PDF de programación - Seguridad en redes wireless

gg

Seguridad en
Seguridad en
Redes Wireless
Redes
Wireless

Daniel Calzada del Fresno
Daniel Calzada del Fresno

1

Desarrollo
Desarrollo

• WEP
• 802.11i

Fases operacionales de la 802 11i
– Fases operacionales de la 802.11i.
– Fase 1: Acuerdo sobre política de seguridad.
– Fase 2: Autentificación.
Fase 2: Autentificación
– Fase 3: 4-way-handsake. Group key handsake.
– Fase 4: Cifrado TKIP Cifrado CCMP
– Fase 4: Cifrado TKIP. Cifrado CCMP.
– Definiciones :WPA, WPA-PSK, WPA2, WPA2-PSK.
– Debilidades
– Debilidades.

2

Posibles configuraciones
Posibles configuraciones

Red abierta: sin seguridad.
WEP (Wired Equivalent Privacity)
WEP (Wired Equivalent Privacity)
WPA (Wi-Fi Protected Access)
d K )
WPA-PSK (WPA con Preshared Key)
WPA PSK (WPA
WPA2 (Wi-Fi Protected Access 2)
WPA2-PSK (WPA2 con Preshared Key)

P

h

3

Cifrado en WIFI
Cifrado en WIFI

NIVELES
NIVELES

SUPERIORES

LLC 802.2
MAC 802.11
MAC 802.11

DSSSDSS

NIVELES

S
O S
SUPERIORES

LLC 802 2
LLC 802.2

Cifrado
Cifrado

MAC 802.11

DSSSDSS

El cifrado p ede ser considerado como na capa incorporada por
El cifrado puede ser considerado como una capa incorporada y por
encima de la capa MAC. Es transparente para las capas superiores.

4

WEPWEP
t P iP i
E i
Wi dWi d E i
t
WiredWired Equivalent
Equivalent Privacy
Privacy

l
l

5

Asociación. Con WEP.
Asociación. Con WEP.

WEP

Petición de Prueba
Respuesta a Prueba

WEP

PrePre--asociación
asociación

Petición de autentificación de sistema

abierto
abierto

Aceptación de autentificación de sistema

abierto

Petición de Asociación

Nonce

( l
ió )
(aleatorio para que lo cifre la estación)

if

t

t

i

l

l

i
i

A
ió
ió
Asociación
A
Asociación
MACMAC--STA MAC
ID de sesión
ID de sesión

STA MAC--APAP

Nonce cifrado con la clave WEP

Aceptación de Asociación

p

Datos

6

PrePre--asociación
asociación

Verificado
Verificado
Asociación
Asociación
Asociación
Asociación
MACMAC--STA MAC
ID de sesión
ID de sesión

STA MAC--APAP

Cifrado y Descifrado WEP
Cifrado y Descifrado WEP

CIFRADO, T: ORX DE M (
CIFRADO, T: ORX DE M (mensaje

mensaje) y K (

) y K (Keystream
Keystream))

M 0 1 1 1 0 0 0 1 1 1 0 0 1 0 1 1 0 0 1 1 0 1 1 0
K 1 0 1 0 1 0 0 0 1 1 1 0 1 0 1 0 1 0 0 1 0 0 1 1
T 1 1 0 1 1 0 0 1 0 0 1 0 0 0 0 1 1 0 1 0 0 1 0 1

) y K (K
mensaje cifrado) y K (
DESCIFRADO M: ORX DE T (
))
if d ) y K (
DESCIFRADO, M: ORX DE T (mensaje cifrado
DESCIFRADO M: ORX DE T (
DESCIFRADO, M: ORX DE T (
) y K (Keystream
Keystream))
K
if d
T 1 1 0 1 1 0 0 1 0 0 1 0 0 0 0 1 1 0 1 0 0 1 0 1
K 1 0 1 0 1 0 0 0 1 1 1 0 1 0 1 0 1 0 0 1 0 0 1 1
M 0 1 1 1 0 0 0 1 1 1 0 0 1 0 1 1 0 0 1 1 0 1 1 0

t
t

j
j

7

Cifrado WEP
Cifrado WEP

IV (24 bits)

Clave RC4 (40/104 bits)

Concatenado

Clave WEP = WEP IV || RC4 key
Clave WEP
WEP IV || RC4 key

Trama en claro

Datos (MPDU)

ICV

XOR

Keystream

RC4

Cifrado WEP con 64/128 bits de clave

Cabecera IV / KeyID

4 oct.

Datos (MPDU)

ICV
4 oct.

FCS
4 oct

8

Descifrado WEP
Descifrado WEP

IV (24 bits)

Clave RC4 (40/104 bits)

Concatenado

Clave WEP = WEP IV || RC4 key
Clave WEP
WEP IV || RC4 key

Trama cifrada

Datos (MPDU)

ICV

XOR

Keystream

RC4

Descifrado WEP con 64/128 bits de clave

Cabecera IV / KeyID

4 oct.

Datos (MPDU)

ICV
4 oct.

FCS
4 oct

9

WEP y los Initialization Vectors
WEP y los Initialization Vectors

40/104 bits de clave WEP} 64/128 bits RC4

+ }

RC4

24 bits IV

IV: Initialization Vector -> 224= 16777216

Cabecera
Cabecera

IV (4 oct)
IV (4 oct)

Datos (MPDU)
Datos (MPDU)

ICV
ICV

FCS
FCS

claro
claro

cifrado
cifrado

claro
claro

IV (24)

Rell.(6) ID (2)

Identificador de clave

10

Debilidades del WEP
Debilidades del WEP

• Las debilidades del WEP son múltiples.
Su rotura se produce en unos pocos
• Su rotura se produce en unos pocos
minutos.
• NO SE DEBE CONFIGURAR NUNCA.
NO SE DEBE CONFIGURAR NUNCA

11

802.11i
802.11i

12

802.11i (1)
802.11i (1)

Ju o de 00

• Junio de 2004.
• Proporciona autentificación y confidencialidad.
• Separa autentificación de usuario del cifrado de
Separa autentificación de usuario del cifrado de
mensajes.

p

• Proporciona una arquitectura robusta y escalable.
• Útil en redes domésticas y empresariales.
• RSN: Robust Security Network.
• TSN: Transitional Security Network. (Etapa

y

transitoria).

q

y

13

802.11i (2)
802.11i (2)

• Utiliza autenticación 802.1x, distribución de claves y

nuevos mecanismos de integridad y privacidad
nuevos mecanismos de integridad y privacidad.

• TKIP (Temporal Key Integrity Protocol). WEP con

una clave distinta por cada trama. Dispositivos
una clave distinta por cada trama. Dispositivos
antiguos que soportaban WEP, con actualización de
firmware.

• CCMP (Counter-mode con Cipher block chaining

Messsage authentication code Protocol).
AES(128 128)
AES(128,128) con una clave por trama.

t

l

• Soporta redes AdHoc.

14

Redes Modo enterprise y SOHO
Redes Modo enterprise y SOHO

• Con autentificación.

Redes empresariales (Enterprise)
Redes empresariales (Enterprise)
No se pueden poner todos los identificadores de
usuario y claves en cada uno de los numerosos
puntos de acceso.

Es necesario un servidor de autentificación (RADIUS).
S
Se ponen dos o más servidores, por redundancia.

d d

id

i

á
• Sin autentificación.

d

SOHO (Small Office Home Office).
Pequeñas oficinas e instalaciones domésticas.
No es preciso servidor de autentificación. No se utiliza
la autentificación (Pre Shared Key == PSK). Los pocos
usuarios de la red, utilizan la misma PSK.
usuarios de la red, utilizan la misma PSK.

15

Fases de 802.11i (Enterprise)
Fases de 802.11i (Enterprise)

802 1x Clients
802.1x Clients

Authenticator
Authenticator

Acuerdo de política de

Seguridad

Fase 1

Authentication

Server

Autentificación 802.1x

Fase 2

Distribución MK por RADIUS
Distribución MK por RADIUS

Derivación y distribución de

clave

Confidencialidad e integridad

de datos RSNA

Fase 3

Fase 4

16

Fases de 802.11i (SOHO)
Fases de 802.11i (SOHO)

Clients
Clients

Fase 1

Acuerdo de política de Seguridad

Authenticator
Authenticator

NO EXISTE

Fase 2

Fase 3
Fase 3

NO EXISTE

Derivación y distribución de clave

Fase 4

Confidencialidad e integridad de datos RSNA

17

SOHOSOHOSOHOSOHO

(Small Office Home Office)
(Small Office Home Office)
(Small Office Home Office)
(Small Office Home Office)
Redes sin autentificación
Redes sin autentificación

18

Fases: Terminología
Fases: Terminología

Fase 1: Acuerdo sobre la política de seguridad Tanto el
• Fase 1: Acuerdo sobre la política de seguridad. Tanto el
suplicante (Estación) como el autenticador (Punto de Acceso) se
preasocian estableciendo una negociación de la política de
seguridad que posteriormente les va a llevar a una asociación
seguridad que posteriormente les va a llevar a una asociación
completa.

• Fase 2: En redes tipo SOHO, ésta fase no existe.
• Fase 3: 4-Way Handsake. Tanto el suplicante como el

3

autentificador calculan y derivan unas claves para la
confidencialidad. Estas claves sólo son válidas para esta sesión.
l
Si
Si es rota la asociación, por cualquier causa, al volver a
establecerla se realiza un nuevo cálculo de claves.

ió

t

l

i

l

i

l

• Fase 4: Se establece la RSNA (RSN Association). Se produce el

i t
intercambio cifrado de información.

if d d i f

ió

bi

19

802.11i: Fase 1
802.11i: Fase 1 (Acuerdo sobre política de Seguridad
(Acuerdo sobre política de Seguridad))

802 1x Clients
802.1x Clients

Authenticator
Authenticator

Petición de sonda

Respuesta sonda +

RSN IE (802.1x, PSK, TKIP, CCMP Ucast CCMP Mcast)

Autentificación de sistema abierto

Autentificación de sistema abierto - Éxito

Petición de asociación +

RSN IE(STA request, 802.1x, PSK, TKIP, CCMP Ucast CCMP Mcast)

Respuesta de asociación - Éxito

p

20

Fase 1: Terminología
Fase 1: Terminología

RSN IE (Robust Security Network Information Element).
• RSN IE (Robust Security Network Information Element).
– El PA declara en esta trama los parámetros de seguridad para los
que está configurado. Por ejemplo soporta TKIP o CCMP. Utiliza
802 1x o PSK
802.1x o PSK.

• La autentificación de sistema abierto es una asociación en las
tablas de la estación de su dirección MAC con la del PA. En el
PA
PA es idéntico. Es una preasociación.

idé ti

ió

E

i

• La petición de asociación de la estación incluye en su IE los

parámetros con los que se asocia, aceptando los que le indicó el
p
PA.

q

p

q

,

• La respuesta del PA acepta la asociación de la estación.

21

802.11i: Fase 3
802.11i: Fase 3 (4(4--Way Handshake)
Way Handshake)

PMK
Snonce

802 1x Clients
802.1x Clients

EAPoL-Key: Anonce + AP RSN IE

Authenticator
Authenticator

PMK

Anonce

Calcula la PTK
Calcula la PTK

Autenticación de mensaje
usando la KCK

EAPoL-Key: Snonce + MIC + STA RSN IE

Calcula la PTK inicializa la
Calcula la PTK, inicializa la
GMK y calcula la GTK

Sincronización entre
Sincronización entre
entidades antes de la
encriptación

+

Instalación
PTK y GTK

EAPoL-Key: MIC + GTK cifrada + AP RSN IE

EAPoL-Key: ACK + MIC

802.1x puerto controlado abierto
802.1x puerto controlado abierto

GTK cifrada
usando la KEK
usando la KEK

Instalación
PTK y GTK

PTK = PRF-X (PMK, <<expansión de clave por pares>>, Min(AP_Mac, STA_Mac) ||

Max(AP Mac STA Mac) || Min (ANonce SNonce) || Max (Anonce Snonce))
Max(AP_Mac, STA_Mac) || Min (ANonce, SNonce) || Max (Anonce, Snonce))

PRF-X es una Pseudo Random Function que genera X bits de salida

22

Fase 3: Descripción
Fase 3: Descripción

• El suplicante y el autenticador tienen ambos la PMK (256 bits) (derivada

de la MK de la fase anterior o de la PSK). En la primera trama el PA
envía un Anonce (aleatorio) más una repetición del RSN IE (información
envía un Anonce (aleatorio), más una repetición del RSN IE (información
del acuerdo de política de seguridad).
La estación calcula la PTK (Pairwise Transient Key), por medio de una
función pseudoaleatoria.
– Esta PTK tiene una longitud de 512 bits en el caso