CapÃ - Tulo 7.pdf

CAPÍTULO 7
SEGURIDAD EN LAS REDES

INALÁMBRICAS
7.1 INTRODUCCIÓN
La rápida expansión que las redes 802.11 has experimentado en los
últimos tiempos, se ha visto ensombrecido principalmente por el tema de la
seguridad. Aun siendo consciente de las muchas ventajas de esta tecnología,
el uso de un medio de transmisión tan fácil de “observar” como es el aire, unido
a una serie de deficiencias en la parte de seguridad del estándar, han
propiciado una desconfianza generalizada que ha hecho que sean muchos los
reticentes a utilizar redes inalámbricas, sobre todo aquellos que manejan
información de una importancia relativa.
Pero afortunadamente la concienciación del sector sobre la necesidad
de crear redes seguras, está permitiendo una importante inversión en el
desarrollo de herramientas y protocolos capaces de conseguir redes
inalámbricas sino inexpugnables, sí muy difíciles de ser sobrepasadas por
personas no autorizadas.
Existen varias formas de poder realizar ataques a la seguridad o a la
integridad de una red inalámbrica, por lo que es necesario conocer lo métodos
más utilizados en la realidad. En este capítulo se describirán los diferentes
ataques, así como los diferentes mecanismos para combatirlos. Se estudiarán
las distintas medidas de seguridad a adoptar para lograr que nuestra red sea lo
más segura posible.
7.2 WARCHALKING Y WARDRIVING

El acceso sin necesidad de cables, la razón que hace tan populares a
las redes inalámbricas, es a la vez el problema más grande de este tipo de
redes en cuanto a seguridad se refiere. Cualquier equipo que se encuentre
dentro del área de cobertura del punto de acceso, podría tener acceso a la red
inalámbrica [8].
Juan José Yunquera Torres 138

Diseño de una red Wi-Fi para la E.S.I.
Figura 7.1. Acceso no autorizado a una red inalámbrica
Muchos administradores de redes parecen no haberse dado cuenta de

las implicaciones negativas de poseer puntos de acceso sin las medidas de
seguridad oportunas. Es muy común encontrar redes inalámbricas en las que
existen puntos de acceso totalmente desprotegidos e irradiando señal hacia el
exterior del edificio. Cualquier persona que desde el exterior capte la señal del
punto de acceso, tendrá acceso a la red de la compañía, con la posibilidad de
utilizar la conexión a Internet si se dispone de ella, emplear la red de la
compañía como punto de ataque a otras redes, robar software y/o información,
introducir virus o software maligno, entre muchas otras cosas. Un punto de
acceso mal configurado se convierte en una puerta trasera que vulnera por
completo la seguridad de la empresa.
Figura 7.2. Resultados globales

(FUENTE: Libera Networks. Toma de datos: Febrero 2004)

Los ingenieros de la empresa Libera Networks [15], dedicada al diseño,

instalación y consultoría de soluciones inalámbricas de transmisión de datos
realizaron un análisis global de las redes Wi-Fi instaladas en las más
importantes capitales españolas: Madrid, Barcelona, Valencia, Sevilla, Bilbao y
Málaga. El objetivo primordial ha sido recoger sobre el terreno una muestra
suficientemente amplia para estudiar la tipología de las redes instaladas así
como sus parámetros de rendimiento y seguridad. En la Figura 7.2 se pueden
apreciar los resultados globales de dicho análisis.
De dicho análisis se pueden extraer las siguientes conclusiones en
cuanto a seguridad:
Todavía no existe una profunda concienciación de los riesgos de
seguridad y los posibles problemas de rendimiento al no acudir a
especialistas para el diseño, instalación y mantenimiento de una red
inalámbrica.
La mayoría de las redes detectadas tienen perfil similar: puntos de
acceso de gama media-baja, estándar 802.11b a 11 Mbps, sin
encriptación WEP ni ocultación de SSID de la red, utilizando canales por
defecto.
Aunque se está empezando a desplegar redes a 54 Mbps (802.11g),
son contadas las que tienen la encriptación WPA activada.
Madrid y Barcelona muestran un mayor despliegue de redes Wi-Fi
residenciales, empresariales y de hot-spots de acceso público, con
mayor presencia de puntos de acceso más profesionales y medidas de
seguridad algo más cuidadas.
Existen dos prácticas bien conocidas para la localización de redes

inalámbricas [3][11]:
Warchalking. Consiste en caminar por la calle con un ordenador
portátil dotado de una tarjeta inalámbrica, buscando la señal de los
puntos de acceso. Cuando se encuentra uno, se pinta con tiza un
símbolo especial en la acera o en un muro, indicando la presencia del
punto de acceso y si tiene configurado algún tipo de seguridad o no. De
esta forma, otras personas podrían conocer la localización de la red.
Wardriving. Es un método propio para localizar puntos de acceso
inalámbricos desde un automóvil. Para este fin se necesita un ordenador
portátil con una tarjeta inalámbrica, una antena adecuada, un GPS para
localizar los puntos de acceso en un mapa y software para detección de
redes inalámbricas, que se consigue libremente en Internet. De esta
forma se elaboran mapas disponibles en Internet donde se indica la
situación de todas las redes inalámbricas encontradas y su nivel de
seguridad [14].

Figura 7.3. Warchalking y su simbología
Una vez localizada una red inalámbrica, una persona podría llevar a
cabo distintos tipos de ataques. Se podría ingresar en la red y hacer uso
ilegítimo de sus recursos, así como, acceder a información de carácter
confidencial.
7.3 MECANISMOS DE SEGURIDAD

Para poder considerar una red inalámbrica como segura se deberían de
cumplir entre otros los siguientes requisitos fundamentales [8]:
Las ondas de radio deben confinarse tanto como sea posible. Esto es
difícil de lograr totalmente, pero se puede hacer un buen trabajo
empleando antenas direccionales y configurando adecuadamente la
potencia de transmisión de los puntos de acceso.
Debe existir algún mecanismo de autenticación mutua, que permita al
cliente verificar que se está conectando a la red correcta, y a la red
constatar que el cliente está autorizado para acceder a ella.
Los datos deben viajar cifrados por el aire, para evitar que equipos
ajenos a la red puedan capturar datos mediante escucha pasiva.
Existen varios métodos para lograr la configuración segura de una red
inalámbrica. Cada método logra un nivel diferente de seguridad y presenta
ciertas ventajas y desventajas. En los siguientes apartados se hará un estudio
detallado de los principales mecanismos de seguridad.
7.3.1 SSID
Es uno de los mecanismos básicos de seguridad que contempla el
estándar IEEE 802.11. El “Service Set ID” (SSID) es una cadena de
generalmente 32 caracteres, utilizada para establecer un dominio de

desplazamiento común a través de múltiples Puntos de Acceso. Diferentes

SSID’s permitirán la superposición de redes inalámbricas. El SSID puede
actuar como una simple contraseña sin la cual el cliente no podrá conectarse a
la red. Lo cierto es que este sistema no garantiza excesivamente la seguridad,
ya las cadenas SSID son emitidas en forma de texto sin codificar. Los puntos
de acceso retransmiten el SSID varias veces en las tramas broadcast de
gestión, por lo que es sencilla su obtención. Sólo algunos fabricantes
deshabilitan esta opción, pero en estos casos, existen métodos alternativos,
como la captura y posterior análisis de las tramas de asociación.
Los puntos de acceso vienen de fábrica con un SSID por defecto. Por
ejemplo, los AP’s de Cisco tienen el SSID de fábrica “tsunami”, y los de
Linksys, “linksys” [1]. Como estos SSID´s que vienen por defecto son muy
conocidos, el primer paso a dar en la protección de una red inalámbrica
consiste en cambiar el SSID de los puntos de acceso [5]. El cambio hay que
hacerlo como si se tratara de una potente contraseña, es decir, no es lógico
nombrar a un SSID con la localización de la red, su contenido o cosas así. La
elección del SSID, como cualquier otra contraseña, debe seguir las reglas
básicas de éstas, o sea, un conjunto de caracteres (letras, números o
símbolos) que no tengan ningún significado. De esta forma no se ofrece
protección extra a los clientes de la red, pero será más difícil para los intrusos
buscar una red concreta o saber exactamente a que red van a acceder.
Por defecto, los puntos de acceso emiten cada pocos segundos su SSID
en lo que se conoce con el nombre de Tramas Faro (Beacon Frames). Estas
tramas faro son muy útiles para que los clientes de una red inalámbrica
identifiquen fácilmente el punto de acceso al que se han de conectar (ya que
tanto el AP como el cliente que quiera asociarse a él poseerán el mismo SSID),
pero también son muy útiles para que usuarios no autorizados encuentren y
accedan a la red de forma sencilla. La mayoría de los dispositivos actuales
poseen la opción de desactivar esta característica de emisión continua del
SSID, lo cual es muy recomendable. A partir del momento en que esta
característica se desactiva, los clientes inalámbricos autorizados que se
quieran asociar a la red deberán poseer el SSID exacto. De esta forma, sólo los
clientes que lo tengan podrán acceder al AP y comunicarse con él. Cuando los
puntos de acceso de una red inalámbrica tienen desactivada la emisión de las
tramas faro, se dice que la red inalámbrica es una “red cerrada”.
7.3.2 Filtrado de direcciones MAC

