Upload
fernandodiaz
View
229
Download
0
Embed Size (px)
Citation preview
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
1/30
1
Redes Inalmbricas
Ramn Agero Calvo
Bloque 6.7
WLAN: Estndar IEEE 802.11
Seguridad
Ramn Agero Calvo([email protected])
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
2/30
2
Redes Inalmbricas
Ramn Agero Calvo
Seguridad en 802.11: Introduccin Requerimientos tradicionales de seguridad
Privacidad
Integridad de los datos
Autenticacin
El medio inalmbrico es intrnsecamente ms vulnerable
Se trat de solventar este problema, incluyendo el mtodo WEP (WiredEquivalent Privacy) en la recomendacin 802.11
Sin embargo se ha demostrado como un mtodo poco eficaz, por lo que setienen que buscar otras alternativas
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
3/30
3
Redes Inalmbricas
Ramn Agero Calvo
Qu es WEP? Se trata de un mecanismo de seguridad a nivel de enlace, y no extremo a
extremo
Trata de prevenir eavesdropping de tramas en el canal
Protege las tramas en el medio radio, pero no ms all del punto de acceso
Un segundo objetivo, menos explcito, es controlar el acceso a la red,denegando el acceso a estaciones no autenticadas
Se basa en un algoritmo simtrico, RC4 Se genera una cadena de bits a partir de una llave
Esta se utiliza para cifrar el mensaje original, mediante la operacin lgica XOR
Entre otros requerimientos, tena originalmente el de su sencillez y facilidad
de implementacin
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
4/30
4
Redes Inalmbricas
Ramn Agero Calvo
Algori tmo
RC4
Funcionamiento WEP
1011010...1
40 bits24 bits
64 bits
1011000100001010...1
Secuencia Llave RC4(Trama de datos + ICV)
Datos
Datos ICV
Algoritmo Deteccin
de errores (CRC-32)
4 BYTES
Datos ICV FCS802.11 IV
Claro Cifrado Claro
1. La llave secreta de 40 bits se combina con unvector de inicializacin de 24 bits para formar lallave RC4
2. En paralelo, la trama de datos se protege conun vector de chequeo de integridad (CRC-32)
3. La llave se pasa por el algoritmo RC4, formandouna secuencia de bits de longitud apropiada
4. Esta secuencia se emplea para cifrar lainformacin y el ICV (operacin lgica XOR)
IntegridadConfidencialidad
1
2
3
4
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
5/30
5
Redes Inalmbricas
Ramn Agero Calvo
Formato trama WEP
IV
[4B]
Cabecera MAC
802.11 [24B]
Datos
[?B]
ICV
[4B]
FCS
[4B]
Parte cifrada
Vector Inicializacin
[3B]
Res
[6b]
ID
[2b]Existen 4 posibles llaves
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
6/30
6
Redes Inalmbricas
Ramn Agero Calvo
Autenticacin en WEP Cmo se consigue la autenticacin?
Las estaciones tienen que compartir una llave con el Punto de Acceso
Esta llave se tiene que distribuir (fuera de banda) a todas las estaciones, antes
de afrontar la autenticacin
Estados Estaciones
1. No Autenticado / No Asociado
2. Autenticado / No Asociado
3. Autenticado / Asociado
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
7/30
7
Redes Inalmbricas
Ramn Agero Calvo
Problemas de WEP RC4(KEY,DatosX) RC4 (KEY,DatosY) = DatosX DatosY
La llave cambia con el IV, pero este se transmite en claro en el paquete
Adems, siendo de 24 bits, el mismo IV se usar relativamente pronto: un punto
de acceso cargado, con paquetes de 1500 Bytes constantemente, utilizar todoslos IV en 5 horas slo hay en torno a 17 M de IV
El estndar recoge que es opcional modificar el IV en cada paquete
Debilidad de las llaves RC4 Ataque FMS
Hay ciertas llaves para las que los primeros bytes de la salida del RC4 no soncompletamente aleatorios
El IV es el comienzo de la llave
Adems la primera parte de los datos cifrados se puede adivinar
Una solucin sera descartar los primeros bytes de la salida del RC4
La integridad se basa en un CRC
Seguro para errores arbitrarios, no deliberados
Es lineal, por lo que se pueden cambiar bits en los paquetes
La integridad se puede asegurar con funciones hash no predecibles
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
8/30
8
Redes Inalmbricas
Ramn Agero Calvo
Problemas de WEP En la fase de autenticacin, se transmite el texto claro y despus el cifrado
RC4(KEY,Reto) Reto = RetoCifrado
RetoCifrado Reto = RC4(KEY,Reto)
Control de acceso
No especificado en el estndar, se suele basar en filtrado por direccin MAC
