Wi-Fi Protected Access


Wi-Fi Protected Access

WPA (Wi-Fi Protected Access, Acceso Protegido Wi-Fi) es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado).[1] Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-Fi).

WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante clave compartida ([PSK], Pre-Shared Key), que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.

Contenido

Historia

WPA fue diseñado para utilizar un servidor de autenticación (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a través del protocolo 802.1x ); sin embargo, también se puede utilizar en un modo menos seguro de clave pre-compartida (PSK - Pre-Shared Key) para usuarios de casa o pequeña oficina.[2] [3] La información es cifrada utilizando el algoritmo RC4 (debido a que WPA no elimina el proceso de cifrado WEP, sólo lo fortalece), con una clave de 128 bits y un vector de inicialización de 48 bits.

Una de las mejoras sobre WEP, es la implementación del Protocolo de Integridad de Clave Temporal (TKIP - Temporal Key Integrity Protocol), que cambia claves dinámicamente a medida que el sistema es utilizado. Cuando esto se combina con un vector de inicialización (IV) mucho más grande, evita los ataques de recuperación de clave (ataques estadísticos) a los que es susceptible WEP.

Adicionalmente a la autenticación y cifrado, WPA también mejora la integridad de la información cifrada. La comprobación de redundancia cíclica (CRC - Cyclic Redundancy Check) utilizado en WEP es inseguro, ya que es posible alterar la información y actualizar la CRC del mensaje sin conocer la clave WEP. WPA implementa un código de integridad del mensaje (MIC - Message Integrity Code), también conocido como "Michael". Además, WPA incluye protección contra ataques de "repetición" (replay attacks), ya que incluye un contador de tramas.

Al incrementar el tamaño de las claves, el número de llaves en uso, y al agregar un sistema de verificación de mensajes, WPA hace que la entrada no autorizada a redes inalámbricas sea mucho más difícil. El algoritmo Michael fue el más fuerte que los diseñadores de WPA pudieron crear, bajo la premisa de que debía funcionar en las tarjetas de red inalámbricas más viejas; sin embargo es susceptible a ataques. Para limitar este riesgo, los drivers de las estaciones se desconectarán un tiempo definido por el fabricante, si reciben dos colisiones Michael en menos de 60 segundos, podrán tomar medidas, como por ejemplo reenviar las claves o dejar de responder durante un tiempo específico.

Seguridad, ataques WPA TKIP

TKIP es vulnerable a un ataque de recuperación de keystream, esto es, sería posible reinyectar tráfico en una red que utilizara WPA TKIP.[4] Esto es posible por diversas causas, algunas de ellas heredadas de WEP. Entre las causas, cabe destacar la evasión de las medidas anti reinyección de TKIP y se sigue una metodología similar a la utilizada en el popular ataque CHOP CHOP sobre el protocolo WEP. La evasión de protección anti reinyección de TKIP es posible debido a los diversos canales que se utilizan en el modo QoS especificado en el estándar 802.11ie, aunque también existe la posibilidad de aplicarlo en redes no QoS.

WPA2

Artículo principal: WPA2

Una vez finalizado el nuevo estándar 802.11ie se crea el WPA2 basado en este. WPA se podría considerar de "migración”, mientras que WPA2 es la versión certificada del estándar de la IEEE.[5] [6]

El estándar 802.11i fue ratificado en Junio de 2004.

La alianza Wi-Fi llama a la versión de clave pre-compartida WPA-Personal y WPA2-Personal y a la versión con autenticación 802.1x/EAP como WPA-Enterprise y WPA2-Enterprise.

Los fabricantes comenzaron a producir la nueva generación de puntos de acceso apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard).[7] Con este algoritmo será posible cumplir con los requerimientos de seguridad del gobierno de USA - FIPS140-2. "WPA2 está idealmente pensado para empresas tanto del sector privado cómo del público. Los productos que son certificados para WPA2 le dan a los gerentes de TI la seguridad de que la tecnología cumple con estándares de interoperatividad" declaró Frank Hazlik Managing Director de la Wi-Fi Alliance. Si bien parte de las organizaciones estaban aguardando esta nueva generación de productos basados en AES es importante resaltar que los productos certificados para WPA siguen siendo seguros de acuerdo a lo establecido en el estándar 802.11i

Seguridad ataques WPA2

Tanto la versión 1 de WPA, como la denominada versión 2 de WPA, se basan en la transmisión de las autenticaciones soportadas en el elemento de información correspondiente. En el caso de WPA 1, en el tag propietario de Microsoft, y en el caso de WPA2 en el tag estándar 802.11i RSN. Durante el intercambio de información en el proceso de conexión RSN, si el cliente no soporta las autenticaciones que especifica el AP (access point, punto de acceso), será desconectado pudiendo sufrir de esta manera un ataque DoS específico a WPA.

