IEEE g. Extiende b a ritmos de transmisión mayores a 20 Mbps, hasta 54 Mbps. Opera en 2.4 GHz y por lo tanto es compatible con b.

Transcripción

1 Capa Física F IEEE g Extiende b a ritmos de transmisión mayores a 20 Mbps, hasta 54 Mbps. Opera en 2.4 GHz y por lo tanto es compatible con b. Dispositivos b trabajan si se conectan a un AP g. Dispositivos g trabajan si se conectan a un AP b. En ambos casos trabajando con la velocidad mas baja de b. Ofrece una mayor variedad de ritmos de transmisión y esquemas de modulación. 41 Capa Física F IEEE g 42

2 Capa Física F IEEE g Provee compatibilidad con y b. Especificando la misma modulación y esquemas para entramado para 1,2,5.5, y 11 Mbps. Para tasas de 6, 9, 12,18,24,36, 48 y 54 Mbps adopta el esquema OFDM de a: Adaptado para 2.4GHz. Toma el nombre de ERP-OFDM Extended Rate Physical Layer. Para tasas de 22 y 33 Mbps se usa ERP-PBCC. 43 Capa Física F IEEE Los estándares no incluyen especificaciones de velocidad vs. Distancia de los objetivos. Diferentes fabricantes indican diferentes valores dependiendo del ambiente. La tabla indica valores estimados para el ambiente de una oficina típica. 44

3 Seguridad Objetivos de seguridad de comunicaciones Confidencialidad Los datos son protegidos frente a la intercepción de personas no autorizadas. Integridad Garantizar que los datos no han sido modificados. Autenticación Garantizar que los datos vienen de quien se supone deben venir (origen de los datos). Autorización y control de acceso. Ambas se implementan sobre autenticación. Antes de garantizar acceso a los datos se debe encontrar: Quién es el usuario (autenticación)? La operación de acceso está permitida (autorización)? 45 Seguridad WLANs son vulnerables a ataques especializados que se centran en las debilidades tecnológicas. Seguridad de WLAN es relativamente nueva. Hay debilidades en la parte de configuración. Algunas compañías no utilizan las características de seguridad de WLANs en todos sus equipos. Muchos dispositivos vienen con passwords de administrador predefinidos que nunca se cambian. Hay debilidades en cuanto a políticas. Si no existe una política clara en el uso de dispositivos inalámbricos, los empleados pueden instalar sus propios APs que rara vez están asegurados. Conocido como un AP rogue. 46

4 Seguridad 47 SSID (Service Set Identifier) usado como una forma básica de seguridad. De 1 a 32 caracteres ASCII. Muchos APs tienen opciones como "SSID broadcast" y "Allow any SSID". Estas características suelen estar habilitadas por defecto y hacen fácil la instalación de la red. "Allow any SSID permite el acceso a un cliente con un blank SSID. Con "SSID broadcast se envía paquetes de beacon que contienen el SSID. Deshabilitando estas opciones no asegura la red. En algunas WLANs se controlaba el acceso ingresando las direcciones MAC de cada cliente en los APs. Orientada a direcciones MAC y no a los usuarios. No está especificado en Muchos vendedores han implementado autenticación a nivel de MAC. Algunos permiten pedir la lista de direcciones MAC a un servidor centralizado. Ninguna de las opciones es segura por que con un sniffer se pueden encontrar los dos parámetros. 48

5 Wired Equivalent Privacy (WEP) IEEE incluye WEP para proteger a los usuarios autorizados de eavesdropping casual. Es opcional. Se especificó una llave de 40-bits, para que WEP pudiese exportarse a todo el mundo. En la actualidad, la mayoría de vendedores han extendido WEP a 128 bits o mas. Esto no está especificado en el estándar WEP está basado en RC4 (Rivest Cipher 4 ). Opción de llave simétrica ( y secreta). Tanto el AP como la estación deben conocer/tener la llave WEP. Cuando se seleccionó RC4 parecía bastante seguro, pero luego se expuso una falla en RC4 que puede ser explotada. La confidencialidad está comprometida. 49 Wired Equivalent Privacy (WEP) RC4 (Rivest Cipher 4 ) Es una forma de Stream Cipher. Toma una llave secreta relativamente corta y la expande en un keystream pseudoaleatorio de la misma longitud del mensaje. PRGN (Pseudorandom Number Generator) Un conjunto de reglas para expandir la llave en un stream de llaves. Para recuperar los datos, ambos lados deben compartir la misma llave secreta, y usar el mismo algoritmo de expansión. 50

6 Wired Equivalent Privacy (WEP) En WEP la confidencialidad e integridad se manejan de forma simultánea. Previo a la encripción, se somete a la trama a un algoritmo de chequeo de integridad, generando un valor denominado ICV (Integrity Chack Value). Para determinar si la trama ha sido alterada durante su viaje. La trama y el ICV son encriptados para que el ICV no esté disponible a atacantes casuales. La llave de 40 bits se combina con 24 bits denominados IV (Initialization Vector) para crear una llave RC4 de 64 bits (en realidad se reservan 4 bytes). 51 Wired Equivalent Privacy (WEP) ICV (Integrity Chack Value). Es un CRC calculado sobre todos los campos de la trama. Luego se encripta junto con el campo de datos usando la misma llave RC4. Aunque el FCS e ICV usan cálculos CRC, tienen propósitos diferentes. FCS: para calcular errores en los bits durante transmisión. ICV: para autenticación de los mensajes. Uso: Cuando una trama MAC con WEP llega y es desencriptada: El receptor recalcula el ICV. Compara el valor recibido con el calculado. Si son diferentes se concluye que el campo de datos ha sido alterado mientras estaba en tránsito. Si un atacante altera el mensaje de datos encriptados, el ICV lo indicará. Como el ICV también está encriptado, es (relativamente) difícil que el atacante modifique el ICV para que concuerde con las modificaciones hechas al campo de datos encriptado. Se ha demostrado que el ICV puede ser atacado fácilmente. 52

7 Wired Equivalent Privacy (WEP) IEEE provee dos mecanismos para definir las llaves. Un conjunto de 4 llaves predefinidas es compartido por los APs y clientes. El problema con las llaves predefinidas es que cuando son distribuidas a una gran audiencia, están comprometidas. Equipos de Cisco para WLAN usan este esquema. Se denominan default keys Las llaves se identifican en dos bits del cuarto byte del campo para IV. Cada cliente establece una asociación de llaves con otra estación (entre dos pares). Se denominan mapped keys. Es mas seguro porque menos estaciones tienen las llaves. Distribuir las llaves es mas difícil conforme se incrementa el número de clientes. 53 Wired Equivalent Privacy (WEP) La reutilización de llaves es la mayor debilidad de cualquier sistema criptográfico tipo stream. c 1 = p 1 b c 2 = p 2 b c 1 c 2 = (p 1 b) (p 2 b) = p 1 p 2 Para ayudar a prevenir la reutilización del keystream, se pueden utilizar un valor diferente de IV para cada trama, pero esto no es obligatorio y depende de la implementación. El chequeo de integridad es basado en CRC, lo que no es criptográficamente seguro. Se puede detectar con alta probabilidad cambios en un bit. Sería mejor usar funciones de hashing. AirSnort is un programa de código abierto para recuperar llaves WEP. 54

8 Autenticación y asociación Ya se trataron problemas de WEP respecto a confidencialidad e integridad. Ahora autenticación. El proceso de asociación puede subdividirse en tres etapas: Probe Authentication Open Authentication Shared Key Authentication (WEP key) Association 55 Open Authentication El proceso se hace sin utilizar encripción (in clear text). No hay verificación de la máquina o usuario. Asociada a una llave WEP. Un cliente puede asociarse a un AP con una llave incorrecta o sin llave. Un cliente con una llave errónea no será capaz de enviar o recibir datos puesto que las tramas estarán encriptadas. 56

