Existen varias alternativas para garantizar la seguridad en las redes inalámbricas. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares Wifi, como el WEP, WPA o WPA2.
Un elevado porcentaje de redes, se instalan sin tener en consideración la seguridad, convirtiéndose en redes abiertas (completamente vulnerables a crackers), sin protección sobre la información que por ellas circula. Por ello es importante conocer todo sobre los protocolos de cifrado para los estándares WiFi.
Seguridad WEP
El sistema de cifrado WEP (Wired Equivalent Privacy), fue el primer protocolo de cifrado WiFi que apareció para solucionar los problemas generados por las redes abiertas.
Se trata de un sistema de cifrado que funciona mediante la autenticación del usuario con contraseña. De esta forma, el tráfico viaja cifrado.
Los usuarios que se encuentren escuchando el tráfico sólo podrán leer caracteres sin sentido, a no ser que tenga la clave de cifrado.
Este protocolo de encriptación se introdujo en 1999 en el estándar IEEE 802.11, y está basado en el algoritmo de encriptación RC4, con una clave privada de 40 o 104 bits.
El vector de Inicialización VI es la clave de la seguridad WEP, así que para mantener un nivel decente de seguridad y minimizar la difusión.
El VI se debe aplicar a cada paquete, de este modo, los paquetes subsiguientes estarán encriptados con claves diferentes.
Desafortunadamente para la seguridad WEP, el VI es transmitido en texto simple, y el estándar 802.11 no obliga a la incrementación del VI, dejando esta medida de seguridad como opción posible para una terminal inalámbrica particular.
WEP, es un protocolo de cifrado WiFi implementado en la MAC y soportado por la mayoría de las soluciones inalámbricas.
¿Cómo se realiza el cifrado WEP?
Se utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida.
El estándar 802.11 no especifica cómo se establece la clave privada, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso.
Para proteger el texto cifrado frente a modificaciones no autorizadas mientras está en tránsito, WEP aplica un algoritmo de comprobación de integridad (CRC-32) al texto en claro.
El valor de ICV se añade al texto cifrado y se envía al receptor junto con el VI. El receptor combina el texto cifrado con el flujo de clave para recuperar el texto en claro. Al comparar la salida con el vector ICV recibido, puede verificarse si el proceso de descifrado es correcto o que los datos están corruptos.
Autenticación
WEP proporciona dos tipos de autenticación:
- Un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN.
- Una autenticación mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red.
De los dos niveles, la autenticación mediante clave compartida es el modo seguro, en el que se utiliza una clave privada compartida entre todas las estaciones y puntos de acceso al sistema WLAN.
Cuando una estación trata de conectarse con un punto de acceso, éste replica con un texto aleatorio, que constituye el desafío. La estación debe utilizar la copia de su clave para cifrar el texto de desafío y devolverlo al punto de acceso, con el fin de autenticarse.
El punto de acceso descifra la respuesta utilizando la misma clave compartida y compara con el texto de desafío enviado anteriormente.
Si los dos textos son idénticos, el punto de acceso envía un mensaje de confirmación a la estación y la acepta dentro de la red. Si la estación no dispone de una clave, o si envía una respuesta incorrecta, el punto de acceso la rechaza, evitando que la estación acceda a la red.
La autenticación mediante clave compartida funciona sólo si está habilitado el cifrado WEP, de no estarlo, el sistema revertirá de manera predeterminada al modo de sistema abierto (inseguro).
De este modo, cualquier estación que esté situada dentro del rango de cobertura de un punto de acceso podría conectarse a la red.
Fallos de seguridad
Según el estándar, WEP debe proporcionar confidencialidad, autentificación y control de acceso en redes WLAN.
WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red.
Esto genera varios inconvenientes, por un lado la clave está almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida.
Por otro lado, la distribución manual de claves provoca un aumento de mantenimiento por parte del administrador de red, lo que conlleva, en la mayoría de las ocasione, que la clave se cambie poco o nunca.
