CAPÍTULO 7 SEGURIDAD EN LAS REDES INALÁMBRICAS

Transcripción

1 CAPÍTULO 7 SEGURIDAD EN LAS REDES INALÁMBRICAS 7.1 INTRODUCCIÓN La rápida expansión que las redes has experimentado en los últimos tiempos, se ha visto ensombrecido principalmente por el tema de la seguridad. Aun siendo consciente de las muchas ventajas de esta tecnología, el uso de un medio de transmisión tan fácil de observar como es el aire, unido a una serie de deficiencias en la parte de seguridad del estándar, han propiciado una desconfianza generalizada que ha hecho que sean muchos los reticentes a utilizar redes inalámbricas, sobre todo aquellos que manejan información de una importancia relativa. Pero afortunadamente la concienciación del sector sobre la necesidad de crear redes seguras, está permitiendo una importante inversión en el desarrollo de herramientas y protocolos capaces de conseguir redes inalámbricas sino inexpugnables, sí muy difíciles de ser sobrepasadas por personas no autorizadas. Existen varias formas de poder realizar ataques a la seguridad o a la integridad de una red inalámbrica, por lo que es necesario conocer lo métodos más utilizados en la realidad. En este capítulo se describirán los diferentes ataques, así como los diferentes mecanismos para combatirlos. Se estudiarán las distintas medidas de seguridad a adoptar para lograr que nuestra red sea lo más segura posible. 7.2 WARCHALKING Y WARDRIVING El acceso sin necesidad de cables, la razón que hace tan populares a las redes inalámbricas, es a la vez el problema más grande de este tipo de redes en cuanto a seguridad se refiere. Cualquier equipo que se encuentre dentro del área de cobertura del punto de acceso, podría tener acceso a la red inalámbrica [8]. Juan José Yunquera Torres 138

2 Figura 7.1. Acceso no autorizado a una red inalámbrica Muchos administradores de redes parecen no haberse dado cuenta de las implicaciones negativas de poseer puntos de acceso sin las medidas de seguridad oportunas. Es muy común encontrar redes inalámbricas en las que existen puntos de acceso totalmente desprotegidos e irradiando señal hacia el exterior del edificio. Cualquier persona que desde el exterior capte la señal del punto de acceso, tendrá acceso a la red de la compañía, con la posibilidad de utilizar la conexión a Internet si se dispone de ella, emplear la red de la compañía como punto de ataque a otras redes, robar software y/o información, introducir virus o software maligno, entre muchas otras cosas. Un punto de acceso mal configurado se convierte en una puerta trasera que vulnera por completo la seguridad de la empresa. Figura 7.2. Resultados globales (FUENTE: Libera Networks. Toma de datos: Febrero 2004) Juan José Yunquera Torres 139

3 Los ingenieros de la empresa Libera Networks [15], dedicada al diseño, instalación y consultoría de soluciones inalámbricas de transmisión de datos realizaron un análisis global de las redes Wi-Fi instaladas en las más importantes capitales españolas: Madrid, Barcelona, Valencia, Sevilla, Bilbao y Málaga. El objetivo primordial ha sido recoger sobre el terreno una muestra suficientemente amplia para estudiar la tipología de las redes instaladas así como sus parámetros de rendimiento y seguridad. En la Figura 7.2 se pueden apreciar los resultados globales de dicho análisis. De dicho análisis se pueden extraer las siguientes conclusiones en cuanto a seguridad: Todavía no existe una profunda concienciación de los riesgos de seguridad y los posibles problemas de rendimiento al no acudir a especialistas para el diseño, instalación y mantenimiento de una red inalámbrica. La mayoría de las redes detectadas tienen perfil similar: puntos de acceso de gama media-baja, estándar b a 11 Mbps, sin encriptación WEP ni ocultación de SSID de la red, utilizando canales por defecto. Aunque se está empezando a desplegar redes a 54 Mbps (802.11g), son contadas las que tienen la encriptación WPA activada. Madrid y Barcelona muestran un mayor despliegue de redes Wi-Fi residenciales, empresariales y de hot-spots de acceso público, con mayor presencia de puntos de acceso más profesionales y medidas de seguridad algo más cuidadas. Existen dos prácticas bien conocidas para la localización de redes inalámbricas [3][11]: Warchalking. Consiste en caminar por la calle con un ordenador portátil dotado de una tarjeta inalámbrica, buscando la señal de los puntos de acceso. Cuando se encuentra uno, se pinta con tiza un símbolo especial en la acera o en un muro, indicando la presencia del punto de acceso y si tiene configurado algún tipo de seguridad o no. De esta forma, otras personas podrían conocer la localización de la red. Wardriving. Es un método propio para localizar puntos de acceso inalámbricos desde un automóvil. Para este fin se necesita un ordenador portátil con una tarjeta inalámbrica, una antena adecuada, un GPS para localizar los puntos de acceso en un mapa y software para detección de redes inalámbricas, que se consigue libremente en Internet. De esta forma se elaboran mapas disponibles en Internet donde se indica la situación de todas las redes inalámbricas encontradas y su nivel de seguridad [14]. Juan José Yunquera Torres 140

4 Figura 7.3. Warchalking y su simbología Una vez localizada una red inalámbrica, una persona podría llevar a cabo distintos tipos de ataques. Se podría ingresar en la red y hacer uso ilegítimo de sus recursos, así como, acceder a información de carácter confidencial. 7.3 MECANISMOS DE SEGURIDAD Para poder considerar una red inalámbrica como segura se deberían de cumplir entre otros los siguientes requisitos fundamentales [8]: Las ondas de radio deben confinarse tanto como sea posible. Esto es difícil de lograr totalmente, pero se puede hacer un buen trabajo empleando antenas direccionales y configurando adecuadamente la potencia de transmisión de los puntos de acceso. Debe existir algún mecanismo de autenticación mutua, que permita al cliente verificar que se está conectando a la red correcta, y a la red constatar que el cliente está autorizado para acceder a ella. Los datos deben viajar cifrados por el aire, para evitar que equipos ajenos a la red puedan capturar datos mediante escucha pasiva. Existen varios métodos para lograr la configuración segura de una red inalámbrica. Cada método logra un nivel diferente de seguridad y presenta ciertas ventajas y desventajas. En los siguientes apartados se hará un estudio detallado de los principales mecanismos de seguridad SSID Es uno de los mecanismos básicos de seguridad que contempla el estándar IEEE El Service Set ID (SSID) es una cadena de generalmente 32 caracteres, utilizada para establecer un dominio de Juan José Yunquera Torres 141