Es otro de los mecanismos básicos de seguridad empleado por el
estándar IEEE 802.11. Este método consiste en la creación de una tabla de
datos en cada uno de los puntos de acceso de la red inalámbrica. Dicha tabla
contiene las direcciones MAC de las tarjetas de red inalámbricas que se
pueden conectar al punto de acceso.
Todas las tarjetas de red, inalámbricas y no inalámbricas, poseen una
dirección MAC, que es un número hexadecimal de doce dígitos único para
cada tarjeta. Debido a esa exclusividad en la dirección MAC, un punto de
acceso podría limitar las comunicaciones a sólo los usuarios cuya dirección
MAC poseyera de antemano, es decir, a sólo aquellos clientes que estuvieran

autorizados a comunicarse con y a través de él. Este método de filtrar las

direcciones MAC está siendo muy utilizado por los fabricantes e instaladores de
productos inalámbricos.
Este método tiene como ventaja su sencillez, por lo cual se puede usar
para redes caseras o pequeñas. Sin embargo, posee muchas desventajas que
lo hacen impráctico para usa en redes medianas o grandes. Entre sus
desventajas podemos citar las siguientes [8]:
Tiene un problema de escalabilidad, porque cada vez que se desee
autorizar o dar de baja un equipo, es necesario editar las tablas de
direcciones de todos los puntos de acceso. Después de cierto número
de equipos o de puntos de acceso, la situación se torna inmanejable.
El formato de una dirección MAC no es muy apto para su manejo (un
total de 12 caracteres alfanuméricos). Esto puede llevar a cometer
errores en la manipulación de las listas.
Las direcciones MAC viajan sin cifrar por el aire. Un atacante podría
capturar direcciones MAC de los dispositivos asociados a una red
inalámbrica empleando un “sniffer”, y luego asignarle una de estas
direcciones capturadas a la tarjeta de su computador. De este modo, un
atacante puede hacerse pasar por un cliente válido.
En caso de robo de un equipo inalámbrico, el ladrón dispondrá de un
dispositivo que la red reconoce como válido. En caso de que el elemento
robado sea un punto de acceso el problema es más serio, porque el
punto de acceso contiene toda la tabla de direcciones válidas en su
memoria de configuración.
Debe tenerse en cuenta además, que este método no garantiza la
confidencialidad de la información transmitida, ya que no prevé ningún
mecanismo de cifrado.
7.3.3 WEP
El protocolo WEP es un sistema de encriptación estándar propuesto por
el comité 802.11, implementada en la capa MAC y soportada por la mayoría de
los vendedores de soluciones inalámbricas. WEP puede ser utilizado tanto para
autenticación como para encriptación. Generalmente, la autenticación se utiliza
para protegerse contra accesos no autorizados a la red, mientras que la
encriptación se usa para evitar que de una señal capturada se puedan obtener
los datos en ella contenidos.
Ante la opción de WEP se nos presentan cuatro opciones [1]:
No usar WEP.
Usar WEP sólo para la encriptación.
Usar WEP sólo para la autenticación.
Usar WEP para encriptación y autenticación.
El protocolo WEP se basa en la encriptación de los paquetes de datos
antes de ser transmitidos. Dicha encriptación se lleva a cabo mediante una
clave secreta, compartida por un BSS ó Grupo de Servicio Básico (Basic Set

Service), que comprenderá varios clientes y puntos de acceso. La compartición

de la clave de encriptación permitirá la comunicación entre los distintos
usuarios autorizados, todos dentro del mismo BSS, e impedirá “a priori” que los
no autorizados consigan acceso a la red.
Actualmente, WEP represente el mayor agujero de seguridad de las
redes inalámbricas, ya que si no está activado (configuración por defecto de los
componentes inalámbricos del mercado) los datos viajan sin encriptar por el
aire y cualquiera puede “escucharlos”. Pero si está activado, los conocidos
problemas de seguridad que posee pueden permitir que personas no
autorizadas accedan a los datos que creemos seguros. Es cierto que para
conseguir esto último son necesarias herramientas software, que son gratuitas
y de fácil descarga en Internet, y algo de experiencia, pero cada vez proliferan
más los tutoriales que enseñan cómo realizar este tipo de actividades. Sin
embargo, el hecho de tener activado el WEP constituye una primera barrera
que un intruso tiene que superar para atacar de una u otra manera nuestro
sistema inalámbrico, por lo que es recomendable tenerlo activado.
Es conveniente puntualizar que no todo lo que se transmite se encripta,
aún estando WEP activado. Por ejemplo, el SSID, siempre que se transmita se
hará sin encriptar; por tanto, hay que ser consciente de que el tener activado
WEP no es una solución definitiva de seguridad, aunque probablemente sí sea
un primer paso para llegar a ella.
7.3.3.1 Autenticación
Cuando se desea establecer una comunicación entre dos dispositivos,
debe establecerse primero una asociación. Para ello el cliente solicita la
autenticación y el AP responde identificando el tipo de autenticación presente
en la red. Posteriormente, el cliente procede con la autenticación y, si es
satisfactoria, se lleva a cabo la asociación.
Se plantean dos formas posibles de autenticación, sistema abierto, y
clave compartida:
Sistema Abierto (“Open System”): Es el mecanismo de
autenticación por defecto, y permite que cualquier estación se una al
sistema tras la negociación de los parámetros de red necesarios. Es un
proceso de autenticación nulo, las tramas se mandan en texto plano
aunque esté activado el cifrado WEP.
Clave Compartida (“Shared Key”): Es el primer obstáculo o barrera
al cual se enfrenta un agente externo no autorizado a la hora de acceder
al sistema, e incluso antes de poder romper el WEP. En la Figura 7.4 se
muestra un esquema del proceso de autenticación que se describirá a
continuación.

Figura 7.4. Intercambio de mensajes en la autenticación
El funcionamiento del proceso está basado en un desafío, una respuesta

y la comprobación de ese desafío. El desafío consiste básicamente en
comprobar si el cliente es capaz de codificar el mensaje que el punto de acceso
(AP) le ha mandado. De este modo un cliente manda una petición de
autenticación (Authentication Request) al AP. El AP manda al cliente usando
Authentication Challenge, 128 bytes de texto plano. El cliente cifra el mensaje
utilizando un IV y la misma clave que el AP (si no coinciden las claves el
desafío no se podrá superar). Ese mensaje lo manda al AP y si el resultado del
desafío es correcto, el AP manda un mensaje aceptando la autenticación del
cliente [12].
Como curiosidad presentamos el formato de las tramas de autenticación,
pero no vamos a entrar en detalle en sus campos. El formato es el mismo para
todas las tramas de autenticación.
Figura 7.5. Formato de las tramas de autenticación

7.3.3.2 Funcionamiento de WEP

Se implementa en la capa MAC del estándar 802.11, y consiste en la
encriptación de los datos, utilizando el algoritmo RC4 de RSA Security, que no
es más que un generador de números pseudoaleatorios, alimentado por una
clave que hará de semilla. Las conocidas vulnerabilidades de RC4, en las que
entraremos más adelante, son una de las bases de los problemas de seguridad
del protocolo WEP. Como decimos, sólo se encriptan los datos, yendo las
cabeceras del nivel físico desprotegidas, por lo que no obtenemos una
codificación extremo a extremo, que sería lo deseable.
En primer lugar se genera una llave de 40 bits a partir de una clave
estática (passphrase) de forma automática, aunque existe software que permite
introducir esta llave manualmente. La clave o passphrase debe ser conocida
por todos los clientes que quieran conectarse a la red inalámbrica que utiliza
WEP, esto implica que muchas veces se utilice una clave fácil de recordar y
que no se cambie de forma frecuente, aunque esto sea un problema para la
seguridad. A partir de la clave o passphrase se generan 4 llaves de 40 bits, y
sólo una de ellas se utilizará para la encriptación WEP. El proceso que se
muestra en la Figura 7.6 es el que se sigue para generar las llaves [6][1]:
Figura 7.6. Proceso de generación de llaves
Se hace una operación XOR con la cadena ASCII (My Passphrase) que
queda transformada en una semilla de 32 bits que utilizará el generador de
números pseudoaleatorios (PRNG) para generar 40 cadenas de 32 bits cada
una. Se toma un bit de cada una de las 40 cadenas generadas por el PRNG
para construir una llave y se generan 4 llaves de 40 bits. De estas 4 llaves sólo
se utilizará una para realizar la encriptación WEP como se verá a continuación.
Para generar una trama encriptada con WEP se sigue el siguiente
proceso:
Partimos de la trama que se quiere enviar. Esta trama sin cifrar está
compuesta por una cabecera (Header) y contiene unos datos (Payload).
El primer paso es calcular el CRC de 32 bits del payload de la trama que
se quiere enviar. El CRC es un algoritmo que genera un identificador

único del payload en concreto, que nos servirá para verificar que el
payload recibido es el mismo que el enviado, ya que el resultado del
CRC será el mismo. Añadimos este CRC a la trama como valor de
chequeo de integridad (ICV: Integrity Check Value).
Seleccionamos una llave de 40 bits, de las 4 llaves posibles.
Figura 7.7. Selección de una llave
Añadimos el Vector de Inicialización (IV) de 24 bits al principio de la

llave seleccionada. El IV es simplemente un contador (dentro del mismo
se incluirán dos bits que identificarán a la llave elegida de las 4
generadas) que suele ir cambiando de valor a medida que vamos
generando tramas, aunque según el estándar también puede ser
siempre cero. Con el IV de 24 bits y la llave de 40 conseguimos los 64
bits de llave total que utilizaremos para encriptar la trama.
Figura 7.8. Formato llave de 64 bits
Aplicamos el algoritmo RC4 al conjunto IV+Key y conseguiremos el

keystream o flujo de llave. Realizando una operación XOR con este
keystream y el conjunto Payload+ICV obtendremos el Payload+ICV
cifrado, este proceso puede verse en la Figura 7.9.
Figura 7.9. Paso 4 del proceso de cifrado

Añadimos la cabecera y el IV+Keynumber sin cifrar. Así queda la

trama definitiva lista para ser enviada.
Figura 7.10. Formato de la trama completa
Si vemos el proceso de encriptación en conjunto, contemplando todas

sus fases en un solo gráfico, obtendríamos el siguiente esquema, reflejado en
la figura 7.11.
Figura 7.11. Proceso de encriptación WEP
En el receptor se lleva a cabo el proceso de descifrado, que es

prácticamente el inverso al realizado en el transmisor. El proceso realizado en
el receptor es el siguiente:
Se emplean el IV recibido y la clave secreta compartida para generar
la llave que se utilizó en el transmisor. Si la clave no es la correcta el
resultado no será el esperado.
Un generador RC4 produce el keystream a partir de la clave y el IV.
Si la clave coincide con la empleada en transmisión, el keystream
también será idéntico al empleado en transmisión.
Se efectúa un XOR bit por bit entre el keystream y la trama cifrada,
obteniéndose de esta manera el texto en claro y el ICV.
A la trama en claro se le aplica el algoritmo CRC-32 para obtener un
segundo ICV, que se compara con el recibido.

