Mar 122013

 
Símbolo de conexión WIFI

Símbolo de conexión WIFI

Su nombre proviene del acrónimo WPA, es decir, Wireless Protected Access (acceso inalámbrico protegido) y tiene su origen en los problemas detectados en el anterior sistema de seguridad creado para las redes inalámbricas. La idea era crear un sistema de seguridad que hiciera de puente entre WEP y el 802.11i (WPA2), el cual estaba por llegar.

Para ello utiliza el protocolo TKIP (Temporal Key Integrity Protocol) y mecanismos 802.1x. La combinación de estos dos sistemas proporciona una encriptación dinámica y un proceso de autentificación mutuo. WPA consta de un sistema de encriptación mediante TKIP y un proceso de autentificación mediante 802.1x. El proceso de encriptación es similar al realizado en WEP, pero con varias diferencias.

Para empezar, si bien TKIP usa el algoritmo RC4 proporcionado por RSA Security para encriptar el cuerpo del frame así como el CRC antes de la transmisión, en este caso se utilizan IV de 48 bits, lo que reduce significativamente la reutilización y por tanto la posibilidad de que un hacker recoja suficiente información para romper la encriptación.

Por otro lado y a diferencia de WEP, WPA automáticamente genera nuevas llaves de encriptación únicas para cada uno de los clientes lo que evita que la misma clave se utilice durante semanas, meses o incluso años, como pasaba con WEP.

Por último WPA implementa lo que se conoce como MIC o message integrity code, es decir código de integridad del mensaje. Recordemos que WEP introduce unos bits de comprobación de integridad o ICV en el payload del paquete. Desgraciadamente es relativamente fácil, a pesar de que los bits de ICV también se encriptan, de modificarlos sin que el receptor lo detecte. Para evitarlo se hace uso del MIC (8 bytes, Message Integrity Check), un sistema de comprobación de la integridad de los mensajes, que se instala justo antes del ICV.

Para el proceso de autentificación WPA y WPA2 usan una combinación de sistemas abiertos y 802.1x. El funcionamiento es igual al ya comentado en el apartado del 802.1x. Inicialmente el cliente se autentifica con el punto de acceso o AT, el cual le autoriza a enviarle paquetes. Acto seguido WPA realiza la autentificación a nivel de usuario haciendo uso de 801.1x. WPA sirve de interfaz para un servidor de autentificación como WPA/WPA2 (Wireless Protected Access) RADIUS o LDAP. En caso de que no se disponga de un servidor de autentificación se puede usar el modo con PSK. Una vez se ha verificado la autenticidad del usuario el servidor de autentificación crea una pareja de claves maestras (PMK) que se distribuyen entre el punto de acceso y el cliente y que se utilizarán durante la sesión del usuario. La distribución de las claves se realizar á mediante los algoritmos de encriptación correspondientes TKIP o AES con las que se proteger á el tráfico entre el cliente y el punto de acceso.

WPA2 fue lazada en septiembre de 2004 por la Wi-Fi Alliance. WPA2 es la versión certificada que cumple completamente el estándar 802.11i ratificado en junio de 2004. WPA presenta dos modos: la autentificación y la encriptación de datos. Para el primer elemento utiliza 802.1x / EAP o bien PSK. Para la encriptación se utiliza un algoritmo mejor que el TKIP, concretamente el AES.

Hay dos versiones de configuración de WPA y WPA2:

  • Enterprise El sistema trabaja gestionada mente asignando a cada usuario una única clave de identificación, lo que proporciona un alto nivel de seguridad. Para la autentificación el sistema utiliza el ya comentado 802.1x y para la encriptación un algoritmo de cifrado mejor que el TKIP, el AES.
  • Personal. Se utiliza una clave compartida (PSK) que es manualmente introducida por el usuario tanto en el punto de acceso como en las máquinas cliente, utilizando para la encriptación o bien TKIP o AES. En este sentido las diferencias con WEP se basan en el algoritmo de cifrado de los datos.

