WEP/WPA/WPA2 Fernando Martínez Departament de Matemàtica Aplicada II Universitat Politècnica de Catalunya 19 de diciembre de 2006 ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 1 / 16
Seguridad en WLAN SSID (Service Set IDentifier) + dirección MAC WEP: Wired Equivalent Privacy WPA: Wi-Fi Protected Access WPA2 ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 2 / 16
WEP Identificación: RC4 Confidenciabilidad: RC4 Integridad: CRC32 ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 3 / 16
WEP: Cifrado IV (24 bits) Id K (8 bits) Data (0-2312 bytes) CRC (32 bits) IV : 24 bits que se prependen a la clave compartida K. Id K : Identificador de la clave a usar Data: Datos transmitidos CRC: 32 bits resultado de usar como método de integridad el polinomio CRC32. Data y CRC32 se cifran usando el algoritmo RC4 con la clave K = IV K. La clave K puede tener 64 o 128 bits (K tiene 40 o 104 bits). ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 4 / 16
WEP: Autentificación 1 El cliente solicita una petición de autentificación al AP (Access Point). 2 El AP envía en claro un nonce al cliente. 3 El cliente cifra el nonce y se lo envía al AP. 4 El AP descifra el mensaje recibido y comprueba que coincida con el nonce enviado. ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 5 / 16
WEP: vulnerabilidades IV pequeño (24 bits, 16 777 216 valores diferente), es fácil que sea reusado. 1 No se especifíca cómo generar el IV : algunas implementaciones lo repiten para paquetes de la misma sesión, otras implementaciones usan un contador secuencial que permite predecir los próximos IV. Distintos usuarios comparten la misma clave. No hay un método eficiente para distribuir claves a los clientes y a los AP, es manual. No se autentifica al AP. El método de integridad de los paquetes utilizado (CRC32: lineal y sin clave), conjuntamente con un algoritmo de cifrado de flujo, permite la manipulación de los paquete sin que sea posible detectarla. 1 Con 4900 paquetes cifrados la probabilidad de repetición del IV del del 50%, sube 99% con 12500 paquetes cifrados. ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 6 / 16
WEP: vulnerabilidades RC4 Attacks On RC4 and WEP (Fluhrer, Mantin and Shamir) http://www.wisdom.weizmann.ac.il/ itsik/rc4/papers/rc4 wep.ps Using the Fluhrer, Mantin, and Shamir Attack to Break WEP http://www.wisdom.weizmann.ac.il/ itsik/rc4/papers/wep attack.ps Hay utilidades que implementan ataques a WEP: Airsnort, Aircrack... Es posible romper WEP en unos pocos minutos si el tráfico del AP elevado. ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 7 / 16
WAP Intento temporal de corregir WEP manteniendo compatibilidad. EAP: Extensible Authentication Protocol (RFC 2284) TKIP: Temporal Key Integrity Protocol ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 8 / 16
Autentificación 1 EL cliente se conecta al AP. 2 El AP bloquea el acceso de cliente a la red hasta que el cliente se identifica en la red. 3 Usando EAP, el cliente y el servidor de autenfificación se identifican mutuamente a través del AP. EAP-LEAP EAP-TLS (RFC 2716) EAP-TTLS EAP-PEAP... 4 Un vez autentificados, el servidor de autentificación y el cliente generan una clave WEP de sesión. 5 El servidor de autentificación envía la clave WEP al AP. ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 9 / 16
TKIP IV (16+8 bits) Id K (8 bits) IV (32 bits) Data MIC(64 bits) CRC(32 bits) Michael Message Integrity Check (MIC). Nuevo IV de 48 (32+16) bits. Para cada paquete se evitan los IV que dan lugar a claves débiles del RC4. Cada 2 16 paquetes se cambia la clave. La clave es única para cada cliente y paquete. ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 10 / 16
TKIP: Michael MIC Es un MAC con clave de 64 bits y salida de 64 bits. Diseñado con un factor de seguridad 20. 2 Si se producen dos errores en el MIC en el intervalo de un segundo las implementaciones deberían asumir que se está bajo ataque, desconectar durante varios minutos y cambiar la clave. 2 En pocos segundos es posible encontrar colisiones. ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 11 / 16
TKIP: Generación de claves A partir de una clave compartida por el cliente y el AP se genera la clave maestra MK. A partir de un contador de 32 bits, la dirección MAC del cliente y la MK se genera una clave K i. A partir de un contador de 16 bits: y de K i se genera la parte secreta de la clave WEP (40 o 104 bits), se generan 8 bits de forma que concatenados nos den los 24 bits de la parte pública de la clave WEP y que la clave resultante no sea un clave débil RC4. ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 12 / 16
TKIP: Generación de claves MK Dirección MAC Fase 1 IV 1 (32 bits) k i Fase 2 IV 2 (16 bits) IV 2 (16 bits) pad (8 bits) Clave compartida para cada paquete (40 o 104 bits) IV (24 bits) Clave compartida estática(40 0 104 bits) ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 13 / 16
WAP2 Propuesta para reemplazar totalmente WEP y WPA. MAC: AES en modo CBC. Cifrado: AES en modo CTR (Counter Mode). ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 14 / 16
Bibliografía Stanley Wong. The evolution of wireless security in 802.11 networks: WEP, WPA and 802.11 standards http://www.sans.org/reading room/whitepapers/wireless/ Jesse Walker 802.11 Security Series Part II: The Temporal Key Integrity Protocol (TKIP) Part III: AES-based Encapsulations of 802.11 Data Matthew Gast. 802.11 Wireless Networks: The Definitive Guide O Reilly, 2002. Merike Kaeo. Designing Network Security Cisco Press, 2003. ( MA2 UPC) WEP/WPA/WPA2 19 de diciembre de 2006 15 / 16