Security Day Barna 17 Febrero 2005.

Presentación del tema: "Security Day Barna 17 Febrero 2005."— Transcripción de la presentación:

1 Security Day Barna 17 Febrero 2005

2 Agenda Seguridad en Wireless Introducción redes Wireless
Componentes Diseño Protocolos Stack Tipos Debilidades de las Redes Wireless Contramedidas Securización: WEP WPA WPA2 (802.11i) Control de Acceso Arquitectura Segura Certificados Digitales PEAP

3 Introducción

4 Introducción Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN tradicionales: Bajo costo de instalación Disponibilidad No requiere de software adicional Movilidad La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grades empresas. Este mercado esta menos concienciado de los problema de seguridad El mercado con mas crecimiento en el mercado de las comunicaciones La implantación va de SOHO a las grandes empresas. It's a fundamental difference in the transmission medium. Physical cabling isn't all that easy to snoop on -- it takes specialized equipment, or physical access to hubs, and is likely to get noticed by someone whose job is care. On the other hand, the air is very difficult to secure. It's everywhere; you can hide out in an unmarked white van by the side of the road and grab all the frames that flow by. That's why you need good encryption on private (corporate) wireless networks. Hotspots, which are intend to be public networks, won't have such security; that's why it's important to mention SSL-protected access to corporate web applications or full IP VPNs. Default WEP is no longer good enough because the cracking tools have recently gotten much better; you can now crack poor keys (ones with predictable initialization vectors) with only about 500,000 frames of captured traffic -- which a single station can easily generate in under an hour. WPA and WPA2, with their new-key-every-frame design, solve this problem.

5 Introducción Proveen grandes agujeros en la seguridad de la red.
El aire es un medio inseguro. Los estándares iniciales tienen muchos problemas de seguridad. Si las Wireless LANs (WLANs) no las implementamos correctamente … Los datos sensible o confidenciales en nuestros sistemas pueden ser considerados como públicos.

6 Introducción Familia de Protocolos IEEE 802.11
Estandar de la IEEE frecuencias de 2.4 a 5 GHz a 2 Mbps a 2.4GHz 802.11a 54 Mbps a 5GHz 802.11b 11Mbps a 2.4GHz WI-FI 802.11g 54 Mbps 2.4GHz NOTAS SOBRE EL TEMA:

7 Introducción 802.11 El primer estándar Wireless, Publicado en 1997
Opera a una frecuencia de 2.4GHz Posee un muy bajo ancho de banda de 1 a 2 Mbps NOTAS SOBRE EL TEMA:

8 Introducción 802.11a Publicado en septiembre de 1999 como complemento de Opera en una frecuencia de 5GHz Usa (OFDM) Orthogonal Frequency Division Multiplexing. Posee un ancho de banda de 54Mbps, con algunas implementaciones propietarias se llego a 72Mbps el data rate es de 27Mbpss No es directamente compatible con b y g aunque si lo es con AP duales en el caso de algunos AP g El rango de alcance es menor al del b, algunos lo utilizan como una ventaja en seguridad (falsa sensación) NOTAS SOBRE EL TEMA:

9 Introducción 802.11b Publicada tambien a fines de 1999
Estandar de facto en tecnologias Wireless Opera en una frecuencia de 2.4GHz Utiliza el encoding DSSS (Direct Sequence Spread Spectrum) Posee un ancho de banda de 11Mbps y el data rate es de 5 a 6 Mbps Es el protocolo mas uilizado hoy en dia, se suele referir a este como WI-FI NOTAS SOBRE EL TEMA:

10 Introducción 802.11g Es una extensión de 802.11b
Opera en una frecuencia de 2.4GHz Utiliza el encoding “Orthogonal Frequency Division Multiplexing” (OFDM) Posee un ancho de banda de 54Mbps con un data rate de 20 a 25 Mbps Compatible con b NOTAS SOBRE EL TEMA:

11 Presente y Futuro… Cada fabricante implementa sus propias soluciones para mejorar el rendimiento en la transferencia de datos. (108 Mbps) WiMax: Es un estándar basado en la tecnología Wireless que proporciona gran ancho de banda en conexiones de larga distancia

12 STACK del protocolo

13 Componentes Punto de acceso o AP: Equivalente al HUB de la tecnología ETHERNET. Ojo, no es un Switch por lo que los usuarios comparten el ancho de banda total. Adaptador WIFI: en modos PCMCIA o como adaptador PCI principalmente. Antenas: unidireccionales y omnidireccionales.