5 desplazamiento común a través de múltiples Puntos de Acceso. Diferentes SSID s permitirán la superposición de redes inalámbricas. El SSID puede actuar como una simple contraseña sin la cual el cliente no podrá conectarse a la red. Lo cierto es que este sistema no garantiza excesivamente la seguridad, ya las cadenas SSID son emitidas en forma de texto sin codificar. Los puntos de acceso retransmiten el SSID varias veces en las tramas broadcast de gestión, por lo que es sencilla su obtención. Sólo algunos fabricantes deshabilitan esta opción, pero en estos casos, existen métodos alternativos, como la captura y posterior análisis de las tramas de asociación. Los puntos de acceso vienen de fábrica con un SSID por defecto. Por ejemplo, los AP s de Cisco tienen el SSID de fábrica tsunami, y los de Linksys, linksys [1]. Como estos SSID s que vienen por defecto son muy conocidos, el primer paso a dar en la protección de una red inalámbrica consiste en cambiar el SSID de los puntos de acceso [5]. El cambio hay que hacerlo como si se tratara de una potente contraseña, es decir, no es lógico nombrar a un SSID con la localización de la red, su contenido o cosas así. La elección del SSID, como cualquier otra contraseña, debe seguir las reglas básicas de éstas, o sea, un conjunto de caracteres (letras, números o símbolos) que no tengan ningún significado. De esta forma no se ofrece protección extra a los clientes de la red, pero será más difícil para los intrusos buscar una red concreta o saber exactamente a que red van a acceder. Por defecto, los puntos de acceso emiten cada pocos segundos su SSID en lo que se conoce con el nombre de Tramas Faro (Beacon Frames). Estas tramas faro son muy útiles para que los clientes de una red inalámbrica identifiquen fácilmente el punto de acceso al que se han de conectar (ya que tanto el AP como el cliente que quiera asociarse a él poseerán el mismo SSID), pero también son muy útiles para que usuarios no autorizados encuentren y accedan a la red de forma sencilla. La mayoría de los dispositivos actuales poseen la opción de desactivar esta característica de emisión continua del SSID, lo cual es muy recomendable. A partir del momento en que esta característica se desactiva, los clientes inalámbricos autorizados que se quieran asociar a la red deberán poseer el SSID exacto. De esta forma, sólo los clientes que lo tengan podrán acceder al AP y comunicarse con él. Cuando los puntos de acceso de una red inalámbrica tienen desactivada la emisión de las tramas faro, se dice que la red inalámbrica es una red cerrada Filtrado de direcciones MAC Es otro de los mecanismos básicos de seguridad empleado por el estándar IEEE Este método consiste en la creación de una tabla de datos en cada uno de los puntos de acceso de la red inalámbrica. Dicha tabla contiene las direcciones MAC de las tarjetas de red inalámbricas que se pueden conectar al punto de acceso. Todas las tarjetas de red, inalámbricas y no inalámbricas, poseen una dirección MAC, que es un número hexadecimal de doce dígitos único para cada tarjeta. Debido a esa exclusividad en la dirección MAC, un punto de acceso podría limitar las comunicaciones a sólo los usuarios cuya dirección MAC poseyera de antemano, es decir, a sólo aquellos clientes que estuvieran Juan José Yunquera Torres 142

6 autorizados a comunicarse con y a través de él. Este método de filtrar las direcciones MAC está siendo muy utilizado por los fabricantes e instaladores de productos inalámbricos. Este método tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o pequeñas. Sin embargo, posee muchas desventajas que lo hacen impráctico para usa en redes medianas o grandes. Entre sus desventajas podemos citar las siguientes [8]: Tiene un problema de escalabilidad, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario editar las tablas de direcciones de todos los puntos de acceso. Después de cierto número de equipos o de puntos de acceso, la situación se torna inmanejable. El formato de una dirección MAC no es muy apto para su manejo (un total de 12 caracteres alfanuméricos). Esto puede llevar a cometer errores en la manipulación de las listas. Las direcciones MAC viajan sin cifrar por el aire. Un atacante podría capturar direcciones MAC de los dispositivos asociados a una red inalámbrica empleando un sniffer, y luego asignarle una de estas direcciones capturadas a la tarjeta de su computador. De este modo, un atacante puede hacerse pasar por un cliente válido. En caso de robo de un equipo inalámbrico, el ladrón dispondrá de un dispositivo que la red reconoce como válido. En caso de que el elemento robado sea un punto de acceso el problema es más serio, porque el punto de acceso contiene toda la tabla de direcciones válidas en su memoria de configuración. Debe tenerse en cuenta además, que este método no garantiza la confidencialidad de la información transmitida, ya que no prevé ningún mecanismo de cifrado WEP El protocolo WEP es un sistema de encriptación estándar propuesto por el comité , implementada en la capa MAC y soportada por la mayoría de los vendedores de soluciones inalámbricas. WEP puede ser utilizado tanto para autenticación como para encriptación. Generalmente, la autenticación se utiliza para protegerse contra accesos no autorizados a la red, mientras que la encriptación se usa para evitar que de una señal capturada se puedan obtener los datos en ella contenidos. Ante la opción de WEP se nos presentan cuatro opciones [1]: No usar WEP. Usar WEP sólo para la encriptación. Usar WEP sólo para la autenticación. Usar WEP para encriptación y autenticación. El protocolo WEP se basa en la encriptación de los paquetes de datos antes de ser transmitidos. Dicha encriptación se lleva a cabo mediante una clave secreta, compartida por un BSS ó Grupo de Servicio Básico (Basic Set Juan José Yunquera Torres 143

