Seguridad en WLAN - UPV/EHU · 1. AP pide identidad de STA usando EAPOL. 2. STA envía su identidad...

1Escuela Superior de Ingenieros de Bilbao Dpto. Electrónica y Telecomunicaciones

Curso de Doctorado TIC en redes mCurso de Doctorado TIC en redes móóviles:viles:Seguridad en Comunicaciones MSeguridad en Comunicaciones Móóvilesviles

Seguridad en WLAN Eduardo Jacob <[email protected]>


IntroducciIntroduccióón a 802.11n a 802.11

Estándar IEEE para WLAN Particularidad de la capa de acceso al medio Radio 1 o 2 Mbits f(distancia) 2.4 GHz Variantes:

802.11b: Hasta 11 Mbits (Wi-Fi) 2.4 GHz802.11a: Hasta 54 Mbits 5 GHz802.11g: Hasta 54 Mbits 2,4 GHz


Arquitectura BArquitectura Báásica (Adsica (Ad--HocHoc))

BSS: Basic Service Set: Área en la que la comunicación es posible.IBSS: Independent IBSS: Red mínima, sin planificación: Ad-Hoc Network.


Red Red ‘‘ad hocad hoc’’ o BSS (Basic Service Set)o BSS (Basic Service Set)

PC desobremesa

PC portátil

PC portátil

PC portátil

Las tramas se transmiten directamente de emisor a

receptor

Para que los portátiles puedan salir a Internet este PC puede actuar de router

Internet

147.156.1.15/24

147.156.2.1/24

147.156.2.2/24

147.156.2.3/24

147.156.2.4/24

Tarjeta PCI

Tarjeta PCMCIA


Arquitectura (Infraestructura)Arquitectura (Infraestructura)

La asociación es dinámica.En caso de necesitar interconectar diversas BSS, es necesario un sistema adicional DS: Distribution System.Aparecen los AP: Access Point (puntos de acceso del BSS a DS.


Internet

Punto deacceso (AP)

PC de sobremesa

PC portátil PC de sobremesa

PC portátil

PDA

PC táctil

147.156.1.20/24

147.156.1.21/24

147.156.1.22/24

147.156.1.25/24

147.156.1.24/24

147.156.1.23/24

147.156.1.1/24

La comunicación entre dos estaciones siempre se hace a través del punto de acceso, que actúa como

un puente

Red con un punto de acceso Red con un punto de acceso


Arquitectura (III)Arquitectura (III)

ESS: Extended Service SetSe permite la comunicación entre estaciones de los BSS participantes.Las BSS pueden solaparse o no, o estar dispuestas para dar redundancia.


TopologTopologíía de un ESS (Extended a de un ESS (Extended ServiceService SetSet))

Internet

Canal 1 Canal 6

Sistema dedistribución (DS)

El DS es el medio de comunicación entre los AP.Normalmente es Ethernet, pero puede ser cualquier otra LAN


AsociaciAsociacióónn

Una estación está asociada a un solo AP: El DS debe saber en que AP está una determinada estación.

Los servicios de asociación permiten:Descubrir APAsociarseReasociarse: pasar de un AP a otro AP para informar al DS.Desasociarse: para abandonar el DS


Otros serviciosOtros servicios

A nivel de Enlace!! Autenticación

Necesaria para establecer pertenencia a un BSS. (equivalente a estar en el mismo HUB en 10BaseT)Mutua (AP<->STA)

ConfidencialidadNecesaria para proteger confidencialidad.Un estándar propio (y reventado) WEP (Wireless EncryptionProtocol)Por defecto desactivado.


AutenticaciAutenticacióónn

Necesaria para poder formar parte de un BSS. Independiente y previo a la asociación. Servicios:

Autenticación: Necesario.Desautenticación: Para finalizar conexión.Preautenticación: Estado previo a la autenticación. Empleado estando asociado a un AP, para acelerar el cambio a otra AP.


Relaciones entre serviciosRelaciones entre servicios

Para cada estación, una estación mantiene dos variables que representan:

Estado de autenticación.Estado de asociación.

La combinación de las variables define tres estados posibles:Estado 1: Inicial, no autenticado, no asociado.Estado 2: Autenticado, no asociado.Estado 3: Autenticado, asociado.


Diagrama de estadosDiagrama de estados

Se define clases de tramas que se pueden transmitir en cada estado.


Seguridad en Wireless Seguridad en Wireless LANLAN

ÍndiceProblemas de Securización de WLAN. Soluciones.

Nivel de EnlaceNivel de RedNivel de Aplicación

WEPCaracterísticasFallos de WEP

WPACaracterísticasTipos

VPNTiposConceptos básicos


Problemas de SecurizaciProblemas de Securizacióón de WLANn de WLAN

Causas de InseguridadMedio radio: no está claro el área de cobertura.Ataques a la autenticidad y confidencialidad de la comunicación.

