FACULTADE DE INFORMÁTICA. Seguridad en redes Wireless

Transcripción

1 UNIVERSIDADE DA CORUÑA FACULTADE DE INFORMÁTICA SEGURIDADE EN SISTEMAS DA INFORMACIÓN Seguridad en redes Wireless Autores: Lucas Andión Montáns Tamara Sánchez Valcarce

2 Índice general 1. Introducción a las redes inalámbricas Tecnologías Wireless: Topologías Wireless: Estándares : Seguridad en Wireless Control de inicio de la comunicación Control de conexión a una WLAN Métodos de control de acceso Closed network Access control lists Aplicaciones de 802.1x en wireless para control de acceso Métodos de autenticación OSA SKA Cifrado de la comunicación WEP Vulnerabilidades de WEP Ataques a WEP WEP WPA Ataques a redes wireless: Romper ACL s basados en MAC Ataque de Denegación de Servicio (DoS) Descubrir ESSID ocultos Ataque Man in the middle: Ataque ARP Poisoning Seguridad física en redes Wireless Potencia de emisión: Jaulas de Faraday Elección y emplazamiento de los AP Revisiones de perímetro

3 Capítulo 1 Introducción a las redes inalámbricas Siglas básicas para la comprensión del texto: WLAN: Wireless LAN". Se denomina wireless a las comunicaciones inalámbricas, en las que se utilizan modulación de ondas electromagnéticas, radiaciones o medios ópticos. Estás se propagan por el espacio vacío sin medio físico que comunique cada uno de los extremos de la transmisión. Host o cliente: llamaremos host o cliente durante el presente texto específicamente a los dispositivos conectados mediante la red inalámbrica. AP: "Access Point" punto de acceso que interconecta host en una red Infraestructura. ESSID: Cada red wireless tiene un ESSID (Extended Service Set Identifier), que la identifica. El ESSID consta de cómo máximo 32 caracteres y es case-sensitive. Es necesario conocer el ESSID del AP para poder formar parte de la red wireless, es decir, el ESSID configurado en el dispositivo móvil tiene que concordar con el ESSID del AP. BSSID: Es la dirección MAC del AP de la red Tecnologías Wireless: Hay múltiples tecnologías de comunicación inalámbrica, aunque por abuso de lenguaje el término "Wireless" se aplica a las redes Como no son el objetivo de este trabajo sólo mencionaremos su existencia: HomeRF: Diseñado para el acceso a Internet de los aparatos de uso doméstico, los nodos que se conectan a un "Punto de control" de HomeRF son desde ordenadores, radios, teclados, ratones, teléfonos IP" IrDA: Tecnología de infrarrojos empleada en distancias cortas para comunicar dispositivos a bajo coste. Empleada en móviles, portátiles y PDA"s. Es necesaria línea visual entre las dos partes de la comunicación. Bluetooth: Empleada en dispositivos más modernos para la misma funcionalidad que los infrarrojos, más cara y no necesita una línea de visión entre los extremos de la comunicación. GSM: Red de conmutación de circuitos empleada para proporcionar servicios telefónicos. 3

4 CAPÍTULO 1. INTRODUCCIÓN A LAS REDES INALÁMBRICAS 4 GPRS: Mejora la anterior ofreciendo una red de conmutación de paquetes sobre la misma. UMTS: Tercera generación de telefonía móvil, con una red completamente de conmutación de paquetes que opera en los 3G. Radio, televisión Topologías Wireless: Modo ad-hoc Esta topología se caracteriza por que no hay Punto de Acceso (AP), las estaciones se comunican directamente entre si (peer-to-peer), de esta manera el área de cobertura está limitada por el alcance de cada estación individual. Modo infraestructura Figura 1.1: Topología ad-hoc. Como mínimo se dispone de un Punto de Acceso (AP), las estaciones wireless no se pueden comunicar directamente, todos los datos deben pasar a través del AP. Todas las estaciones deben ser capaces de ver al AP. La mayoría de las redes wireless que podemos encontrar en las empresas utilizan modo infraestructura con uno o más Puntos de Acceso. El AP actúa como un HUB en una LAN, redistribuye los datos hacia todas las estaciones Estándares : IEEE es una familia de especificaciones para WLANs (Wireless Local Area Networks). La creación de este estándar comenzó en el 1989, quedando estandarizada en El estándar original, ofrece de 1 a 2 Mbps de ancho de banda en la banda de los 2.4 GHz (Banda pública), usando FHSS o DSSS. La modulación empleada es la PSK (commonly Phase- Shift Keying).

