Mecanismos y protocolos de seguridad: WEB, WPA, WPA-PSK, WEP2

Mecanismos y protocolos de seguridad: WEB, WPA, WPA-PSK, WEP2

4.. WEB Seguridad WEB

IEEE 802.11: es el estándar de la IEEE 802.11 propone tres servicios básicos de seguridad

 para el entorno de las WLAN.

RC4: es el sistea de ci!rado de !lu"o de aplicaciones de so!t#are utili$ado ás

apliaente. Entre nuerosas aplicaciones este codi!icador es usado para proteger el trá!ico de internet coo parte de SSL % está integrado dentro de &icroso!t Windo#s ' as( iso' es parte de los protocolos de ci!rado ás counes coo WEB % W)A para tar"etas inalábricas.

RC4 !ue dise*ado por +on +ives en 1,8-. +/ tiene un estado interno secreto' el cual

!unciona coo una perutacin de todas las N2n don de los n son los bits de las palabras asociados con dos (ndices.

Principales mecanismos de seguridad usados en las W!A" El protocolo WEB es un sistea de encriptacin estándar propuesto por el coit 802.11' ipleentada en la capa &A % soportado por la a%or(a de los vendedores de soluciones inalábricas. En ning3n caso es coparable con I)Sec. WEB coprie % ci!ra los datos 4ue se env(an a travs de una onda de radio.

on WEB' la tar"eta de red encripta el cuerpo % el + de la traa 802.11 antes de la transisin utili$ando el algorito de encriptacin +/ proporcionado por +SA Securit%. La estacin receptora' sea un punto de acceso o una estacin cliente es la encargada de desencriptar la traa.

WEB 5Wired Equivalen Privacy67 Es el algorito opcional de seguridad establecido en la

nora IEEE 802.11. Los ob"etivos de la WEB' seg3n el estándar' son proporcionar  con!idencialidad' autenti!icacin % control de ac ceso en redes WLAN. El propsito de la encriptacin WEB es increentar el nivel de seguridad para a4uellos dispositivos abilitados con WEB' con la !inalidad de obtener el nivel de seguridad 4ue los dispositivos en redes cableadas.

WEB espec(!ica una llave secreta copartida de /0 o 9/ bits para encriptar % desencriptar' utili$ando la encriptacin sitrica.

La !uncionalidad de esta clave en WEB es 4ue se utili$a una isa clave sitrica % estática en las estaciones % el punto de acceso. El estándar no contepla ning3n ecaniso de distribucin autoática de clave' lo 4ue obliga a escribir la clave anualente en cada una de los eleentos de la red. Esto genera varios inconveniente. )or un lado' la clave esta alacenada en todas las estaciones' auentando las posibilidades de 4ue sea coproetida. : por otro' la distribucin anual de la claves provoca un auento de anteniiento por parte del adinistrador de la red' lo 4ue conlleva' en la a%or(a de las ocasiones' 4ue la clave se cabie poco o nunca.

El estándar IEEE 802.11 utili$a el protocolo WEB para la con!idencialidad de la in!oracin. ;esa!ortunadaente' la integridad de la in!oracin es vulnerable a los ata4ues % si sus ecanisos de autenticacin pueden ser vencidos. Adeás de 4ue el  protocolo de encriptacin

usado en la WEB a sido coproetido seriaente % los

So!t#are de ruptura de claves WEB son apliaente d i!undidos en internet.

#e$ilidad del %ector de iniciaci&n

La ipleentacin del vector de iniciacin 5I<6 en el algorito de WEB tiene varios  probleas de seguridad. +ecordaos 4ue el I< es la parte 4ue var(a de la clave 5seed6 para ipedir 4ue un posible atacante recopile su!iciente in!oracin ci!rado con una isa clave.

El vector iniciacin 5conocido por sus siglas en ingles I<6 es un blo4ue de bits 4ue es re4uerido para peritir un ci!rado o un ci!rado por blo4ues.

Ata'ues pasi%os

=n ata4ue pasivo' es a4uel donde se identi!ican secuencias seudoaleatorias iguales. >curre  por la debilidad de los algoritos de streaing 5distribucin de ultiedia a travs de un red6 % del +/. )uede servir para reali$ar activos %a 4ue con l se obtiene la clave.