Si los dos ICV son iguales, la trama se acepta. En caso contrario la

trama quedaría rechazada.
Figura 7.12. Proceso de desencriptación WEP
7.3.3.3 Deficiencias de la encriptación WEP
• Características lineales de CRC32
Esta vulnerabilidad fue demostrada teóricamente por Nikita Borisov, Ian

Goldberg y David Wagner (Universidad de Berkeley) [6].
El campo ICV (Integrity Check Value) del CRC32 de una trama
encriptada con WEP contiene un valor utilizado para verificar la integridad del
mensaje. Esto provee de un mecanismo de autenticación de mensajes a WEP,
por lo tanto el receptor aceptará el mensaje si el ICV es válido. El ICV se
genera, simplemente, haciendo un CRC (Cyclic Redundancy Check) de 32 bits,
del payload de la trama. Este mecanismo tiene dos graves problemas:
Los CRC’s son independientes de la llave utilizada y del IV.
Los CRC’s son lineales: CRC(m ⊕ k) = CRC(m) ⊕ CRC(k).
Debido a que los CRC’s son lineales, se puede generar un ICV válido, ya
que el CRC se combina con una operación XOR que también es lineal y esto
permite hacer el ataque conocido como ‘bit flipping’. En la Figura 7.13 se
observa dicho ataque.

Figura 7.13. Detalle del ataque bit flipping
A continuación se indican los pasos a seguir para realizar dicho

ataque:
Un atacante intercepta un mensaje m (conocido o no) y lo modifica
de forma conocida para dar lugar a m’:
m’ = m ⊕ ∆
Como el CRC-32 es lineal, puede generar un nuevo ICV’ a partir del
ICV de m:
ICV’ = ICV ⊕ CRC(∆)
ICV’ será valido para el nuevo mensaje cifrado c’.
c’ = c ⊕ ∆ = k ⊕ (m ⊕ ∆) = k ⊕ m’
De esta forma hemos conseguido modificar el mensaje cifrado y
conseguir un nuevo ICV válido para este mensaje. Esta trama que ha sido
modificada por el atacante será aceptada como válida por parte del receptor.
• MIC independiente de la llave
Esta vulnerabilidad fue demostrada teóricamente por David Wagner

(Universidad de Berkeley) [6].
Esta vulnerabilidad en WEP es conocida en inglés como “Lack of keyed
MIC”: Ausencia de mecanismo de chequeo de integridad del mensaje (MIC)
dependiente de la llave. El MIC que utiliza WEP es un simple CRC-32
calculado a partir del payload, por lo tanto no depende de la llave ni del IV. Esta
debilidad en la encriptación da lugar a que conocido el mensaje descifrado de
un solo paquete encriptado con WEP sea posible inyectar paquetes a la red.
Esto se puede realizar de la siguiente forma:

Un atacante captura un paquete c = m ⊕ k donde m es conocido (por

ejemplo, el atacante envía un Email a la víctima y escucha lo que le
llega).
El atacante recupera el flujo pseudoaleatorio k = c ⊕ m para el IV
concreto del paquete.
Supongamos que el atacante quiere inyectar un mensaje m’, debe
realizar lo siguiente:
ICV’ = CRC32(m’)
El atacante ya puede ensamblar la parte encriptada del paquete.
c = (m’|ICV’) ⊕ k
El atacante obtiene un paquete válido y listo para ser inyectado a la
red. En la Figura 7.14 se puede apreciar el resultado de este proceso.
Figura 7.14. Paquete listo para ser enviado a la red
• Tamaño corto del IV
Otra de las deficiencias del protocolo viene dada por la corta longitud del
campo IV. El vector de inicialización (IV) tiene sólo 24 bits de longitud y
aparece en claro (sin encriptar) [6].
Matemáticamente sólo hay 2^24 (16.777.216) posibles valores de IV.
Aunque esto pueda parecer mucho, 16 millones de paquetes pueden generarse
en pocas horas en una red inalámbrica con tráfico intenso. Un punto de acceso
que constantemente envíe paquetes de 1500 bytes a 11Mbps, acabará con
todo el espacio de IV disponible después de 1500*8/(11*10^6)*2^24 = ~1800
segundos, o 5 horas. Este tiempo puede ser incluso más pequeño si el tamaño
de los paquetes es menor que 1500.
La corta longitud del IV, hace que éste se repita frecuentemente y de
lugar a la deficiencia del protocolo, basada en la posibilidad de realizar ataques
estadísticos para recuperar el texto descifrado gracias a la reutilización del IV.
• Reutilización del IV
Esta vulnerabilidad fue demostrada teóricamente por David Wagner

(Universidad de Berkeley). Se basa en que WEP no utiliza el algoritmo RC4
“con cuidado”: el Vector de Inicialización se repite frecuentemente. Se pueden
hacer ataques estadísticos contra paquetes cifrados con el mismo IV. Si un IV
se repite, se pone en riesgo la confidencialidad [6].
A continuación vemos en que consiste esta vulnerabilidad:
Supongamos que P y P’ son dos paquetes en claro (sin encriptar)
que van a ser encriptados con el mismo IV.

La clave a utilizar para la encriptación viene dada por:

Z = RC4 (key, IV)
Los dos paquetes cifrados serían los siguientes:
C=P⊕Z
C’ = P’ ⊕ Z
Nótese que:
C ⊕ C’ = (P ⊕ Z) ⊕ (P’ ⊕ Z) = (Z ⊕ Z) ⊕ (P ⊕ P’) = P ⊕ P’
Como se observa la XOR de ambos paquetes en claro es conocida. Si
podemos adivinar uno de los dos paquetes en claro, el otro puede también ser
descubierto estadísticamente de forma trivial. Así que si RC4 no se usa con
cuidado, se vuelve inseguro.
7.3.3.4 Deficiencias de la autenticación

El método de autenticación por llave compartida, descrito anteriormente
se puede explotar fácilmente mediante un ataque pasivo [6][12].
Este ataque lo comienza el cliente no autorizado capturando el segundo
y tercer mensajes de una autenticación cualquiera entre el AP y otro cliente. En
el segundo mensaje se encuentran los 128 bytes de un reto en claro, es decir,
sin cifrar y en el tercero ese reto cifrado. De esta forma sólo tiene que hacer
una operación XOR entre los dos mensajes, el cifrado y el sin cifrar, para poder
obtener el keystream que el cliente autorizado utilizó. Como podemos ver en la
figura que muestra el formato de las tramas (Figura 7.5), el tamaño de las
tramas de autenticación es el mismo para todos los mensajes, y sus valores
conocidos. Así pues el atacante dispone de un keystream idóneo para mandar
mensajes y todos los elementos necesarios para rellenar la trama a excepción
hecha del texto de desafío, que cambia de una autenticación a otra.
El ataque se completa definitivamente mandando una petición de acceso
al AP, y una vez que hemos recibido el texto plano, lo codificamos haciendo
una XOR con el keystream. Sólo queda crear el ICV correcto de manera
sencilla gracias a las debilidades del CRC-32. De este modo tras mandar el
texto cifrado se obtiene acceso al sistema.
Por último, sólo hay que destacar que no se dispone de la clave
compartida, por lo que no poseemos la capacidad de descifrar el WEP, y por
tanto este será sólo el primer paso para acceder al sistema, que deberá de ir
seguido por alguna de las técnicas que se expondrán en el siguiente apartado
para “saltarse” el WEP.
7.3.3.5 Ataques a WEP

Una vez visto el funcionamiento del sistema de encriptación, nos
centramos en la longitud de cada uno de los registros implicados, ya que éste
será el principal problema de seguridad que tiene el protocolo.

El estándar WEP fue definido para que la salida del algoritmo RC4
(también conocida como keystream) fuera de 64 bits, los cuales se repartían
entre los 24 del vector de inicialización y los 40 de la clave. La versión más
avanzada de WEP está formada por 128 bits, que se descomponen en 24 del
vector de inicialización y 104 de clave. Es la longitud del vector de inicialización
el que presenta mayor problema, ya que las variantes que se obtienen para un
código binario de 24 bits son pocas en relación a la capacidad de procesado de
los equipos actuales. De esta manera nos encontramos ante una deficiencia
ideal para el uso de un ataque por fuerza bruta, es decir, probando las
combinaciones posibles. Además también puede realizarse el ataque conocido
como “Inductivo de Arbaugh”, el más importante de todos que se basa en la
deficiencia del algoritmo RC4 [1][6][12].
• Ataque de fuerza bruta
Una vez visto el modo de generación de la clave de WEP, llegamos a la

conclusión de que lo importante para poder generar la clave con la que
descifrar el código es averiguar la semilla con la que se alimentará el módulo
pseudoaleatorio (el funcionamiento de este módulo es público). Para encontrar
esta semilla, se puede optar por el ataque por fuerza bruta, cuyo coste
computacional y de tiempo puede reducirse si atendemos a las siguientes
consideraciones:
a) En primer lugar al estar formada la frase secreta por caracteres
ASCII (5 para WEP de 64 bits y 13 para el de 128 bits), el primer bit de
todos los caracteres será cero, por lo que el resultado de la XOR del
primer byte de cada uno de los 4 bytes que forman la semilla, será cero.
Eso nos reduce la entropía de la fuente, ya que el rango se reduce
desde 00:00:00:00 a 7F:7F:7F:7F, en lugar de hasta FF:FF:FF:FF.
b) También el uso del generador pseudoaleatorio con estos datos de
entrada reduce la entropía. Sin entrar demasiado en detalle en el
funcionamiento interno de este módulo, un generador de módulo 32
hace que los bits más bajos sean “menos aleatorios” que los más altos.
Debido a esto sólo producirán llaves únicas las semillas que vayan del
00:00:00:00 al 00:FF:FF:FF.
Uniendo las dos características anteriores, los valores “válidos” de las
semillas estarán en el rango de 00:00:00:00 al 00:7F:7F:7F, por lo que se ha
reducido la entropía de 32 a 21 bits.
Como dato orientativo, un PIII a 500 MHz puede descifrar una clave
WEP en un plazo máximo de 210 días usando la fuerza bruta. Este tiempo se
reduce considerablemente a medida que aumenta la capacidad de procesado.
• Ataque Inductivo Arbaugh
Este ataque fue demostrado teóricamente por William A. Arbaugh