Usuarios y AP.Ataques de denegación (interferencias, saturación…)

AlternativasEn la capa MAC

Cifra todos los protocolos y aplicacionesImplica el HW de la tarjeta (difícil de reprogramar completo)Implica que las entidades soportan el mismo estandar.

Seguridad a nivel de Red (Túneles: IPSEC, L2TP, PPTP)Adecuado para

A nivel de aplicación (S/MIME, SSL, SSH…)


Unas estadUnas estadíísticassticas

Warchalking.

CATEGORY TOTAL PERCENT

TOTAL APs FOUND 9374 100

WEP Enabled 2825 30.13

No WEP Enabled 6549 69.86

Default SSID 2768 29.53

Default SSID and No WEP Enabled 2497 26.64

Unique SSIDs 3672 39.17

Most Common SSID 1778 18.97

2nd Most Common SSID 623 6.65


WEP (WEP (WiredWired EquivalenceEquivalence PrivacyPrivacy))

Criterios de diseño iniciales WEP (Wired Equivalence Privacy)

Razonablemente fuerte.Autosincronizante.Eficiente.Exportable (En su momento).Opcional (el verdadero fallo).

Todo esto a nivel de enlace


WEPWEP

Esquema Notas:• Es un cifrador de flujo.• Fallo de RC4: Los primeros 256 bits, deberían de descartarse.

• Si se cifran dos mensajes conmisma clave+IV y se hace la XORentre ellos, se obtiene el XOR delos mensajes originales, si se conoce uno de los textos se obtieneel otro. La clave WEP, es fija (?)si se repite el IV, la clave es la misma.

• Reutilizar mucho la clave facilita elataque (muchos AP, no guardan IVy reutilizan siempre el mismo al rearrancar, el 0) con ataques pordiccionario.

• Es posible enviar texto a la estacióny obtener texto conocido y su cifra…

IV: Vector de InicializaciónIVC: Vector de chequeo de integridad.(es un CRC32 )PRNG: Generador de números aleatorios (40 o 128 (104) bits)


WEPWEP

Notas:Es un cifrador de flujo.Fallo de RC4: Los primeros 256 bits, deberían de descartarse.El CRC solo vale como detector de errores, no protección, se puede cambiar mensaje y calcular CRC.Si se cifran dos mensajes con misma clave+IV y se hace la XORentre ellos, se obtiene el XOR de los mensajes originales, si se conoce uno de los textos se obtiene el otro. La clave WEP, es fija (?) si se repite el IV (espacio total 2^17) , la clave es la misma.Reutilizar mucho la clave facilita el ataque (muchos AP, no guardan IV y reutilizan siempre el mismo al rearrancar, el 0) con ataques por diccionario.Es posible enviar texto a la estación y obtener texto conocido y su cifra…


Resumen de WEPResumen de WEP

Posibles ataquesAtaques de modificaciónAtaques de repetición.Ataques de recuperación de clave WEP.Ataques de impersonación (spoofing)

Herramientaswepcrack.sourceforge.netairsnort.sourceforge.net

Otros problemas no técnicosEs opcional.La gestión de claves es manual: complicado en grandes redes…Autenticación de usuarios, no de MAC.

AlternativasGrupos Cerrados (El ESSID no sale en balizas, hay que saberlo…)WEP Dinámico: (802.1x o Kerberos) + clave WEP renegociada por usuario/sesión.Propietarias:

Cisco LEAP.Agere…


WPAWPA

Nueva propuesta:31 Octubre 2002

OrigenNecesidad de proponer algo antes del final de trabajo de 802.11i.Actualización Software.Separa autenticación de cifrado.

BloquesAutenticación de usuario: 802.1x + EAP (Extensible Authentication Protocol)Cifrado:

Temporal Key Integrity Protocol (TKIP)802.1X para distribución dinámica de claves.Message Integrity Check (MIC) a. k. a. “Michael”PSK: Pre-Shared-Key para SoHo


WPAWPA

La ecuación completa

WPA = 802.1X + EAP + TKIP + MIC


802.1x Terminolog802.1x Terminologííaa

802.1x Control de acceso a la red basado en puerto. Compuesto de:

- PAE: Port Access Entity (Supplicant (móviles) o Authenticator (AP))

- EAPOL: Encapsulación EAP (IETF Extensible Authentication Protocol) adaptada a entidades de nivel de enlace (MAC)

- Servidores Radius.


802.1x Terminolog802.1x Terminologííaa

PAEPuerto: MAC real o virtualPAE: La entidad lógica que decide si que paquetes del puerto serán aceptados por el dispositivo remoto.Dos tipos de puerto:

Controlados: Sólo aceptan tráfico de dispositivos autenticados.No controlados: Cualquier tráfico, básicamente paquetes de autenticación (EAPOL)

AuthenticatorProxy entre paquetes EAP en EAPOL y servidor RADIUS.


