WLAN Estandar 802.11 Seguridad Ramón Aguero Calvo

7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo

1/30

1

Redes Inalmbricas

Ramn Agero Calvo

Bloque 6.7

WLAN: Estndar IEEE 802.11

Seguridad

Ramn Agero Calvo([email protected])


2/30

2

Redes Inalmbricas

Ramn Agero Calvo

Seguridad en 802.11: Introduccin Requerimientos tradicionales de seguridad

Privacidad

Integridad de los datos

Autenticacin

El medio inalmbrico es intrnsecamente ms vulnerable

Se trat de solventar este problema, incluyendo el mtodo WEP (WiredEquivalent Privacy) en la recomendacin 802.11

Sin embargo se ha demostrado como un mtodo poco eficaz, por lo que setienen que buscar otras alternativas


3/30

3

Redes Inalmbricas

Ramn Agero Calvo

Qu es WEP? Se trata de un mecanismo de seguridad a nivel de enlace, y no extremo a

extremo

Trata de prevenir eavesdropping de tramas en el canal

Protege las tramas en el medio radio, pero no ms all del punto de acceso

Un segundo objetivo, menos explcito, es controlar el acceso a la red,denegando el acceso a estaciones no autenticadas

Se basa en un algoritmo simtrico, RC4 Se genera una cadena de bits a partir de una llave

Esta se utiliza para cifrar el mensaje original, mediante la operacin lgica XOR

Entre otros requerimientos, tena originalmente el de su sencillez y facilidad

de implementacin


4/30

4

Redes Inalmbricas

Ramn Agero Calvo

Algori tmo

RC4

Funcionamiento WEP

1011010...1

40 bits24 bits

64 bits

1011000100001010...1

Secuencia Llave RC4(Trama de datos + ICV)

Datos

Datos ICV

Algoritmo Deteccin

de errores (CRC-32)

4 BYTES

Datos ICV FCS802.11 IV

Claro Cifrado Claro

1. La llave secreta de 40 bits se combina con unvector de inicializacin de 24 bits para formar lallave RC4

2. En paralelo, la trama de datos se protege conun vector de chequeo de integridad (CRC-32)

3. La llave se pasa por el algoritmo RC4, formandouna secuencia de bits de longitud apropiada

4. Esta secuencia se emplea para cifrar lainformacin y el ICV (operacin lgica XOR)

IntegridadConfidencialidad

1

2

3

4


5/30

5

Redes Inalmbricas

Ramn Agero Calvo

Formato trama WEP

IV

[4B]

Cabecera MAC

802.11 [24B]

Datos

[?B]

ICV

[4B]

FCS

[4B]

Parte cifrada

Vector Inicializacin

[3B]

Res

[6b]

ID

[2b]Existen 4 posibles llaves


6/30

6

Redes Inalmbricas

Ramn Agero Calvo

Autenticacin en WEP Cmo se consigue la autenticacin?

Las estaciones tienen que compartir una llave con el Punto de Acceso

Esta llave se tiene que distribuir (fuera de banda) a todas las estaciones, antes

de afrontar la autenticacin

Estados Estaciones

1. No Autenticado / No Asociado

2. Autenticado / No Asociado

3. Autenticado / Asociado


7/30

7

Redes Inalmbricas

Ramn Agero Calvo

Problemas de WEP RC4(KEY,DatosX) RC4 (KEY,DatosY) = DatosX DatosY

La llave cambia con el IV, pero este se transmite en claro en el paquete

Adems, siendo de 24 bits, el mismo IV se usar relativamente pronto: un punto

de acceso cargado, con paquetes de 1500 Bytes constantemente, utilizar todoslos IV en 5 horas slo hay en torno a 17 M de IV

El estndar recoge que es opcional modificar el IV en cada paquete

Debilidad de las llaves RC4 Ataque FMS

Hay ciertas llaves para las que los primeros bytes de la salida del RC4 no soncompletamente aleatorios

El IV es el comienzo de la llave

Adems la primera parte de los datos cifrados se puede adivinar

Una solucin sera descartar los primeros bytes de la salida del RC4

La integridad se basa en un CRC

Seguro para errores arbitrarios, no deliberados

Es lineal, por lo que se pueden cambiar bits en los paquetes

La integridad se puede asegurar con funciones hash no predecibles


8/30

8

Redes Inalmbricas

Ramn Agero Calvo

Problemas de WEP En la fase de autenticacin, se transmite el texto claro y despus el cifrado

RC4(KEY,Reto) Reto = RetoCifrado

RetoCifrado Reto = RC4(KEY,Reto)