5 CAPÍTULO 1. INTRODUCCIÓN A LAS REDES INALÁMBRICAS 5 Figura 1.2: Topología Infraestrutura. Extensiones al protocolo original: b Creado en 1999, aumenta el ancho de banda hasta los 11Mbps, permitiendo trabajar también a 5.5, 2 o 1Mbps en la banda de frecuencia de los 2.4GHz según la fuerza de la señal; así se evita la interrupción de la transmisión cuando el cliente esta lejos del punto de acceso. Emplea CCK (complementary code checking), que permite velocidades de transmisión de datos mayores que PSK, junto con una variación de DSSS. Antes de ser desplazado por el g (por dar este mayor velocidad) era el estándar más empleado en soluciones wireless, al ser compatible con y entre productos de diferentes marcas, gracias a la WECA (Wireless Ethernet Compatibility Alliance: ) y su denominación "Wi-Fi compatible" a Extensión creada para corregir las deficiencias de las anteriores revisiones. Aumenta el ancho de banda a los 54Mbps gracias al empleo de modulación OFDM (Orthogonal Frequency-Division Multiplexing).Transmite en una banda de frecuencias entre los 5-6GHz. Emplea FHSS o DSSS. El empleo de una banda distinta de los 2.4GHz (la banda pública) hace que se elimine el riesgo de interferencias que existe en esa banda: microondas, etc. Ej.: En las cafeterías Starbucks se ofrece acceso público a Internet a través de Wireless, y un grupo de personas que quería sabotearlo simplemente empleó microondas conectados a las baterías de sus coches en frente de estos establecimientos d: Estándar para la capa MAC de que permite a los puntos de acceso comunicar información sobre los canales y frecuencias permitidos así como la potencia de emisión de los usuarios del punto de acceso. Este estándar permite añadir restricciones para permitir que los dispositivos gíreles operen sin preocuparse del país en que se encuentren. Por ejemplo, en Europa, a diferencia de EEUU no se puede emplear la banda de los 5GHz e: Otro estándar para la capa MAC de que le proporciona soporte QOS (Calidad de servicio) a las redes b, 11a y 11g. Es un estándar esencial para la retransmisión de vídeo y audio en redes inalámbricas f: Documento de prácticas recomendadas que sugiere que los puntos de acceso puedan operar con clientes wireless de cualquier vendedor. El estándar define el registro de puntos de acceso en una red y el intercambio de información que se produce cuando un usuario entra o sale en el radio de cobertura de un punto de acceso.

6 CAPÍTULO 1. INTRODUCCIÓN A LAS REDES INALÁMBRICAS 6 Figura 1.3: Principales estandares wireless g: Este estándar proporciona un ancho de banda desde 20Mbps hasta 56Mbps, emitiendo en la banda de los 2,4GHz. Sus principales ventajas son: la compatibilidad con las redes basadas en b y el hecho de que opera en los 2,4GHz, (la banda libre en Europa). Emplea modulación OFDM y, además, para mantener la compatibilidad con b, modulación CCK. Como opción para aumentar la velocidad de transmisión implementa modulación PBCC (Packet Binary Convolutional Coding) esto hace que disponga de tres tipos de modulación diferentes. El que se haya incluido CCK está claro, pero el en el caso de OFDM y PBCC las razones son más bien conflictos de intereses entre fabricantes h: Otro estándar de capa de acceso al medio (MAC) para necesario para que los productos wireless cumplan las regulaciones europeas de emisión, y que permitirá emitir en la banda de los 5GHz también en Europa, proporcionando capacidad de control de potencia de emisión y selección dinámica de frecuencia. Claro está que esto depende de la legislación aplicable, pero países como el Reino Unido y Holanda ya estudian su aprobación i: Este es el estándar que más interesante en cuestión de seguridad, aunque como veremos más adelante, la seguridad en wireless deja mucho que desear en la actualidad. Es aplicable a los estándares b, 11a, y 11g y proporciona una alternativa "más segura" a WEP (Wired Equivalent Privacy): WPA, que es básicamente el anterior estándar con métodos mejorados de cifrado y procedimientos de autenticación. El uso de IEEE 802.1X (que se detalla a más adelante) forma parte de este estándar. Este estándar es uno de los requerimientos actuales para fabricar dispositivos Wi-Fi Certified. En un futuro cercano se plantea obligar a los fabricantes a activarlo por defecto en sus dispositivos para obtener dicha certificación. Aunque recientes noticias hablan de una "vulnerabilidad" de WPA con claves pequeñas (menores de 20 bytes) que hace que se pueda romper la clave solo capturando los paquetes del proceso de establecimiento de la comunicación. Aunque no parece realmente una vulnerabilidad sino un mal uso de la tecnología por parte del usuario que no establece claves adecuadas, creemos que debería obligarse a emplear claves mayores.