Además, también existe la posibilidad de capturar el 4-way handshake que se intercambia durante el proceso de autenticación en una red con seguridad robusta. Las claves PSK ( pre compartidas ) son vulnerables a ataques de diccionario ( no así las empresariales, ya que el servidor RADIUS generará de manera aleatoria dichas claves ), existen proyectos libres que utilizan GPUs con lenguajes específicos como CUDA (Nvidia) y Stream (Amd) para realizar ataques de fuerza bruta hasta 100 veces más rápido que con computadoras ordinarias.

Referencias

  1. ↑ «Understanding WEP Weaknesses». Wiley Publishing. Consultado el 10-01-2010.
  2. ↑ «Wi-Fi Alliance: Glossary». Consultado el 01-03-2010.
  3. ↑ Each character in the pass-phrase must have an encoding in the range of 32 to 126 (decimal), inclusive. (IEEE Std. 802.11i-2004, Annex H.4.1)
    The space character is included in this range.
  4. ↑ «Battered, but not broken: understanding the WPA crack». Ars Technica (06-11-2008). Consultado el 06-11-2008.
  5. ↑ «Wi-Fi Protected Access White Paper». Wi-Fi Alliance. Â«WPA is both forward and backward-compatible and is designed to run on existing Wi-Fi devices as a software download.».
  6. ↑ "WPA2 Security Now Mandatory for Wi-Fi CERTIFIED Products" «WPA2 Security Now Mandatory for Wi-Fi CERTIFIED Products». Wi-Fi Alliance.
  7. ↑ Jonsson, Jakob. «On the Security of CTR + CBC-MAC». NIST. Consultado el 15-05-2010.

Enlaces externos


Wikimedia foundation. 2010.

Mira otros diccionarios:

  • Wi-Fi Protected Access — (WPA and WPA2) is a certification program administered by the Wi Fi Alliance to indicate compliance with the security protocol created by the Wi Fi Alliance to secure wireless computer networks. This protocol was created in response to several… …   Wikipedia

  • Wi-Fi Protected Access 2 — (WPA2) ist die Implementierung eines Sicherheitsstandards für Funknetzwerke nach den WLAN Standards IEEE 802.11a, b, g, n und basiert auf dem Advanced Encryption Standard (AES). Er stellt den Nachfolger von WPA dar, das wiederum auf dem… …   Deutsch Wikipedia

  • Wi-Fi protected access — (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans fil de type Wi Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la… …   Wikipédia en Français

  • Wi-fi protected access — (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans fil de type Wi Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la… …   Wikipédia en Français

  • Wi-Fi Protected Access — (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans fil de type Wi Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la… …   Wikipédia en Français

  • Wi-Fi Protected Access — (WPA) ist eine Verschlüsselungsmethode für ein Drahtlosnetzwerk (Wireless LAN). Nachdem sich die Wired Equivalent Privacy (WEP) des IEEE Standards 802.11 als unsicher erwiesen hatte und sich die Verabschiedung des neuen Sicherheitsstandards IEEE… …   Deutsch Wikipedia

  • protected — adjective a) defended. b) Having the protected access modifier, indicating that a program element is accessible to subclasses but not to the program in general. Ant: unprotected …   Wiktionary

  • Access control — is the ability to permit or deny the use of a particular resource by a particular entity. Access control mechanisms can be used in managing physical resources (such as a movie theater, to which only ticketholders should be admitted), logical… …   Wikipedia

  • Protected Geographical Status — Protected Designation of Origin (PDO), Protected Geographical Indication (PGI) and Traditional Speciality Guaranteed (TSG) are geographical indications, or more precisely regimes within the Protected Geographical Status (PGS) framework [… …   Wikipedia

  • Access management — Access management, When used in traffic and traffic engineering circles, generally refers to the regulation of interchanges, intersections, driveways and median openings to a roadway. Its objectives are to enable access to land uses while… …   Wikipedia


Compartir el artículo y extractos

Link directo
… Do a right-click on the link above
and select “Copy Link”

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.