BarnaBarna
17 Febrero 200517 Febrero 2005
Security DaySecurity Day
AgendaAgendaSeguridad en WirelessIntroducción redes Wireless
ComponentesDiseñoProtocolos 802.11StackTipos
Debilidades de las Redes WirelessContramedidas
Securización:WEPWPAWPA2 (802.11i)Control de Acceso
Arquitectura SeguraCertificados DigitalesPEAP
IntroducciónIntroducción
IntroducciónIntroducción
Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN tradicionales: Bajo costo de instalación Disponibilidad No requiere de software adicional Movilidad
La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grades empresas.
Este mercado esta menos concienciado de los problema de seguridad
IntroducciónIntroducción Proveen grandes agujeros en la seguridad de
la red. El aire es un medio inseguro. Los estándares iniciales tienen muchos problemas
de seguridad.
Si las Wireless LANs (WLANs) no las implementamos correctamente …
Los datos sensible o confidenciales en nuestros sistemas pueden ser considerados como públicos.
Familia de Protocolos IEEE 802.11
• 802.11 Estandar de la IEEE frecuencias de 2.4 a 5 GHz
• 802.11 1 a 2 Mbps a 2.4GHz
• 802.11a 54 Mbps a 5GHz
• 802.11b 11Mbps a 2.4GHz WI-FI
• 802.11g 54 Mbps 2.4GHz
IntroducciónIntroducción
• 802.11
• El primer estándar Wireless, Publicado en 1997
• Opera a una frecuencia de 2.4GHz
• Posee un muy bajo ancho de banda de 1 a 2 Mbps
IntroducciónIntroducción
• 802.11a
• Publicado en septiembre de 1999 como complemento de 802.11
• Opera en una frecuencia de 5GHz• Usa (OFDM) Orthogonal Frequency Division Multiplexing.• Posee un ancho de banda de 54Mbps, con algunas
implementaciones propietarias se llego a 72Mbps el data rate es de 27Mbpss
• No es directamente compatible con 801.11b y 802.11g aunque si lo es con AP duales en el caso de algunos AP 802.11g
• El rango de alcance es menor al del 802.11b, algunos lo utilizan como una ventaja en seguridad (falsa sensación)
IntroducciónIntroducción
• 802.11b
• Publicada tambien a fines de 1999• Estandar de facto en tecnologias Wireless• Opera en una frecuencia de 2.4GHz• Utiliza el encoding DSSS (Direct Sequence Spread
Spectrum)• Posee un ancho de banda de 11Mbps y el data rate
es de 5 a 6 Mbps• Es el protocolo mas uilizado hoy en dia, se suele
referir a este como WI-FI
IntroducciónIntroducción
• 802.11g
• Es una extensión de 802.11b• Opera en una frecuencia de 2.4GHz• Utiliza el encoding “Orthogonal Frequency Division
Multiplexing” (OFDM)• Posee un ancho de banda de 54Mbps con un data
rate de 20 a 25 Mbps• Compatible con 802.11b
IntroducciónIntroducción
Presente y Futuro…Presente y Futuro…
Cada fabricante implementa sus propias Cada fabricante implementa sus propias soluciones para mejorar el rendimiento soluciones para mejorar el rendimiento en la transferencia de datos. (108 Mbps)en la transferencia de datos. (108 Mbps)
WiMax: Es un estándar basado en la WiMax: Es un estándar basado en la tecnología Wireless que proporciona gran tecnología Wireless que proporciona gran ancho de banda en conexiones de larga ancho de banda en conexiones de larga distanciadistancia
www.www.wimaxwimaxforum.orgforum.org
STACKSTACK del protocolo 802.11 del protocolo 802.11
ComponentesComponentes
Punto de acceso o AP: Equivalente al HUB de la tecnología ETHERNET. Ojo, no es un Switch por lo que los usuarios comparten el ancho de banda total.
Adaptador WIFI: en modos PCMCIA o como adaptador PCI principalmente.
Antenas: unidireccionales y omnidireccionales.
Modo “AD-HOC”En el modo ad-hoc, los clientes se comunican directamente entre ellos, generando una red de clientes únicamente. Este modo fue diseñado de tal manera que solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos.
Modo “INFRASTUCTURE”En el modo infrastructure, cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.