Proteccin en las respuestas
Un atacante que captura tramas y luego hace mal uso de ellas Distribucin de llaves: Taln de Aquiles de los mecanismos de seguridad
simtricos
La llave tiene que ser conocida por todas las estaciones
Cmo? El estndar no especifica ningn esquema de distribucin
La llave no puede considerarse como secreta, ya que se tienen que introducir enel driver o en el firmware de la tarjeta (el usuario la conoce)
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
9/30
9
Redes Inalmbricas
Ramn Agero Calvo
Ataques a WEP Pasivo para descifrar texto
Basado en la repeticin de los IV
PARKING LOT ATTACK
Diccionario: con 15 Gb tabla IV y Llave RC4
Activo
Mandar paquetes maliciosos - RC4(X) X Y = RC4(Y) (Requiere conocer elpaquete original)
Tambin se pueden hacer ligeras modificaciones en el mensaje (comandos shell,etc)
Ataque con cmplice
INTERNET
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
10/30
10
Redes Inalmbricas
Ramn Agero Calvo
Deficiencias WEP pblicas Herramientas
AirSnort: http://airsnort.sourceforge.net/
WEPCrack: http://sourceforge.net/projects/wepcrack/
THC-RUT: www.thehackerschoice.com/releases.php NetStumbler (www.netstumbler.com/)
InSSIDer (www.metageek.net/products/inssider/)
Artculos
Intercepting Mobile Communications: The Insecurity of 802.11," by Nikita Borisov,Ian Goldberg and David Wagner
"Weaknesses in the Key Scheduling Algorithm of RC4," by Scott Fluhrer, ItsikMantin and Adi Shamir
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
11/30
11
Redes Inalmbricas
Ramn Agero Calvo
Soluciones a la seguridad Redes Privadas Virtuales (VPN)
Remote Authentication Dial In User Services (RADIUS)
IPsec 802.1x
Implementaciones WEP propietarias
802.1x (Potenciado por las compaas)
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
12/30
12
Redes Inalmbricas
Ramn Agero Calvo
IEEE 802.1x Se basa en el Protocolo de Autenticacin Extensible (EAP, RFC 2284,
RFC3748)
Extensin EAP Over LAN (EAPOL), utilizando servidores RADIUS
Respuesta IdentidadPeticin Identidad
Peticin Acceso RADIUS
Comienzo EAPOL
Challenge Acceso RADIUSPeticin EAP
Respuesta EAP Peticin Acceso RADIUS
Acceso Aceptado RADIUS
xito EAP
Estacin Punto de Acceso Servidor Radius
Intercambio llaves
Fin EAPOL
En funcin del mtodo de
autenticacin empleado
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
13/30
13
Redes Inalmbricas
Ramn Agero Calvo
Arquitectura EAP en 802.11
EAP
Mtodo EAP
EAPOL
802.1xRadius
EAPOL
802.1xRadius
Eth-II
UDP/IP
Eth-II
UDP/IP
802.11802.11
Supplicant Authenticator Authent icat ion
Server
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
14/30
14
Redes Inalmbricas
Ramn Agero Calvo
Protocolo EAPOL EAPOL-Start
Le manda el Supplicant cuando se conecta a LAN (no conoce la MAC delAuthenticator)
Es un mensaje dirigido a un grupo [direccin multicast] Hay ocasiones que el Authenticator es conocedor de que una estacin se ha
conectado y puede enviarle proactivamente un paquete previo
EAPOL-Key
Se emplea para que el Authenticator enve al Supplicant llaves una vez que estadmitido en la red
EAPOL-Packet
Encapsula los mensajes EAP [conexin extremo a extremo con el servidor deautenticacin]
EAPOL-Logoff
Para finalizar la conexin
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
15/30
15
Redes Inalmbricas
Ramn Agero Calvo
Mtodos de autenticacin EAP-SIM y EAP-AKA
Utilizando una tarjeta inteligente (GSM y UMTS, respectivamente)
EAP-TLS (Transport Layer Security)
Sucesor de TLS Autenticacin mutua con certificados PKI
No es muy empleado
EAP-TTLS (Tunneled TSL) y EAP-PEAP
Se establece un tnel TLS
Uso de certificaciones ms restringidas y slo para la red: LDAP, Dominio Windows, etc
Usan diferentes mecanismos de autenticacin TTLS: PAP, CHAP, MS-CHAP, MS-CHAPv2
PEAP: Generic Token Card (GTC), TSL, MSCHAP-v2
LEAP (Lightweight EAP) Propietario CISCO
EAP-FAST
Propietario de CISCO, ms cercano a PEAP y TTLS
Autenticacin: GTC, MS-CHAPv2
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
16/30
16
Redes Inalmbricas
Ramn Agero Calvo
Qu es WPA? Wireless Protected Access
Solucin adoptada por WiFi para mejorar las prestaciones de la seguridadde 802.11
Anterior al estndar 802.11i
Patch intermedio antes del estndar definitivo
qu incorpora frente a WEP?
