo Punto Acceso

Coincide el SSID

Coincide el SSID Association Req

El PA aceptaal nodo.

Association Resp

Nodo Reasociado

Disassoc

Probe Req

Probe Resp

Associated

El atacante desasocia al Nodo del PA

Filtro por dirección MACFiltro por dirección MAC Puede controlar el acceso solo permitiendo Puede controlar el acceso solo permitiendo

direcciones MAC especificasdirecciones MAC especificas Este mecanismo de seguridad es soportado por Este mecanismo de seguridad es soportado por

la mayoría de los productos comerciales. la mayoría de los productos comerciales. Utiliza, como mecanismo de autenticación, la Utiliza, como mecanismo de autenticación, la dirección MAC de cada estación cliente, dirección MAC de cada estación cliente, permitiendo el acceso a aquellas MAC que permitiendo el acceso a aquellas MAC que consten en la Lista de Control de Acceso.consten en la Lista de Control de Acceso.

El administrador debe mantener y distribuir una El administrador debe mantener y distribuir una lista de Mac validas. No Escala.lista de Mac validas. No Escala.

Esta dirección puede ser SpoofeadaEsta dirección puede ser Spoofeada

Ataque “Man in the Midle”Ataque “Man in the Midle”

Consiste en convencer al cliente (la Consiste en convencer al cliente (la victima) de que el host que hay en el victima) de que el host que hay en el medio (el atacante) es el AP, y hacer lo medio (el atacante) es el AP, y hacer lo contrario con el AP, es decir, hacerle contrario con el AP, es decir, hacerle creer al AP que el atacante es el cliente.creer al AP que el atacante es el cliente.

1.1. Desasociamos a la victima del AP.Desasociamos a la victima del AP.

2.2. Le conectamos a nuestro equipo.Le conectamos a nuestro equipo.

3.3. Nos conectamos con el APNos conectamos con el AP

Ataque “Man in the Middle”Ataque “Man in the Middle”

Atacante

Nodo Punto Acceso

Asociado

Asociado

El atacante envía “Disassoc” al NodoEl Nodo se desasocia del AP y busca otro.

Desasociación

El atacante ejecuta una aplicación que simule un PA en su tarjeta con el mismo SSID del PA y en diferente canal para que se asocie el Nodo

Asociación

El atacante se conecta al PA con la MAC del Nodo y hace de puente entre el PA y el nodo.

WEP: Ataque de fuerza brutaWEP: Ataque de fuerza bruta Se basa en reducir el Nº de posibles llaves debido Se basa en reducir el Nº de posibles llaves debido

a que para generarlas se utilizan caracteres ASCII a que para generarlas se utilizan caracteres ASCII y a las limitaciones del algoritmo de PRNG.y a las limitaciones del algoritmo de PRNG. La entropía total queda reducida a 21 bits.La entropía total queda reducida a 21 bits.

Generar llaves de forma secuencial utilizando Generar llaves de forma secuencial utilizando semillas de 00:00:00:00 hasta 00:7F:7F:7F.semillas de 00:00:00:00 hasta 00:7F:7F:7F. Un PIII a 500MHZ tardaría aproximadamente 210 días en Un PIII a 500MHZ tardaría aproximadamente 210 días en

encontrar la llave. (Se puede usar computación en encontrar la llave. (Se puede usar computación en paralelo para obtener la llave en un tiempo más paralelo para obtener la llave en un tiempo más razonable)razonable)

Ataque con diccionario:Ataque con diccionario: Si la passphrase utilizada está en el diccionario Si la passphrase utilizada está en el diccionario

conseguimos reducir sustancialmente el tiempo conseguimos reducir sustancialmente el tiempo necesario para encontrarla.necesario para encontrarla.

Ataque inductivo ArbaughAtaque inductivo Arbaugh

Permite descifrar el tráfico de cifrado de Permite descifrar el tráfico de cifrado de una WLAN en tiempo real.una WLAN en tiempo real.

Se basa en:Se basa en: Características Lineales de CRCCaracterísticas Lineales de CRC MIC independiente de la llaveMIC independiente de la llave

Demostrado por William A. Arbaugh Demostrado por William A. Arbaugh (Universidad de Maryland).(Universidad de Maryland).

Debilidades del algoritmo Debilidades del algoritmo keyScheduling de RC4 (FSM)keyScheduling de RC4 (FSM) Permite adivinar la llave WEPPermite adivinar la llave WEP Se basa en:Se basa en:

Monitorización Monitorización pasiva pasiva de la transmisiónde la transmisión Recolecta paquetes “débiles”Recolecta paquetes “débiles”

Una vez se han recolectado suficientes Una vez se han recolectado suficientes paquetes, es posible paquetes, es posible adivinar adivinar la llave utilizada la llave utilizada para realizar el cifrado.para realizar el cifrado.

