seguridad en redes redes wirelesswireless802.11i (2) • utiliza autenticación 802.1x,...
TRANSCRIPT
Seguridad enSeguridad enggRedes Redes WirelessWireless
Daniel Calzada del FresnoDaniel Calzada del Fresno
1
DesarrolloDesarrollo
• WEP• 802.11i
Fases operacionales de la 802 11i– Fases operacionales de la 802.11i.
– Fase 1: Acuerdo sobre política de seguridad.
Fase 2: Autentificación– Fase 2: Autentificación.
– Fase 3: 4-way-handsake. Group key handsake.
– Fase 4: Cifrado TKIP Cifrado CCMP– Fase 4: Cifrado TKIP. Cifrado CCMP.
– Definiciones :WPA, WPA-PSK, WPA2, WPA2-PSK.
– Debilidades– Debilidades.
2
Posibles configuracionesPosibles configuraciones
Red abierta: sin seguridad.WEP (Wired Equivalent Privacity)WEP (Wired Equivalent Privacity) WPA (Wi-Fi Protected Access)WPA PSK (WPA P h d K )WPA-PSK (WPA con Preshared Key)WPA2 (Wi-Fi Protected Access 2)WPA2-PSK (WPA2 con Preshared Key)
3
Cifrado en WIFICifrado en WIFI
NIVELESS O SNIVELES SUPERIORES
LLC 802 2
NIVELESSUPERIORES
LLC 802.2
CifradoMAC 802.11
LLC 802.2
MAC 802.11
CifradoMAC 802.11
DSSSDSS
DSSSDSS
El cifrado p ede ser considerado como na capa incorporada porEl cifrado puede ser considerado como una capa incorporada y por encima de la capa MAC. Es transparente para las capas superiores.
4
WEPWEPWi dWi d E i l tE i l t P iP iWiredWired EquivalentEquivalent PrivacyPrivacy
5
Asociación. Con WEP.Asociación. Con WEP.
Petición de Prueba
Respuesta a Prueba
Petición de autentificación de sistema abierto
WEPWEP
abierto
Aceptación de autentificación de sistema abierto PrePre--asociaciónasociaciónPrePre--asociaciónasociación
Petición de AsociaciónNonce
( l t i l if l t ió )(aleatorio para que lo cifre la estación)
Nonce cifrado con la clave WEP
Aceptación de AsociaciónVerificadoVerificado
AsociaciónAsociaciónA i ióA i ióp
Datos
AsociaciónAsociaciónMACMAC--STA MACSTA MAC--APAP
ID de sesiónID de sesión
AsociaciónAsociaciónMACMAC--STA MACSTA MAC--APAP
ID de sesiónID de sesión
6
Cifrado y Descifrado WEPCifrado y Descifrado WEP
CIFRADO, T: ORX DE M (CIFRADO, T: ORX DE M (mensajemensaje) y K () y K (KeystreamKeystream))M 0 1 1 1 0 0 0 1 1 1 0 0 1 0 1 1 0 0 1 1 0 1 1 0K 1 0 1 0 1 0 0 0 1 1 1 0 1 0 1 0 1 0 0 1 0 0 1 1T 1 1 0 1 1 0 0 1 0 0 1 0 0 0 0 1 1 0 1 0 0 1 0 1
DESCIFRADO M: ORX DE T (DESCIFRADO M: ORX DE T ( j if dj if d ) y K () y K (K tK t ))T 1 1 0 1 1 0 0 1 0 0 1 0 0 0 0 1 1 0 1 0 0 1 0 1
DESCIFRADO, M: ORX DE T (DESCIFRADO, M: ORX DE T (mensaje cifradomensaje cifrado) y K () y K (KeystreamKeystream))
K 1 0 1 0 1 0 0 0 1 1 1 0 1 0 1 0 1 0 0 1 0 0 1 1
M 0 1 1 1 0 0 0 1 1 1 0 0 1 0 1 1 0 0 1 1 0 1 1 0
7
Cifrado WEPCifrado WEP
IV (24 bits)Clave WEP = WEP IV || RC4 key
ConcatenadoClave RC4 (40/104 bits)Clave WEP WEP IV || RC4 key
XOR RC4Keystream
Datos (MPDU) ICV
Trama en claro
Cifrado WEP con 64/128 bits de clave
Cabecera IV / KeyID 4 oct. Datos (MPDU) FCS
4 octICV4 oct.
