Protocolos Fundamentales de Seguridad en Redes Inalámbricas y de Transporte

Entrada publicada en Informática y etiquetada DNSSEC EAP Protocolos de Cifrado Seguridad Inalámbrica WAP Security WEP WTLS el por .

WTLS: Wireless Transport Layer Security

La Capa Inalámbrica de Seguridad de Transporte (WTLS) es un protocolo basado en el estándar SSL, utilizado en el entorno web para la provisión de seguridad en la realización de transferencias de datos. Este protocolo ha sido especialmente diseñado para los protocolos de transporte de WAP y optimizado para ser utilizado en canales de comunicación de banda estrecha.

Para este protocolo se han definido las siguientes características:

  • Integridad
  • Privacidad
  • Autenticación

Algoritmo Criptográfico en WTLS

Autenticación

En el WTLS, la autenticación se realiza con certificados. La autenticación puede ocurrir entre el cliente y el servidor o cuando el cliente solo autentica al servidor. El último procedimiento puede ocurrir solo si el servidor lo permite. El servidor puede requerir que el cliente se autentique en el servidor. Sin embargo, la especificación WTLS define que la autenticación es un procedimiento opcional.

Intercambio de Llaves

El propósito del protocolo WTLS es que el cliente y el servidor generen una clave maestra compartida mutuamente. Esta clave se utiliza para generar como clave maestra, como se explica más adelante.

Función Pseudorandom (PRF)

El PRF se utiliza para varios propósitos en WTLS. El PRF toma como entrada un valor secreto, una semilla y una etiqueta de identificación y produce una salida de longitud arbitraria.

Generación de Clave Maestra (Master Key Generation)

El secreto maestro compartido es un valor único de 20 bytes (160 bits) generado para esta sesión mediante intercambio de claves seguro.

Aplicaciones de WTLS

  • Transacciones seguras sobre sitios de e-commerce.
  • Autenticación de clientes a un sitio web seguro.
  • Correo Electrónico.
  • Tunelización TLS/SSL.
  • Túnel SSH.

WAP Security (Wi-Fi Protected Access)

Wi-Fi Protected Access (WAP), o más comúnmente conocido como WPA, es un estándar desarrollado para asegurar el acceso a Internet para redes Wi-Fi. WAP está diseñado para trabajar con todas las tecnologías de redes inalámbricas. Se basa en la existencia de estándares como IP, XML, HTML y HTTP tanto como sea posible, incluyendo la seguridad.

Funcionalidad de WPA

WPA utiliza TKIP (Temporal Key Integrity Protocol) para la gestión de las claves dinámicas, mejorando notablemente el cifrado de datos, incluyendo el vector de inicialización (IV). Por lo demás, WPA funciona de una manera parecida a WEP, pero utilizando claves dinámicas. Utiliza el algoritmo RC4 para generar un flujo de bits que se utilizan para cifrar con XOR, y su vector de inicialización (IV) es de 48 bits. La modificación dinámica de claves puede hacer imposible utilizar el mismo sistema que con WEP para abrir una red inalámbrica con seguridad WPA. Además, WPA puede admitir diferentes sistemas de control de acceso, incluyendo la validación de usuario-contraseña, certificado digital u otro sistema, o simplemente utilizar una contraseña compartida para identificarse.

WEP Security (Wired Equivalent Privacy)

Wired Equivalent Privacy (WEP) es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4, que utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV).

Servicios de WEP

WEP provee:

  • Autenticación.
  • Confidencialidad en redes WLAN.

WEP provee autenticación abierta y de clave compartida.

Autenticación Abierta

Un cliente inalámbrico o un Punto de Acceso (AP) provee un nombre incluido en los paquetes de una red WLAN para identificarlos como parte de la misma. Este nombre se denomina SSID, y es común para los clientes inalámbricos y sus APs.

Autenticación mediante Clave Compartida

  1. La estación cliente envía una petición de autenticación al Punto de Acceso.
  2. El Punto de Acceso envía de vuelta un reto en texto claro.
  3. El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y reenviarlo al Punto de Acceso en otra petición de autenticación.
  4. El Punto de Acceso descifra el texto codificado y lo compara con el texto modelo que había enviado. Dependiendo del éxito o denegación, el proceso continúa.

WEP Encryption (Cifrado WEP)

Pasos:

  1. CRC32 calcula un checksum ICV a partir de los datos y es concatenado al final de los propios datos.
  2. Se toma un IV (Vector de Iniciación).
  3. El IV y la Rk (Clave de Registro) se concatenan y forman la clave K = IV || Rk.
  4. La clave K se introduce en el algoritmo RC4 para generar un keystream X de la misma longitud que los datos y el ICV.
  5. Se realiza la operación XOR entre los datos en claro y el ICV con X y se obtienen los datos cifrados.

Debilidades de WEP

  • El uso de claves secretas cortas hace posible obtenerlas por fuerza bruta.
  • La reutilización de claves permite la recuperación parcial de los paquetes.
  • Ciertas IV (vectores de iniciación) débiles en RC4 son utilizadas mediante ataques estadísticos para la revelación de la clave y el tratamiento del código.

EAP (Extensible Authentication Protocol)

EAP fue diseñado para utilizarse en la autenticación para acceso a la red, donde la conectividad de la capa IP puede no encontrarse disponible.

Pasos de Autenticación EAP

  1. El servidor de autenticación envía un Request (Solicitud) de Autenticación al cliente.
  2. El cliente envía un paquete Response (Respuesta) al servidor. Al igual que en el paquete Request.
  3. El servidor de autenticación envía un paquete Request adicional, al cual el cliente envía un Response.
  4. La conversación continúa hasta que el servidor autentica al cliente o se produce un failure (fallo).

DNSSEC (Domain Name System Security Extensions)

DNSSEC (Domain Name System Security Extensions) extiende el DNS (Sistema de Nombres de Dominio), que es el estándar para la resolución de nombres a direcciones IP. DNSSEC permite el almacenamiento de claves públicas autenticadas en el DNS. Las claves almacenadas permiten a los resolutores conscientes de la seguridad aprender la clave de autenticación de zonas.

Funcionamiento de DNSSEC

En las DNSSEC, cada zona tiene un par de claves: pública y privada.

  • La clave pública de la zona se publica mediante DNS.
  • La clave privada de la zona se mantiene segura e, idealmente, almacenada sin conexión.

La clave privada de una zona firma los datos de DNS individuales de esa zona y crea firmas digitales que también se publican con el DNS.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *