1. Lección 02
Understanding WLAN Security
Revisión
El beneficio mas tangible de las Wireless es la Reducción del costo. En adición al
incremento de la productividad, las Wireless LANs (WLANs) incrementa la calidad del
trabajo. Sin embargo, una simple brecha resultante desde un simple acces point inseguro
puederesultar muy negativo a la seguridad de una red corporativa y aun puede conducir a la
ruina a una organización. Esto es muy importante para comprender los riesgos de la
seguridad de las WLANs y cómo se pueden reducir estos riesgos.
Objetivos
Al completar esta lección, será capaz de describir los aspectos de la seguridad WLAN y las
nuevas formas de incrementar la seguridad WLAN. Esta capacidad incluye el logro de los
siguientes objetivos:
Describe las amenazas mas comunes a los servicios WLAN.
Describe los métodos de mitigación de las amenazas a la seguridad WLAN.
Describe la evolución de la seguridad WLAN.
Describe los procesos de asociación de clientes inalámbricos.
Describe cómo IEEE 802.1X proporciona seguridad adicional WLAN.
Describe los modos de WPA y WPA2.
2. WLAN Security Threats
Este tópico describe las amenazas mas comunes a los servicios WLAN.
Con la reducción de los costos en los sistemas de IEEE 802.11b/g, esinevitable que los
hackerstienen muchasmásredes WLANsin garantíaentre los que elegir. Los incidenteshan
sido reportadosde personas que utilizanmuchas aplicacionesde código abierto pararecoger
yaprovechar las vulnerabilidades de los mecanismos de seguridad del estándar IEEE
802.11, Wired Equivalent Privacy (WEP). Sniffersinalámbricospermiten a los ingenierosde
red capturarpasivamentelos paquetes de datospara que puedanser examinadospara
corregirproblemas del sistema. Estos mismos sniffers pueden ser utilizados por los hackers
para explotar las debilidades conocidas de la seguridad.
“War driving” (Escaneo de señales), originalmente significaba que usando un celular se
lograba escanear dispositivos y encontrar los números de teléfono para explotar. War
driving ahora también significa conseguir con un ordenador portátil y una tarjeta cliente
802.11b/g para encontrar sistemas 802.11 b/g y explotarlos.
Más dispositivos inalámbricos que se venden hoy en dia son WLAN ready. Los usuarios
finalesno suelencambiar la configuración predeterminada o ellos implementan solamente
seguridad WEP, la cual no es óptima para seguridad de redes inalámbricas. Con la
activación de encriptación WEP básica (o, obviamente, con la no encriptación), es
posiblerecopilar datosy obtener informaciónsensiblede la red como la información del login
de un usuario, números de cuentas y records personales.
Un puntode acceso no autorizadoes un punto deacceso no autorizadoque se conectaa la red
corporativa. Si un punto de acceso no autorizado es programado con la clave WEP correcta,
los datos del cliente pueden ser capturados.
3. Un punto de acceso no autorizado podría también estar configurado para proporcionar
información de usuarios no autorizados, como las MAC address de clientes (inalámbricos y
cableados) o para capturar y espiar paquetes de datos.
En el peor de los casos un punto de acceso no autorizado puede estar configurado para
ganar el acceso a servidores y archivos. Una simple y comun versión de este punto de
acceso no autorizado es una instalación por empleados con autorización. Los puntos
deacceso de los empleadosqueestán destinadospara uso doméstico yse configuran sin la
debida seguridad pueden causar riesgos a la seguridad de la red empresarial.
4. Mitigating Security Threats
Este tópico describe cómo se mitigan las amenazas de seguridad a servicios WLAN.
Para asegurar una WLAN, se requiere de los siguientes pasos:
Autenticación, para asegurar que los clientes y usuarios legítimos accedan a la red
via punto de acceso de confianza.
Encriptación, para proporcionar privacidad y confidencialidad.
Sistemas de Detección de Intrusos (IDSs) y Sistemas de Prevención de Intrusos
(IPSs), para proteger de los riesgos de seguridfad y disponibilidad.
La solución fundamental para seguridad inalámbrica es la Autenticación y la
Encriptación para proteger la transmisión inalámbrica de datos. Estas dos soluciones
de seguridad inalámbrica pueden implementarse en grados; sin embargo, ambas se
aplican tanto a small office, home office (SOHO) como a redes inalámbricas de
empresas grandes. Las redes inalámbricas de las empresas grandes necesitarán de
seguridad adicional que es ofrecuida por un monitor IPS. IPSs actuales no solo
pueden detectar ataques a las redes inalámbricas, ellos también proveen protección
básica contra clientes y puntos de acceso no autorizados. Muchas redes
empresariales usan IPSs para protección no del todo contra las amenazas externas,
pero principalmente contra puntos de acceso mal intencionados que son instalados
por los empleados que desean la movilidad y los beneficios de las wireless.
