FACULTAD DE INGENIERIA EN

SISTEMAS ELECTRONICA E
INDUSTRIAL

TEMA: 802.11i
OBJETIVO

Corregir la seguridad
El proyecto de norma
del protocolo IEEE con Wi-Fi Protected
fue ratificado el 24 de
802.11 original (WEP) Access II (WPA2).
junio de 2004.
Wi-Fi Protected Setup
 802.11i es un
estándar para redes
inalámbricas que
El estándar 802.11i
proporciona cifrado
requiere nuevos Protocolo de
mejorado para redes Estándar de cifrado
protocolos de clave integridad de clave
que utilizan los avanzado ( AES ).
de cifrado temporal ( TKIP )
populares
conocidos como
estándares 802.11a ,
802.11b (que incluye
Wi-Fi ) y 802.11g .
 Fases Operacionales 802.11i

La primera fase requiere que los participantes estén de acuerdo sobre la política de seguridad a utilizar

La información sobre la política de seguridad se envía en el campo RSN IE (Information Element) y

detalla:
• Los métodos de autenticación soportados (802.1X, Pre-Shared Key (PSK)).
• Protocolos de seguridad para el tráfico unicast (CCMP, TKIP etc.)
• Protocolos de seguridad para el tráfico multicast (CCMP, TKIP etc.)
• Soporte para la pre-autenticación, que permite a los usuarios pre-autenticarse antes de cambiar de punto de acceso en la
misma red para un funcionamiento sin retrasos.
 Fases Operacionales 802.11i

La segunda fase
La autenticación 802.1X se inicia cuando el punto de acceso pide datos de identidad del cliente, y la respuesta
del cliente incluye el método de autenticación preferido. Se intercambian entonces mensajes apropiados
entre el cliente y el servidor de autenticación para generar una clave maestra común (MK). Al final del
proceso, se envía desde el servidor de autenticación al punto de acceso un mensaje Radius Accept, que
contiene la MK y un mensaje final EAP Success para el cliente .
 Fases Operacionales 802.11i

La tercera fase
La generación y el intercambio de claves es la meta de la tercera fase.

Group Key Handshake para la renovación de GTK. La derivación de la clave PMK

(Pairwise Master Key) depende del método de autenticación:
• Si se usa una PSK (Pre-Shared Key), PMK = PSK. La PSK es generada desde una passphrase (de 8 a 63
caracteres) o una cadena de 256-bit y proporciona una solución para redes domésticas o pequeñas
empresas que no tienen servidor de autenticación,
• Si se usa un servidor de autenticación, la PMK es derivada de la MK de autenticación 802.1X. La
PMK en si misma no se usa nunca para la encriptación o la comprobación de integridad. Al contrario,
se usa para generar una clave de encriptación temporal – para el tráfico unicast esta es la PTK
(Pairwise Transient Key). La longitud de la PTK depende el protocolo de encriptación: 512 bits para
TKIP y 384 bits para CCMP
El 4-Way Handshake, iniciado por el punto de acceso, hace
posible:
• confirmar que el cliente conoce la PMK,
• derivar una PTK nueva,
• instalar claves de encriptación e integridad,
• encriptar el transporte de la GTK,
• confirmar la selección de la suite de cifrado.
Proceso de autentificación

Un número de un solo uso del AP: Anonce.

Un número de un solo uso del cliente:
Snonce.
Código de integridad del mensaje (MIC),

 El  PTK  se genera concatenando los

AP (ANonce), STA (SNonce),
dirección del punto de acceso MAC
(AP MAC address) y dirección de la
estación MAC (STA MAC address)

GTK (Clave de grupo temporal)

 La cuarta fase habla sobre la
confidencialidad e integridad
de datos RSNA. Todas lasclaves
generadas anteriormente se
usan en protocolos que
soportan la confidencialidad
eintegridad de datos RSNA:
• TKIP (Temporal Key Hash),
• CCMP (Counter-Mode / Cipher Block
Chaining Message Authentication
CodeProtocol),
• WRAP (Wireless Robust Authenticated
Protocol).
COMPARACIÓN ENTRE WPS , WPA Y WPA2
Aplicaciones
ordenadores
portátiles, Tablet

PDA(agenda
Tecnología 802.11g
electrónica ),Móviles

Tecnología 802.11b tarjetas de red

Tecnología 802.11ª Router

WPA2 es inseguro en alguno de estos casos mas comunes:

Contraseña débil
• Las claves de autenticación de WPA y WPA2 son vulnerables a password cracking por
fuerza bruta, por lo que se recomienda siempre claves de alrededor de 20 caracteres.
WPS Pin recovery
• Esto permite a un atacante remoto recuperar el PIN de WPS, y obtener la contraseña
WPA/WPA2. Si se puede, es recomendable desactivar la característica de WPS del
router.
• Wpspin
• jumpstar.
 Futuro de
802.11i
Versión wpa3

El cifrado de datos pasará a ser de 192 bits, por los 128 bits que usa WPA2 en la actualidad.

Protocolo 802.11 w

Lo que se busca es extender la protección que se obtiene del estándar 802.11i más allá de los datos
hasta las tramas de gestión, responsables de las principales operaciones de una red.
 BIBLIOGRAFIA

Tomado de
• http://ieee802.org/16/liaison/docs/80211-05_0123r1.pdf
Tomado de
• http://www.itrainonline.org/itrainonline/mmtk/wireless_es/files/02_es_estanda
res-inalambricos_presentacion_v02.01.pdf
Tomado de
• https://es.slideshare.net/Ayares/algoritmo-aes
Tomado de
http://slideplayer.es/slide/1701067/
Tomado de
https://hipertextual.com/2018/01/wpa3-cifrado-seguridad-wifi-2018