802.1x802.1x

1. AP pide identidad de STA usando EAPOL.2. STA envía su identidad al AP.3. AP reenvia la identidad de STA a AS a través de EAP.4. El AS y la STA tienen un diálogo EAP de autenticación.5. Si el Dialogo tiene éxito, STA y AS comparten una clave de sesión.6. AS envía la clave de sesión AP como un atributo RADIUS como parte de un mensaje Accept de RADIUS. 7. El AP habilita su puerto controlado para la MAC de STA y opcionalmente addressand optionally habilita una clave WEP a través de un paquete EAPOL-Key.


Otra vistaOtra vista


DiDiáálogos de autenticacilogos de autenticacióón en 802.1xn en 802.1x

1) EAP-TLSEl más común.Implementado con certificados X.509 en STA y AS que ambos deben ser capaces de comprobar.Soporta el ataque de hombre en-medio.Autentica ambos extremos.Finaliza cuando existe una clave común entre STA y AS que permite luego Requiere una PKI:

Requiere certificados de usuario…Muy complejo excepto para grandes empresas.


DiDiáálogos de autenticacilogos de autenticacióón en 802.1x (II)n en 802.1x (II)

2) Métodos protegidos de EAPPara eliminar certificados de usuario.Se busca crear un túnel TLS que permita luego transladar otros mecanismos para intercambio de claves.Dos opciones básicas (sobrevivirá una de ellas)

PEAP (Protected EAP)Realiza un túnel TLS con servidor autenticado y luego se utilizar otro método clásico como MSCHAP o MD5 para autenticar usuario.Creado por Microsoft y empleado en Windows XP.Quita mucha de la complejidad PKI, pero:

• STA: Requiere certificado root de la CA que firma certificados de servidor para evitar ataques de hombre en medio.

• Además STA debe ser capaz de verificar los certificados: CRL o OCSP.


DiDiáálogos de autenticacilogos de autenticacióón en 802.1x (III)n en 802.1x (III)

EAP-TTLS (EAP Tunneled TLS Authentication Protocol)Se realiza un túnel TLS con servidor autenticado y luego se utilizar métodos clásicos de autenticación PPP como CHAP, MS-CHAP,MS-CHAP-V2, y EAP/MD5- Challenge.para autenticar usuario.Con un servidor adicional permite mantener los servidores RADIUS anteriores.Se usa menos que otros.


Un arquitectura completaUn arquitectura completa

WirelessWirelessAPAP

VPNVPNServerServer

DialDial--upupServerServer

RADIUSRADIUSProxyProxy

AccessAccessClientsClients

Access Server Access Server = =

RADIUS ClientsRADIUS Clients

User AccountUser AccountDatabaseDatabase

RADIUSRADIUSServerServer

RADIUSRADIUSprotocolprotocol

User AccountUser AccountDatabaseDatabase


DiDiáálogos de autenticacilogos de autenticacióón en 802.1x (IV)n en 802.1x (IV)

3) EAP-SRP EAP Strong Password.Basada en usuario/password.La autenticación y el cifrado vinculados implicitamente.No requiere CALa base de datos es elemento clave.

4) Otros mecanismos futurosTarjetas inteligentes…KerberosSIM…


TKIPTKIP

Mejora de WEPTKIP (Temporal Key Integrity Protocol).

Limitado porRC4 en hardware y planificador de claves defectuoso.Memoria y CPU limitadas.Tamaño limitado para MIC.Tamaño limitado para claves.

Implementado con:802.1x para autenticación.Obtención de nuevas claves a partir de la establecida por 802.1x, con un método EAP que ofrezca:

• Resistencia a ataque de hombre en medio.• Autenticación mutua de AS y STA• Finaliza con clave común entre AP y STA.

Un proceso de mezclado de la clave RC4 con un IV de 48 bits.• No se repetirá IV entre reautenticaciones.

Un MIC


Nuevo MIC: MichaelNuevo MIC: Michael

Criterios de DiseñoBarato en CPU 5 ciclos/byteExiste sin embargo un ataque de 2^29 mensajes.Se calcula sobre MSDU en vez de MPDU como en WEPDos claves de 64 bits, una en cada sentido.Requiere detección activa de ataques:


El futuro: 802.1iEl futuro: 802.1i

Diversas técnicasCCMPMICAES


CCMPCCMP

El futuroCCMP (Counter-Mode/CBC-MAC protocol)

Nuevo método.Probablemente soportará AES.Requiere multiplicación en tarjetas (no necesaria en RC4)Discusiones que han impedido implementación.Deberá coexistir con TKIP.


ComparaciComparacióón entre WEP, TKIP y CCMPn entre WEP, TKIP y CCMP


ResumenResumen

WPA permite usar ahora prestaciones de 802.11i Es compatible con el mismo.


EvoluciEvolucióón.n.

Seguridad en WLAN - UPV/EHU · 1. AP pide identidad de STA usando EAPOL. 2. STA envía su identidad...

Documents

Transcript of Seguridad en WLAN - UPV/EHU · 1. AP pide identidad de STA usando EAPOL. 2. STA envía su identidad...