Mecanismos y protocolos de seguridad: WEB,

WPA, WPA-PSK, WEP2

4.1.1 WEB
Seguridad WEB
IEEE 802.11: es el estndar de la IEEE 802.11 propone tres servicios bsicos de seguridad
para el entorno de las WLAN.
RC4: es el sistema de cifrado de flujo de aplicaciones de software utilizado ms
ampliamente. Entre numerosas aplicaciones este codificador es usado para proteger el
trfico de internet como parte de SSL y est integrado dentro de Microsoft Windows , as
mismo, es parte de los protocolos de cifrado ms comunes como WEB y WPA para tarjetas
inalmbricas.
RC4 fue diseado por Ron Rives en 1987. RC4 tiene un estado interno secreto, el cual
funciona como una permutacin de todas las N=2n don de los n son los bits de las palabras
asociados con dos ndices.

Principales mecanismos de seguridad usados en las

WLAN
El protocolo WEB es un sistema de encriptacin estndar propuesto por el comit 802.11,
implementada en la capa MAC y soportado por la mayora de los vendedores de soluciones
inalmbricas. En ningn caso es comparable con IPSec. WEB comprime y cifra los datos
que se envan a travs de una onda de radio.
Con WEB, la tarjeta de red encripta el cuerpo y el CRC de la trama 802.11 antes de la
transmisin utilizando el algoritmo de encriptacin RC4 proporcionado por RSA Security.
La estacin receptora, sea un punto de acceso o una estacin cliente es la encargada de
desencriptar la trama.

WEB (Wired Equivalen Privacy): Es el algoritmo opcional de seguridad establecido en la

norma IEEE 802.11. Los objetivos de la WEB, segn el estndar, son proporcionar
confidencialidad, autentificacin y control de acceso en redes WLAN.
El propsito de la encriptacin WEB es incrementar el nivel de seguridad para aquellos
dispositivos habilitados con WEB, con la finalidad de obtener el nivel de seguridad que los
dispositivos en redes cableadas.
WEB especfica una llave secreta compartida de 40 o 64 bits para encriptar y desencriptar,
utilizando la encriptacin simtrica.
La funcionalidad de esta clave en WEB es que se utiliza una misma clave simtrica y
esttica en las estaciones y el punto de acceso. El estndar no contempla ningn mecanismo
de distribucin automtica de clave, lo que obliga a escribir la clave manualmente en cada
una de los elementos de la red. Esto genera varios inconveniente. Por un lado, la clave esta
almacenada en todas las estaciones, aumentando las posibilidades de que sea
comprometida. Y por otro, la distribucin manual de la claves provoca un aumento de
mantenimiento por parte del administrador de la red, lo que conlleva, en la mayora de las
ocasiones, que la clave se cambie poco o nunca.
El estndar IEEE 802.11 utiliza el protocolo WEB para la confidencialidad de la
informacin. Desafortunadamente, la integridad de la informacin es vulnerable a los
ataques y si sus mecanismos de autenticacin pueden ser vencidos. Adems de que el
protocolo de encriptacin usado en la WEB ha sido comprometido seriamente y los
Software de ruptura de claves WEB son ampliamente difundidos en internet.

Debilidad del vector de iniciacin

La implementacin del vector de iniciacin (IV) en el algoritmo de WEB tiene varios
problemas de seguridad.
Recordamos que el IV es la parte que vara de la clave (seed) para impedir que un posible
atacante recopile suficiente informacin cifrado con una misma clave.

El vector iniciacin (conocido por sus siglas en ingles IV) es un bloque de bits que es
requerido para permitir un cifrado o un cifrado por bloques.

Ataques pasivos
Un ataque pasivo, es aquel donde se identifican secuencias seudoaleatorias iguales. Ocurre
por la debilidad de los algoritmos de streaming (distribucin de multimedia a travs de un
red) y del RC4. Puede servir para realizar activos ya que con l se obtiene la clave.