14 Arquitecturas Modo “AD-HOC”
En el modo ad-hoc, los clientes se comunican directamente entre ellos, generando una red de clientes únicamente. Este modo fue diseñado de tal manera que solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos. Modo “INFRASTUCTURE” En el modo infrastructure, cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica. Modo “AD-HOC” En el modo ad-hoc, los clientes se comunican directamente entre ellos, generando una red de clientes únicamente. Este modo fue diseñado de tal manera que solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos. Si el cliente en una red ad-hoc desease comunicarse fuera de ese perímetro definido (también llamado celda), un miembro de esa celda debe actuar como si fuera un gateway y encaminar el tráfico fuera del perímetro hacia la otra celda Modo “INFRASTUCTURE” En el modo infrastructure, cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.

15 Definiciones BSS (Basic Service Set)
Una colección de Estaciones que se comunican entre si mediante Wireless. Para diferenciar entre su BSS y una que esta cerca utilizan el BSSID, que tiene formato de dirección MAC. Todas las estaciones en un BSS utilizan la misma BSSID Red de la Compañia B Red de la Compañia A

16 BSSID en Modo “INFRASTUCTURE”
Normalmente el BSSID es la dirección MAC del punto de acceso (AP) Existen AP sofisticados capaces gestionar varios BSS con diferentes BSSIDs y aparecer como varios AP virtuales Estaciones con el mismo BSSID AP Red Cableada

17 BSSID en Modo “AD-HOC” Las estaciones usan un BSSID aleatorio.
La primera estación elige el BSSID aleatoriamente y los otros utilizan el mismo Estaciones con el mismo BSSID

18 Definiciones ESS: Extended Service Set SSID: Service Set ID
Compuesto de varios BSS unidos. SSID: Service Set ID Normalmente conocido como el nombre de la red inalámbrica. Es el nombre que el usuario entiende. "ESSID" es utilizado en ocasiones para referirse al SSID en el contexto de un ESS Transparente para el usuario Solo conoce el SSID El trafico en un ESS puede utilizar varios BSSIDs diferentes si existen varios APs en el.

19 Funcionamiento Consiste principalmente de tres tipos de tramas:
Tramas de Gestión: Usadas para la gestión de los equipos Se transmiten igual que las demás pero no se envía a las capas superiores. Nivel 2 Tramas de Control: Usadas par el control de acceso al medio. Tramas de Datos: Usadas para la transmisión de los datos

20 Funcionamiento Descubrimiento: La estación ha de conocer la existencia del PA al que conectarse. Escaneo Pasivo: Espera recibir la señal de PA Escaneo Activo: La estación lanza tramas a un PA determinado y espera una respuesta Autenticación: La estación ha de autenticarse para conectarse a la red Asociación: La estación ha de asociarse para poder intercambiar datos con otras. Fase 1: Descubrimiento: La estación de trabajo tiene que conectarse con un punto de acceso, para ello se debe conocer la existencia del mismo. Esto se puede hacer de dos maneras distintas: Escaneo pasivo: La estación espera recibir una señal desde el punto de acceso. Escaneo activo: La estación lanza tramas esperando respuestas desde el punto de acceso. Fase 2: Autenticación: La estación de trabajo debe ser autenticada como válida para conectarse a la red inalámbrica. Existen diferentes formas de realizar esta fase y es uno de los puntos clave en la protección de las redes. Fase 3: Asociación: La máquina, una vez autenticada, debe ser asociada a la red para que pueda intercambiar información con el resto de las estaciones de la red.

21 Beacon Frames Las Tramas Baliza o “Beacon Frames”
Son tramas de gestion de capa nivel 2 Envían información sobre la red Wireless Sincronización horaria Anchos de banda, canal, tipo de señal, etc.. SSID Ayudan al las estaciones a localizar y asociarse a PA disponibles. Las redes que no emiten el SSID en las BFs se denominan “redes cerradas” Simplemente significa que el SSID no se anuncia Es un intento débil de asegurar la red tratando de ocultar información de su existencia. Beacons Revealed October 31, In a previous tutorial, I provided an overview of the various frame types that stations (network cards and access points) use to support wireless data communications. In addition to data frames that carry information from higher layers, includes management and control frames that support data transfer. The beacon frame, which is a type of management frame, provides the "heartbeat" of a wireless LAN, enabling stations to establish and maintain communications in an orderly fashion. Beacon Contents A typical beacon frame is approximately fifty bytes long, with about half of that being a common frame header and cyclic redundancy checking (CRC) field. As with other frames, the header includes source and destination MAC addresses as well as other information regarding the communications process. The destination address is always set to all ones, which is the broadcast Medium Access Control (MAC) address. This forces all other stations on the applicable channel to receive and process each beacon frame. The CRC field provides error detection capability. The beacon's frame body resides between the header and the CRC field and constitutes the other half of the beacon frame. Each beacon frame carries the following information in the frame body: Beacon interval. This represents the amount of time between beacon transmissions. Before a station enters power save mode, the station needs the beacon interval to know when to wake up to receive the beacon (and learn whether there are buffered frames at the access point). Timestamp. After receiving a beacon frame, a station uses the timestamp value to update its local clock. This process enables synchronization among all stations that are associated with the same access point. Service Set Identifier (SSID). The SSID identifies a specific wireless LAN. Before associating with a particular wireless LAN, a station must have the same SSID as the access point. By default, access points include the SSID in the beacon frame to enable sniffing functions (such as that provided by Windows XP) to identify the SSID and automatically configure the wireless network interface card (NIC) with the proper SSID. Some access point vendors have an option to disable the SSID from being broadcast in beacon frames to reduce security issues. Supported rates. Each beacon carries information that describes the rates that the particular wireless LAN supports. For example, a beacon may indicate that only 1, 2, and 5.5Mbps data rates are available. As a result, an b station would stay within limits and not use 11 Mbps. With this information, stations can use performance metrics to decide which access point to associate with. Parameter Sets. The beacon includes information about the specific signaling methods (such as frequency hopping spread spectrum, direct sequence spread spectrum, etc.). For example, a beacon would include in the appropriate parameter set the channel number that an b access point is using. Likewise, a beacon belonging to frequency hopping network would indicate hopping pattern and dwell time. Capability Information. This signifies requirements of stations that wish to belong to the wireless LAN that the beacon represents. For example, this information may indicate that all stations must use wired equivalent privacy (WEP) in order to participate on the network. Traffic Indication Map (TIM). An access point periodically sends the TIM within a beacon to identify which stations using power saving mode have data frames waiting for them in the access point's buffer. The TIM identifies a station by the association ID that the access point assigned during the association process. An probe response frame is very similar to a beacon frame, except that probe responses don't carry the TIM info and are only sent in response to a probe request. A station may send a probe request frame to trigger a probe response when the station needs to obtain information from another station. A radio NIC, for instance, will broadcast a probe request when using active scanning to determine which access points are within range for possible association. Some sniffing software (e.g., NetStumbler) tools send probe requests so that access points will respond with desired info. Beacons in action In infrastructure networks, access points (not radio NICs) periodically send beacons. You can set the beacon interval through the access point configuration screen. In general, the beacon interval is set to 100ms, which provides good performance for most applications. In ad hoc networks, there are no access points. As a result, one of the peer stations assumes the responsibility for sending the beacon. After receiving a beacon frame, each station waits for the beacon interval and then sends a beacon if no other station does so after a random time delay. This ensures that at least one station will send a beacon, and the random delay rotates the responsibility for sending beacons. By increasing the beacon interval, you can reduce the number of beacons and associated overhead, but that will likely delay the association and roaming process because stations scanning for available access points may miss the beacons. You can decrease the beacon interval, which increases the rate of beacons. This will make the association and roaming process very responsive; however, the network will incur additional overhead and throughput will go down. In addition, stations using power save mode will need to consume more power because they'll need to awaken more often, which reduces power saving mode benefits. In an idle network, beacons dominate all other traffic. A packet-monitoring tool, such as AirMagnet or AiroPeek would display a continuous stream of beacon frames. With no user-generated traffic, an occasional data frame carrying protocols used for non purposes, such as dynamic host configuration protocol (DHCP) will appear. Of course on networks with active users, a variety of other frames, such as association requests/responses, data frames carrying Internet traffic, acknowledgements, etc., intermix between the beacons. There are no reservations for sending beacons, and they must be sent using the mandatory carrier sense multiple access / collision detection (CSMA/CD) algorithm. If another station is sending a frame when the beacon is to be sent, then the access point (or NIC in an ad hoc network) must wait. As a result, the actual time between beacons may be longer than the beacon interval. Stations, however, compensate for this inaccuracy by utilizing the timestamp found within the beacon. Beacons Functions The amount of overhead that the transmissions of beacon frames generate is substantial; however, the beacon serves a variety of functions. For example, each beacon transmission identifies the presence of an access point. By default, radio NICs passively scan all RF channels and listen for beacons coming from access points in order to find a suitable access point. When a beacon is found, the radio NIC learns a great deal about that particular network. This enables a ranking of access points based on the received signal strength of the beacon, along with capability information regarding the network. The radio NIC can then associate with the most preferable access point. After association, the station continues to scan for other beacons in case the signal from the currently-associated access point become too weak to maintain communications. As the radio NIC receives beacons from the associated access point, the radio NIC updates its local clock to maintain timing synchronization with the access point and other stations. In addition, the radio NIC will abide by any other changes, such as data rate, that the frame body of the beacon indicates. The beacons also support stations implementing power saving mode. With infrastructure networks, the access point will buffer frames destined for sleeping stations and announce which radio NICs have frames waiting through the TIM that's part of the beacon. On the other hand, the beacon in ad hoc network marks the beginning of a period where stations buffering frames can alert sleeping stations that frames are waiting for delivery. As you can see, beacons are very important. With them, a wireless LAN simply won't work.