8
Descifrado WEPDescifrado WEP
IV (24 bits)Clave WEP = WEP IV || RC4 key
ConcatenadoClave RC4 (40/104 bits)Clave WEP WEP IV || RC4 key
XOR RC4Keystream
Datos (MPDU) ICV
Trama cifrada
Descifrado WEP con 64/128 bits de clave
Cabecera IV / KeyID 4 oct. Datos (MPDU) FCS
4 octICV4 oct.
9
WEP y los Initialization VectorsWEP y los Initialization Vectors40/104 bits de clave WEP
}64/128 bits RC4
+ } RC4
24 bits IV
IV: Initialization Vector -> 224= 16777216
Cabecera IV (4 oct) Datos (MPDU) FCSICVCabecera IV (4 oct) Datos (MPDU) FCSICV
claro cifrado claroclaro cifrado claro
IV (24) Rell.(6) ID (2) Identificador de clave
10
Debilidades del WEPDebilidades del WEP
• Las debilidades del WEP son múltiples.Su rotura se produce en unos pocos• Su rotura se produce en unos pocos minutos.NO SE DEBE CONFIGURAR NUNCA• NO SE DEBE CONFIGURAR NUNCA.
11
802.11i802.11i
12
802.11i (1)802.11i (1)
• Junio de 2004.Ju o de 00• Proporciona autentificación y confidencialidad.• Separa autentificación de usuario del cifrado deSepara autentificación de usuario del cifrado de
mensajes.• Proporciona una arquitectura robusta y escalable.p q y• Útil en redes domésticas y empresariales.• RSN: Robust Security Network.y• TSN: Transitional Security Network. (Etapa
transitoria).
13
802.11i (2)802.11i (2)
• Utiliza autenticación 802.1x, distribución de claves y nuevos mecanismos de integridad y privacidadnuevos mecanismos de integridad y privacidad.
• TKIP (Temporal Key Integrity Protocol). WEP con una clave distinta por cada trama. Dispositivosuna clave distinta por cada trama. Dispositivos antiguos que soportaban WEP, con actualización de firmware.
• CCMP (Counter-mode con Cipher block chainingMesssage authentication code Protocol). AES(128 128) l tAES(128,128) con una clave por trama.
• Soporta redes AdHoc.
14
Redes Modo enterprise y SOHORedes Modo enterprise y SOHO
• Con autentificación. Redes empresariales (Enterprise)Redes empresariales (Enterprise)No se pueden poner todos los identificadores de
usuario y claves en cada uno de los numerosos puntos de acceso.
Es necesario un servidor de autentificación (RADIUS).S d á id d d iSe ponen dos o más servidores, por redundancia.
• Sin autentificación.SOHO (Small Office Home Office).Pequeñas oficinas e instalaciones domésticas.
No es preciso servidor de autentificación. No se utiliza la autentificación (Pre Shared Key == PSK). Los pocos usuarios de la red, utilizan la misma PSK.
15
usuarios de la red, utilizan la misma PSK.
Fases de 802.11i (Enterprise)Fases de 802.11i (Enterprise)
802 1x Clients Authenticator Authentication802.1x Clients AuthenticatorServer
Acuerdo de política de Seguridad Fase 1
Autentificación 802.1x
Distribución MK por RADIUS
Fase 2
Derivación y distribución de clave
Distribución MK por RADIUS
Fase 3
Confidencialidad e integridad de datos RSNA
Fase 4
16
Fases de 802.11i (SOHO)Fases de 802.11i (SOHO)
Clients AuthenticatorClients Authenticator
Acuerdo de política de SeguridadFase 1
Fase 2
Fase 3
NO EXISTENO EXISTE
Derivación y distribución de clave
Fase 3
Confidencialidad e integridad de datos RSNAFase 4
17
SOHOSOHOSOHOSOHO(Small Office Home Office)(Small Office Home Office)(Small Office Home Office)(Small Office Home Office)Redes sin autentificaciónRedes sin autentificación
18
Fases: TerminologíaFases: Terminología
Fase 1: Acuerdo sobre la política de seguridad Tanto el• Fase 1: Acuerdo sobre la política de seguridad. Tanto el suplicante (Estación) como el autenticador (Punto de Acceso) se preasocian estableciendo una negociación de la política de seguridad que posteriormente les va a llevar a una asociaciónseguridad que posteriormente les va a llevar a una asociación completa.