Control de acceso

No especificado en el estndar, se suele basar en filtrado por direccin MAC

Proteccin en las respuestas

Un atacante que captura tramas y luego hace mal uso de ellas Distribucin de llaves: Taln de Aquiles de los mecanismos de seguridad

simtricos

La llave tiene que ser conocida por todas las estaciones

Cmo? El estndar no especifica ningn esquema de distribucin

La llave no puede considerarse como secreta, ya que se tienen que introducir enel driver o en el firmware de la tarjeta (el usuario la conoce)


9/30

9

Redes Inalmbricas

Ramn Agero Calvo

Ataques a WEP Pasivo para descifrar texto

Basado en la repeticin de los IV

PARKING LOT ATTACK

Diccionario: con 15 Gb tabla IV y Llave RC4

Activo

Mandar paquetes maliciosos - RC4(X) X Y = RC4(Y) (Requiere conocer elpaquete original)

Tambin se pueden hacer ligeras modificaciones en el mensaje (comandos shell,etc)

Ataque con cmplice

INTERNET


10/30

10

Redes Inalmbricas

Ramn Agero Calvo

Deficiencias WEP pblicas Herramientas

AirSnort: http://airsnort.sourceforge.net/

WEPCrack: http://sourceforge.net/projects/wepcrack/

THC-RUT: www.thehackerschoice.com/releases.php NetStumbler (www.netstumbler.com/)

InSSIDer (www.metageek.net/products/inssider/)

Artculos

Intercepting Mobile Communications: The Insecurity of 802.11," by Nikita Borisov,Ian Goldberg and David Wagner

"Weaknesses in the Key Scheduling Algorithm of RC4," by Scott Fluhrer, ItsikMantin and Adi Shamir


11/30

11

Redes Inalmbricas

Ramn Agero Calvo

Soluciones a la seguridad Redes Privadas Virtuales (VPN)

Remote Authentication Dial In User Services (RADIUS)

IPsec 802.1x

Implementaciones WEP propietarias

802.1x (Potenciado por las compaas)


12/30

12

Redes Inalmbricas

Ramn Agero Calvo

IEEE 802.1x Se basa en el Protocolo de Autenticacin Extensible (EAP, RFC 2284,

RFC3748)

Extensin EAP Over LAN (EAPOL), utilizando servidores RADIUS

Respuesta IdentidadPeticin Identidad

Peticin Acceso RADIUS

Comienzo EAPOL

Challenge Acceso RADIUSPeticin EAP

Respuesta EAP Peticin Acceso RADIUS

Acceso Aceptado RADIUS

xito EAP

Estacin Punto de Acceso Servidor Radius

Intercambio llaves

Fin EAPOL

En funcin del mtodo de

autenticacin empleado


13/30

13

Redes Inalmbricas

Ramn Agero Calvo

Arquitectura EAP en 802.11

EAP

Mtodo EAP

EAPOL

802.1xRadius

EAPOL

802.1xRadius

Eth-II

UDP/IP

Eth-II

UDP/IP

802.11802.11

Supplicant Authenticator Authent icat ion

Server


14/30

14

Redes Inalmbricas

Ramn Agero Calvo

Protocolo EAPOL EAPOL-Start

Le manda el Supplicant cuando se conecta a LAN (no conoce la MAC delAuthenticator)

Es un mensaje dirigido a un grupo [direccin multicast] Hay ocasiones que el Authenticator es conocedor de que una estacin se ha

conectado y puede enviarle proactivamente un paquete previo

EAPOL-Key

Se emplea para que el Authenticator enve al Supplicant llaves una vez que estadmitido en la red

EAPOL-Packet

Encapsula los mensajes EAP [conexin extremo a extremo con el servidor deautenticacin]

EAPOL-Logoff

Para finalizar la conexin


15/30

15

Redes Inalmbricas

Ramn Agero Calvo

Mtodos de autenticacin EAP-SIM y EAP-AKA

Utilizando una tarjeta inteligente (GSM y UMTS, respectivamente)

EAP-TLS (Transport Layer Security)

Sucesor de TLS Autenticacin mutua con certificados PKI

No es muy empleado

EAP-TTLS (Tunneled TSL) y EAP-PEAP

Se establece un tnel TLS

Uso de certificaciones ms restringidas y slo para la red: LDAP, Dominio Windows, etc

Usan diferentes mecanismos de autenticacin TTLS: PAP, CHAP, MS-CHAP, MS-CHAPv2

PEAP: Generic Token Card (GTC), TSL, MSCHAP-v2

LEAP (Lightweight EAP) Propietario CISCO

EAP-FAST

Propietario de CISCO, ms cercano a PEAP y TTLS

Autenticacin: GTC, MS-CHAPv2


16/30

16

Redes Inalmbricas

Ramn Agero Calvo

Qu es WPA? Wireless Protected Access

Solucin adoptada por WiFi para mejorar las prestaciones de la seguridadde 802.11

Anterior al estndar 802.11i

Patch intermedio antes del estndar definitivo

qu incorpora frente a WEP?