Ata'ue acti%os

•

+epeticin de pa4uetes. Aprovecando 4ue WEB no utili$a estados anteriores ni

• •

guarda estados. In%eccin o perutacin de bits7 utili$ando el sistea de integridad dbil. In%eccin de pa4uetes encriptados7 s( se conoce un te?to % su encriptacin' se puede

•

encriptar un pa4uete sin conocer la clave. )or dos e?treos7 utili$ando una a4uina desde internet se puede generar trá!ico 4ue luego sea ci!rado por el A) acia las estaciones Wireless.

(.4.2 WAP Wi@i )rotected Access' llaado tabin W)A 5en espa*ol Acceso Wi@i protegidoC6 es un sistea para proteger las redes inalábricas 5Wi@i6D creado para corregir las de!iciencias del sistea previo' Wired E4uivalent )rivac% 5WE)6. WA) es una versin liviana del protocolo 802.11i 4ue depende de protocolos de autenticacin % de un algorito de ci!rado cerrado7 FGI) 5)rotocolo de integridad de clave teporal6 El FGI) genera claves aleatorias %' para lograr a%or seguridad' puede alterar  varias veces por segundo una clave de ci!rado.

El !uncionaiento de W)A se basa en la ipleentacin de un servidor de autenticacin 5en general un servidor +A;I=S6 4ue identi!ica a los usuarios en una red % establece sus  privilegios de acceso. No obstante' redes pe4ue*as pueden usar una versin ás siple de W)A' llaada W)A@)SG' al ipleentar la isa clave de ci!rado en todos los dispositivos' con lo cual %a no se necesita el servidor +A;I=S. El W)A 5en su priera construccin6 slo adite redes en odo in!raestructura' es decir  4ue no se puede utili$ar para asegurar redes punto a puntos inalábricos 5odo ad@oc6.

Características de WPA

Las principales caracter(sticas de W)A son la distribucin dináica de claves' utili$acin ás robusta del vector de iniciali$acin 5e"ora de la con!idencialidad6 % nuevas tcnicas de integridad % autenti!icacin.

W)A inclu%e las siguientes tecnolog(as7

IEEE 802.1.

Estándar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en  puertos. El concepto de puerto' en un principio pensado para las raas de un s#itc'

tabin se puede aplicar a las distintas cone?iones de un punto de acceso con las estaciones. Las estaciones tratarán entonces de conectarse a un puerto del punto de acceso. El punto de acceso antendrá el puerto blo4ueado asta 4ue el usuario se autenti!i4ue. on este !in se utili$a el protocolo EA) % un servidor AAA 5Autentication Autori$ation Accounting6 coo puede ser +A;I=S 5+eote Autentication ;ial@In =ser Service6. Si la autori$acin es positiva' entonces el punto de acceso abre el puerto. El servidor +A;I=S  puede contener pol(ticas para ese usuario concreto 4ue podr(a aplicar el punto de acceso 5coo priori$ar ciertos trá!icos o descartar otros6.

EAP.

EA)' de!inido en la + 228/' es el protocolo de autenti!icacin e?tensible para llevar a cabo las tareas de autenti!icacin' autori$acin % contabilidad. EA) !ue dise*ado originalente para el protocolo ))) 5)oint@to@)oint )rotocol6' aun4ue W)A lo utili$a entre la estacin % el servidor +A;I=S. Esta !ora de encapsulacin de EA) está de!inida en el estándar 802.1H ba"o el nobre de EA)>L 5EA) over LAN6.

!"IP #!e$%&ral "ey Inte'rity Pr&t&c&l(.

Seg3n indica Wi@i' es el protocolo encargado de la generacin de la clave para cada traa. &I 5&essage Integrit% ode6 o &icael. digo 4ue veri!ica la integridad de los datos de las traas.

4..( WPA-Personal )WPA-PSK* Es el sistea ás siple de control de acceso tras WE)' a e!ectos prácticos tiene la isa di!icultad de con!iguracin 4ue WE)'

una

copartida' gestin

clave sin

dináica

co3n

ebargo' de

la

claves

auenta notoriaente su nivel de seguridad. )SG se corresponde con las iniciales de )re@Sared Ge% % viene a signi!icar  clave copartida previaente' es decir' a e!ectos del cliente basa su seguridad en una contrase*a copartida. W)A@)SG usa una clave de acceso de una longitud entre 8 % 9 caracteres' 4ue es la clave copartida. Al igual 4ue ocurr(a con WE)' esta clave a% 4ue introducirla en cada una de las estaciones % puntos de acceso de la red inalábrica. ual4uier estacin 4ue se identi!i4ue con esta contrase*a' tiene acceso a la red. Las caracter(sticas de W)A@)SG lo de!inen coo el sistea' actualente' ás adecuado  para redes de pe4ue*as o!icinas o dosticas' la con!iguracin es u% siple' la seguridad es aceptable % no necesita ning3n coponente adicional. )e*ilidades de WPA+P,":

La principal debilidad de W)A@)SG es la clave copartida entre estaciones. uando un sistea basa su seguridad en un contrase*a siepre es susceptible de su!rir un ata4ue de !uera bruta' es decir ir coprobando contrase*as' aun4ue dada la longitud de la contrase*a % si está bien elegida no deber(a plantear a%ores probleas.

