Todo

Saulo. Net > Publicaciones > de investigación > Artículo Protocolos de seguridad en redes inalámbricas Saulo Barajas Doctorado en Tecnologías de las Comunicaciones Universidad Carlos III de Madrid E-mail: correo at saulo. net Abstract. Security is a critical issue in wireless networks because it’s easy that an eavesdropper listen to the packets transmitted. The IEEE 802. 11 standard includes Wired Equivalent Privacy (WEP) to secure link-layer communications. However, this method has been broken using several ways.

This article explains the most important security flaws of WEP and proposes new alternatives to his protocol. The protocol develo ed to re 802. 1 (WPA2). aut expected in June 200 it is _ Wi-Fi called WPA, whi 1 Introducción a WEP, OF17 to View lace WEP will be IEEE this new standard, specification from 02. 1 li technologies. La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red.

Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un ugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la Swipe to page la información, ni siquiera se dejan huellas que posibiliten una identificación posterior. El canal de las redes Inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida.

Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet eben tenerse también para las redes inalámbricas. Conscientes de este problema, el IEEE [1] publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802. 11 [2]. Pero WEP, desplegado en numerosas redes WI_AN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible.

Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802. lli [3], que permitiera dotar de suficiente seguridad a las redes WLAN. El problema de 802. 1 li está siendo su tardanza en ver la luz. Su aprobación se espera para junio de 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación (por ejemplo, mediante IPSec).

La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN. De hecho, desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN. De hecho, como hemos comentado antes, ambos canales de transmisión deben considerarse inseguros. ero la tecnología VPN es quizás demasiado costosa en recursos para su implementación en redes WLAN. No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi [4] decidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802. li, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA Este artículo analiza las características de los mecanismos de seguridad WEP, WPAy WPA2 (IEEE 802. 11 i). En el momento de escribir estas líneas, WPA2 todavía no ha visto la luz por lo que la ocumentación relacionada es todavía muy escasa. 2 WEP 2. 1 Características y funcionamiento WEP (Wired Equivalent Privacy, privacidad equivalente al cable) es el algoritmo opcional de seguridad incluido en la norma IEEE 802. 1 LOS objetivos de WEP, según el estándar, son proporcionar confidencialidad, autentificación y control de acceso en redes WLAN [2, S6. 1. 2]. Estudiamos a continuación las principales características de WEP. WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a scribir la clave manualme no de los elementos de red. Esto genera va que obliga a escribir la clave manualmente en cada uno de los elementos de red.

Esto genera vanos inconvenientes. Por un lado, la clave está almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribución manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría de ocasiones, que la clave se cambie poco o nunca. El algoritmo de encriptación utilizado es RC4 con claves (seed), según el estándar, de 64 bits. Estos 64 bits están formados por 24 bits correspondientes al vector de inicialización más 40 bits de la clave secreta.

Los 40 bits son los que se deben distribuir manualmente. El vector de inicialización (IV), en cambio, es generado dinámicamente y debería ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con claves diferentes para impedir que un posible atacante pueda capturar suficiente tráfico cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lógico, ambos extremos deben conocer tanto la clave secreta como el IV. Lo primero sabemos ya ue es conocido puesto que está almacenado en la configuración de cada elemento de red.

El IV, en cambio, se genera en un extremo y se envía en la propia trama al otro extremo, por lo que también será conocido. Observemos que al viajar el IV en cada trama es sencillo de interceptar por un posible atacante. El algoritmo de encriptación de WEP es el siguiente: 1. Se calcula un CR posible atacante. 1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el método que propone WEP para garantizar la integridad de los mensajes (‘CV, Integrity Check Value). 2. Se concatena la clave secreta a continuación del IV formado el eed. 3.

El PRNG (Pseudo-Random Number Generator) de RC4 genera una secuencia de caracteres pseudoaleatorios (keystream), a partir del seed, de la misma longitud que los bits obtenidos en el punto 1. 4. Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del punto 3. El resultado es el mensaje cifrado. 5. Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE 802. 11. El algoritmo para descifrar es similar al anterior. Debido a que el otro extremo conocerá el IV y la clave secreta, tendrá entonces el seed y con ello podrá generar el keystream.