ArquitecturasArquitecturas
BSS (Basic Service Set)BSS (Basic Service Set) Una colección de Estaciones que se Una colección de Estaciones que se
comunican entre si mediante Wireless.comunican entre si mediante Wireless. Para diferenciar entre su BSS y una que Para diferenciar entre su BSS y una que
esta cerca utilizan el BSSID, que tiene esta cerca utilizan el BSSID, que tiene formato de dirección MAC. formato de dirección MAC.
Todas las estaciones en un BSS utilizan la misma Todas las estaciones en un BSS utilizan la misma BSSIDBSSID
DefinicionesDefiniciones
Red de laCompañia A
Red de laCompañia B
BSSID en Modo BSSID en Modo “INFRASTUCTURE” “INFRASTUCTURE”
Normalmente el BSSID es la dirección MAC del punto de acceso (AP)
Existen AP sofisticados capaces gestionar varios BSS con diferentes BSSIDs y aparecer como varios AP virtuales
AP
Estaciones conel mismo BSSID
Red Cableada
BSSID en Modo “AD-HOC”BSSID en Modo “AD-HOC”
Las estaciones usan un BSSID aleatorio. La primera estación elige el BSSID
aleatoriamente y los otros utilizan el mismo
Estaciones conel mismo BSSID
DefinicionesDefiniciones ESS: Extended Service Set
Compuesto de varios BSS unidos.
SSID: Service Set ID Normalmente conocido como el nombre de la red
inalámbrica. Es el nombre que el usuario entiende.
"ESSID" es utilizado en ocasiones para referirse al SSID en el contexto de un ESS Transparente para el usuario Solo conoce el SSID El trafico en un ESS puede utilizar varios BSSIDs diferentes si
existen varios APs en el.
FuncionamientoFuncionamiento
Consiste principalmente de tres tipos de tramas: Tramas de Gestión:
Usadas para la gestión de los equipos Se transmiten igual que las demás pero no se envía a
las capas superiores. Nivel 2
Tramas de Control: Usadas par el control de acceso al medio.
Tramas de Datos: Usadas para la transmisión de los datos
FuncionamientoFuncionamiento1. Descubrimiento: La estación ha de conocer
la existencia del PA al que conectarse. Escaneo Pasivo: Espera recibir la señal de PA Escaneo Activo: La estación lanza tramas a un PA
determinado y espera una respuesta
2. Autenticación: La estación ha de autenticarse para conectarse a la red
3. Asociación: La estación ha de asociarse para poder intercambiar datos con otras.
Beacon FramesBeacon Frames
Las Tramas Baliza o “Beacon Frames” Son tramas de gestion de capa nivel 2 Envían información sobre la red Wireless
Sincronización horaria Anchos de banda, canal, tipo de señal, etc.. SSID
Ayudan al las estaciones a localizar y asociarse a PA disponibles.
Las redes que no emiten el SSID en las BFs se denominan “redes cerradas” Simplemente significa que el SSID no se anuncia Es un intento débil de asegurar la red tratando de
ocultar información de su existencia.
Descubrimiento PasivoDescubrimiento PasivoRedes AbiertasRedes Abiertas
Nodo Punto AccesoBeacon
Coincide el SSID Association Req
El PA aceptaal nodo.
Association Resp
El Nodo se Asocia
Descubrimiento ActivoDescubrimiento ActivoRedes CerradasRedes Cerradas
Nodo Punto AccesoProbe Req
Coincide el SSIDProbe Resp
Coincide el SSID Association Req
El PA aceptaal nodo.
Association Resp
El Nodo se Asocia
Autenticación y AsociaciónAutenticación y Asociación Para formar parte de una BSS, una estación
primero se tiene que autenticar a si misma con la red. Después tiene que solicitar una asociación con un PA
específico.
El punto de acceso se encarga de autentificar y aceptar la asociación de la estación. Salvo que se implemente otro sistema de autenticación
(e.g., Radius)
Dos tipos de Autenticación: Abierta: Open System Authentication Cerrada: Shared Key Authentication
Open System AuthenticationOpen System Authentication
Protocolo de autenticación por defecto para 802.11
Es un proceso de autenticación NULO: Autentica a cualquier cliente que pide ser
autenticado. Las tramas se mandan en texto plano aunque
esté activado el cifrado WEP
Debilidades WirelessDebilidades Wireless
Obstaculización de Comunicaciones Protección física
Interceptación de datos Cifrado de comunicaciones
Ataques de “deception” Man In The Middle Autenticación
Utilización no autorizada de recursos: Protección en la autorización de clientes
Debilidades 802.11Debilidades 802.11
Los mecanismos de seguridad utilizados por la mayoría de los usuarios son: Ocultación SSID Filtrado de direcciones MAC WEP
La mayoría de los usuarios desconocen otros mecanismos.