9 Shared Key Authentication Trabaja de forma similar a Open Authentication. Excepto que usa encripción WEP para un paso. Requiere que el cliente y el AP tengan la misma llave WEP. El AP envía un texto de reto (challenge) generado aleatoriamente al cliente. Si el cliente tiene la llave equivocada, o no tiene llave, falla esta parte del proceso de autenticación. El cliente no podráasociarse al AP. Vulnerable al ataque man-in-the-middle por lo que no es recomendable. 57 Los APs suelen ofrecer muchos protocolos adicionales que facilitan la administración. Solo algunos de ellos pueden ser necesarios y los otros deberían ser deshabilitados. Es importante conocer las debilidades de los mismos y como pueden ser asegurados. Telnet/SSH Telnet es inseguro. Usar SSH para toda actividad CLI (Command Line Interface). Deshabilitar Telnet. Freeware: PuTTY (Win32), Teraterm SSH, and SecureNetTerm. TFTP/FTP TFTP (Trivial File Transfer Protocol ). No permite el uso de passwords. Archivos hasta 16 MB. FTP Permite el uso de cuentas y passwords, pero no encripción. HTTP (para Web Management) NTP (Network Time Protocol ) SNMP (Simple Network Management Protocol ) 58

10 Seguridad 1G En resumen, la especificación original Incluía características para autenticación y privacidad. Privacidad Tenían debilidades. WEP (Wired Equivalente Privacy) Utiliza el algoritmo de encripción RC4 con llave de 40 bits. Autenticación Tamaño inadecuado. Luego la industria decidió utilizar una llave de 104 bits. Vulnerable aún con este tamaño. Problemas: Por la alta reutilización de las llaves. Facilidad con la que se capturan datos en el ambiente inalámbrico. Falta de definición de la administración de las llaves en el estándard. Las dos partes deben compartir una llave secreta (shared key) que nadie mas la conozca. Se define un protocolo que utiliza esta llave para autenticación mutua. También tiene una serie de problemas. 59 Wi-Fi Protected Access (WPA) Promulgado por la alianza Wi-Fi. Para acelerar la introducción de seguridad adecuada en WLANs. Es un estándar Wi-Fi. Basado en el estado actual de i. La especificación del TG (Task Group) i: Trabaja para resolver los problemas de seguridad. WPA evoluciona a la par con i par mantener compatibilidad. 60

11 IEEE i Autenticación Requiere el uso de un AS (Authentication Server). También participa en la distribución de llaves. Define un protocolo de autenticación mas robusto. No solo es asunto de privacidad. Administración de llaves Ya no es manual, lo que imponía serias limitaciones. Privacidad en la transferencia de datos Contempla 3 esquemas. AES (Advanced Encription Standard) Parte del esquema que provee una solución a largo plazo. Usa llaves de 128 bits. Requiere actualizaciones costosas a equipos existentes. Alternativas a AES incluyen esquemas todavía basados en RC4 con llaves de 104 bits. 61 Operación con i Intercambio entre una estación y un AP para acordar en el conjunto de características a usarse en cuanto a seguridad. Intercambio entre el AS y la estación para autenticación. AS distribuye las llaves al AP, que a su vez administra y distribuye las llaves a las estaciones. Encripción se usa para proteger la transferencia de datos entre la estación y el AP. 62

12 La arquitectura de i contempla tres aspectos: Autenticación Se utiliza un protocolo para definir el intercambio entre un usuario y el AS para realizar la autenticación mutua. AS genera llaves temporales que se utilizarán entre la estación y el AP. Opera en capas superiores a LLC y MAC y fuera de lo que contempla Ejemplos: Control de Acceso EAP (Extensible Authentication Protocol) RADIUS (Remote Authentication Dial-In User Service) Se preocupa (obliga) de que se utilice autenticación. Enruta los mensajes adecuadamente (de acuerdo al estado de autenticación de un cliente). Facilita el intercambio de llaves. Puede trabajar con una variedad de protocolos de autenticación. Privacidad con Integridad del Mensaje Se encriptan datos a nivel MAC (LLC PDU). Se tiene un código de integridad del mensaje que garantiza que los datos no han sido alterados. 63 La arquitectura de i soporta: 802.1x Su protocolo es Extensible Authentication Protocol (EAP). El AP actuará como el interfaz entre un cliente y un servidor de autenticación como RADIUS (Remote Access Dial-In User Service). Mejoras TKIP para WEP TKIP (Temporal Key Integrity Protocol) 64

