WPA y WEP, que es y seguridad inalámbrica

Redes

WPA y WEP que significa y cómo funciona

Hoy veremos qué es WPA y WEP, los cuásles son protocolos de seguridad que se necesitan para conectarnos a una red Wifi.

Preparate por que es una lectura extensa y compleja, pero muy interesante, si es que quieres comprender sobre cómo funcionan estos protocolos de seguridad de redes inalámbricas.

WPA y WEP que significa y cómo funciona
WPA y WEP que significa y cómo funciona

¿Qué es WEP en seguridad inalámbrica?

Lo que no se debe utilizar: WEP. Es el primer protocolo de seguridad que se presentó. Fue parte del estándar original 802.11. Resulta que este protocolo fue malo para brindar seguridad  en conexiones inalámbricas, por lo que en 2004 se le descartó. 

El primer reemplazo para WEP fue WPA o acceso protegido a Wi-Fi. Se diseñó para que también fuera compatible con el hardware que tenía habilitado WEP. Esto se lograría mediante una simple actualización de firmware. 

Se introdujo también un nuevo protocolo: TKIP. o protocolo de integridad de clave temporal, el cuál tenía tres nuevas características que lo hicieron más seguro que WEP: Obtención de claves más seguro para incorporar de forma segura el IV en la clave de encriptación por paquete, un contador de secuencia para impedir ataques de repetición mediante el rechazo de paquete defectuosos y una comprobación de integridad de mensajes (MIC) de 64 bits para impedir la falsificación, manipulación o corrupción de paquetes. 

TKIP usa el cifrado RC4 como algoritmo subyacente, pero cubrió las debilidades de generación de clave de WEP a través de una función de combinación de claves para generar claves de encriptación únicas por paquete.

¿Qués es WPA en mi modem?

En WPA la clave pre compartida es la contraseña de Wi-Fi, la cual se usa como factor para obtener la clave de encriptación.

La frase de contraseña se alimenta en PBKDF2, o Función de derivación de claves basada en contraseña-2 (Password-Based Key Derivation Function 2), junto con la SSID de las redes Wi-Fi. Esto se pasa por la función HMAC-SHA1 4,096 veces para generar una clave de encriptación única. 

WPA2 mejora todavía más esta seguridad, ya que implementa CCMP o Protocolo CBC-MAC con modo contador (Counter Mode CBC-MAC Protocol por sus siglas en inglés).

¿WPA2 es la mejor seguridad para redes inalámbricas disponible actualmente?

Todo depende, porque WPA2 es mejor que WPA, pero también ya existe WPA3, así que vamos a ver cómo funciona un poco WPA2 y después veremos las configuraciones que se agregaron para mejorar la protección en WPA3.

WPA2 se basa en el cifrado AES. El contador con CBC-MAC es un modo particular de operación para cifrados de bloque. Permite la encriptación autenticada, lo que significa que los datos se mantienen en estricta confidencialidad y se autentican. Esto se logra mediante un mecanismo de “autenticación, luego encriptación”.

Protocolo de enlace de cuatro vías: Generación de la clave de encriptación temporal que se usará para encriptar los datos del cliente. Se llama así porque se compone de cuatro intercambios de datos entre el cliente y el AP (Punto de acceso). Está diseñado para que un AP confirme que el cliente tiene la clave maestra por pares (PMK) correcta o una clave precompartida en una configuración WPA-PSK, sin revelar la PMK.

¿Qué significa PMK, PTK y GTK?

PMK: Clave maestra por pares. Es una clave de larga duración, por lo que se obtiene una clave de encriptación a partir de esta clave para la encriptación y desencriptación del tráfico entre un cliente y un AP. 

PTK o Clave transitoria por pares. Es la clave de encriptación obtenida a partir de la PMK. Para generar la PTK se usa la PMK, la nonce del AP, la nonce del cliente, la dirección MAC del AP y finalmente la dirección MAC del cliente. 

Los nonces del cliente y del AP son bits aleatorios de datos que cada parte generan y luego intercambian. Hablando de las MAC, estas ya se debieron de haber conocido mediante el encabezado de paquetes y ambas partes ya deberían tener la PMK correcta. Esto se vuelve diferente para cada cliente para lograr la confidencialidad entre clientes. 

La PTK se encuentra compuesta por cinco claves individuales, dos para encriptar y confirmar los paquetes EAPoL (El protocolo de encapsulación transporta estos mensajes), dos claves para recibir y enviar códigos de integridad de mensajes y por último una clave temporal, que en realidad se usa para encriptar los datos. 

GTK, clave transitoria de grupos (o Groupwise Transient Key por sus siglas en inglés) es una clave transmitida por la AP que se encripta mediante la clave EAPoL contenida en la PTK que es utilizada para encriptar el tráfico de multidifusión o difusión. Esta GTK es compartida entre los clientes conectados a un AP, ya que este tipo de tráfico debe ser legible para todos. 

¿Cómo funciona WPA2?

Hasta aquí hemos hablado del intercambio de mensajes, pero vamos a ver estos cuatro mensajes intercambiados en orde: 

  1. El AP, que envía un nonce al cliente 
  2. (El cliente construye el PTK) El cliente luego envía su nonce a la AP
  3. (El AP construye el PTK) El AP envía el GTK
  4. El cliente responde con un ACK que confirma la conexión exitosa.

WPA y WPA2 también introducen una autenticación 802.1x en las redes Wi-Fi, el cual se suele llamar generalmente como WPA2-Enterprise, en caso de no llevar esta autenticación, se suelen llamar WPA2-Personal o WPA2-PSK (Esto es debido a que utilizan una clave precompartida para autenticar clientes).

Funciona de la misma manera que en redes de cable, solo que en este caso el AP funciona como autenticador. 

WPS, o configuración protegida por Wi-Fi (Wi-Fi Protected Setup por sus siglas en inglés), es una característica que facilita que los clientes se unan a una red protegida por WPA-PSK. WPS simplifica el intercambio seguro del SSID y la clave precompartida después de haber autenticado o intercambiar datos  con alguno de los 4 métodos admitidos.

La autenticación que se puede dar por WPS son:

  • Autenticación por ingreso de PIN, donde el cliente genera un PIN que luego se ingresa en el AP o el AP tiene un PIN en el firmware que se debe ingresar al cliente. 
  • NFC o USB, son canales alternos que transmiten los detalles para unirse a la red. 
  • Autenticación por botón, que es un pequeño botón que permite la autenticación al presionarlo.

WPA2 utiliza CCMP. Esto utiliza AES en el modo de contador, que convierte un cifrado de bloque en un cifrado de flujo

¿Qué mejoras tiene WPA3 con respecto a WPA2?

Todo esto que se explica es muy técnico, sin embargo, la idea de estos protocolos de seguridad se basan en que los datos se transmitan a través de una red Wi-Fi no puedan ser robados ni observados por otra persona sin autorización.

Primero, WPA reemplazó al estándar WEP, sin embargo también tenía vulnerabilidades a ataques, así que pronto nació WPA2, pero después de muchos años después, también fue vulnerada en 2018, así que ahora nació WPA3.

  • Sus nuevas características están conformadas por una clave de 192 bits, en lugar de una de 128 que manejaba WPA2.
  • También WPA3 protege contra ataques de fuerza bruta.
  • Incluye una configuración fácil llamada «Wi-Fi Easy Connect», el cuál permite conectar a dispositivos sin una pantalla, como lo ha permitido la domótica, un altavoz inteligente, Enchufes Wi-Fi, etc.

Fin del post

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Artículos relacionados

Redes
Ciber cuervo
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.