Documente Academic
Documente Profesional
Documente Cultură
y WPA2
Guillaume Lehembre
Artículo publicado en el número 1/2006 de la revista hakin9. Os invitamos a la lectura de toda la revista.
Todos los derechos protegidos. Distribución gratuita admitida bajo la condición de guardar la forma y el contenido actuales
del artículo. Revista hakin9 Software-Wydawnictwo, ul. Piaskowa 3, 01-067 Warszawa, es@hakin9.org
Seguridad Wi-Fi
– WEP, WPA y WPA2
Tema caliente
Guillaume Lehembre
Grado de dificultad
A
un cuando se activen las medidas de donde || es un operador de concatenación y
seguridad en los aparatos Wi-Fi, se + es un operador XOR. Claramente, el vector
utiliza un protocolo de encriptación de inicialización es la clave de la seguridad
débil, como WEP. En este artículo, exami- WEP, así que para mantener un nivel decen-
naremos las debilidades de WEP y veremos te de seguridad y minimizar la difusión, el IV
lo sencillo que es crackear el protocolo. La debe ser aplicado a cada paquete, para que
lamentable inadecuación de WEP resalta los paquetes subsiguientes estén encriptados
la necesidad de una nueva arquitectura de con claves diferentes. Desafortunadamente
seguridad en el estándar 802.11i, por lo que para la seguridad WEP, el IV es transmitido en
también estudiaremos la puesta en práctica texto simple, y el estándar 802.11 no obliga a la
de WPA y WPA2 junto a sus primeras vulne- incrementación del IV, dejando esta medida de
rabilidades menores y su integración en los seguridad como opción posible para una termi-
sistemas operativos.
802.11i
IEEE 802.1X y EAP En enero de 2001, el grupo de
El protocolo de autenticación IEEE 802.1X (también conocido como Port-Based Net- trabajo i task group fue creado en
work Access Control) es un entorno desarrollado originalmente para redes de cable, y IEEE para mejorar la seguridad en
posee mecanismos de autenticación, autorización y distribución de claves y además la autenticación y la encriptación
incorpora controles de acceso para los usuarios que se unan a la red. La arquitectura de datos. En abril de 2003, la Wi-Fi
IEEE 802.1X está compuesta por tres entidades funcionales:
Alliance (una asociación que pro-
• el suplicante que se une a la red, mueve y certifica Wi-Fi) realizó una
• el autenticador que hace el control de acceso, recomendación para responder a
• el servidor de autenticación que toma las decisiones de autorización. las preocupaciones empresariales
ante la seguridad inalámbrica. Sin
En las redes inalámbricas, el punto de acceso sirve de autenticador. Cada puerto físico embargo, eran conscientes de que
(puerto virtual en las redes inalámbricas) se divide en dos puertos lógicos, formando los clientes no querrían cambiar sus
la PAE (Port Access Entity). La PAE de autenticación está siempre abierta y permite el
equipos.
paso de procesos de autenticación, mientras que el PAE de servicio sólo se abre tras
En junio de 2004, la edición final
una autenticación exitosa (por ejemplo, una autorización) por un tiempo limitado (3600
segundos por defecto). La decisión de permitir acceso está hecha por lo general por la
del estándar 802.11i fue adoptada y
tercera entidad, el servidor de autenticación (que puede ser un servidor Radius dedi- recibió el nombre comercial WPA2
cado o – por ejemplo en las redes domésticas – un simple proceso funcionando en el por parte de la alianza Wi-Fi. El es-
punto de acceso). La Figura 3 ilustra el modo de comunicación entre estas entidades. tándar IEEE 802.11i introdujo varios
El estándar 802.11i hace pequeñas modificaciones a IEEE 802.1X para que las cambios fundamentales, como la
redes inalámbricas estén protegidas frente al robo de identidades. La autenticación separación de la autenticación de
de mensajes se ha incorporado para asegurarse de que tanto el suplicante como el usuario de la integridad y privacidad
autenticador calculan sus claves secretas y activan la encriptación antes de acceder de los mensajes, proporcionando
a la red. una arquitectura robusta y escala-
El suplicante y el autenticador se comunican mediante un protocolo basado en
ble, que sirve igualmente para las
EAP. El rol del autenticador es, esencialmente, pasivo – se limita a enviar todos los
redes locales domésticas como para
mensajes al servidor de autenticación. EAP es un entorno para el transporte de varios
métodos de autenticación y permite sólo un número limitado de mensajes (Request,
los grandes entornos de red corpo-
Response, Success, Failure), mientras que otros mensajes intermedios son depen- rativos. La nueva arquitectura para
dientes del método seleccionado de autenticación: EAP-TLS, EAP-TTLS, PEAP, las redes wireless se llama Robust
Kerberos V5, EAP-SIM etc. Cuando se completa el proceso (por la multitud de méto- Security Network (RSN) y utiliza
dos posibles no entraremos en detalles), ambas entidades (suplicante y servidor de autenticación 802.1X, distribución de
autenticación) tendrán una clave maestra secreta. El protocolo utilizado en las redes claves robustas y nuevos mecanis-
inalámbricas para transportar EAP se llama EAPOL (EAP Over LAN), las comunica- mos de integridad y privacidad.
