stringtranslate.com

Configuración protegida de Wi-Fi

El botón WPS (centro, azul) en un enrutador inalámbrico que muestra el símbolo definido por la Wi-Fi Alliance para esta función.

Wi-Fi Protected Setup ( WPS) , originalmente Wi-Fi Simple Config, es un estándar de seguridad de red para crear una red doméstica inalámbrica segura .

Creado por Cisco e introducido en 2006, el propósito del protocolo es permitir a los usuarios domésticos que saben poco de seguridad inalámbrica y pueden sentirse intimidados por las opciones de seguridad disponibles configurar el Acceso Protegido Wi-Fi , así como facilitar la adición de nuevos dispositivos a una red existente sin ingresar frases de contraseña largas. Lo utilizan los dispositivos fabricados por HP, Brother y Canon para sus impresoras. WPS es un método inalámbrico que se utiliza para conectar ciertos dispositivos Wi-Fi como impresoras y cámaras de seguridad a la red Wi-Fi sin usar ninguna contraseña. Además, existe otra forma de conexión llamada PIN WPS que es utilizada por algunos dispositivos para conectarse a la red inalámbrica. [1] La Configuración Protegida Wi-Fi permite al propietario de los privilegios de Wi-Fi bloquear a otros usuarios para que no utilicen su Wi-Fi doméstico. El propietario también puede permitir que las personas utilicen Wi-Fi. Esto se puede cambiar presionando el botón WPS en el enrutador doméstico. [2]

En diciembre de 2011 se reveló una falla de seguridad importante que afecta a los enrutadores inalámbricos con la función PIN WPS, que los modelos más recientes tienen activada por defecto. La falla permite a un atacante remoto recuperar el PIN WPS en pocas horas con un ataque de fuerza bruta y, con el PIN WPS, la clave precompartida WPA/WPA2 (PSK) de la red. [3] Se ha instado a los usuarios a desactivar la función PIN WPS, [4] aunque esto puede no ser posible en algunos modelos de enrutador. [5]

Modos

El estándar enfatiza la usabilidad y la seguridad , y permite cuatro modos en una red doméstica para agregar un nuevo dispositivo a la red:

Método PIN
En el que se debe leer un PIN de una etiqueta o de la pantalla del nuevo dispositivo inalámbrico . Este PIN debe introducirse luego en el "representante" de la red, normalmente el punto de acceso de la red . Alternativamente, se puede introducir en el nuevo dispositivo un PIN proporcionado por el punto de acceso. Este método es el modo de referencia obligatorio y todos los dispositivos deben admitirlo. La especificación Wi-Fi Direct reemplaza este requisito al indicar que todos los dispositivos con teclado o pantalla deben admitir el método PIN. [6]
Método de pulsar botón
En el que el usuario debe pulsar un botón, ya sea real o virtual, tanto en el punto de acceso como en el nuevo dispositivo cliente inalámbrico. En la mayoría de los dispositivos, este modo de detección se desactiva automáticamente tan pronto como se establece una conexión o después de un retraso (normalmente 2 minutos o menos), lo que ocurra primero, lo que minimiza su vulnerabilidad. La compatibilidad con este modo es obligatoria para los puntos de acceso y opcional para los dispositivos conectados. La especificación Wi-Fi Direct reemplaza este requisito al indicar que todos los dispositivos deben admitir el método de pulsar el botón. [7]
Método de comunicación de campo cercano
En este modo, el usuario debe acercar el nuevo cliente al punto de acceso para permitir una comunicación de campo cercano entre los dispositivos. También se pueden utilizar etiquetas RFID compatibles con NFC Forum . La compatibilidad con este modo es opcional.
Método USB
En el que el usuario utiliza una unidad flash USB para transferir datos entre el nuevo dispositivo cliente y el punto de acceso de la red. La compatibilidad con este modo es opcional, pero está en desuso.

Los dos últimos modos se conocen generalmente como métodos fuera de banda , ya que se produce una transferencia de información por un canal distinto del propio canal Wi-Fi. Actualmente, solo los dos primeros modos están cubiertos por la certificación WPS. El método USB ha quedado obsoleto y no forma parte de las pruebas de certificación de Alliance.