En 2001, Scott Fluhrer, Itsik Mantin y Adi Shamir publicaron un artículo sobre WEP, mostrando dos vulnerabilidades en el algoritmo de encriptación: debilidades de no variación y ataques VI conocidos.
Ambos ataques se basan en el hecho de que para ciertos valores de clave es posible que los bits en los bytes iniciales del flujo de clave dependan de tan sólo unos pocos bits de la clave de encriptación.
Como la clave de encriptación está compuesta concatenando la calve secreta con el VI, ciertos valores de VI muestran claves débiles.
La etapa de comprobación de integridad también sufre de serias debilidades por culpa del algoritmo CRC32 utilizado para esta tarea.
CRC32, se usa normalmente para la detección de errores, pero nunca se ha considerado como seguro desde un punto de vista criptográfico, debido a su linealidad.
Desde entonces, se ha aceptado que WEP proporciona un nivel de seguridad aceptable sólo para usuarios domésticos y aplicaciones no críticas, pero incluso este hecho desaparece en 2004.
Cuando los ataques Korek y el ataque inductivo invertido Arbaugh permitieron que paquetes arbitrarios fueran desencriptados sin necesidad de conocer la clave, mediante la inyección de paquetes.
Herramientas como Aircrack o WepLab ponen en práctica los ataques descritos y pueden extraer una clave WEP de 128-bits en menos de 10 minutos.
Seguridad WPA
Este sistema de cifrado WiFi surge para solucionar los problemas de seguridad que ofrecía el sistema WEP. Para ello hace uso de TKIP (Temporal Key Integrity Protocol).
Este protocolo, sirve para gestionar claves dinámicas. Resuelve muchos de los problemas que tenía WEP como la longitud de la clave.
En líneas generales WPA funciona de forma similar a WEP, pero utilizando claves dinámicas.
Utiliza el algoritmo RC4 para genera un flujo de bits que se utilizan para cifrar con XOR y su vector de inicialización VI es de 48 bits.
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios en la red.
Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave precompartida.
De un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.
Por tanto, con WPA al estar la calve cambiando constantemente, las incursiones en la red inalámbrica es más difícil que con WEP.
Las claves se insertan como dígitos alfanuméricos, sin restricciones de longitud. Se recomienda utilizar caracteres especiales, números, mayúsculas y minúsculas, así como palabras difíciles de asociar entre ellas.
Dentro de WPA, hay dos versiones, que utilizan distintos procesos de autenticación:
WPA-PSK
Es el sistema de cifrado WiFi más simple de control de acceso tras WEP, a efectos prácticos tiene la misma dificultad de configuración que WEP, una clave común compartida. Sin embargo, la gestión dinámica de claves aumenta notoriamente su nivel de seguridad.
PSK o Pre Shared Key (clave compartida previamente), basa la seguridad en una contraseña compartida formada entre 8 y 63 caracteres.
Es un sistema fácil de utilizar y configurar, por lo que es recomendable en entornos familiares o pequeñas empresas. Cualquier equipo que tenga la clave podrá conectarse a la red.
Al igual que con WEP, la clave tendrá que introducirse manualmente en cada una de las estaciones y puntos de acceso de la red inalámbrica.
La principal debilidad que presenta WPA-PSK es precisamente el uso de clave compartida entre estaciones.
Cuando un sistema basa su seguridad en una contraseña, siempre es susceptible de sufrir un ataque de fuerza bruta, aunque si la longitud de la contraseña es adecuada y además está bien elegida no debería suponer mayor problema.
WPA-Enterprise
En redes corporativas resultan imprescindibles otros mecanismos de control de acceso más versátiles y fáciles de mantener, como por ejemplo el uso de usuario y contraseña o sistemas de certificados.
Evidentemente el hardware de un punto de acceso no tiene la capacidad para almacenar y procesar toda esta información por lo que es necesario recurrir a otros elementos de la red para que se comprueben las credenciales.