22 Descubrimiento Pasivo Redes Abiertas
Nodo Beacon Punto Acceso Coincide el SSID Association Req El PA acepta al nodo. Association Resp El Nodo se Asocia

23 Descubrimiento Activo Redes Cerradas
Nodo Probe Req Punto Acceso Probe Resp Coincide el SSID Coincide el SSID Association Req El PA acepta al nodo. Association Resp El Nodo se Asocia

24 Autenticación y Asociación
Para formar parte de una BSS, una estación primero se tiene que autenticar a si misma con la red. Después tiene que solicitar una asociación con un PA específico. El punto de acceso se encarga de autentificar y aceptar la asociación de la estación. Salvo que se implemente otro sistema de autenticación (e.g., Radius) Dos tipos de Autenticación: Abierta: Open System Authentication Cerrada: Shared Key Authentication

25 Open System Authentication
Protocolo de autenticación por defecto para Es un proceso de autenticación NULO: Autentica a cualquier cliente que pide ser autenticado. Las tramas se mandan en texto plano aunque esté activado el cifrado WEP

26 Debilidades Wireless Obstaculización de Comunicaciones
Protección física Interceptación de datos Cifrado de comunicaciones Ataques de “deception” Man In The Middle Autenticación Utilización no autorizada de recursos: Protección en la autorización de clientes

27 Debilidades Los mecanismos de seguridad utilizados por la mayoría de los usuarios son: Ocultación SSID Filtrado de direcciones MAC WEP La mayoría de los usuarios desconocen otros mecanismos. Muchos puntos de acceso no soportan otros mecanismos. Los dos primeros no se pueden considerar mecanismos de seguridad Utilizan validadores estáticos que son fácilmente spoofeables.

