Seguridad Wireless

Seguridad en Redes Wireless 802.
11x
Redes de Ordenadores M
oviles
Departamento de Sistemas Telematicos y Computacion (GSyC)
gsyc-profes@gsyc.es
Diciembre de 2009
GSyC - 2009 Seguridad en redes Wireless 802.11x 1

2009
c GSyC
Algunos derechos reservados.
Este trabajo se distribuye bajo la licencia
Creative Commons Attribution Share-Alike 3.0

Contenidos

Introducci
on
Contenidos

Introducci
on
Introduccion
Que es una red Wi-Fi?
Wi-Fi es una marca de la Wi-Fi Alliance

Conjunto de equipos interconectado por dispositivos
inalambricos basados en los estandares IEEE 802.11
Estandares 802.11
802.11a: (5,1-5,2 Ghz, 5,2-5,3 Ghz, 5,7-5,8 GHz), 54 Mbps
802.11b: (2,4-2,485 GHz), 11 Mbps.
802.11g: (2,4-2,485 GHz), 36 o 54 Mbps
802.11n: (2,4 Ghz, 5 GHz), 450 a 600 Mbps
802.11i: Seguridad

Introducci
on
Introduccion a las redes WiFi

Componentes: Punto de Acceso (AP)
Se encarga de interconectar todos los clientes inalambricos.

Normalmente desempe na una funcion dentro de nuestra red:
Router, para conectar (o aislar) diferentes subredes, haciendo
NAT.
Bridge, para conectar diferentes componentes inalambricos al
mismo segmento de red.

Introducci
on
Introduccion
Componentes: Clientes
Es importante conocer el chipset de nuestro dispositivo

inalambrico puesto que determinara las capacidades
hardware/software.
Un factor muy importante a tener en cuenta es el driver que
estemos usando.
Algunos ejemplos: Broadcom, Atheros, Orinoco, Prism,
Ralink, Aironet...

Introducci
on
Introduccion
Topologas
Infraestructura (modos master y managed)

Ad-Hoc (modo ad-hoc)

Seguridad en redes WiFi
Contenidos

Delitos contra el secreto de las comunicaciones
Codigo penal espa

nol:
Artculo 197.1
El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su
consentimiento, se apodere de sus papeles, cartas, mensajes de correo electr onico o
cualesquiera otros documentos o efectos personales o intercepte sus
telecomunicaciones o utilice artificios t
ecnicos de escucha, transmisi on, grabaci
on o
reproduccion del sonido o de la imagen, o de cualquier otra se nal de comunicaci on,
ser
a castigado con las penas de prision de uno a cuatro a nos y multa de doce a
veinticuatro meses.
Artculo 197.2
Las mismas penas se impondr an al que, sin estar autorizado, se apodere, utilice o
modifique, en perjuicio de tercero, datos reservados de car acter personal o familiar de
otro que se hallen registrados en ficheros o soportes inform aticos, electr
onicos o
telematicos, o en cualquier otro tipo de archivo o registro p ublico o privado. Iguales
penas se impondr an a quien, sin estar autorizado, acceda por cualquier medio a los
mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero


Por que es importante la seguridad?
Cualquier red inalambrica debe asegurarnos tres aspectos:

Confidencialidad
Integridad
Autenticidad



Confidencialidad
Integridad
Autenticidad
Que peligro tiene una red inalambrica no securizada?



Confidencialidad
Integridad
Autenticidad
Que peligro tiene una red inalambrica no securizada?
Violacion de la privacidad.
Uso ilegtimo del ancho de banda.
Trafico ofensivo o delictivo del que somos responsables.


C
omo puedo securizar mi red WiFi?
Ocultar ESSID


C
Ocultar ESSID
Filtrado de IP o MAC


C
Ocultar ESSID
Cifrado las comunicaciones: WEP o WPA


C
Ocultar ESSID
Cifrado las comunicaciones: WEP o WPA
Portales cautivos

Ataques a redes WiFi
Contenidos

Ataques WiFi
Detecci
on redes: Ingredientes
Portatil/PDA
Tarjeta Wifi
Antena (recomendable!)
GPS (Opcional)
Sniffer (kismet, AirSnort, NetStumbler...)

Ataques WiFi
Detecci
on: Pasos a seguir
Salir a un espacio abierto (no es obligatorio, pero s muy

recomendable)
Poner la tarjeta en modo monitor
Arrancar el sniffer
Modo monitor
Se trata de un modo especial en el que el dispositivo escucha en un
canal especfico sin enviar paquetes. No todas los dispositivos
aceptan este modo.

Ataques WiFi
Descubrimiento del ESSID oculto
Un cliente se conecta a una red WiFi

Descubrimiento Pasivo: esperamos recibir la senal del AP
(Beacom Frames).
Descubrimiento Activo: el cliente lanza tramas a un AP
determinado. (PROBE REQUEST y PROBE RESPONSE)

Ataques WiFi
Descubrimiento del ESSID oculto
Un cliente se conecta a una red WiFi

Descubrimiento Pasivo: esperamos recibir la senal del AP
(Beacom Frames).
Descubrimiento Activo: el cliente lanza tramas a un AP
determinado. (PROBE REQUEST y PROBE RESPONSE)
Si capturamos un PROBE REQUEST sabremos el ESSID:
S
olo se dan al conectar :-(
Pero podemos desconectar a los clientes y ver si alguno
reconecta :-)

Ataques WiFi
Filtros IP y MAC
Si no existe cifrado, ver la lista blanca de IP/MAC es trivial

Ataques WiFi
Filtros IP y MAC

Si hay cifrado, primero tendremos que crakear WEP/WPA

Ataques WiFi
Filtros IP y MAC

Si hay cifrado, primero tendremos que crakear WEP/WPA
Una vez sepamos que IP/MAC son validas, podemos cambiar
la IP:
ifconfig ath0 192.168.1.130
y la MAC ;-)
ifconfig ath0 hw ether 00:11:22:33:44:55
macchanger --mac 00:11:22:33:44:55 ath0

Ataques WiFi
Cifrado WEP
Nace con el objetivo de proporcionar seguridad equivalente a

redes cableadas
Implementa mecanismos de autenticaci
on y cifrado

Ataques WiFi
Autenticaci
on mediante WEP
Open System
Cualquier cliente que conozca la clave de cifrado, queda
automaticamente autenticado.

Ataques WiFi
Autenticaci
on mediante WEP
Open System
De chiste? Pues es el metodo usado por defecto en los routers
caseros!

Ataques WiFi
Autenticaci
on mediante WEP
Open System
De chiste? Pues es el metodo usado por defecto en los routers
caseros!
Shared Key
Utiliza una llave u
nica conocida por todos los clientes.
Parte del proceso de autenticaci
on va en claro.
Podemos desconectar a un cliente, capturar el trafico y repetir
el mismo proceso :-)

Ataques WiFI
Cifrado WEP
Algoritmo RC4 para confidencialidad.

CRC para integridad del mensaje.
Usa una serie de bits llamados claves para codificar la
informacion en las tramas.
Las claves pueden ser de 64, 128, 256 bits de los cuales 24
bits son para un n
umero semialeatorio llamado Vector de
Inicializacion.
Las claves deben ser conocidas por todos los clientes.
El IV se encuentra en la cabecera de la trama.
Se trasmite en texto plano.
Tenemos 2 24 posibles valores de IVs
Finalmente: (IV + Clave) XOR (Datos + CRC)

Ataques WiFi
Cifrado WEP

Ataques WiFi
WEP: Vulnerabilidades
24 bits hace que en pocas horas empecemos a reutilizar IVs.

El estandar define que cambiar de IV es opcional.
Si conocemos los IVs repetidos podemos descifrar la clave
mediante tecnicas estadsticas.
Ambos lados de la comunicaci
on deben conocer la misma
clave.
Podemos modificar el contenido de un paquete y actualizar el
CRC sin conocer la clave.
Conclusion: Un atacante con un n
umero suficiente de
paquetes puede descifrar las tramas.

Ataques WiFi
Cracking WEP
Podemos tener m
ultiples escenarios dependiendo del trafico en
la red:
Si la red tiene mucho trafico es facil:
Identificar la red (canal, BSSID, ESSID...)
Poner tarjeta en modo monitor.
Capturar tr afico.
Romper cifrado.
kismet + airodump + aircrack
Si hay poco o ningun trafico podemos reinyectar trafico o
hacer un fake auth
kismet + airodump + aireplay + aircrack

Ataques WiFi
WEP: Romper el cifrado WEP
Ataque por fuerza bruta

Ataque inductivo de Arbaugh
CRC es lineal y el chequeo de integridad independiente de la
llave.
Necesitamos conocer parte del mensaje cifrado:
DHCPDISCOVER
Ataque chopchop
Conseguimos el keystream para un IV cualquiera.
Reinyectar trafico
Ataque mediante wlandecrypter
Contrasenas prefijadas de routers de operadores de telefona.

Ataques WiFi
WPA: WiFi Protected Access
Nace en el 2003 bajo el estandar 802.11i para solucioar las

debilidades de WEP.
Tambien conocido como WEP2 (mal empezamos...)
Principales diferencias con WEP:
IV mas robustos (48 bits minimizando la reutilizacion).
Distribuci
on dinamica de claves (TKIP).