7 Service), que comprenderá varios clientes y puntos de acceso. La compartición de la clave de encriptación permitirá la comunicación entre los distintos usuarios autorizados, todos dentro del mismo BSS, e impedirá a priori que los no autorizados consigan acceso a la red. Actualmente, WEP represente el mayor agujero de seguridad de las redes inalámbricas, ya que si no está activado (configuración por defecto de los componentes inalámbricos del mercado) los datos viajan sin encriptar por el aire y cualquiera puede escucharlos. Pero si está activado, los conocidos problemas de seguridad que posee pueden permitir que personas no autorizadas accedan a los datos que creemos seguros. Es cierto que para conseguir esto último son necesarias herramientas software, que son gratuitas y de fácil descarga en Internet, y algo de experiencia, pero cada vez proliferan más los tutoriales que enseñan cómo realizar este tipo de actividades. Sin embargo, el hecho de tener activado el WEP constituye una primera barrera que un intruso tiene que superar para atacar de una u otra manera nuestro sistema inalámbrico, por lo que es recomendable tenerlo activado. Es conveniente puntualizar que no todo lo que se transmite se encripta, aún estando WEP activado. Por ejemplo, el SSID, siempre que se transmita se hará sin encriptar; por tanto, hay que ser consciente de que el tener activado WEP no es una solución definitiva de seguridad, aunque probablemente sí sea un primer paso para llegar a ella Autenticación Cuando se desea establecer una comunicación entre dos dispositivos, debe establecerse primero una asociación. Para ello el cliente solicita la autenticación y el AP responde identificando el tipo de autenticación presente en la red. Posteriormente, el cliente procede con la autenticación y, si es satisfactoria, se lleva a cabo la asociación. Se plantean dos formas posibles de autenticación, sistema abierto, y clave compartida: Sistema Abierto ( Open System ): Es el mecanismo de autenticación por defecto, y permite que cualquier estación se una al sistema tras la negociación de los parámetros de red necesarios. Es un proceso de autenticación nulo, las tramas se mandan en texto plano aunque esté activado el cifrado WEP. Clave Compartida ( Shared Key ): Es el primer obstáculo o barrera al cual se enfrenta un agente externo no autorizado a la hora de acceder al sistema, e incluso antes de poder romper el WEP. En la Figura 7.4 se muestra un esquema del proceso de autenticación que se describirá a continuación. Juan José Yunquera Torres 144

8 Figura 7.4. Intercambio de mensajes en la autenticación El funcionamiento del proceso está basado en un desafío, una respuesta y la comprobación de ese desafío. El desafío consiste básicamente en comprobar si el cliente es capaz de codificar el mensaje que el punto de acceso (AP) le ha mandado. De este modo un cliente manda una petición de autenticación (Authentication Request) al AP. El AP manda al cliente usando Authentication Challenge, 128 bytes de texto plano. El cliente cifra el mensaje utilizando un IV y la misma clave que el AP (si no coinciden las claves el desafío no se podrá superar). Ese mensaje lo manda al AP y si el resultado del desafío es correcto, el AP manda un mensaje aceptando la autenticación del cliente [12]. Como curiosidad presentamos el formato de las tramas de autenticación, pero no vamos a entrar en detalle en sus campos. El formato es el mismo para todas las tramas de autenticación. Figura 7.5. Formato de las tramas de autenticación Juan José Yunquera Torres 145

9 Funcionamiento de WEP Se implementa en la capa MAC del estándar , y consiste en la encriptación de los datos, utilizando el algoritmo RC4 de RSA Security, que no es más que un generador de números pseudoaleatorios, alimentado por una clave que hará de semilla. Las conocidas vulnerabilidades de RC4, en las que entraremos más adelante, son una de las bases de los problemas de seguridad del protocolo WEP. Como decimos, sólo se encriptan los datos, yendo las cabeceras del nivel físico desprotegidas, por lo que no obtenemos una codificación extremo a extremo, que sería lo deseable. En primer lugar se genera una llave de 40 bits a partir de una clave estática (passphrase) de forma automática, aunque existe software que permite introducir esta llave manualmente. La clave o passphrase debe ser conocida por todos los clientes que quieran conectarse a la red inalámbrica que utiliza WEP, esto implica que muchas veces se utilice una clave fácil de recordar y que no se cambie de forma frecuente, aunque esto sea un problema para la seguridad. A partir de la clave o passphrase se generan 4 llaves de 40 bits, y sólo una de ellas se utilizará para la encriptación WEP. El proceso que se muestra en la Figura 7.6 es el que se sigue para generar las llaves [6][1]: Figura 7.6. Proceso de generación de llaves Se hace una operación XOR con la cadena ASCII (My Passphrase) que queda transformada en una semilla de 32 bits que utilizará el generador de números pseudoaleatorios (PRNG) para generar 40 cadenas de 32 bits cada una. Se toma un bit de cada una de las 40 cadenas generadas por el PRNG para construir una llave y se generan 4 llaves de 40 bits. De estas 4 llaves sólo se utilizará una para realizar la encriptación WEP como se verá a continuación. Para generar una trama encriptada con WEP se sigue el siguiente proceso: Partimos de la trama que se quiere enviar. Esta trama sin cifrar está compuesta por una cabecera (Header) y contiene unos datos (Payload). El primer paso es calcular el CRC de 32 bits del payload de la trama que se quiere enviar. El CRC es un algoritmo que genera un identificador Juan José Yunquera Torres 146

10 único del payload en concreto, que nos servirá para verificar que el payload recibido es el mismo que el enviado, ya que el resultado del CRC será el mismo. Añadimos este CRC a la trama como valor de chequeo de integridad (ICV: Integrity Check Value). Seleccionamos una llave de 40 bits, de las 4 llaves posibles. Figura 7.7. Selección de una llave Añadimos el Vector de Inicialización (IV) de 24 bits al principio de la llave seleccionada. El IV es simplemente un contador (dentro del mismo se incluirán dos bits que identificarán a la llave elegida de las 4 generadas) que suele ir cambiando de valor a medida que vamos generando tramas, aunque según el estándar también puede ser siempre cero. Con el IV de 24 bits y la llave de 40 conseguimos los 64 bits de llave total que utilizaremos para encriptar la trama. Figura 7.8. Formato llave de 64 bits Aplicamos el algoritmo RC4 al conjunto IV+Key y conseguiremos el keystream o flujo de llave. Realizando una operación XOR con este keystream y el conjunto Payload+ICV obtendremos el Payload+ICV cifrado, este proceso puede verse en la Figura 7.9. Figura 7.9. Paso 4 del proceso de cifrado Juan José Yunquera Torres 147

