Protocolos de seguridad en redes inalmbricas

Protocolos de seguridad en redes

inalmbricas
Las ondas de radio se propagan por todas partes, es por esto, que es vital comprender
la importancia de la encriptacin de datos para asi poder traficar informacin de forma
segura. A continuacin un excelente documento que explica como funcionan los
algoritmos WEP y WPA y cuales son sus fortalezas y debilidades.
1.- Introduccin a WEP, WPA y WPA2
La seguridad es un aspecto que cobra especial relevancia cuando ablamos de redes
inal!mbricas. Para tener acceso a una red cableada es imprescindible una conexin
f"sica al cable de la red. #in embargo, en una red inal!mbrica desplegada en una
oficina un tercero podr"a acceder a la red sin ni siquiera estar ubicado en las
dependencias de la empresa, bastar"a con que estuviese en un lugar prximo donde le
llegase la se$al. Es m!s, en el caso de un ataque pasivo, donde slo se escuca la
informacin, ni siquiera se de%an uellas que posibiliten una identificacin posterior.
El canal de las redes inal!mbricas, al contrario que en las redes cableadas privadas,
debe considerarse inseguro. &ualquiera podr"a estar escucando la informacin
transmitida. ' no slo eso, sino que tambi(n se pueden inyectar nuevos paquetes o
modificar los ya existentes )ataques activos*. Las mismas precauciones que tenemos
para enviar datos a trav(s de +nternet deben tenerse tambi(n para las redes
inal!mbricas.
&onscientes de este problema, el +EEE ,-. public un mecanismo opcional de
seguridad, denominado WEP, en la norma de redes inal!mbricas /01.-- ,1.. Pero
WEP, desplegado en numerosas redes WLA2, a sido roto de distintas formas, lo que
lo a convertido en una proteccin inservible.
Para solucionar sus deficiencias, el +EEE comenz el desarrollo de una nueva norma
de seguridad, conocida como /01.--i ,3., que permitiera dotar de suficiente seguridad
a las redes WLA2.
El problema de /01.--i est! siendo su tardanza en ver la luz. #u aprobacin se espera
para %unio de 1004. Algunas empresas en vistas de que WEP )de -555* era
insuficiente y de que no exist"an alternativas estandarizadas me%ores, decidieron
utilizar otro tipo de tecnolog"as como son las 6P2s para asegurar los extremos de la
comunicacin )por e%emplo, mediante +P#ec*. La idea de proteger los datos de
usuarios remotos conectados desde +nternet a la red corporativa se extendi, en
algunos entornos, a las redes WLA2. 7e eco, como emos comentado antes,
ambos canales de transmisin deben considerarse inseguros. Pero la tecnolog"a 6P2
es quiz!s demasiado costosa en recursos para su implementacin en redes WLA2.
2o a%ena a las necesidades de los usuarios, la asociacin de empresas Wi89i ,4.
decidi lanzar un mecanismo de seguridad intermedio de transicin asta que
estuviese disponible /01.--i, tomando aquellos aspectos que estaban suficientemente
avanzados del desarrollo de la norma. El resultado, en 1003, fue WPA ,:..
Este art"culo analiza las caracter"sticas de los mecanismos de seguridad WEP, WPA y
WPA1 )+EEE /01.--i*. En el momento de escribir estas l"neas, WPA1 todav"a no a
visto la luz por lo que la documentacin relacionada es todav"a muy escasa.