ciones entre autenticador y servidor de autenticación utilizan protocolos de capa más Además de tener una arquitectu-
alta, como Radius, etc. ra más compleja, RSN proporciona
soluciones seguras y escalables
Algunos puntos de acceso re- comportamiento puede ser mini- para la comunicación inalámbrica.
quieren que los clientes se vuelvan mizado en aireplay sustituyendo la Una RSN sólo aceptará máquinas
a asociar cada 30 segundos. Este segunda opción (0) por 30. con capacidades RSN, pero IEEE
802.11i también define una red tran-
sicional de seguridad – Transitional
Security Network (TSN), arquitectu-
ra en la que pueden participar siste-
mas RSN y WEP, permitiendo a los
usuarios actualizar su equipo en el
futuro. Si el proceso de autenticación
o asociación entre estaciones utiliza
4-Way handshake, la asociación
recibe el nombre de RSNA (Robust
Security Network Association).
El establecimiento de un contex-
to seguro de comunicación consta
de cuatro fases (ver Figura 4):
Fase 3: jerarquía y
distribución de claves
La seguridad de la conexión se
basa en gran medida en las claves
secretas. En RSN, cada clave tiene
una vida determinada y la seguri-
dad global se garantiza utilizando
un conjunto de varias claves organi- Figura 7. Fase 3: derivación y distribución de claves
zadas según una jerarquía. Cuando
se establece un contexto de seguri-
dad tras la autenticación exitosa, se
crean claves temporales de sesión
y se actualizan regularmente hasta
que se cierra el contexto de seguri-
dad. La generación y el intercambio
de claves es la meta de la tercera
fase. Durante la derivación de la
clave, se producen dos handshakes
(véase Figura 7):
Figura 12. Esquema y encriptación de TKIP Key-Mixing zones de rendimiento, porque debe
ser soportado por el viejo hardware
de red para que pueda ser actuali-
zado a WPA). Por esta limitación, se
necesitan contramedidas para evitar
la falsificación del MIC. Los fallos de
MIC deben ser menores que 2 por
minuto, o se producirá una desco-
nexión de 60 segundos y se esta-
blecerán nuevas claves GTK y PTK
tras ella. Michael calcula un valor de
Figura 13. Computación de MIC utilizando el algoritmo Michael comprobación de 8 octetos llamado
toda la información utilizada para cowpatty se creó para aprovechar ser pre-calculada (y guardada en
calcular su valor se transmite en este error, y su código fuente fue tablas) porque la frase de acceso
formato de texto. usado y mejorado por Christophe está codificada adicionalmente se-
La fuerza de PTK radica en el Devine en Aircrack para permitir gún la ESSID. Una buena frase que
valor de PMK, que para PSK signifi- este tipo de ataques sobre WPA. no esté en un diccionario (de unos
ca exactamente la solidez de la fra- El diseño del protocolo (4096 para 20 caracteres) debe ser escogida
se. Como indica Robert Moskowitz, cada intento de frase) significa que para protegerse eficazmente de
el segundo mensaje del 4-Way el método de la fuerza bruta es muy esta debilidad.