• Fase 2: En redes tipo SOHO, ésta fase no existe.3• Fase 3: 4-Way Handsake. Tanto el suplicante como el
autentificador calculan y derivan unas claves para la confidencialidad. Estas claves sólo son válidas para esta sesión. Si t l i ió l i l lSi es rota la asociación, por cualquier causa, al volver a establecerla se realiza un nuevo cálculo de claves.
• Fase 4: Se establece la RSNA (RSN Association). Se produce el i t bi if d d i f ióintercambio cifrado de información.
19
802.11i: Fase 1 802.11i: Fase 1 (Acuerdo sobre política de Seguridad(Acuerdo sobre política de Seguridad))
802 1x Clients Authenticator802.1x Clients AuthenticatorPetición de sonda
Respuesta sonda +
RSN IE (802.1x, PSK, TKIP, CCMP Ucast CCMP Mcast)
Autentificación de sistema abierto
Autentificación de sistema abierto - Éxito
Petición de asociación +
Respuesta de asociación - Éxito
RSN IE(STA request, 802.1x, PSK, TKIP, CCMP Ucast CCMP Mcast)
p
20
Fase 1: TerminologíaFase 1: Terminología
• RSN IE (Robust Security Network Information Element).RSN IE (Robust Security Network Information Element). – El PA declara en esta trama los parámetros de seguridad para los
que está configurado. Por ejemplo soporta TKIP o CCMP. Utiliza 802 1x o PSK802.1x o PSK.
• La autentificación de sistema abierto es una asociación en las tablas de la estación de su dirección MAC con la del PA. En el PA idé ti E i ióPA es idéntico. Es una preasociación.
• La petición de asociación de la estación incluye en su IE los parámetros con los que se asocia, aceptando los que le indicó el p q , p qPA.
• La respuesta del PA acepta la asociación de la estación.
21
802.11i: Fase 3 802.11i: Fase 3 (4(4--Way Handshake)Way Handshake)
802 1x Clients AuthenticatorPMKPMK
EAPoL-Key: Anonce + AP RSN IEAutenticación de mensaje
802.1x Clients AuthenticatorSnonce Anonce
Calcula la PTK
EAPoL-Key: Snonce + MIC + STA RSN IE
usando la KCKCalcula la PTK
Calcula la PTK inicializa la
EAPoL-Key: MIC + GTK cifrada + AP RSN IE GTK cifrada
usando la KEKSincronización entre
Calcula la PTK, inicializa la GMK y calcula la GTK
EAPoL-Key: ACK + MIC
+
usando la KEKSincronización entre entidades antes de la encriptación
802.1x puerto controlado abiertoInstalación PTK y GTK
Instalación PTK y GTK
802.1x puerto controlado abierto
PTK = PRF-X (PMK, <<expansión de clave por pares>>, Min(AP_Mac, STA_Mac) || Max(AP Mac STA Mac) || Min (ANonce SNonce) || Max (Anonce Snonce))
22
Max(AP_Mac, STA_Mac) || Min (ANonce, SNonce) || Max (Anonce, Snonce))
PRF-X es una Pseudo Random Function que genera X bits de salida
Fase 3: DescripciónFase 3: Descripción• El suplicante y el autenticador tienen ambos la PMK (256 bits) (derivada
de la MK de la fase anterior o de la PSK). En la primera trama el PA envía un Anonce (aleatorio) más una repetición del RSN IE (informaciónenvía un Anonce (aleatorio), más una repetición del RSN IE (información del acuerdo de política de seguridad).
• La estación calcula la PTK (Pairwise Transient Key), por medio de una función pseudoaleatoria. p
– Esta PTK tiene una longitud de 512 bits en el caso de que hayan acordado usar TKIP ó 348 bits en el caso de que el acuerdo sea CCMP.
– Si es TKIP los 512 bits se cortan en 5 trozos o claves. Si CCMP l 348 bit t t t l– Si es CCMP los 348 bits se cortan en tres trozos o claves.
• La estación envía una trama con un Snonce (aleatorio) más su RSN IE y le añade un MIC (Message Integrity Code, código de integridad de mensaje) El MIC es calculado usando los primeros 128 bits de la PTKmensaje). El MIC es calculado usando los primeros 128 bits de la PTK.
• El PA, con el Snonce recibido deriva también la PTK, verifica la validez del MIC de la trama anterior. Calcula y cifra la clave de grupo con los bits 128 a 255 de la PTK y se la envía a la estación.bits 128 a 255 de la PTK y se la envía a la estación.