Publicado en Agosto del 2001 por:Publicado en Agosto del 2001 por:

Scott Fluhrer, Itsik Mantin y Adi ShamirScott Fluhrer, Itsik Mantin y Adi Shamir

DEMODEMO Descubrimiento pasivo de SSID ocultoDescubrimiento pasivo de SSID oculto Descubrimiento de MacDescubrimiento de Mac Monitorización paquetes cifrados con Monitorización paquetes cifrados con

WEP. (AirDump)WEP. (AirDump) Crackeo WEP con ataque FSM mediante Crackeo WEP con ataque FSM mediante

Aircrack.Aircrack.

HerramientasHerramientas

MicrosoftMicrosoftLinuxLinux

LoLo siento….siento….

No me dejan fomentar el No me dejan fomentar el pirateopirateo

WPAWPA WiFi Protected AccessWiFi Protected Access

Norma definida por la WI-FI AllianceNorma definida por la WI-FI Alliance

Recoge estándares de facto de Recoge estándares de facto de tecnologías Wireless a la espera de tecnologías Wireless a la espera de 802.11i (WPA2)802.11i (WPA2)

Intenta evitar las deficiencias de Intenta evitar las deficiencias de seguridad en WEPseguridad en WEP

WPAWPA

Sistema de autenticación 802.1xSistema de autenticación 802.1x Sistema de autenticación basado en Pre-Sistema de autenticación basado en Pre-

Shared KeyShared Key Credenciales EAPOL (EAP Over Lan)Credenciales EAPOL (EAP Over Lan) Cifrado con claves dinámicas TKIP en Cifrado con claves dinámicas TKIP en

sustitución del cifrado con clave estática sustitución del cifrado con clave estática WEP o WEP2WEP o WEP2

Utilización de “Michael” para control de Utilización de “Michael” para control de Integridad de mensajesIntegridad de mensajes

802.1x802.1x Estándar definido en 2001 para controlar el Estándar definido en 2001 para controlar el

acceso a la red basado puertos.acceso a la red basado puertos. Se puede utilizar tanto en redes LAN como Se puede utilizar tanto en redes LAN como

WLAN.WLAN. Permite que cada conexión al punto de acceso Permite que cada conexión al punto de acceso

funcione como un puerto gestionable.funcione como un puerto gestionable. La autenticación para la conexión al puerto se La autenticación para la conexión al puerto se

puede hacer en el propio dispositivo o delegarla puede hacer en el propio dispositivo o delegarla en un servidor de autenticación RADIUS en un servidor de autenticación RADIUS (Remote Authentication Dial-In User Service)

IAS (Internet Authentication IAS (Internet Authentication Server)Server)

Servidor RADIUS de MicrosoftServidor RADIUS de Microsoft Integrado con Directorio ActivoIntegrado con Directorio Activo Permite, mediante GPOs, realizar árboles Permite, mediante GPOs, realizar árboles

de toma de decisiones complejosde toma de decisiones complejos Los Puntos de Acceso se registran el Los Puntos de Acceso se registran el

servidor IAS y se realiza autenticación servidor IAS y se realiza autenticación mutua mediante Pre-Shared Keymutua mediante Pre-Shared Key

Autenticación en IAS se realiza mediante Autenticación en IAS se realiza mediante cualquier esquema EAP.cualquier esquema EAP.

EAP (Extensible Authentication EAP (Extensible Authentication Protocol)Protocol)

Protocolo de Autenticación ExtensibleProtocolo de Autenticación Extensible Permite utilizar sistema de credenciales Permite utilizar sistema de credenciales

extensibles. extensibles. El cliente y el servidor negocian el El cliente y el servidor negocian el

esquema de autenticación.esquema de autenticación. Originalmente creado para PPPOriginalmente creado para PPP EAPOL: Sirve para utilizarlo en EAPOL: Sirve para utilizarlo en

validaciones sobre redes Localesvalidaciones sobre redes Locales

EAP (Extensible Authentication EAP (Extensible Authentication Protocol)Protocol)

Soporta autenticación basada en.Soporta autenticación basada en. Passwords mediante MS-CHAP v2Passwords mediante MS-CHAP v2 Certificados digitalesCertificados digitales SmartcardsSmartcards BiometricsBiometrics ……..