(Universidad de Maryland).
Este tipo de ataque se basa en explotar la vulnerabilidad de MIC
independiente de la llave, aprovechando también la redundancia de
información producida por el CRC. Como dijimos antes, WEP utiliza como

mecanismo de chequeo de datos un CRC de 32 bits sobre los datos sin cifrar,
por lo que no contempla ni el IV ni la clave. Aunque a priori esto no debe ser un
problema, está demostrado que conociendo el texto plano de uno de los
paquetes, se pueden inyectar paquetes a la red por un elemento no autorizado.
Esto es posible de la siguiente manera.
Para realizar el ataque hay que obtener un paquete cuyo mensaje es
conocido, y esto se puede conseguir, por ejemplo, identificando mensajes
“DHCPDISCOVER” de los que conocemos que la cabecera IP tendrá como
origen 0.0.0.0 y como destino 255.255.255.255 y tienen longitud fija. Una vez
identificada la trama con el mensaje “DHCPDISCOVER”, realizamos una XOR
del texto en claro conocido con el texto cifrado que hemos recibido, obteniendo
así el Keystream que fue utilizado para codificar el mensaje, y que está
directamente relacionado con el vector IV utilizado, que por cierto va incluido en
el mensaje en texto plano (sin codificar).
Una vez conocemos el Keystream podemos introducir fácilmente un
paquete válido en la red sin más que codificar el mensaje y su ICV (salida del
CRC-32), con el código aleatorio y colocarle al mensaje el IV al que está
relacionado. Ese paquete será completamente válido para el punto de acceso.
Figura 7.15. Inyección de mensaje válido en la red
Pero desgraciadamente para los usuarios de WEP, los problemas no

quedan ahí, ya que además de introducir paquetes válidos en la red, es posible
mediante una técnica similar a ésta, conseguir todos los códigos
pseudoaleatorios para todos los IV, por lo que es posible para el atacante
descifrar todo el tráfico cifrado en WEP. Veamos como hacerlo:
El objetivo es obtener todos los flujos aleatorios de código (keystream)
generados para cada IV. La longitud completa de un keystream es de 1500
bytes. Para obtener esa cifra vamos a partir de un keystream conocido, por
ejemplo el obtenido del mensaje anterior “DCHPDISCOVER”. Utilizando como
base este keystream, vamos a ir “adivinando” el byte siguiente, mandando un

mensaje de petición que devuelva una respuesta conocida (por ejemplo un

mensaje ping).
Si conocemos un keystream de n bytes, entonces vamos a crear el
mensaje conocido de n-3 bytes. Además, a ese mensaje conocido de n-3 bytes
le calculamos su ICV (ocupa 4 bytes), del que sólo añadiremos 3 de los bytes
al mensaje. Tras codificar el mensaje con el keystream, añadimos un byte más
al mensaje a mandar. Si recibimos respuesta, esto quiere decir que el byte que
añadimos al keystream era correcto, sino, cambiamos a otra de las 256
posibilidades para ese byte, hasta que la respuesta sea afirmativa. Este
procedimiento se repite hasta obtener los 1500 bytes necesarios para cada IV.
Figura 7.16. Proceso de cálculo del Keystream
Si el atacante puede realizar cien pruebas por segundo para cada byte,
entonces tardaría de media unos 36 minutos en descifrar un keystream de
1500 bytes para un IV determinado. Si además sabemos que existen 2^24 IV
diferentes, entonces tendremos que hacer una tabla de (2^24)x1500 bytes, o lo
que es lo mismo unos 24 GB. En rellenar esa tabla tardaría unas 30 horas con
un sólo host, tiempo que se puede disminuir a 7.5 horas con 4 host, 3.75 horas
con 8 hots y así sucesivamente.
Una vez creada la tabla el resto es sencillo, cada vez que llega un
mensaje, lee el IV que va en texto plano y tras mirar en la tabla obtiene su
keystream correspondiente con el que haciendo una XOR con los datos
cifrados, obtendrá el mensaje oculto.
• Debilidad del algoritmo RC4
Fue demostrada teóricamente y publicada en 2001 por Scott Fluhrer,

Itsik Mantin y Adi Shamir, y es el ataque más demoledor y la prueba más
contundente de la ineficacia del algoritmo en el que está basado WEP. Aun
siendo complicado y basado en un tedioso estudio matemático vamos a

intentar comentar intuitivamente en qué consiste esta técnica. De todos modos

es posible encontrar el desarrollo matemático completo en Internet.
Estos señores demostraron que se puede conseguir la clave completa
con sólo la primera palabra de un keystream. Para ello se buscan paquetes en
los que la IV no tenga información de la clave. Estos paquetes, conocidos como
paquetes resueltos, sólo tienen falta de información de un byte de la clave, por
lo que ese byte debe ser adivinado para que el siguiente paquete pueda ofrecer
información del siguiente byte de la llave. Este ataque puede resultar lento, por
lo que sólo se utilizan las IVs llamadas débiles que cumplen la condición
anterior. Cuando encontramos una IV débil (un paquete resuelto), existe sólo
un 5% de posibilidades de averiguar el byte de la clave, pero gracias al gran
número de paquetes que se mandan en una comunicación las probabilidades
de conseguir el objetivo deseado aumentan considerablemente.
Es importante que los primeros bytes de la clave sean adivinados con
éxito. Para ello se suelen seguir dos métodos. El primero es marcar los
paquetes resueltos y ver si las claves son correctas gracias a su ICV. El
segundo en cambio se basa en la posibilidad de que el usuario haya utilizado
una clave sencilla de recordar, por lo que los datos de la palabra clave deben ir
en código ASCII. Comprobando así si los bytes de la palabra clave coinciden
con elementos del código ASCII, la probabilidad de encontrar la palabra clave
aumenta.
Cuando se han recolectado suficientes IV’s débiles para un valor
concreto de un byte de la llave, el análisis estadístico muestra una tendencia
hacia un valor en particular para ese byte de la llave. Se le da una puntuación a
cada una de las 256 posibilidades según la probabilidad de ser el valor
correcto. La llave se intenta adivinar a partir de los valores con mayor
puntuación en el análisis estadístico. Los IV’s débiles no están distribuidos de
forma lineal a través del espacio de IV’s.
Sólo existen unos 9000 paquetes con IVs débiles de los
aproximadamente 16 millones de paquetes posibles, y además no están
dispuestos ni secuencial ni linealmente, por lo que es necesario captar un
número importante de paquetes para poder obtener la clave por este método.
Según estimaciones, se pueden conseguir las claves utilizando entre 2000 y
4000 paquetes resueltos, por lo que es necesario captar entre 5 y 10 millones
de paquetes normales para poder encontrar ese número de IVs débiles.
Se pueden encontrar en Internet de forma gratuita programas que
aprovechan la deficiencia de RC4 utilizando la metodología aquí descrita. Los
más populares son el Airsnort y el Wepcrack.
Para finalizar, debemos comentar que aunque las vulnerabilidades de
WEP son importantes y conocidas, representa una primera barrera u obstáculo
para acceder al sistema, pero deben ser utilizadas conjuntamente con otros
elementos de seguridad, que veremos más adelante.
7.3.3.6 WEP2
WEP2 utiliza una clave secreta de 104 bits, en lugar de los 40 bits que
usaba su predecesor. Esto, unido a los 24 bits del IV, hace que este protocolo

también se conozca con el engañoso nombre de “WEP de 128 bits” (aunque la

clave en sí sólo esté compuesta por 104) [1].
Este nuevo protocolo fue propuesto por primera vez en 2001 y
actualmente casi todos los dispositivos inalámbricos lo poseen, aunque todavía
existen fabricantes que no lo han terminado de aceptar. La aportación básica
de WEP2 a su antecesor es que, con él, el atacante que quiera hacerse con la
clave secreta por medio de la fuerza bruta, es decir, probando a partir de
algoritmos que contrarresten el RC4, tardará unas veinte semanas en obtener
resultados, lo cual, en comparación con los pocos días que se tarda en descifra
la clave en el protocolo WEP simple, supone una eternidad. Aún así, todavía
existen hackers a los que les vale la pena este tipo de ataques. Sin embargo, al
igual que en WEP, hay gran cantidad de métodos que permiten acceder a la
clave de forma mucho más rápida.
Existen dos contratiempos o problemas en el uso de WEP2. El primero
de ellos no es un problema en sí, sino una falta de mejora con respecto a WEP.
Y es que, como ya se ha visto, muchos de los ataques a WEP no dependen
más que del vector de inicialización; y éste, tanto en WEP como en WEP2 tiene
el mismo número de bits, es decir, 24, con lo cual no estamos añadiendo nada
nuevo en cuanto a seguridad (lo mismo da, en estos casos, que la clave tenga
40 ó 104 bits). Esta falta de mejora se debe a que cambiar la longitud del IV
implicaría cambios sustanciales en el hardware. El otro problema es que,
debido a la mayor longitud de la clave secreta, existe una carga añadida en el
proceso de encriptación de cada trama, la cual reduce el throughput.
A pesar de los problemas que implica el uso de WEP2, es conveniente
usarlo en lugar de WEP; y esto se debe a que, con el avance de las
tecnologías, los equipos informáticos son cada vez más potentes,
repercutiendo esto en dos aspectos distintos: dentro de poco, con la potencia
ofrecida por los ordenadores futuros, se podrá descifrar una clave WEP de 40
bits en unos pocos minutos, lo cual no ofrece prácticamente ninguna seguridad;
el otro aspecto es que la carga computacional añadida por una clave de 104
será absolutamente inapreciable, con lo que el uso de WEP2 no ofrecerá
ninguna desventaja con respecto a WEP.
7.3.4 VPN
El nombre de red privada virtual (VPN, `Virtual Private Network´), hace
referencia a un protocolo especial que permite conectar un ordenador a una red
de una forma segura. Este protocolo debe instalarse en cada uno de los
ordenadores que forman la red; no obstante, el propio sistema operativo
Windows incluye las herramientas necesarias para poder llevar a cabo esta
configuración de una forma fácil y cómoda [2].
Una VPN emplea tecnologías de cifrado para crear un canal virtual
privado sobre una red de uso público. Las VPN resultan especialmente
atractivas para proteger redes inalámbricas, debido a que funcionan sobre
cualquier tipo de hardware inalámbrico y superan las limitaciones de WEP.
Para configurar una red inalámbrica utilizando las VPN, debe
comenzarse por asumir que la red inalámbrica es insegura. Esto quiere decir
que la parte de la red que maneja el acceso inalámbrico debe estar aislada del

resto de la red, mediante el uso de una lista de acceso adecuada en un

enrutador, o agrupando todos los puertos de acceso inalámbrico en una VLAN
si se emplea switching. Dicha lista de acceso y/o VLAN solamente debe
permitir el acceso del cliente inalámbrico a los servidores de autorización y
autenticación de la VPN. Deberá permitirse acceso completo al cliente, sólo
cuando éste ha sido debidamente autorizado y autenticado.
Figura 7.17. Estructura de una VPN para acceso inalámbrico seguro
Los servidores de VPN se encargan de autenticar y autorizar a los