Ataque activos

Repeticin de paquetes. Aprovechando que WEB no utiliza estados anteriores ni

guarda estados.
Inyeccin o permutacin de bits: utilizando el sistema de integridad dbil.
Inyeccin de paquetes encriptados: s se conoce un texto y su encriptacin, se puede

encriptar un paquete sin conocer la clave.

Por dos extremos: utilizando una maquina desde internet se puede generar trfico
que luego sea cifrado por el AP hacia las estaciones Wireless.

3.4.2 WAP
Wi-Fi Protected Access, llamado tambin WPA (en espaol Acceso Wi-Fi protegido) es
un sistema para proteger las redes inalmbricas (Wi-Fi); creado para corregir las
deficiencias del sistema previo, Wired Equivalent Privacy (WEP).
WAP es una versin "liviana" del protocolo 802.11i que depende de protocolos de
autenticacin y de un algoritmo de cifrado cerrado: TKIP (Protocolo de integridad de clave
temporal) El TKIP genera claves aleatorias y, para lograr mayor seguridad, puede alterar
varias veces por segundo una clave de cifrado.
El funcionamiento de WPA se basa en la implementacin de un servidor de autenticacin
(en general un servidor RADIUS) que identifica a los usuarios en una red y establece sus
privilegios de acceso. No obstante, redes pequeas pueden usar una versin ms simple de
WPA, llamada WPA-PSK, al implementar la misma clave de cifrado en todos los
dispositivos, con lo cual ya no se necesita el servidor RADIUS.
El WPA (en su primera construccin) slo admite redes en modo infraestructura, es decir
que no se puede utilizar para asegurar redes punto a puntos inalmbricos (modo "ad-hoc").
Caractersticas de WPA
Las principales caractersticas de WPA son la distribucin dinmica de claves, utilizacin
ms robusta del vector de inicializacin (mejora de la confidencialidad) y nuevas tcnicas
de integridad y autentificacin.
WPA incluye las siguientes tecnologas:
IEEE 802.1X.
Estndar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en
puertos. El concepto de puerto, en un principio pensado para las ramas de un switch,

tambin se puede aplicar a las distintas conexiones de un punto de acceso con las
estaciones. Las estaciones tratarn entonces de conectarse a un puerto del punto de acceso.
El punto de acceso mantendr el puerto bloqueado hasta que el usuario se autentifique. Con
este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization
Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service). Si la
autorizacin es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS
puede contener polticas para ese usuario concreto que podra aplicar el punto de acceso
(como priorizar ciertos trficos o descartar otros).
EAP.
EAP, definido en la RFC 2284, es el protocolo de autentificacin extensible para llevar a
cabo las tareas de autentificacin, autorizacin y contabilidad.
EAP fue diseado originalmente para el protocolo PPP (Point-to-Point Protocol), aunque
WPA lo utiliza entre la estacin y el servidor RADIUS. Esta forma de encapsulacin de
EAP est definida en el estndar 802.1X bajo el nombre de EAPOL (EAP over LAN).
TKIP (Temporal Key Integrity Protocol).
Segn indica Wi-Fi, es el protocolo encargado de la generacin de la clave para cada trama.
MIC (Message Integrity Code) o Michael. Cdigo que verifica la integridad de los datos de
las tramas.

4.1.3 WPA-Personal (WPA-PSK)

Es el sistema ms simple de
control de acceso tras WEP, a
efectos prcticos tiene la misma
dificultad de configuracin que
WEP,