13 Control de Acceso IEEE 802.1x (Port-Based Network Access Control) Estándar diseñado para proveer funciones de control de acceso para redes alámbricas e inalámbricas. Términología y su aplicación a WLAN Supplicant Estaciones inalámbricas Authenticator AP Authentication Server (AS) Generalmente en el lado alámbrico. Puede estar en el AP. Es donde el pedido de logon es comparado usando una base de datos para determinar si, y a que nivel, se le puede garantizar acceso al usuario. Operación básica Antes que un supplicant sea autenticado por el AS, el authenticator (AP) solo pasa los mensajes de control y autenticación entre el supplicant y el AS, no almacena información del usuario. El canal de control 802.1x está desbloqueado. El canal de datos 802.1x está bloqueado. Una vez que el supplicant ha sido autenticado y se han entregado las llaves El authenticator (AP) puede enviar datos del supplicant a la red. El canal de datos 802.1x está desbloqueado. 65 Control de Acceso IEEE 802.1x 66

14 Control de Acceso IEEE 802.1x (Port-Based Network Access Control) Utiliza los conceptos de puertos controlados y no controlados. Puertos: Entidades lógicas definidas dentro del authenticator y hacen referencia a las conexiones físicas de red. En WLAN, el AP tiene dos puertos físicos (uno conectado al DS y otro al BSS). Cada puerto lógico que se defina es asociado a uno de estos dos puertos físicos. Puertos No-Controlados: Permite el intercambio de PDUs entre el supplicant y el AS sin importar el estado de autenticación del supplicant. Puertos Controlados: Permite el intercambio de PDUs entre un supplicant y otros sistemas en la LAN, solamente si el estado actual del supplicant permite tal intercambio. La infraestructura 802.1x, mas un protocolo de autenticación en una capa superior, calza perfectamente con la arquitectura de un BSS. Para IBSS no existe AP. Se provee una solución mas compleja que básicamente requiere la autenticación a nivel de pares. 67 Control de Acceso IEEE 802.1x (Port-Based Network Access Control) Puertos No-Controlados Puertos Controlados 68

15 Control de Acceso IEEE 802.1x Está basado en EAP (Extensible Authentication Protocol (EAP). Desarrollado inicialmente para usarlo con PPP. Soporta una gran variedad de mecanismos de autenticación (extensible). Es una simple encapsulación que puede correr sobre cualquier capa d enlace de datos. Ha sido utilizado como la base de otras extensiones de autenticación. LEAP (Lightweight EAP de CISCO). 69 Control de Acceso IEEE 802.1x 70

16 Control de Acceso IEEE 802.1x After the client has associated to the access point, the supplicant starts the process for using EAPOL (EAP over LAN). The client responds with their username and password. Using 802.1x and EAP, the supplicant then sends the username and a one-way hash of the password to the access point. The access point then sends the request to the RADIUS server. The RADIUS server then checks the username and password against the database to determine if the client should be authenticated on the network. If the client is to be authenticated, the RADIUS server then issues an access challenge, which is passed to the access point and then sent to the client. The client sends the EAP response to the access challenge to the RADIUS server via the access point. If the client sends the proper response then the RADIUS server sends an access success message and session WEP key (EAPOW, EAP over Wireless) to the client via the access point. The same session WEP key is also sent to the access point in a success packet. The client and the access point then begin using session WEP keys. 71 Control de Acceso IEEE 802.1x 72

17 Control de Acceso IEEE 802.1x Tipos adicionales de autenticación soportados cuando se usa 802.1x LEAP - Lightweight EAP (LEAP) de Cisco. EAP-TLS - EAP-Transport Layer Security (EAP-TLS) TLS es el sucesor estandarizado de SSL (Secure Socket Layer). PEAP - Protected EAP (PEAP) No recomendados EAP-MD5 - Extensible Authentication Protocol MD5 (EAP-MD5) Otros No provee autenticación mutua 73 Control de Acceso IEEE 802.1x 74