2.- WEP
2.1.- Caractersticas y uncionamiento
WEP )Wired Equivalent Privacy, privacidad equivalente al cable* es el algoritmo
opcional de seguridad incluido en la norma +EEE /01.-- ,1.. Los ob%etivos de WEP,
seg;n el est!ndar, son proporcionar confidencialidad, autentificacin y control de
acceso en redes WLA2 ,1, <=.-.1.. Estudiamos a continuacin las principales
caracter"sticas de WEP.
WEP utiliza una misma clave sim(trica y est!tica en las estaciones y el punto de
acceso. El est!ndar no contempla ning;n mecanismo de distribucin autom!tica de
claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de
red. Esto genera varios inconvenientes. Por un lado, la clave est! almacenada en
todas las estaciones, aumentando las posibilidades de que sea comprometida. ' por
otro, la distribucin manual de claves provoca un aumento de mantenimiento por parte
del administrador de la red, lo que conlleva, en la mayor"a de ocasiones, que la clave
se cambie poco o nunca.
El algoritmo de encriptacin utilizado es >&4 con claves )seed*, seg;n el est!ndar, de
=4 bits. Estos =4 bits est!n formados por 14 bits correspondientes al vector de
inicializacin m!s 40 bits de la clave secreta. Los 40 bits son los que se deben
distribuir manualmente. El vector de inicializacin )+6*, en cambio, es generado
din!micamente y deber"a ser diferente para cada trama. El ob%etivo perseguido con el
+6 es cifrar con claves diferentes para impedir que un posible atacante pueda capturar
suficiente tr!fico cifrado con la misma clave y terminar finalmente deduciendo la clave.
&omo es lgico, ambos extremos deben conocer tanto la clave secreta como el +6. Lo
primero sabemos ya que es conocido puesto que est! almacenado en la configuracin
de cada elemento de red. El +6, en cambio, se genera en un extremo y se env"a en la
propia trama al otro extremo, por lo que tambi(n ser! conocido. ?bservemos que al
via%ar el +6 en cada trama es sencillo de interceptar por un posible atacante.
El algoritmo de encriptacin de WEP es el siguiente@
-. #e calcula un &>& de 31 bits de los datos. Este &>&831 es el m(todo que
propone WEP para garantizar la integridad de los mensa%es )+&6, +ntegrity &ecA
6alue*.
1. #e concatena la clave secreta a continuacin del +6 formado el seed.
3. El P>2B )Pseudo8>andom 2umber Benerator* de >&4 genera una secuencia de
caracteres pseudoaleatorios )Aeystream*, a partir del seed, de la misma longitud que
los bits obtenidos en el punto -.
4. #e calcula la ? exclusiva )C?>* de los caracteres del punto - con los del punto 3.
El resultado es el mensa%e cifrado.
:. #e env"a el +6 )sin cifrar* y el mensa%e cifrado dentro del campo de datos )frame
body* de la trama +EEE /01.--.
El algoritmo para descifrar es similar al anterior. 7ebido a que el otro extremo conocer!
el +6 y la clave secreta, tendr! entonces el seed y con ello podr! generar el Aeystream.
>ealizando el C?> entre los datos recibidos y el Aeystream se obtendr! el mensa%e sin
cifrar )datos y &>&831*. A continuacin se comprobara que el &>&831 es correcto.

2.2.- !ebilidad del "ector de iniciali#acin
La implementacin del vector de inicializacin )+6* en el algoritmo WEP tiene varios
problemas de seguridad. >ecordemos que el +6 es la parte que var"a de la clave
)seed* para impedir que un posible atacante recopile suficiente informacin cifrada con
una misma clave.
#in embargo, el est!ndar /01.-- no especifica cmo mane%ar el +6. #eg;n ,1, </.1.3.
se indica que deber"a cambiarse en cada trama para me%orar la privacidad, pero no
obliga a ello. Dueda abierta a los fabricantes la cuestin de cmo variar el +6 en sus
productos. La consecuencia de esto es que buena parte de las implementaciones
optan por una solucin sencilla@ cada vez que arranca la tar%eta de red, se fi%a el +6 a 0
y se incrementa en - para cada trama. ' esto ocasiona que los primeras
combinaciones de +6s y clave secreta se repitan muy frecuentemente. E!s a;n si
tenemos en cuenta que cada estacin utiliza la misma clave secreta, por lo que las
tramas con igual clave se multiplican en el medio.
Por otro lado, el n;mero de +6s diferentes no es demasiado elevado )1F14G-= millones
aprox.*, por lo que terminar!n repiti(ndose en cuestin de minutos u oras ,=.. El
tiempo ser! menor cuanto mayor sea la carga de la red. Lo ideal ser"a que el +6 no se
repitiese nunca, pero como vemos, esto es imposible en WEP. La cantidad de veces
que se repite un mismo +6 depender! de la implementacin elegida para variar el +6
por el fabricante )secuencial, aleatoria, etc.* y de la carga de la red. ?bservemos que
es trivial saber si dos tramas an sido cifradas con la misma clave, puesto que el +6 se
env"a sin cifrar y la clave secreta es est!tica.
La longitud de 14 bits para el +6 forma parte del est!ndar y no puede cambiarse. Hien
es cierto que existen implementaciones con claves de -1/ bits )lo que se conoce como
WEP1*, sin embargo, en realidad lo ;nico que se aumenta es la clave secreta )-04
bits* pero el +6 se conserva con 14 bits. El aumento de la longitud de la clave secreta
no soluciona la debilidad del +6.
IDu( podemos acer una vez emos capturado varias tramas con igual +6, es decir,
con igual AeystreamJ 2ecesitamos conocer el mensa%e sin cifrar de una de ellas.
Kaciendo el C?> entre un mensa%e sin cifrar y el mismo cifrado, nos dar! el Aeystream
para ese +6. &onociendo el Aeystream asociado a un +6, podremos descifrar todas las
tramas que usen el mismo +6. El problema es entonces conocer un mensa%e sin cifrar,
aunque esto no es tan complicado, porque existen tr!ficos predecibles o bien,
podemos provocarlos nosotros )mensa%es +&EP de solicitud y respuesta de eco,
confirmaciones de L&P, etc.* ,=..
&on lo que emos descrito no podemos deducir la clave secreta, aunque s" es posible
generar una tabla con los +6s de los que sabemos su Aeystream, la cual permitir!
descifrar cualquier mensa%e que tenga un +6 contenido en la tabla ,=..
#in embargo, podemos llegar a m!s y deducir la clave secreta. Mna nueva
vulnerabilidad del protocolo WEP ,N. permite deducir la clave total conociendo parte de
la clave )%ustamente, el +6 que es conocido*. Para ello necesitamos recopilar
suficientes +6s y sus Aeystreams asociados obtenidos por el procedimiento anterior.