• La estación verifica el MIC, extrae la clave de grupo y le asiente al PA la trama anterior. A partir de aquí el autenticador abre el puerto 802.1x.
23
802.11i: Fase 3 802.11i: Fase 3 (Jerarquía de claves por parejas)(Jerarquía de claves por parejas)
PSK MKO
PMK =PSK
SOHO Enterprise
PMK – 256 bits (Pairwise Master Key)
PRF (P d R d F ti ) d X bit d lidPMK = PBKDF2(PSK ssid
PMK =PSK si PSK es 64dígitos Hexadecimal Si PSK es 6 a 63 dígitos alfanuméricos
PTK – X bits (Pairwise Transient Key)
PRF (Pseudo Random Function) de X bits de salida
X = 512 (TKIP)
X = 384 (CCMP)
PMK = PBKDF2(PSK, ssid, ssidLengh, 4096, 256)
dígitos alfanuméricos
( )
EAPoL-KEYClave para el primer MIC
EAPoL-KEYCifrado dela clave de grupo
TemporalEncriptado dedatos 128 bits
Temporal APTx MIC Clave 64 bits
Temporal APRx MIC Clave 64 bits
Bits 0-127
KCK (128 bits)
Bits 128-255
KEK (128 bits)
Bits 256-383
TEK (=TK)
Bits 384-447
TMK1
Bits 448-511
TMK2 TKIP
24
PTK = PRF-X (PMK, <<expansión de clave por pares>>, Min(AP_Mac, STA_Mac) || Max(AP_Mac, STA_Mac) || Min (ANonce, SNonce) || Max (Anonce, Snonce))
Fase 3: Jerarquía de claves: descripción 1Fase 3: Jerarquía de claves: descripción 1
• El suplicante y el autenticador tienen ambos la PMK (256 bits) (derivada de la MK de la fase anterior o de(256 bits) (derivada de la MK de la fase anterior o de la PSK).– En el caso de utilizar PSK, si se introducen exactamente 64
dígitos en hexadecimal la PSK da lugar a la PMK. Si se introducen entre 6 y 63 caracteres alfanuméricos, por medio de un hash recursivo se obtiene la PMK de 256 bits.
– Si se utiliza servidor de autentificación éste produce directamente la MK de 256 bits, que pasa a ser la PMK.
P t i t PRF X d l PMK l• Posteriormente, una PRF-X expande la PMK a la PTK.La PTK se trocea y cada trozo es una clave con una• La PTK se trocea y cada trozo es una clave con una funcionalidad distinta.
25
Fase 3: Jerarquía de claves: descripción 2Fase 3: Jerarquía de claves: descripción 2
• KCK (128 bits). Para generar el primer MIC del 4-way Handsake-Handsake.
• KEK (128 bits). Cifra la clave de grupo para distribuirla a las estacionesa las estaciones.
• TEK (128 bits). Cifra los datos.• TMK1 (64 bits) Genera los MIC de las tramas de• TMK1 (64 bits). Genera los MIC de las tramas de
datos, cuando los transmite.• TMK2 (64 bits) Calcula la validez de los MIC de las• TMK2 (64 bits). Calcula la validez de los MIC de las
tramas de datos en los MIC recibidos.• En el caso de utilizar CCMP, estas dos últimas no seEn el caso de utilizar CCMP, estas dos últimas no se
generan porque el cifrador AES genera su propio MIC.
26
Fase 3: Es preciso una clave de grupoFase 3: Es preciso una clave de grupo
• Cada estación mantiene, en su asociación con el AP, un conjunto de claves para cada sesión.
• Obviamente las claves son distintas para cada asociación. Cada estación tiene claves de cifrado (confidencialidad) distintas.
• En el caso de tráfico de difusión:• En el caso de tráfico de difusión: – La estaciones no hacen difusiones por sí solas, nunca.– Envían la trama al AP y éste difunde.
• En las difusiones desde el AP, es preciso usar una clave de grupo, distinta de la clave de sesión de las estaciones. La clave para el MIC, en las tramas de difusión, en TKIP ha de ser p , ,también “clave de grupo”.
• El AP genera una clave de grupo y la distribuye a las estaciones cuando se asocian La distribuye cifrada para que no seacuando se asocian. La distribuye cifrada para que no sea capturable. Cada vez que una estación se desasocia se regenera la clave de grupo, por el AP y la distribuye a las estaciones.