Desgraciadamente WPA no está exento de problemas. Uno de los más importantes sigue siendo los DoS o ataques de denegación de servicio. Si alguien envía dos paquetes consecutivos en el mismo intervalo de tiempo usando una clave incorrecta el punto de acceso elimina todas las conexiones de los usuarios durante un minuto. Este mecanismo WPA/WPA2 (Wireless Protected Access) de defensa utilizado para evitar accesos no autorizados a la red puede ser un grave problema.

Como reforzar la seguridad en WPA:

  • Filtrado de direcciones MAC. Aunque no es una práctica que implique un aumento elevado en la seguridad del sistema, es un extra que añade un nivel más de seguridad de cara a los posibles atacantes casuales y es recomendable, si bien no supondrá ningún impedimento para hackers profesionales ya que hoy día es muy fácil simular las direcciones MAC de un sistema.
  • Ocultación del nombre de la red (ESSID). De nuevo es una medida más que es prudente tomar a la hora de realizar las implementaciones de seguridad de nuestra red inalámbrica, pero que en ningún caso supone impedimentos graves para hackers profesionales.

Aunque se han descubierto algunas pequeñas debilidades en WPA/WPA2 desde su lanzamiento, ninguna de ellas es peligrosa si se siguen unas mínimas recomendaciones de seguridad.

La vulnerabilidad más práctica es el ataque contra la clave PSK de WPA/WPA2. La PSK proporciona una alternativa a la generación de 802.1X PMK usando un servidor de autenticación. Es una cadena de 256 bits o una frase de 8 a 63 caracteres, usada para generar una cadena utilizando un algoritmo conocido: PSK = PMK = PBKDF2(frase, SSID, SSID, length, 4096, 256), donde PBKDF2 es un método utilizado en PKCS#5, 4096 es el número de hashes y 256 la longitud del resultado. La PTK es derivada de la PMK utilizando el 4-Way Handshake y toda la información utilizada para calcular su valor se transmite en formato de texto. La fuerza de PTK radica en el valor de PMK, que para PSK significa exactamente la solidez de la frase. Como indica Robert Moskowitz, el segundo mensaje del 4-Way WPA/WPA2 (Wireless Protected Access)

Handshake podría verse sometido a ataques de diccionario o ataques offline de fuerza bruta. La utilidad cowpatty se creó para aprovechar este error, y su código fuente fue usado y mejorado por Christophe Devine en Aircrack para permitir este tipo de ataques sobre WPA. El diseño del protocolo (4096 para cada intento de frase) significa que el método de la fuerza bruta es muy lento (unos centenares de frases por segundo con el último procesador simple). La PMK no puede ser pre-calculada (y guardada en tablas) porque la frase de acceso está codificada adicionalmente según la ESSID. Una buena frase que no esté en un diccionario (de unos 20 caracteres) debe ser escogida para protegerse eficazmente de esta debilidad.

La seguridad solamente inalámbrica solo incluye mecanismos de seguridad presentes en las capas 1 y 2.

La encriptación a nivel de la capa de enlace (WEP, WPA, WPA2) es una medida de seguridad comúnmente utilizada pero no garantiza confidencialidad punto a punto. Si se necesita seguridad a nivel de capa de enlace evite el uso de WEP, y use IEEE 802.11i (WPA2). La ocultación del nombre de SSID y el filtrado mediante direcciones MAC no son métodos de autenticación totalmente seguros. Es necesario un método de autenticación de más alto nivel.

Una red puede hacerse inoperativa como resultado de ataques de Negación de servicio o software malicioso, pero también debido a nodos ocultos de los que no tenemos idea de su existencia, y problemas de interferencia. Solo mediante el monitoreo de tráfico en la red, se pueden encontrar las causas reales de un problema.

No hay una solución estándar de seguridad para todas las redes inalámbricas. Es necesario tener una idea clara de los requisitos de seguridad, y la solución depende de cada configuración.

Cómo proteger la conexión WIFI consejos



Contenido relacionado




 Deja un Comentario

(Requerido)

(Requerido)