28 Wired Equivalent Privacy (WEP)
El mecanismo de seguridad principal del protocolo Usa cifrado RC4 de 40 ó 104 bits Su intencionalidad era que las redes inalámbricas fueran tan seguras como las redes con cable. Desgraciadamente , desde la ratificación del estándar , se han encontrado vulnerabilidades, dejando al protocolo inseguro frente a ataques. Pau Oliva Fora

29 Fundamentos WEP WEP es un algoritmo de cifrado de flujo.
Usa el algoritmo RC4 para obtener un flujo de bytes que son XOR con el texto claro. Como entrada del algoritmo de cifrado de flujo se utiliza la clave secreta y un vector de inicialización (IV) que se envía dentro del paquete en texto claro. El IV es de 24 bits. La longitud de la clave secreta es 40 o 104 bits para una longitud total sumando el IV de 64 o 128 bits. El Marketing publicita que las claves secretas son de 64 o 128 bits. Con la palabra clave que introducen los usuarios se calculan 4 claves automáticamente y solo se utiliza una.

30 Generación de la Clave WEP
Se hace una XOR con la cadena ASCII para obtener una semilla de32 bits El PRNG utiliza la semilla para generar 40 cadenas de 32 bits cada una. Se toma un bit de cada una de las 40 cadenas generadas por el PRNG para construir una llave y se generan 4 llaves de 40 bits. Sólo una de las 4 se utilizará para la cifrado WEP

31 Cifrado WEP

32 Descifrado WEP

33 Shared Key Authentication
Nodo Auth Req Punto Acceso Auth Chall Req Envía el desafió. Cifra el desafío y lo envía de vuelta Auth Chall Resp El Punto de Acceso Acepta al Nodo Auth Resp El Nodo se autentica Una vez el cliente recibe la trama, copia el contenido del texto de desafío en el payload de una nueva trama que cifra con WEP utilizando la passphrase y añade un nuevo IV (elegido por el cliente). Una vez construida esta nueva trama cifrada, el cliente la envía al AP. Se vuelve a repetir el proceso pero esta vez el primero que manda la trama con el AUTHENTICATION REQUEST es el AP, de esta manera se asegura una autenticación mutua. Si la comprobación es correcta se produce la autenticación del cliente con el AP El AP descifra la trama recibida y comprueba que: El ICV (Integrity Check Value) sea valido. El texto de desafío concuerde con el enviado en el primer mensaje. La estación que quiere autenticarse (cliente), envía una trama AUTHENTICATION REQUEST indicando que quiere utilizar una “clave compartida”. El destinatario (AP) contesta enviando una trama que contiene 128 octetos de texto (desafío) al cliente. El desafío se genera con la clave compartida y un vector de inicialización (IV) aleatorio utilizando el PRNG.

34 Vulnerabilidades WEP Deficiencias en el cifrado WEP
ICV Características lineares de ICV (CRC32) ICV Independiente de la llave IV Tamaño de IV demasiado corto Reutilización de IV Deficiencias en el método de autenticación Shared Key

35 ICV- Características lineares de CRC32
El ICV se genera simplemente haciendo un CRC (Cyclic Redundancy Check) de 32 bits del payload de la trama. Este mecanismo tiene dos graves problemas: Los CRCs son lineales: CRC(mk) = CRC(m)CRC(k) Los CRCs son independientes de la llave utilizada y del IV Debido a que los CRCs son lineales: Se puede generar un ICV válido, ya que el CRC se combina con una operación XOR que también es lineal y esto permite hacer el ‘bit flipping’

36 ICV Independiente de la llave
Esta vulnerabilidad en WEP es conocida en inglés como “Lack of keyed MIC”: Ausencia de mecanismo de chequeo de integridad del mensaje (MIC) dependiente de la llave. El que utiliza WEP es un simple CRC-32 calculado a partir del payload, por lo tanto no depende de la llave ni del IV. Esto da lugar a que conocido el texto claro de un solo paquete cifrado con WEP sea posible inyectar paquetes a la red

37 Tamaño de IV demasiado corto
El Vector de Inicialización (IV) tiene sólo 24 bits de longitud y aparece en claro (sin cifrar). Sólo hay 224= posibles valores de IV. 16M de paquetes pueden generarse en pocas horas en una red wireless con tráfico intenso: Un AP que constantemente envíe paquetes de 1500 bytes a 11Mbps, acabará con todo el espacio de IV disponible después de (1500 x 8 / (11 x 106)) x 224 = ~1800 segundos, o 5 horas. La corta longitud del IV, hace que éste se repita frecuentemente y dé lugar a la posibilidad de realizar ataques estadísticos para recuperar el texto claro gracias a la reutilización del IV.

