SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) ARQUITECTURA DE SEGURIDAD La seguridad de datos (seguridad lógica) se define en función de tres atributos, todos los cuáles se deben mantener para garantizar la seguridad del sistema: I. CONFIABILIDAD (INTEGRIDAD): Se refiere a que la información a transmitir NO sea modificada durante la transmisión. Un interceptor NO debe ser capaz de cambiar un mensaje verdadero por uno falso. II. CONFIDENCIALIDAD información sólo autorizadas. (PRIVACIDAD / ANONIMATO): La puede ser accedida por personas III. CONTINUIDAD OPERATIVA (DISPONIBILIDAD): Se refiere a la operación ininterrumpida en el tiempo del sistema. La tecnología de WLAN tiene diversos fallos en éstos tres atributos, conocidos como “3C”. Desde una perspectiva histórica, los ataques se centran en la confidencialidad. PROBLEMÁTICA DE SEGURIDAD DE LAS WLAN El estándar 802.11 inicial dejaba las redes abiertas a los usuarios NO autorizados y fallaba en la protección de los datos durante la transmisión porque la seguridad no se había diseñado aún. Por diseño, las WLAN son flexibles. Con frecuencia, la flexibilidad es una ventaja; en el caso de las WLAN, sin consideraciones de seguridad apropiadas, la flexibilidad puede ser un gran problema. Los inconvenientes principales son: 1) AUTENTICACIÓN: La autorización de los usuarios depende de su identificación. Para distinguir entre las personas autorizadas para acceder a los datos y las NO autorizadas, se debe proporcionar AUTENTICACIÓN. Uno de los fallos en los primeros protocolos es que autentican el HARDWARE utilizado por los usuarios en lugar de autenticar al propio usuario. No es PC consistente la asociación: USUARIO SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 1 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) 2) CONFIDENCIALIDAD: Mantener el secreto de los datos que viajan a través del enlace inalámbrico es el primer requisito a satisfacer por las WLAN de cualquier tipo. Los datos estarán literalmente presentes en el “aire”, fácilmente accesibles para cualquier persona con un equipo receptor apropiado. 3) CONFIABILIDAD / INTEGRIDAD DE LA RED: Al igual que con la Ethernet cableada, en las WLAN es muy fácil introducir tramas falsas (SPOOFING). Al interceptar el tráfico de una red, se puede obtener la dirección de origen de la trama. Así, un atacante asigna esa dirección a su interfaz y transmite al mismo destino lo que desee, comprometiendo así la integridad del tráfico de la red. 4) DISPONIBILIDAD DE LA RED: Si no se proporciona autenticación, entonces no se puede distinguir entre tramas autorizadas y NO autorizadas. Así un atacante, o varios, pueden introducir una cantidad importante de tramas en el tráfico de la red, provocando la saturación de un punto de acceso con la consecuente denegación de servicio (DoS). MEDIDAS Y PROTOCOLOS DE SEGURIDAD APLICABLES 1. AUTENTICACIÓN Y CONTROL DE ACCESO: Para proteger a las WLAN frente a la amenaza de un acceso no autorizado, se tiene que aplicar un control de acceso sólido. Cuándo una estación inalámbrica se conecta a una WLAN, el control de acceso se puede aplicar de cuatro formas: 1.1 AUTENTICACIÓN DE LA ESTACIÓN: WEP (autenticación trivial). Filtrado de direcciones MAC. 1.2 ASOCIACIÓN: Una vez finalizada la autenticación, las estaciones intentan asociarse con el AP. Generalmente este proceso no incorpora ningún componente de seguridad. 1.3 PROTOCOLOS DE SEGURIDAD DE CAPA DE ENLACE: Cuándo una asociación ha establecido el “puerto” de red virtual en el AP para una estación inalámbrica, se pueden aplicar protocolos de seguridad de la capa de enlace basados en IEEE 802.1X. Las WLAN están abiertas a escuchas a escondidas, por lo que es necesario elegir un protocolo de SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 2 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) autenticación basado en fundamentos criptográficos sólidos. 