Muchos puntos de acceso no soportan otros mecanismos.
Wired Equivalent Privacy (WEP)Wired Equivalent Privacy (WEP) El mecanismo de seguridad principal del protocolo 802.11.
Usa cifrado RC4 de 40 ó 104 bits
Su intencionalidad era que las redes inalámbricas fueran tan seguras como las redes con cable.
Desgraciadamente , desde la ratificación del estándar 802.11, se han encontrado vulnerabilidades, dejando al protocolo 802.11 inseguro frente a ataques.
Pau Oliva Fora [email protected] http://pof.eslack.org/wireless
Fundamentos WEPFundamentos WEP WEP es un algoritmo de cifrado de flujo.
Usa el algoritmo RC4 para obtener un flujo de bytes que son XOR con el texto claro.
Como entrada del algoritmo de cifrado de flujo se utiliza la clave secreta y un vector de inicialización (IV) que se envía dentro del paquete en texto claro.
El IV es de 24 bits. La longitud de la clave secreta es 40 o 104 bits para una
longitud total sumando el IV de 64 o 128 bits. El Marketing publicita que las claves secretas son de 64
o 128 bits. Con la palabra clave que introducen los usuarios se
calculan 4 claves automáticamente y solo se utiliza una.
Generación de la Clave WEPGeneración de la Clave WEP
Se hace una XOR con la cadena ASCII para obtener una semilla de32 bits
El PRNG utiliza la semilla para generar 40 cadenas de 32 bits cada una.
Se toma un bit de cada una de las 40 cadenas generadas por el PRNG para construir una llave y se generan 4 llaves de 40 bits.
Sólo una de las 4 se utilizará para la cifrado WEP
Cifrado WEPCifrado WEP
Descifrado WEPDescifrado WEP
Shared Key AuthenticationShared Key Authentication
La estación que quiere autenticarse (cliente), envía una trama AUTHENTICATION REQUEST indicando que quiere utilizar una “clave compartida”.
Nodo Punto Acceso
Envía el desafió.Cifra el desafíoy lo envía de vuelta
Auth Chall Resp
El Punto de AccesoAcepta al Nodo
Auth Resp
El Nodo se autentica
Auth Req
Auth Chall Req
El destinatario (AP) contesta enviando una trama quecontiene 128 octetos de texto (desafío) al cliente.•El desafío se genera con la clave compartida y un vector de inicialización (IV) aleatorio utilizando el PRNG.
•Una vez el cliente recibe la trama, copia el contenido del texto de desafío en el payload de una nueva trama que cifra con WEP utilizando la passphrase y añade un nuevo IV (elegido por el cliente).•Una vez construida esta nueva trama cifrada, el cliente la envía al AP.
El AP descifra la trama recibida y comprueba que:•El ICV (Integrity Check Value) sea valido.•El texto de desafío concuerde con el enviado en el primer mensaje.
Si la comprobación es correcta se produce la autenticación del cliente con el APSe vuelve a repetir el proceso pero esta vez el primero que manda la trama con el AUTHENTICATION REQUEST es el AP, de esta manera se asegura una autenticación mutua.
Vulnerabilidades WEPVulnerabilidades WEP Deficiencias en el cifrado WEP
ICV Características lineares de ICV (CRC32) ICV Independiente de la llave
IV Tamaño de IV demasiado corto Reutilización de IV
Deficiencias en el método de autenticación Shared Key
ICV- Características lineares ICV- Características lineares de CRC32de CRC32
El ICV se genera simplemente haciendo un CRC (Cyclic Redundancy Check) de 32 bits del payload de la trama.