2.$.- %tras debilidades de WEP
WEP tambi(n adolece de otros problemas ,=, /. adem!s de los relacionados con el
vector de inicializacin y la forma de utilizar el algoritmo >&4.
Entre los ob%etivos de WEP, como comentamos m!s arriba, se encuentra proporcionar
un mecanismo que garantice la integridad de los mensa%es. &on este fin, WEP incluye
un &>&831 que via%a cifrado. #in embargo, se a demostrado ,=. que este mecanismo
no es v!lido y es posible modificar una parte del mensa%e y a su vez el &>&, sin
necesidad de conocer el resto. Esto permitir"a, por e%emplo, modificar alg;n n;mero de
la trama sin que el destino se percatara de ello. En lugar del algoritmo de &>& se
recomienda como +&6 )+ntegrity &ecA 6alue* un algoritmo dise$ado para tal fin como
#KA-8KEA& ,5..
El est!ndar +EEE /01.-- incluye un mecanismo de autentificacin de las estaciones
basado en un secreto compartido ,1, </.-.. Para ello se utiliza la misma contrase$a de
WEP en la forma que describimos a continuacin. Mna estacin que quiere unirse a
una red, solicita al punto de acceso autentificacin. El punto de acceso env"a un texto
en claro a la estacin y (sta lo cifra y se lo devuelve. El punto de acceso finalmente
descifra el mensa%e recibido, comprueba que su +&6 es correcto y lo compara con el
texto que envi.
El mecanismo anterior de autentificacin de secreto compartido tiene el problema de
enviar por la red el mismo texto sin cifrar y cifrado con la clave WEP )esta clave
coincide con la utilizada para asegurar la confidencialidad*. El est!ndar es consciente
de esta debilidad y aconse%a no utilizar el mismo +6 para el resto de transmisiones. #in
embargo, tanto si las implementaciones repiten ese +6 como sino, el mecanismo ofrece
informacin que podr"a ser aprovecada para romper la clave WEP utilizando las
debilidades del vector de inicializacin explicadas m!s arriba ,/..
WEP no incluye autentificacin de usuarios. Lo m!s que incluye es la autentificacin
de estaciones descrita )podr!n entrar aquellas estaciones que en su configuracin
tengan almacenada la clave WEP*. El sistema de autentificacin descrito es tan d(bil
que el me%or conse%o ser"a no utilizarlo para no ofrecer informacin extra a un posible
atacante. En este caso tendr"amos una autentificacin de sistema abierto ,1, </.-., es
decir, sin autentificacin.
Entre la larga lista de problemas de seguridad de WEP se encuentra tambi(n la
ausencia de mecanismos de proteccin contra mensa%es repetidos )replay*. Esto
permite que se capture un mensa%e y se introduzca en la red en un momento posterior.
El paquete podr"a ser, por e%emplo, el que contiene la contrase$a de un usuario para
utilizar un determinado servicio.
Lodos los problemas comentados unidos a las caracter"sticas propias de WEP como
es la distribucin manual de claves y la utilizacin de claves sim(tricas, acen que este
sistema no sea apropiado para asegurar una red inal!mbrica. El estudio de 2. Horisov,
+. Boldberg y 7. Wagner ,=. explica razonadamente que ninguno de los ob%etivos
planteados por WEP se cumplen.

