Protocolos de seguridad en redes inalámbricas Universidad Carlos III de Madrid Protocolos de Comunicaciones para Sistemas Móviles Saulo Barajas 7jun04 Contenido Introducción WEP Debilidades de WEP WPA WPA2 (IEEE 802.11i) Conclusiones Preguntas y comentarios Protocolos de seguridad en redes inalámbricas 2 Introducción Se puede recibir una señal ajena sin dejar rastro y capturar información confidencial encriptar wardriving Un tercero puede conectarse y utilizar recursos de una red ajena autentificar usuarios Ataques activos: modificar paquetes o inyectar nuevos garantizar integridad El medio se considera no seguro, por lo que se deben tomar precauciones similares a las de usuarios conectados remotamente por Internet. Protocolos de seguridad en redes inalámbricas 3 WEP: características WEP (Wired Equivalent Privacy), mecanismo de seguridad incluido en la especificación IEEE 802.11. Una sola clave, simétrica y estática Punto de acceso Distribución manual de claves No autentifica usuarios Algoritmo de encriptación: RC4 WEP WEP PC PC Claves de 64 bits (40 fijos + 24 cambiantes). Los 24 bits son el vector de inicialización (IV). Se envía al destino sin encriptar. Protocolos de seguridad en redes inalámbricas 4 WEP: encriptación mensaje en claro CRC XOR Clave keystream RC4 IV IV mensaje cifrado datos transmitidos El keystream lo produce el algoritmo RC4 en función de la clave (40 bits) y el IV (24 bits). Aunque se utilice una clave de más bits, el IV siempre será de 24 bits (p. ej. 128 = 104 + 24). El IV se transmite sin cifrar. Para desencriptar: mensaje cifrado XOR keystream. Protocolos de seguridad en redes inalámbricas 5 WEP: debilidad del IV El estándar especifica que el IV debería cambiarse en cada paquete, pero no indica cómo. Existen 2^24 combinaciones de claves diferentes: no son tantas y además unas pocas se utilizan a menudo (mala elección de los IV). Suele repetirse la misma secuencia de IVs cada vez que se reinicia la tarjeta. IV 24 bits 0 1 2 ... clave clave clave clave ... Dependiendo de la carga de la red y la implementación de WEP, podrían encontrarse IVs repetidos incluso en cuestión de minutos. Protocolos de seguridad en redes inalámbricas 6 WEP: debilidad del IV Conociendo un mensaje en claro y el mismo cifrado, se obtiene el keystream (XOR). Esto permitirá descifrar todos los mensajes con igual IV. Por otro lado, debido a una debilidad de RC4 cuando se conoce parte de la clave (el IV) y sus keystreams, se puede deducir la clave total usada. IV1 ... IVn keystream1 ... clave keystreamn Protocolos de seguridad en redes inalámbricas 7 WEP: otros problemas Debido a que no dispone de un mecanismo de distribución de claves automático, la clave no suele cambiarse nunca. La misma clave se almacena tanto en el punto de acceso como en todas las estaciones. WEP carece de mecanismos de protección contra paquetes falsificados o repetidos (replay). El CRC se incluyó como un mecanismo de integridad, pero se ha demostrado que no sirve. mensaje CRC ?????1??? ??1?? Protocolos de seguridad en redes inalámbricas 8 WEP: alternativas “WEP2” utiliza claves de 104+24 bits. No está estandarizado. Obsérvese que el uso de claves mayores no resuelve los problemas de WEP. “WEP dinámico” incluye distribución de claves mediante 802.1x/EAP/RADIUS. Utilización de VPNs (p. ej. IPSec) para todas las comunicaciones con hosts inalámbricos solución segura, elegida por numerosas empresas. WPA WPA2 (IEEE 802.11i) Protocolos de seguridad en redes inalámbricas se estudian a continuación 9 WPA WPA (Wi-Fi Protected Access) liderado por Wi-Fi Alliance. No es un estándar, sino un subconjunto de lo que será IEEE 802.11i. Fue anunciado en octubre de 2002. WPA 802.1X control de acceso basado en puertos EAP protocolo de autentificación extensible TKIP claves temporales (dinámicas) MIC integridad de mensajes Protocolos de seguridad en redes inalámbricas 10 WPA: problemas de WEP resueltos Debilidad de IV de WEP IV de 48 bits. Se especifica cómo debe cambiarse. Integridad débil (CRC) de WEP Códigos MIC Claves estáticas y manuales Claves generadas dinámicamente y distribución automática. Autentificación mínima Autentificación fuerte de usuarios a través de 802.1X/EAP/RADIUS. “WPA resuelve todos los problemas conocidos de WEP” Protocolos de seguridad en redes inalámbricas 11 WPA: modos de funcionamiento Con servidor AAA (RADIUS) Con clave inicial compartida (PSK) Esta clave sólo se usa para la autent. no para la encriptación Protocolos de seguridad en redes inalámbricas 12 WPA2 (IEEE 802.11i) Estándar del IEEE para mejorar la seguridad de las redes WLAN Se espera que sea ratificado en junio de 2004 WEP y WPA2 utilizan RC4. WPA2 incluye el algoritmo de encriptación AES. AES (Advanced Encryption Standard), algoritmo simétrico de bloque con claves de 128 bits. Requerirá HW más potente. Protocolo Counter-Mode/CBC-MAC (CCMP) Incluye soporte para redes ad-hoc (WPA es válido sólo para BSS). Protocolos de seguridad en redes inalámbricas 13 Conclusiones El medio inalámbrico se considera no seguro obligatorio protocolos seguridad. El protocolo WEP ha sido roto de diferentes maneras no es seguro WPA es una propuesta de transición para asegurar redes WLAN, antes de que esté disponible el estándar 802.11i. WPA2 (IEEE 802.11i) se espera en 2004. Requiere actualización de HW. Más seguro, aunque según casos WPA puede ser suficiente. Protocolos de seguridad en redes inalámbricas 14 Protocolos de seguridad en redes inalámbricas Preguntas y comentarios