Este mecanismo tiene dos graves problemas: Los CRCs son lineales: CRC(mk) = CRC(m)CRC(k) Los CRCs son independientes de la llave utilizada y del IV
Debido a que los CRCs son lineales: Se puede generar un ICV válido, ya que el CRC se combina
con una operación XOR que también es lineal y esto permite hacer el ‘bit flipping’
ICV Independiente de la llaveICV Independiente de la llave Esta vulnerabilidad en WEP es conocida en inglés como
“Lack of keyed MIC”: Ausencia de mecanismo de chequeo de integridad del mensaje (MIC) dependiente de la llave.
El que utiliza WEP es un simple CRC-32 calculado a partir del payload, por lo tanto no depende de la llave ni del IV.
Esto da lugar a que conocido el texto claro de un solo paquete cifrado con WEP sea posible inyectar paquetes a la red
Tamaño de IV demasiado cortoTamaño de IV demasiado corto El Vector de Inicialización (IV) tiene sólo 24 bits de longitud
y aparece en claro (sin cifrar). Sólo hay 224=16.777.216 posibles valores de IV. 16M de paquetes pueden generarse en pocas horas en una
red wireless con tráfico intenso: Un AP que constantemente envíe paquetes de 1500 bytes a
11Mbps, acabará con todo el espacio de IV disponible después de (1500 x 8 / (11 x 106)) x 224 = ~1800 segundos, o 5 horas.
La corta longitud del IV, hace que éste se repita frecuentemente y dé lugar a la posibilidad de realizar ataques estadísticos para recuperar el texto claro gracias a la reutilización del IV.
Reutilización de IVReutilización de IV WEP no utiliza el algoritmo RC4 “con cuidado”:
El IV se repite frecuentemente. Se pueden hacer ataques estadísticos contra texto cifrado con el mismo IV.
Si RC4 no se usa con cuidado, se vuelve inseguro ¡El estándar 802.11 especifica que cambiar el IV en cada
paquete es opcional! El IV normalmente es un contador que empieza con
valor cero y se va incrementando de uno en uno: Rebotar causa la reutilización de IV’s Sólo hay 16M de IV’s posibles, así que después de interceptar
suficientes paquetes, seguro que hay IV’s repetidos
Un atacante capaz de escuchar el tráfico 802.11 puede descifrar textos cifrados interceptados incluso sin conocer la clave.
Deficiencias en el método de Deficiencias en el método de autenticación Shared Keyautenticación Shared Key
El atacante captura el segundo y el tercer “management messages” de una autenticación mutua y obtiene IV Desafió aleatorio en texto plano Desafió aleatorio cifrado
Todos los elementos excepto el texto de desafío son los mismos para TODAS las “Authentication Responses”.
El atacante tiene por lo tanto todos los elementos para autenticarse con éxito sin conocer la clave secreta compartida K. No podría asociarse.
Ataques a Redes WirelessAtaques a Redes Wireless
Ataques a Redes WirelessAtaques a Redes Wireless Ataque de Denegación de Servicio (DoS)Ataque de Denegación de Servicio (DoS) Descubrir SSID ocultadosDescubrir SSID ocultados Romper ACL’s basados en MACRomper ACL’s basados en MAC Ataque Ataque Man in the middleMan in the middle Ataque Ataque ARP PoisoningARP Poisoning
Ataques WEPAtaques WEP Ataque de fuerza brutaAtaque de fuerza bruta Ataque inductivo ArbaughAtaque inductivo Arbaugh Debilidades del algoritmo keyScheduling de RC4 (FSM)Debilidades del algoritmo keyScheduling de RC4 (FSM)
Ataque de denegación de Ataque de denegación de Servicio (DoS)Servicio (DoS)
Esnifar y ver cual es la dirección MAC del APEsnifar y ver cual es la dirección MAC del AP
Nos ponemos la MAC del AP, es decir nos hacemos Nos ponemos la MAC del AP, es decir nos hacemos pasar por AP.pasar por AP.
Para denegarle el servicio a un cliente mandamos Para denegarle el servicio a un cliente mandamos continuamente notificaciones de desasociación o continuamente notificaciones de desasociación o desautenticación (desautenticación (management framesmanagement frames).).
Si en lugar de a un solo cliente queremos denegar el Si en lugar de a un solo cliente queremos denegar el servicio a todos los clientes de la WLAN, mandamos servicio a todos los clientes de la WLAN, mandamos estas tramas a la dirección MAC de broadcast.estas tramas a la dirección MAC de broadcast.