clientes inalámbricos, y de cifrar todo el tráfico desde y hacia dichos clientes.
Una red privada virtual cifra las comunicaciones entre el ordenador del usuario
y el servidor mediante un sistema que se conoce como tunelado. La
información transmitida de esta forma tendrá la garantía de no poder ser
descifrada hasta que no llegue a su destino [8].
El inconveniente de las redes privadas virtuales es que parte del caudal
transmitido tiene que dedicarse al cifrado de los datos; por tanto, son redes
algo menos eficientes. No obstante, si se está especialmente preocupado por
la seguridad de la red, sin duda, se trata de una buena medida de seguridad.
En el mercado existen distintos protocolos que permiten crear una red
privada virtual. Los más conocidos quizás sean IPSec, PPTP y L2TP [9].
IPSec (IP Secure). Protocolo de seguridad que opera sobre la capa
de red que proporciona un canal seguro para los datos. Ofrece
integridad, autenticación, control de acceso y confidencialidad para el
envío de paquetes IP por Internet.
PPTP (Point to Point Tunneling Protocol). Se trata de un protocolo
de red que permite la realización de transferencias desde clientes
remotos a servidores localizados en redes privadas. Para ello emplea
tanto líneas telefónicas conmutadas como Internet. PPTP es una
extensión de PPP que soporta control de flujos y túnel multiprotocolo
sobre IP. Los sistemas operativos Windows ofrecen crear una conexión
de este tipo.
L2TP (Layer 2 Tunneling Protocol). Encapsula características
PPTP y L2F como un todo, resolviendo los problemas de

interoperatividad entre ambos protocolos. Para seguridad de los datos

se apoya en IPSec.
En resumen, las ventajas que ofrece el crear una red privada virtual son
las siguientes:
La gestión de la red privada virtual es centralizada, escalable y
eficiente.
Ofrece seguridad a las comunicaciones inalámbricas Wi-Fi.
Ofrece seguridad a las comunicaciones con la red local desde
Internet o para cualquier otro tipo de acceso remoto.
El software de red privada virtual no tiene ningún coste adicional si se
utiliza Windows.
7.3.5 802.1X
Se trata de un protocolo de control de acceso y autenticación basado en
la arquitectura cliente/servidor, que restringe la conexión de equipos no
autorizados a una red. Fue diseñado originalmente para ser utilizado en redes
cableadas, de ahí que la numeración del estándar no coincida con la serie
802.11, pero posteriormente se adecuó muy bien a los procesos de
autenticación de redes inalámbricas por las características que veremos a
continuación. Muchos de los puntos de acceso que se fabrican en la actualidad
son compatibles con 802.1X.
Su característica principal es la de controlar el acceso a un dispositivo
mediante el control de un puerto lógico asociado, al que se conectan los
distintos dispositivos. Con esto se busca que sólo tras un proceso de
autenticación fuerte sea posible el acceso a un puerto determinado. Como es
obvio si el proceso de autenticación falla, el cliente no podrá acceder al servicio
proporcionado por el servidor.
Una de las ventajas que tiene este método de autenticación frente a
otros, es que se realiza punto a punto, es decir, de un extremo de la
comunicación hasta el otro, permitiendo así evitar los ataques de posibles
intrusos.
Antes de comenzar una descripción detallada, debemos aclarar que
cuando nos referimos a un puerto lo estamos haciendo tanto para un puerto
físico, por ejemplo el de una tarjeta Ethernet, como uno lógico, como el que se
puede encontrar entre dos aplicaciones en funcionamiento.
Si nos centramos en el sistema de referencia OSI para situar la acción
del 802.1x, vemos que se encuentra entre la capa MAC y las superiores, pero
con una peculiaridad respecto a los sistemas normales, que es que existen dos
formas de acceder a las capas superiores.
La primera de esas formas es mediante lo que se conoce como un
puerto sin autorización, que como veremos más adelante, será utilizado por los
distintos protocolos encapsulados en EAP (Extensible Authentication Protocol),
para poder realizar una comunicación entre por ejemplo el punto de acceso y el

servidor RADIUS de la red cableada, pudiéndose realizar así el proceso de

autenticación.
La segunda de las formas es utilizando el puerto con autorización, que
no puede ser usado hasta que el proceso de autenticación no ha sido pasado
correctamente. Este puerto se utiliza para el intercambio de datos entre el
cliente remoto que quiere acceder al sistema y la aplicación o servidor que se
encuentra en él.
En la siguiente figura veremos un pequeño esquema de lo comentado
anteriormente. Pero antes hay que especificar los distintos papeles que jugarán
cada elemento en la comunicación [12]:
Autenticador: Es el puerto receptor de la comunicación y será el
encargado de pasar las tramas al servidor de autenticación. En una
comunicación inalámbrica sería uno de los puertos del punto de acceso.
Suplicante: Es el puerto que desea acceder a los servicios
conectados al puerto autenticador. Representaría a la estación remota
en una comunicación inalámbrica.
Servidor de autenticación: Está asociado al autenticador mediante
un puerto lógico o físico, y es el encargado de validar la identidad
aportada por el suplicante y permitir o no su acceso a la red.
PAE: El puerto PAE (Port Access Entity), o también denominado
puerto LAN, es una entidad lógica que soporta el protocolo 802.1x
asociado con un puerto. Este puerto puede hacer de autenticador, de
suplicante o de ambos.
Como es lógico, los tres primeros elementos no tienen que representar
necesariamente a dispositivos físicos, por lo que es posible encontrar en
algunas configuraciones que por ejemplo el autenticador y el servidor se
encuentren localizados en el mismo dispositivo físico.
Figura 7.18. Modelo IEEE 802.1X
En la Figura 7.19 se aprecia como se crean dos puertos lógicos a partir

del mismo punto de unión con la LAN. Como ya se comentó uno, el no
controlado, es para el intercambio de PDU´s en el proceso de autenticación, y

el otro para el intercambio de PDU´s con el usuario final, una vez concluido y
validado el proceso de autenticación.
Al estar unidos ambos puertos al mismo punto, todas las tramas que
lleguen de la capa física estarán disponibles para los dos puertos, y será
encaminada por uno u otro camino dependiendo de la naturaleza de la PDU
recibida.
Por otro lado el sentido de las flechas indica hacia donde se dirigen las
tramas, por lo que las que vayan en sentido descendente serán destinadas al
mismo punto de unión de la capa física, ya provengan del puerto controlado o
del no controlado.
Figura 7.19. Representación de los puertos de 802.1X
En los dos ejemplos siguientes del sistema, se representan los dos

estados posibles que puede tener el puerto controlado. Si el puerto ha pasado
el proceso de autenticación entonces tendrá estado de autorizado y si no lo
pasa o simplemente está inactivo, entonces permanecerá en no autorizado.
Figura 7.20. Estado de acceso al puerto controlado de 802.1X

Existen tres modos de funcionamiento para el control del puerto. Estos

tres modos son forzar el autorizado, forzar el no autorizado y auto. En los dos
primeros queda claro que se cierra o se deja abierto el puerto hasta nueva
orden, mientras que el tercero depende del proceso de autenticación.
También es posible activar o desactivar la capa MAC sobre la que se
sustenta el 802.1x. Esta desactivación ya sea física o administrativa produce el
corte total de tráfico entre el suplicante y el autenticador. Como curiosidad, el
autenticador cambia el estado del puerto controlado a no autorizado, cuando
recibe la notificación de que la capa MAC ha sido desactivada.
Figura 7.21. Desactivación de la capa MAC en 802.1X
También es posible cambiar la dirección en la que se puede cursar el

tráfico por el puerto controlado. Las dos opciones son “Both”e “In”. Con la
primera se permite tanto el tráfico de entrada como el de salida por el puerto
controlado, mientras que con la segunda sólo se permite el tráfico de entrada,
es decir, desde la capa física hacia los niveles superiores. Hay que dejar bien
claro que este parámetro sólo puede ser cambiado por el administrador del
sistema para evitar cualquier tipo de ataque.
Una vez comentadas las características básicas del 802.1x, vamos a
centrarnos en su funcionamiento. Aunque como ya dijimos el 802.1x fue creado
para redes cableadas, sus características son idóneas para las redes
inalámbricas en las que existe un medio compartido como es el aire. Así pues
de todas las configuraciones posibles en las que 802.1x podría ser útil, dígase
FDDI, Token Ring, etc, sólo nos vamos a centrar en un escenario el que el
medio sea el aire y se utilice una tecnología inalámbrica.
Para poder realizar nuestra explicación supongamos que disponemos de
los elementos básicos y esenciales en este tipo de escenarios, es decir, una
estación móvil (MS) que se quiere conectar a una red cableada mediante un
punto de acceso (AP). Tanto nuestra MS como nuestro AP están provistos de
elementos compatibles con 802.1x. Así mismo existe un servidor de
autenticación (AS) que está conectado físicamente con el AP.

Figura 7.22. Esquema de comunicación y autenticación
Vemos por tanto que tenemos dos zonas diferenciadas en la

comunicación, la primera utiliza como medio físico el aire, y es el tramo
correspondido entre la MS y el AP. Entre ellos se utiliza EAPOL (EAP Over
LAN) para poder encapsular el protocolo EAP (Extensible Authentication
Protocol) en cualquiera de sus versiones. La segunda de las zonas es la zona
cableada entre el AP y el AS, y para comunicarse entre ellas se utiliza otro
protocolo de encapsulado del tipo AAA (un ejemplo de este protocolo podría
ser el RADIUS).
La autenticación del cliente se lleva a cabo mediante el protocolo EAP y
el servicio RADIUS, de la siguiente manera [8]:
El proceso se inicia cuando la estación de trabajo se enciende y
activa su interfaz de red (en el caso cableado) o logra enlazarse con un
punto de acceso (en el caso inalámbrico). En ese momento, la interfaz
de red tiene el acceso bloqueado para tráfico normal, y lo único que
admite es el tráfico EAPOL que es el requerido para efectuar la
autenticación.
La estación de trabajo manda un mensaje EAPOL-Star al
autenticador, indicando que desea iniciar el proceso de autenticación.
El autenticador solicita a la estación que se identifique, mediante un
mensaje EAP-Request/Identity.
La estación se identifica mediante un mensaje EAP-
Response/Identity.
Una vez recibida la información de identidad, el autenticador envía un
mensaje RADIUS-Access-Request al servidor de autenticación, y le
pasa los datos básicos de identificación del cliente.
El servidor de autenticación responde con un mensaje RADIUS-
Access-Challenge, en el cual envía información de un desafío que debe
ser correctamente resuelto por el cliente para lograr el acceso. Dicho
desafío puede ser tan sencillo como una contraseña, o involucrar una
función criptográfica más elaborada. El autenticador envía el desafío al
cliente en un mensaje EAP-Request.