Servidor 802.1x para la distribucin de llaves Mejora de RC4 128 bits y vector inicializacin de 48 bits
TKIP (Temporal Key Integrity Protocol)
MIC (Message Integrity Check) Michael
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
17/30
17
Redes Inalmbricas
Ramn Agero Calvo
Comparativa WEP/WPA
WEP Vs. WPA
Aspecto WEP WPA
Encriptacin Debilidades conocidas Evita los fallosconocidos de WEP
Llaves de 40 bits Llaves de 128 bits
Esttico
la mismallave se usa en toda lared
Llaves dinmicas
por usuario, porsesin, por paquete
Distribucin de llavesmanual
Distribucin de llavesincorporada
Autenticacin Usa WEP, con
debilidades
Sistema de
autenticacin fuerte,con EAP y 802.1x
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
18/30
18
Redes Inalmbricas
Ramn Agero Calvo
Elementos WPA
Encriptacin: TKIP
Permite que sistemas WEP se actualicen para ser seguros
La llave aumenta de 40 a 104 bits, y es dinmicamente generada por el servidor
de autenticacin; adems se cambia por trama Aumenta el tamao del vector de inicializacin IV (de 24 a 48 bits) y establece
normas de buen uso para seleccionar cada IV
Adems incorpora un TSC (TKIP sequence number) para evitar ataques REPLAY
Se aprovecha para ello el Vector de Inicializacin
Gestin de llaves jerrquico
Llave maestra (generada por el servidor de autenticacin) que puede generar 500trillones de llaves
Integridad: MIC
El MIC se usa para reemplazar el CRC Protege fuertemente los paquetes, para que no sean modificados integridad
Autenticacin: 802.1x + EAP
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
19/30
19
Redes Inalmbricas
Ramn Agero Calvo
WPA: Jerarqua de llaves
WPA emplea diferentes tipos de llaves a distinto nivel
Pairwise key: se emplea en el intercambio de informacin entre dos terminales
Cada terminal necesita, al menos, la pairwise key para comunicarse con el AP, y ste
necesitar una por cada uno de los terminales Group key: llave que se comparte por un grupo de terminales y se emplea en la
difusin de mensajes broadcast o multicast
Cada tipo de llave tiene asociada su jerarqua correspondiente
Tambin se distingue entre llaves pre-compartidas y basadas en servidor Las ltimas requieren una autenticacin de nivel superior [servidor RADIUS]
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
20/30
20
Redes Inalmbricas
Ramn Agero Calvo
Jerarqua Pairwise
Comienza con la Llave pairwise maestra (PMK) puede ser preshared oserver-based
En entornos reducidos (oficinas pequeas, hogar) no es prctico montar un
servidor Radius: se usa la solucin PreShared Key (PSK) LA PMK tiene un tamao de 32 octetos
El punto de acceso maneja una PMK diferente con cada terminal
En una solucin con servidor, ste mantiene/genera el PMK
La PMK no se usa directamente para el cifrado!!! Se generan un conjuntode llaves temporales, denominadas PTK (pairwise transient key)
Llave para cifrado de datos (1)
Llave para integridad de datos (2)
Llave para cifrado EAPOL (3) Llave para integridad EAPOL (4)
Generacin
PTK
PMK
Nonce1Nonce2
MAC1
MAC2
(1)
(2)
(3)
(4)
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
21/30
21
Redes Inalmbricas
Ramn Agero Calvo
Obtencin de las llaves PTK
1. Tanto el AP como la estacin generan susvalores Nonce, sin ninguna relacin entreellos
2. El AP manda su ANNonce a la estacin,utilizando un mensaje EAPOL; el mensaje
va en claro3. La estacin puede generar ya las llaves
temporales, pues conoce toda lainformacin necesaria
4. La estacin manda su SNonce al AP;tambin viaja en claro, pero esta vez seprotege con un MIC, para no poder sermodificado (se utiliza la llave de integridadEAPOL 4) Adems permite que el APconfirme la identidad de la estacin
5. El AP calcula las llaves temporales y,adems, comprueba (a travs del MIC) laidentidad de la estacin
6. El AP le comunica a la estacin que estlisto para empezar a utilizar las llaves; utilizaMIC para que la estacin compruebe suidentidad
7. ACK, se comienzan a emplear las llavespara la encriptacin
