Protocolos de Seguridad en Redes Inalámbricas

WTLS

La Capa Inalámbrica de Seguridad de Transporte es un protocolo basado en el estándar SSL, utilizado en el entorno Web para la proporción de seguridad en la realización de transferencias de datos. Este protocolo ha sido especialmente diseñado para los protocolos de transporte de WAP y optimizado para ser utilizado en canales de comunicación de banda estrecha. Para este protocolo se han definido las siguientes características: Integridad, privacidad, autenticación.

Algoritmo Criptográfico

• Autenticación: en el WTLS se realiza con certificados. La autenticación puede ocurrir entre el cliente y el servidor o cuando el cliente solo autentica el servidor. El último procedimiento puede ocurrir solo si el servidor lo permite. El servidor puede requerir que el cliente se autentique en el servidor. Sin embargo, la especificación WTLS define que la autenticación es un procedimiento opcional.
• Intercambio de llaves: El propósito del protocolo WTLS es que el cliente y el servidor generen una clave maestra compartida mutuamente. Esta clave se utiliza para generar como clave maestra, cómo se explica más adelante.
• Función Pseudorandom (PRF): El PRF se utiliza para varios propósitos en WTLS. La PRF toma como entrada un valor secreto, una semilla y una etiqueta de identificación y produce una salida de longitud arbitraria.
• Master Key Generation: El secreto maestro compartido es un valor único de 20 bytes (160 bits) generado para esta sesión mediante intercambio de claves seguro.

APLICACIONES

• Transacciones seguras sobre sitios de e-commerce
• Autenticación de clientes a un sitio Web seguro
• Correo Electrónico
• Tuneling TLS/SSL
• Túnel SSH

WAP Security

Wi-Fi Protected Access (Acceso protegido Wi-Fi) es un estándar desarrollado para asegurar el acceso a Internet para redes Wi-Fi. WAP está diseñado para trabajar con todas las tecnologías de redes inalámbricas. Se basa en la existencia de estándares como IP, XML, HTML y HTTP tanto como sea posible. Esto incluye también la seguridad.

FUNCIONALIDAD

WPA utiliza TKIP (Temporal Key Integrity Protocol) para la gestión de las claves dinámicas mejorando notablemente el cifrado de datos, incluyendo el vector de inicialización. Por lo demás, WPA funciona de una manera parecida a WEP pero utilizando claves dinámicas, utiliza el algoritmo RC4 para generar un flujo de bits que se utilizan para cifrar con XOR y su vector de inicialización (IV) es de 48 bits. La modificación dinámica de claves puede hacer imposible utilizar el mismo sistema que con WEP para abrir una red inalámbrica con seguridad WPA. Además, WPA puede admitir diferentes sistemas de control de acceso incluyendo la validación de usuario-contraseña, certificado digital u otro sistema o simplemente utilizar una contraseña compartida para identificarse.

WEP Security

Wired Equivalent Privacy es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits del vector de inicialización IV) o de 128 bits (104 bits más 24 bits del IV).

Servicios

• Autenticación
• Confidencialidad en redes WLAN

Auntenticación abierta

Un cliente inalámbrico o un AP, provee un nombre incluido en los paquetes de una red WLAN para identificarlos como parte de la misma, este nombre se denomina SSID, y es común para los clientes inalámbricos y sus APs.

Autentica med clave compartida

1. La estación cliente envía una petición de autenticación al Punto de Acceso.
2. El punto de acceso envía de vuelta un reto en texto claro.
3. El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y reenviarlo al Punto de Acceso en otra petición de autenticación.
4. El Punto de Acceso descifra el texto codificado y lo compara con el texto modelo que había enviado. Dependiendo del éxito o deng

Wep encription

1. CRC32 calcula un checksum ICV a partir de los datos y es concatenado al final de los propios datos.
2. Se toma un IV.
3. El IV y la Rk se concatenan y forman la clave K = IV ||Rk.
4. La clave K se introduce en el algoritmo RC4 para generar un keystream X de la misma longitud que los datos y el ICV.
5. Se realiza la operación XOR entre los datos en claro y el ICV con X y se obtienen los datos cifrados.

Debilidades

1. El uso de claves secretas cortas hace posible obtenerlas por fuerza bruta.
2. La reutilización de claves permite la recuperación parcial de los paquetes.
3. Ciertas IV (vectores de iniciación) débiles en RC4 son utilizadas mediante ataques estadísticos para la revelación de la clave y el tratamiento del código.

8 EAP

EAP fue diseñado para utilizarse en la autenticación para acceso a la red, donde la conectividad de la capa IP puede no encontrarse disponible.

AUTENTICACIÓN EAP Pasos

1. El servidor de autenticación envía un Request (Solicitud) de Autenticación al cliente.
2. El cliente envía un paquete Response (Respuesta) al servidor. Al igual que en el paquete Request.
3. El servidor de autenticación envía un paquete Request adicional, al cual el cliente envía un Response.
4. La conversación continúa hasta que el servidor no puede autenticar al cliente, failure.

9 DNSSEC

Domain Name System Security Extensions, DNS (sistema de nombre de Dominio) es el estándar para la resolución de nombres a direcciones IP. DNSSEC permite el almacenamiento de claves públicas autenticadas en el DNS. Las claves almacenadas permiten a los resolutores conscientes de la seguridad, aprender la clave de autenticación de zonas.

FUNCIONAMIENTO

En las DNSSEC, cada zona tiene un par de claves: pública y privada. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene segura e, idealmente, almacenada sin conexión. La clave privada de una zona firma los datos de DNS individuales de esa zona y crea firmas digitales que también se publican con el DNS.