Ataques de Autenticación y Ataques de Autenticación y desasociación.desasociación.
Cualquier estación puede impersonar a otra o a Cualquier estación puede impersonar a otra o a un PA y atacar o interferir con los mecanismos un PA y atacar o interferir con los mecanismos de autenticación y asociación. de autenticación y asociación. Como estas tramas no van cifradas, el nivel de Como estas tramas no van cifradas, el nivel de
dificultad es trivial.dificultad es trivial.
Tramas de desaciociación y desautenticación.Tramas de desaciociación y desautenticación. Una estación que reciba una de estas tramas debe de Una estación que reciba una de estas tramas debe de
rehacer el proceso de autenticación y asociación.rehacer el proceso de autenticación y asociación. Con una pequeña y simple trama un atacante puede Con una pequeña y simple trama un atacante puede
retardar la transmisión de los datos y obliga a la retardar la transmisión de los datos y obliga a la estación y el PA a rehacer este proceso.estación y el PA a rehacer este proceso. Son necesarias varias tramas para rehacerlo.Son necesarias varias tramas para rehacerlo.
Ataque DoSAtaque DoS
Atacante
Nodo Punto Acceso
El atacante envía el “Disassoc” de nuevo y el proceso se repite.
Assoc Req
El atacante envía el “Disassoc” al nodo y este, se desasocia del PAEl Nodo intenta reasociarse con el APEl Nodo se asocia temporalmente con el AP
Disassoc
Associated
Ocultación del SSIDOcultación del SSID Por defecto el SSID se anuncia cada pocos Por defecto el SSID se anuncia cada pocos
segundos. Beacon Frames.segundos. Beacon Frames. Si se oculta es mas complicado saber que Si se oculta es mas complicado saber que
existe una red inalámbrica.existe una red inalámbrica. Si se leen los paquetes se averigua el SSID, Si se leen los paquetes se averigua el SSID,
pues aunque se utilice WEP el SSSID va en pues aunque se utilice WEP el SSSID va en texto claro.texto claro.
Conclusión: Las redes cerradas son un Conclusión: Las redes cerradas son un inconveniente para los usuarios legítimos e inconveniente para los usuarios legítimos e incrementan la dificultad del despliegueincrementan la dificultad del despliegue
¿Es el SSID secreto?¿Es el SSID secreto?
Las estaciones que buscan un AP envían el Las estaciones que buscan un AP envían el SSID buscado en una trama de solicitud "probe SSID buscado en una trama de solicitud "probe request"request"
Los puntos de acceso contestan la solicitud en Los puntos de acceso contestan la solicitud en una trama "probe reply“, que contiene el par una trama "probe reply“, que contiene el par SSID/BSSID.SSID/BSSID.
Las estaciones que quieren formar parte de una Las estaciones que quieren formar parte de una BSS envían una trama de solicitud de BSS envían una trama de solicitud de asociación, que también contiene el par asociación, que también contiene el par SSID/BSSID en texto claroSSID/BSSID en texto claro Las solicitudes de reasociación y sus respuestas Las solicitudes de reasociación y sus respuestas
también.también. Por lo tanto, el SSID solo se mantiene secreto Por lo tanto, el SSID solo se mantiene secreto
en redes cerradas sin actividad.en redes cerradas sin actividad.
Acelerar la Detección de redes Acelerar la Detección de redes CerradasCerradas
Atacante
Nodo Punto Acceso
Coincide el SSID
Coincide el SSID Association Req
El PA aceptaal nodo.
Association Resp
Nodo Reasociado
Disassoc
Probe Req
Probe Resp
Associated
El atacante desasocia al Nodo del PA
Filtro por dirección MACFiltro por dirección MAC Puede controlar el acceso solo permitiendo Puede controlar el acceso solo permitiendo
direcciones MAC especificasdirecciones MAC especificas Este mecanismo de seguridad es soportado por Este mecanismo de seguridad es soportado por
la mayoría de los productos comerciales. la mayoría de los productos comerciales. Utiliza, como mecanismo de autenticación, la Utiliza, como mecanismo de autenticación, la dirección MAC de cada estación cliente, dirección MAC de cada estación cliente, permitiendo el acceso a aquellas MAC que permitiendo el acceso a aquellas MAC que consten en la Lista de Control de Acceso.consten en la Lista de Control de Acceso.