38 Reutilización de IV WEP no utiliza el algoritmo RC4 “con cuidado”:
El IV se repite frecuentemente. Se pueden hacer ataques estadísticos contra texto cifrado con el mismo IV. Si RC4 no se usa con cuidado, se vuelve inseguro ¡El estándar especifica que cambiar el IV en cada paquete es opcional! El IV normalmente es un contador que empieza con valor cero y se va incrementando de uno en uno: Rebotar causa la reutilización de IV’s Sólo hay 16M de IV’s posibles, así que después de interceptar suficientes paquetes, seguro que hay IV’s repetidos Un atacante capaz de escuchar el tráfico puede descifrar textos cifrados interceptados incluso sin conocer la clave. Si un IV se repite, se pone en riesgo la confidencialidad: – Supongamos que P, P’ son dos textos claros cifrados con el mismo IV. – Supongamos Z = RC4(key, IV) – Los dos ciphertexts son C = P  Z y C’ = P’  Z. – Nótese que C  C’ = (P  Z)  (P’  Z) = (Z  Z) (P  P’) = P  P’ por lo que la XOR de ambos plaintexts es conocida. Si podemos adivinar un plaintext, el otro puede también ser descubierto estadísticamente.

39 Deficiencias en el método de autenticación Shared Key
El atacante captura el segundo y el tercer “management messages” de una autenticación mutua y obtiene IV Desafió aleatorio en texto plano Desafió aleatorio cifrado Todos los elementos excepto el texto de desafío son los mismos para TODAS las “Authentication Responses”. El atacante tiene por lo tanto todos los elementos para autenticarse con éxito sin conocer la clave secreta compartida K. No podría asociarse.

40 Ataques a Redes Wireless
Ataque de Denegación de Servicio (DoS) Descubrir SSID ocultados Romper ACL’s basados en MAC Ataque Man in the middle Ataque ARP Poisoning Ataques WEP Ataque de fuerza bruta Ataque inductivo Arbaugh Debilidades del algoritmo keyScheduling de RC4 (FSM)

41 Ataque de denegación de Servicio (DoS)
Esnifar y ver cual es la dirección MAC del AP Nos ponemos la MAC del AP, es decir nos hacemos pasar por AP. Para denegarle el servicio a un cliente mandamos continuamente notificaciones de desasociación o desautenticación (management frames). Si en lugar de a un solo cliente queremos denegar el servicio a todos los clientes de la WLAN, mandamos estas tramas a la dirección MAC de broadcast.

42 Ataques de Autenticación y desasociación.
Cualquier estación puede impersonar a otra o a un PA y atacar o interferir con los mecanismos de autenticación y asociación. Como estas tramas no van cifradas, el nivel de dificultad es trivial. Tramas de desaciociación y desautenticación. Una estación que reciba una de estas tramas debe de rehacer el proceso de autenticación y asociación. Con una pequeña y simple trama un atacante puede retardar la transmisión de los datos y obliga a la estación y el PA a rehacer este proceso. Son necesarias varias tramas para rehacerlo.

43 Ataque DoS Atacante Nodo Punto Acceso Disassoc Associated Assoc Req
El atacante envía el “Disassoc” de nuevo y el proceso se repite. El Nodo se asocia temporalmente con el AP El Nodo intenta reasociarse con el AP El atacante envía el “Disassoc” al nodo y este, se desasocia del PA

44 Ocultación del SSID Por defecto el SSID se anuncia cada pocos segundos. Beacon Frames. Si se oculta es mas complicado saber que existe una red inalámbrica. Si se leen los paquetes se averigua el SSID, pues aunque se utilice WEP el SSSID va en texto claro. Conclusión: Las redes cerradas son un inconveniente para los usuarios legítimos e incrementan la dificultad del despliegue