7 Capítulo 2 Seguridad en Wireless 2.1. Control de inicio de la comunicación Control de conexión a una WLAN Como podemos ver en la imagen 2.1, la conexión a una red inalámbrica pasa por varios estados. Los Puntos de Acceso mandan constantemente anunciados en la red, para que los clientes móviles puedan detectar su presencia y conectarse a la red wireless. Estos anuncios son conocidos como Beacon Frames. Si esnifamos las tramas de una red wireless podremos ver que normalmente el AP manda el ESSID de la red en los Beacom Frames, aunque esto se puede deshabilitar por software en la mayoría de los AP que se comercializan actualmente. El cliente también puede enviar una trama prove request que contenga un ESSID determinado para ver si le responde un AP que tenga el mismo ESSID. En la transición por los diferentes estados, el host y el AP intercambian mensajes llamados management frames. Después de identificar al AP, el cliente y el AP realizan autenticación mutua intercambiando varios management frames como parte del proceso. Hay varios mecanismos de autenticación posibles que se presentarán en el siguiente punto. Una vez que esta autenticado todavía debe asociarse antes de establecer la conexión, para ello el cliente debe mandar una trama association request y el AP debe contestar con una trama association response, entonces el cliente se convierte en un host más de la red wireless y ya está listo para enviar y recibir datos de la red. En definitiva los pasos que se siguen en una conexión desconexión son: no autenticado autenticado y no asociado autenticado y asociado conectado - autenticado y no asociado no autenticado desconectado Métodos de control de acceso Closed network Se basa sencillamente en no anunciar el nombre de la red (SSID). Es un mecanismo propietario de Lucent, que también implementan otros fabricantes. Efectivo como medida básica de seguridad ya que si no anunciamos en nombre de nuestra WLAN este actúa como un secreto compartido entre los usuarios, que deben disponer de el para acceder a la red. Pues recordemos 7

8 CAPÍTULO 2. SEGURIDAD EN WIRELESS 8 Figura 2.1: Estados de una conexión a una red wireless. que la mayor debilidad de las redes wireless es que toda persona que se encuentre en el radio de alcance de la red es un usuario potencial de la misma Access control lists Son listas de acceso en el AP que limitan el acceso de hosts al mismo, lista de acceso con las direcciones MAC permitidas. Este método no está definido por el estándar , pero sí lo implementan la mayoría de los fabricantes en sus productos Como sabemos, el hecho de tener una MAC concreta no identifica inequívocamente a un host, pues la MAC se puede cambiar y cualquiera que conozca una MAC con acceso a esa WLAN podría configurar su dispositivo inalámbrico con la misma Aplicaciones de 802.1x en wireless para control de acceso Aunque la auténtica seguridad en WLAN s se logra empleando VPN, ipsec o Kerberos (aunque este haya dado problemas con el hermano mejorado de WEP, WEP2) no es el objetivo de este documento x no es específico para wireless, y se verá con más profundidad en otro de los trabajos de esta asignatura, pero aun así proporciona mejoras para el control de acceso en WLAN s, de hecho fabricantes como CISCO han diseñado protocolos propios empleando las funcionalidades que proporciona 802.1x en los niveles superiores a la capa MAC. Otros fabricantes como Linksys han seguido sus pasos y mediante un sencillo proceso de configuración es posible usar estos protocolos x se emplea en wireless añadiendo un Servidor de Autenticación a la transmisión de información como podemos ver en la imagen 2.2, así cualquier host que desee conectarse a la WLAN deberá autenticarse a través de este servidor que, en caso que se produzca de manera satisfactoria habilitará un puerto de conexión que le permitirá al host acceder a los servicios de la WLAN x proporciona también la posibilidad de distribuir claves WEP, además del control de autenticación.