5. Evolution of WLAN Security
Casi tan pronto comolas primeras normasse establecieronWLAN, los Hackers comenzaron
a tratar deexplotar los puntos débiles. Para hacer frente aesta amenaza, los estándares
evolucionaron para proporcionar una mayor seguridad. Este tópico describe la evolución de
la seguridad WLAN.
Esta figura muestra la evolución de la seguridad LAN.
Inicialmente, la seguridad de 802.11 definía solamente claves WEP estática de 64 bits para
ambas encriptación y autenticación. El contenido actual de la clave de 64 bits, 40 bits de
clave más 24 de vector de inicialización. El método de autenticación no fue potenciado.
Autenticación abierta y claves compartidas es soportado. La autenticación abiertapermite la
asociaciónde cualquier cliente inalámbrico. La Autenticación de clave compartida permite
la autenticación de sólo clientes inalámbricos seleccionados, peroel texto de desafíoseenvía
sin cifrar. Esta es la principal razón por la que la autenticación de clave compartida no es
segura. Otro problema con elcifrado de clavesWEPes que las llavesestaban
comprometidascon el tiempo. Las claves fueron administradas estáticamente y este método
de seguridad no fue escalable para entornos de empresas grandes.Las empresas trataron
decontrarrestaresta debilidadcon técnicas como elfiltrado de direcciones MAC.
El SSID es el nombre de la red, parámetro y esquema configurable que el cliente y el
Access point deben compartir. Si el Access Point es configurado para Broadcast su SSID, el
cliente que está asociado con el Access Point esta usando el SSID que es advertido por el
Access Point. Un Access Point puede ser configurado para no Broadcast el SSID (llamado
SSID cloaking) para proporcionar un primer nivel de seguridad. La creencia fue que si el
6. Access Point no se anuncia, será más difícil de encontrar para los hackers. Para permitir al
cliente el aprendizaje del SSID del Access Point, 802.11 permiten a los clientes
inalámbricos el uso de un valor nulo (es decir,no hay ningún valorintroducido en el
campoSSID), por tanto, se solicita queel puntode acceso difundasu SSID. Sin embargo, esta
técnica hace que el esfuerzo de la seguridad sea no efectivo debido a que los hackers
necesitan solamente enviar una cadena nula hasta ellos para encontrar un Access Point. Los
Access Point soportan filtrado usando una MAC address. Las
tablassonconstruidasmanualmenteenel punto de accesopara permitira los clientesque se
basan ensu dirección dehardware físico. Sin embargo, las direcciones MAC son fácilmente
falsificadas y el Filtrado MAC address no es considerado una seguridad de futuro.
Mientras que las comunidades comenzaron el proceso de mejora de la seguridad WLAN,
los clientes de las empresas inalámbricas necesitaban inmediatamente seguridad para
activar sus despliegues. Impulsado por la demanda de los clientes, Cisco introdujo
tempranamente mejoras en las propiedades para RC4 basado en encriptación WEP. Cisco
implementó el Protocolo Temporal de Integración de Claves Cisco (CKIP) claves por
paquete o hashing, y Chequeo de Integridad de Mensaje Cisco (Cisco MIC) para proteger
claves WEP. Cisco también adoptó 802.1X protocolo de autenticación con cable para
inalámbrico y claves dinámicas usando Cisco Protocolo de Autenticación Extensivo Ligero
(Cisco LEAP) para una base de datos centralizada. Este enfoque esta basado en el IEEE
802.11 tarea de grupo i end – to – end trama usando 802.1X y el Protocolo de
Autenticación Extensible (EAP) para proporcionar estas mejoras funcionales. Cisco ha
incorporado 802.1X y EAP en la solución para WLAN, la suite Cisco Wireless Security.
Numerosos tipos de EAP están disponibles hoy en dia para autenticación de usuarios sobre
redes con cables e inalámbricas.
En la actualidad se incluyen los siguientes tipos de EAP:
EAP – Cisco Wireless (LEAP)
EAP – Transport Layer Security (EAP-TLS)
Protected EAP (PEAP)
EAP – Tunneled TLS (EAP-TTLS)
EAP-Suscriber Identity Module (EAP-SIM)
En la Arquitectura Inalámbrica Cisco SAFE, LEAP, EAP-TLS y PEAP fueron probados y
documentados como protocolos de autenticación EAP mutuos viables para el despliegue de
las WLAN.
Poco después de la implementación de seguridad inalámbrica Cusco, la Wi-Fi Alliance
introdujo Wi-Fi Protected Access (WPA) como una solución interina. WPA fue un
subconjunto de las experiencias del estándar de seguridad IEEE 802.11i para WLANs
utilizando Autenticación 802.1X y mejoras para encriptación WEP. Lo mas nuevo de TKIP
tiene implementación de seguridad parecida a las implementaciones que son provistas por
Cisco (CKIP) pero estas tres implementaciones no son compatibles.