11 Añadimos la cabecera y el IV+Keynumber sin cifrar. Así queda la trama definitiva lista para ser enviada. Figura Formato de la trama completa Si vemos el proceso de encriptación en conjunto, contemplando todas sus fases en un solo gráfico, obtendríamos el siguiente esquema, reflejado en la figura Figura Proceso de encriptación WEP En el receptor se lleva a cabo el proceso de descifrado, que es prácticamente el inverso al realizado en el transmisor. El proceso realizado en el receptor es el siguiente: Se emplean el IV recibido y la clave secreta compartida para generar la llave que se utilizó en el transmisor. Si la clave no es la correcta el resultado no será el esperado. Un generador RC4 produce el keystream a partir de la clave y el IV. Si la clave coincide con la empleada en transmisión, el keystream también será idéntico al empleado en transmisión. Se efectúa un XOR bit por bit entre el keystream y la trama cifrada, obteniéndose de esta manera el texto en claro y el ICV. A la trama en claro se le aplica el algoritmo CRC-32 para obtener un segundo ICV, que se compara con el recibido. Juan José Yunquera Torres 148

12 Si los dos ICV son iguales, la trama se acepta. En caso contrario la trama quedaría rechazada. Figura Proceso de desencriptación WEP Deficiencias de la encriptación WEP Características lineales de CRC32 Esta vulnerabilidad fue demostrada teóricamente por Nikita Borisov, Ian Goldberg y David Wagner (Universidad de Berkeley) [6]. El campo ICV (Integrity Check Value) del CRC32 de una trama encriptada con WEP contiene un valor utilizado para verificar la integridad del mensaje. Esto provee de un mecanismo de autenticación de mensajes a WEP, por lo tanto el receptor aceptará el mensaje si el ICV es válido. El ICV se genera, simplemente, haciendo un CRC (Cyclic Redundancy Check) de 32 bits, del payload de la trama. Este mecanismo tiene dos graves problemas: Los CRC s son independientes de la llave utilizada y del IV. Los CRC s son lineales: CRC(m k) = CRC(m) CRC(k). Debido a que los CRC s son lineales, se puede generar un ICV válido, ya que el CRC se combina con una operación XOR que también es lineal y esto permite hacer el ataque conocido como bit flipping. En la Figura 7.13 se observa dicho ataque. Juan José Yunquera Torres 149

13 Figura Detalle del ataque bit flipping A continuación se indican los pasos a seguir para realizar dicho ataque: Un atacante intercepta un mensaje m (conocido o no) y lo modifica de forma conocida para dar lugar a m : m = m Como el CRC-32 es lineal, puede generar un nuevo ICV a partir del ICV de m: ICV = ICV CRC( ) ICV será valido para el nuevo mensaje cifrado c. c = c = k (m ) = k m De esta forma hemos conseguido modificar el mensaje cifrado y conseguir un nuevo ICV válido para este mensaje. Esta trama que ha sido modificada por el atacante será aceptada como válida por parte del receptor. MIC independiente de la llave Esta vulnerabilidad fue demostrada teóricamente por David Wagner (Universidad de Berkeley) [6]. Esta vulnerabilidad en WEP es conocida en inglés como Lack of keyed MIC : Ausencia de mecanismo de chequeo de integridad del mensaje (MIC) dependiente de la llave. El MIC que utiliza WEP es un simple CRC-32 calculado a partir del payload, por lo tanto no depende de la llave ni del IV. Esta debilidad en la encriptación da lugar a que conocido el mensaje descifrado de un solo paquete encriptado con WEP sea posible inyectar paquetes a la red. Esto se puede realizar de la siguiente forma: Juan José Yunquera Torres 150

14 Un atacante captura un paquete c = m k donde m es conocido (por ejemplo, el atacante envía un a la víctima y escucha lo que le llega). El atacante recupera el flujo pseudoaleatorio k = c m para el IV concreto del paquete. Supongamos que el atacante quiere inyectar un mensaje m, debe realizar lo siguiente: ICV = CRC32(m ) El atacante ya puede ensamblar la parte encriptada del paquete. c = (m ICV ) k El atacante obtiene un paquete válido y listo para ser inyectado a la red. En la Figura 7.14 se puede apreciar el resultado de este proceso. Figura Paquete listo para ser enviado a la red Tamaño corto del IV Otra de las deficiencias del protocolo viene dada por la corta longitud del campo IV. El vector de inicialización (IV) tiene sólo 24 bits de longitud y aparece en claro (sin encriptar) [6]. Matemáticamente sólo hay 2^24 ( ) posibles valores de IV. Aunque esto pueda parecer mucho, 16 millones de paquetes pueden generarse en pocas horas en una red inalámbrica con tráfico intenso. Un punto de acceso que constantemente envíe paquetes de 1500 bytes a 11Mbps, acabará con todo el espacio de IV disponible después de 1500*8/(11*10^6)*2^24 = ~1800 segundos, o 5 horas. Este tiempo puede ser incluso más pequeño si el tamaño de los paquetes es menor que La corta longitud del IV, hace que éste se repita frecuentemente y de lugar a la deficiencia del protocolo, basada en la posibilidad de realizar ataques estadísticos para recuperar el texto descifrado gracias a la reutilización del IV. Reutilización del IV Esta vulnerabilidad fue demostrada teóricamente por David Wagner (Universidad de Berkeley). Se basa en que WEP no utiliza el algoritmo RC4 con cuidado : el Vector de Inicialización se repite frecuentemente. Se pueden hacer ataques estadísticos contra paquetes cifrados con el mismo IV. Si un IV se repite, se pone en riesgo la confidencialidad [6]. A continuación vemos en que consiste esta vulnerabilidad: Supongamos que P y P son dos paquetes en claro (sin encriptar) que van a ser encriptados con el mismo IV. Juan José Yunquera Torres 151