Estacin Punto de Acceso
1
3 4
1
2ANNonce
SNonce + MIC5
6
7
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
22/30
22
Redes Inalmbricas
Ramn Agero Calvo
Llaves de grupo en WPA
Se componen de la GMK (Group Master Key), que genera el AP
Tambin existen las GTK (Group Transient Key)
Llave de cifrado de grupo
Llave de integridad de grupo
El AP manda el GTK a cada estacin tras generar las llaves PTK
Informacin cifrada (mensajes EAPOL)
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
23/30
23
Redes Inalmbricas
Ramn Agero Calvo
EAPOL-Key
Mensaje definido en WPA para el intercambio de llaves entre el AP(Authenticator) y el terminal mvil (Supplicant)
Tipo Descriptor [1B]
Informacin llave
[2B]
Longitud llave
[2B]
Nmero secuencia [8B]
Nonce [32B]
IV EAPOL Key [16B]
Sequence Start [8B]
Key ID [8B]
Key MIC [8B]
Longitud datos llave
[2B]
Datos l lave
[2B]
Protege frente ataques REPLAY
254 en WPA
IV para la proteccin de mensajes
EAPOL (e.g. GTK)
Valor de secuencia esperado tras el intercambio
de llaves Evita ataques REPLAY
No se usa en WPA
Datos cifrados (e.g. GTK)
Informacin control acerca del mensaje
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
24/30
24
Redes Inalmbricas
Ramn Agero Calvo
Funcionamiento WPA
Algori tmo
RC4
1011000100001010.1
Datos
Datos ICV
MICHAEL
4 B
Llave Sesin
Mezcla llave Generacin IV
Datos MIC FCS802.11 IV
Claro Cifrado Claro
IV/KeyID4 B
IV ext4 B
ICV
Michael
8 B
La llave se obtiene a partir de ladireccin MAC origen el IV y la llavede la sesin
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
25/30
25
Redes Inalmbricas
Ramn Agero Calvo
Funcionamiento WPA: Mezcla llaves
Fase 1
Mezcla llaves
Fase 2
Mezcla llaves
Direccin MACTransmisor
LlaveSesin
Vector Inicializacin
[Contador Secuencia]
32 msb 16 msb
104 bits
[Llave Secreta]IV
[8b]
D
[8b]
IV
[8b]
Dummy Byte, para
evitar llaves dbiles
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
26/30
26
Redes Inalmbricas
Ramn Agero Calvo
Formato trama WPA
IV
[4B]
Cabecera MAC
802.11 [24B]
Datos
[?B]
ICV
[4B]
FCS
[4B]
Parte cifrada
Vector Inicializacin
[3B]
Res
[5b]
ID
[2b]
IV Ext
[4B]
MIC
[8B]
ExtIV
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
27/30
27
Redes Inalmbricas
Ramn Agero Calvo
IEEE 802.11i WPA2
Publicado en Junio de 2004, se le conoce como WPA2
La mayor diferencia con WPA es que usa AES como mtodo deencriptacin
No se conocen ataques exitosos a este mtodo Es un mtodo de encriptacin de bloque (no de flujo, como RC4)
AES est basado en el algoritmo de Rijndael
Define un nuevo tipo de red inalmbrica: RSN (Robust Security Network)
Puede estar basada en TKIP o CCMP [por defecto]
Para favorecer la interoperabilidad, tambin establece la red TSN (TransitionalSecurity Network)
Arquitectura 802.11i / WPA2
802.1x para la autenticacin idntica a la empleada por WPA/TKIP CCMP (Counter-Mode/CBC-Mac Protocol) integridad, confidencialidad y
autenticacin
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
28/30
28
Redes Inalmbricas
Ramn Agero Calvo
Funcionamiento CCMP
KeyID
Packet
Number
Temporary
Key
Trama MACCifrado
CCMP
(MIC)
Incremento
PN
Cabecera
CCMP
NoncePN + SRC@
+ Priority
AADCampos
protegidos MIC
Cabecera MAC
SRC@
Datos
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
29/30
29
Redes Inalmbricas
Ramn Agero Calvo
Formato CCMP
El formato de su trama es similar al de TKIP
No incorpora ICV Packet Number
El formato de la cabecera CCMP es similar al de TKIP (combinacin IV/IV
Extendido) La principal diferencia es en la implementacin se emplea AES y no RC4
CCMP[8B]
Cabecera MAC802.11 [24B]
Datos[?B]
FCS[4B]
Parte cifrada
PN(0-1)
[2B]
Res
[1B]
ID
[2b]
MIC[8B]
ExtIVRes
[5b]
PN(2-5)
[4B]
7/25/2019 WLAN Estandar 802.11 Seguridad Ramn Aguero Calvo
30/30
30
Redes Inalmbricas
Ramn Agero Calvo
Seguridad desde un punto de vista prctico
En los puntos de acceso Routers Wi-FI
Filtrado MAC/IP
DHCP
No transmisin de Beacons
Soluciones ms avanzadas, de cortafuegos