Wep 2 22382c

Redes de Celular

Redes Inalámbricas de Área Local y Personal

WLAN: Estándar IEEE 802.11 Ramón Agüero Calvo ([email protected])

Ramón Agüero Calvo 1

Redes de Celular

Contenido Introducción Estandarización Topologías Capa física 802.11 Protocolo MAC 802.11 Rendimiento Operaciones de gestión 802.11 Seguridad en 802.11

Ramón Agüero Calvo 2

Redes de Celular

Seguridad en 802.11: Introducción Requerimientos tradicionales de seguridad −

Privacidad

−

Integridad de los datos

−

Autenticación

El medio inalámbrico es intrínsecamente más vulnerable Se trató de solventar este problema, incluyendo el método WEP (Wired Equivalent Privacy) en la recomendación 802.11 Sin embargo se ha demostrado como un método poco eficaz, por lo que se tienen que buscar otras alternativas

Ramón Agüero Calvo 3

Redes de Celular

¿Qué es WEP? Se trata de un mecanismo de seguridad a nivel de enlace, y no extremo a extremo −

Trata de prevenir “eavesdropping” de tramas en el canal

Protege las tramas en el medio radio, pero no más allá del punto de Un segundo objetivo, menos explícito, es controlar el a la red, denegando el a estaciones no autenticadas Se basa en un algoritmo simétrico, RC4 −

Se genera una cadena de bits a partir de una llave

−

Esta se utiliza para cifrar el mensaje original, mediante la operación lógica XOR

Entre otros requerimientos, tenía originalmente el de su sencillez y facilidad de implementación

Ramón Agüero Calvo 4

Redes de Celular

Funcionamiento WEP 24 bits

40 bits

1011010...1

1.

La llave secreta de 40 bits se combina con un vector de inicialización de 24 bits para formar la llave RC4

2.

En paralelo, la trama de datos se protege con un vector de chequeo de integridad (CRC-32)

3.

La llave se pasa por el algoritmo RC4, formando una secuencia de bits de longitud apropiada

4.

Esta secuencia se emplea para cifrar la información y el ICV (operación lógica XOR)

Datos 1

64 bits

Algoritmo Detección de errores (CRC-32)

2

Integridad Confidencialidad

4 BYTES Algoritmo RC4

Datos

ICV

4 802.11

3

1011000100001010...1

Claro

IV

Datos Cifrado

ICV

FCS Claro

Secuencia Llave RC4 (Trama de datos + ICV)

Ramón Agüero Calvo 5

Redes de Celular

Formato trama WEP Parte cifrada

Cabecera MAC 802.11 [24B]

IV [4B]

Vector Inicialización [3B]

Datos [?B]

Res [6b]

ID [2b]

ICV [4B]

FCS [4B]

Existen 4 posibles llaves

Ramón Agüero Calvo 6

Redes de Celular

Autenticación en WEP ¿Cómo se consigue la autenticación? − −

Las estaciones tienen que compartir una llave con el Punto de Esta llave se tiene que distribuir (“fuera de banda”) a todas las estaciones, antes de afrontar la autenticación

Petición Autentic ación nse e Respo Challeng encriptar Texto sin Challeng e Respo nse Texto en criptado Éxito

Estados Estaciones 1. No Autenticado / No Asociado 2. Autenticado / No Asociado 3. Autenticado / Asociado

Ramón Agüero Calvo 7

Redes de Celular

Problemas de WEP RC4(KEY,DatosX) ⊕ RC4 (KEY,DatosY) = DatosX ⊕ DatosY − −

−

La llave cambia con el IV, pero este se transmite en claro en el paquete Además, siendo de 24 bits, el mismo IV se usará relativamente pronto: un punto de cargado, con paquetes de 1500 Bytes constantemente, utilizará todos los IV en 5 horas “sólo” hay en torno a 17 M de IV El estándar recoge que es opcional modificar el IV en cada paquete

Debilidad de las llaves RC4 – Ataque FMS −

Hay ciertas llaves para las que los primeros bytes de la salida del RC4 no son completamente aleatorios ⋅ El IV es el comienzo de la llave ⋅ Además la primera parte de los datos cifrados se puede “adivinar”

−

Una solución sería descartar los primeros bytes de la salida del RC4

La integridad se basa en un CRC −

Seguro para errores arbitrarios, no deliberados

−

Es lineal, por lo que se pueden cambiar bits en los paquetes

−

La integridad se puede asegurar con funciones “hash” no predecibles Ramón Agüero Calvo 8

Redes de Celular

Problemas de WEP En la fase de autenticación, se transmite el texto claro y después el cifrado −