1.4. PROTOCOLOS DE SEGURIDAD DE CAPA DE TRANSPORTE O DE RED: Se pueden aplicar protocolos de seguridad de capa superior a puntos críticos de la red, además de otras medidas como Firewalls y VPN´s. Existen diferentes protocolos de autenticación, se pueden clasificar desde el más débil hasta el más sólido como sigue: AUTENTICACIÓN DE CLAVE WEP COMPARTIDA: La autenticación de clave compartida se ha construido tan mal que se ha despreciado (se ha recomendado que no se utilice) en 802.11i. FILTRADO DE DIRECCIONES MAC: Cada AP en la red se programa con una lista de direcciones MAC que pueden acceder a la red. De esta manera a cualquier dirección que no figure en la lista se le rechazará su solicitud de asociación. Estas direcciones MAC se pueden duplicar y falsificar con facilidad (con una simple escucha de asociaciones correctas, se pueden obtener direcciones aceptables), pero puede que dispositivos antiguos no ofrezcan nada mejor. WPA PSK (WI-FI PROTECTED ACCESS PRE SHARED KEY, CLAVE WPA COMPARTIDA PREVIAMENTE): Estándar de seguridad basado en el borrador 3 de 802.11i para acelerar la adopción de los protocolos de seguridad 802.11i. WPA 2 se basa en la versión totalmente ratificada de 802.11i. PROTOCOLOS BASADOS EN 802.1X: 802.1X se ha diseñado para identificar y autenticar a los usuarios antes de concederles acceso a la red. Como se basa en el Protocolo de Autenticación Extensible (EAP), 802.1X normalmente se utiliza para hacer referencia a cualquier método de autenticación extensible que se ejecuta sobre EAP. Algún software puede referirse a este protocolo como WPA ENTERPRISE. CONCLUSIÓN 1: El filtrado de direcciones MAC y la autenticación WEP de clave compartida son seguridades muy débiles y no se deben utilizar a no ser que sea SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 3 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) absolutamente necesario, admiten nada mejor. como para dispositivos que no CONCLUSIÓN 2: Es recomendable utilizar WPA con claves compartidas previamente (WPA PSK) sólo para pequeñas redes de bajo riesgo o para redes con usuarios invitados que necesiten la máxima protección. En cualquier otro caso se recomienda utilizar 802.1X. 2. CONFIDENCIALIDAD A TRAVÉS DEL CIFRADO: Luego de determinar correctamente la identidad del usuario y los derechos de acceso, la red debe proteger las transmisiones del usuario ante las posibles escuchas clandestinas. En las WLAN se utilizan diversos protocolos de cifrado: 2.1 WEP ESTÁTICO: Se utiliza una sola clave para asegurar las transmisiones entre el cliente y el AP. En la mayoría de las implantaciones, todas las estaciones utilizan la misma clave, reduciendo así extraordinariamente la seguridad. 2.2 WEP DE CLAVE DINÁMICA: La actualización de claves WEP en cortos intervalos de tiempo proporciona una defensa frente a muchos de los ataques contra el WEP ESTÁTICO. 2.3 PROTOCOLO DE INTEGRIDAD DE CLAVE TEMPORAL (TKIP): Este protocolo forma parte de 802.11i y se diseñó para ofrecer una seguridad incrementada sobre interfaces inalámbricas con asistencia de hardware para RC4. Para asegurar la integridad de la trama, se utiliza TKIP con la comprobación de integridad MICHAEL. TKIP y MICHAEL son un “vendaje” sobre la “herida abierta” que representa WEP. Son más seguros, pero no se puede afirmar “cuánto más” seguros. 2.4 PROTOCOLO CBC-MAC EN MODO CONTADOR (CCMP): Es el segundo componente importante de 802.11i. En lugar de utilizar dos protocolos separados para el cifrado y la integridad, CCMP utiliza nuevas operaciones criptográficas para combinar ambas operaciones en un solo protocolo. Es el protocolo de cifrado MÁS FUERTE actualmente. El hardware incorpora asistencia para AES, que es el código en que se basa CCMP. 2.5 CIFRADO DE CAPA DE RED: En lugar de aplicar protocolos de capa de enlace se pueden considerar los de capa de red, como IPSEC, SSL o SSH. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 4 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) WEP (WIRED EQUIVALENT PRIVACY) La protección frente a la intercepción del tráfico es el dominio de los protocolos criptográficos. Al principio, WEP fue la respuesta a la seguridad inalámbrica. Durante los primeros cuatro años se descubrió la inseguridad de dicho protocolo. Se comentará su funcionamiento detalladamente debido a que las operaciones que controlan las tramas WEP subyacen en las tecnologías más modernas, como TKIP (WEP 2). El diseño WEP es fácil de implementar y requiere una baja capacidad de cálculo. ENTORNO CRIPTOGRÁFICO PARA WEP WEP utiliza el código RC4: código de flujo simétrico (SECRETO – CLAVE). RC4 comparte un número de propiedades con todos los códigos de flujo. En general, un código de flujo utiliza un flujo de bits denominado flujo de clave (KEYSTREAM). El flujo de clave se combina posteriormente con el mensaje para producir el texto cifrado. Para recuperar el mensaje original, el receptor procesa el texto cifrado con un flujo de clave idéntico. RC4 utiliza la operación OR EXCLUSIVO (XOR) para combinar el flujo de clave con el texto cifrado. RC4 MOTOR DE CIFRADO DE WEP La mayoría de los códigos de flujo funcionan aceptando una clave secreta relativamente corta (RC4 trabaja con flujos de 1 byte) expandiéndola en un flujo de clave pseudoaleatorio con la misma longitud del mensaje. CLAVE PRNG CLAVE PRNG FLUJO DE CLAVE FLUJO DE CLAVE DATOS - DATOS XOR - TEXTO CIFRADO SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS XOR - Página 5 de 23 - SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) El generador de números pseudo aleatorios PRNG (Pseudorandom Number Generator) es un conjunto de reglas utilizadas para extender la clave en un flujo de clave. Para recuperar los datos, ambas partes deben compartir la misma clave secreta y utilizar el mismo algoritmo para expandir la clave en una secuencia pseudo aleatoria. Para comprender el funcionamiento de un código de flujo simétrico como RC4, se propone el siguiente ejemplo de una transmisión simplificada de datos. EJEMPLO PRÁCTICO: Se desea transmitir la siguiente trama entre dos estaciones inalámbricas: 0101100010001110 Utilizando el algoritmo de cifrado de flujo RC4, siendo la clave de encriptación simétrica 0111: a) Determinar el flujo de clave secreta que usará RC4 (KEYSTREAM) detalladamente el proceso de transmisión y recepción de la trama asumiendo que no existirán errores durante la transmisión. b) Explicar RESOLUCIÓN: a) Asumiendo que el código del generador de números pseudo aleatorios implica la repetición secuencial de la clave secreta “n” veces hasta obtener una longitud igual a la del mensaje original, entonces el KEYSTREAM se obtiene al repetir cuatro veces la clave secreta (16/4 = 4 repeticiones), obteniendo: KEYSTREAM = 0111011101110111 b) El proceso de transmisión y recepción del mensaje se puede ilustrar gráficamente como sigue: SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 6 de 23 SEGURIDAD TRANSMISOR DATOS Tx 0 1 0 1 1 0 0 0 1 0 0 0 1 1 1 0 EN REDES WIRELESS LAN 802.11 (WLAN) ENLACE RECEPTOR KEYSTREAM FLUJO CIFRADO KEYSTREAM 0 1 1 1 0 1 1 1 0 1 1 1 0 1 1 1 0 0 1 0 1 1 1 1 1 1 1 1 1 0 0 1 0 1 1 1 0 1 1 1 0 1 1 1 0 1 1 1 DATOS Rx 0 1 0 1 1 0 0 0 1 0 0 0 1 1 1 0 En la columna “DATOS Tx” se colocan los datos a transmitir (dato del ejercicio). Aplicando XOR (DATOS Tx; KEYSTREAM) bit a bit, se obtiene la columna “FLUJO CIFRADO”, que representa la trama cifrada a transmitir por el enlace inalámbrico. El equipo receptor recibe la trama cifrada y aplicando bit a bit XOR (FLUJO CIFRADO; KEYSTREAM) se obtiene el mensaje sin cifrar (texto claro). SIEMPRE se asumirá que el KEYSTREAM del equipo transmisor será igual al KEYSTREAM del receptor ya que RC4 es código de cifrado de flujo SIMÉTRICO, lo que implica que la clave secreta debe ser compartida por ambas estaciones. IMPORTANTE: La seguridad de un código de flujo se basa completamente en el carácter aleatorio de la clave, por lo tanto, la selección del