Seguridad WiFi, Hacking WiFi

TKIP proporciona también un valor de comprobación que actúa como código de integridad de mensaje (MIC o Michael) en lugar del cálculo del vector de comprobación de integridad (ICV) del protocolo WEP básico e inseguro. Emel capítulo siguiente se describe por completo el funcionamiento de MIC en la sección sobre métodos hash unidireccionales: es necesario presentar los conceptos básicos de la criptografía aplicada antes de comentar la estructura de este valor hash en particular. TKIP no será obligatorio para el estándar 802.11 i final planificado, pero es compatible hacia atrás con el viejo protocolo WEP y no requiere ninguna actualización del hardware inalámbrico.

Por el contrario, CCMP sí será obligatorio cuando finalmente se implemente 802.11i. CCMP utiliza el sistema de cifrado AES (AdvancedEncryption Standard), anteriormente conocido como Rijndael, en un modo de contador con la implementación de encadenamiento de bloques de cifrado y código de autentificación de mensaje (CBC-MAC). El modo de contador (CCM) se creó para su uso en 802.11 i, pero finalmente se envió al NIST para el uso general del cifrado AES. El tamaño de la clave AES definido por el estándar 802.1 li es de 128 bits, y nos preguntamos el motivo de que no se hayan escogido en su lugar claves de 256 bits. De un modo parecido a TKIP, CCMP utiliza un IV de 48 bits (denominado número de paquete o PN) y una variación de MIC. El uso del cifrado AES fuerte hace innecesario crear claves para cada paquete, por eso CCMP no implementa funciones de derivación de^aves por paquete. CCMP utiliza la misma clave por asociación tanto para el cifrado de datos como para la generación de valores de comprobación. El valor de comprobación de 8 bytes para la integridad del mensaje ofrecido por CCMP se considera mucho más fuerte que el valor MIC de TKIP.

Debido a que está planeada la implementación de AES en un hardware con chips independientes para reducir la carga del cifrado en 802.11, y a la velocidad de la red y el caudal de datos, se espera una completa revisión del hardware 802.11 cuando lleguen al mercado productos que soporten CCMP. Además, aún existen algunos problemas que el estándar 802.1 li no aborda por el momento. Entre estos problemas se incluyen garantizar la seguridad de las redes ad-hoc, de la cesión rápida y de los procesos de desautentificación y desasociación. Por eso, la implementación práctica de 802.11 i de un modo amplio no va a ser una tarea sencilla y WEP (esperemos que en su forma mejorada como TKIP) seguirá con nosotros durante mucho tiempo. Puede que esto estimule a los gestores de redes inalámbricas a buscar soluciones de seguridad fiables e independientes de fabricantes y versiones para las capas OSI superiores a la capa de enlace de datos.

La segunda capa de defensa de 802.11i son las mejoras criptográficas del protocolo WEP original, que finalmente constituirán un sustituto completo de WEP. TKIP (Temporal Key Integrity Protocol) y CCMP (Counter Mode with CBC-MACProtocol) son las nuevas implementaciones de cifrado de 802.11i, diseñadas para eliminar el defectuoso protocolo WEP de las redes 802.11. TKIP es una mejora de WEP, que se supone que soluciona todas las vulnerabilidades conocidas de WEP. La seguridad criptográfica actual de WPA se basa en el uso de TKIP, que utiliza vectores de inicialización de 48 bits para evitar el abuso de la reutilización de vectores de inicialización del ataque FMS. El intervalo estimado de aparición de marcos con vectores de inicialización débiles con TKIP es de un siglo, por lo que para cuando un cracker reúna los 3000 o más marcos interesantes, tendrá 300000 años.
Lamentablemente, lo que es fácil en teoría puede ser difícil de implementar en la práctica. El hardware heredado que sigue dominando el mercado no desaparecerá en una semana, y no puede comprender vectores de inicialización de 48 bits. Para solucionar este problema, los vectores de inicialización de TKIP se dividen en dos partes de 16 y 32 bits. La parte de 16 bits se rellena hasta ocupar los 24 bits de un vector de inicialización tradicional. El relleno se hace de una forma que evita la posibilidad de generar vectores de inicialización débiles. Resulta interesante que la parte de 32 bits no se utilice para la generación del vector de inicialización transmitido; en lugar de eso, se utilizan en la mezcla de claves por paquete de TKIP.