El cliente da respuesta al desafío mediante un mensaje EAP-

Response dirigido al autenticador. Este último reenvía el desafío al
servidor en un mensaje RADIUS-Access-Response.
Si toda la información de autenticación es correcta, el servidor envía
al autenticador un mensaje RADIUS-Access-Accept, que autoriza al
autenticador a otorgar acceso completo al cliente sobre el puerto,
además de brindar la información inicial necesaria para efectuar la
conexión a la red.
El autenticador envía un mensaje EAP-Success al cliente, y abre el
puerto de acuerdo con las instrucciones del servidor RADIUS.
Figura 7.23. Diálogo EAPOL-RADIUS
En el caso del acceso inalámbrico, el servidor RADIUS despacha en el

mensaje RADIUS-Access-Accept un juego de claves WEP dinámicas, que se
usarán para cifrar la conexión entre el cliente y el punto de acceso. El servidor
RADIUS se encarga de cambiar estas claves dinámicas periódicamente. De
esta manera un supuesto intruso no tendría tiempo suficiente, estamos
hablando de unos pocos minutos, para descifrar el código, y caso de hacerlo,
sólo le serviría para los pocos mensajes que utilicen ese código WEP.
Existen varias variantes del protocolo EAP, según la modalidad de
autenticación que se emplee. Se puede hablar de dos grupos de variantes: las
que emplean certificados de seguridad, y las que utilizan contraseñas.
Las variantes de EAP que emplean certificados de seguridad son las
siguientes [7][10] [12]:
EAP-TLS. Requiere de la instalación de certificados en los clientes y
en el servidor. Proporciona autenticación mutua fuerte (es decir, el
servidor autentica al cliente y viceversa) y soporta el uso de claves
dinámicas para WEP. La sesión de autenticación entre el cliente y el
autenticador se cifra empleando el protocolo TLS (Transparent Layer
Substrate).

EAP-TTLS. Desarrollada por Funk Software y Certicom. Proporciona

servicios similares a EAP-TLS, con la diferencia de que requiere
solamente la instalación de un certificado en el servidor. Esto
garantizada la autenticación fuerte del servidor por parte del cliente; la
autenticación del cliente por parte del servidor se efectúa una vez que se
establece la sesión TLS, utilizando otro método tal como PAP, CHAP,
MS-CHAP ó MS-CHAP v2.
PEAP. Desarrollado por Microsoft, Cisco y RSA Security. Funciona
de manera parecida a EAP-TTLS, en el sentido de que sólo requiere de
certificado de seguridad en el servidor. Provee protección a métodos
más antiguos de EAP, mediante el establecimiento de un túnel seguro
TLS entre el cliente y el autenticador.
El empleo de certificados permite una autenticación fuerte entre cliente y
servidor, sin embargo posee también una serie de desventajas:
La administración de los certificados de seguridad puede ser costosa
y complicada, especialmente en los esquemas donde se necesitan
certificados en los clientes y en el servidor. Es necesario comprar los
certificados a una autoridad de certificación (CA) conocida, o montar una
CA propia.
El diálogo de autenticación es largo. Esto ocasiona que el proceso
sea algo demorado, siendo especialmente molesto para usuarios que
tienen que reautenticarse con mucha frecuencia (por ejemplo, usuarios
en movimiento que cambien de un punto de acceso a otro).
La manipulación del certificado puede ser engorrosa para el usuario.
En muchos casos se elige instalar el certificado en el terminal de
usuario, con lo cual, si el terminal es robado y el certificado es el único
nivel de seguridad que se posee, la seguridad de la red estaría en
riesgo.
Las variantes de EAP que utilizan contraseñas son las que se muestran
a continuación:
EAP-MD5. Emplea un nombre de usuario y una contraseña para su
autenticación. La contraseña se transmite cifrada con el algoritmo MD5.
Su gran inconveniente consiste en el bajo nivel de seguridad que
maneja, ya que es susceptible a ataques de diccionario (un atacante
puede ensayar a cifrar múltiples contraseñas con MD5 hasta que se
encuentre una cuyo texto cifrado coincida con la contraseña cifrada
capturada anteriormente). Además el cliente no tiene manera de
autenticar al servidor (no se podría garantizar que el cliente se está
conectando a la red adecuada), y el esquema no es capaz de generar
claves WEP dinámicas. Por estos problemas, EAP-MD5 ha caído en
desuso.
LEAP. Esta variante es propietaria de Cisco. Está basado al igual
que el EAP-MD5 en el uso de nombre de usuario y contraseña, y se la
transmite igualmente al RADIUS para que autentique su identidad. Pero
la ventaja de LEAP sobre el EAP-MD5, es que incorpora las mejoras
pertinentes para solucionar los principales problemas que presentaba
EAP-MD5. De entrada, cada usuario del sistema utilizará una llave WEP

distinta, que no le será revelada hasta que no concluya el proceso de

autenticación. Además se permite utilizar el servicio de reautenticación
del RADIUS, con lo que obtenemos un sistema WEP dinámico. El
parámetro relativo al tiempo entre los procesos de reautenticación es
modificable en el RADIUS. La ventaja que tiene este proceso es que en
ningún momento el usuario tiene que volver a introducir su nombre de
usuario y su contraseña, y que al cambiar en un intervalo relativamente
corto de tiempo, pocos minutos, la clave WEP, un intruso tendrá muchas
dificultades para poder descifrarla, y caso de conseguirlo, tendría poco
tiempo para usarla.
Así mismo se intenta poner remedio al otro gran problema del
EAPMD5, utilizando autenticación mutua, es decir que en LEAP se
autentican tanto el cliente como el servidor, para que así no quede
ninguna duda sobre la identidad de ninguno de ellos, y por tanto se
puedan evitar los ataques dirigidos a intentar engañar al usuario con un
punto de acceso falso, haciéndole creer que es una conexión segura.
Uno de los principales inconvenientes de LEAP es que al ser una
tecnología propietaria, exige que todos los puntos de acceso sean de la
marca Cisco, y que el servidor RADIUS sea compatible con LEAP.
EAP-SPEKE. Esta variante emplea el método SPEKE (Simple
Password-authenticated Exponential Key Exchange), que permite
verificar que tanto cliente como el servidor comparten una información
secreta (en este caso, una contraseña) a través de un medio inseguro.
Se ha comprado que el método es muy seguro, aun con contraseñas
cortas. Ofrece protección contra ataques de diccionario, así como el
servicio de autenticación mutua sin necesidad de certificados. Muchos
proveedores lo implementan por ser un método de autenticación robusto
y sencillo.
7.3.6 WPA (Wi-Fi Protected Access)

WPA es un estándar propuesto por los miembros de la Wi-Fi Alliance en
colaboración con la IEEE. Este estándar busca subsanar los problemas de
WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de
autenticación más robusto. Se trata por tanto de una “actualización” de WEP
mientras se desarrollaba el estándar 802.11i. WPA es compatible con el
hardware existente y sólo requiere cambios en el software [4][13].
Para solucionar el problema de cifrado de los datos, WPA propone un
nuevo protocolo para cifrado, conocido como TKIP (Temporary Key Integrity
Protocol). Este protocolo se encarga de cambiar la clave compartida entre
punto de acceso y cliente cada cierto tiempo, para evitar ataques que permitan
revelar la clave. Igualmente se mejoraron los algoritmos de cifrado de trama y
de generación de los IV´s, con respecto a WEP.
El mecanismo de autenticación usado en WPA emplea 802.1X y EAP,
que fueron estudiados en el apartado anterior.
En WPA nos encontramos con las siguientes mejoras respecto a WEP:

a) WPA soluciona la debilidad del vector de inicialización (IV) de WEP

mediante la inclusión de vectores del doble de longitud (48 bits) y
especificando reglas de secuencia que los fabricantes deben
implementar. Los 48 bits permiten generar 2 elevado a 48
combinaciones de claves diferentes, lo cual parece un número
suficientemente elevado como para tener duplicados. El algoritmo
utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida
por ambos extremos de la comunicación, se puede utilizar para evitar
ataques de repetición de tramas.
b) Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32
cuyas debilidades se demostraron en WEP y se ha incluido un nuevo
código denominado MIC.
c) Las claves ahora son generadas dinámicamente y distribuidas de
forma automática por lo que se evita tener que modificarlas
manualmente en cada uno de los elementos de red cada cierto tiempo,
como ocurría en WEP.
d) Para la autentificación, se sustituye el mecanismo de autentificación
de WEP por la terna 802.1X / EAP / RADIUS. Su inconveniente es que
requiere de una mayor infraestructura: un servidor RADIUS funcionando
en la red, aunque también podría utilizarse un punto de acceso con esta
funcionalidad.
Según la complejidad de la red, un punto de acceso compatible con
WPA puede operar en dos modalidades [8]:
Modalidad de red empresarial. Para operar en esta modalidad se
requiere de la presencia de un servidor RADIUS en la red. El punto de
acceso emplea entonces 802.1X y EAP para la autenticación, y el
servidor RADIUS suministra las claves compartidas que se usarán para
cifrar los datos.
Modalidad de red casera (PSK). Se opera en esta modalidad
cuando no se dispone de un servidor RADIUS en la red. Se requiere
entonces introducir una contraseña compartida en el punto de acceso y
en los dispositivos móviles. Solamente podrán acceder al punto de
acceso los dispositivos móviles cuya contraseña coincida con la del
punto de acceso. A diferencia de WEP, está contraseña sólo se utiliza
como punto de inicio para la autenticación, pero no para el cifrado de los
datos. Una vez logrado el acceso, TKIP entra en funcionamiento para
garantizar la seguridad del acceso. Se recomienda que las contraseñas
empleadas sean largas, porque se ha comprobado que WPA es
vulnerable a ataques de diccionario si se utiliza una contraseña corta.
La norma WPA data de abril de 2003, y es de obligatorio cumplimiento
para todos los miembros de la Wi-Fi Alliance a partir de finales de 2003. Según
la Wi-Fi Alliance todo equipo de red inalámbrica que posea el certificado Wi-Fi
podrá ser actualizado por software para que cumpla con la especificación WPA.

