Error

WiFi Protected Access (WPA) Destacado

WiFi Protected Access (WPA)
  • Fecha: 1999
  • Utilidad: Es un sistema de seguridad para redes inalámbricas con un potente aunque relativo nivel de éxito
  • Inventor: The Wi-Fi Alliance (Antigua WECA)
http://www.atc.uniovi.es


Este nuevo sistema fue principalmente creado para corregir la ya conocida ineficacia del burlado algoritmo WEP (Wired Equivalent Privacy), el cual comenzaba a hacerse famoso por las debilidades de su algoritmo (tales como la reutilización del vector de inicialización (IV); en el lenguaje "común", la captura e inyección de paquetes, del cual se derivan ataques estadísticos que permiten recuperar la clave de forma sencilla en un corto espacio de tiempo).

WPA implementa la mayoría del estándar IEEE 802.11i y fue creado como una medida intermedia para ocupar el lugar de WEP mientras el propio estándar era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-Fi), antigua Wireless Ethernet Compatibility Alliance (WECA)

WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante clave "pre-compartida" (PSK: Pre-Shared Key), que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.

Fue diseñado para utilizar un servidor de autenticación (normalmente un servidor RADIUS), que está encargado de distribuir claves diferentes a cada usuario, sin embargo, también se puede utilizar en un modo menos seguro de clave pre-compartida para usuarios de casa o pequeña oficina, reduciendo costes.

Respecto a WEP, se implementa el llamado "Protocolo de Integridad de Clave Temporal" (TKIP: Temporal Key Integrity Protocol), que cambia claves dinámicamente a medida que el sistema es utilizado. Cuando esto se combina con un vector de inicialización mucho más grande (de 48 bits), evita los ataques de recuperación de clave (los conocidos como ataques estadísticos) a los que es susceptible WEP. También mejora la integridad de la información cifrada.

WPA implementa un código de integridad del mensaje (MIC: Message Integrity Code), también conocido como "Michael". Además, incluye protección contra ataques de "repetición" (replay attacks), ya que incluye un contador de tramas.
Al incrementar el tamaño de las claves, el número de llaves en uso, y al agregar un sistema de verificación de mensajes, WPA hace que la entrada no autorizada a redes inalámbricas sea mucho más difícil. El algoritmo "Michael" fue el más fuerte que los diseñadores de WPA pudieron crear, bajo la premisa de que debía funcionar en las tarjetas de red inalámbricas más viejas; sin embargo es susceptible a ataques. Para limitar este riesgo, los drivers de las estaciones se desconectarán un tiempo definido por el fabricante, si reciben dos colisiones "Michael" en menos de 60 segundos, podrán tomar medidas, como por ejemplo reenviar las claves o dejar de responder durante un tiempo específico. Ésto puede evitar los llamados "ataques de fuerza bruta", consistentes en "probar hasta que salga".

Desgraciadamente, la primera revisión de WPA es vulnerable a un ataque de recuperación de keystream, es decir, sería posible reinyectar tráfico en una red que utilizara WPA-TKIP.

WPA se podría considerar una "migración”, mientras que WPA2 es la versión certificada del estándar de la IEEE.5.
Los fabricantes comenzaron a producir la nueva generación de puntos de accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard), una configuración bastante típica en los routers pre-configurados que ofrece Jazztel, por citar un ejemplo.
Durante el intercambio de información en el proceso de conexión RSN, si el cliente no soporta las autenticaciones que especifica el AP (Punto de Acceso), será desconectado pudiendo sufrir de esta manera un ataque DoS especifíco a WPA.
Las claves PSK (pre-compartidas) son vulnerables a ataques de diccionario, aunque se puede evitar utilizando un servidor RADIUS, que se encarga de generar diferentes claves, algo muchísimo más común en las empresas. Existen proyectos libres que utilizan GPUs con lenguajes específicos como CUDA (NVIDIA) y Stream (AMD) para realizar ataques de fuerza bruta hasta 100 veces más rápido que con computadoras ordinarias, basándose en la potencia de cálcuo de los procesadores y relojes que estas tarjetas gráficas poseen.

WPA-WPA2 sigue siendo la mejor alternativa para la seguridad de una red wireless, siempre y cuando se tomen medidas de sentido común, y tratando de dificultar a posibles intrusores con todos los medios que un enrutador y la disposición de la red permitan. Y eso teniendo en cuenta que últimamente aparecen muchos artículos en blogs de opinión o foros especializados en auditoría Wireless de gente que es capaz de vencer el algoritmo en quince minutos, sin diccionarios de "keywords", o incluso que con una tarjeta gráfica se puede aumentar radicalmente la potencia de cálculo y el número de permutaciones por segundo que hacen posible el encontrar una clave por la fuerza. Afortunadamente, el equipo y conocimientos disponibles para el usuario medio, medio-bajo siguen siendo algo insuficiente, puesto que de otra manera toda persona avispada se aprovecharía de la conexión de su vecino. Algo que sucede cada vez con más frecuencia en el caso del algoritmo WEP.

Temas relacionados (por etiqueta)

ir arriba