Handshake podría verse sometido lento (unos centenares de frases Para hacer este ataque, el ata-
a ataques de diccionario o ataques por segundo con el último proce- cante debe capturar los mensajes
offline de fuerza bruta. La utilidad sador simple). La PMK no puede de 4-Way Handshake monitorizando
Glosario
• AP – Access Point, punto de acceso, estación base de una • MPDU – Mac Protocol Data Unit, paquete de datos antes de
red Wi-Fi que conecta clientes inalámbricos entre sí y a redes la fragmentación.
de cable. • MSDU – Mac Service Data Unit, paquete de datos después
• ARP – Address Resolution Protocol, protocolo para traducir de la fragmentación.
las direcciones IP a direcciones MAC. • PAE – Port Access Entity, puerto lógico 802.1x.
• BSSID – Basic Service Set Identifier, Dirección MAC del • PMK – Pairwise Master Key, clave principal de la jerarquía de
punto de acceso. pares de claves.
• CCMP – Counter-Mode / Cipher Block Chaining Message • PSK – Pre-Shared Key, clave derivada de una frase de ac-
Authentication Code Protocol, protocolo de encriptación ceso que sustituye a la PMK normalmente enviada por un
utilizado en WPA2, basado en la suite de cifrado de bloques servidor de autenticación.
AES. • PTK – Pairwise Transient Key, clave derivada de la PMK.
• CRC – Cyclic Redundancy Check, pseudo-algoritmo de inte- • RSN – Robust Security Network, mecanismo de seguridad
gridad usado en el protocolo WEP (débil). de 802.11i (TKIP, CCMP etc.).
• EAP – Extensible Authentication Protocol, entorno para va- • RSNA – Robust Security Network Association, asociación de
rios métodos de autenticación. seguridad usada en una RSN.
• EAPOL – EAP Over LAN, protocolo usado en redes inalám- • RSN IE – Robust Security Network Information Element,
bricas para transportar EAP. campos que contienen información RSN incluida en Probe
• GEK – Group Encryption Key, clave para la encriptación de Response y Association Request.
datos en tráfico multicast (también usada para la integridad • SSID – Service Set Identifier, identificador de la red (el mis-
en CCMP). mo que ESSID).
• GIK – Group Integrity Key, clave para la encriptación de da- • STA – Station, estación, cliente wireless.
tos en tráfico multicast (usada in TKIP). • TK – Temporary Key, clave para la encriptación de datos en
• GMK – Group Master Key, clave principal de la jerarquía de tráfico unicast (usada también para la comprobación de la
group key. integridad de datos en CCMP).
• GTK – Group Transient Key, clave derivada de la GMK. • TKIP – Temporal Key Integrity Protocol, protocolo de encrip-
• ICV – Integrity Check Value, campo de datos unido a los da- tación usado en WPA basado en el algoritmo RC4 (como en
tos de texto para la integridad (basado en el algoritmo débil WEP).
CRC32). • TMK – Temporary MIC Key, clave para la integridad de datos
• IV – Initialization Vector, vector de inicialización, datos com- en tráfico unicast (usada en TKIP).
binados en la clave de encriptación para producir un flujo de • TSC – TKIP Sequence Counter, contador de repetición usa-
claves único. do en TKIP (al igual que Extended IV).
• KCK – Key Confirmation Key, clave de integridad que prote- • TSN – Transitional Security Network, sistemas de seguridad
ge los mensajes handshake. pre-802.11i (WEP etc.).
• KEK – Key Encryption Key, clave de confidencialidad que • WEP – Wired Equivalent Privacy, protocolo de encriptación
protege los mensajes handshake. por defecto para redes 802.11.
• MIC – Message Integrity Code, campo de datos unido a los • WPA – Wireless Protected Access, implementación de una
datos de texto para la integridad (basdo en el algoritmo Mi- versión temprana del estándar 802.11i, basada en el proto-
chael). colo de encriptación TKIP.
• MK – Master Key, clave principal conocida por el suplicante y • WRAP – Wireless Robust Authenticated Protocol, antiguo
el autenticador tras el proceso de autenticación 802.1x. protocolo de encriptación usado en WPA2.