45 ¿Es el SSID secreto? Las estaciones que buscan un AP envían el SSID buscado en una trama de solicitud "probe request" Los puntos de acceso contestan la solicitud en una trama "probe reply“, que contiene el par SSID/BSSID. Las estaciones que quieren formar parte de una BSS envían una trama de solicitud de asociación, que también contiene el par SSID/BSSID en texto claro Las solicitudes de reasociación y sus respuestas también. Por lo tanto, el SSID solo se mantiene secreto en redes cerradas sin actividad. El BSSID se revela cada vez que una trama se envía por cualquier estación. El mapeo entre el SSIDs y el BSSIDs es revelado por varias tramas de gestión que no van cifradas.

46 Acelerar la Detección de redes Cerradas
Atacante Disassoc Nodo Probe Req Associated Punto Acceso Probe Resp Coincide el SSID El atacante desasocia al Nodo del PA Coincide el SSID Association Req El PA acepta al nodo. Association Resp Nodo Reasociado

47 Filtro por dirección MAC
Puede controlar el acceso solo permitiendo direcciones MAC especificas Este mecanismo de seguridad es soportado por la mayoría de los productos comerciales. Utiliza, como mecanismo de autenticación, la dirección MAC de cada estación cliente, permitiendo el acceso a aquellas MAC que consten en la Lista de Control de Acceso. El administrador debe mantener y distribuir una lista de Mac validas. No Escala. Esta dirección puede ser Spoofeada

48 Ataque “Man in the Midle”
Consiste en convencer al cliente (la victima) de que el host que hay en el medio (el atacante) es el AP, y hacer lo contrario con el AP, es decir, hacerle creer al AP que el atacante es el cliente. Desasociamos a la victima del AP. Le conectamos a nuestro equipo. Nos conectamos con el AP

49 Ataque “Man in the Middle”
Atacante Desasociación Asociación Asociado Nodo Asociado Punto Acceso El atacante se conecta al PA con la MAC del Nodo y hace de puente entre el PA y el nodo. El atacante ejecuta una aplicación que simule un PA en su tarjeta con el mismo SSID del PA y en diferente canal para que se asocie el Nodo El atacante envía “Disassoc” al Nodo El Nodo se desasocia del AP y busca otro.

50 WEP: Ataque de fuerza bruta
Se basa en reducir el Nº de posibles llaves debido a que para generarlas se utilizan caracteres ASCII y a las limitaciones del algoritmo de PRNG. La entropía total queda reducida a 21 bits. Generar llaves de forma secuencial utilizando semillas de 00:00:00:00 hasta 00:7F:7F:7F. Un PIII a 500MHZ tardaría aproximadamente 210 días en encontrar la llave. (Se puede usar computación en paralelo para obtener la llave en un tiempo más razonable) Ataque con diccionario: Si la passphrase utilizada está en el diccionario conseguimos reducir sustancialmente el tiempo necesario para encontrarla.

51 Ataque inductivo Arbaugh
Permite descifrar el tráfico de cifrado de una WLAN en tiempo real. Se basa en: Características Lineales de CRC MIC independiente de la llave Demostrado por William A. Arbaugh (Universidad de Maryland).

52 Debilidades del algoritmo keyScheduling de RC4 (FSM)
Permite adivinar la llave WEP Se basa en: Monitorización pasiva de la transmisión Recolecta paquetes “débiles” Una vez se han recolectado suficientes paquetes, es posible adivinar la llave utilizada para realizar el cifrado. Publicado en Agosto del 2001 por: Scott Fluhrer, Itsik Mantin y Adi Shamir

53 DEMO Descubrimiento pasivo de SSID oculto Descubrimiento de Mac
Monitorización paquetes cifrados con WEP. (AirDump) Crackeo WEP con ataque FSM mediante Aircrack.