2.&.- Alternati"as a WEP
Las vulnerabilidades explicadas de WEP son motivos m!s que suficientes para utilizar
otros mecanismos de seguridad en redes WLA2.
Aunque no forma parte del est!ndar, los fabricantes de productos Wi89i decidieron
ofrecer la posibilidad de utilizar claves del doble de longitud )de =4 bits a -1/ bits*.
WEP utilizado con claves de -1/ bits es lo que se conoce generalmente como WEP1.
#in embargo, debemos observar que la longitud del vector de inicializacin sigue
siendo de 14 bits )las tramas +EEE /01.-- no contemplan un mayor n;mero de bits
para enviar el +6*, por lo que lo ;nico que se a aumentado es la clave secreta )de 40
bits a -04 bits*. 7ebido a que la longitud del +6 y su forma de utilizarlo no var"an, las
debilidades del +6 pueden seguir siendo aprovecadas de la misma manera. WEP1 no
resuelve los problemas de WEP ,=..
?tra variante de WEP utilizada en algunas implementaciones es WEP din!mico. En
este caso se busca incorporar mecanismos de distribucin autom!tica de claves y de
autentificacin de usuarios mediante /01.-xOEAPO>A7+M#. >equiere un servidor de
autentificacin )>A7+M# normalmente* funcionando en la red. En el caso de que la
misma clave )clave secreta P WEP* no se utilice en m!s de una trama, este
mecanismo ser"a suficiente para compensar las principales debilidades de WEP.
#in embargo, la solucin preferida por las empresas como alternativa a WEP a sido la
utilizacin de 6P2s, de la misma manera que se ar"a si los usuarios estuviesen
conectados remotamente a la oficina. La tecnolog"a de 6P2s est! suficiente probada y
se considera segura, aunque no a sido dise$ada espec"ficamente para redes WLA2.
Liene como inconveniente la falta de interoperatibilidad entre dispositivos de distintos
fabricantes.
Los mecanismos dise$ados espec"ficamente para redes WLA2 para ser los sucesores
de WEP son WPA ,:. y WPA1 )+EEE /01.--i* ,3.. El primero es de 1003 y el segundo
se espera para 1004. #e estudian a continuacin.

$.- WPA
WPA )Wi89i Protected Access, acceso protegido Wi89i* es la respuesta de la
asociacin de empresas Wi89i a la seguridad que demandan los usuarios y que WEP
no puede proporcionar.
El +EEE tiene casi terminados los traba%os de un nuevo est!ndar para reemplazar a
WEP, que se publicar!n en la norma +EEE /01.--i a mediados de 1004. 7ebido a la
tardanza )WEP es de -555 y las principales vulnerabilidades de seguridad se
encontraron en 100-*, Wi89i decidi, en colaboracin con el +EEE, tomar aquellas
partes del futuro est!ndar que ya estaban suficientemente maduras y publicar as"
WPA. WPA es, por tanto, un subcon%unto de lo que ser! +EEE /01.--i. WPA )1003* se
est! ofreciendo en los dispositivos actuales.
WPA soluciona todas las debilidades conocidas de WEP y se considera
suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean
necesidad de cambiar a +EEE /01.--i cuando est( disponible.

$.1.- Caractersticas de WPA
Las principales caracter"sticas de WPA son la distribucin din!mica de claves,
utilizacin m!s robusta del vector de inicializacin )me%ora de la confidencialidad* y
nuevas t(cnicas de integridad y autentificacin.
WPA incluye las siguientes tecnolog"as@
Q +EEE /01.-C. Est!ndar del +EEE de 100- ,-0. para proporcionar un control de
acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado
para las ramas de un sRitc, tambi(n se puede aplicar a las distintas conexiones de un
punto de acceso con las estaciones. Las estaciones tratar!n entonces de conectarse a
un puerto del punto de acceso. El punto de acceso mantendr! el puerto bloqueado
asta que el usuario se autentifique. &on este fin se utiliza el protocolo EAP ,--. y un
servidor AAA )Autentication Autorization Accounting* como puede ser >A7+M#
)>emote Autentication 7ial8+n Mser #ervice* ,-1.. #i la autorizacin es positiva,
entonces el punto de acceso abre el puerto. El servidor >A7+M# puede contener
pol"ticas para ese usuario concreto que podr"a aplicar el punto de acceso )como
priorizar ciertos tr!ficos o descartar otros*.
Q EAP. EAP, definido en la >9& 11/4 ,--., es el protocolo de autentificacin
extensible para llevar a cabo las tareas de autentificacin, autorizacin y contabilidad.
EAP fue dise$ado originalmente para el protocolo PPP )Point8to8Point Protocol* ,-3.,
aunque WPA lo utiliza entre la estacin y el servidor >A7+M#. Esta forma de
encapsulacin de EAP est! definida en el est!ndar /01.-C ba%o el nombre de EAP?L
)EAP over LA2* ,-0..
Q LS+P )Lemporal Sey +ntegrity Protocol*. #eg;n indica Wi89i, es el protocolo
encargado de la generacin de la clave para cada trama ,4..
Q E+& )Eessage +ntegrity &ode* o Eicael. &digo que verifica la integridad de los
datos de las tramas ,4..