Algunos puntos de acceso inalámbricos tienen un botón WPS de doble función, y mantener presionado este botón durante un período más corto o más largo puede tener otras funciones, como restablecer la configuración de fábrica o alternar WiFi. [8]

Algunos fabricantes, como Netgear , utilizan un logotipo y/o nombre diferente para la configuración protegida Wi-Fi; [9] la Wi-Fi Alliance recomienda el uso de la marca de identificación de configuración protegida Wi-Fi en el botón de hardware para esta función. [10]

Arquitectura técnica

El protocolo WPS define tres tipos de dispositivos en una red:

Registrador
Un dispositivo con la autoridad de emitir y revocar el acceso a una red; puede estar integrado en un punto de acceso inalámbrico (AP) o proporcionarse como un dispositivo separado.
Inscrito
Un dispositivo cliente que busca unirse a una red inalámbrica.
AP
Un punto de acceso que funciona como proxy entre un registrador y un inscrito.

El estándar WPS define tres escenarios básicos que involucran los componentes enumerados anteriormente:

AP con capacidades de registro integradas configura una estación de inscripción ( STA )
En este caso, la sesión se ejecutará en el medio inalámbrico como una serie de mensajes de solicitud/respuesta EAP , y finalizará con la disociación del AP de la STA y la espera a que la STA se vuelva a conectar con su nueva configuración (que le entregó el AP justo antes).
El registrador STA configura el AP como un inscrito
Este caso se subdivide en dos aspectos: primero, la sesión podría ocurrir en un medio cableado o inalámbrico, y segundo, el AP podría estar ya configurado para cuando el registrador lo encuentre. En el caso de una conexión cableada entre los dispositivos, el protocolo se ejecuta sobre Universal Plug and Play (UPnP), y ambos dispositivos deberán soportar UPnP para ese propósito. Cuando se ejecuta sobre UPnP, se ejecuta una versión abreviada del protocolo (solo dos mensajes) ya que no se requiere autenticación más que la del medio cableado conectado. En el caso de un medio inalámbrico, la sesión del protocolo es muy similar al escenario del registrador interno, pero con roles opuestos. En cuanto al estado de configuración del AP, se espera que el registrador pregunte al usuario si desea reconfigurar el AP o mantener sus configuraciones actuales, y puede decidir reconfigurarlo incluso si el AP se describe a sí mismo como configurado. Múltiples registradores deben tener la capacidad de conectarse al AP. UPnP está destinado a aplicarse solo a un medio cableado, mientras que en realidad se aplica a cualquier interfaz a la que se pueda configurar una conexión IP. De esta forma, tras haber configurado manualmente una conexión inalámbrica, se puede utilizar el UPnP de la misma manera que con la conexión por cable.
El registrador STA configura el STA del inscrito
En este caso, el AP se sitúa en el medio y actúa como autenticador, lo que significa que solo transmite los mensajes relevantes de un lado a otro.

Protocolo

El protocolo WPS consiste en una serie de intercambios de mensajes EAP que se activan con una acción del usuario y que se basan en un intercambio de información descriptiva que debe preceder a la acción del usuario. La información descriptiva se transfiere a través de un nuevo elemento de información (IE) que se agrega a la baliza, a la respuesta de sondeo y, opcionalmente, a los mensajes de solicitud de sondeo y solicitud/respuesta de asociación. Además de los valores de tipo, longitud y datos puramente informativos , esos IE también contendrán los métodos de configuración posibles y los implementados actualmente del dispositivo.

Después de esta comunicación de las capacidades del dispositivo desde ambos extremos, el usuario inicia la sesión de protocolo propiamente dicha. La sesión consta de ocho mensajes que van seguidos, en caso de que la sesión sea exitosa, de un mensaje que indica que el protocolo se ha completado. El flujo exacto de mensajes puede cambiar al configurar diferentes tipos de dispositivos (AP o STA) o al utilizar diferentes medios físicos (cableados o inalámbricos).

Selección de banda o radio

Algunos dispositivos con conectividad de red inalámbrica de banda dual no permiten al usuario seleccionar la banda de 2,4 GHz o 5 GHz (o incluso una radio o SSID particular) cuando se utiliza la configuración protegida Wi-Fi, a menos que el punto de acceso inalámbrico tenga un botón WPS separado para cada banda o radio; sin embargo, una serie de enrutadores inalámbricos posteriores con múltiples bandas de frecuencia y/o radios permiten el establecimiento de una sesión WPS para una banda y/o radio específica para la conexión con clientes que no pueden tener el SSID o la banda (por ejemplo, 2,4/5 GHz) seleccionado explícitamente por el usuario en el cliente para la conexión con WPS (por ejemplo, al presionar el botón WPS de 5 GHz, donde sea compatible, en el enrutador inalámbrico, se forzará a un dispositivo cliente a conectarse a través de WPS solo en la banda de 5 GHz después de que el dispositivo cliente haya establecido una sesión WPS que no puede permitir explícitamente la selección de la red inalámbrica y/o banda para el método de conexión WPS). [11] [12]

Un dispositivo de banda ancha móvil Telstra 4GX Advanced III que muestra opciones de emparejamiento WPS para una radio/banda en particular.