una

compartida,
gestin

clave
sin

dinmica

comn

embargo,
de

la

claves

aumenta notoriamente su nivel de

seguridad. PSK se corresponde con las iniciales de Pre-Shared Key y viene a significar
clave compartida previamente, es decir, a efectos del cliente basa su seguridad en una
contrasea compartida.
WPA-PSK usa una clave de acceso de una longitud entre 8 y 63 caracteres, que es la clave
compartida. Al igual que ocurra con WEP, esta clave hay que introducirla en cada una de
las estaciones y puntos de acceso de la red inalmbrica. Cualquier estacin que se
identifique con esta contrasea, tiene acceso a la red.
Las caractersticas de WPA-PSK lo definen como el sistema, actualmente, ms adecuado
para redes de pequeas oficinas o domsticas, la configuracin es muy simple, la seguridad
es aceptable y no necesita ningn componente adicional.
Debilidades de WPA-PSK:
La principal debilidad de WPA-PSK es la clave compartida entre estaciones. Cuando un
sistema basa su seguridad en un contrasea siempre es susceptible de sufrir un ataque de
fuera bruta, es decir ir comprobando contraseas, aunque dada la longitud de la contrasea
y si est bien elegida no debera plantear mayores problemas.

WPA-Empresarial (WPA-EAP)

En redes corporativas resultan imprescindibles otros mecanismos de control de acceso ms

verstiles y fciles de mantener como por ejemplo los usuarios de un sistema identificados
con nombre/contrasea o la posesin de un certificado digital. Evidentemente el hardware
de un punto de acceso no tiene la capacidad para almacenar y procesar toda esta
informacin por lo que es necesario recurrir a otros elementos de la red cableada para que
comprueben unas credenciales.
Los clientes WPA tienen que estar configurados para utilizar un sistema concreto de
validacin que es completamente independiente del punto de acceso. Los sistemas de
validacin WPA pueden ser, entre otros, EAP-TLS, PEAP, EAP-TTLS.

4.1.4 WPA2
WPA2 es el nombre que recibe el estndar 802.11i, el cual fue adoptado en junio del 2004,
introdujo varios cambios fundamentales, como la separacin de la autenticacin de usuario
de la integridad y privacidad de los mensajes, proporcionando una arquitectura robusta y
escalable, que sirve igualmente para las redes locales domsticas como para los grandes
entornos de redes corporativas.
La nueva arquitectura para las redes wireless se llama RSN (Robust Security Network
Red de seguridad robusta) y utiliza autenticacin 802.1X, distribucin de claves robustas y
nuevos mecanismos de integridad y privacidad. Adems de tener una arquitectura ms
compleja, RSN proporciona soluciones seguras y escalables para la comunicacin
inalmbrica.
802.1x es un protocolo de control de acceso y autenticacin basado en la arquitectura
cliente/servidor, que restringe la conexin de equipos no autorizados a una red. El protocolo
fue inicialmente creado por IEEE para uso en redes de rea local alambradas, pero se ha
extendido tambin a las redes inalmbricas.

La autenticacin 802.1X para WLAN se basa en tres componentes principales:

-

El solicitante (generalmente el software cliente).

El autenticador (el punto de acceso).
El servidor de autenticacin remota (por lo general, pero no necesariamente, un
servidor RADIUS - Remote Authentication Dial-In User Service).

El estndar 802.11i hace pequeas modificaciones a IEEE 802.1X para que las redes
inalmbricas estn protegidas frente al robo de identidades. La autenticacin de mensajes se
ha incorporado para asegurarse de que tanto el solicitante, como el autenticador calculen
sus claves secretas y activen el cifrado antes de acceder a la red.

Fuentes:
http://www.uv.mx/personal/mansuarez/files/2012/05/Mecanismos-de-Seguridad-en-RedesInalambricasProtegido.pdf
http://www.uv.es/~montanan/ampliacion/trabajos/SeguridadWireless.pdf
https://prezi.com/g4ejamjy6yo-/protocolos-de-seguridad-y-mecanismos-de-seguridad-pararedes/
http://smr.iesharia.org/wiki/doku.php/src:ut7:proyectos:seguridad:wpa
http://profesores.elo.utfsm.cl/~agv/elo322/1s12/project/reports/RuzRiverosVaras.pdf

http://www.saulo.net/pub/inv/SegWiFi-art.htm
http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf
http://www.uv.mx/personal/mansuarez/files/2012/05/Mecanismos-de-Seguridad-en-RedesInalambricasProtegido.pdf
http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf
https://rinuex.unex.es/modules.php?op=modload&name=Textos&file=index&serid=39