SEGURIDAD EN REDES INALAMBRICAS
MECANISMOS BÁSICOS
En el sistema WEP se pueden utilizar dos métodos de autenticación: Sistema Abierto y Clave Compartida.
Para más claridad hablaremos de la autenticación WEP en el modo de Infraestructura (por ejemplo, entre un cliente WLAN y un Punto de Acceso), pero se puede aplicar también al modo Ad-Hoc.
Autenticación de Sistema Abierto: el cliente WLAN no se tiene que identificar en el Punto de Acceso durante la autenticación. Así, cualquier cliente, independientemente de su clave WEP, puede verificarse en el Punto de Acceso y luego intentar conectarse. En efecto, la no autenticación (en el sentido estricto del término) ocurre. Después de la autenticación y la asociación, el sistema WEP puede ser usado para cifrar los paquetes de datos. En este punto, el cliente tiene que tener las claves correctas.
Autenticación mediante Clave Compartida: WEP es usado para la autenticación. Este método se puede dividir en cuatro fases:
La estación cliente envía una petición de autenticación al Punto de Acceso.
El punto de acceso envía de vuelta un texto modelo.
El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y reenviarlo al Punto de Acceso en otra petición de autenticación.
El Punto de Acceso descifra el texto codificado y lo compara con el texto modelo que había enviado. Dependiendo del éxito de esta comparación, el Punto de Acceso envía una confirmación o una denegación. Después de la autenticación y la asociación, WEP puede ser usado para cifrar los paquetes de datos.
A primera vista podría parecer que la autenticación por Clave Compartida es más segura que la autenticación por Sistema Abierto, ya que éste no ofrece ninguna autenticación real. Sin embargo, es posible averiguar la clave WEP estática interceptando los cuatro paquetes de cada una de las fases de la autenticación con Clave Compartida. Por lo tanto es aconsejable usar la autenticación de Sistema Abierto para la autenticación WEP (nótese que ambos mecanismos de autenticación son débiles).
WPA : (en español «Acceso Wi-Fi protegido») es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por la Wi-Fi Alliance («Alianza Wi-Fi»).
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave precompartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.
WPA2 : Acceso Protegido Wi-Fi 2) es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las ghhgvhhb Gghada en el nuevo estándar 802.11i. WPA, por ser una versión previa, que se podría considerar de "migración", no incluye todas las características del IEEE 802.11i, mientras que WPA2 se puede inferir que es la versión certificada del estándar 802.11i.
El estándar 802.11i fue ratificado en junio de 2004.
La Wi-Fi Alliance llama a la versión de clave pre-compartida WPA-Personal y WPA2-Personal y a la versión con autenticación 802.1x/EAP como WPA-Enterprise y WPA2-Enterprise.
Los fabricantes comenzaron a producir la nueva generación de puntos de accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard). Con este algoritmo será posible cumplir con los requerimientos de seguridad del gobierno de USA - FIPS140-2. "WPA2 está idealmente pensado para empresas tanto del sector privado cómo del público. Los productos que son certificados para WPA2 le dan a los gestores de TI la seguridad que la tecnología cumple con estándares de interoperatividad" declaró Frank Hazlik Managing Director de la Wi-Fi Alliance. Si bien parte de las organizaciones estaban aguardando esta nueva generación de productos basados en AES es importante resaltar que los productos certificados para WPA siguen siendo seguros de acuerdo a lo establecido en el estándar 802.1.
WEP : Wired Equivalent Privacy o "Privacidad Equivalente a Cableado", es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Las redes WLANs son de por si mas inseguras que las redes con cables, ya que el medio físico utilizado para la transmisión de datos son las ondas electromagnéticas. para proteger los datos que se envían a través de las WLANs, el estandar IEEE 802..11b define el uso del protocolo WEP.
WEP intenta proveer de la seguridad de una red con cables a una red wireless, cifrando los datos que viajan sobre las ondas electromagnéticas ejhn las dos capas mas bajas del modelo OSI ( capa fisica y capa de enlace ). El protocolo WEP esta basado en el algoritmo de cifrado RC4, y utiliza claves de 64 bits o de 128 bits. En realidad sonde 40 y 104 bits, ya que los otros 24 bits van en el paquete como vector de inicializacion (IV). Se utiliza un checksum para prevenir que se inyecten paquetes spoofeados.
Autenticación :En el sistema WEP se pueden utilizar dos métodos de autenticación: Sistema Abierto y Clave Compartida.