Vulnerabilidades

Ataque de fuerza bruta en línea

En diciembre de 2011, el investigador Stefan Viehböck informó sobre una falla de diseño e implementación que hace que sea posible realizar ataques de fuerza bruta contra WPS basado en PIN en redes Wi-Fi habilitadas para WPS. Un ataque exitoso contra WPS permite que terceros no autorizados obtengan acceso a la red, y la única solución efectiva es deshabilitar WPS. [4] La vulnerabilidad se centra en los mensajes de reconocimiento enviados entre el registrador y el inscrito cuando se intenta validar un PIN, que es un número de ocho dígitos que se utiliza para agregar nuevos inscritos de WPA a la red. Dado que el último dígito es una suma de comprobación de los dígitos anteriores, [13] hay siete dígitos desconocidos en cada PIN, lo que da como resultado 10 7 = 10 000 000 de combinaciones posibles.

Cuando un usuario registrado intenta acceder utilizando un PIN, el registrador informa de la validez de la primera y la segunda mitad del PIN por separado. Dado que la primera mitad del PIN consta de cuatro dígitos (10.000 posibilidades) y la segunda mitad tiene solo tres dígitos activos (1.000 posibilidades), se necesitan como máximo 11.000 intentos para recuperar el PIN. Esto supone una reducción de tres órdenes de magnitud con respecto a la cantidad de PIN que se necesitaría probar. Como resultado, un ataque puede completarse en menos de cuatro horas. La facilidad o dificultad de explotar esta falla depende de la implementación, ya que los fabricantes de enrutadores Wi-Fi podrían defenderse de este tipo de ataques ralentizando o desactivando la función WPS después de varios intentos fallidos de validación del PIN. [3]

Un joven desarrollador de una pequeña ciudad en el este de Nuevo México creó una herramienta que explota esta vulnerabilidad para demostrar que el ataque es factible. [14] [15] La herramienta fue adquirida por Tactical Network Solutions en Maryland por 1,5 millones de dólares. Afirman que conocían la vulnerabilidad desde principios de 2011 y que la habían estado utilizando. [16]

En algunos dispositivos, la desactivación de WPS en la interfaz de usuario no hace que la función quede realmente desactivada y el dispositivo sigue siendo vulnerable a este ataque. [5] Se han publicado actualizaciones de firmware para algunos de estos dispositivos que permiten desactivar completamente WPS. Los proveedores también podrían corregir la vulnerabilidad añadiendo un período de bloqueo si el punto de acceso Wi-Fi detecta un ataque de fuerza bruta en curso, lo que desactiva el método PIN durante el tiempo suficiente para que el ataque sea impracticable. [17]

Ataque de fuerza bruta sin conexión

En el verano de 2014, Dominique Bongard descubrió lo que denominó el ataque Pixie Dust . Este ataque funciona únicamente en la implementación predeterminada de WPS de varios fabricantes de chips inalámbricos, incluidos Ralink, MediaTek, Realtek y Broadcom. El ataque se centra en la falta de aleatorización al generar los nonces "secretos" E-S1 y E-S2. Conociendo estos dos nonces, se puede recuperar el PIN en un par de minutos. Se ha desarrollado una herramienta llamada pixiewps [18] y se ha desarrollado una nueva versión de Reaver para automatizar el proceso. [19]

Dado que tanto el cliente como el punto de acceso (el inscrito y el registrador, respectivamente) necesitan demostrar que conocen el PIN para asegurarse de que el cliente no se está conectando a un punto de acceso no autorizado, el atacante ya tiene dos hashes que contienen cada mitad del PIN, y todo lo que necesita es forzar la obtención del PIN real. El punto de acceso envía dos hashes, E-Hash1 y E-Hash2, al cliente, demostrando que también conoce el PIN. E-Hash1 y E-Hash2 son hashes de (E-S1 | PSK1 | PKe | PKr) y (E-S2 | PSK2 | PKe | PKr), respectivamente. La función hash es HMAC-SHA-256 y utiliza la "authkey", que es la clave utilizada para codificar los datos.

Problemas de seguridad física

Todos los métodos WPS son vulnerables al uso por parte de un usuario no autorizado si el punto de acceso inalámbrico no se mantiene en un área segura. [20] [21] [22] Muchos puntos de acceso inalámbricos tienen información de seguridad (si están protegidos de fábrica) y el PIN WPS impreso en ellos; este PIN también se encuentra a menudo en los menús de configuración del punto de acceso inalámbrico. Si este PIN no se puede cambiar o deshabilitar, la única solución es obtener una actualización de firmware para permitir que se cambie el PIN o reemplazar el punto de acceso inalámbrico.

