Este art\u00edculo tratar\u00e1 de explicar c\u00f3mo funcionan las redes Wireless basadas en 802.11g y 802.11i y en particular se centrar\u00e1 en el est\u00e1ndar de protecci\u00f3n WPA2 basado en EAP y que dar\u00e1 la base para un segundo art\u00edculo donde se muestra un ejemplo pr\u00e1ctico de configuraci\u00f3n.<\/p>\n
Antes de entrar en harina comentar que la informaci\u00f3n se ha obtenido de varias fuentes, de la experiencia propia y de compa\u00f1eros y amigos de profesi\u00f3n y en particular del documentos “(In)seguridad en redes 802.11b”, sirva, esto \u00faltimo, como homenaje al documento que cay\u00f3 en mis manos hace muchos a\u00f1os y me introdujo en la seguridad de este mundillo sin cables.La naturaleza de las redes wireless hace que cualquier persona pueda tener acceso a los datos que son enviados, debido a que estos utilizan como medio de transmisi\u00f3n el aire (ondas electromagn\u00e9ticas). Esto plantea un problema a\u00f1adido con respecto al cable. Para tener acceso a los datos transmitidos por cable se ha de tener acceso al mismo o a los dispositivos asociados. Para las redes wireless no es necesario, basta con que la se\u00f1al viaje hasta nosotros.<\/p>\n
Por tanto teniendo en cuenta esta perspectiva se han de implementar los mecanismos necesarios para mantener el nivel de seguridad que se requieren en muchos proyectos.<\/p>\n
Actualmente existen varios est\u00e1ndares para la implementaci\u00f3n de redes inal\u00e1mbricas. En este documento se va a escoger el m\u00e1s extendido en Europa, 802.11b y 802.11i. La velocidad m\u00e1xima de transmisi\u00f3n que permite el est\u00e1ndar es de 54 Mbps, aunque para que \u00e9sta se produzca se deben mantenerse unas condiciones \u00f3ptimas (como apunte decir que el est\u00e1ndar 802.11n tiene un l\u00edmite te\u00f3rico de que puede llegar hasta 600 Mbps). Se debe tener en cuenta que a mayor distancia entre el emisor y el receptor menor velocidad de transmisi\u00f3n. Otro problema que se puede plantear son los elementos intermedios que pueden interferir en la se\u00f1al, como pueden ser paredes, campos magn\u00e9ticos o electr\u00f3nicos, etc. El est\u00e1ndar 802.11b utiliza la frecuencia 2.4 Ghz que es la misma que utilizan otros dispositivos m\u00f3viles, como GPS, Bluetooth, etc. Esto puede incidir (para mal) en la calidad de la se\u00f1al. Las interferencias hace que se reduzca la velocidad.<\/p>\n
Otro aspecto que puede producir reducci\u00f3n de la transmisi\u00f3n es la saturaci\u00f3n del espectro debido al n\u00famero de usuarios.<\/p>\n
Por \u00faltimo comentar que existen dos tipos de antenas, omni-direccionales y direccionales. En las primeras, la emisi\u00f3n de la onda se produce en todas las direcciones, a discreci\u00f3n, \u00fatil para entornos abiertos donde la ubicaci\u00f3n de las estaciones no est\u00e1 definida o es susceptible de ocupar cualquier situaci\u00f3n f\u00edsica. El segundo tipo dirige la se\u00f1al a un punto determinado, fuera del mismo la se\u00f1al no es “audible”. Ideal para conectar dos puntos.<\/p>\n
Las redes wireless pueden funcionar de dos modos (topolog\u00edas) diferentes.
\n\u2022Ad hoc: No hay ning\u00fan dispositivo de control. Directamente se conectan las estaciones entre si (peer-to-peer). La cobertura est\u00e1 limitada por el alcance de cada estaci\u00f3n.
\n \u2022Infraestructura: Hay un dispositivo central de gesti\u00f3n denominado Punto de Acceso. Todo el tr\u00e1fico pasa por este dispositivo (a modo de hub) y la limitaci\u00f3n de la cobertura la marca el Punto de Acceso y todas las estaciones deben poder verlo.