18 Privacidad con Integridad del Mensaje CCMP (Counter Mode CBC MAC Protocol) o WPA-2. Utiliza AES (Advanced Encryption Standard) Como TKIP, requiere nuevos campos en la trama MAC Respecto a TKIP no usa el campo ICV (Integrity Check Value) 75 Privacidad con Integridad del Mensaje CCMP (Counter Mode CBC MAC Protocol) o WPA-2. AES requiere un coprocesador o hardware adicional. Se debe reemplazar APs y NICs. AES especifica tres tamaños de llaves: 128, 192, y 256 bits. Usa el Algoritmo de Rijndael. Si alguien construyese una máquina que pueda recuperar una llave DES en un segundo, tomaría a esa misma máquina 149 trillones de años romper una llave AES de 128-bits. Se cree que el universo tiene menos de 20 billones de años de existencia. 76

19 Privacidad con Integridad del Mensaje TKIP (Temporal Key Integrity Protocol ) o WPA-1. Requiere cambios solo a nivel de software para dispositivos implementados con WEP. Usa el mismo algoritmo RC4 de WEP. Campos: IV EIV MIC ICV 77 Privacidad con Integridad del Mensaje: TKIP Para ganar tiempo hasta la estandarización de una mejor solución que WEP, la industria empezó a utilizar llaves de 128 bits. 24 son parte del IV. 104 son el secreto compartido. IV (Initialization Vector) y RC4 La llave de 104 bits (inicial) sirve como punto de inicio para un algoritmo que genera un stream de llaves. El stream es un número ilimitado de bits cuyo valor está determinado por la llave inicial. La encripción se hace con un XOR del stream de llaves, con el stream de bits de datos. Si se usa para todas las tramas el mismo punto inicial del stream de llaves, es fácil atacar al sistema. Para tratar de solventar este problema se usa un Vector de Inicialización de 24 bits que se concatena con la llave RC4 antes de generar el stream de llaves. En el formato de trama se reservan 4 bytes pero se usan solo los primeros 3 (24 bits). Llave ( = 128 bits) Si se usa un IV diferente en cada trama, el stream de llaves será diferente para cada trama. Introducido para el uso con el algoritmo RC4 de WEP. Se transmite sin encripción, para que el receptor pueda combinar su llave secreta de 104 con el IV. 78

20 Privacidad con Integridad del Mensaje: TKIP EIV (Extended Initialization Vector) y RC4. El IV de 24 bits es demasiado pequeño para garantizar seguridad adecuada. TKIP incorpora el EIV. Propósitos: Se obtienen 48 bits de los campos (IV y EIV) para formar un nuevo vector de inicialización. Llave de = 152 bits. Se genera una nueva llave de 128 bits mas fuerte, con una función de hash que tiene como entradas: Los 48 bits obtenidos de IV y EIV. Llave RC4 de 104 bits. La dirección MAC del transmisor. Algunos bytes del IV y EIV se usan como contadores de secuencia. Se incrementan en uno para cada trama. Evitan ataques de retransmisión de tramas replay attacks, en los cuales un atacante captura una trama MAC y luego la retransmite para producir algún efecto u obtener información extra. El receptor descarta cualquier trama que esté fuera de secuencia. 79 Privacidad con Integridad del Mensaje: TKIP ICV (Integrity Check Value). MIC (Message Integrity Code). El ICV se conserva por compatibilidad. MIC usa un nuevo algoritmo denominado Michael. Es un valor de 64 bits calculado en base a las direcciones MAC de origen y destino y el campo de datos. Se encripta utilizando una llave RC4 diferente a la usada para encriptar los datos y el ICV. Substancialmente mas fuerte que ICV: Usa un algoritmo mas complejo. Una llave de encripción separada. Longitud mayor que ICV. 80

21 81