27
802.11i: Fase 3 802.11i: Fase 3 (Jerarquía de claves de grupo)(Jerarquía de claves de grupo)
GMK – 256 bits(Group Master Key)
AP Mac || GNonce Expansión de clave de grupo
(Group Master Key)
GTK – X bits (Group Transient Key)X = 256 (TKIP)
PRF
( p y)X = 128 (CCMP)
Clave Encriptación De Grupo
128 bits
Clave IntegridadDe Grupo
128 bits
Bits 0-127
GEK
Bits 128-255
GIK TKIP
28GTK = PRF-X (GMK, <<Group key expansión>>, (AP_Mac || GNonce))
Fase 3: Claves de grupoFase 3: Claves de grupo
• GMK (256 bits) Group Master Key. Clave maestra de grupo Se reinicializa periódicamente en el AP paragrupo. Se reinicializa periódicamente en el AP, para disminuir la posibilidad de que se comprometa la GTK.
• GTK (256 bits) Group Transient Key. Clave de grupo ( ) p y g ptransitoria.
• GEK (128 bits) Group Encryption Key. Clave de ( ) p yp ycifrado de grupo. Cifra los datos de las tramas de difusión.
• GIK (128 bits) Group Integrity Key. Clave de integridad de grupo. Se utiliza para el cálculo del MIC en las tramas de difusión con TKIP Con CCMP no hacetramas de difusión, con TKIP. Con CCMP no hace falta porque el MIC lo calcula el cifrador AES.
29
802.11i: Fase 3 802.11i: Fase 3 (Group Key Handshake)(Group Key Handshake)
802 1x Clients AuthenticatorPTKPTK 802.1x Clients Authenticator
GMK + GNonce + Cálculo de GTK
EAPoL-Key: MIC + GTK cifrada + GrupoGTK cifrada usando la KEK
Instalación PTK y GTKDescifrado de GTK
EAPoL-Key: Grupo + MIC
+Instalación PTK y GTK
Autentificación de mensaje usando la KCK
GTK = PRF-X (GMK, <<Group key expansión>>, (AP_Mac || GNonce))
30
Fase 4 (1).Trama con TKIP Fase 4 (1).Trama con TKIP
Cabecera IV / KeyID 4 oct. Datos (PDU) >= 1 octeto FCS
4 octICV4 oct.
IV Extendido4 oct.
MIC8 oct.
claro claroCifrado con RC4
WEPSeed TSC 0TSC 1 Rsvd. Ext.IV
KeyID TSC 2 TSC 3 TSC 4 TSC 5TSC 0TSC 1 Rsvd. IV ID
b0 b4 b5 b6 b7
TSC 2 TSC 3 TSC 4 TSC 5
TSC: TKIP Secuence Counter (48 bits): crece monotonamente
WEPSeed: No se usa para construir TSC (8 bits).
Ext. IV: Extensor de IV (1 bit). Cuando es 1 va IV extendido. Cuando es 0 no (WEP clásico)
Key ID: Identificador de la clave (2 bits) (de las cuatro posibles que se pueden poner)y ( ) ( p q p p )
MIC: Message Integrity Code (64 bits).
ICV: Integrity Check Value (32 bits).
31
Fase 4 (2). Cifrado TKIP, una clave por trama. Fase 4 (2). Cifrado TKIP, una clave por trama.
104 bitsFase 1
Mezclado
TA (=SA)
TSC 2-5 TTAK
Clave por trama
24 bits
TSC 0-1
Mezclado de clave Fase 2
Mezclado de clave
TEK (=TK) 80 bits
TSC1 TSC0d
128 bitsd: byte dummy: octeto WEPSeedPara evitar claves débiles
XOR RC4Keystream
Datos ICVMIC
Trama en claro
Cifrado WEP con 128 bits
TSC 0-1 TSC 2-5
Cabecera IV 4 oct. Datos FCS
4 octICV4 oct.
IV Extendido4 oct.
MIC8 oct.
32
Fase 4 (3). Descifrado TKIP Fase 4 (3). Descifrado TKIP
104 bitsFase 1
Mezclado
TA (=SA)
TSC 2-5 TTAK
Clave por trama
24 bits
TSC 0-1
Mezclado de clave Fase 2
Mezclado de clave
TEK (=TK) 80 bits
TSC1 TSC0d
128 bitsd: byte dummy: octeto WEPSeedPara evitar claves débiles
XOR RC4Keystream
Datos ICVMIC
Trama en claro
Descifrado WEP con 128 bits
TSC 0-1 TSC 2-5
Cabecera IV 4 oct. Datos FCS
4 octICV4 oct.
