Aunque quería saber la parte de autenticación, aquí trataré de explicar un poco más de lo que podría ayudarnos a desarrollar algunos conceptos básicos sobre esto.
Métodos de cifrado WLAN: 5 tipos -
- 802.11 Legacy o WEP
- WPA Personal
- WPA Enterprise
- WPA2 Personal-802.11i
- WPA2 Enterprise-802.11i
Privacidad de equivalencia cableada (WEP): IEEE lanzó el estándar inicial 802.11, toda la seguridad se basó en el algoritmo de privacidad equivalente cableada (WEP). Este algoritmo fue responsable de tanto la autenticación como el cifrado . WEP admite clave de 40 bits y clave de 104 bits con 24bit IV.
El procedimiento de autenticación y cifrado de usuario final se describe a continuación:
- Generación de una clave única mediante IV aleatorio de 24 bits (vector de inicialización) + clave de 40/104 bits.
- Generando un flujo de números aleatorios con RC4 usando la clave única.
- Generando el valor de hash utilizando CRC-32 del mensaje de texto sin formato.
- Agregue el valor de hash con un mensaje de texto sin formato para crear carga útil .
- Luego, la carga útil se encripta con un flujo de números aleatorios (creado por RC4 en el paso 2) para crear Texto de cifrado .
- Luego, el texto cifrado se agrega con el mismo IV de 24 bits (utilizado en el paso 1) en texto sin formato y se transmite al aire.
El procedimiento de descifrado (extremo AP) es ligeramente inverso al procedimiento anterior.
Acceso protegido de WiFi (WPA): el acceso protegido de WiFi o WPA también se conoce como 802.11i. Esto es mucho más complicado que WEP. Pero para simplificar las cosas, me saltaré muchos conceptos detallados. Veamos cómo funciona 802.11i.
802.11i consta de las siguientes fases:
1. Configuración de claves: la administración dinámica de claves de encriptación es mucho más complicada en el 802.11i. En esta fase, el punto de acceso y el cliente, ambos participarán en un mecanismo de generación de claves para transmitir de forma segura el tráfico de difusión y multidifusión. Los procedimientos al final del cliente son:
- Almacene su clave precompartida como clave maestra en pares (PMK)
- Cree una clave transitoria en parejas (PTK) a partir de la clave maestra en parejas.
- Dividir la clave transitoria de modo pareja en 3 claves importantes. i) KCK ii) KEK iii) Clave temporal (TK)
- La clave temporal se usa para el cifrado de fotogramas de unidifusión y se usa más como clave de entrada en la fase de cifrado.
El punto de acceso también realiza varios pasos para crear una clave llamada GTK (Clave temporal de grupo).
2. Autenticación: Para autenticar, 802.11i sigue el siguiente procedimiento:
- Iniciación: Al transmitir con frecuencia la trama de solicitud EAP (Protocolo de autenticación extensible) al AP / Cliente desde el Cliente / AP, cualquiera de ellos responde con la trama de respuesta EAP que incluye la dirección MAC del dispositivo. Luego, el AP reenvía esta respuesta al servidor de autenticación (RADIUS SERVER).
- Negociación de EAP: después de que EAP responda desde el AP, el servidor de autenticación reenvía la solicitud para seguir el procedimiento de EAP al AP y luego el AP lo envía al Cliente.
- Si el cliente está de acuerdo con ese procedimiento, el cliente debe completar la autenticación siguiendo el EAP. Si todo va bien, el servidor de autenticación genera una clave de sesión maestra (MSK) y la entrega al cliente y luego al AP. El cliente y AP obtienen el PMK del MSK y luego comienzan el apretón de manos de 4 vías
3. Protocolo de enlace de 4 vías: después de completar la autenticación con éxito, el Cliente y el Punto de acceso participaron en un protocolo de enlace de 4 vías para establecer una conexión. El apretón de manos de 4 vías que se muestra a continuación se dibuja con ASCIIFlow.com y se copia sin vergüenza de La evolución de la seguridad inalámbrica 802.11 por Kevin Benton
+----------------+ +-----------------+
| Client | | Access Point |
+-------+--------+ +--------+--------+
| |
| +--------+--------+
|Cleartext "AckNounce"| Generating a |
| <-----------------+ random Number |
| 1 | "AckNounce" |
+--------+--------+ | |
| Generating a | +--------+--------+
| random number | |
| "SynNounce" | |
| | |
+--------+--------+ |
| |
+--------+--------+ Cleartext SynNounce |
|PTK=PRF(PMK, | +KCK - Encrypted |
|Client Mac, | MIC |
|AP MAC, AckNounce+-----------------> |
|,SynNounce | 2 |
+---------+-------+ |
| +--------+--------+
| | |
| KEK - Encrypted GTK|PTK=PRF(PMK, |
| + KCK - Encrypted |Client Mac, |
| MIC |AP MAC, AckNounce|
| <----------------+,SynNounce |
+---------+-------+ 3 +--------+--------+
| | KEK - Encrypted GTK |
| Verifies AP | + KCK - Encrypted |
| if AP has correct MIC |
| PTK by | |
| decrypting +----------------> |
| Messege and M IC| 4 |
| | +--------+--------+
+---------+-------+ |Verifies AP |
| |if AP has correc |
| |PTK by |
| |decrypting |
| |Messege and M IC |
| +--------+--------+
| |
+ +
4. Cifrado: cuando el cliente completa con éxito la configuración de la clave, la autenticación y el intercambio de 4 vías, el tráfico regular se encripta mediante el Protocolo de integridad de clave temporal (TKIP) o el modo de contador con cifrado
Protocolo de código de autenticación de mensajes de encadenamiento de bloques (CCMP). Tanto TKIP como CCMP utilizan la clave temporal como clave de entrada para cifrar el tráfico.
La diferencia básica entre estos 5 métodos es,
+------------------------+--------------------------------------------------------------+
|Standard | Authentication method |Encryption Method |Cipher |
+---------------------------------------------------------------------------------------+
+---------------------------------------------------------------------------------------+
|802.11 / WEP | Open System or Shared Key |WEP |RC4 |
+---------------------------------------------------------------------------------------+
|WPA Personal | WPA Passphrase |TKIP |RC4 |
+---------------------------------------------------------------------------------------+
|WPA Enterprise | 802.1x/EAP |TKIP |RC4 |
+---------------------------------------------------------------------------------------+
|WPA2 Personal/802.11i | WPA2 Passphrase |CCMP (default) |AES (default)|
| | |TKIP (optional) |RC4 (optional|
+---------------------------------------------------------------------------------------+
|WPA2 Enterprise/802.11i | 802.1x/EAP |CCMP(default) |AES (default)|
| | |TKIP (optional) |RC4 (optional|
+------------------------+--------------------------------------------------------------+