Manual de seguridad WEP

Estado
Cerrado para nuevas respuestas

mda_caz

Ex- Mod
Miembro
Manual de seguridad WEP

La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.

El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.

Conscientes de este problema, el IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i, que permitiera dotar de suficiente seguridad a las redes WLAN. El problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación fue para fines del 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación (por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algúnos entornos, a las redes WLAN.

No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi decidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA.

Con este articulo, se pretende ilustrar las características, funcionamiento, aplicaciones, fallas y alternativas del protocolo de seguridad WEP.
 

mda_caz

Ex- Mod
Miembro
Definición

WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptación estándar implementado en la MAC y soportado por la mayoría de las soluciones inalámbricas. En ningún caso es compatible con IPSec.

Estándar

El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto de servicios avanzados, la autenticación puede realizarse mediante un sistema abierto o mediante clave compartida. Una estación de red que reciba una solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas que estén incluidas en una lista predefinida. En un sistema de clave compartida, sólo aquellas estaciones que posean una llave cifrada serán autenticadas.

El estándar 802.11 especifica una capacidad opcional de cifrado denominada WEP (Wireless Equivalent Privacy); su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire.

Aunque los sistemas WLAN pueden resistir las escuchas ilegales pasivas, la única forma efectiva de prevenir que alguien pueda comprometer los datos transmitidos consiste en utilizar mecanismos de cifrado. El propósito de WEP es garantizar que los sistemas WLAN dispongan de un nivel de confidencialidad equivalente al de las redes LAN cableadas, mediante el cifrado de los datos que son transportados por las señales de radio. Un propósito secundario de WEP es el de evitar que usuarios no autorizados puedan acceder a las redes WLAN (es decir, proporcionar autenticación). Este propósito secundario no está enunciado de manera explícita en el estándar 802.11, pero se considera una importante característica del algoritmo WEP.

WEP es un elemento crítico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estándar 802.11, así como para proporcionar control de acceso mediante mecanismos de autenticación. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como característica estándar opcional.

Cifrado:

WEP utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estándar 802.11 no especifica cómo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado.

Para proteger el texto cifrado frente a modificaciones no autorizadas mientras está en tránsito, WEP aplica un algoritmo de comprobación de integridad (CRC-32) al texto en claro, lo que genera un valor de comprobación de integridad (ICV). Dicho valor de comprobación de integridad se concatena con el texto en claro. El valor de comprobación de integridad es, de hecho, una especie de huella digital del texto en claro. El valor ICV se añade al texto cifrado y se envía al receptor junto con el vector de inicialización. El receptor combina el texto cifrado con el flujo de clave para recuperar el texto en claro. Al aplicar el algoritmo de integridad al texto en claro y comparar la salida con el vector ICV recibido, se puede verificar que el proceso de descifrado ha sido correcto ó que los datos han sido corrompidos. Si los dos valores de ICV son idénticos, el mensaje será autenticado; en otras palabras, las huellas digitales coinciden.

Autenticación:

WEP proporciona dos tipos de autenticación: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN, y una autenticación mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. De los dos niveles, la autenticación mediante clave compartida es el modo seguro. En él se utiliza una clave secreta compartida entre todas las estaciones y puntos de acceso del sistema WLAN. Cuando una estación trata de conectarse con un punto de acceso, éste replica con un texto aleatorio, que constituye el desafío (challenge). La estación debe utilizar la copia de su clave secreta compartida para cifrar el texto de desafío y devolverlo al punto de acceso, con el fin de autenticarse. El punto de acceso descifra la respuesta utilizando la misma clave compartida y compara con el texto de desafío enviado anteriormente. Si los dos textos son idénticos, el punto de acceso envía un mensaje de confirmación a la estación y la acepta dentro de la red. Si la estación no dispone de una clave, o si envía una respuesta incorrecta, el punto de acceso la rechaza, evitando que la estación acceda a la red.

La autenticación mediante clave compartida funciona sólo si está habilitado el cifrado WEP. Si no está habilitado, el sistema revertirá de manera predeterminada al modo de sistema abierto (inseguro), permitiendo en la práctica que cualquier estación que esté situada dentro del rango de cobertura de un punto de acceso pueda conectarse a la red. Esto crea una ventana para que un intruso penetre en el sistema, después de lo cual podrá enviar, recibir, alterar o falsificar mensajes. Es bueno asegurarse de que WEP está habilitado siempre que se requiera un mecanismo de autenticación seguro. Incluso, aunque esté habilitada la autenticación mediante clave compartida, todas las estaciones inalámbricas de un sistema WLAN pueden tener la misma clave compartida, dependiendo de cómo se haya instalado el sistema. En tales redes, no es posible realizar una autenticación individualizada; todos los usuarios, incluyendo los no autorizados, que dispongan de la clave compartida podrán acceder a la red. Esta debilidad puede tener como resultado accesos no autorizados, especialmente si el sistema incluye un gran número de usuarios. Cuantos más usuarios haya, mayor será la probabilidad de que la clave compartida pueda caer en manos inadecuadas.
 

mda_caz

Ex- Mod
Miembro
Características

Según el estándar, WEP debe proporcionar confidencialidad, autentificación y control de acceso en redes WLAN. WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave está almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribución manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría de ocasiones, que la clave se cambie poco o nunca.

Algoritmos

El algoritmo de encriptación utilizado es RC4 con claves (seed), según el estándar, de 64 bits. Estos 64 bits están formados por 24 bits correspondientes al vector de inicialización más 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir manualmente. El vector de inicialización (IV), en cambio, es generado dinámicamente y debería ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con claves diferentes para impedir que un posible atacante pueda capturar suficiente tráfico cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lógico, ambos extremos deben conocer tanto la clave secreta como el IV. Lo primero sabemos ya que es conocido puesto que está almacenado en la configuración de cada elemento de red. El IV, en cambio, se genera en un extremo y se envía en la propia trama al otro extremo, por lo que también será conocido. Observemos que al viajar el IV en cada trama es sencillo de interceptar por un posible atacante.

El algoritmo de encriptación de WEP

1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el método que propone WEP para garantizar la integridad de los mensajes (ICV, Integrity Check Value).

2. Se concatena la clave secreta a continuación del IV formado el seed.

3. El PRNG (Pseudo-Random Number Generator) de RC4 genera una secuencia de caracteres pseudoaleatorios (keystream), a partir del seed, de la misma longitud que los bits obtenidos en el punto 1.

4. Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del punto 3. El resultado es el mensaje cifrado.

5. Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE 802.11.

WEP:

Se puede habilitar o deshabilitar WEP y especificar una clave de encriptación. Wired Equivalent Privacy (WEP) proporciona transmisión de datos "segura". La encriptación puede ser ajustada a 128 bits, 64 bits o deshabilitada. La configuración de 128 bits da el mayor nivel de seguridad. También hay que recordar que todas las estaciones que necesiten comunicarse deben usar la misma clave para generar la llave de encriptación. Actualmente hay más niveles de WEP: 152, 256 y hasta 512 bits!, cuanto más alto es este dato, supuestamente la comunicación es más segura, a costa de perder rendimiento en la red. También decir que este protocolo no es 100% seguro, que hay software dedicado a violar este cifrado, aunque requiere tiempo.

Pues tengo ganas de sacar este pots... a ver si algún@ está de acuerdo?

Diferencias entre WEP y WPA2-PSK ENTRE WEP Y WPA2-PSK

Si queremos aumentar la seguridad de nuestra red wifi podemos usar WPA2-PSK, que es un protocolo de encriptación más robusto que WEP. Basicamente, la diferencia entre un protocolo y otro es que WPA2-PSK soporta una clave de hasta 63 caracteres alfanuméricos, y además, a partir de la pre-shared key que le introducimos, el sistema va generando nuevas claves que transmite al resto de equipos, lo cual dificulta la acción de descifrado. Hay programas capaces de esnifar el tráfico generado en una red encriptada con WEP y a partir de un volumen de datos (sobre los 4 gb) son capaces de descifrar nuestra clave.
Si sustituimos WEP por WPA2-PSK lo que hacemos es cambiar de clave automáticamente cada pocos minutos, lo que supone un plus de seguridad importante.

INCONVENIENTES

- No todos los dispositivos inalámbricos soportan el modo WPA2-PSK.
- Someteremos al router a más carga de trabajo ya que ha de generar constantemente
nuevas claves.
- En las pruebas realizadas, la señal que llega al stick usb es sensiblemente
más débil.

PASOS PREVIOS

Este manual va dirigido a las personas que configuraron con éxito un cifrado WEP y que ya están familiarizadas con los términos que se usan. Lo primero que debemos comprobar es que el stick usb o tarjeta wifi que usemos de cliente soporta el modo WPA2. En el caso que nos atañe, el stick usb que nos viene con el router Comtrend CT536+ no soporta WPA2, por lo que necesitaremos
descargar el driver del fabricante del chipset. Descargaremos el driver de zydas.com Para evitar conflictos de software, desinstalaremos el driver original del stick usb de Comtrend y reniciaremos el pc.

CONFIGURANDO EL ROUTER

La configuración del router es muy sencilla. Hemos de ir a la pestaña Wireless > Security y seleccionar las opciones tal como aparece en la captura


- En Network Autentication seleccionamos WPA2-PSK
- WPA Rekey Group Interval es el intervalo de tiempo (en minutos) en que el router irá generando nuevas contraseñas. Poner menos de 5 minutos no es demasiado razonable.
- En WPA Encryption seleccionar la opción AES (Advanced Encryption System)
- En WEP Encryption seleccionamos DISABLE. Si pusiéramos ENABLE entonces podriamos tener dispositivos funcionando con encriptación WEP y otros con WPA2.

Hemos dejado para el final la clave o WPA PRE-SHARED KEY. Generar una buena clave merece un apartado.

LA CLAVE

WPA2 soporta hasta 63 caracteres. Haremos la clave lo más robusta posible usando letras minúsculas, mayúsculas, números y caracteres. Para generar una clave "dura" facilmente puedes usar una frase, un refrán, un estribillo de una canción que te suene y luego "modificarlo". Una manera sencilla de modificarlo es sustituir las vocales por sus números más parecidos y la vocal a por @. Por ejemplo. Queremos usar como contraseña el refrán que dice "no por mucho madrugar amanece mas temprano". Si cambiamos las vocales por números y símbolos, y los espacios por signos, nos podría quedar la clave así N0_P0r_Much0_M@drug@r_@m@n3c3_M@s_T3mpr@no" Hemos cambiado una frase fácil de recordar por una contraseña durísisima a prueba de ataques por fuerza bruta. En el caso que nos atañe, pondremos la contraseña en el box dedicado a tal fin, y podremos visualizarla en cualquier momento pinchando en "click here to display", opción muy útil para cuando tengamos que escribirla en el resto de dispositivos.


Una vez configurado, aplicaremos los cambios pulsando el botón APPLY.

CONFIGURANDO EL STICK USB

Como ya hemos dicho, el software original del stick usb no soporta WPA2, así que instalaremos el driver de Zydax. RECUERDA que primero es recomendable instalar primero el driver y luego conectar el dispositivo. Una vez hecho esto y reiniciado el ordenador, nos aparece la interface de configuración del dispositivo.


Para configurarlo, pulsaremos en MORE SETTINGS

Ahora seleccionaremos el SSID, la autenticación WPA2-PSK y la encriptación AES, tal como aparece en la captura.


Una vez seleccionadas estas opciones, pulsaremos APPLY

Nos aparece la siguiente pantalla de configuración. Seleccionaremos Protocolo TLS y en Passprase ponemos exactamente la clave que pusimos en el router. La KEY FORMAT ha de ser ASCII. El resto de opciones lo dejamos en blanco


Volvemos a la pantalla inicial y pulsamos en ADVANCED SETTINGS


Solo nos falta seleccionar la opción SPAIN en USER SELECT tal como muestra la captura



Ya solo queda aceptar todos los cambios y ya tendremos una encriptación mucho más robusta en modo WPA2-PSK.

Recordad que solamente faltará filtrar la MAC del dispositivo wifi para hacerla todavia un poquito más segura.

 
Estado
Cerrado para nuevas respuestas
Arriba Pie