Es posible extraer una frase de contraseña inalámbrica con los siguientes métodos sin utilizar herramientas especiales: [23]

Referencias

  1. ^ "¿Dónde se encuentra el PIN WPS en mi impresora HP?". Ayuda técnica de Optimum . 2023-01-19 . Consultado el 2023-07-12 .
  2. ^ Higgins, Tim (13 de marzo de 2008). "¿Cómo se supone que funciona WPS?". SmallNetBuilder . Consultado el 1 de mayo de 2020 .
  3. ^ ab Viehböck, Stefan (26 de diciembre de 2011). "Forzar la configuración protegida de Wi-Fi" (PDF) . Consultado el 30 de diciembre de 2011 .
  4. ^ ab Allar, Jared (27 de diciembre de 2011). "Nota de vulnerabilidad VU#723755: vulnerabilidad de fuerza bruta en el PIN de configuración protegida de WiFi". Base de datos de notas de vulnerabilidades . US CERT . Consultado el 31 de diciembre de 2011 .
  5. ^ ab Gallagher, Sean (4 de enero de 2012). "Práctica práctica: cómo hackear la configuración protegida de WiFi con Reaver". Condé Nast Digital . Consultado el 20 de enero de 2012 .
  6. ^ Especificación P2P 1.2, cláusula 3.1.4.3
  7. ^ Especificación P2P 1.2,
  8. ^ [1] Página del producto Tenda W311R+: una pulsación prolongada provoca un restablecimiento de fábrica. Consultado el 18 de enero de 2016; Draytek: Manual de la serie Vigor 2820: una pulsación breve activa y desactiva el WiFi
  9. ^ "Manual del usuario del enrutador módem Gigabit ADS2+ inalámbrico de banda dual Netgear N600 DGND3700" (PDF) . www.netgear.com . Consultado el 16 de enero de 2016 .
  10. ^ "Guía de estilo de marca de la Wi-Fi Alliance 2014" (PDF) . www.wi-fi.org . Wi-Fi Alliance. Abril de 2014. Archivado desde el original (PDF) el 17 de enero de 2016 . Consultado el 16 de enero de 2016 .
  11. ^ [2] "D-Link DSL-2544N Dual Band Wireless N600 Gigabit ADSL2+ Modem Router User Manual, Version 1.0", Página 11, Consultado el 26 de enero de 2016.
  12. ^ Guía del usuario de NetComm NF8AC, página 11, http://media.netcomm.com.au/public/assets/pdf_file/0004/142384/NF8AC-User-Guide.pdf, consultado el 16 de octubre de 2016.
  13. ^ "Especificaciones de Windows Connect Now–NET (WCN-NET)". Microsoft Corporation . 2006-12-08 . Consultado el 2011-12-30 .
  14. ^ "reaver-wps" . Consultado el 30 de diciembre de 2011 .
  15. ^ "Demostración de Reaver en WPS: prueba de concepto".
  16. ^ Dennis Fisher (29 de diciembre de 2011). "Lanzamiento de una herramienta de ataque para la vulnerabilidad del PIN de WPS" . Consultado el 31 de diciembre de 2011. Esta es una función que en TNS hemos estado probando, perfeccionando y utilizando durante casi un año.
  17. ^ Slavin, Brad (18 de enero de 2013). "Seguridad Wi-Fi: el auge y la caída de WPS". Netstumbler.com . Consultado el 17 de diciembre de 2013 .
  18. ^ "pixiewps". GitHub . Consultado el 5 de mayo de 2015 .
  19. ^ "Reaver modificado". GitHub . Consultado el 5 de mayo de 2015 .
  20. ^ Scheck, Steven (4 de septiembre de 2014). "WPS: ventajas y vulnerabilidad". ComputerHowtoGuide . Consultado el 12 de julio de 2023 .
  21. ^ Hoffman, Chris (10 de julio de 2017). "La configuración protegida de Wi-Fi (WPS) no es segura: este es el motivo por el que debería desactivarla". How-To Geek . Consultado el 12 de julio de 2023 .
  22. ^ Tomáš Rosa , Wi-Fi Protected Setup: Friend or Foe, Smart Cards & Devices Forum, 23 de mayo de 2013, Praga, consultado el 16 de octubre de 2016.
  23. ^ ab "Un énfasis en la seguridad física para redes inalámbricas", Bryce Cherry en Youtube , consultado el 12 de julio de 2023

Enlaces externos