Instituto Tecnológico Superior de Hopelchen
Materia: Conmutación y Enrutamiento En Redes De Datos Alum Al umna na:: María Aurora Canul Kitúc
¿Qué es?
características
Funcionamiento:
Autenticación
desventajas
Protocolo/ mecanism o
Acrónimo de W i r e d Equivalent Privacy o
WEP
"Privacidad Equivalente a Cableado", es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la inf ormación que se transmite.
Forma parte de la especificación del estándar 802.11 Opera en el nivel 2 del modelo OSI (subcapa MAC). Soportado por una amplia mayoría de fabricantes de Soluciones inalámbricas. Utiliza el algoritmo de encriptación RC4.
Clave secreta compartida entre emisor y receptor de longitud 40 ó 128 bits. Se aplica
“Integrity Check Value” (ICV) a la
trama a enviar con algoritmo CRC-32. Clave secreta + vector de inicialización (IV) > Semilla de 24 bits Se envia al receptor la trama cifrada (datos + CRC) con IV e ICV sin encriptar. Receptor calcula la semilla y con el algoritmo RC4 obtendrá los datos
Clave secreta (estática, modificación manual, las estaciones que comparten PA utilizan la misma clave, equivalente al password del administrador,…)
IV utilizado de longitud insuficiente (24 bits). En redes con alto tráfico se pueden capturar dos tramas con el mismo IV -> Peligro de descubrimiento de la clave secreta. El código de integridad no
Autenticación de Sistema Abierto: el
cliente WLAN no se tiene que identificar en el Punto de Acceso durante la autenticación.
Autenticación mediante Clave Compartida: W
EP es usado para la autenticación.
802.11i (WPA y WPA2)
WEP2
WEP Plus
WEP dinámico
WEP2
Esta mejora de WEP fue presentada tras los primeros modelos 802.11i. Éste se podía desarrollar sobre algunos (no todos) tipos de hardware que no eran capaces de manejar WPA o WPA2. Se esperaba que eliminase la deficiencia del duplicado de IV así como ataques a las claves por fuerza bruta. Sin embargo, como todavía se basaba en el algoritmo de
Una sola clave, simétrica y estática • Distribución manual de claves No autentifica • usuarios • Algoritmo de encriptación: RC4 Claves de 64 • bits (40 fijos + 24 cambiantes). • Los 24 bits son el vector de inicialización (IV). Se envía al destino sin •
desencriptados junto con el ICV. El receptor comprobará que la trama no ha sido alterada en el trayecto mediante el ICV.
WPA2 incluye el nuevo algoritmo de cifrado AES ( Advanced
soluciona problemas de alteraciones maliciosas de las tramas
•
Encryption Standard ),
desarrollado por el NIS [14]. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requerirá un hardware potente para realizar sus algoritmos. Este aspecto es importante puesto que significa que dispositivos antiguos sin suficientes
•
El estándar especifica que el IV debería cambiarse en cada paquete, pero no indica cómo. Existen 2^24 combinacion es de claves diferentes: no son tantas y además unas pocas se utilizan a menudo (mala elección de los IV). Suele repetirse la
La Wi-Fi Alliance llama a la versión de clave precompartida WPA-Personal y WPA2Personal y a la versión con autenticación 802.1x/EAP como WPAEnterprise y WPA2Enterprise.
802.1x/EA P como WPAEnterprise y WPA2Enterprise. Wi-Fi
802.11
cifrado RC4, aún mantenía las mismas vulnerabilidades que WEP.
encriptar.
capacidades de proceso no podrán incorporar WPA2. Para el aseguramiento de la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (CounterMode / Cipher Block Chaining / Message Authentication Code Protocol ) en
lugar de los códigos MIC. • Es un sistema
WPA
para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP)
Propuesto por los miembros de la Wi-Fi Alliance en colaboración con la IEEE. Basado en el protocolo de cifrado TKIP (Temporary Key Integrity Protocol) Longitud de las claves pasa de
Basado en el algoritmo “Michael” para
garantizar la integridad. Genera un bloque de 4 bytes (MIC) a partir de la dirección MAC de origen, de destino, y de los datos. Añade el MIC calculado a la
misma secuencia de IVs cada vez que se reinicia la tarjeta. • Dependiendo de la carga de la red y la implementaci ón de WEP, podrían encontrarse IVs repetidos incluso en cuestión de minutos. •
permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2.
o
Con servidor AAA, RADIUS normalmente.
Este es el modo indicado para las empresas. Requiere un servidor configurado para desempeñar
WPA2
40 a 128 bits y el vector de inicialización de 24 a 48 bits. Clave generada de forma dinámica para cada usuario, para cada sesión, y para cada paquete enviado, así como la distribución de claves que también es realizada de forma automática. Mecanismo de autentificación de WPA basado en 802.1x/EAP.
unidad de datos a enviar. Posteriormente los datos se fragmentan y se les asigna un número de secuencia. La mezcla del número de secuencia con la clave temporal, genera la clave que será utilizada para cada fragmento.
las tareas de autentificación, autorización y contabilidad. o
Con clave inicial compartida (PSK). Este
modo está orientado para usuarios domésticos o pequeñas redes. No requiere un servidor AAA, sino que se utiliza una clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se utiliza como punto de inicio para la autentificación, pero no para el cifrado de los datos.
Institute of Electrical and Electronics Engineers: http://www.ieee.org
“Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications”, ANSI/IEEE Std 802.11, 1999 Edition.
Grupo de trabajo de IEEE 802.11i: http://grouper.ieee.org/groups/802/11/
Wireless Fidelity Alliance: http://www.wi-fi.org
Wi-Fi Protected Access: http://www.wi-fi.org/ opensection/protected_access.asp
N. Borisov, I. Goldberg, D. Wagner, “Intercepting mobile communications: The insecurity of 802.11”, julio de 2001.
S. Fluhrer, I. Mantin, A. Shamir, “Weaknesses in the Key Scheduling Algorithm of RC4”, agosto de 2001.
W. A. Arbaugh, N. Shankar, Y.C. J ustin Wan, “Your 802.11 Wireless Network has No Clothes”, 2001.
H. Kr awczyk, M. Bellare, R. Canetti, “HMAC: Keyed-hashing for message authentication”, febrero de 1997.
“Port-Based Network Access Control”, IEEE Std 802.1X -2001, junio de 2001.
L. Blunk, J. Vollbrecht, “PPP Extensible Authentication Protocol (EAP)”, RFC 2284, marzo de 1998.
C. Rigney, S. Willens, A. Rubens, W. Simpson, " Remote Authentication Dial In User Service (RADIUS)”, RFC 2865, junio de 2000.
W. Simpson, “The Point-to-Point Protocol (PPP)”, RFC 1661, julio de 1994.
Computer Security Resource Center, National Institute of Standards and Technology: http://csrc.nist.gov