$.2.- 'e(oras de WPA res)ecto a WEP
WPA soluciona la debilidad del vector de inicializacin )+6* de WEP mediante la
inclusin de vectores del doble de longitud )4/ bits* y especificando reglas de
secuencia que los fabricantes deben implementar. Los 4/ bits permiten generar 1
elevado a 4/ combinaciones de claves diferentes, lo cual parece un n;mero
suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA
sigue siendo >&4. La secuencia de los +6, conocida por ambos extremos de la
comunicacin, se puede utilizar para evitar ataques de repeticin de tramas )replay*.
Para la integridad de los mensa%es )+&6*, se a eliminado el &>&831 que se demostr
inservible en WEP y se a incluido un nuevo cdigo denominado E+&.
Las claves aora son generadas din!micamente y distribuidas de forma autom!tica
por lo que se evita tener que modificarlas manualmente en cada uno de los elementos
de red cada cierto tiempo, como ocurr"a en WEP.
Para la autentificacin, se sustituye el mecanismo de autentificacin de secreto
compartido de WEP as" como la posibilidad de verificar las direcciones EA& de las
estaciones por la terna /01.-C O EAP O >A7+M#. #u inconveniente es que requiere de
una mayor infraestructura@ un servidor >A7+M# funcionando en la red, aunque tambi(n
podr"a utilizarse un punto de acceso con esta funcionalidad.

$.$.- 'odos de uncionamiento de WPA
WPA puede funcionar en dos modos@
Q &on servidor AAA, >A7+M# normalmente. Este es el modo indicado para las
empresas. >equiere un servidor configurado para desempe$ar las tareas de
autentificacin, autorizacin y contabilidad.
Q &on clave inicial compartida )P#S*. Este modo est! orientado para usuarios
dom(sticos o peque$as redes. 2o requiere un servidor AAA, sino que se utiliza una
clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta
clave slo se utiliza como punto de inicio para la autentificacin, pero no para el cifrado
de los datos.

&.- WPA2 *IEEE +,2.11i-
/01.--i ,3. es el nuevo est!ndar del +EEE para proporcionar seguridad en redes
WLA2. #e espera que est( concluido todo el proceso de estandarizacin para
mediados de 1004. Wi89i ,4. est! aciendo una implementacin completa del est!ndar
en la especificacin WPA1.
#us especificaciones no son p;blicas por lo que la cantidad de informacin disponible
en estos momentos es realmente escasa.
WPA1 incluye el nuevo algoritmo de cifrado AE# )Advanced Encryption #tandard*,
desarrollado por el 2+# ,-4.. #e trata de un algoritmo de cifrado de bloque )>&4 es de
flu%o* con claves de -1/ bits. >equerir! un ardRare potente para realizar sus
algoritmos. Este aspecto es importante puesto que significa que dispositivos antiguos
sin suficientes capacidades de proceso no podr!n incorporar WPA1.
Para el aseguramiento de la integridad y autenticidad de los mensa%es, WPA1 utiliza
&&EP )&ounter8Eode O &iper HlocA &aining O Eessage Autentication &ode
Protocol* en lugar de los cdigos E+&.
?tra me%ora respecto a WPA es que WPA1 incluir! soporte no slo para el modo H##
sino tambi(n para el modo +H## )redes ad8oc*.

..- Conclusiones
La seguridad en las redes inal!mbricas es un aspecto cr"tico que no se puede
descuidar. 7ebido a que las transmisiones via%an por un medio no seguro, se requieren
mecanismos que aseguren la confidencialidad de los datos as" como su integridad y
autenticidad.
El sistema WEP, incluido en la norma +EEE /01.-- para proporcionar seguridad, tiene
distintas debilidades que lo acen no seguro, por lo que deben buscarse alternativas.
Lanto la especificacin WPA como +EEE /01.--i solucionan todos los fallos conocidos
de WEP y, en estos momentos, se consideran soluciones fiables.
La venta%a de WPA es que no requiere de actualizaciones de ardRare en los equipos.
Eientras no se descubran problemas de seguridad en WPA, esta implementacin
puede ser suficiente en los dispositivos para los prximos meses.
La apuesta de seguridad del +EEE para sustituir al desafortunado WEP, /01.--i,
todav"a est! pendiente de ser estudiada en profundidad por investigadores debido a
que sus especificaciones no son p;blicas.