7.3.7 RSN (Robust Network Security)

RSN vio su aprobación final a finales de Julio del año 2004 y se
corresponde con la segunda parte (versión definitiva) del estándar 802.11i, de
ahí que también sea conocido como WPA2. Este estándar añadirá a las redes
inalámbricas seguridad más que suficiente y será totalmente compatible con
WPA. Como inconveniente, necesitará actualización hardware tanto de puntos
de acceso como de las estaciones [4].
Esta norma es totalmente compatible con WPA y añadirá además otros
algoritmos, sobre todo en la parte de cifrado, gracias a lo cual aumentará la
seguridad en las redes inalámbricas. La Wi-Fi Alliance, la organización que
fomentó la aparición de WPA, certifica como WPA2 a los fabricantes que
cumplan la norma 802.11i. A principios de Septiembre de 2004 se certificaron
los primeros fabricantes con productos con soporte para la norma WPA2.
Dentro de las características de esta norma nos encontramos con la
utilización de 802.1X y EAPOL como sistema de autenticación y con
compatibilidad hacia toda la tecnología WPA implantada.
Como principal característica nos encontramos los sistemas de cifrado,
que ciertos fabricantes, ya sabiendo que se iba a utilizar el algoritmo de cifrado
AES (Advanced Encryption Standard), un mecanismo extremadamente seguro
que mereció en su día la aprobación del Instituto NIST (National Institute of
Standards anda Technology), ya habían empezado a implantar.
El estándar 802.11i viene acompañado de tres protocolos de cifrado de
datos: TKIP para garantizar compatibilidad hacia atrás, WRAP (Wireless
Robust Authenticated Protocol) y CCM (Counter-Mode/CBC-MAC Protocol),
estos dos últimos basados en AES.
El algoritmo AES se trata de un cifrador de bloque que opera con
bloques y claves de longitudes variables. Permite claves de 128, 196 y hasta
256 bits. Es un algoritmo muy robusto y tardaría mucho tiempo en ser
crackeado. Se espera por tanto, que sea el referente en algoritmos de cifrado
durante los próximos años.
Hay que recalcar que AES tiene mucha mayor carga que RC4, su
predecesor en el cifrado Wireless, y mientras que uno se implementa en 50
líneas de código, el otro requiere más de 350. Esto implica una carga de
procesamiento muy grande que deberá ser subsanada con aceleradores
hardware.
7.4 ATAQUES MÁS COMUNES

Veamos algunos de los problemas más comunes de seguridad en redes
inalámbricas, y las posibles medidas a tomar para solucionarlos o en su defecto
mitigarlos [12].

1. Interceptación de los datos en el tramo entre el punto de acceso

y la estación móvil.
Al utilizar el aire como medio de transmisión, los datos pueden ser

escuchados por cualquiera, incluso a una distancia apreciable de los extremos
de una comunicación. El encargado hasta ahora de evitar esta actividad,
también conocida como sniffing, era el protocolo WEP, pero debido a sus
deficiencia y a que parte de la información de control no está codificada, se
puede desencriptar con facilidad, accediéndose así tanto a los datos como a
las claves del punto de acceso. Para estos ataques se utilizan las deficiencias
WEP que hemos visto en apartados anteriores.
Figura 7.24. Interceptación de los datos entre AP y cliente
Una posible solución pasa por encriptar los datos, extremo a extremo,
utilizando algoritmos de cifrados sin vulnerabilidades conocidas. Una de las
alternativas es utilizar el protocolo EAP en sus versiones TLS o TTLS.
2. Conseguir acceso a la red inalámbrica o cableada asociada a los

AP intervenidos.
Las redes inalámbricas suelen ir conectadas a redes cableadas, por lo

que es posible acceder a ellas desde uno de los accesos inalámbricos. Así por
muy segura que sea una red cableada, hay que cerrar los posibles agujeros de
seguridad de la parte inalámbrica para evitar el acceso a los datos del sistema.
Este ataque se puede realizar incluso cuando se utiliza la opción de algunos
APs de filtrar las direcciones MAC de los clientes que pueden acceder, ya que
es relativamente sencillo sustituir la dirección MAC de las tramas por una válida
resultado de hacer una “escucha”.
Figura 7.25. Acceso a red cableada por intruso inalámbrico

La mejor solución a este problema es utilizar métodos fuertes de

autenticación de la estación móvil. También sería recomendable utilizar un
cortafuego o una red virtual privada para separar el tráfico de la red inalámbrica
del de la cableada. Por métodos fuertes de autenticación nos referimos al uso
de servidores RADIUS con certificados basados en claves asimétricas.
3. Sustituir temporalmente un AP para que los usuarios finales

crean que están accediendo al punto correcto y dejen su
nombre de usuario y contraseña.
Consiste en colocar otro punto de acceso en el camino con el objetivo de

que los usuarios crean que es el correcto. Se suele poner cerca del correcto
pero utilizando mucha más potencia de emisión en la banda libre ISM, o
cuando el AP correcto está apagado.
Figura 7.26. Ataque por sustitución de AP
Otra variante de este ataque es la conocida como denegación de

servicio (DoS). Para realizar este ataque basta con escuchar durante un
momento la red y ver cual es la dirección MAC del Punto de Acceso. Una vez
conocemos su MAC, nos la ponemos y actuamos como si fuéramos nosotros
mismos el AP. Lo único que tenemos que hacer para denegarle el servicio a un
cliente es mandar mensajes continuos al receptor o a los receptores (con
dirección de destino “broadcast”) indicándoles que se desasocien del AP.
Existen en el mercado herramientas software que realizan este tipo de ataques,
como por ejemplo Wlan-jack o Dassoc.
Figura 7.27. Ataque por denegación de servicio

En ambos casos la mejor solución es la autenticación, pero no sólo de la

estación móvil, si no también del punto de acceso para que no existan dudas.
Para ello el AP dispondrá de un certificado firmado por una entidad de
confianza que acreditará que es quien dice ser.
4. Crear interferencias utilizando un transmisor de mayor potencia

que el AP en cuestión.
Aunque se suelen utilizar modulaciones adecuadas para utilizar la

misma banda por varios dispositivos, esta técnica puede deshabilitar la
comunicación o entorpecerla considerablemente gracias a la bajada de la tasa
de transmisión.
También se puede saturar al AP desde el cliente mediante el envío
continuo de mensajes PING, consiguiendo el mismo efecto de entorpecimiento
que con un transmisor de mayor potencia.
Figura 7.28. Saturación del AP por parte del intruso
Este tipo de ataque es difícil de prevenir, aunque es posible utilizar

equipos de rastreo o analizadores de redes para localizar la fuente interferente
o intruso que se dedica a entorpecer la comunicación.
5. Realizar sabotajes sobre la estructura física de la red

inalámbrica.
Esto consistiría en manipular los puntos de acceso, encaminadores,

puentes, servidores, etc, que dan servicio a la red inalámbrica.
Es recomendable para evitar estos ataques, mantener el equipo crítico
bajo una estructura física de vigilancia, colocada en un edificio con acceso
restringido.
Aunque esto parezca una obviedad, la mayoría de los equipos de
seguridad son fácilmente accesibles por empleados o personal ajeno a la
entidad a la que protege.

Figura 7.29. Posibles puntos de sabotaje físico
6. Descubrir ESSID ocultas
Para que un cliente y un AP se puedan comunicar, ambos deben tener

configurado el mismo ESSID, es decir, deben pertenecer a la misma red
inalámbrica. Una medida de seguridad bastante común es “ocultar” el ESSID,
es decir, hacer que el AP no mande ‘beacon frames’, o en su defecto no incluya
el ESSID en éstos.
Figura 7.30. Detección de ESSID oculto
En este caso, para descubrir el ESSID deberíamos escuchar y esperar a

que un cliente se conectara, y veríamos el ESSID en la trama ‘prove request’
del cliente (en el caso de que no se manden ‘beacon frames’), o en la trama
‘prove response’ del AP. Pero como esta maniobra puede retrasarse un tiempo
indeterminado, podemos “provocar” la desconexión de un cliente, utilizando el
mismo método que en el ataque DoS, mandando una trama de desconexión a
un cliente conectado y esperar a que este intente conectarse de nuevo al AP.
Será entonces cuando se descubra el ESSID que irá implícito en las tramas
anteriormente indicadas. Como en ataques anteriores, las herramientas
necesarias se pueden encontrar en Internet, en este caso concreto en la
aplicación Essid-jack, perteneciente al paquete Air-jack.

Este problema tiene difícil solución, aunque al fin y al cabo no es del

todo peligroso ya que sólo obtiene el ESSID del AP, y no consigue ningún tipo
de acceso al sistema.
7. Ataque “Man in the middle”
El objeto final del ataque es muy sencillo. Un intruso busca engañar

tanto al AP como al cliente autorizado en un enlace inalámbrico, es decir, hacer
creer al AP que el cliente autorizado es él (el intruso), y que el cliente
autorizado piense que el AP también es él (el intruso de nuevo).
Figura 7.31. Situación antes del ataque “Man in the middle”
Para realizar este ataque el intruso debe conocer el ESSID del AP, así
como las direcciones MAC del AP y el cliente. Esto le servirá para realizar las
conexiones por la capa de enlace perteneciente al modelo de referencia OSI.
Para conocer los datos necesarios para el ataque, se utilizan “sniffing”
(“escucha”) y otros ataques vistos anteriormente como la búsqueda de ESSID
ocultas.
Una vez con estos datos, utilizamos el ataque de denegación de servicio
(DoS), para desconectar al cliente del AP. Es en ese momento en el que
entramos en acción realizando las siguientes tareas.
Por un lado la tarjeta Wi-Fi de la víctima empezará entonces a escanear
canales en busca de un AP para poderse autenticar, y ahí es donde entra en
juego el atacante. El atacante hace creer a la víctima que él es el AP real,
utilizando la misma MAC y el mismo ESSID que el AP al que la víctima estaba
autenticada anteriormente, pero operando por un canal distinto.
Figura 7.32. Situación después del ataque “Man in the middle”