Para más claridad hablaremos de la autenticación WEP en el modo de Infraestructura (por ejemplo, entre un cliente WLAN y un Punto de Acceso), pero se puede aplicar también al modo Ad-Hoc.
Autenticación de Sistema Abierto: el cliente WLAN no se tiene que identificar en el Punto de Acceso durante la autenticación. Así, cualquier cliente, independientemente de su clave WEP, puede verificarse en el Punto de Acceso y luego intentar conectarse. En efecto, la no autenticación (en el sentido estricto del término) ocurre. Después de la autenticación y la asociación, el sistema WEP puede ser usado para cifrar los paquetes de datos. En este punto, el cliente tiene que tener las claves correctas.
Autenticación mediante Clave Compartida: WEP es usado para la autenticación. Este método se puede dividir en cuatro fases:
La estación cliente envía una petición de autenticación al Punto de Acceso.
El punto de acceso envía de vuelta un texto modelo.
El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y reenviarlo al Punto de Acceso en otra petición de autenticación.
El Punto de Acceso descifra el texto codificado y lo compara con el texto modelo que había enviado. Dependiendo del éxito de esta comparación, el Punto de Acceso envía una confirmación o una denegación. Después de la autenticación y la asociación, WEP puede ser usado para cifrar los paquetes de datos.
A primera vista podría parecer que la autenticación por Clave Compartida es más segura que la autenticación por Sistema Abierto, ya que éste no ofrece ninguna autenticación real. Sin embargo, es posible averiguar la clave WEP estática interceptando los cuatro paquetes de cada una de las fases de la autenticación con Clave Compartida. Por lo tanto es aconsejable usar la autenticación de Sistema Abierto para la autenticación WEP (nótese que ambos mecanismos de autenticación son débiles).
WPA : (en español «Acceso Wi-Fi protegido») es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por la Wi-Fi Alliance («Alianza Wi-Fi»).
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave precompartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.
WPA2 : Acceso Protegido Wi-Fi 2) es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las ghhgvhhb Gghada en el nuevo estándar 802.11i. WPA, por ser una versión previa, que se podría considerar de "migración", no incluye todas las características del IEEE 802.11i, mientras que WPA2 se puede inferir que es la versión certificada del estándar 802.11i.
El estándar 802.11i fue ratificado en junio de 2004.
La Wi-Fi Alliance llama a la versión de clave pre-compartida WPA-Personal y WPA2-Personal y a la versión con autenticación 802.1x/EAP como WPA-Enterprise y WPA2-Enterprise.
Los fabricantes comenzaron a producir la nueva generación de puntos de accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard). Con este algoritmo será posible cumplir con los requerimientos de seguridad del gobierno de USA - FIPS140-2. "WPA2 está idealmente pensado para empresas tanto del sector privado cómo del público. Los productos que son certificados para WPA2 le dan a los gestores de TI la seguridad que la tecnología cumple con estándares de interoperatividad" declaró Frank Hazlik Managing Director de la Wi-Fi Alliance. Si bien parte de las organizaciones estaban aguardando esta nueva generación de productos basados en AES es importante resaltar que los productos certificados para WPA siguen siendo seguros de acuerdo a lo establecido en el estándar 802.1.
SSID : (Service Set Identifier) es una secuencia de 0-32 octetos incluida en todos los paquetes de una red inalámbrica para identificarlos como parte de esa red. El código consiste en un máximo de 32 caracteres, que la mayoría de las veces son alfanuméricos (aunque el estándar no lo especifica, así que puede consistir en cualquier carácter). Todos los dispositivos inalámbricos que intentan comunicarse entre sí deben compartir el mismo SSID.
Existen algunas variantes principales del SSID. Las redes ad-hoc, que consisten en máquinas cliente sin un punto de acceso, utilizan el BSSID (Basic Service Set Identifier); mientras que en las redes de infraestructura que incorporan un punto de acceso se utiliza el ESSID (Extended Service Set Identifier). Es posible referirse a cada uno de estos tipos como SSID en términos generales. A menudo al SSID se le conoce como “nombre de la red”.
Uno de los métodos más básicos de proteger una red inalámbrica es desactivar la difusión (broadcast) del SSID, ya que para el usuario medio no aparecerá como una red en uso. Sin embargo, no debería ser el único método de defensa para proteger una red inalámbrica. Se deben utilizar también otros sistemas de cifrado y autentificación.