El administrador debe mantener y distribuir una El administrador debe mantener y distribuir una lista de Mac validas. No Escala.lista de Mac validas. No Escala.
Esta dirección puede ser SpoofeadaEsta dirección puede ser Spoofeada
Ataque “Man in the Midle”Ataque “Man in the Midle”
Consiste en convencer al cliente (la Consiste en convencer al cliente (la victima) de que el host que hay en el victima) de que el host que hay en el medio (el atacante) es el AP, y hacer lo medio (el atacante) es el AP, y hacer lo contrario con el AP, es decir, hacerle contrario con el AP, es decir, hacerle creer al AP que el atacante es el cliente.creer al AP que el atacante es el cliente.
1.1. Desasociamos a la victima del AP.Desasociamos a la victima del AP.
2.2. Le conectamos a nuestro equipo.Le conectamos a nuestro equipo.
3.3. Nos conectamos con el APNos conectamos con el AP
Ataque “Man in the Middle”Ataque “Man in the Middle”
Atacante
Nodo Punto Acceso
Asociado
Asociado
El atacante envía “Disassoc” al NodoEl Nodo se desasocia del AP y busca otro.
Desasociación
El atacante ejecuta una aplicación que simule un PA en su tarjeta con el mismo SSID del PA y en diferente canal para que se asocie el Nodo
Asociación
El atacante se conecta al PA con la MAC del Nodo y hace de puente entre el PA y el nodo.
WEP: Ataque de fuerza brutaWEP: Ataque de fuerza bruta Se basa en reducir el Nº de posibles llaves debido Se basa en reducir el Nº de posibles llaves debido
a que para generarlas se utilizan caracteres ASCII a que para generarlas se utilizan caracteres ASCII y a las limitaciones del algoritmo de PRNG.y a las limitaciones del algoritmo de PRNG. La entropía total queda reducida a 21 bits.La entropía total queda reducida a 21 bits.
Generar llaves de forma secuencial utilizando Generar llaves de forma secuencial utilizando semillas de 00:00:00:00 hasta 00:7F:7F:7F.semillas de 00:00:00:00 hasta 00:7F:7F:7F. Un PIII a 500MHZ tardaría aproximadamente 210 días en Un PIII a 500MHZ tardaría aproximadamente 210 días en
encontrar la llave. (Se puede usar computación en encontrar la llave. (Se puede usar computación en paralelo para obtener la llave en un tiempo más paralelo para obtener la llave en un tiempo más razonable)razonable)
Ataque con diccionario:Ataque con diccionario: Si la passphrase utilizada está en el diccionario Si la passphrase utilizada está en el diccionario
conseguimos reducir sustancialmente el tiempo conseguimos reducir sustancialmente el tiempo necesario para encontrarla.necesario para encontrarla.
Ataque inductivo ArbaughAtaque inductivo Arbaugh
Permite descifrar el tráfico de cifrado de Permite descifrar el tráfico de cifrado de una WLAN en tiempo real.una WLAN en tiempo real.
Se basa en:Se basa en: Características Lineales de CRCCaracterísticas Lineales de CRC MIC independiente de la llaveMIC independiente de la llave
Demostrado por William A. Arbaugh Demostrado por William A. Arbaugh (Universidad de Maryland).(Universidad de Maryland).
Debilidades del algoritmo Debilidades del algoritmo keyScheduling de RC4 (FSM)keyScheduling de RC4 (FSM) Permite adivinar la llave WEPPermite adivinar la llave WEP Se basa en:Se basa en:
Monitorización Monitorización pasiva pasiva de la transmisiónde la transmisión Recolecta paquetes “débiles”Recolecta paquetes “débiles”
Una vez se han recolectado suficientes Una vez se han recolectado suficientes paquetes, es posible paquetes, es posible adivinar adivinar la llave utilizada la llave utilizada para realizar el cifrado.para realizar el cifrado.