9 CAPÍTULO 2. SEGURIDAD EN WIRELESS 9 Figura 2.2: 802.1x en Wireless. Veamos a continuación qué ventajas aporta 802.x a la comunicación en redes inalámbricas así como se integran con otras posibles medidas de seeguridad también vistas en la asginatura: EAP 1 : Es un método de autenticación entre un usuario y un Servidor. Aquí la comunicación se establece entre el usuario y el servidor, no el AP x establece como se encapsulan estos paquetes. EAP soporta varios mecanismos de autenticación como los vistos durante la asignatura: tarjetas clave, certificados digitales, biometría. Ofrece seguridad en la capa de aplicación. Su funcionamiento puede verse en la imagen 2.3. EAP-TLS: 2 Basado en certificados, necesita configuración de la máquina para establecer el certificado e indicar el servidor de autenticación. EAP-TLS usa el mecanismo TLS de certificado de clave pública en EAP para obtener autenticación mutua cliente-servidor. PEAP: 3 Proporciona autenticación basada en passwords, aquí sólo el servidor de Autenticación necesitaría un certificado TLS. El cliente y el servidor intercambian una secuencia de mensajes EAP encapsulados en la capa de transporte con TSL y estos mensajes son autenticados y cifrados usando las claves de sesión TSL negociadas entre el cliente y el servidor. Con PEAP obtenemos, por lo tanto autenticación y cifrado de transmisión, pudiendo ser usado para intercambio de claves WEP, como veremos en EAP-TTLS. EAP-TTLS: 4 Funcionamiento similar a PEAP, está implementado en algunos servidores Radius (Aunque podría hacelo otro cualquiera) y en software diseñado para emplearse en wireless. Esta es la usada en la red de la facultad, y su funcionamiento se resume en la imagen 2.4. Así, al igual que se hace con LAN s con acceso a internet, estamos logrando seguridad perimetral, aunque un posible atacante logre acceder a la WLAN, no lo hará a la red interna (en principio). Aquí hay que redundar en una advertencia tan básica como importante: nunca se debe hacer bridging entre una WLAN y la red Interna. Quizás sea LA recomendación con mayúsculas, aunque el desconocimiento de las debilidades de las medidas de protección en Wireless puede hacer que esta precaución no se tome tan en serio como debiera. Pero hay que tener en cuenta que en cuanto un usuario logre acceso a 1 Extensible Authentication Protocol 2 EAP with Transport Layer Security 3 Protected EAP 4 EAP with Tunneled Transport Layer Security

10 CAPÍTULO 2. SEGURIDAD EN WIRELESS 10 Figura 2.3: Control de acceso con EAP. la WLAN tendrá acceso a toda nuestra red inmediatamente. (Y no hablemos ya de tener DHCP activado) LEAP 5 : Solución de EAP propietaria de CISCO, aunque también implementada por otros fabricantes. La configuración del EAP de CISCO a través de su interfaz la podemos ver en la imagen 2.5. Ventajas más importantes En general la ventaja de seguridad que aportan estas técnicas es autenticación mutua. Permite que el host que se conecte identifique al punto de acceso al que se va a conectar y que se identifique al mismo. El host poseerá un login y pass que será verificado por la autoridad certificadora, un servidor Radius, Kerberos o de otro tipo. Esto asegura no solo a los usuarios autenticados se les de acceso a la red, sino también que los host sepan a quien se conectan, para que un AP impostor no pueda hacerse pasar por el verdadero. Distribución de claves WEP Si la autenticación se realiza satisfactoriamente, el algoritmo LEAP genera dinámicamente una clave WEP de sesión única. Esto reduce la posibilidad de que la clave sea descubierta, pues en el caso de que una así lo sea en la siguiente sesión ya no será válida. 5 LightWeight EAP

11 CAPÍTULO 2. SEGURIDAD EN WIRELESS 11 Figura 2.4: EAP-TTLS - la conexión empleada en udcwifi-wpa. Figura 2.5: Configuración de LEAP.