TKIP lleva a cabo la mezcla de claves por paquete con los vectores de inicialización para introducir una confusión adicional en las claves (en el capítulo siguiente podrá ver explicado este término). El proceso de generación de claves por cada paquete consiste en dos fases y utiliza diversos parámetros de entrada, como la dirección MAC del dispositivo transmisor, los 32 bits ya comentados del vector de inicialización, los primeros 16 bits del vector de inicialización y la clave temporal de la sesión. La primera fase implica la mezcla de la clave temporal de la sesión, los 32 bits del IV y la dirección MAC del transmisor. En la segunda fase se mezcla la salida de la primera fase con la clave temporal de la sesión y los 16 bits del IV. La fase 1 elimina el uso de la misma clave para todas las conexiones, y la segunda fase reduce la correlación entre el IV y la clave generada para cada paquete. Fíjese en que la mezcla de clave produce como resultado claves distintas para cada dirección de las comunicaciones sobre cada enlace. Ya que la función de mezcla de claves por paquete es básicamente un sistema de cifrado Feistel diminuto pero completo, en el próximo capítulo analizaremos su funcionamiento después de presentar toda la terminología necesaria.

Otra implementación novedosa del vector de inicialización en TKIP es utilizarlo como contador de secuencia. Recuerde que existen herramientas de ataque de reproducción que utilizan la reinyección de tráfico para acelerar la ruptura del protocolo WEP o incluso para analizar puertos de las máquinas inalámbricas (reinj, WEPWedgie). No existe ningún medio en el protocolo WEP tradicional para impedir el éxito de estos ataques, ya que ningún estándar define cómo deberían seleccionarse los vectores de inicialización. En la mayoría de los casos se trata de una selección aleatoria (o seudoaleatoria). Por el contrario, el vector de inicialización de TKIP se incrementa secuencialmente y se descartan todos los paquetes con vectores de inicialización que no se correspondan con esta secuencia. Esto mitiga el efecto de los ataques de reproducción, pero crea un problema con algunas mejo^as^de la calidad de servicio introducidas por el grupo de trabajo "e" del IEEE 802.11. En particular, no basta con responder con mensajes de ACK a cada marco recibido, tal y como define el algoritmo CSMA/CA original. Por eso se propuso una mejora llamada burst-ACK (o ACK de ráfagas). Según esta mejora, no se responde mediante ACK a cada marco, sino a series de 16 marcos. Si alguno de estos 16 marcos no ha llegado a su destino, se aplica un ACK selectivo (parecido al ACK selectivo en las opciones de TPC) para retransmitir el marco perdido y todos los 16 marcos. Por supuesto, un contador de secuencia TKIP rechazará el marco retransmitido si se han recibido marcos con números IV mayores. Para evitar este problema, TKIP utiliza una ventana de repetición que sigue la pista de los últimos 16 valores IV recibidos y comprueba si el marco duplicado se corresponde con uno de esos valores. Si es así y aún no se ha recibido, se acepta.

El estándar 802.1x se diseñó en un principio para proporcionar autentificación de usuarios sobre la capa 2 en las redes de cable conmutadas. Ya hemos mencionado en este capítulo los excelentes conmutadores Cisco Catalyst 6000; la capacidad ele configurar el soporte de 802..1x en un sistema Catalyst 600 es uno de los requisitos del examen de seguridad CCIE. Como ya se ha comentado, esta explicación acerca del protocolo 802.1x es simplemente una introducción: más adelante encontrará una descripción más detallada de 802..1x, incluyendo la estructura de los paquetes, el procedimiento de negociación y ejemplos de implementaciones prácticas.
En las redes WLAN, 802..1x tiene la prestación adicional de la distribución de claves dinámicas. Esta prestación la proporciona la generación de dos conjuntos de claves. El primer conjunto son claves de sesión o de pares que son únicas para cada asociación entre una máquina cliente y el punto de acceso. Las claves de sesión proporcionan la privacidad del enlace y eliminan el problema derivado de tener una única clave WEP para todas las máquinas. El segundo grupo lo forman las claves de grupo. Las claves de grupo se comparten entre todas las máquinas de una misma celda 802.11 y se utilizan para el cifrado de tráfico multicast. Tanto las claves de sesión como las de pares son de 128 bits de longitud. Las claves de pares se derivan de la clave maestra de par (PMK) de 256 bits. La PMK se distribuye desde el servidor RADIUS a cada dispositivo que participa en la comunicación utilizando el atributo MS -MPPE-Recv-key de RADIUS (vendor_id=17). De un modo parecido, las claves de grupo se derivan de la clave maestra de grupo (GMK). Cuando se derivan estas claves, se utiliza la PMK o la GMK junto con cuatro claves EAPOL negociadas, que también suelen llamarse claves transitorias de par. Para conseguir más información sobre las claves transitorias de par y, en general, el uso de claves en 802.1x, puede consultar el borrador EAP Keying Framework de la IETF (http://www.ietf.org/internet-drafts/draft-aboba-pppext-key-problem-06.txt).
En los entornos de redes de pymes o redes domésticas, es improbable el despliegue de un servidor RADIUS con una base de datos de usuarios finales. Por eso, para generar las claves de sesión, sólo se utilizan la PMK precompartida (que se introduce manualmente). Es algo similar al uso original de WEP.
Ya que no existen puertos físicos en las redes 802.11, la asociación entre el dispositivo inalámbrico cliente y el punto de acceso se considera como un puerto de acceso a red. El cliente inalámbrico se denomin^f5eticionario (par) y el punto de acceso es el autentificador. Así, en las definiciones del estándar 802..1x, el punto de acceso toma el lugar de un conmutador Ethernet en las redes de cable. Obviamente existe la necesidad de un servidor de autentificación en el segmento de la red de cable a la que está conectado el punto de acceso. De esta clase de función suele encargarse un servidor RADIUS integrado con algún tipo de base de datos de usuario, incluidas la base nativa de RADIUS, LDAP,
 