Servidor 802.1x para la distribucin de llaves Mejora de RC4 128 bits y vector inicializacin de 48 bits

TKIP (Temporal Key Integrity Protocol)

MIC (Message Integrity Check) Michael


17/30

17

Redes Inalmbricas

Ramn Agero Calvo

Comparativa WEP/WPA

WEP Vs. WPA

Aspecto WEP WPA

Encriptacin Debilidades conocidas Evita los fallosconocidos de WEP

Llaves de 40 bits Llaves de 128 bits

Esttico

la mismallave se usa en toda lared

Llaves dinmicas

por usuario, porsesin, por paquete

Distribucin de llavesmanual

Distribucin de llavesincorporada

Autenticacin Usa WEP, con

debilidades

Sistema de

autenticacin fuerte,con EAP y 802.1x


18/30

18

Redes Inalmbricas

Ramn Agero Calvo

Elementos WPA

Encriptacin: TKIP

Permite que sistemas WEP se actualicen para ser seguros

La llave aumenta de 40 a 104 bits, y es dinmicamente generada por el servidor

de autenticacin; adems se cambia por trama Aumenta el tamao del vector de inicializacin IV (de 24 a 48 bits) y establece

normas de buen uso para seleccionar cada IV

Adems incorpora un TSC (TKIP sequence number) para evitar ataques REPLAY

Se aprovecha para ello el Vector de Inicializacin

Gestin de llaves jerrquico

Llave maestra (generada por el servidor de autenticacin) que puede generar 500trillones de llaves

Integridad: MIC

El MIC se usa para reemplazar el CRC Protege fuertemente los paquetes, para que no sean modificados integridad

Autenticacin: 802.1x + EAP


19/30

19

Redes Inalmbricas

Ramn Agero Calvo

WPA: Jerarqua de llaves

WPA emplea diferentes tipos de llaves a distinto nivel

Pairwise key: se emplea en el intercambio de informacin entre dos terminales

Cada terminal necesita, al menos, la pairwise key para comunicarse con el AP, y ste

necesitar una por cada uno de los terminales Group key: llave que se comparte por un grupo de terminales y se emplea en la

difusin de mensajes broadcast o multicast

Cada tipo de llave tiene asociada su jerarqua correspondiente

Tambin se distingue entre llaves pre-compartidas y basadas en servidor Las ltimas requieren una autenticacin de nivel superior [servidor RADIUS]


20/30

20

Redes Inalmbricas

Ramn Agero Calvo

Jerarqua Pairwise

Comienza con la Llave pairwise maestra (PMK) puede ser preshared oserver-based

En entornos reducidos (oficinas pequeas, hogar) no es prctico montar un

servidor Radius: se usa la solucin PreShared Key (PSK) LA PMK tiene un tamao de 32 octetos

El punto de acceso maneja una PMK diferente con cada terminal

En una solucin con servidor, ste mantiene/genera el PMK

La PMK no se usa directamente para el cifrado!!! Se generan un conjuntode llaves temporales, denominadas PTK (pairwise transient key)

Llave para cifrado de datos (1)

Llave para integridad de datos (2)

Llave para cifrado EAPOL (3) Llave para integridad EAPOL (4)

Generacin

PTK

PMK

Nonce1Nonce2

MAC1

MAC2

(1)

(2)

(3)

(4)


21/30

21

Redes Inalmbricas

Ramn Agero Calvo

Obtencin de las llaves PTK

1. Tanto el AP como la estacin generan susvalores Nonce, sin ninguna relacin entreellos

2. El AP manda su ANNonce a la estacin,utilizando un mensaje EAPOL; el mensaje

va en claro3. La estacin puede generar ya las llaves

temporales, pues conoce toda lainformacin necesaria

4. La estacin manda su SNonce al AP;tambin viaja en claro, pero esta vez seprotege con un MIC, para no poder sermodificado (se utiliza la llave de integridadEAPOL 4) Adems permite que el APconfirme la identidad de la estacin

5. El AP calcula las llaves temporales y,adems, comprueba (a travs del MIC) laidentidad de la estacin

6. El AP le comunica a la estacin que estlisto para empezar a utilizar las llaves; utilizaMIC para que la estacin compruebe suidentidad

7. ACK, se comienzan a emplear las llavespara la encriptacin

Estacin Punto de Acceso

1

3 4

1

2ANNonce

SNonce + MIC5

6

7


22/30

22

Redes Inalmbricas

Ramn Agero Calvo

Llaves de grupo en WPA

Se componen de la GMK (Group Master Key), que genera el AP

Tambin existen las GTK (Group Transient Key)