12 CAPÍTULO 2. SEGURIDAD EN WIRELESS 12 Inconvenientes El uso de certificados conlleva coste de administración, una autoridad certificadora debe autenticar a todo usuario que se conecte. El número de mensajes a intercambiar entre el cliente y el servidor para obtener acceso, y en redes wireless, en las que los usuarios pueden cambiar de punto de acceso en la red cada poco tiempo y deben ser reautenticados. Lo que se autentifica es un dispositivo, no un usuario, por lo que el certificado debe estar almacenado de manera segura, en una tarjeta inteligente, por ejemplo, si se almacena en el dispositivo acarrea problemas obvios de seguridad como hemos ido viendo en la asignatura X en la vida real(tm) con Software libre Si deseamos probar Radius como usuario doméstico sin invertir dinero, podemos hacerlo empleando el programa HostAP, que permite a un dispositivo wireless funcionar como AP, y está capacitado para implementar 802.1X for testing Requisitos: Compilar el demonio hostapd (incluido en el paquete hostap) en el AP: #cd hostapd #make #hostapd /etc/hostapd.conf Servidor RADIUS Freeradius. Cliente Linux Xsupplicant para autenticación EAP-TLS. HostAP soporta envío aleatorio de WEP a las estaciones (la misma a todas las estaciones o diferente a cada una) Métodos de autenticación Además de los métodos de autenticación vistos con el empleo de 802.1x, proporciona otros dos, uno estándar que no la realiza en absoluto, y el empleado con WEP, en el que se usa la clave de cifrado como clave de acceso OSA 6 Es el protocolo de autenticación por defecto de El sistema autentifica a cualquiera que lo solicite, por ello este método está considerado como nula autenticación. Todo el proceso se realiza en claro, AUNQUE SE ESTE USANDO WEP, así, un cliente puede autenticarse sin poseer la clave WEP de la red SKA 7 En el método de clave compartida, cada host que se conecte a un AP debe estar en posesión de la clave correspondiente para poder ser autenticado. WEP permite que se deniegue el acceso a cualquiera que no posea la clave; clave que es la misma empleada para cifrar y descifrar las tramas. Sólo se puede usar SKA, usando también WEP. El proceso de autenticación se realiza con un intercambio de 4 tramas como la que se muestran en la imagen Open System Authentication 7 Shared Key Authentication

13 CAPÍTULO 2. SEGURIDAD EN WIRELESS 13 Figura 2.6: Tramas intercambiadas en SKA. Donde: El campo de ESTADO en la trama de autenticación puede ser cero cuando ha habido éxito y si no un valor de error. El campo ID vale 1 o 0 dependiendo de si en esa trama se incluye texto de desafío o no. El tamaño del texto de desafíos será siempre de 128 bits. El proceso a seguir puede verse en la imagen 2.7: 1. El Solicitante que desea conectarse al host o AP envía una trama de autenticación que le solicita al punto de acceso (u otro terminal en el caso de una red ad-hoc, pero haremos en ejemplo con un AP) que le envíe una petición de autenticación. 2. Este le responde son una trama de gestión de autenticación que contiene 128 bits de Challenge text, que usa para saber si el terminal que solicita la autenticación conoce la clave. 3. Esto lo hace esperando otra trama de autenticación del solicitante, que debe cifrar el texto de desafío con su clave WEP, y si esta coincide al descifrarla con el texto que le ha enviado previamente y el CRC es correcto, el AP procede a la autenticación del solicitante. Como hemos visto en el punto anterior una vez se ha realizado la autenticación, se envía una petición de asociación con el AP, si es aceptada se puede iniciar la comunicación Cifrado de la comunicación WEP Las redes Wireless (WLANs) son de por sí más inseguras que las redes con cables, ya que el medio físico utilizado para la transmisión de datos son las ondas electromagnéticas. Para proteger los datos que se envían a través de las WLANs, el estándar b define el uso del protocolo WEP (Wired Equivalent Privacy). WEP intenta proveer de la seguridad de una red con cables a una red Wireless, cifrando los datos que viajan sobre las ondas radioeléctricas en la capa física y capa de enlace. El protocolo