RC4(KEY,Reto) ⊕ Reto = RetoCifrado

−

RetoCifrado ⊕ Reto = RC4(KEY,Reto)

Control de −

No especificado en el estándar, se suele basar en filtrado por dirección MAC

Protección en las “respuestas” −

Un atacante que captura tramas y luego hace “mal” uso de ellas

Distribución de llaves: Talón de Aquiles de los mecanismos de seguridad simétricos −

La llave tiene que ser conocida por todas las estaciones

−

¿Cómo? El estándar no especifica ningún esquema de distribución

−

La llave no puede considerarse como secreta, ya que se tienen que introducir en el driver o en el firmware de la tarjeta (el la conoce)

Ramón Agüero Calvo 9

Redes de Celular

Ataques a WEP Pasivo para descifrar texto −

Basado en la repetición de los IV

−

PARKING LOT ATTACK

−

Diccionario: con 15 Gb tabla IV y Llave RC4

Activo −

−

Mandar paquetes maliciosos - RC4(X) ⊕ X ⊕ Y = RC4(Y) (Requiere conocer el paquete original) También se pueden hacer ligeras modificaciones en el mensaje (comandos shell, etc)

Ataque “con cómplice” INTERNET

Ramón Agüero Calvo 10

Redes de Celular

Deficiencias WEP públicas Herramientas −

AirSnort: http://airsnort.sourceforge.net/

−

WEPCrack: http://sourceforge.net/projects/wepcrack/

−

THC-RUT: www.thehackerschoice.com/releases.php

−

NetStumbler (www.netstumbler.com/)

Artículos −

−

Intercepting Mobile Communications: The Insecurity of 802.11," by Nikita Borisov, Ian Goldberg and David Wagner "Weaknesses in the Key Scheduling Algorithm of RC4," by Scott Fluhrer, Itsik Mantin and Adi Shamir

Ramón Agüero Calvo 11

Redes de Celular

Soluciones a la seguridad Redes Privadas Virtuales (VPN) Remote Authentication Dial In Services (RADIUS) IPsec 802.1x Implementaciones WEP propietarias

802.1x (Potenciado por las compañías)

Ramón Agüero Calvo 12

Redes de Celular

IEEE 802.1x Se basa en el Protocolo de Autenticación Extensible (EAP, RFC 2284, RFC3748) Extensión EAP Over LAN (EAPOL), utilizando servidores RADIUS

Estación

Punto de Comienzo EAPOL

Servidor Radius

Petición Identidad Respuesta Identidad

Petición RADIUS

Petición EAP

Challenge RADIUS

Respuesta EAP

Petición RADIUS

Éxito EAP

Aceptado RADIUS

En función del método de autenticación empleado

Intercambio llaves Fin EAPOL Ramón Agüero Calvo 13

Redes de Celular

Arquitectura EAP en 802.11

Supplicant

Authenticator

Authentication Server

Método EAP EAP EAPOL 802.1x

802.11

EAPOL 802.1x

Radius

Radius

UDP/IP

UDP/IP

Eth-II

Eth-II

802.11

Ramón Agüero Calvo 14

Redes de Celular

Protocolo EAPOL EAPOL-Start −

− −

Le manda el Supplicant cuando se conecta a LAN (no conoce la MAC del Authenticator) Es un mensaje dirigido a un grupo [dirección multicast] Hay ocasiones que el Authenticator “es conocedor” de que una estación se ha conectado y puede enviarle “proactivamente” un paquete previo

EAPOL-Key −

Se emplea para que el Authenticator envíe al Supplicant llaves una vez que está itido en la red

EAPOL-Packet −

Encapsula los mensajes EAP [conexión extremo a extremo con el servidor de autenticación]

EAPOL-Logoff −

Para finalizar la conexión

Ramón Agüero Calvo 15

Redes de Celular

Métodos de autenticación EAP-SIM y EAP-AKA −

Utilizando una tarjeta inteligente (GSM y UMTS, respectivamente)

EAP-TLS (Transport Layer Security) −

Sucesor de TLS

−

Autenticación mutua con certificados PKI

−

No es muy empleado

EAP-TTLS (Tunneled TSL) y EAP-PEAP −

Se establece un túnel TLS

−

Uso de certificaciones más “restringidas” y sólo para la red: LDAP, Dominio Windows, etc