PEAP (Protected EAP). Utilizan sistemas PEAP (Protected EAP). Utilizan sistemas de autenticación EAP sobre un canal de autenticación EAP sobre un canal seguro TLS.seguro TLS.

Esquema de AutenticaciónEsquema de Autenticación

Cliente Punto Acceso IAS

Asociación

Establecimiento de canal seguro TLS

Autenticación MS-CHAP V2 sobre TLS

Resultado Autenticación

Disasociación

Acceso Permitido

TKIP (Temporary Key Integrity TKIP (Temporary Key Integrity Protocol)Protocol)

Utiliza cifrado entre la estación cliente y el Utiliza cifrado entre la estación cliente y el Punto de Acceso con clave simétrica.Punto de Acceso con clave simétrica.

Utiliza 4 claves distintas entre Punto de Acceso Utiliza 4 claves distintas entre Punto de Acceso y cada Cliente Wireless para tráfico Unicast y 2 y cada Cliente Wireless para tráfico Unicast y 2 claves para tráfico broadcast y/o multicast.claves para tráfico broadcast y/o multicast.

Se cambian cada 10.000 paquetes o cada 10 kb Se cambian cada 10.000 paquetes o cada 10 kb de transferencia.de transferencia.

El Vector de Inicialización se transmite cifrado.El Vector de Inicialización se transmite cifrado. Se utiliza “Michael” para evitar bit flippingSe utiliza “Michael” para evitar bit flipping

MichaelMichael Provee de integridad y “antireplay”Provee de integridad y “antireplay” Con un algoritmo llamado Michael se Con un algoritmo llamado Michael se

calcula un “Message Integrity Code” calcula un “Message Integrity Code” (MIC) de 8 bytes(MIC) de 8 bytes

Estos 8 bytes se introducen entre los Estos 8 bytes se introducen entre los datos y los 4 Bytes del ICV de la trama datos y los 4 Bytes del ICV de la trama 802.11802.11

Se cifra junto con los datos y el ICVSe cifra junto con los datos y el ICV

WPA-PSK (Pre-Shared Key) WPA-PSK (Pre-Shared Key) VulnenrabilidadVulnenrabilidad

Sólo necesita una captura de dos paquetes EAPoL Sólo necesita una captura de dos paquetes EAPoL que intercambian el cliente y el AP durante el que intercambian el cliente y el AP durante el proceso de autenticación (los 2 primeros paquetes proceso de autenticación (los 2 primeros paquetes del del 4way-handshake4way-handshake..

Ataque de diccionario / fuerza bruta contra las Ataque de diccionario / fuerza bruta contra las vulnerabilidades de PSKvulnerabilidades de PSK

El ataque se realiza off-lineEl ataque se realiza off-line

!Ojo! Es mas vulnerable que WEP!Ojo! Es mas vulnerable que WEP

Esquema de la soluciónEsquema de la solución

Servidor W2K3Certificate Authority

IAS (Radius)

Punto de AccesoWPA

802.1x

Windows XP SP1Windows 2003

SP1

DemostraciónDemostración

Implantación de solución WLAN Implantación de solución WLAN basada en PEAP con WPA e IASbasada en PEAP con WPA e IAS

802.11i – WPA2802.11i – WPA2 Aprobado en Julio del 2004.Aprobado en Julio del 2004. RSN (Robust Securiry Network)RSN (Robust Securiry Network) Recoge la mayoría de las tecnologías Recoge la mayoría de las tecnologías

utilizadas en la norma WPA.utilizadas en la norma WPA. Incluye:Incluye:

802.1x802.1x EAPOLEAPOL TKIPTKIP MichaelMichael AESAES Compatibilidad con WPACompatibilidad con WPA

AESAES

Protocolo sustituto de DESProtocolo sustituto de DES Utiliza algoritmo RijndaelUtiliza algoritmo Rijndael Permite claves de 128, 196 y 256 bits En 802.1x se incluyen dos En 802.1x se incluyen dos

implementaciones diferentesimplementaciones diferentes WRAP (Wireless Robust Authenticated Protocol) CCM (Counter-Mode/CBC-MAC Protocol)

Es el algoritmo de cifrado más seguro que podemos utilizar en redes WLAN

TechNewsTechNews Suscripción gratuita enviando un mail:Suscripción gratuita enviando un mail:

mailto:technews@informatica64.com mailto:technews@informatica64.com

Ruegos y PreguntasRuegos y Preguntas

Datos de ContactoDatos de Contacto

Chema Alonso Chema Alonso

jmalonso@informatica64.comjmalonso@informatica64.com

José ParadaJosé Parada

jparada@microsoft.comjparada@microsoft.com