PNRG es fundamental en el diseño del protocolo. RC4 pertenece a la firma RSA Security Inc. y actualmente WEP admite claves de al menos 104 bits (antes 40 bits). SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 7 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) OPERACIONES WEP CRIPTOGRÁFICAS WEP proporciona operaciones criptográficas básicas para la seguridad: 1) CONFIDENCIALIDAD: Mediante el cifrado del cuerpo de la trama 2) INTEGRIDAD: Mediante una secuencia de comprobación de integridad PROCESAMIENTO DE DATOS WEP Antes del cifrado, la trama se ejecuta a través de un algoritmo CRC, generando un valor hash, conocido como valor de comprobación de integridad (ICV, Integrity Check Value). El ICV protege el contenido ante los intentos de intrusión asegurándose de que la trama no ha sido modificada durante la transmisión. La trama y el ICV se cifran para que el ICV no se encuentre disponible para atacantes fortuitos. Encabezado IV Carga útil NÚMERO DE CLAVE CRC-32 Carga útil BÚSQUEDA DE CLAVE (4 OPCIONES) 40, 104 O 128 BITS ICV (32 BITS) IV (24 BITS) CLAVE SECRETA DATOS SEMILLA WEP RC4 ENCABEZADO IV NÚMERO DE CLAVE ENCABEZADO WEP CARGA ÚTIL + ICV DATOS TRAMA CIFRADA RESULTANTE SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 8 de 23 FCS SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) Como entrada, WEP requiere tres elementos: 1) La carga útil a proteger, que proviene de la pila del protocolo de la capa superior. 2) Una clave secreta, utilizada en el cifrado de la trama. Dependiendo de la implantación, las claves pueden especificarse como una cadena de bits o un número de clave. WEP permite guardar simultáneamente cuatro claves). 3) Un Vector de Inicialización utilizado junto con la clave secreta en la transmisión de la trama. Tras el procesamiento, WEP proporciona una sola salida: Una trama cifrada preparada para la transmisión sobre una red sin confianza con suficiente información para permitir el descifrado en el equipo receptor. TRANSMISIÓN DE DATOS WEP 1) La trama 802.11 se incluye en la cola de transmisión. Está compuesta por un encabezado y la carga útil. WEP protege sólo la carga útil y deja intacto el encabezado. 2) Se calcula el ICV mediante CRC-32 (Cyclic Redundancy Check). 3) Se determina la SEMILLA WEP (seed). Las claves WEP tienen dos partes: Clave secreta IV (Initialization Vector) RC4 producirá el mismo flujo de clave a partir de la misma clave, por lo que el IV se usa para producir diferentes códigos de flujo para cada trama a transmitir. Así, el IV se añade al comienzo de la clave. 802.11 NO impone ninguna restricción sobre el algoritmo utilizado para la selección de los IVs. Se pueden elegir secuencialmente o crear un algoritmo pseudo-aleatorio. Una mala selección del IV puede comprometer las claves, por lo que altera la seguridad 4) La clave del cifrado de la trama se utiliza como clave RC4 para cifrar la carga útil y el ICV. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 9 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) 5) Con la carga útil cifrada, se establece la trama a transmitir. El encabezado 802.11 se mantiene intacto. Luego se añade el encabezado WEP, que incluye el IV y el número de clave. 6) Se calcula la FCS (Frame Check Sequence, Secuencia de Comprobación de trama). Es una suma de comprobación anexada a las tramas para detectar daño. Si el receptor calcula una FCS diferente a la FCS de la trama, se supone dañada y se descarta. PROCESO DE DESCIFRADO Se produce en orden inverso: 1º) Se valida la FCS para garantizar que la trama recibida no se ha dañado durante el tránsito. 2º) Para descifrar la parte protegida de la trama, el receptor tomará su clave secreta (que es la misma que la del transmisor), añadirá al principio el IV y generará el flujo de la clave (Keystream). Realizando el XOR entre los datos recibidos (carga útil + ICV) y el keystream se obtendrá el mensaje sin cifrar. 