−

Usan diferentes mecanismos de autenticación ⋅

TTLS: PAP, CHAP, MS-CHAP, MS-CHAPv2

⋅

PEAP: Generic Token Card (GTC), TSL, MSCHAP-v2

LEAP (Lightweight EAP) −

Propietario CISCO

EAP-FAST −

Propietario de CISCO, más cercano a PEAP y TTLS

−

Autenticación: GTC, MS-CHAPv2 Ramón Agüero Calvo 16

Redes de Celular

¿Qué es WPA? Wireless Protected Access Solución “adoptada” por WiFi para mejorar las prestaciones de la seguridad de 802.11 Anterior al estándar 802.11i −

“Patch” intermedio antes del estándar definitivo

¿qué incorpora frente a WEP? −

Servidor 802.1x para la distribución de llaves

−

Mejora de RC4 128 bits y vector inicialización de 48 bits

−

TKIP (Temporal Key Integrity Protocol)

−

MIC (Message Integrity Check) Michael

Ramón Agüero Calvo 17

Redes de Celular

Comparativa WEP/WPA WEP Vs. WPA Aspecto

WEP

WPA

Encriptación

Debilidades conocidas

Evita los fallos conocidos de WEP

Llaves de 40 bits

Llaves de 128 bits

Estático la misma llave se usa en toda la red

Llaves dinámicas por , por sesión, por paquete

Distribución de llaves manual

Distribución de llaves incorporada

Usa WEP, con debilidades

Sistema de autenticación “fuerte”, con EAP y 802.1x

Autenticación

Ramón Agüero Calvo 18

Redes de Celular

Elementos WPA Encriptación: TKIP − −

−

−

Permite que sistemas WEP se actualicen para ser seguros La llave aumenta de 40 a 104 bits, y es dinámicamente generada por el servidor de autenticación; además se cambia por trama Aumenta el tamaño del vector de inicialización IV (de 24 a 48 bits) y establece normas de buen uso para seleccionar cada IV Además incorpora un TSC (TKIP sequence number) para evitar ataques REPLAY ⋅ Se aprovecha para ello el Vector de Inicialización

−

Gestión de llaves jerárquico ⋅ Llave maestra (generada por el servidor de autenticación) que puede generar 500 trillones de llaves

Integridad: MIC −

El MIC se usa para reemplazar el CRC

−

Protege fuertemente los paquetes, para que no sean modificados integridad

Autenticación: 802.1x + EAP Ramón Agüero Calvo 19

Redes de Celular

WPA: Jerarquía de llaves WPA emplea diferentes tipos de llaves a distinto nivel −

Pairwise key: se emplea en el intercambio de información entre dos terminales ⋅ Cada terminal necesita, al menos, la pairwise key para comunicarse con el AP, y éste necesitará una por cada uno de los terminales

−

Group key: llave que se comparte por un grupo de terminales y se emplea en la difusión de mensajes broadcast o multicast

Cada tipo de llave tiene asociada su jerarquía correspondiente También se distingue entre llaves “pre-compartidas” y “basadas en servidor” −

Las últimas requieren una autenticación de nivel superior [servidor RADIUS]

Ramón Agüero Calvo 20

Redes de Celular

Jerarquía Pairwise Comienza con la Llave pairwise maestra (PMK) puede ser preshared o server-based −

En entornos reducidos (oficinas pequeñas, hogar) no es práctico montar un servidor Radius: se usa la solución PreShared Key (PSK)

LA PMK tiene un tamaño de 32 octetos El punto de maneja una PMK diferente con cada terminal −

En una solución con servidor, éste mantiene/genera el PMK

La PMK no se usa directamente para el cifrado!!! Se generan un conjunto de llaves temporales, denominadas PTK (pairwise transient key) −

Llave para cifrado de datos (1)

−

Llave para integridad de datos (2)

−

Llave para cifrado EAPOL (3)

−

Llave para integridad EAPOL (4)

PMK

(1)

Nonce1 Nonce2 MAC1 MAC2

Generación PTK

(2) (3) (4)

Ramón Agüero Calvo 21

Redes de Celular

Obtención de las llaves PTK 1. Tanto el AP como la estación generan sus valores Nonce, sin ninguna relación entre ellos 2. El AP manda su ANNonce a la estación, utilizando un mensaje EAPOL; el mensaje va en claro Punto de

Estación 1

1

ANNonce

2

3 4

SNonce + MIC 6

5

3. La estación puede generar ya las llaves temporales, pues conoce toda la información necesaria 4. La estación manda su SNonce al AP; también viaja en claro, pero esta vez se protege con un MIC, para no poder ser modificado (se utiliza la llave de integridad EAPOL – 4) Además permite que el AP confirme la identidad de la estación 5. El AP calcula las llaves temporales y, además, comprueba (a través del MIC) la identidad de la estación