NDS o el directorio activo de Windows. Las pasarelas inalámbricas comerciales de gama alta pueden implementar ambas prestaciones de servidor de autentificación y autentificador. Lo mismo se aplica a las pasarelas a medida basadas en Linux, que pueden soportar 802..1x mediante HostAP tal y como se ha descrito y tener instalado un servidor RADIUS.
De la autentificación de usuarios de 802..1x se encarga el protocolo EAP de la capa 2 (Extensible Authentication Protocol, RFC 2284), desarrollado por la IETF. EAP es un sustituto avanzado para CHAP utilizado por PPP, desarrollado para funcionar sobre redes LAN. EAP sobre LAN o EAPOL (EAP over LAN) define cómo se encapsulan los marcos EAP dentro de marcos 802.3, 802.5 y 802.10.

Existen múltiples tipos de EAP diseñados con la participación de varias empresas fabricantes. Esta diversidad añade problemas de compatibilidad a las implementaciones de 802..1x y convierte la elección del equipo y software apropiado para una WLAN en una tarea más difícil.

Entre los tipos de EAP que probablemente encontrará cuando vaya a configurar la autentificación de usuarios para su red inalámbrica, se encuentran los siguientes:
•    EAP-MD5: Es el nivel básico obligatorio de soporte EAP de acuerdo con el estándar 802..1x y fue el primer tipo de EAP en desarrollarse. En cuanto a su funcionamiento, EAP-MD5 duplica el de CHAP. Existen tres razones por las que no le recomendamos utilizar EAP-MD5. En primer lugar, no soporta la distribución de claves WEP dinámicas. También es vulnerable a los ataques de intermediario mediante un punto de acceso ilícito o un servidor de autentificación, descritos anteriormente, ya que sólo se autentifican los clientes. Además, durante el proceso de autentificación, el atacante puede escuchar tanto el desafío como la respuesta eifiada y lanzar un conocido ataque de texto plano o texto cifrado (consulte el capítulo 8).
•    EAP-TLS (Transport Layer Security, descrito en la RFC experimental 2716): Ofrece una autentificación mutua basada en certificados. EAP-TLS se basa en el protocolo SSLv3 y necesita la existencia y despliegue de una autoridad de certificación. Ya que EAP-TLS es el método EAP que se soporta y despliega de forma más habitual, en capítulos posteriores ofreceremos una explicación detallada sobre su implementación práctica.
•    EAP-LEAP (Ligthweight EAP o EAP-Cisco Wireless): Es un tipo de EAP propietario de Cisco Systems, implementado para los puntos de acceso y clientes inalámbricos Cisco Aironet. En http://lists.cistron.nl/ pipermail/cistron-radius/2001-September/002042.html se puede encontrar una descripción completa del método EAP-LEAP, que sigue siendo la mejor fuente disponible sobre las prestaciones y el funcionamiento de EAP-LEAP. LEAP fue el primero (y durante mucho tiempo el único) esquema de autentificación basado en contraseñas de 802..1x. Como tal, LEAP ganó mucha popularidad e incluso se soporta en FreeRADIUS, a pesar de tratarse de una solución propietaria de Cisco. LEAP se basa en un sencillo intercambio de valores hash de desafío/respuesta. El servidor de autentificación envía un desafío al cliente, que debe devolver la contraseña después de combinarla con la cadena de desafío creada por el servidor de autentificación. Al tratarse de un método de autentificación basado en contraseñas, EAP-LEAP tiene la ventaja de ofrecer una autentificación basada en usuarios y no en dispositivos. Al mismo tiempo, aparece la vulnerabilidad frente a ataques de diccionario y de fuerza bruta, ausentes en los métodos EAP basados en certificados.
Cisco ofrece información práctica muy detallada sobre la configuración de EAP-ELAP en http://www.cisco.com/warp/public/707/accessregistrar_leap.html.