Se suelen utilizar equipos de gran potencia como servidores con tecnología 802.1x como los tipo RADIUS, para la gestión de usuarios o certificados,
Dentro de este tipo de sistemas se puede aumentar la seguridad haciendo uso de otros mecanismos como EAP-TLS, EAP-TLLS y PEAP
Extensible Authentication Protocol (EAP): Es un framework de autenticación, que no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas. Recientemente WPA y WPA2 han adoptado cinto tipos de EAP como sus mecanismos oficiales de autenticación.
Es una estructura de soporte y no un mecanismo específico de autenticación. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticación elegidos, a estos mecanismos se les conoce como los métodos EAP.
EAP fue diseñado para utilizarse en la autenticación para acceso a la red, donde la conectividad de la capa IP puede no encontrarse disponible. Dado a que EAP no requiere conectividad IP, solamente provee el suficiente soporte para el transporte confiable de protocolos de autenticación y nada más.
Aunque EAP, provee soporte para retransmisión, este asume que el ordenamiento de paquetes es brindado por las capas inferiores, por lo cual el control de orden de recepción de tramas no está soportado.
Al no soportar fragmentación y re-ensamblaje, los métodos de autenticación basados en EAP que generan tramas más grandes que el soportado por defecto.
Seguridad WPA2
WPA2 es un protocolo de cifrado WiFi que surge con la finalidad de solucionar los problemas de vulnerabilidad detectados en la primera versión (WAP).
Las especificaciones de WPA2, no son públicas por lo que la cantidad de información disponible es realmente escasa. Se sabe que WPA2 incluye el algoritmo de cifrado AES (Advanced Encryption Standard), desarrollado por el NIS.
Como ya se ha comentado, se trata de un algoritmo de cifrado WiFi de bloque (a diferencia de RC4 que de cifrado en bloque) con clave de 128 bits.
Es necesario un hardware potente para realizar los algoritmos de WPA2, lo que significa que dispositivos antiguos sin suficientes capacidades de procesamiento no podrán incorporar WPA2.
Todos los dispositivos inalámbricos certificados por la WiFi Alliance que se han producido desde el año 2006 deben ser compatibles con WPA2.
Para asegurar la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code Protocol) en lugar de los códigos MIC.
Otra mejora con respecto a WPA es que WPA2 incluye soporte no sólo para el modo BSS sino también para le modo IBSS (redes ad-hoc).
WPA2-Personal
El modo personal o Pre-Shared Key (PSK) funciona igual que en la seguridad WAP, y es el protocolo de cifrado WiFi más fácil de instalar ya que requiere que se cree una contraseña simple.
Aunque WPA2 proporciona una fuerte encriptación y seguridad, y es “potencialmente indescifrable” por los atacantes si se utilizar una contraseña larga y fuerte.
El modo personal, no proporciona una protección adecuada para las empresas con más de un par de usuarios WiFi, puesto que la contraseña, al igual que en WPA se guarda en los equipos y dispositivos.
WPA2-Enterprise
El modo 802.1X o Radius, ofrece una protección de cifrado WiFi adecuada para las empresas, sin embargo es algo más complejo de configurar, ya que se requiere un servidor externo Radius.
En lugar de crear una contraseña global en los routers WiFi o puntos de acceso, cada empelado puede recibir credenciales de inicio de sesión únicas.
Se puede asignar a cada empleado su nombre de usuario y contraseña y/o un archivo (certificado digital) que se instalará en su ordenador o dispositivo.
En este caso, aunque el empleado puede guardar las credenciales de acceso en su dispositivo, si este las pierde o si el empleado deja la compañía, simplemente habría que revocar el acceso o cambiar el inicio de sesión.
La autenticación 802.1X también puede aplicarse en la parte cableada de la red. Los empleados que se conecten a través de Ethernet también deben recibir credenciales de inicio de sesión, antes de concederles el acceso.
No obstante, el protocolo 802.1X con cable no es compatible a nivel de consumidor, e incluso algunos routers pequeños a nivel empresarial aún no lo soportan.
Soy técnico informático me encanta la tecnología, la informática, redes y seguridad. Apoyo el software libre y escribo en Linuxbasico.