15 La clave a utilizar para la encriptación viene dada por: Z = RC4 (key, IV) Los dos paquetes cifrados serían los siguientes: Nótese que: C = P Z C = P Z C C = (P Z) (P Z) = (Z Z) (P P ) = P P Como se observa la XOR de ambos paquetes en claro es conocida. Si podemos adivinar uno de los dos paquetes en claro, el otro puede también ser descubierto estadísticamente de forma trivial. Así que si RC4 no se usa con cuidado, se vuelve inseguro Deficiencias de la autenticación El método de autenticación por llave compartida, descrito anteriormente se puede explotar fácilmente mediante un ataque pasivo [6][12]. Este ataque lo comienza el cliente no autorizado capturando el segundo y tercer mensajes de una autenticación cualquiera entre el AP y otro cliente. En el segundo mensaje se encuentran los 128 bytes de un reto en claro, es decir, sin cifrar y en el tercero ese reto cifrado. De esta forma sólo tiene que hacer una operación XOR entre los dos mensajes, el cifrado y el sin cifrar, para poder obtener el keystream que el cliente autorizado utilizó. Como podemos ver en la figura que muestra el formato de las tramas (Figura 7.5), el tamaño de las tramas de autenticación es el mismo para todos los mensajes, y sus valores conocidos. Así pues el atacante dispone de un keystream idóneo para mandar mensajes y todos los elementos necesarios para rellenar la trama a excepción hecha del texto de desafío, que cambia de una autenticación a otra. El ataque se completa definitivamente mandando una petición de acceso al AP, y una vez que hemos recibido el texto plano, lo codificamos haciendo una XOR con el keystream. Sólo queda crear el ICV correcto de manera sencilla gracias a las debilidades del CRC-32. De este modo tras mandar el texto cifrado se obtiene acceso al sistema. Por último, sólo hay que destacar que no se dispone de la clave compartida, por lo que no poseemos la capacidad de descifrar el WEP, y por tanto este será sólo el primer paso para acceder al sistema, que deberá de ir seguido por alguna de las técnicas que se expondrán en el siguiente apartado para saltarse el WEP Ataques a WEP Una vez visto el funcionamiento del sistema de encriptación, nos centramos en la longitud de cada uno de los registros implicados, ya que éste será el principal problema de seguridad que tiene el protocolo. Juan José Yunquera Torres 152

16 El estándar WEP fue definido para que la salida del algoritmo RC4 (también conocida como keystream) fuera de 64 bits, los cuales se repartían entre los 24 del vector de inicialización y los 40 de la clave. La versión más avanzada de WEP está formada por 128 bits, que se descomponen en 24 del vector de inicialización y 104 de clave. Es la longitud del vector de inicialización el que presenta mayor problema, ya que las variantes que se obtienen para un código binario de 24 bits son pocas en relación a la capacidad de procesado de los equipos actuales. De esta manera nos encontramos ante una deficiencia ideal para el uso de un ataque por fuerza bruta, es decir, probando las combinaciones posibles. Además también puede realizarse el ataque conocido como Inductivo de Arbaugh, el más importante de todos que se basa en la deficiencia del algoritmo RC4 [1][6][12]. Ataque de fuerza bruta Una vez visto el modo de generación de la clave de WEP, llegamos a la conclusión de que lo importante para poder generar la clave con la que descifrar el código es averiguar la semilla con la que se alimentará el módulo pseudoaleatorio (el funcionamiento de este módulo es público). Para encontrar esta semilla, se puede optar por el ataque por fuerza bruta, cuyo coste computacional y de tiempo puede reducirse si atendemos a las siguientes consideraciones: a) En primer lugar al estar formada la frase secreta por caracteres ASCII (5 para WEP de 64 bits y 13 para el de 128 bits), el primer bit de todos los caracteres será cero, por lo que el resultado de la XOR del primer byte de cada uno de los 4 bytes que forman la semilla, será cero. Eso nos reduce la entropía de la fuente, ya que el rango se reduce desde 00:00:00:00 a 7F:7F:7F:7F, en lugar de hasta FF:FF:FF:FF. b) También el uso del generador pseudoaleatorio con estos datos de entrada reduce la entropía. Sin entrar demasiado en detalle en el funcionamiento interno de este módulo, un generador de módulo 32 hace que los bits más bajos sean menos aleatorios que los más altos. Debido a esto sólo producirán llaves únicas las semillas que vayan del 00:00:00:00 al 00:FF:FF:FF. Uniendo las dos características anteriores, los valores válidos de las semillas estarán en el rango de 00:00:00:00 al 00:7F:7F:7F, por lo que se ha reducido la entropía de 32 a 21 bits. Como dato orientativo, un PIII a 500 MHz puede descifrar una clave WEP en un plazo máximo de 210 días usando la fuerza bruta. Este tiempo se reduce considerablemente a medida que aumenta la capacidad de procesado. Ataque Inductivo Arbaugh Este ataque fue demostrado teóricamente por William A. Arbaugh (Universidad de Maryland). Este tipo de ataque se basa en explotar la vulnerabilidad de MIC independiente de la llave, aprovechando también la redundancia de información producida por el CRC. Como dijimos antes, WEP utiliza como Juan José Yunquera Torres 153

17 mecanismo de chequeo de datos un CRC de 32 bits sobre los datos sin cifrar, por lo que no contempla ni el IV ni la clave. Aunque a priori esto no debe ser un problema, está demostrado que conociendo el texto plano de uno de los paquetes, se pueden inyectar paquetes a la red por un elemento no autorizado. Esto es posible de la siguiente manera. Para realizar el ataque hay que obtener un paquete cuyo mensaje es conocido, y esto se puede conseguir, por ejemplo, identificando mensajes DHCPDISCOVER de los que conocemos que la cabecera IP tendrá como origen y como destino y tienen longitud fija. Una vez identificada la trama con el mensaje DHCPDISCOVER, realizamos una XOR del texto en claro conocido con el texto cifrado que hemos recibido, obteniendo así el Keystream que fue utilizado para codificar el mensaje, y que está directamente relacionado con el vector IV utilizado, que por cierto va incluido en el mensaje en texto plano (sin codificar). Una vez conocemos el Keystream podemos introducir fácilmente un paquete válido en la red sin más que codificar el mensaje y su ICV (salida del CRC-32), con el código aleatorio y colocarle al mensaje el IV al que está relacionado. Ese paquete será completamente válido para el punto de acceso. Figura Inyección de mensaje válido en la red Pero desgraciadamente para los usuarios de WEP, los problemas no quedan ahí, ya que además de introducir paquetes válidos en la red, es posible mediante una técnica similar a ésta, conseguir todos los códigos pseudoaleatorios para todos los IV, por lo que es posible para el atacante descifrar todo el tráfico cifrado en WEP. Veamos como hacerlo: El objetivo es obtener todos los flujos aleatorios de código (keystream) generados para cada IV. La longitud completa de un keystream es de 1500 bytes. Para obtener esa cifra vamos a partir de un keystream conocido, por ejemplo el obtenido del mensaje anterior DCHPDISCOVER. Utilizando como base este keystream, vamos a ir adivinando el byte siguiente, mandando un Juan José Yunquera Torres 154