14 CAPÍTULO 2. SEGURIDAD EN WIRELESS 14 Figura 2.7: Proceso de autenticación SKA. WEP está basado en el algoritmo de encriptación RC4, y utiliza claves de 64bits o de 128bits. En realidad son de 40 y 104 bits, como siempre el marketing hace que se anuncien como de 64 y 128, pero los otros 24 bits van en el paquete como Vector de Inicialización (IV), que no va cifrado. Se utiliza un checksum para prevenir que se inyecten paquetes mediante spoofing, aunque como veremos existen ataques de inyección de paquetes en WEP. Cifrado de datos en WEP La clave de 40 ó 104 bits, se genera a partir de una frase clave estática de forma automática, aunque existe software que permite introducir esta clave manualmente. La clave o la frase clave debe ser conocida por todos los clientes que quieran conectarse a la red wireless que utiliza WEP, esto implica que muchas veces se utilice una clave fácil de recordar y que no se cambie de forma frecuente. A partir de la frase clave se generan 4 claves de 40 bits, aunque sólo una de ellas se utilizará para la cifrado WEP. Este es el proceso que se realiza para generar las claves: 1. Se hace una operación XOR con la cadena ASCII de la frase clave (MI FRASE CLAVE) que queda transformada en una semilla de 32 bits que utilizará el generador de números seudo aleatorios (PRNG) para generar 40 cadenas de 32 bits cada una. 2. Se toma un bit de cada una de las 40 cadenas generadas por el PRNG para construir una clave y se generan 4 claves de 40 bits. Como hemos comentado, de estas 4 claves sólo se utilizará una para realizar el cifrado WEP cómo podems ver en la imagen 2.8.

15 CAPÍTULO 2. SEGURIDAD EN WIRELESS 15 Figura 2.8: Generación de claves para la comunicación con WEP. Para generar una trama cifrada con WEP partimos de la trama que se quiere enviar. Esta trama sin cifrar está compuesta por una cabecera (Header) y contiene unos datos. El primer paso es calcular el CRC de 32 bits de los datos de la trama que se quiere enviar. El CRC genera un identificador único de esos datos en concreto, y nos servirá para verificar que los datos recibidos son los mismos que los enviados, ya que el resultado del CRC será el mismo. Añadimos este CRC ( imagen 2.9) a la trama como valor de chequeo de integridad: ICV 8. Figura 2.9: El ICV en WEP. Por otra parte seleccionamos una clave de 40 bits, de las 4 claves posibles. Figura 2.10: Selección de la clave. El Vector de Inicialización El IV es simplemente un contador que suele ir cambiando de valor a medida que vamos generando tramas, aunque según el estándar b también puede ser siempre cero. Con el IV de 24 bits y la clave de 40 conseguimos los 64 bits de clave total que utilizaremos para cifrar la trama. En el caso de utilizar encriptación de 128 bits tendríamos 24 bits de IV y 104 de clave. Tras seleccionar la clave, como podíamos ver en la imagen 2.10, este se enviará con el IV. 8 Integrity Check Value

16 CAPÍTULO 2. SEGURIDAD EN WIRELESS 16 Figura 2.11: El IV con la clave. Llegado a este punto, aplicamos el algoritmo RC4 al conjunto IV+Clave seleccionada y conseguiremos el keystream o flujo de clave. Realizando una operación XOR con este keystream y el conjunto Datos+ICV obtendremos los Datos+ICV cifrados. Se utiliza el IV y la clave seleccionada para cifrar los Datos+ICV; después añadimos la cabecera y el IV+Numero de clave seccionada sin cifrar. Así queda la trama definitiva lista para ser enviada, todo este proceso se vé más claramente en la imagen Figura 2.12: Envío de datos cifrados con WEP. Proceso de descifrado en WEP Veamos ahora el proceso que se realiza para descifrar una trama cifrada con WEP, explicación tras la que mostraremos un diagrama con el proceso completo. Se utiliza el número de clave que aparece en claro en la trama cifrada (Recordemos que iba junto con el IV), para seleccionar la clave que se ha utilizado para cifrar la trama: Figura 2.13: Selección de clave apropiada. Se añade el IV al principio de la clave seleccionada, consiguiendo así los 64 bits de clave. Aplicando RC4 a esta clave obtenemos el keystream (flujo de clave) válido para obtener la trama en claro (plaintext) realizando una XOR con los datos+icv cifrados y la clave completa:

17 CAPÍTULO 2. SEGURIDAD EN WIRELESS 17 Figura 2.14: Descifrado con la clave WEP. Una vez obtenido el plaintext (texto en claro), se vuelve a calcular el ICV de los datos obtenidos y se compara con el original. El proceso al completo quedaría como se puede ver en la imagen Figura 2.15: Proceso al completo de comunicación WEP. Manejo de claves en WEP: El estándar deja la mayor responsabilidad en este aspecto en manos del fabricante. Aunque las soluciones empleadas por estos no serán vistas en este texto, al considerar los autores que carecen de futuro en redes estándar y ante la llegada de i y WPA que intenta solucionar este aspecto del funcionamiento de WEP. Lo que si determina el estándar de la IEEE es el uso de las claves WEP, se distinguen dos métodos diferenciados: El primero es el uso de cuatro claves WEP, como se ha visto en el ejemplo anterior de funcionamiento. Cada host o AP posee cuatro claves WEP y la comunicación se establece con sólo una de ellas. Otra manera es el uso de una clave para cada MAC de los hosts conectados a un AP, este método solo tiene sentido en redes Infraestructura, pues el objetivo es reducir la posibilidad de que un atacante decodifique la clave WEP de la red, al circular un menor número de tramas con la misma clave. El estándar establece que la tabla de claves y direcciones MAC debe ser al menos de 10 entradas (aunque no se usen todas) y sin un máximo definido, aunque si estará limitado por el hardware. Aunque los problemas que generan los estándares de seguridad serán vistos más adelante en este documento, hay que tener bien presente que el hecho de que las claves han de ser

18 CAPÍTULO 2. SEGURIDAD EN WIRELESS 18 introducidas manualmente hace que se cambien con muy poca frecuencia o que sencillamente no se cambien, además de que se puede introducir solo una frase clave que genera las 4 claves WEP Vulnerabilidades de WEP Existen cuatro magníficos trabajos que descubrieron toda la gama de debilidades de WEP, de ellos se extraen los ataques implementados en los programas que rompen este cifrado. 1. El trabajo de N. Borisov, I. Goldberg, and D. Wagner, de la UC Berkeley: Intercepting Mobile Communications: The Insecurity of Demostró serias debilidades en este sistema y es la referencia por excelencia empleada para lograr decodificar WEP. El texto original puede encontrarse en: 2. Scott Fluhrer, Itsik Mantin y Adi Shamir publicaron en Agosto del 2001 la demostración teórica de la vulnerabilidad más devastadora de las existentes hasta ahora en la encriptación WEP: RC4. De gran complejidad matemática, la demostración de la vulnerabilidad puede encontrarse en: 3. Otro documento que revela interesantes debilidades en WEP, en este caso de la propia IEEE es el de J. Walker de la universidad de Berkeley, Unsafe at any key size: an analysis of the WEP encapsulation, que puede encontarse en: En éste se describe el empleo de las debilidades de WEP para el inyectado de paquetes, que puede emplearse para lograr obtener más tráfico en la red propenso a ataques. 4. Debilidades el el mecanismo de clave compartida SKA están detalladas en: Your Wireless Network has No Clothes de William A. Arbaugh (a todos nos suena, verdad ;), Narendar Shankar, Y.C. Justin Wan del Departamento de Computadores de la Universidad de Maryland. A continuación destacaremos las vulnerabilidades más relevantes extraídas de estos textos. Características lineales de CRC32 Como hemos visto anteriormente (imagen 2.9), el campo ICV (Integrity Check Value) de una trama encriptada con WEP contiene un valor utilizado para verificar la integridad del mensaje. Esto provee de un mecanismo de autenticación de mensajes a WEP, por lo tanto el receptor aceptará el mensaje si el ICV es válido. El ICV se genera simplemente haciendo un CRC (Cyclic Redundancy Check) de 32 bits, del payload de la trama. Este mecanismo tiene dos graves problemas: Los CRCs son independientes de la clave utilizada y del IV. Los CRCs son lineales: CRC(m k) = CRC(m) CRC(k). Debido a esto, se puede generar un ICV valido ya que el CRC se combina con una operación XOR (+) que también es lineal y esto permite hacer el denominado bitflipping como veremos a continuación: Un atacante debe interceptar un mensaje m (conocido o no) y modificarlo de forma conocida (con A) para producir m = m (+) A. Como el CRC-32 es lineal, puede generar un nuevo ICV a partir del ICV de m: ICV = ICV CRC(A) Este ICV será valido para el nuevo texto cifrado c : c = c A = k (m A) = k m