Publicado en Agosto del 2001 por:Publicado en Agosto del 2001 por:
Scott Fluhrer, Itsik Mantin y Adi ShamirScott Fluhrer, Itsik Mantin y Adi Shamir
DEMODEMO Descubrimiento pasivo de SSID ocultoDescubrimiento pasivo de SSID oculto Descubrimiento de MacDescubrimiento de Mac Monitorización paquetes cifrados con Monitorización paquetes cifrados con
WEP. (AirDump)WEP. (AirDump) Crackeo WEP con ataque FSM mediante Crackeo WEP con ataque FSM mediante
Aircrack.Aircrack.
HerramientasHerramientas
MicrosoftMicrosoftLinuxLinux
LoLo siento….siento….
No me dejan fomentar el No me dejan fomentar el pirateopirateo
WPAWPA WiFi Protected AccessWiFi Protected Access
Norma definida por la WI-FI AllianceNorma definida por la WI-FI Alliance
Recoge estándares de facto de Recoge estándares de facto de tecnologías Wireless a la espera de tecnologías Wireless a la espera de 802.11i (WPA2)802.11i (WPA2)
Intenta evitar las deficiencias de Intenta evitar las deficiencias de seguridad en WEPseguridad en WEP
WPAWPA
Sistema de autenticación 802.1xSistema de autenticación 802.1x Sistema de autenticación basado en Pre-Sistema de autenticación basado en Pre-
Shared KeyShared Key Credenciales EAPOL (EAP Over Lan)Credenciales EAPOL (EAP Over Lan) Cifrado con claves dinámicas TKIP en Cifrado con claves dinámicas TKIP en
sustitución del cifrado con clave estática sustitución del cifrado con clave estática WEP o WEP2WEP o WEP2
Utilización de “Michael” para control de Utilización de “Michael” para control de Integridad de mensajesIntegridad de mensajes
802.1x802.1x Estándar definido en 2001 para controlar el Estándar definido en 2001 para controlar el
acceso a la red basado puertos.acceso a la red basado puertos. Se puede utilizar tanto en redes LAN como Se puede utilizar tanto en redes LAN como
WLAN.WLAN. Permite que cada conexión al punto de acceso Permite que cada conexión al punto de acceso
funcione como un puerto gestionable.funcione como un puerto gestionable. La autenticación para la conexión al puerto se La autenticación para la conexión al puerto se
puede hacer en el propio dispositivo o delegarla puede hacer en el propio dispositivo o delegarla en un servidor de autenticación RADIUS en un servidor de autenticación RADIUS (Remote Authentication Dial-In User Service)
IAS (Internet Authentication IAS (Internet Authentication Server)Server)
Servidor RADIUS de MicrosoftServidor RADIUS de Microsoft Integrado con Directorio ActivoIntegrado con Directorio Activo Permite, mediante GPOs, realizar árboles Permite, mediante GPOs, realizar árboles
de toma de decisiones complejosde toma de decisiones complejos Los Puntos de Acceso se registran el Los Puntos de Acceso se registran el
servidor IAS y se realiza autenticación servidor IAS y se realiza autenticación mutua mediante Pre-Shared Keymutua mediante Pre-Shared Key
Autenticación en IAS se realiza mediante Autenticación en IAS se realiza mediante cualquier esquema EAP.cualquier esquema EAP.
EAP (Extensible Authentication EAP (Extensible Authentication Protocol)Protocol)
Protocolo de Autenticación ExtensibleProtocolo de Autenticación Extensible Permite utilizar sistema de credenciales Permite utilizar sistema de credenciales
extensibles. extensibles. El cliente y el servidor negocian el El cliente y el servidor negocian el
esquema de autenticación.esquema de autenticación. Originalmente creado para PPPOriginalmente creado para PPP EAPOL: Sirve para utilizarlo en EAPOL: Sirve para utilizarlo en
validaciones sobre redes Localesvalidaciones sobre redes Locales
EAP (Extensible Authentication EAP (Extensible Authentication Protocol)Protocol)
Soporta autenticación basada en.Soporta autenticación basada en. Passwords mediante MS-CHAP v2Passwords mediante MS-CHAP v2 Certificados digitalesCertificados digitales SmartcardsSmartcards BiometricsBiometrics ……..
PEAP (Protected EAP). Utilizan sistemas PEAP (Protected EAP). Utilizan sistemas de autenticación EAP sobre un canal de autenticación EAP sobre un canal seguro TLS.seguro TLS.