18 mensaje de petición que devuelva una respuesta conocida (por ejemplo un mensaje ping). Si conocemos un keystream de n bytes, entonces vamos a crear el mensaje conocido de n-3 bytes. Además, a ese mensaje conocido de n-3 bytes le calculamos su ICV (ocupa 4 bytes), del que sólo añadiremos 3 de los bytes al mensaje. Tras codificar el mensaje con el keystream, añadimos un byte más al mensaje a mandar. Si recibimos respuesta, esto quiere decir que el byte que añadimos al keystream era correcto, sino, cambiamos a otra de las 256 posibilidades para ese byte, hasta que la respuesta sea afirmativa. Este procedimiento se repite hasta obtener los 1500 bytes necesarios para cada IV. Figura Proceso de cálculo del Keystream Si el atacante puede realizar cien pruebas por segundo para cada byte, entonces tardaría de media unos 36 minutos en descifrar un keystream de 1500 bytes para un IV determinado. Si además sabemos que existen 2^24 IV diferentes, entonces tendremos que hacer una tabla de (2^24)x1500 bytes, o lo que es lo mismo unos 24 GB. En rellenar esa tabla tardaría unas 30 horas con un sólo host, tiempo que se puede disminuir a 7.5 horas con 4 host, 3.75 horas con 8 hots y así sucesivamente. Una vez creada la tabla el resto es sencillo, cada vez que llega un mensaje, lee el IV que va en texto plano y tras mirar en la tabla obtiene su keystream correspondiente con el que haciendo una XOR con los datos cifrados, obtendrá el mensaje oculto. Debilidad del algoritmo RC4 Fue demostrada teóricamente y publicada en 2001 por Scott Fluhrer, Itsik Mantin y Adi Shamir, y es el ataque más demoledor y la prueba más contundente de la ineficacia del algoritmo en el que está basado WEP. Aun siendo complicado y basado en un tedioso estudio matemático vamos a Juan José Yunquera Torres 155

19 intentar comentar intuitivamente en qué consiste esta técnica. De todos modos es posible encontrar el desarrollo matemático completo en Internet. Estos señores demostraron que se puede conseguir la clave completa con sólo la primera palabra de un keystream. Para ello se buscan paquetes en los que la IV no tenga información de la clave. Estos paquetes, conocidos como paquetes resueltos, sólo tienen falta de información de un byte de la clave, por lo que ese byte debe ser adivinado para que el siguiente paquete pueda ofrecer información del siguiente byte de la llave. Este ataque puede resultar lento, por lo que sólo se utilizan las IVs llamadas débiles que cumplen la condición anterior. Cuando encontramos una IV débil (un paquete resuelto), existe sólo un 5% de posibilidades de averiguar el byte de la clave, pero gracias al gran número de paquetes que se mandan en una comunicación las probabilidades de conseguir el objetivo deseado aumentan considerablemente. Es importante que los primeros bytes de la clave sean adivinados con éxito. Para ello se suelen seguir dos métodos. El primero es marcar los paquetes resueltos y ver si las claves son correctas gracias a su ICV. El segundo en cambio se basa en la posibilidad de que el usuario haya utilizado una clave sencilla de recordar, por lo que los datos de la palabra clave deben ir en código ASCII. Comprobando así si los bytes de la palabra clave coinciden con elementos del código ASCII, la probabilidad de encontrar la palabra clave aumenta. Cuando se han recolectado suficientes IV s débiles para un valor concreto de un byte de la llave, el análisis estadístico muestra una tendencia hacia un valor en particular para ese byte de la llave. Se le da una puntuación a cada una de las 256 posibilidades según la probabilidad de ser el valor correcto. La llave se intenta adivinar a partir de los valores con mayor puntuación en el análisis estadístico. Los IV s débiles no están distribuidos de forma lineal a través del espacio de IV s. Sólo existen unos 9000 paquetes con IVs débiles de los aproximadamente 16 millones de paquetes posibles, y además no están dispuestos ni secuencial ni linealmente, por lo que es necesario captar un número importante de paquetes para poder obtener la clave por este método. Según estimaciones, se pueden conseguir las claves utilizando entre 2000 y 4000 paquetes resueltos, por lo que es necesario captar entre 5 y 10 millones de paquetes normales para poder encontrar ese número de IVs débiles. Se pueden encontrar en Internet de forma gratuita programas que aprovechan la deficiencia de RC4 utilizando la metodología aquí descrita. Los más populares son el Airsnort y el Wepcrack. Para finalizar, debemos comentar que aunque las vulnerabilidades de WEP son importantes y conocidas, representa una primera barrera u obstáculo para acceder al sistema, pero deben ser utilizadas conjuntamente con otros elementos de seguridad, que veremos más adelante WEP2 WEP2 utiliza una clave secreta de 104 bits, en lugar de los 40 bits que usaba su predecesor. Esto, unido a los 24 bits del IV, hace que este protocolo Juan José Yunquera Torres 156