Además, por otra parte, el atacante debe asociarse con el AP real,

utilizando la dirección MAC de la víctima.
De esta manera el intruso consigue que todo el tráfico entre el AP y el
cliente pase por sus manos sin que las dos víctimas se den cuenta. Además de
escuchar el tráfico entre las dos estaciones puede introducir paquetes en
ambas direcciones sin ser detectado.
Este ataque es muy fácil de implementar utilizando el software Monkey-
jack perteneciente al paquete Air-jack, que como vimos antes se distribuye de
forma gratuita por Internet.
Como en casos anteriores este problema se podría solucionar utilizando
un sistema de autenticación fuerte tanto en el servidor como en el cliente. De
esta manera el intruso tendría que acreditar que es el cliente y el servidor al
mismo tiempo, tarea que se antoja bastante complicada.
8. Ataque ARP poisoning
Este ataque está dirigido a acceder a redes cableadas que estén

conectadas mediante un punto de acceso a una red inalámbrica. El problema
de este ataque es que sólo es efectivo a nivel de enlace, y por lo tanto sólo se
propagará o tendrá acceso hasta donde se encuentre un router.
Por otro lado se propaga perfectamente por dispositivos que trabajan a
nivel de enlace como es el caso de puentes (tanto bridges normales como
transparentes), repetidores (hubs) y conmutadores (switches).
Figura 7.33. Situación antes del ataque “ARP poisoning”

El ataque no es más que crear una situación de “Man in the middle”,

pero esta vez utilizando como extremos de la comunicación a dos de los
elementos de la red cableada. El intruso será un dispositivo inalámbrico
conectado al AP por algunas de las técnicas ya vistas.
La mayoría de los puntos de acceso actúan como bridges transparentes
de capa 2, lo que permite que los paquetes ARP pasen de la red inalámbrica
hacia la LAN donde está conectado el AP y viceversa. Esto permite que se
ejecuten ataques de ARP cache poisoning contra sistemas que están situados
detrás del Punto de Acceso, como por ejemplo servidores conectados a un
switch en una LAN a los que se pueda acceder a través de la WLAN.
Esto se puede entender más fácilmente si se observa la Figura 7.33. El
servidor PC 1 se comunica con PC 3 a través del switch, si un atacante desde
la WLAN envenena la tabla de ARP’s de PC 1 y de PC 3 podrá realizar un
ataque del tipo “Man in the Middle” situándose entre los dos hosts de la red con
cables. Así es como se efectuaría la comunicación después del ataque.
El atacante manda paquetes ARP REPLY a PC 2 diciendo que la
dirección IP de PC 1 la tiene la dirección MAC del atacante, de esta manera
consigue “envenenar” la caché de ARP’s de PC 2. Luego realiza la misma
operación atacando a PC 1 y haciéndole creer que la dirección IP de PC 2 la
tiene también su propia MAC. Como ARP es un protocolo de estado, PC 1 y
PC 2 actualizan su caché de acuerdo a la información que el atacante ha
inyectado a la red. Como el switch y el AP forman parte del mismo dominio de
broadcast, los paquetes ARP pasan de la red inalámbrica a la red cableada sin
ningún problema.
El ataque lo podemos ver representado gráficamente en la Figura 7.34.
Figura 7.34. Situación después del ataque “ARP poisoning”

Para hacer frente a este tipo de ataque, se puede optar además de la ya

mencionada autenticación fuerte entre el AP y el cliente inalámbrico para evitar
que intrusos accedan al sistema, por utilizar un cortafuego entre la red
inalámbrica y la cableada. De esta manera sólo el tráfico autorizado pasará de
un lado de la red a otra. También existen otros métodos más ingeniosos pero
que pueden complicar el diseño de la red como crear VLANs en el switch (una
para la red cableada y otra para la inalámbrica), o usar ARP estáticas con los
problemas que eso conlleva tanto de mantenimiento como de eficiencia.
7.5 CONCLUSIONES
La seguridad en las redes inalámbricas es una necesidad, dadas las
características de la información que por ellas se transmite. Sin embargo, la
gran cantidad de las redes inalámbricas actualmente instaladas no tienen
configurada seguridad alguna, o poseen un nivel de seguridad muy débil, con lo
cual se está poniendo en peligro la confidencialidad e integridad de dicha
información.
Existen diversas soluciones para mejorar la seguridad en las redes
inalámbricas. Su implementación depende del uso que se vaya a dar a la red,
de si es una red existente o una nueva, y del presupuesto del que se disponga
para implantarla, entre otros factores.
La restricción de acceso mediante direcciones MAC es insuficiente para
cualquier red, dado el gran número de herramientas disponibles para cambiar
la dirección MAC de una tarjeta cualquiera.
El método mediante WEP con clave estática es el mínimo nivel de
protección que existe. En una red casera puede ser suficiente; en una
corporativa, el uso de WEP está formalmente desaconsejado, por la facilidad
con la que se pueden romper las claves WEP en un entorno de alto tráfico.
El uso de las VPN es una alternativa interesante cuando ya se tiene una
red inalámbrica, y no se posee hardware inalámbrico que soporte el protocolo
802.1X. Requiere de la instalación de software especializado en los clientes
inalámbricos, y de un servidor o una serie de servidores que manejen las
tareas de cifrado de datos, autenticación y autorización de acceso.
La alternativa de 802.1X y EAP es la adecuada si los equipos de la red
inalámbrica se pueden actualizar, o si se va a montar una red nueva. Puede
usarse la solución de WEP con clave dinámica, o la de WPA; ambas ofrecen un
buen grado de protección de los datos.
Finalmente, todo mecanismo de protección de la información en una red
debe estar enmarcado dentro de una política de seguridad adecuada. El
seguimiento de una política consistente evita que las medidas de protección se
vuelvan un obstáculo para el trabajo habitual con los sistemas de información, y
garantiza la calidad y confidencialidad de la información presente en los
sistemas de la empresa.

7.6 REFERENCIAS
[1] Mengíbar Rosales, Anastasio Manuel: “Sistemas Wireless 802.11a, 802.11b
y 802.11g”, 2004.
[2] Carballar Falcón, José Antonio: “Wi-Fi. Cómo construir una red inalámbrica”,
Ed. Ra-Ma 2003.
[3] Alonso Montes, José Ignacio; Franco Beltrán, Carlos; Mellado García,
Francisco; Pérez Subías, Miguel; Plaza Fernández, José Fabián; Ramos
González, Victoria: “La situación de las tecnologías WLAN basadas en el
estándar IEEE 802.11 y sus variantes (“Wi-Fi”)”. 2004.
[4] Doncel Campos, Eloy; Orovitg Cardona, Jaime: “Seminario de Redes
Inalámbricas Wi-Fi”, 2005.
[5] Néstor Carralero: “La realidad sobre la seguridad en redes LAN
inalámbricas”. Marzo 2003.
[6] Oliva Fora, Pau: “Inseguridad en redes 802.11b”. Marzo de 2003.
[7] García López, Francisco: “WPA, seguridad en redes inalámbricas”.
[8] Madrid Molina, Juan Manuel: “Seguridad en redes inalámbricas 802.11”.
Abril 2004.
[9] Zárate Pérez, Jorge A.: “Consideraciones para redes inalámbricas”.
[10] Alapont Miquel, Vicent: “Seguridad en redes inalámbricas”.
[11] Aracena Urrutia, Carlos; Araya Valenzuela, Cristian: “Seguridad en redes
Wi-Fi”.
[12] Corcía Palomo, José Juan: “Solución de seguridad en redes inalámbricas,
802.1x”, 2004.
[13] Sánchez López, Miguel: “Seguridad en redes locales inalámbricas”, 2004.
[14] http://www.wifimaps.com
[15] http://www.libera.net

CapÃ - Tulo 7.pdf

Cargado por

Copyright:

Formatos disponibles

CapÃ - Tulo 7.pdf

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CapÃ - Tulo 7.pdf

Cargado por

Copyright:

Formatos disponibles

CAPÍTULO 7

SEGURIDAD EN LAS REDES

7.2 WARCHALKING Y WARDRIVING

Juan José Yunquera Torres 138

Figura 7.1. Acceso no autorizado a una red inalámbrica

Muchos administradores de redes parecen no haberse dado cuenta de

Figura 7.2. Resultados globales

Juan José Yunquera Torres 139

Los ingenieros de la empresa Libera Networks [15], dedicada al diseño,

Existen dos prácticas bien conocidas para la localización de redes

Juan José Yunquera Torres 140

Figura 7.3. Warchalking y su simbología

7.3 MECANISMOS DE SEGURIDAD

Juan José Yunquera Torres 141

desplazamiento común a través de múltiples Puntos de Acceso. Diferentes

7.3.2 Filtrado de direcciones MAC

Juan José Yunquera Torres 142

autorizados a comunicarse con y a través de él. Este método de filtrar las

Juan José Yunquera Torres 143

Service), que comprenderá varios clientes y puntos de acceso. La compartición

Juan José Yunquera Torres 144

Figura 7.4. Intercambio de mensajes en la autenticación

El funcionamiento del proceso está basado en un desafío, una respuesta

Figura 7.5. Formato de las tramas de autenticación

Juan José Yunquera Torres 145

7.3.3.2 Funcionamiento de WEP

Figura 7.6. Proceso de generación de llaves

Juan José Yunquera Torres 146

Figura 7.7. Selección de una llave

Añadimos el Vector de Inicialización (IV) de 24 bits al principio de la

Figura 7.8. Formato llave de 64 bits

Aplicamos el algoritmo RC4 al conjunto IV+Key y conseguiremos el

Figura 7.9. Paso 4 del proceso de cifrado

Juan José Yunquera Torres 147

Añadimos la cabecera y el IV+Keynumber sin cifrar. Así queda la

Figura 7.10. Formato de la trama completa

Si vemos el proceso de encriptación en conjunto, contemplando todas

Figura 7.11. Proceso de encriptación WEP

En el receptor se lleva a cabo el proceso de descifrado, que es

Juan José Yunquera Torres 148

Si los dos ICV son iguales, la trama se acepta. En caso contrario la

Figura 7.12. Proceso de desencriptación WEP

7.3.3.3 Deficiencias de la encriptación WEP

• Características lineales de CRC32

Esta vulnerabilidad fue demostrada teóricamente por Nikita Borisov, Ian

Juan José Yunquera Torres 149

Figura 7.13. Detalle del ataque bit flipping

A continuación se indican los pasos a seguir para realizar dicho

• MIC independiente de la llave

Esta vulnerabilidad fue demostrada teóricamente por David Wagner

Juan José Yunquera Torres 150

Un atacante captura un paquete c = m ⊕ k donde m es conocido (por

Figura 7.14. Paquete listo para ser enviado a la red

• Tamaño corto del IV

Esta vulnerabilidad fue demostrada teóricamente por David Wagner

Juan José Yunquera Torres 151

La clave a utilizar para la encriptación viene dada por:

7.3.3.4 Deficiencias de la autenticación

7.3.3.5 Ataques a WEP