IV Extendido4 oct.
MIC8 oct.
33
Fase 4 (4). Trama con CCMP Fase 4 (4). Trama con CCMP
Cabecera CCMP Header
8 octetos Datos (PDU) >= 1 octeto FCS4 oct.
MIC8 octetos8 octetos 8 octetos
claro claroCifrado con AES
PN1 Rsvd.PN0 Rsvd. Ext.IV
KeyID PN2 PN3 PN4 PN5
b0 b4 b5 b6 b7
PN1PN0 Rsvd. IV ID PN2 PN3 PN4 PN5
CCMP: Counter-mode con Cipher block chaining Messsage authentication code Protocol
Cifrado con AES: 128 bits de clave y 128 bits de tamaño de bloque.
PN: Packet Number (numerador de tramas). Se incrementa en uno para cada trama.
Ext. IV: Extensor de IV (1 bit siempre puesto a 1).( p p )
Key ID: Identificador de la clave (2 bits) (de las cuatro posibles que se pueden poner)
MIC: Message Integrity Code (64 bits).
34
Fase 4 (5). Cifrado CCMP Fase 4 (5). Cifrado CCMP
AAD
CifradorCCMP
TEK (=TK)
Nonce
Datos (MPDU)
Trama en claro
Cabecera CCMP Header Datos (MPDU) FCSMIC
35
Fase 4 (6). Construcción de AAD y Fase 4 (6). Construcción de AAD y NonceNonce
Campo FC (Frame Control)2 octetos 6 6 6 2 octetos 6 2
AAD
Campo FC (Frame Control)(bits 4,5,6,11,12,13=0)
(bit 14=1)A1 A2 A3 Campo SC (Secuence Control)
(bits 4-15=0) A4 QC
1 octeto 6 octetos
Nonce6 octetos
Priority PNA2
Priority
b0 b1 b2 b3
Reserved
b4 b5 b6 b7
PN5 PN4 PN3 PN2 PN1 PN0PN5 PN4 PN3 PN2 PN1 PN0
A1, A2, A3, A4 = Direcciones de la trama.QC = Quality of Service Control Field = Reservado para el futuro, todo a ceros.Priority= Reservado todo a ceros
36
Priority Reservado, todo a ceros.
Fase 4 (7). Descifrado CCMP Fase 4 (7). Descifrado CCMP
AAD
DescifradorTEK (=TK)
Nonce
CCMPDatos (MPDU)
Trama cifradaMIC
Datos (MPDU)Trama en claro
37
ENTERPRISEENTERPRISEENTERPRISEENTERPRISER d t tifi ióR d t tifi ióRedes con autentificaciónRedes con autentificación
38
Fases: TerminologíaFases: Terminología
• Fase 1: Acuerdo sobre la política de seguridad. Tanto el suplicante (Estación) como el autenticador (Punto de Acceso) se p ( ) ( )preasocian estableciendo una negociación de la política de seguridad que posteriormente les va a llevar a una asociación completa.p
• Fase 2: Autentificación. En las redes tipo “enterprise”, donde se utiliza servidor de autentificación se realizará autentificación frente al servidor de autentificación. La forma de realizar la autentificación no está normalizada en la 802.11i.
• Fase 3: 4-Way Handsake. Tanto el suplicante como el autentificador calculan y derivan unas claves para laautentificador calculan y derivan unas claves para la confidencialidad. Estas claves sólo son válidas para esta sesión. Si es rota la asociación, por cualquier causa, al volver a establecerla se realiza un nuevo cálculo de claves.
• Fase 4: Se establece la RSNA (RSN Association). Se produce el intercambio cifrado de información.