Llave de cifrado de grupo

Llave de integridad de grupo

El AP manda el GTK a cada estacin tras generar las llaves PTK

Informacin cifrada (mensajes EAPOL)


23/30

23

Redes Inalmbricas

Ramn Agero Calvo

EAPOL-Key

Mensaje definido en WPA para el intercambio de llaves entre el AP(Authenticator) y el terminal mvil (Supplicant)

Tipo Descriptor [1B]

Informacin llave

[2B]

Longitud llave

[2B]

Nmero secuencia [8B]

Nonce [32B]

IV EAPOL Key [16B]

Sequence Start [8B]

Key ID [8B]

Key MIC [8B]

Longitud datos llave

[2B]

Datos l lave

[2B]

Protege frente ataques REPLAY

254 en WPA

IV para la proteccin de mensajes

EAPOL (e.g. GTK)

Valor de secuencia esperado tras el intercambio

de llaves Evita ataques REPLAY

No se usa en WPA

Datos cifrados (e.g. GTK)

Informacin control acerca del mensaje


24/30

24

Redes Inalmbricas

Ramn Agero Calvo

Funcionamiento WPA

Algori tmo

RC4

1011000100001010.1

Datos

Datos ICV

MICHAEL

4 B

Llave Sesin

Mezcla llave Generacin IV

Datos MIC FCS802.11 IV

Claro Cifrado Claro

IV/KeyID4 B

IV ext4 B

ICV

Michael

8 B

La llave se obtiene a partir de ladireccin MAC origen el IV y la llavede la sesin


25/30

25

Redes Inalmbricas

Ramn Agero Calvo

Funcionamiento WPA: Mezcla llaves

Fase 1

Mezcla llaves

Fase 2

Mezcla llaves

Direccin MACTransmisor

LlaveSesin


[Contador Secuencia]

32 msb 16 msb

104 bits

[Llave Secreta]IV

[8b]

D

[8b]

IV

[8b]

Dummy Byte, para

evitar llaves dbiles


26/30

26

Redes Inalmbricas

Ramn Agero Calvo

Formato trama WPA

IV

[4B]

Cabecera MAC

802.11 [24B]

Datos

[?B]

ICV

[4B]

FCS

[4B]

Parte cifrada


[3B]

Res

[5b]

ID

[2b]

IV Ext

[4B]

MIC

[8B]

ExtIV


27/30

27

Redes Inalmbricas

Ramn Agero Calvo

IEEE 802.11i WPA2

Publicado en Junio de 2004, se le conoce como WPA2

La mayor diferencia con WPA es que usa AES como mtodo deencriptacin

No se conocen ataques exitosos a este mtodo Es un mtodo de encriptacin de bloque (no de flujo, como RC4)

AES est basado en el algoritmo de Rijndael

Define un nuevo tipo de red inalmbrica: RSN (Robust Security Network)

Puede estar basada en TKIP o CCMP [por defecto]

Para favorecer la interoperabilidad, tambin establece la red TSN (TransitionalSecurity Network)

Arquitectura 802.11i / WPA2

802.1x para la autenticacin idntica a la empleada por WPA/TKIP CCMP (Counter-Mode/CBC-Mac Protocol) integridad, confidencialidad y

autenticacin


28/30

28

Redes Inalmbricas

Ramn Agero Calvo

Funcionamiento CCMP

KeyID

Packet

Number

Temporary

Key

Trama MACCifrado

CCMP

(MIC)

Incremento

PN

Cabecera

CCMP

NoncePN + SRC@

+ Priority

AADCampos

protegidos MIC

Cabecera MAC

SRC@

Datos


29/30

29

Redes Inalmbricas

Ramn Agero Calvo

Formato CCMP

El formato de su trama es similar al de TKIP

No incorpora ICV Packet Number

El formato de la cabecera CCMP es similar al de TKIP (combinacin IV/IV

Extendido) La principal diferencia es en la implementacin se emplea AES y no RC4

CCMP[8B]

Cabecera MAC802.11 [24B]

Datos[?B]

FCS[4B]

Parte cifrada

PN(0-1)

[2B]

Res

[1B]

ID

[2b]

MIC[8B]

ExtIVRes

[5b]

PN(2-5)

[4B]


30/30

30

Redes Inalmbricas

Ramn Agero Calvo

Seguridad desde un punto de vista prctico

En los puntos de acceso Routers Wi-FI

Filtrado MAC/IP

DHCP

No transmisin de Beacons

Soluciones ms avanzadas, de cortafuegos

WLAN Estandar 802.11 Seguridad Ramón Aguero Calvo

Documents

Transcript of WLAN Estandar 802.11 Seguridad Ramón Aguero Calvo