Algunos tipos de EAP de implementación menos habitual son PEAP (Protected EAP, un borrador de estándar de la IETF) y EAP-TTLS (Tunneled Transport Layer Security EAP, desarrollado por Certieom y Funk Software). Esta situación podría cambiar pronto, ya que ambos métodos EAP son potentes y reciben un apoyo muy fuerte de los fabricantes, como Microsoft y Cisco.
EAP-TTLS requiere un único certificado para el servidor de autentificación, por lo que se elimina la necesidad del certificado del peticionar y el despliegue resulta más sencillo. EAP-TTLS soporta una amplia variedad de métodos de autentificación heredados, incluyendo PAP, CHAP, MS-CHAP, MS-CHAPv2 e incluso EAP-MD5. Para utilizar estos métodos con seguridad, EAP-TTLS crea un túnel TLS cifrado, dentro del cual se ejecutan los protocolos de autentificación heredados menos seguros. Un ejemplo de implementación práctica de EAP-TTLS es la solución software de control de acceso Odyssey WLAN, de Funk Software (para Windows XP/2000798/Me). EAP-PEAP es muy parecido a EAP-TTLS, aunque np soporta métodos heredados de autentificación como PAP y CHAP. Ejvstilugar, soporta PEAP-MS-CHAPv2 y PEAP-EAP-TLS en el interior del túnel seguro creado de un modo similar al túnel de EAP-TTLS. El soporte para EAP-PEAP se implementa en la Cisco Wireless Security Suite y está incorporado en la Cisco Aironet Client Utility (ACU) y en el Service Pack 1 de Windows XP. Cisco, Microsoft y RSA Security apoyan este proyecto de forma activa.

Otros dos tipos de EAP son EAP-SIM y EAP-AKA, para la autentificación basada en SIM y USIM. Por el momento se trata de borradores de la IETF y no vamos a analizarlos aquí porque se utilizan principalmente para la autentificación GSM pero no para las redes inalámbricas 802.11. En cualquier caso, los puntos de acceso y dispositivos cliente Cisco Aironet soportan EAP-SIM.

La principal esperanza para la comunidad 802.11 internacional y para los administradores de red reside en el desarrollo del estándar 802.11i. En ocasiones, se suele hace referencia a 802.11i como RSN (Robust Security Network), con comparación con TSN (Tradicional Security Network). Se suponía que a finales del año 2003 el grupo de trabajo "i" del IEEE iba a producir un nuevo estándar de seguridad inalámbrica para sustituir completamente al protocolo WEP heredado. Mientras tanto, algunas partes del futuro estándar 802.11 i han sido implementada por diversos fabricantes de equipos y software inalámbrico para disminuir las vulnerabilidades conocidas de los protocolos 802.11 antes de que aparezca 802.11i. La certificación WPA (Wireless Protected Access) impulsada por la Wi-Fi Alliance es un subconjunto del actual borrador 802.11i y, técnicamente, es muy similar a los actuales avances de 802.11i. Algunos de los desarrollos de 802.1 li no incluidos en la actual especificación WPA son las redes ad-hoc seguras, la cesión rápida segura, la desautentificación y desasociación seguras y el uso del algoritmo de cifrado AES. Cuando se publique el estándar 802.11 i, WPA se actualizará como WPA2, implementado las características de seguridad finales de 802.11i.

Debido a las limitaciones de espacio y a la estructura de este libro, en este capítulo no vamos a comentar completamente todas las peculiaridades del estándar 802.11i. Tenga presente que muchos de los componentes integrados en el estándar se describen en alguna otra parte del libro. Por ejemplo, ya hemos descrito algunos ataques contra las redes en las que está activado el protocolo 802.11 i. En los próximos capítulos hablaremos del cifrado AES, el modo CCM, la mezcla de claves TKIP y el método de hash unidireccional MIC, y hablaremos acerca de los aspectos prácticos del uso de 802..1x cuando nos enfrentemos con la autentificación de usuarios en redes WLAN. La mejor fuente escrita sobre el estándar 802.1 li y la certificación WPA en este momento es Real 802.11 Security: Wi-Fi Protected Access and 802.Hi, de Jon Edney y William A. Arbaugh (Addison-Wesley, 2004). Le aconsejamos que consulte esta obra si tiene mucho interés en el proceso de desarrollo y estandarización de 802.11i.

La arquitectura de 802.11i puede dividirse en dos "capas": las mejoras de los protocolos de cifrado y el protocolo de control de acceso basado en puertos de 802.11x.