Ataques WiFi
Autenticacion:
Open System Authentication
Autenticaci
on Enterprise 802.1x sobre 802.11 (LEAP, EAP...)
Autenticaci
on Personal PSK

Ataques WiFi
Autenticacion:
Open System Authentication
Autenticaci
on Enterprise 802.1x sobre 802.11 (LEAP, EAP...)
Autenticaci
on Personal PSK
Cifrado basado en TKIP
Sigue empleando RC4, pero sin compartir la clave entre todos
Cambio de clave cada 10.000 paquetes (aprox.)
Integra MIC para asegurar integrida evitando ataques
inductivos y Man in the Middle

Ataques WiFi
WPA: Implementaci
on
Normalmente se implementa de acuerdo al tipo de usuario:

Empresas, con un servidor Radius para autenticarse.
Usuarios (SOHO), utilizando clave PSK.

Ataques WiFi
WPA: Debilidades
El sistema PSK para autenticar no es seguro.

Si la clave pertenece a un diccionario podemos aprovechar
esta debilidad:
Podemos capturar el desafo-respuesta inicial.
No hace falta capturar miles de paquetes, solo necesitamos el
trafico inicial.
Ataque por fuerza bruta.
Solucion: Usar claves largas difcilmente reconocibles.

Ataques WiFi
WPA2
WPA2 es conocido por ser implementaci

on final del estandar
802.11i.
Anade soporte de cifrado mediante AES (mas seguro que
TKIP).
Se implementa practicamente igual que WPA (PSK o Radius).
Hoy en da es la opci
on mas interesante.

Ataques WiFi
Portales Cautivos
Sistema de validaci
on para clientes mediante un portal web.
Se basa en un sistema de tokens temporales.
Usa HTTP/SSL para cifrar conexiones.
Existen varias implementaciones: NoCat, NETLogon,
ChiliSpot...
Ejemplo: Portal para usar la WiFi de la URJC.

Ataques WiFi
Jugando con Portales Cautivos
Muchos portales permiten salida por el puerto 53 (DNS)

Ataques WiFi

Solucion: IP-over-DNS
Es lento pero para leer el correo nos vale :-)
Herramientas: nstx

Ataques WiFi

Herramientas: nstx
Si DNS no funciona, probemos si podemos hacer un ping

Ataques WiFi

Herramientas: nstx
Si DNS no funciona, probemos si podemos hacer un ping
Solucion: IP-over-ICMP
Herramientas: icmptx
En ambos casos necesitamos un servidor en el otro extremo
del t
unel

Ataques WiFi
Otros ataques
Denegacion de Servicio (DoS)

Conocida la MAC del AP, nos la asignamos a nosotros y
hacemos de AP.
Mandamos tramas de desasociacion o uno o a todos
(broadcast)
Herramientas: wlan-jack o dassoc

Ataques WiFi
Otros ataques

hacemos de AP.
(broadcast)
Ataque Man in the Middle
Convencemos al cliente que nosotros somos el AP.
Convencemos al AP que nosotros somos el cliente.
Todos los datos entre vctima y AP pasa por nosotros.

Ataques WiFi
Otros ataques

hacemos de AP.
(broadcast)
Ataque Man in the Middle
Convencemos al cliente que nosotros somos el AP.
Convencemos al AP que nosotros somos el cliente.
Todos los datos entre vctima y AP pasa por nosotros.
ARP Poisoning
Inundamos la red con paquetes ARP REPLY.
Envenenamos la tabla ARP de la vctima.

Conclusiones
Contenidos

Conclusiones
Conclusiones
Recomendaciones
Como puedo securizar mi red casera de forma razonable?

Conclusiones
Conclusiones
Recomendaciones

WPA2 con cifrado AES y autenticaci
on mediante secreto
compartido (PSK)
WPA2 con cifrado TKIP y autenticaci
on mediante secreto
compartido (PSK)

Conclusiones
Conclusiones
Recomendaciones

on mediante secreto
compartido (PSK)
on mediante secreto
compartido (PSK)
Mas contramedidas:
Controlar el area de transmisi
on.

Conclusiones
Conclusiones
Recomendaciones

on mediante secreto
compartido (PSK)
on mediante secreto
compartido (PSK)
Mas contramedidas:
on.
Cambia el ESSID de tu red:
WLAN XX, ONOXXXX o JAZZTEL XX

Conclusiones
Conclusiones
Recomendaciones

on mediante secreto
compartido (PSK)
on mediante secreto
compartido (PSK)
Mas contramedidas:
on.
Filtrar por MAC y deshabilitar el ESSID:
Aunque no son efectivos, mitigan atacantes vagos o con poca
experiencia

Conclusiones
Conclusiones
Recomendaciones

on mediante secreto
compartido (PSK)
on mediante secreto
compartido (PSK)
Mas contramedidas:
on.
experiencia
Desactivar DHCP y usar subredes poco habituales.

