Seguridad WIFI

 Como hemos comentado anteriormente, la seguridad a nivel de protocolo es la encargada de que los datos transmitidos por una WLAN no puedan ser descifrados por alguien ajeno a nuestra red. Para ello nuestra red ha de tener un algoritmo de codificación y gestión de claves. En primer lugar, el IEEE publicó un algoritmo de seguridad opcional en el estándar 802.11 llamado WEP, el cual no tardó mucho en ser roto. Mientras el IEEE trabajaba en otro algoritmo más potente, la Alianza Wi-Fi lanzó un algoritmo alternativo y más potente que WEP, llamado WPA. Posteriormente el IEEE publicó el estándar 802.11i, también conocido como WPA2, que actualmente es el más seguro de los tres. En los siguientes capítulos profundizaremos más en cada uno de ellos.

 El protocolo WEP (Wired Equivalent Privacy) es el mecanismo de cifrado básico opcional definido en el estándar IEEE 802.11. Su objetivo es proporcionar confidencialidad, autentificación y control de acceso en redes inalámbricas. Utiliza el algoritmo de cifrado RC4 (Rivest Cipher 4), diseñado en 1987 por Ron Rivest de la empresa RSA Security, para cifrar todos los datos que se intercambian entre los clientes y el punto de acceso. RC4 consiste en generar una clave de forma pseudo-aleatoria que tiene la misma longitud que el texto original. A esta clave y al texto original se le aplica la operación lógica XOR (O exclusiva), obteniendo como resultado un texto cifrado. La clave pseudo-aleatoria se genera utilizando una clave secreta que define el propio usuario con una longitud de 40 o 104 bits y un vector de inicialización (IV) de 24 bits que lo genera aleatoriamente el sistema para cada trama. La clave secreta se concatena con el vector de inicialización creado, lo que se conoce como semilla (Seed), obteniendo la clave pseudo aleatoria de 64 o 128 bits utilizando el algoritmo PRNG (Pseudorandom Number Jose Manuel Luaces Novoa Trabajo de Final de Carrera 28 Generation). El IV viaja en cada trama que se envía por lo cual hace que sea fácil de interceptar por un atacante.

WPA (Wifi Protect Access) es el protocolo de seguridad que lanzó la Alianza Wi-Fi para solucionar los problemas de seguridad del protocolo WEP, mientras el IEEE trabajaba en el estándar 802.11i. Básicamente la Alianza Wi-Fi decidió, en colaboración con el IEEE, tomar aquellas partes del nuevo estándar que ya estaban suficientemente avanzadas y publicar WPA. Este protocolo implementa las siguientes mejoras: • Autenticación del usuario mediante el IEEE 802.1x (control de acceso a red basada en puertos). • Soluciona la debilidad del vector inicialización (IV) de WEP mediante la inclusión de vectores del doble de longitud (48 bits) y especificando reglas de secuencia. Los 48 bits permiten generar 2 elevado a 48 combinaciones de claves diferentes, lo cual es un número suficientemente elevado como para tener duplicados. • Utiliza el intercambio dinámico de claves mediante el protocolo TKIP (Temporal Key Integrity Protocol). Jose Manuel Luaces Novoa Trabajo de Final de Carrera 29 • El algoritmo de cifrado utilizado por WPA sigue siendo RC4 como en WEP, pero para comprobar la integridad de los mensajes ICV, se cambió el código de detección de errores CRC-32 por uno nuevo llamado MIC (Message Integrity Code).

WPA puede funcionar en dos modos: • WPA-Enterprise: este modo requiere de una infraestructura de autenticación 802.1x con un servidor de autenticación, generalmente un servidor RADIUS. Requiere una implementación compleja, pero da una seguridad extra. Más adelante profundizaremos más en este tema, hablando de los servidores RADIUS y del Protocolo de Autenticación Extensible (EAP). • WPA-Personal: este modo permite la implementación de una infraestructura segura basada en WPA sin tener que utilizar un servidor de autenticación. Se basa en el uso de una clave compartida (PSK) en el AP y el cliente. Esta clave solo se utiliza como punto de inicio de la autenticación, pero no para el cifrado de los datos.

WPA2 En Junio de 2004 se ratificó el nuevo estándar IEEE 802.11i. Se creó para corregir las vulnerabilidades detectadas en el protocolo WEP. Aunque tiene el inconveniente de no ser compatible con el hardware anterior, tiene la ventaja de ser mucho más seguro. La Alianza Wi-Fi, debido al éxito del estándar WPA y a la popularidad del término, decidió rebautizar el estándar 802.11i con el nombre WPA2, que es como se conoce actualmente. Al igual que el protocolo WPA, WPA2 incluye el intercambio dinámico de la clave, un cifrado mucho más fuerte, y la autenticación de usuario, pero añade las mejoras siguientes: Jose Manuel Luaces Novoa Trabajo de Final de Carrera 30 • Nuevo algoritmo de cifrado AES (Advanced Encryption Standard). Se trata de un algoritmo de cifrado de bloque simétrico. Utiliza la misma clave para cifrar y descifrar, y el texto en claro se divide en bloques más pequeños que se cifran por separado de manera iterativa. • Utiliza el protocolo CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) para asegurar la integridad y la autenticidad de los mensajes. Este protocolo utiliza el cifrado AES en lugar de los códigos MIC (Message Integrity Code), y utiliza llaves de 128 bits con vectores de inicialización de 48 bits.