Realizando el XOR entre los datos recibidos y el keystream se obtendrá el mensaje sin cifrar (datos y CRC-32). A continuación se comprobara que el CRC-32 es correcto. 2. 2 Debilidad del vector de inicialización La implementación del vector de inicialización (IV) en el algoritmo WE-P tiene varios problem d. Recordemos que el SOF17 IV es la parte que varra de ) para impedir que un una misma clave. Sin embargo, el estándar 802. 11 no especifica cómo manejar el IV. Según [2, S8. 2. 3] se Indica que debería cambiarse en cada trama para mejorar la privacidad, pero no obliga a ello.

Queda bierta a los fabricantes la cuestión de cómo variar el IV en sus productos. La consecuencia de esto es que buena parte de las implementaciones optan por una solución sencilla: cada vez que arranca la tarjeta de red, se fija el IV a Oy se incrementa en 1 para cada trama. Y esto ocasiona que los primeras combinaciones de IVs y clave secreta se repitan muy frecuentemente. Más aún si tenemos en cuenta que cada estación utiliza la misma clave secreta, por lo que las tramas con igual clave se multiplican en el medio. Por otro lado, el número de IVs diferentes no es demasiado elevado (2’24-16 millones aprox. por lo que terminarán repitiéndose en cuestión de minutos u horas [6]. El tiempo será menor cuanto mayor sea la carga de la red. Lo ideal seria que el IV no se repitiese nunca, pero como vemos, esto es imposible en WEP. La cantidad de veces que se repite un mismo IV dependerá de la implementación elegida para variar el IV por el fabncante (secuencial, aleatoria, etc. ) y de la carga de la red. Observemos que es trivial saber si dos tramas han sido cifradas con la misma clave, puesto que el IV se envía sin cifrar y la clave secreta es estática.

La longitud de 24 bits para el IV forma parte del estándar y no uede cambiarse. Bien es cierto que existen implementaciones con claves de 128 del estándar y no puede cambiarse. Bien es cierto que existen implementaciones con claves de 128 bits (lo que se conoce como WEP2), sin embargo, en realidad lo único que se aumenta es la clave secreta (104 bits) pero el IV se conserva con 24 bits. El aumento de la longitud de la clave secreta no soluciona la debilidad del IV. ¿Qué podemos hacer una vez hemos capturado varias tramas con igual IV, es decir, con igual keystream?

Necesitamos conocer el mensaje sin cifrar de una de ellas. Haciendo el XOR entre un ensaje sin cifrar y el mismo cifrado, nos dará el keystream para ese IV. Conociendo el keystream asociado a un IV, podremos descifrar todas las tramas que usen el mismo IV. El problema es entonces conocer un mensaje sin cifrar, aunque esto no es tan complicado, porque existen tráficos predecibles o bien, podemos provocarlos nosotros (mensajes ICMP de solicitud y respuesta de eco, confirmaciones de TCP, etc. ) [6].

Con lo que hemos descrito no podemos deducir la clave secreta, aunque sí es posible generar una tabla con los IVs de los que sabemos su keystream, la cual permitirá descifrar cualquier ensaje que tenga un IV contenido en la tabla Sin embargo, podemos llegara más y deducir la clave secreta. Una nueva vulnerabilidad del protocolo WEP [7] permite deducir la clave total conociendo parte de la clave (justamente, el IV que es conocido). Para ello necesitamos recopilar suficientes IVs y sus keystreams asociados obtenidos por el procedimiento anterior. 2. otras suficientes IVs y sus keystreams asociados obtenidos por el procedimiento anterior. 2. 3 Otras debilidades de WEP WEP también adolece de otros problemas [6, 8] además de los relacionados con el vector de inicialización y la forma de utilizar el lgoritmo RC4. Entre los objetivos de WEP, como comentamos más arriba, se encuentra proporcionar un mecanlsmo que garantice la integridad de los mensajes. Con este fin, WEP incluye un CRC-32 que viaja cifrado. Sin embargo, se ha demostrado [6] que este mecanismo no es válido y es posible modificar una parte del mensaje y a su vez el CRC, sin necesidad de conocer el resto.