3º) Con los datos descifrados, se podrá validar el ICV, calculando CRC-32 entre el encabezado de la trama y la carga útil. 4º) Una vez validado el ICV se pasa el paquete de datos al protocolo de capa superior apropiado. LONGITUD DE LA CLAVE WEP En teoría, WEP se puede utilizar con claves de cualquier longitud ya que RC4 no requiere el uso de un determinado tamaño de clave. La única longitud de clave presente en el estándar es una semilla WEP de 64 bits, de los cuáles 40 bits se comparten como secreto entre las dos estaciones que se están comunicando, más 24 bits del IV. También es común implantar un tamaño de clave superior: WEP 128: 104 bits se comparten en secreto + 24 bits pertenecientes al IV. WEP 152: 128 bits se comparten en secreto + 24 bits pertenecientes al IV. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 10 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) En un sistema criptográfico bien diseñado se puede obtener una seguridad adicional utilizando una clave más larga. Cada bit adicional duplica el número de claves potenciales y, en teoría, dobla la cantidad de tiempo requerido para que un ataque tenga éxito. Generalmente, en el protocolo WEP, los bits adicionales en la clave NO brindan un nivel de seguridad superior. WEP ESTÁTICO VS WEP DINÁMICO IEEE 802.11 no especifica ningún mecanismo de distribución de claves determinado para su uso con WEP. Existen dos estrategias para la gestión de claves: 1) ESTÁTICA: Se utiliza una única clave para todas las estaciones de la red, durante un período de tiempo. Dada la complejidad de la administración de la distribución de este tipo de claves, normalmente el período de vigencia de la clave es extenso, lo cuál compromete la seguridad de la red. Por lo tanto no se recomienda emplear esta estrategia. 2) DINÁMICA: Cada estación utiliza dos claves: una de ASIGNACIÓN y una PREDETERMINADA. La clave de asignación se comparte entre la estación y el punto de acceso y se utiliza para proteger las tramas UNIDIFUSIÓN. La clave predeterminada se comparte por todas las estaciones para proteger las tramas de DIFUSIÓN y MULTIDIFUSIÓN. WEP de clave dinámica ofrece ventajas significativas sobre las soluciones de WEP con clave estática. La más importante se refiere a que reduce el ámbito de cada clave. Las claves se utilizan con menos frecuencia y se reduce el resultado de un compromiso de la clave utilizándola para proteger menos tráfico. Otra ventaja es que a intervalos periódicos las claves se actualizan en el punto de acceso. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 11 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) ENCAPSULADO WEP Cuándo se utiliza WEP, el cuerpo de la trama se expande en 8 bytes; 4 se utilizan para un encabezado IV del cuerpo de la trama y 4 para el ICV. 1 BYTE 3 BYTES ENCABEZADO IV RELLENO 4 BYTES ID CLAVE DATOS ICV FCS PROBLEMAS DEL PROTOCOLO WEP 1) PROPIEDADES CRIPTOGRÁFICAS DE RC4 A) El principal punto débil en cualquier sistema criptográfico basado en un código de flujo es la REUTILIZACIÓN DEL FLUJO DE CLAVES. La principal desventaja deriva de la siguiente propiedad: XOR(Texto claro) = XOR(Texto cifrado) De esta forma, los atacantes pueden recopilar mucha información cifrada con la misma clave y luego obtener dicha clave. Para ayudar a evitar la reutilización del flujo de la clave, WEP utiliza el IV para cifrar las distintas tramas con claves RC4 distintas. Sin embargo, el IV forma parte del encabezado del paquete y NO se cifra, por lo que un atacante puede obtener suficiente información de los paquetes cifrados con la misma clave RC4. B) CRC no es criptográficamente segura. Los cálculos de CRC son matemáticos (HASH LINEAL) y es fácil predecir como influye la alteración de un bit en el cálculo de la CRC, por lo tanto un atacante podría modificar la trama y conseguir que la CRC esté OK. Este tipo de ataque se conoce habitualmente como BIT FLIPPING (Inversión de bits). Las comprobaciones de integridad criptográficamente seguras se basan en funciones hash que son impredecibles. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 12 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) 2) FALLOS DEL DISEÑO DEL SISTEMA WEP A) La administración problema. B) Los 40 bits compartidos en secreto son insuficientes para brindar un nivel de seguridad aceptable. C) Se puede atacar al AP para descifrar tramas; es decir se puede atacar a la estación mediante el trucaje del punto de acceso en la retransmisión de tramas cifradas por WEP. Las tramas recibidas por el AP se podrían descifrar y posteriormente retransmitir a la estación del atacante. Si ésta utiliza WEP, el AP cifrará la trama con la clave del atacante. manual de claves es un grave Un nivel de seguridad superior se logra utilizando WEP DINÁMICO con un tiempo de recifrado entre 5 y 15 minutos. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 13 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) AUTENTICACIÓN DE USUARIOS CON IEEE 802.1X 802.1X es el protocolo de autenticación (opcional) actualmente en las WLAN. WEP autentica a las ESTACIONES que poseen una clave criptográfica; en cambio, 802.1X permite autenticar a USUARIOS en lugar de a máquinas y se puede utilizar para asegurar que los usuarios se conecten a redes legítimas y autorizadas en lugar de a redes “falsas” que intentan robar credenciales. 802.1X es una adaptación IEEE del Protocolo de Autenticación Extensible del IETF (EAP, IETF´s Extensible Authentication Protocol). EAP es un protocolo de estructura; en lugar de especificar CÓMO se deben autenticar los usuarios, EAP permite definir distintos métodos y subprotocolos que ejecuten la transición de la autenticación. Los métodos EAP pueden tener distintos objetivos y, por consiguiente, normalmente utilizan muchos métodos diferentes para autenticar a los usuarios, dependiendo de la situación. PROTOCOLO DE AUTENTICACIÓN EXTENSIBLE (EAP) 802.1X se basa en EAP. EAP es un simple encapsulado que se puede ejecutar sobre cualquier capa de enlace pero se ha implantado con mayor frecuencia en enlaces PPP. La arquitectura EAP básica se diseñó para ejecutarse sobre cualquier capa de enlace y utilizar cualquier cantidad de métodos de autenticación. MÉTODOS DE AUTENTICACIÓN TLS AKA/SIM TOKEN CARD EAP CAPAS DE ENLACE PPP 802.3 SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS 802.11 Página 14 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) FORMATO DEL PAQUETE EAP ENCABEZADO CÓDIGO IDENTIFICADOR LONGITUD DATOS 1) CÓDIGO: Identifica el tipo de paquete EAP. Se utiliza para la interpretación del campo DATOS. 2) IDENTIFICADOR: Contiene un entero sin enlazar peticiones con sus respuestas. signo para 3) LONGITUD: Es el número de bytes del paquete entero. 4) DATOS: Es variable dependiendo del tipo de paquete EAP. PETICIONES Y RESPUESTAS EAP Los intercambios EAP se componen de peticiones y respuestas. El autenticador envía peticiones al sistema que está buscando el acceso y, basándose en las respuestas, puede conceder o denegar los accesos. LOS SISTEMAS DEL CLIENTE SÓLO ENVÍAN PAQUETES DE RESPUESTA CUANDO EXISTE UNA PETICIÓN. El formato de los paquetes de petición y respuesta es el siguiente: CÓDIGO IDENTIFICADOR LONGITUD 1) CÓDIGO: Identifica el tipo 1 = PETICIÓN ; 2 = RESPUESTA TIPO de TIPO - DATOS paquete 2) IDENTIFICADOR: Contiene un entero sin enlazar peticiones con sus respuestas. signo EAP. para 3) LONGITUD: Es el número de bytes del paquete entero. 4) TIPO: Indica el tipo de petición o respuesta. Cada paquete utiliza un ÚNICO tipo. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 15 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) 5) TIPO – DATOS: Campo variable que se interpreta según las reglas de cada tipo. Como petición inicial, el autenticador normalmente en el campo TIPO utiliza IDENTIDAD. En el paquete respuesta se establece que: TIPO = respuesta/identidad y TIPO – DATOS = “nombre de usuario”. ARQUITECTURA Y NOMENCLATURA DE 802.1X 802.1X define autenticación: tres componentes para el proceso de 1) SOLICITANTE (SUPPLICANT): Es la máquina de usuario final que busca el acceso a los recursos de la red. 2) AUTENTICADOR (AUTHENTICATOR): Controla el acceso a la red. 3) SERVIDOR DE AUTENTICACIÓN RADIUS: Es el encargado de procesar realmente toda petición entrante. SOLICITANTE EAPOL AUTENTICADOR RADIUS SERVIDOR RADIUS El intercambio de autenticación se lleva a cabo entre el SOLICITANTE y el SERVIDOR DE AUTENTICACIÓN, actuando el AUTENTICADOR sólo como un puente. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 16 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) EJEMPLO DE INTERCAMBIO 802.1X EN 802.11 Los intercambios EAPOL son muy parecidos a los intercambios EAP. La principal diferencia es que los solicitantes pueden emitir tramas EAPOL-START para activar el intercambio EAP y pueden utilizar mensajes EAPOL-LOGOFF para desautorizar al puerto cuándo la estación termine de usar la red. Considérese el siguiente ejemplo de autenticación en una WLAN: SOLICITANTE AUTENTICADOR SERVIDOR RADIUS PETICIÓN ASOCIACIÓN RESPUESTA ASOCIACIÓN EAPOL EAPOL START PETICIÓN IDENTIDAD RESPUESTA DE IDENTIDAD RADIUS ACCESO PETICIÓN PETICIÓN MÉTODO EAP RADIUS ACCESO DESAFÍO RESPUESTA MÉTODO EAP RADIUS ACCESO PETICIÓN ÉXITO EAP RADIUS ACCESO ACEPTADO EAPOL KEY / DHCP TRANSFERENCIA DE DATOS - EAPOL LOGOFF SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 17 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) 802.11i: REDES DE SEGURIDAD ROBUSTAS, TKIP / CCMP 802.1X proporciona una estructura para la AUTENTICACIÓN y ADMINISTRACIÓN DE CLAVES, controlando así dos de los fallos importantes en el diseño WEP. El otro fallo importante que quedaba por controlar era la falta de CONFIDENCIALIDAD proporcionada por el cifrado WEP. El grupo de tareas “I” del grupo de trabajo 802.11 fue el encargado de solucionar el cifrado de la capa de enlace. 802.11i (estándar ratificado en 2004) se compone principalmente de dos nuevos protocolos de cifrado de capa de enlace: TKIP (Temporal Key Integrity Protocol): Se diseñó para reforzar la seguridad lo máximo posible en el hardware anterior a 802.11i. CCMP (Counter Mode with CBC-MAC Protocol): Es un Nuevo protocolo de cifrado diseñado desde cero para ofrecer el máximo nivel de seguridad posible. PROTOCOLO DE INTEGRIDAD DE CLAVES TEMPORALES (TKIP) TKIP conserva la arquitectura y las operaciones básicas de WEP ya que se diseñó para ser una actualización de software para soluciones basadas en WEP. Inicialmente TKIP se denominó WEP 2, pero cuándo se demostraron los fallos de WEP, se le cambió el nombre para diferenciarlo. DIFERENCIAS ENTRE TKIP Y WEP JERARQUÍA Y ADMINISTRACIÓN AUTOMÁTICA DE CLAVES: En lugar de adoptar la solución WEP de una sola clave maestra, TKIP utiliza varias claves maestras. Las claves que se utilizan finalmente para cifrar las tramas derivan de claves maestras. TKIP se desarrolló con operaciones de administración de claves para que las claves maestras se puedan actualizar de forma segura. CLAVES POR TRAMAS: Aunque TKIP conserva el cifrado de tramas basado en RC4 de WEP, calcula una clave RC4 SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 18 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) para cada trama (desde la clave maestra) para mitigar los ataques frente a las claves WEP vulnerables. El proceso mediante el cuál se deduce una clave única para cada clave se denomina MEZCLA DE CLAVES. CONTADOR DE SECUENCIAS: Cada trama se numera secuencialmente. Así se pueden identificar las tramas fuera de orden y anular los ataques de captura de tráfico válido y su posterior retransmisión correspondiente. NUEVA COMPROBACIÓN DE INTEGRIDAD DEL MENSAJE: TKIP reemplaza el CRC (hash lineal) de WEP por un algoritmo de valor hash para la comprobación de integridad de los mensajes (MIC, Message Integrity Check) denominado Michael. Los valores de hash más robustos facilitan la detección de