39
802.11i: Fase 2 802.11i: Fase 2 (Autenticación 802.1x)(Autenticación 802.1x)
802 1x Clients Authenticator Authentication
EAPoL RADIUS
802.1x Clients AuthenticatorServer
802.1x/EAPoL Petición de identidad
802.1x/EAPoL Respuesta de identidad Acceso RADIUS
Petición de acceso
D i ió d l MK Deri ación de la MK
Mensajes EAPoL específicos del método elegido
Derivación de la MK Derivación de la MK
Aceptación RADIUS (Di t ib ió d l MK V f 3)Éxito 802 1x/EAPoL (Distribución de la MK-Ver fase 3)Éxito 802.1x/EAPoL
40
Fase 2: DescripciónFase 2: Descripción
• Cuando el tipo de red es empresarial en esta fase seCuando el tipo de red es empresarial, en esta fase se produce la autentificación del suplicante frente al servidor de autentificación. El puerto del autentificador(PA) b h t t i l F 3(PA) no se abre hasta que no termina la Fase 3.– En este caso el servidor de autentificación envía un material
(la MK: Master Key o clave maestra al autenticador, que la utilizará en la fase tres)
• En redes SOHO, esta fase no existe.En redes pequeñas o domésticas la Master Key se deriva de– En redes pequeñas o domésticas la Master Key se deriva de una clave introducida a mano en el autenticador (PA) y en las estaciones. Esta clave se denomina PSK (Pre Shared Key).
41
Fase 2: Protocolos de autentificaciónFase 2: Protocolos de autentificación
IEEE
EAP (802.1x)
MD5 LEAP TLS TTLS PEAP FAST(Cisco) (Microsoft) (Fun software) (Cisco) XPsp1 (Cisco)
42
Fase 2: PEAPv0/EAPFase 2: PEAPv0/EAP--MSCHAPv2MSCHAPv2
• Protected EAP.P t CISCO Mi ft RSA• Propuesto por CISCO, Microsoft y RSA.
• Solo requiere certificado en el lado del servidor.• Se realiza la creación de un túnel TLS.• Una vez creado el túnel se autentifica con EAP-
MSCHAP 2 ( i d)MSCHAPv2. (usuario y password).• Se autentifican ambos: el cliente se autentifica ante
el servidor y el servidor ante el clienteel servidor y el servidor ante el cliente.• Simplifica la configuración de los clientes y evita que
estos tengan que tener un certificado propioestos tengan que tener un certificado propio.
43
Fase 2: PEAPv0/EAPFase 2: PEAPv0/EAP--MSCHAPv2MSCHAPv2
802 1x Clients Authenticator Authentication
EAPoL RADIUS
802.1x/EAPoL Petición de identidad
802.1x Clients Authenticator AuthenticationServer
802.1x/EAPoL Respuesta de identidad Acceso RADIUS
Petición de acceso
Mensajes EAP-PEAP
Derivación de la MK Derivación de la MK
Aceptación RADIUS (Distribución de la MK-Ver fase 3)Éxito 802.1x/EAPoL
e ac ó de a
4 –Way-Handsake
44
Fase 2: PEAPv0/EAPFase 2: PEAPv0/EAP--MSCHAPv2 (MSCHAPv2 (fase TLSfase TLS))
802 1 Cli t A th ti t Authentication
EAPoL RADIUS
802.1x Clients Authenticator AuthenticationServerEAP-PEAP start
EAP-TLS Client Hello
EAP-TLS Server Hello
EAP-TLS Certificate
EAP TLS Server Hello DoneEAP-TLS Server Hello Done
EAP-TLS ClientKeyExchange
EAP-TLS ChangeCipherSpecg p p
EAP-TLS Fin
EAP-TLS ChangeCipherSpecMK MK
EAP-TLS Fin
Autentificación por EAP-MSCHAPv2
45
Fase 2: PEAPv0/EAPFase 2: PEAPv0/EAP--MSCHAPv2 (MSCHAPv2 (fase MSCHAPfase MSCHAP))
802 1 Cli t A th ti t Authentication
EAPoL RADIUSUsuarioy clave
Usuarioy clave
802.1x Clients Authenticator AuthenticationServer
Id sesión + SNonce
Nombre Cliente + ANonce + Código ClienteNombre Cliente + ANonce + Código Cliente
Código Cliente = HASH (SNonce||ANonce||Id Sesión||Clave)
Verificado OK
Verificaidentidaddel cliente
HASH(SNonce||ANonce||Código Cliente||Clave)
Verificado OK
Verificaidentidad
del servidor e cado O
Derivación de la MK Derivación de la MK
Aceptación RADIUSÉxito 802.1x/EAPoL
Aceptación RADIUS (Distribución de la MK-fase 3, 802.11i)
46
Fases siguientesFases siguientes
• A continuación vendrían las Fases 3 y 4 SonA continuación vendrían las Fases 3 y 4. Son idénticas al caso ya visto de las redes SOHO.