Esto permitiría, por ejemplo, modificar algún número de la trama sin que el destino se percatara de ello. En lugar del algoritmo de CRC se recomienda como ICV (Integrity Check Value) un algoritmo diseñado para tal fin como SHAI-HMAC El estándar IEEE 802. 11 incluye un mecanismo de autentificación de las estaciones basado en un secreto compartido [2, 58,1]. Para ello se utiliza la misma contraseña de WEP en la forma que describimos a continuación. Una estación que quiere unirse a una red, solicita al punto de acceso autentificación.

El punto de acceso envía un texto en claro a la estación y ésta lo cifra y se lo devuelve. El punto de acceso finalmente descifra el mensaje recibido, comprueba que su ICV es correcto y lo compara con el texto que envió. El mecanismo anterior de autentificación de secreto compartido iene el problema de enviar por la red el mismo t autentificación de secreto compartido tiene el problema de enviar por la red el mismo texto sin cifrar y cifrado con la clave WEP (esta clave coincide con la utilizada para asegurar la confidencialidad).

El estándar es consciente de esta debilidad y aconseja no utilizar el mismo IV para el resto de transmisiones. Sin embargo, tanto si las implementaciones repiten ese IV como sino, el mecanismo ofrece información que podría ser aprovechada para romper la clave WEP utilizando las debilidades del vector de inicialización explicadas más arriba [8]. WEP no incluye autentificación de usuarios. Lo más que incluye es la autentificación de estaciones descrita (podrán entrar aquellas estaciones que en su configuración tengan almacenada la clave WEP).

El sistema de autentificación descrito es tan débil que el mejor consejo seria no utilizarlo para no ofrecer información extra a un posible atacante. En este caso tendríamos una autentificación de sistema abierto [2, 58. 1], es decir, sin autentificación. Entre la larga lista de problemas de seguridad de WEP se encuentra también la ausencia de mecanismos de protección contra mensajes repetidos (replay). Esto permite que se capture un mensaje y se introduzca en la red en un momento posterior. El paquete podría ser, por ejemplo, el que contiene la contraseña de un usuario para utilizar un determinado servicio.

Todos los problemas comentados unidos a las caracter(sticas propias de WEP como es la distribución manual de claves y la utilización de claves s características propias de WEP como es la distribución manual de claves y la utilización de claves simétricas, hacen que este sistema no sea apropiado para asegurar una red inalámbrica. El estudio de N. Borisov, l. Goldbergy D. Wagner [6] explica razonadamente ue ninguno de los objetivos planteados por WEP se cumplen. 2. 4 Alternativas a WEP Las vulnerabilidades explicadas de WEP son motivos más que suficientes para utilizar otros mecanismos de seguridad en redes WLAN.

Aunque no forma parte del estándar, los fabricantes de productos Wi-Fi decidieron ofrecer la posibilidad de utilizar claves del doble de longitud (de 64 bits a 128 bits). WEP utilizado con claves de 128 bits es lo que se conoce generalmente como WEP2. Sin embargo, debemos observar que la longitud del vector de inicialización sigue siendo de 24 bits (las tramas IEEE 802. 11 no contemplan n mayor número de bits para enviar el IV), por lo que lo único que se ha aumentado es la clave secreta (de 40 bits a 104 bits).

Debido a que la longitud del IV y su forma de utilizarlo no varían, las debilidades del IV pueden seguir siendo aprovechadas de la misma manera. WEP2 no resuelve los problemas de WEP [6]. Otra variante de WEP utilizada en algunas implementaciones es WEP dinámico. En este caso se busca incorporar mecanismos de distribución automática de claves y de autentificación de usuarios mediante 802. 1 x/EAP/RADlUS. Requiere un servidor de autentificación (RADIUS normalmente) funcionando en la red. En el caso de qu