\n\u2022Redes Mesh: S\u00f3lo a t\u00edtulo informativo. Hay un modo de transmisi\u00f3n (desarrollado en entornos militares) que utilizan las dos topolog\u00edas anteriormente descritas. Su cometido es poder llegar hasta nodos o estaciones que no son capaces de verse directamente. Por tanto se utiliza una topolog\u00eda en malla (de ah\u00ed que se denominen redes acopladas) por la que los mensajes son transmitidos directamente entre las estaciones aunque est\u00e1s no est\u00e9n gestionadas por el mismo Punto de Acceso.<\/p>\n
Como se ha visto en el apartado anterior, existen dos elementos que se repetir\u00e1n a lo largo del documento, Punto de Acceso (o Access Point) y estaci\u00f3n (a partir de ahora cliente).<\/p>\n
Para que un cliente se asocie a un Punto de Acceso debe autenticarse primero y asociarse despu\u00e9s. Para que todo esto se produzca, el Punto de Acceso emite Beacom Frames con una frecuencia determinada con el SSID (Service Set IDentifier) o bien el Cliente puede enviar “Prove Request” con un determinada SSID, aquel Punto de Acceso que tenga el SSID responder\u00e1 a la petici\u00f3n. Una vez identificado el Punto de Acceso, se pasa al estado de autenticaci\u00f3n mediante los siguientes m\u00e9todos:
\n\u2022OSA (Open System Authentication): Es un proceso de autenticaci\u00f3n nulo, las tramas se env\u00edan en texto plano aun teniendo activado cualquier cifrado
\n \u2022SKA (Shared Key Authentication): Este m\u00e9todo utiliza una clave compartida entre el Punto de Acceso y el cliente. El cliente env\u00eda un Authentication Request, el Punto de Acceso responde con un Authentication Challenge. El cliente a su vez, responde con un Authentication Response (cifrado) y finalmente el Punto de Acceso responde con Authentication Result. Es dentro del SKA donde se pueden utilizar los diferentes sistemas de cifrados existente para redes Wireless.
\n \u2022WEP (Wired Equivalent Privacy): De sobra conocido. No se va a hacer m\u00e1s menci\u00f3n del mismo por ser inseguro.
\n \u2022WPA (Wired Protected Access): Naci\u00f3 para paliar las deficiencias de seguridad de WEP. Est\u00e1 a medio camino entre el sistema WEP y el sistema WPA2, versi\u00f3n certificada del est\u00e1ndar 802.11i.
\n \u2022WPA 2 (Wired Protected Access 2): Sistema de cifrado creado a partir del WPA y que corrige vulnerabilidades del anterior.<\/p>\n
EST\u00c1NDAR WPA2 (basado en EAP)<\/p>\n
Directamente se va a pasar a describir el sistema WPA2 (802.11i) de autenticaci\u00f3n. Huelga decir que no se describen ni WEP ni WPA por encontrarse bastantes vulnerabilidadesm, sobre todo, en el primer caso y porque WPA es parte de la implementaci\u00f3n de WPA2.<\/p>\n
El protocolo est\u00e1 basado en la capa 2 del est\u00e1ndar OSI y describe el modo de autenticaci\u00f3n basado en EAP (Extensible Authentication Protocol). Define tres elementos: <\/p>\n
\u2022Suplicante: Es el elemento que solicita la autenticaci\u00f3n. Generalmente el Cliente.
\n \u2022Autenticador: Elemento al que se conectar\u00e1 el suplicante. Pasa la informaci\u00f3n al servidor de autenticaci\u00f3n. Generalmente el Punto de Acceso.