FILTRADO MAC : Es un protocolo de comunicaciones que sirve como tarjeta de red a los dispositivos. Su función es identificarlos para facilitar la transmisión de información y la organización de la red. Este signo identificativo es, por tanto, el que se usa para llevar a cabo el filtrado MAC. Así, el router puede controlar qué equipos se conectan y cuáles no.El filtrado de direcciones MAC tiene como finalidad proteger la red inalámbrica e impedir el acceso de dispositivos inalámbricos no autorizados. Cuando se activa el filtrado de direcciones MAC, solo pueden asociarse a la puerta de enlace y transferir datos a través de una conexión inalámbrica las tarjetas de PC y los puntos de acceso cuyas direcciones MAC correspondan con las que el usuario haya programado en la puerta de enlace.
Existen algunas variantes principales del SSID. Las redes ad-hoc, que consisten en máquinas cliente sin un punto de acceso, utilizan el BSSID (Basic Service Set Identifier); mientras que en las redes de infraestructura que incorporan un punto de acceso se utiliza el ESSID (Extended Service Set Identifier). Es posible referirse a cada uno de estos tipos como SSID en términos generales. A menudo al SSID se le conoce como “nombre de la red”.
Uno de los métodos más básicos de proteger una red inalámbrica es desactivar la difusión (broadcast) del SSID, ya que para el usuario medio no aparecerá como una red en uso. Sin embargo, no debería ser el único método de defensa para proteger una red inalámbrica. Se deben utilizar también otros sistemas de cifrado y autentificación.
FILTRADO MAC : Es un protocolo de comunicaciones que sirve como tarjeta de red a los dispositivos. Su función es identificarlos para facilitar la transmisión de información y la organización de la red. Este signo identificativo es, por tanto, el que se usa para llevar a cabo el filtrado MAC. Así, el router puede controlar qué equipos se conectan y cuáles no.El filtrado de direcciones MAC tiene como finalidad proteger la red inalámbrica e impedir el acceso de dispositivos inalámbricos no autorizados. Cuando se activa el filtrado de direcciones MAC, solo pueden asociarse a la puerta de enlace y transferir datos a través de una conexión inalámbrica las tarjetas de PC y los puntos de acceso cuyas direcciones MAC correspondan con las que el usuario haya programado en la puerta de enlace.
MECANISMOS AVANZADOS
TKIP : Temporal Key Integrity Protocol) es también llamado hashing de clave WEP WPA, incluye mecanismos del estándar emergente 802.11i para mejorar el cifrado de datos inalámbricos. WPA tiene TKIP, que utiliza el mismo algoritmo que WEP, pero construye claves en una forma diferente. Esto era necesario porque la ruptura de WEP había dejado a las redes WiFi sin seguridad en la capa de enlace, y se necesitaba una solución para el hardware ya desplegado. TKIP es una solución temporal que resuelve el problema de reutilización de los Vectores de Inicialización del cifrado WEP. WEP utiliza periódicamente el mismo Vector de Inicialización para cifrar los datos.
TKIP utiliza el mismo mecanismo subyacente como WEP, y en consecuencia es vulnerable a un número de ataques similares. La comprobación de la integridad del mensaje, hashing por paquete, la rotación de claves de difusión, y un contador de secuencia desalientan muchos ataques. La función de mezcla de claves también elimina los ataques de recuperación de clave WEP.
A pesar de estos cambios, la debilidad de algunas de estas incorporaciones han permitido nuevos, aunque más estrechos, ataques.
TKIP utiliza el mismo mecanismo subyacente como WEP, y en consecuencia es vulnerable a un número de ataques similares. La comprobación de la integridad del mensaje, hashing por paquete, la rotación de claves de difusión, y un contador de secuencia desalientan muchos ataques. La función de mezcla de claves también elimina los ataques de recuperación de clave WEP.
A pesar de estos cambios, la debilidad de algunas de estas incorporaciones han permitido nuevos, aunque más estrechos, ataques.
EAP : Protocolo de autenticacion extensible (EAP) es un framework de autenticación usado habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas, es más frecuente su uso en las primeras. Recientemente los estándares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticación.
Es una estructura de soporte, no un mecanismo específico de autenticación. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticación escogidos. Estos mecanismos son llamados métodos EAP, de los cuales se conocen actualmente unos 40.
Es una estructura de soporte, no un mecanismo específico de autenticación. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticación escogidos. Estos mecanismos son llamados métodos EAP, de los cuales se conocen actualmente unos 40.
Comentarios
Publicar un comentario