WPA-Empresarial )WPA-EAP*

En redes corporativas resultan iprescindibles otros ecanisos de control de acceso ás versátiles % !áciles de antener coo por e"eplo los usuarios de un sistea identi!icados con nobreJcontrase*a o la posesin de un certi!icado digital. Evidenteente el ard#are de un punto de acceso no tiene la capacidad para alacenar % procesar toda esta in!oracin por lo 4ue es necesario recurrir a otros eleentos de la red cableada para 4ue coprueben unas credenciales. Los clientes W)A tienen 4ue estar con!igurados para utili$ar un sistea concreto de validacin 4ue es copletaente independiente del punto de acceso. Los sisteas de validacin W)A pueden ser' entre otros' EA)@FLS' )EA)' EA)@FFLS.

4..4 WPA2 W)A2 es el nobre 4ue recibe el estándar 802.11i' el cual !ue adoptado en "unio del 200/' introdu"o varios cabios !undaentales' coo la separacin de la autenticacin de usuario de la integridad % privacidad de los ensa"es' proporcionando una ar4uitectura robusta % escalable' 4ue sirve igualente para las redes locales dosticas coo para los grandes entornos de redes corporativas.

La nueva ar4uitectura para las redes #ireless se llaa +SN 5+obust Securit% Net#orK   +ed de seguridad robusta6 % utili$a autenticacin 802.1H' distribucin de claves robustas % nuevos ecanisos de integridad % privacidad. Adeás de tener una ar4uitectura ás cople"a' +SN proporciona soluciones seguras % escalables para la counicacin inalábrica.

802.1? es un protocolo de control de acceso % autenticacin basado en la ar4uitectura clienteJservidor' 4ue restringe la cone?in de e4uipos no autori$ados a una red. El protocolo !ue inicialente creado por IEEE para uso en redes de área local alabradas' pero se a e?tendido tabin a las redes inalábricas.

La autenticacin 802.1H para WLAN se basa en tres coponentes principales7

-

El solicitante 5generalente el so!t#are cliente6. El autenticador 5el punto de acceso6. El servidor de autenticacin reota 5por lo general' pero no necesariaente' un servidor +A;I=S @ +eote Autentication ;ial@In =ser Service6.

El estándar 802.11i ace pe4ue*as odi!icaciones a IEEE 802.1H para 4ue las redes inalábricas estn protegidas !rente al robo de identidades. La autenticacin de ensa"es se a incorporado para asegurarse de 4ue tanto el solicitante' coo el autenticador calculen sus claves secretas % activen el ci!rado antes de acceder a la red.

uentes7 ttp7JJ###.uv.?JpersonalJansuare$J!ilesJ2012J0MJ&ecanisos@de@Seguridad@en@+edes@ Inalabricas)rotegido.pd!  ttp7JJ###.uv.esJontananJapliacionJtraba"osJSeguridadWireless.pd!  ttps7JJpre$i.coJg/e"a"%9%o@Jprotocolos@de@seguridad@%@ecanisos@de@seguridad@para@ redesJ ttp7JJsr.iesaria.orgJ#iKiJdoKu.ppJsrc7ut-7pro%ectos7seguridad7#pa ttp7JJpro!esores.elo.ut!s.clJagvJelo22J1s12Jpro"ectJreportsJ+u$+iveros
ttp7JJ###.saulo.netJpubJinvJSegWii@art.t ttp7JJ###.sc.!rJressourcesJarticlesJaKin,O#i!iJaKin,O#i!iOES.pd!  ttp7JJ###.uv.?JpersonalJansuare$J!ilesJ2012J0MJ&ecanisos@de@Seguridad@en@+edes@ Inalabricas)rotegido.pd!  ttp7JJ###.sc.!rJressourcesJarticlesJaKin,O#i!iJaKin,O#i!iOES.pd!  ttps7JJrinue?.une?.esJodules.ppPopodloadQnaeFe?tosQ!ileinde?Qserid,