Esquema de AutenticaciónEsquema de Autenticación
Cliente Punto Acceso IAS
Asociación
Establecimiento de canal seguro TLS
Autenticación MS-CHAP V2 sobre TLS
Resultado Autenticación
Disasociación
Acceso Permitido
TKIP (Temporary Key Integrity TKIP (Temporary Key Integrity Protocol)Protocol)
Utiliza cifrado entre la estación cliente y el Utiliza cifrado entre la estación cliente y el Punto de Acceso con clave simétrica.Punto de Acceso con clave simétrica.
Utiliza 4 claves distintas entre Punto de Acceso Utiliza 4 claves distintas entre Punto de Acceso y cada Cliente Wireless para tráfico Unicast y 2 y cada Cliente Wireless para tráfico Unicast y 2 claves para tráfico broadcast y/o multicast.claves para tráfico broadcast y/o multicast.
Se cambian cada 10.000 paquetes o cada 10 kb Se cambian cada 10.000 paquetes o cada 10 kb de transferencia.de transferencia.
El Vector de Inicialización se transmite cifrado.El Vector de Inicialización se transmite cifrado. Se utiliza “Michael” para evitar bit flippingSe utiliza “Michael” para evitar bit flipping
MichaelMichael Provee de integridad y “antireplay”Provee de integridad y “antireplay” Con un algoritmo llamado Michael se Con un algoritmo llamado Michael se
calcula un “Message Integrity Code” calcula un “Message Integrity Code” (MIC) de 8 bytes(MIC) de 8 bytes
Estos 8 bytes se introducen entre los Estos 8 bytes se introducen entre los datos y los 4 Bytes del ICV de la trama datos y los 4 Bytes del ICV de la trama 802.11802.11
Se cifra junto con los datos y el ICVSe cifra junto con los datos y el ICV
WPA-PSK (Pre-Shared Key) WPA-PSK (Pre-Shared Key) VulnenrabilidadVulnenrabilidad
Sólo necesita una captura de dos paquetes EAPoL Sólo necesita una captura de dos paquetes EAPoL que intercambian el cliente y el AP durante el que intercambian el cliente y el AP durante el proceso de autenticación (los 2 primeros paquetes proceso de autenticación (los 2 primeros paquetes del del 4way-handshake4way-handshake..
Ataque de diccionario / fuerza bruta contra las Ataque de diccionario / fuerza bruta contra las vulnerabilidades de PSKvulnerabilidades de PSK
El ataque se realiza off-lineEl ataque se realiza off-line
!Ojo! Es mas vulnerable que WEP!Ojo! Es mas vulnerable que WEP
Esquema de la soluciónEsquema de la solución
Servidor W2K3Certificate Authority
IAS (Radius)
Punto de AccesoWPA
802.1x
Windows XP SP1Windows 2003
SP1
DemostraciónDemostración
Implantación de solución WLAN Implantación de solución WLAN basada en PEAP con WPA e IASbasada en PEAP con WPA e IAS
802.11i – WPA2802.11i – WPA2 Aprobado en Julio del 2004.Aprobado en Julio del 2004. RSN (Robust Securiry Network)RSN (Robust Securiry Network) Recoge la mayoría de las tecnologías Recoge la mayoría de las tecnologías
utilizadas en la norma WPA.utilizadas en la norma WPA. Incluye:Incluye:
802.1x802.1x EAPOLEAPOL TKIPTKIP MichaelMichael AESAES Compatibilidad con WPACompatibilidad con WPA
AESAES
Protocolo sustituto de DESProtocolo sustituto de DES Utiliza algoritmo RijndaelUtiliza algoritmo Rijndael Permite claves de 128, 196 y 256 bits En 802.1x se incluyen dos En 802.1x se incluyen dos
implementaciones diferentesimplementaciones diferentes WRAP (Wireless Robust Authenticated Protocol) CCM (Counter-Mode/CBC-MAC Protocol)
Es el algoritmo de cifrado más seguro que podemos utilizar en redes WLAN
TechNewsTechNews Suscripción gratuita enviando un mail:Suscripción gratuita enviando un mail:
mailto:[email protected] mailto:[email protected]
Ruegos y PreguntasRuegos y Preguntas
Datos de ContactoDatos de Contacto
Chema Alonso Chema Alonso
[email protected]@informatica64.com
José ParadaJosé Parada
[email protected]@microsoft.com