¿WPA?

Publicado por D3M0N, 27 de Febrero de 2011, 12:28:06 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

D3M0N

Wi-Fi Protected Access
(Redirigido desde WPA)

WPA (Wi-Fi Protected Access, Acceso Protegido Wi-Fi) es un sistema para proteger las redes inalí¡mbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado).[1] Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilizaciín del vector de inicializaciín (IV), del cual se derivan ataques estadí­sticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayorí­a del estí¡ndar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-Fi).

WPA adopta la autenticaciín de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseíñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticaciín mediante clave compartida ([PSK], Pre-Shared Key), que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.

Historia

WPA fue diseíñado para utilizar un servidor de autenticaciín (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a travís del protocolo 802.1x ); sin embargo, tambiín se puede utilizar en un modo menos seguro de clave pre-compartida (PSK - Pre-Shared Key) para usuarios de casa o pequeíña oficina.[2] [3] La informaciín es cifrada utilizando el algoritmo RC4 (debido a que WPA no elimina el proceso de cifrado WEP, sílo lo fortalece), con una clave de 128 bits y un vector de inicializaciín de 48 bits.

Una de las mejoras sobre WEP, es la implementaciín del Protocolo de Integridad de Clave Temporal (TKIP - Temporal Key Integrity Protocol), que cambia claves diní¡micamente a medida que el sistema es utilizado. Cuando esto se combina con un vector de inicializaciín (IV) mucho mí¡s grande, evita los ataques de recuperaciín de clave (ataques estadí­sticos) a los que es susceptible WEP.

Adicionalmente a la autenticaciín y cifrado, WPA tambiín mejora la integridad de la informaciín cifrada. La comprobaciín de redundancia cí­clica (CRC - Cyclic Redundancy Check) utilizado en WEP es inseguro, ya que es posible alterar la informaciín y actualizar la CRC del mensaje sin conocer la clave WEP. WPA implementa un cídigo de integridad del mensaje (MIC - Message Integrity Code), tambiín conocido como "Michael". Ademí¡s, WPA incluye protecciín contra ataques de "repeticiín" (replay attacks), ya que incluye un contador de tramas.

Al incrementar el tamaíño de las claves, el nímero de llaves en uso, y al agregar un sistema de verificaciín de mensajes, WPA hace que la entrada no autorizada a redes inalí¡mbricas sea mucho mí¡s difí­cil. El algoritmo Michael fue el mí¡s fuerte que los diseíñadores de WPA pudieron crear, bajo la premisa de que debí­a funcionar en las tarjetas de red inalí¡mbricas mí¡s viejas; sin embargo es susceptible a ataques. Para limitar este riesgo, los drivers de las estaciones se desconectarí¡n un tiempo definido por el fabricante, si reciben dos colisiones Michael en menos de 60 segundos, podrí¡n tomar medidas, como por ejemplo reenviar las claves o dejar de responder durante un tiempo especí­fico.

Seguridad, ataques WPA TKIP

TKIP es vulnerable a un ataque de recuperaciín de keystream, esto es, serí­a posible reinyectar trí¡fico en una red que utilizara WPA TKIP.[4] Esto es posible por diversas causas, algunas de ellas heredadas de WEP. Entre las causas, cabe destacar la evasiín de las medidas anti reinyecciín de TKIP y se sigue una metolodogí­a similar a la utilizada en el popular ataque CHOP CHOP sobre el protocolo WEP. La evasiín de protecciín anti reinyecciín de TKIP es posible debido a los diversos canales que se utilizan en el modo QoS especificado en el estí¡ndar 802.11ie, aunque tambiín existe la posibilidad de aplicarlo en redes no QoS.


Diccionario:

RADIUS: RADIUS (acrínimo en inglís de Remote Authentication Dial-In User Server). Es un protocolo de autenticaciín y autorizaciín para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.

Cuando se realiza la conexiín con un ISP mediante mídem, DSL, cablemídem, Ethernet o Wi-Fi, se enví­a una informaciín que generalmente es un nombre de usuario y una contraseíña. Esta informaciín se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la peticiín a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la informaciín es correcta utilizando esquemas de autenticaciín como PAP, CHAP o EAP. Si es aceptado, el servidor autorizarí¡ el acceso al sistema del ISP y le asigna los recursos de red como una direcciín IP, y otros parí¡metros como L2TP, etc.

Una de las caracterí­sticas mí¡s importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexiín, así­ que al usuario se le podrí¡ determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propísitos estadí­sticos.

RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red(NAS), mí¡s tarde se publicí como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de cídigo abierto. Las prestaciones pueden variar, pero la mayorí­a pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administraciín centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes).

RADIUS es extensible; la mayorí­a de fabricantes de software y hardware RADIUS implementan sus propios dialectos.

CRC: Comprobaciín de redundancia cí­clica, un mecanismo de detecciín de errores en sistemas digitales.

Advanced Encryption Standard: Advanced Encryption Standard (AES), tambiín conocido como Rijndael (pronunciado "Rain Doll" en inglís), es un esquema de cifrado por bloques adoptado como un estí¡ndar de cifrado por el gobierno de los Estados Unidos. El AES fue anunciado por el Instituto Nacional de Estí¡ndares y Tecnologí­a (NIST) como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 despuís de un proceso de estandarizaciín que durí 5 aíños (víase proceso de Advanced Encryption Standard para mí¡s detalles). Se transformí en un estí¡ndar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos mí¡s populares usados en criptografí­a simítrica.

El cifrador fue desarrollado por dos criptílogos belgas, Joan Daemen y Vincent Rijmen, ambos estudiantes de la Katholieke Universiteit Leuven, y enviado al proceso de selecciín AES bajo el nombre "Rijndael".