54 No me dejan fomentar el pirateo
Herramientas Microsoft Linux Lo siento…. No me dejan fomentar el pirateo

55 WPA WiFi Protected Access Norma definida por la WI-FI Alliance
Recoge estándares de facto de tecnologías Wireless a la espera de i (WPA2) Intenta evitar las deficiencias de seguridad en WEP

56 WPA Sistema de autenticación 802.1x
Sistema de autenticación basado en Pre-Shared Key Credenciales EAPOL (EAP Over Lan) Cifrado con claves dinámicas TKIP en sustitución del cifrado con clave estática WEP o WEP2 Utilización de “Michael” para control de Integridad de mensajes

57 802.1x Estándar definido en 2001 para controlar el acceso a la red basado puertos. Se puede utilizar tanto en redes LAN como WLAN. Permite que cada conexión al punto de acceso funcione como un puerto gestionable. La autenticación para la conexión al puerto se puede hacer en el propio dispositivo o delegarla en un servidor de autenticación RADIUS (Remote Authentication Dial-In User Service)

58 IAS (Internet Authentication Server)
Servidor RADIUS de Microsoft Integrado con Directorio Activo Permite, mediante GPOs, realizar árboles de toma de decisiones complejos Los Puntos de Acceso se registran el servidor IAS y se realiza autenticación mutua mediante Pre-Shared Key Autenticación en IAS se realiza mediante cualquier esquema EAP.

59 EAP (Extensible Authentication Protocol)
Protocolo de Autenticación Extensible Permite utilizar sistema de credenciales extensibles. El cliente y el servidor negocian el esquema de autenticación. Originalmente creado para PPP EAPOL: Sirve para utilizarlo en validaciones sobre redes Locales

60 EAP (Extensible Authentication Protocol)
Soporta autenticación basada en. Passwords mediante MS-CHAP v2 Certificados digitales Smartcards Biometrics …. PEAP (Protected EAP). Utilizan sistemas de autenticación EAP sobre un canal seguro TLS.

61 Esquema de Autenticación
Cliente Punto Acceso IAS Asociación Establecimiento de canal seguro TLS Autenticación MS-CHAP V2 sobre TLS Resultado Autenticación Acceso Permitido Disasociación

62 TKIP (Temporary Key Integrity Protocol)
Utiliza cifrado entre la estación cliente y el Punto de Acceso con clave simétrica. Utiliza 4 claves distintas entre Punto de Acceso y cada Cliente Wireless para tráfico Unicast y 2 claves para tráfico broadcast y/o multicast. Se cambian cada paquetes o cada 10 kb de transferencia. El Vector de Inicialización se transmite cifrado. Se utiliza “Michael” para evitar bit flipping

63 Michael Provee de integridad y “antireplay”
Con un algoritmo llamado Michael se calcula un “Message Integrity Code” (MIC) de 8 bytes Estos 8 bytes se introducen entre los datos y los 4 Bytes del ICV de la trama Se cifra junto con los datos y el ICV

64 WPA-PSK (Pre-Shared Key)
Vulnenrabilidad Sólo necesita una captura de dos paquetes EAPoL que intercambian el cliente y el AP durante el proceso de autenticación (los 2 primeros paquetes del 4way-handshake. Ataque de diccionario / fuerza bruta contra las vulnerabilidades de PSK El ataque se realiza off-line !Ojo! Es mas vulnerable que WEP

65 Esquema de la solución

66 Implantación de solución WLAN basada en PEAP con WPA e IAS
Demostración Implantación de solución WLAN basada en PEAP con WPA e IAS

67 802.11i – WPA2 Aprobado en Julio del 2004.
RSN (Robust Securiry Network) Recoge la mayoría de las tecnologías utilizadas en la norma WPA. Incluye: 802.1x EAPOL TKIP Michael AES Compatibilidad con WPA

68 AES Protocolo sustituto de DES Utiliza algoritmo Rijndael
Permite claves de 128, 196 y 256 bits En 802.1x se incluyen dos implementaciones diferentes WRAP (Wireless Robust Authenticated Protocol) CCM (Counter-Mode/CBC-MAC Protocol) Es el algoritmo de cifrado más seguro que podemos utilizar en redes WLAN

69 TechNews Suscripción gratuita enviando un mail:

70 Ruegos y Preguntas Datos de Contacto Chema Alonso
José Parada