Conclusiones
Conclusiones
Recomendaciones

on mediante secreto
compartido (PSK)
on mediante secreto
compartido (PSK)
Mas contramedidas:
on.
experiencia
Usar polticas de VPN, t
uneles ssh...

Conclusiones
Conclusiones
Recomendaciones

on mediante secreto
compartido (PSK)
on mediante secreto
compartido (PSK)
Mas contramedidas:
on.
experiencia
Usar polticas de VPN, t
uneles ssh...
Apaga tu AP cuando no lo estes usando

Seguridad Wireless

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad Wireless

Uploaded by

Copyright:

Available Formats

Seguridad en Redes Wireless 802.

Departamento de Sistemas Telematicos y Computacion (GSyC)

GSyC - 2009 Seguridad en redes Wireless 802.11x 1

GSyC - 2009 Seguridad en redes Wireless 802.11x 2

GSyC - 2009 Seguridad en redes Wireless 802.11x 3

GSyC - 2009 Seguridad en redes Wireless 802.11x 4

Wi-Fi es una marca de la Wi-Fi Alliance

GSyC - 2009 Seguridad en redes Wireless 802.11x 5

Introduccion a las redes WiFi

Se encarga de interconectar todos los clientes inalambricos.

GSyC - 2009 Seguridad en redes Wireless 802.11x 6

Es importante conocer el chipset de nuestro dispositivo

GSyC - 2009 Seguridad en redes Wireless 802.11x 7

Infraestructura (modos master y managed)

GSyC - 2009 Seguridad en redes Wireless 802.11x 8

GSyC - 2009 Seguridad en redes Wireless 802.11x 9

Delitos contra el secreto de las comunicaciones

Codigo penal espa

GSyC - 2009 Seguridad en redes Wireless 802.11x 10

Seguridad en redes WiFi

Cualquier red inalambrica debe asegurarnos tres aspectos:

GSyC - 2009 Seguridad en redes Wireless 802.11x 11

Seguridad en redes WiFi

Cualquier red inalambrica debe asegurarnos tres aspectos:

GSyC - 2009 Seguridad en redes Wireless 802.11x 11

Seguridad en redes WiFi

Cualquier red inalambrica debe asegurarnos tres aspectos:

GSyC - 2009 Seguridad en redes Wireless 802.11x 11

Seguridad en redes WiFi

GSyC - 2009 Seguridad en redes Wireless 802.11x 12

Seguridad en redes WiFi

GSyC - 2009 Seguridad en redes Wireless 802.11x 12

Seguridad en redes WiFi

GSyC - 2009 Seguridad en redes Wireless 802.11x 12

Seguridad en redes WiFi

GSyC - 2009 Seguridad en redes Wireless 802.11x 12

GSyC - 2009 Seguridad en redes Wireless 802.11x 13

GSyC - 2009 Seguridad en redes Wireless 802.11x 14

Salir a un espacio abierto (no es obligatorio, pero s muy

GSyC - 2009 Seguridad en redes Wireless 802.11x 15

Un cliente se conecta a una red WiFi

GSyC - 2009 Seguridad en redes Wireless 802.11x 16

Un cliente se conecta a una red WiFi

GSyC - 2009 Seguridad en redes Wireless 802.11x 16

Si no existe cifrado, ver la lista blanca de IP/MAC es trivial

GSyC - 2009 Seguridad en redes Wireless 802.11x 17

Si no existe cifrado, ver la lista blanca de IP/MAC es trivial

GSyC - 2009 Seguridad en redes Wireless 802.11x 17

Si no existe cifrado, ver la lista blanca de IP/MAC es trivial

GSyC - 2009 Seguridad en redes Wireless 802.11x 17

Nace con el objetivo de proporcionar seguridad equivalente a

GSyC - 2009 Seguridad en redes Wireless 802.11x 18

GSyC - 2009 Seguridad en redes Wireless 802.11x 19

GSyC - 2009 Seguridad en redes Wireless 802.11x 19

GSyC - 2009 Seguridad en redes Wireless 802.11x 19

Algoritmo RC4 para confidencialidad.

GSyC - 2009 Seguridad en redes Wireless 802.11x 20

GSyC - 2009 Seguridad en redes Wireless 802.11x 21

24 bits hace que en pocas horas empecemos a reutilizar IVs.

GSyC - 2009 Seguridad en redes Wireless 802.11x 22

GSyC - 2009 Seguridad en redes Wireless 802.11x 23

Ataque por fuerza bruta

GSyC - 2009 Seguridad en redes Wireless 802.11x 24

Nace en el 2003 bajo el estandar 802.11i para solucioar las