7

6. El AP le comunica a la estación que está listo para empezar a utilizar las llaves; utiliza MIC para que la estación compruebe su identidad 7. ACK, se comienzan a emplear las llaves para la encriptación Ramón Agüero Calvo 22

Redes de Celular

Llaves de grupo en WPA Se componen de la GMK (Group Master Key), que genera el AP También existen las GTK (Group Transient Key) −

Llave de cifrado de grupo

−

Llave de integridad de grupo

El AP manda el GTK a cada estación tras generar las llaves PTK −

Información cifrada (mensajes EAPOL)

Ramón Agüero Calvo 23

Redes de Celular

EAPOL-Key Mensaje definido en WPA para el intercambio de llaves entre el AP (Authenticator) y el terminal móvil (Supplicant) Tipo Descriptor [1B] Información llave [2B]

Longitud llave [2B]

Número secuencia [8B]

254 en WPA Información control acerca del mensaje Protege frente ataques REPLAY

Nonce [32B] IV EAPOL Key [16B] Sequence Start [8B] Key ID [8B]

IV para la protección de mensajes EAPOL (e.g. GTK) Valor de secuencia esperado tras el intercambio de llaves – Evita ataques REPLAY No se usa en WPA

Key MIC [8B] Longitud datos llave [2B]

Datos llave [2B]

Datos cifrados (e.g. GTK)

Ramón Agüero Calvo 24

Redes de Celular

Funcionamiento WPA Datos

• La llave se obtiene a partir de la dirección MAC origen el IV y la llave de la sesión

Llave Sesión MICHAEL

Mezcla llave

Algoritmo RC4

Generación IV

Datos

8B

4B

Michael

ICV

1011000100001010.1

IV/KeyID 4B

802.11 Claro

IV

IV ext 4B

Datos

MIC Cifrado

ICV

FCS Claro

Ramón Agüero Calvo 25

Redes de Celular

Funcionamiento WPA: Mezcla llaves Dirección MAC Transmisor

Llave Sesión

Vector Inicialización [Contador Secuencia] 32 msb

16 msb

Fase 1 Mezcla llaves

Fase 2 Mezcla llaves

Dummy Byte, para evitar llaves débiles

IV [8b]

D [8b]

IV [8b]

104 bits [Llave Secreta]

Ramón Agüero Calvo 26

Redes de Celular

Formato trama WPA Parte cifrada

IV [4B]

IV Ext [4B]

Vector Inicialización Res [3B] [5b]

Datos [?B]

Ext IV

Cabecera MAC 802.11 [24B]

MIC [8B]

ICV [4B]

FCS [4B]

ID [2b]

Ramón Agüero Calvo 27

Redes de Celular

IEEE 802.11i – WPA2 Publicado en Junio de 2004, se le conoce como WPA2 La mayor diferencia con WPA es que usa AES como método de encriptación −

No se conocen “ataques” exitosos a este método

−

Es un método de encriptación de bloque (no de flujo, como RC4)

−

AES está basado en el algoritmo de Rijndael

Define un nuevo tipo de red inalámbrica: RSN (Robust Security Network) − −

Puede estar basada en TKIP o CCMP [por defecto] Para favorecer la interoperabilidad, también establece la red TSN (Transitional Security Network)

Arquitectura 802.11i / WPA2 − −

802.1x para la autenticación idéntica a la empleada por WPA/TKIP CCMP (Counter-Mode/CBC-Mac Protocol) integridad, confidencialidad, integridad y autenticación

Ramón Agüero Calvo 28

Redes de Celular

Funcionamiento CCMP Cabecera MAC AAD Campos protegidos MIC

Trama MAC

SRC@

Nonce PN + SRC@ + Priority

Cifrado CCMP (MIC)

Datos Temporary Key Packet Number

Incremento PN

Cabecera CCMP

KeyID

Ramón Agüero Calvo 29

Redes de Celular

Formato CCMP El formato de su trama es similar al de TKIP − −

−

No incorpora ICV – Packet Number El formato de la cabecera CCMP es similar al de TKIP (combinación IV/IV Extendido) La principal diferencia es en la implementación se emplea AES y no RC4 Parte cifrada

CCMP [8B]

PN(0-1) Res Res [2B] [1B] [5b]

Ext IV

Cabecera MAC 802.11 [24B]

Datos [?B]

ID [2b]

MIC [8B]

FCS [4B]

PN(2-5) [4B]

Ramón Agüero Calvo 30

Redes de Celular

Seguridad desde un punto de vista práctico En los puntos de Routers Wi-FI Filtrado MAC/IP DH No transmisión de Beacons Soluciones más avanzadas, de cortafuegos

Ramón Agüero Calvo 31