Puesta en práctica
ciación AP, autenticación 802.1X, soluciones de encriptación de alto
en los sistemas 4-Way Handshake etc.). Cuando to- nivel (como VPNs). WPA es una so-
operativos de WPA/ do esté funcionando, wpa_supplicant lución segura para el equipo actua-
WPA2 debería ejecutarse en modo daemon lizable que no soporte WPA2, pero
Windows no incorpora soporte (sustituye la opción -dd por -B). WPA2 será pronto el estándar de la
WPA2 por defecto. Una actualización En Macintosh, WPA2 es soporta- seguridad inalámbrica. No olvides
para Windows XP SP2 (KB893357) do tras la salida de la actualización poner tu equipamiento wireless en
lanzada el 29 de abril de 2005, aña- 4.2 del software Apple AirPort: Los un lugar filtrado y ten a mano una
dió WPA2 y una mejor detección de Macintosh con AirPort Extreme, La conexión tradicional (con cables)
redes (ver Figura 16). Otros siste- estación base AirPort Extreme Base para las redes más importantes
mas operativos de Microsoft tienen Station y AirPort Express. – los ataques de interceptación/
que utilizar un suplicante externo interferencia de radio-frecuencia y
(comercial o de código abierto, co- Sumario los ataques de bajo nivel (violación
mo wpa_supplicant – la versión de Parece claro que la encriptación del estándar 802.11, de-asociación
Windows es experimental). WEP no proporciona suficiente falsa, etc.) siguen pudiendo ser de-
En Linux y *BSD, wpa_suppli- seguridad para las redes inalámbri- vastadores. l
cant estaba listo para cuando salió cas, y que sólo puede ser usado con
el estándar 802.11i. El suplicante
externo soporta un gran número
de métodos EAP y características
En la Red
de gestión de claves para WPA, • http://standards.ieee.org/getieee802/download/802.11i-2004.pdf – Estándar IEEE
WPA2 y WEP. Pueden declararse 802.11i,
varias redes con diferentes tipos • http://www.awprofessional.com/title/0321136209 – Real 802.11 Security Wi-Fi
de encriptación, gestión de claves y Protected Access and 802.11i (John Edney, William A. Arbaugh) – Addison Wesley
métodos EAP – el Listado 9 presen- – ISBN: 0-321-13620-9,
ta un simple fichero de configuración • http://www.cs.umd.edu/~waa/attack/v3dcmnt.htm – Un ataque inductivo de texto
de WPA2. El lugar por defecto de la contra WEP/WEP2 (Arbaugh),
configuración de wpa_supplicant es • http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf – Debilidades en el algorit-
mo de programación de claves de RC4 (Fluhrer, Mantin, Shamir),
/etc/wpa_supplicant.conf, y el archi-
• http://www.dachb0den.com/projects/bsd-airtools/wepexp.txt – optimización
vo sólo debería ser accesible para el
h1kari,
usuario root. • http://www.isaac.cs.berkeley.edu/isaac/mobicom.pdf – Interceptación de comuni-
El daemon wpa_supplicant de- caciones móviles: La inseguridad de 802.11 (Borisov, Goldberg, Wagner),
bería primero lanzarse con privile- • http://airsnort.shmoo.com/ – AirSnort,
gios de root en modo debug (opción • http://www.cr0.net:8040/code/network/aircrack/ – Aircrack (Devine),
-dd), con el controlador adecuado • http://weplab.sourceforge.net/ – Weplab (Sánchez),
(en nuestro ejemplo es -D madwifi • http://www.wifinetnews.com/archives/002452.html – debilidades de WPA PSK
para soportar el chipset Atheros), el (Moskowitz),
nombre de la interfaz (opción -i, en • http://new.remote-exploit.org/images/5/5a/Cowpatty-2.0.tar.gz – Cowpatty, he-
nuestro caso ath0) y la ruta del fiche- rramientas de crackeo de WPA-PSK,
• http://byte.csc.lsu.edu/~durresi/7502/reading/p43-he.pdf – Análisis del 4-Way
ro de configuración (opción -c):
Handshake de 802.11i (He, Mitchell),
• http://www.cs.umd.edu/%7ewaa/1x.pdf – Análisis inicial de seguridad del están-
# wpa_supplicant
dar IEEE 802.1X (Arbaugh, Mishra),
-D madWi-Fi • http://support.microsoft.com/?kbid=893357 – WPA2 Actualización para Microsoft
-dd -c /etc/wpa_supplicant.conf Windows XP SP2,
-i ath0 • http://hostap.epitest.fi/wpa_supplicant/ – wpa_supplicant,
• http://www.securityfocus.com/infocus/1814 – WEP: Dead Again, Parte 1,
Todos los pasos teóricos descritos • http://www.securityfocus.com/infocus/1824 – WEP: Dead Again, Parte 2.
son resultado del modo debug (Aso-