19 CAPÍTULO 2. SEGURIDAD EN WIRELESS 19 Figura 2.16: Aprovechando la linealidad de CRC32. De esta manera se podrán inyectar paquetes en la red. Estos pasos se muestran gráficamente en la imagen MIC 9 Independiente de la clave Es la vulnerabilidad demostrada de manera teórica en el documento realizado por David Wagner. Esta vulnerabilidad en WEP es conocida en inglés como Lack of keyed MIC : Ausencia de mecanismo de chequeo de integridad del mensaje dependiente de la clave. Como hemos vistgo el MIC que utiliza WEP es un simple CRC-32 calculado a partir de los datos que van en el paquete (payload o carga útil) y por lo tanto, como hemos visto, no depende de la clave ni del IV esto hace que conocido el contenido (plaintext) de un solo paquete cifrado con WEP sea posible inyectar paquetes a la red. Los pasos a seguir son los siguientes: El atacante captura un paquete c = m k donde m es conocido (por ejemplo, el atacante envía un a la victima que esta leerá por wireless) Seguidamente recupera el flujo pseudo-aleatorio k = c m para el IV concreto del paquete. Supongamos que ahora el atacante quiere inyectar un mensaje m, debe hallar un nuevo ICV de la manera siguiente: ICV = CRC32(m ) Ahora ya puede ensamblar la parte cifrada del paquete: c = (m ICV ) k tal como vemos en la imagen De esta forma atacante obtiene un paquete válido y listo para ser inyectado a la red: cuya utilidad veremos más adelante y que básicamente es la de generar tráfico de respuesta para poder obtener paquetes para romper la clave WEP de la WLAN. 9 Message Integrity check

20 CAPÍTULO 2. SEGURIDAD EN WIRELESS 20 Figura 2.17: Paquete preparado para inyectar. Tamaño de IV demasiado corto Otra de las deficiencias del protocolo viene dada por la corta longitud del campo IV en las tramas b. El vector de inicialización (IV) tiene sólo 24 bits de longitud y aparece en claro (sin cifrar). Matemáticamente sólo hay 2 24 ( ) posibles valores de IV. Aunque esto pueda parecer mucho, 16 millones de paquetes pueden generarse en pocas horas en una red wireless con tráfico intenso: Por ejemplo: un punto de acceso que constantemente envíe paquetes de 1500 bytes (MTU) a 11Mbps, acabará con todo el espacio de IV disponible después de ( ) 2 24 ) 1800 segundos, o 5 horas. Este tiempo puede ser incluso más pequeño si la MTU es menor que La corta longitud del IV, hace que éste se repita frecuentemente y de lugar a la deficiencia del protocolo que veremos a continuación, basada en la posibilidad de realizar ataques estadísticos para recuperar el plaintext gracias a la reutilización del IV. Reutilización del IV Esta vulnerabilidad fue demostrada teóricamente por David Wagner (Universidad de Berkeley). Se basa en que WEP no utiliza el algoritmo RC4 con cuidado debido a que el Vector de Inicialización se repite frecuentemente. Se pueden hacer ataques estadísticos contra datos cifrados (cyphertexts) con el mismo IV. Veamoslo con un ejemplo: Sean P, P dos textos cifrados con el mismo IV. Si tenemos Z = RC4(key, IV ) Entonces los dos textos cifrados serán: C = P Z Y como: C = P Z C C = (P Z) (P Z) = (Z Z) (P P ) = P P Por esto la XOR de ambos textos P, P es conocida. Si hay redundancia, se pueden descubrir ambos. Si podemos adivinar uno, el otro puede también ser descubierto estadísticamente de forma trivial, así que si RC4 no se usa con cuidado, se vuelve inseguro, cosa que no hace WEP. Esta observación unida a hecho de que el estándar recomienda, pero no obliga a que el IV sea cambiado después de enviar cada paquete hacen WEP totalmente inseguro. La reutilización de IV s es denominada colisión de IV por los autores del texto incluido en el apéndice. Las tarjetas PCMCIA resetean el IV a cero cada vez que se reinician e incrementan el IV siempre en 1, por lo tanto números bajos de IV son muy comunes en dispositivos wireless de