• La diferencia fundamental radica en que en la fase 3 se utiliza la MK (derivada del túnel TLS) en lugar de la PSK.
47
WPA / WPAWPA / WPA--PSKPSKWPA (Para redes con autentificación):-Con Servidor de Autentificación.Con Servidor de Autentificación.-Cifrado RC4 mejorado con una clave para cada paquete: TKIP
(Temporal Key Integrity Protocol)-Compatible en hardware con dispositivos
anteriores actualizándoles el firmware.WPA PSK (R d i t tifi ió )WPA-PSK (Redes sin autentificación):-Sin Servidor de Autentificación.Cifrado RC4 mejorado con una clave para cada paquete: TKIP-Cifrado RC4 mejorado con una clave para cada paquete: TKIP
(Temporal Key Integrity Protocol)-Compatible en hardware con dispositivosCompatible en hardware con dispositivos
anteriores actualizándoles el firmware.
48
WPA2 / WPA2WPA2 / WPA2--PSKPSKWPA2 (Para redes con autentificación):Con Servidor de Autentificación-Con Servidor de Autentificación.
-Cifrado CCMP: AES con una clave de 128 bits.-No es compatible en hardware con dispositivos anteriores.No es compatible en hardware con dispositivos anteriores.
WPA2-PSK (Redes sin autentificación):( )-Sin Servidor de Autentificación.-Cifrado CCMP: AES con una clave de 128 bits.-No es compatible en hardware con dispositivos anteriores.
49
Debilidades WPA / WPA2Debilidades WPA / WPA2-Cuando se utiliza PSK, y no la autentificación 802.1x.-PSK=PMK, si se conoce PMK se sabe PSK.-Capturando los 4 mensajes de 4-Way-handsake.
-En el primero va el ANonce y en el segundo el SNonce y unMIC calculado con la KCKMIC calculado con la KCK.
-Con un ataque por diccionario se puede ir probando PSK’s,obtener, por cálculo la KCK y regenerar el MIC del segundoobtener, por cálculo la KCK y regenerar el MIC del segundomensaje hasta que, por comparación, le coincida con el que hacapturado. Cuando sea así se obtendrá la clave PSK.
-Si se utiliza 802.1x La MK es distinta para cada sesión, si se averigua una no sirve para las demás sesiones.
Si la fase de autenticación ya ha sido realizada se desasocia al-Si la fase de autenticación ya ha sido realizada se desasocia al cliente con aireplay (o con void11), para que al volver a
asociarse se puedan capturar los mensajes del 4-way-handsake.
50
p p j y
DEBILIDADES DEBILIDADES SSAJENAS A LA AJENAS A LA
802.11i802.11i
51
Modos de funcionamiento de la tarjetaModos de funcionamiento de la tarjeta
Distintos modos de funcionamiento:
MODO AP (MASTER), funcionalidad de Punto de Acceso
MODO MANAGED (CLIENTE), en infraestructura
MODO AD HOC redes a medidaMODO AD-HOC, redes a medida
MODO MONITOR (RFMON), Escucha de tramas en d l l i h b id i ltodos los canales, si se hace un barrido secuencial o en
uno en particular.
52
Desasociación falsaDesasociación falsa
Asociada
Petición de desasociación suplantando la dirección MAC del AP.
Se repite n veces por segundo.
I it bl !I it bl !Estación en modo AP (Master)
Si se dirige a la dirección de difusión se deniega de servicio toda la red.¡Inevitable!¡Inevitable!
53
Obtención de ESSID en caso de red cerradaObtención de ESSID en caso de red cerrada
Petición de asociación. Se transmite el SSIDAPAPNo transmite el SSID
Asociada
No transmite el SSID en las balizas
Estación en Modo monitor:se escucha el SSID
Petición de desasociación suplantando la
se escucha el SSID
dirección MAC del AP.
Estación en modo AP (Master)
54
Ataque EAPoLAtaque EAPoL-- StartStart
Un atacante puede bloquear un AP enviando una inundación de tramas EAPOL-Start hasta consumir los recursos del AP.
55
Ataque EAPoLAtaque EAPoL--LogoffLogoff
La trama EAPoL – Logoff no es autenticada. Un atacante envía esta trama simulando ser la estación asociada. Se produce un DoS.
56
FINFIN
57