20 también se conozca con el engañoso nombre de WEP de 128 bits (aunque la clave en sí sólo esté compuesta por 104) [1]. Este nuevo protocolo fue propuesto por primera vez en 2001 y actualmente casi todos los dispositivos inalámbricos lo poseen, aunque todavía existen fabricantes que no lo han terminado de aceptar. La aportación básica de WEP2 a su antecesor es que, con él, el atacante que quiera hacerse con la clave secreta por medio de la fuerza bruta, es decir, probando a partir de algoritmos que contrarresten el RC4, tardará unas veinte semanas en obtener resultados, lo cual, en comparación con los pocos días que se tarda en descifra la clave en el protocolo WEP simple, supone una eternidad. Aún así, todavía existen hackers a los que les vale la pena este tipo de ataques. Sin embargo, al igual que en WEP, hay gran cantidad de métodos que permiten acceder a la clave de forma mucho más rápida. Existen dos contratiempos o problemas en el uso de WEP2. El primero de ellos no es un problema en sí, sino una falta de mejora con respecto a WEP. Y es que, como ya se ha visto, muchos de los ataques a WEP no dependen más que del vector de inicialización; y éste, tanto en WEP como en WEP2 tiene el mismo número de bits, es decir, 24, con lo cual no estamos añadiendo nada nuevo en cuanto a seguridad (lo mismo da, en estos casos, que la clave tenga 40 ó 104 bits). Esta falta de mejora se debe a que cambiar la longitud del IV implicaría cambios sustanciales en el hardware. El otro problema es que, debido a la mayor longitud de la clave secreta, existe una carga añadida en el proceso de encriptación de cada trama, la cual reduce el throughput. A pesar de los problemas que implica el uso de WEP2, es conveniente usarlo en lugar de WEP; y esto se debe a que, con el avance de las tecnologías, los equipos informáticos son cada vez más potentes, repercutiendo esto en dos aspectos distintos: dentro de poco, con la potencia ofrecida por los ordenadores futuros, se podrá descifrar una clave WEP de 40 bits en unos pocos minutos, lo cual no ofrece prácticamente ninguna seguridad; el otro aspecto es que la carga computacional añadida por una clave de 104 será absolutamente inapreciable, con lo que el uso de WEP2 no ofrecerá ninguna desventaja con respecto a WEP VPN El nombre de red privada virtual (VPN, `Virtual Private Network ), hace referencia a un protocolo especial que permite conectar un ordenador a una red de una forma segura. Este protocolo debe instalarse en cada uno de los ordenadores que forman la red; no obstante, el propio sistema operativo Windows incluye las herramientas necesarias para poder llevar a cabo esta configuración de una forma fácil y cómoda [2]. Una VPN emplea tecnologías de cifrado para crear un canal virtual privado sobre una red de uso público. Las VPN resultan especialmente atractivas para proteger redes inalámbricas, debido a que funcionan sobre cualquier tipo de hardware inalámbrico y superan las limitaciones de WEP. Para configurar una red inalámbrica utilizando las VPN, debe comenzarse por asumir que la red inalámbrica es insegura. Esto quiere decir que la parte de la red que maneja el acceso inalámbrico debe estar aislada del Juan José Yunquera Torres 157

21 resto de la red, mediante el uso de una lista de acceso adecuada en un enrutador, o agrupando todos los puertos de acceso inalámbrico en una VLAN si se emplea switching. Dicha lista de acceso y/o VLAN solamente debe permitir el acceso del cliente inalámbrico a los servidores de autorización y autenticación de la VPN. Deberá permitirse acceso completo al cliente, sólo cuando éste ha sido debidamente autorizado y autenticado. Figura Estructura de una VPN para acceso inalámbrico seguro Los servidores de VPN se encargan de autenticar y autorizar a los clientes inalámbricos, y de cifrar todo el tráfico desde y hacia dichos clientes. Una red privada virtual cifra las comunicaciones entre el ordenador del usuario y el servidor mediante un sistema que se conoce como tunelado. La información transmitida de esta forma tendrá la garantía de no poder ser descifrada hasta que no llegue a su destino [8]. El inconveniente de las redes privadas virtuales es que parte del caudal transmitido tiene que dedicarse al cifrado de los datos; por tanto, son redes algo menos eficientes. No obstante, si se está especialmente preocupado por la seguridad de la red, sin duda, se trata de una buena medida de seguridad. En el mercado existen distintos protocolos que permiten crear una red privada virtual. Los más conocidos quizás sean IPSec, PPTP y L2TP [9]. IPSec (IP Secure). Protocolo de seguridad que opera sobre la capa de red que proporciona un canal seguro para los datos. Ofrece integridad, autenticación, control de acceso y confidencialidad para el envío de paquetes IP por Internet. PPTP (Point to Point Tunneling Protocol). Se trata de un protocolo de red que permite la realización de transferencias desde clientes remotos a servidores localizados en redes privadas. Para ello emplea tanto líneas telefónicas conmutadas como Internet. PPTP es una extensión de PPP que soporta control de flujos y túnel multiprotocolo sobre IP. Los sistemas operativos Windows ofrecen crear una conexión de este tipo. L2TP (Layer 2 Tunneling Protocol). Encapsula características PPTP y L2F como un todo, resolviendo los problemas de Juan José Yunquera Torres 158

22 interoperatividad entre ambos protocolos. Para seguridad de los datos se apoya en IPSec. En resumen, las ventajas que ofrece el crear una red privada virtual son las siguientes: La gestión de la red privada virtual es centralizada, escalable y eficiente. Ofrece seguridad a las comunicaciones inalámbricas Wi-Fi. Ofrece seguridad a las comunicaciones con la red local desde Internet o para cualquier otro tipo de acceso remoto. El software de red privada virtual no tiene ningún coste adicional si se utiliza Windows X Se trata de un protocolo de control de acceso y autenticación basado en la arquitectura cliente/servidor, que restringe la conexión de equipos no autorizados a una red. Fue diseñado originalmente para ser utilizado en redes cableadas, de ahí que la numeración del estándar no coincida con la serie , pero posteriormente se adecuó muy bien a los procesos de autenticación de redes inalámbricas por las características que veremos a continuación. Muchos de los puntos de acceso que se fabrican en la actualidad son compatibles con 802.1X. Su característica principal es la de controlar el acceso a un dispositivo mediante el control de un puerto lógico asociado, al que se conectan los distintos dispositivos. Con esto se busca que sólo tras un proceso de autenticación fuerte sea posible el acceso a un puerto determinado. Como es obvio si el proceso de autenticación falla, el cliente no podrá acceder al servicio proporcionado por el servidor. Una de las ventajas que tiene este método de autenticación frente a otros, es que se realiza punto a punto, es decir, de un extremo de la comunicación hasta el otro, permitiendo así evitar los ataques de posibles intrusos. Antes de comenzar una descripción detallada, debemos aclarar que cuando nos referimos a un puerto lo estamos haciendo tanto para un puerto físico, por ejemplo el de una tarjeta Ethernet, como uno lógico, como el que se puede encontrar entre dos aplicaciones en funcionamiento. Si nos centramos en el sistema de referencia OSI para situar la acción del 802.1x, vemos que se encuentra entre la capa MAC y las superiores, pero con una peculiaridad respecto a los sistemas normales, que es que existen dos formas de acceder a las capas superiores. La primera de esas formas es mediante lo que se conoce como un puerto sin autorización, que como veremos más adelante, será utilizado por los distintos protocolos encapsulados en EAP (Extensible Authentication Protocol), para poder realizar una comunicación entre por ejemplo el punto de acceso y el Juan José Yunquera Torres 159