Hoy en día, 802.11i ha sido ratificado y los estándares de Encriptación Avanzad (AES) han
reemplazado a WEP como el último y más seguro método de encriptación de datos.
Wireless IDSs están disponibles para identificar ataques y proteger las WLAN desde ellas.
La Wi-Fi Alliance certifica dispositivos 802.11i bajo Wi-Fi Protected Access 2 (WPA2).
7. Wireless Client Association
Este tópico describe el proceso de asociación de clientes inalámbricos.
En el proceso de asociación de clientes inalámbricos, el Access Point envía una baliza
anunciando uno o mas SSID, tasa de datos y otra información. El cliente escanea todos los
canales y escucha por señales y respuestas desde el Access Point. Se asocia el clienteal
punto de accesoque tienela señal más fuerte. Si la señal llegara a decaer, el cliente repite el
escaneo para asociarse con otro Access Point. Este proceso es llamado “roaming”. Durante
la asociación, el SSID, la MAC address y la configuración de seguridad son enviadas desde
el cliente hacia el Access Point y es comprobado por el Access Point.
La asociación de un cliente inalámbrico para un Access Point seleccionado es actualmente
el segundo paso en un proceso de dos pasos. Primero, la autenticación, luego la asociación,
debe ocurrir antes de que un cliente 802.11 pueda pasar tráfico a través del Access Point a
otro host de la red. La autenticación del cliente en este proceso inicial no es el mismo que el
de autenticación de red (que es ingresando un nombre de usuario y password para ganar
acceso a la red). La autenticación del cliente es simplemente el primer paso (seguidopor la
asociación) entre el cliente inalámbrico y el Access Point y simplemente establece la
comunicación. El estándar 802.11 tiene especificado solamente dos métodos de
autenticación: autenticación abierta y autenticación de clave compartida. La autenticación
abierta es simplemente el intercambio de cuatro paquetes tipo “hello”simplementeconningún
clienteo la verificacióndel punto de accesopara permitirla facilidad de conectividad. La
autenticación de clave compartida usa una clave WEP estática que es conocida entre el cliente y el
Access Point para verificación. Esta misma clave puede ser utilizada para encriptar el paso del dato
actual entre clientes inalámbricos y el Access Point.
8. How 802.1X Works on WLANs
Este tópico describe cómo 802.1X proporciona seguridad adicional a las WLAN
El Access Point actúa como un autenticador en la frontera de la empresa, permite al cliente
la asociación utilizando autenticación abierta. El Access Point luego encapsula todo el
tráfico que es obligado por el servidor AAA (Autenticación, Autorización y Accounting) y
envía esto al servidor. El resto del tráfico de la red es bloqueado, significa que todos los
otros intentos para acceder a los recursos de red son paralizados.
Después de recibir el tráfico que es originado por el cliente, el Access Point encapsula esto
y lo envía la información al cliente. Aunque el servidor autentica al cliente como un usuario
válido de la red, este proceso permite al cliente para validar al servidor también, asegurando
que el cliente no se logee en un servidor falso.
Mientras que una red empresarial utilizará una autenticación centralizada en servidor, las
oficinas pequeñas o los negocios podrían simplemente utilizar el Access Point como un
servidor de Autenticación para clientes inalámbricos.
9. WPA AND WPA2 Modes
Este tópico describe los modos de Wi-Fi Protected Access (WPA) y Wi-Fi Protected
Access 2 (WPA2).
WPA proporciona soporte de autenticación vía 802.1X y clave pre compartida (PSK).
802.1X es recomendado para el despliegue de las empresas. WPA proporciona soporte de
encriptación vía TKIP. TKIP incluye MIC y claves por paquetes (PPK) via vector de
inicialización hashing y rotación de clave de broadcast.
WPA2 (estándar 802.11i) usa la misma arquitectura de autenticación, distribución de clave
y técnicas de renovación de claves como WPA. Sin embargo, WPA2 agrega mejor
encriptación llamada AES-Counter con Protocolo CBC-MAC (AES-CCMP). AES-CCMP
usa dos técnicas de criptografías combinadas. Una es el modo de contador y el segundo es
CBC-MAC. AES-CCMP proporciona un protocolo de seguridad robusto entre los clientes
inalámbricos y los Access Point.
Nota: AES es una criptografía cifrada que utiliza una longitud de bloque de 128 bits y
longitud de clave de 128, 192 o 256 bits.
Modo Contador es un modo de operación. Modo Contador utiliza un numero que cambia
con cada bloque de texto encriptado. El numero es llamado el Contador. El contador es
encriptado con la cifra y el resultado entra en el texto cifrado. El Contador cambia por cada
bloque y el texto cifrado no es repetido.