falsificaciones. Asimismo, la dirección de origen se encuentra protegida por el MIC haciendo posible la detección de tramas falsificadas que “dicen ser” de un determinado origen. Michael puede verse comprometido en un ataque activo por lo que TKIP incluye contramedidas para limitar el daño de un ataque activo. TKIP se utiliza normalmente junto con los protocolos de administración de claves basados en 802.1X, que permiten que las claves maestras de TKIP se calculen a partir de las transacciones de autenticación. PROTOCOLO DE MODO DE CONTADOR CON CBC-MAC (CCMP) Es un protocolo de seguridad de capa de enlace basado en AES (Advanced Encryption Standard). AES es un código de bloque estándar de cifrado avanzado que puede funcionar con muchas longitudes de clave y tamaños de bloque. 802.11i acuerda el uso de AES con claves de 128 bits y bloques de 129 bits. Observación: No es objetivo de este trabajo explicar los fundamentos de este protocolo de cifrado. Para acceder a una información detallada del protocolo ver referencias bibliográficas. SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 19 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) GLOSARIO ACK: Acknowledgment (Acuse de recibo) AES: Advanced Encryption cifrado avanzado) Standard (Estándar de AP: Access Point (Punto de acceso) AS: Authentication Server (Servidor de autenticación) CCMP: Counter mode with CBC-MAC (Modo de contador con CBC-MAC) CRC: Cyclic Redundancy Redundancia Cíclica) CSMA/CA: Carrier Collision Avoidance Sense Check (Comprobación Multiple Access de With EAP: Extensible Authentication Protocol (Protocolo de Autenticación Extensible) FCS: Frame Check Sequence (Secuencia de Comprobación de Trama) ICV: Integrity Check Value (Valor de Comprobación de Integridad) IV: Initialization Vector (Vector de Inicialización) LLC: Logical Link Control (Control de Enlace Lógico) MAC: Médium Access Control (Control de Acceso al Medio) MIC: Message Integrity Code (Código de Integridad de Mensaje) PSK: Pre-Shared Key (Clave Compartida Previamente) RADIUS: Remote Authenticated Dial-In User Service (Servicio de Autenticación Remota Autenticada) de SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS conexión Telefónica Página 20 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) TKIP: Temporal key Integrity Protocol (Protocolo de Integridad de Clave Temporal) WEP: Wired Equivalent Privacy (Privacidad Equivalente al cableado) WI-FI: Wireless Fidelity (Antes, Ethernet Compatibility Alliance) WECA, Wireless WPA: WI-FI Protected Access (Acceso WI-FI protegido) SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 21 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) BIBLIOGRAFÍA BÁSICA RECOMENDADA SEGURIDAD PARA COMUNICACIONES INALÁMBRICAS Randall K. Nichols Panos C. Lekkas Editorial Mc Graw Hill REDES WIRELESS 802.11 Matthew S. Gast Editorial O`Reilly Wireless. Los mejores trucos Flickenger Rob Editorial Anaya Multimedia Protección de la información. Diseño de criptosistemas informáticos Rodríguez Prieto A. Editorial Parainfo SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 22 de 23 SEGURIDAD EN REDES WIRELESS LAN 802.11 (WLAN) BIBLIOGRAFÍA AVANZADA Y APLICATIVOS Información del sistema criptográfico AES aplicado a WINZIP: www.winzip.com/aes_info.htm Software libre de encriptación: Sourceforge.net/softwaremap/trove_list.php Versión de prueba de software de encriptación basado en AES: www.totalcmd.net/plugring/aes.html Scanner WI-FI: www.eeye.com/html/resources/downloads/wifi/index.html Software de crackeo WEP: WEPCRACK http://wepcrack.sourceforge.net/ Aplicativos para una red WLAN: http://www.eeye.com/html/resources/downloads/index.html Monitor de una red Wireless: http://www.passmark.com/products/wirelessmonitor.htm Criptografía y seguridad en computadoras López, Lucena Manuel Seguridad en Redes Inalámbricas 802.11 Universidad Icesi. Juan Manuel Madrid Molina SISTEMAS DE TRANSMISIÓN Y REDES INALÁMBRICAS Página 23 de 23