\n \u2022Servidor de autenticaci\u00f3n: Elemento que eval\u00faa la autenticaci\u00f3n del suplicante enviando una respuesta al autenticador. En este caso ser\u00e1 un servidor RADIUS.<\/p>\n
El protocolo EAP (que es una estructura de soporte, no un mecanismo espec\u00edfico de autenticaci\u00f3n) puede transportar diferentes protocolos de autenticaci\u00f3n, como TLS (Transport Layer Security), TTLS (Tunnel Transport Layer Security), MD5 (Message Digest 5), PEAP (Protected EAP), LEAP (Lightweight EAP), etc.<\/p>\n
Definici\u00f3n de los tipos de mensajes de intercambio:
\n\u2022Request: Petici\u00f3n desde el Punto de Acceso al cliente
\n \u2022Response: Mensaje del cliente al Punto de Acceso
\n \u2022Success: Autorizaci\u00f3n del acceso
\n \u2022Failure: Denegaci\u00f3n del acceso.<\/p>\n
El transporte de los mensajes se realiza a trav\u00e9s del protocolo EALPOL (EAL over LAN), protocolo desarrollado para entornos Ethernet. En dicho protocolo se pueden encontrar cinco tipos de mensajes:
\n\u2022Start: El cliente env\u00eda, a la direcci\u00f3n MAC multicast, a la espera de que el Punto de Acceso responsa.
\n \u2022Key: Una vez obtenido el acceso, el Punto de Acceso usa este mensaje para enviar las claves al cliente.
\n \u2022Packet: Los mensaje EAL que son transmitidos se encapsulan en este mensaje EALPOL
\n \u2022Logoff: Mensaje de desconexi\u00f3n enviado por el cliente
\n \u2022Encapsulated-ASF-Alert: No utilizado en la actualidad.<\/p>\n
EAP-TLS est\u00e1 basado en el uso de certificado digitales X.509 para la autenticaci\u00f3n del cliente y del servidor. En el protocolo TTLS, s\u00f3lo se autentica el cliente.<\/p>\n
WPA2 tiene dos modos de funcionamiento:
\n\u2022WPA2-ENTERPRISE: basado en el protocolo 802.1x explicado anteriormente, que utiliza los tres elementos ya descritos (suplicante, autenticador, servidor de autenticaci\u00f3n).
\n \u2022WPA2-PSK (Pre-Share Key): Pensado para entornos personales, evita el uso de dispositivos externos de autenticaci\u00f3n. Se han descrito ataques off-line contra los mismos basado en ataques de diccionarios o contrase\u00f1as d\u00e9biles.<\/p>\n
La gesti\u00f3n de claves en el protocolo WPA2 en modo ENTERPRISE se realiza siguiendo las siguientes pautas:<\/p>\n
Tanto el servidor de autenticaci\u00f3n como el suplicante generan dos claves aleatorias denominadas PMK (Pairwise Master Key) durante la fase de autorizaci\u00f3n y autenticaci\u00f3n de 802.1x. Una vez finalizada la fase de autenticaci\u00f3n, el servidor de autenticaci\u00f3n y el cliente tienen PMK id\u00e9nticas, pero el Punto de Acceso no, por lo tanto a trav\u00e9s del uso de RADIUS copia la clave del servidor de autenticaci\u00f3n al Punto de Acceso. El protocolo no especifica el m\u00e9todo de env\u00edo de la clave entre ambos dispositivos.<\/p>\n
Llegados hasta este punto a\u00fan no se permite la comunicaci\u00f3n si no que deben generar nuevas claves, en funci\u00f3n de la PMK, para ser usadas en relaci\u00f3n al cifrado y a la integridad, formando un grupo de cuatro claves llamado PTK (Pairwise Transient Key) con una longitud de 512 bits.<\/p>\n
Para asegurar el tr\u00e1fico broadcast, se crea claves de grupos de 256 bits llamadas GMK (Group Master Key) usado para crear la GEK (Group Encryption Key) y la GIK (Group Integrity Key) de 128 bits de longitud cada una. Las cuatro claves forman GTK (Group Transient Key).<\/p>\n
La \u00faltima parte es demostrar que el Punto de Acceso tiene PMK id\u00e9ntico, para ello lo valida el servidor de autenticaci\u00f3n.
\nEste proceso se realiza cada vez que es asociado un cliente con un Punto de Acceso.
\nFuente: Security By Default <\/p>\n