Cipher Block Chaining-Message Authentication Code (CBC-MAC) es un método de
mensaje integral. El método usa bloque cifrado como AES. Cada bloque de texto plano es
encriptado con la cifra y luego con una operación AND exclusiva es conducido entre el
primer y segundo bloque encriptado. Una operación XOR es luego corrida entre este
resultado y el tercer bloque, etc.
10. Enterprise Mode
Es un término utilizado por productos que son probados para interoperar entre los modos
de operación de autenticación PSK y 802.1X Pprotocolo de Autenticación Extendida
(EAP). Cuando 802.1X es usado, una Autenticación, una Autorización y una Accounting
(AAA) servidor es requerido para optimizar la autenticación también como clave y
administrador de usuario. El Modo empresarial es dirigido para entornos empresariales.
Personal Mode
Es un término utilizado para productos que son probados para interoperar solamente en el
modo de operación para autenticación PSK. Esto requiere configuración manual de un PSK
sobre el Access Point y los clientes. El usuario se autentica con PSK via un password, o
código de identificación sobre ambos la estación cliente y el Access Point. No necesita
servidor de Autenticación. Modo personal esta dirigido a entornos SOHO.
11. La Encriptación es el proceso de transformación de la información del texto plano para que
no pueda ser leído por nadie excepto por quienes tienen la clave. El algortimo que es
utilizado para encriptar la información es llamado cipher y el resultado es el texto cifrado.
La Encriptación es ahora comunmente usada en la protección de la información en
implementaciones WLAN. La Encriptación es también utilizada para proteger los datos en
tránsito. Datos en tránsito que pueden ser interceptados y la encriptación es una opción para
su proteción.
Las claves WEP fueron la primera solución para encriptar y desencriptar transmisión de
datos WLAN. Varias investigaciones y artículos han resaltado las vulnerabilidades
potenciales de las claves WEP estáticas. Una mejora de las claves WEP estáticas fueron las
claves WEP dinámicas en combinación con autenticación 802.1X. sin embargo, los
Hackers tienen accesos a herramientas para conocer claves WEP.
Varios mejoramientos para claves WEP fueron proporcionados. Estas mejoras WEP fueron
TKIP, soporte para MIC, clave hashing por paquete y rotación de clave Broadcast. TKIP es
un conjunto de mejoras de software para WEP basado en RC4. Cisco tiene una
implementación propia de TKIP para comenzar. Esto fue un tiempo referido como un Cisco
TKIP. En el 2002, 802.11i finalizó la especificación para TKIP y la Wi-Fi Alliance anunció
que estaba siendo TKIP un componente de WPA. Cisco TKIP y el WPA TKI ambos
incluyen claves por paquetes y chequeo de integridad de mensajes. Una debilidad existe en
TKIP, sin embargo, este puede permitir un ataque de desencriptación de paquetes
sobredeterminadas circunstancias.
Una mejora para TKIP es el Estándar de Encriptación Avanzada (AES). AES es una
alternativa potente para la encriptación de algoritmo RC4. AES es un algoritmo de
encriptación mas seguro y ha sido estimado y aceptado por el gobierno de USA para la
encriptación de ambos tipos de datos clasificados y no clasificados. AES es actualmente el
mayor estándar de encriptación y reemplaza a WEP. AES ha sido desarrollado para
reemplazar el estándar de encriptación de datos (DES). AES ofrece un largo tamaño de
clave, mientras que asegura que solamente el acercamiento conocido para desencriptar un
mensaje es por un agente externo intruso para probar todas las claves posibles. AES tiene
una clave variable cuya longitud de algoritmo puede especificar una clave de 128 bits (por
12. defecto), una clave de 192 bits o clave de 256 bits. El uso de WPA2 con AES es
recomendado en todo momento posible. Esto, sin embargo requiere de un mayor consumo
de recursos y requiere de nuevo hardware comparado con las implementaciones simples de
WEP o TKIP.
Si un cliente no soporta WPA2 con AES merecido por la edad del hardware o ausencia de
los driver compatible, una VPN puede ser una buena solución para seguridad de la
conexión del cliente sobre el aire. Seguridad IP (IPsec) y Secuire Sockets Layer (SSL)
VPNs proporciona un nivel similar de seguridad como WPA2. IPsec VPNs son los
servicios que están definidos dentro de IPsec para asegurar la confidencialidad, integridad y
autenticidad de las comunicaciones de datos entre redes públicas, como la Internet.
IPsec también tiene una aplicación práctica para asegurar WLANs por revestimiento IPsec
en adición para tráfico inalámbrico de texto plano 802.11. IPsec proporciona confiabilidad
de tráfico IP , asimismo como autenticación y capacidades antirepetitivas. La confiabilidad
es conseguida a través de la encriptación usando una variante de DES, llamado Triple DES
(3DES) o el nuvo AES.