23 servidor RADIUS de la red cableada, pudiéndose realizar así el proceso de autenticación. La segunda de las formas es utilizando el puerto con autorización, que no puede ser usado hasta que el proceso de autenticación no ha sido pasado correctamente. Este puerto se utiliza para el intercambio de datos entre el cliente remoto que quiere acceder al sistema y la aplicación o servidor que se encuentra en él. En la siguiente figura veremos un pequeño esquema de lo comentado anteriormente. Pero antes hay que especificar los distintos papeles que jugarán cada elemento en la comunicación [12]: Autenticador: Es el puerto receptor de la comunicación y será el encargado de pasar las tramas al servidor de autenticación. En una comunicación inalámbrica sería uno de los puertos del punto de acceso. Suplicante: Es el puerto que desea acceder a los servicios conectados al puerto autenticador. Representaría a la estación remota en una comunicación inalámbrica. Servidor de autenticación: Está asociado al autenticador mediante un puerto lógico o físico, y es el encargado de validar la identidad aportada por el suplicante y permitir o no su acceso a la red. PAE: El puerto PAE (Port Access Entity), o también denominado puerto LAN, es una entidad lógica que soporta el protocolo 802.1x asociado con un puerto. Este puerto puede hacer de autenticador, de suplicante o de ambos. Como es lógico, los tres primeros elementos no tienen que representar necesariamente a dispositivos físicos, por lo que es posible encontrar en algunas configuraciones que por ejemplo el autenticador y el servidor se encuentren localizados en el mismo dispositivo físico. Figura Modelo IEEE 802.1X En la Figura 7.19 se aprecia como se crean dos puertos lógicos a partir del mismo punto de unión con la LAN. Como ya se comentó uno, el no controlado, es para el intercambio de PDU s en el proceso de autenticación, y Juan José Yunquera Torres 160

24 el otro para el intercambio de PDU s con el usuario final, una vez concluido y validado el proceso de autenticación. Al estar unidos ambos puertos al mismo punto, todas las tramas que lleguen de la capa física estarán disponibles para los dos puertos, y será encaminada por uno u otro camino dependiendo de la naturaleza de la PDU recibida. Por otro lado el sentido de las flechas indica hacia donde se dirigen las tramas, por lo que las que vayan en sentido descendente serán destinadas al mismo punto de unión de la capa física, ya provengan del puerto controlado o del no controlado. Figura Representación de los puertos de 802.1X En los dos ejemplos siguientes del sistema, se representan los dos estados posibles que puede tener el puerto controlado. Si el puerto ha pasado el proceso de autenticación entonces tendrá estado de autorizado y si no lo pasa o simplemente está inactivo, entonces permanecerá en no autorizado. Figura Estado de acceso al puerto controlado de 802.1X Juan José Yunquera Torres 161

25 Existen tres modos de funcionamiento para el control del puerto. Estos tres modos son forzar el autorizado, forzar el no autorizado y auto. En los dos primeros queda claro que se cierra o se deja abierto el puerto hasta nueva orden, mientras que el tercero depende del proceso de autenticación. También es posible activar o desactivar la capa MAC sobre la que se sustenta el 802.1x. Esta desactivación ya sea física o administrativa produce el corte total de tráfico entre el suplicante y el autenticador. Como curiosidad, el autenticador cambia el estado del puerto controlado a no autorizado, cuando recibe la notificación de que la capa MAC ha sido desactivada. Figura Desactivación de la capa MAC en 802.1X También es posible cambiar la dirección en la que se puede cursar el tráfico por el puerto controlado. Las dos opciones son Both e In. Con la primera se permite tanto el tráfico de entrada como el de salida por el puerto controlado, mientras que con la segunda sólo se permite el tráfico de entrada, es decir, desde la capa física hacia los niveles superiores. Hay que dejar bien claro que este parámetro sólo puede ser cambiado por el administrador del sistema para evitar cualquier tipo de ataque. Una vez comentadas las características básicas del 802.1x, vamos a centrarnos en su funcionamiento. Aunque como ya dijimos el 802.1x fue creado para redes cableadas, sus características son idóneas para las redes inalámbricas en las que existe un medio compartido como es el aire. Así pues de todas las configuraciones posibles en las que 802.1x podría ser útil, dígase FDDI, Token Ring, etc, sólo nos vamos a centrar en un escenario el que el medio sea el aire y se utilice una tecnología inalámbrica. Para poder realizar nuestra explicación supongamos que disponemos de los elementos básicos y esenciales en este tipo de escenarios, es decir, una estación móvil (MS) que se quiere conectar a una red cableada mediante un punto de acceso (AP). Tanto nuestra MS como nuestro AP están provistos de elementos compatibles con 802.1x. Así mismo existe un servidor de autenticación (AS) que está conectado físicamente con el AP. Juan José Yunquera Torres 162

26 Figura Esquema de comunicación y autenticación Vemos por tanto que tenemos dos zonas diferenciadas en la comunicación, la primera utiliza como medio físico el aire, y es el tramo correspondido entre la MS y el AP. Entre ellos se utiliza EAPOL (EAP Over LAN) para poder encapsular el protocolo EAP (Extensible Authentication Protocol) en cualquiera de sus versiones. La segunda de las zonas es la zona cableada entre el AP y el AS, y para comunicarse entre ellas se utiliza otro protocolo de encapsulado del tipo AAA (un ejemplo de este protocolo podría ser el RADIUS). La autenticación del cliente se lleva a cabo mediante el protocolo EAP y el servicio RADIUS, de la siguiente manera [8]: El proceso se inicia cuando la estación de trabajo se enciende y activa su interfaz de red (en el caso cableado) o logra enlazarse con un punto de acceso (en el caso inalámbrico). En ese momento, la interfaz de red tiene el acceso bloqueado para tráfico normal, y lo único que admite es el tráfico EAPOL que es el requerido para efectuar la autenticación. La estación de trabajo manda un mensaje EAPOL-Star al autenticador, indicando que desea iniciar el proceso de autenticación. El autenticador solicita a la estación que se identifique, mediante un mensaje EAP-Request/Identity. La estación se identifica mediante un mensaje EAP- Response/Identity. Una vez recibida la información de identidad, el autenticador envía un mensaje RADIUS-Access-Request al servidor de autenticación, y le pasa los datos básicos de identificación del cliente. El servidor de autenticación responde con un mensaje RADIUS- Access-Challenge, en el cual envía información de un desafío que debe ser correctamente resuelto por el cliente para lograr el acceso. Dicho desafío puede ser tan sencillo como una contraseña, o involucrar una función criptográfica más elaborada. El autenticador envía el desafío al cliente en un mensaje EAP-Request. Juan José Yunquera Torres 163