cifrado wpa wpa2. ¿Cuál es la diferencia entre WPA (WPA2) y WPA-PSK (WPA2-PSK)? Habilitar el cifrado de carpetas

Hoy no llamarás algo fuera de lo común. Sin embargo, muchos usuarios (especialmente los propietarios de dispositivos móviles) se enfrentan al problema de qué sistema de seguridad utilizar: WEP, WPA o WPA2-PSK. ¿Qué tipo de tecnología, ahora vemos. Sin embargo, se prestará la mayor atención a WPA2-PSK, ya que es esta protección la que más se demanda en la actualidad.

WPA2-PSK: ¿qué es?

Digamos de inmediato: este es un sistema para proteger cualquier conexión local a una red inalámbrica basada en WI-Fi. Para los sistemas basados ​​en NIC con cable que utilizan una conexión Ethernet directa, esto no tiene nada que ver.

Con el uso de la tecnología WPA2-PSK hoy en día es la más "avanzada". Incluso los métodos algo obsoletos que requieren una solicitud de inicio de sesión y contraseña, así como el cifrado de datos confidenciales durante la transmisión y recepción, parecen, por decirlo suavemente, balbuceos infantiles. Y es por eso.

Variedades de protección.

Entonces, comencemos con el hecho de que hasta hace poco, la estructura WEP se consideraba la tecnología de seguridad de conexión más segura. Usaba una verificación de integridad clave al conectar cualquier dispositivo de forma inalámbrica y era el estándar IEEE 802. 11i.

La seguridad de la red WiFi WPA2-PSK funciona, en principio, de la misma manera, pero realiza la verificación de la clave de acceso al nivel 802.1X. En otras palabras, el sistema comprueba todas las opciones posibles.

Sin embargo, existe una tecnología más nueva llamada WPA2 Enterprise. A diferencia de WPA, requiere no solo la solicitud de una clave de acceso personal, sino también la presencia de un servidor Radius que proporcione acceso. Al mismo tiempo, dicho algoritmo de autenticación puede funcionar simultáneamente en varios modos (por ejemplo, Enterprise y PSK, mientras se usa el cifrado AES CCMP).

Protocolos básicos de protección y seguridad

Además de los del pasado, los métodos de protección modernos utilizan el mismo protocolo. Se trata de TKIP (sistema de seguridad WEP basado en actualización de software y algoritmo RC4). Todo esto implica ingresar una clave temporal para acceder a la red.

Como ha demostrado el uso práctico, por sí mismo, dicho algoritmo no proporcionó una conexión de seguridad especial en una red inalámbrica. Por eso se desarrollaron nuevas tecnologías: primero WPA y luego WPA2, complementadas con PSK (Personal Access Key) y TKIP (Temporary Key). Además, aquí también se incluyeron los datos recibidos y transmitidos, hoy conocido como estándar AES.

Tecnologías heredadas

El tipo de seguridad WPA2-PSK es relativamente reciente. Antes de esto, como se mencionó anteriormente, el sistema WEP se usaba en combinación con TKIP. La protección TKIP no es más que un medio para aumentar la longitud de bits de la clave de acceso. Por el momento, se cree que el modo básico le permite aumentar la clave de 40 a 128 bits. Con todo esto, también se puede cambiar la única clave WEP por varias, generadas y enviadas automáticamente por el propio servidor, que realiza la autenticación del usuario al iniciar sesión.

Además, el sistema en sí prevé el uso de una estricta jerarquía de distribución de claves, así como una técnica que le permite deshacerse del llamado problema de previsibilidad. En otras palabras, cuando, por ejemplo, para una red inalámbrica que usa seguridad WPA2-PSK, la contraseña se establece en forma de una secuencia como "123456789", es fácil adivinar que los mismos programas generadores de claves y contraseñas, generalmente llamados KeyGen o algo así, al ingresar los primeros cuatro caracteres, pueden generar automáticamente los cuatro siguientes. Aquí, como dicen, no es necesario ser único para adivinar el tipo de secuencia utilizada. Pero este, como probablemente ya se haya entendido, es el ejemplo más simple.

En cuanto a la fecha de nacimiento del usuario en la contraseña, esto no se discute en absoluto. Puede ser fácilmente identificado por los mismos datos de registro en las redes sociales. Las contraseñas digitales de este tipo son absolutamente poco fiables. Es mejor usar juntos números, letras y símbolos (incluso los que no se pueden imprimir, siempre que se configure una combinación de teclas de acceso rápido) y un espacio. Sin embargo, incluso con este enfoque, es posible descifrar WPA2-PSK. Aquí es necesario explicar el método de funcionamiento del propio sistema.

Algoritmo de acceso típico

Ahora algunas palabras más sobre el sistema WPA2-PSK. ¿Qué es en términos de aplicación práctica? Esta es una combinación de varios algoritmos, por así decirlo, en modo de trabajo. Expliquemos la situación con un ejemplo.

Idealmente, la secuencia de ejecución del procedimiento de protección de la conexión y encriptación de la información transmitida o recibida es la siguiente:

WPA2-PSK (WPA-PSK) + TKIP + AES.

En este caso, el papel principal lo desempeña una clave común (PSK) con una longitud de 8 a 63 caracteres. En qué secuencia estarán involucrados los algoritmos (si el cifrado ocurrirá primero, o después de la transmisión, o en el proceso utilizando claves intermedias aleatorias, etc.), no es importante.

Pero incluso con protección y un sistema de encriptación en el nivel AES 256 (es decir, la longitud de bits de la clave de cifrado), descifrar WPA2-PSK para los piratas informáticos que tienen conocimientos en este asunto será una tarea, aunque difícil, pero posible.

Vulnerabilidad

En 2008, en la conferencia PacSec, se presentó una técnica que permite piratear una conexión inalámbrica y leer los datos transmitidos desde el enrutador al terminal del cliente. Todo esto tomó alrededor de 12-15 minutos. Sin embargo, no fue posible descifrar la transmisión inversa (cliente-router).

El hecho es que cuando el modo de enrutador QoS está habilitado, no solo puede leer la información transmitida, sino también reemplazarla por una falsa. En 2009, expertos japoneses introdujeron una tecnología que reduce el tiempo de piratería a un minuto. Y en 2010, apareció información en la Web de que la forma más fácil de descifrar el módulo Hole 196 presente en WPA2 es usar su propia clave privada.

No se trata de ninguna interferencia en las claves generadas. Primero, el llamado ataque de diccionario se usa en combinación con la fuerza bruta, y luego se escanea el espacio de la conexión inalámbrica para interceptar los paquetes transmitidos y luego grabarlos. Basta con que el usuario realice una conexión, ya que es inmediatamente desautorizado, interceptando la transmisión de los paquetes iniciales (handshake). Después de eso, ni siquiera se requiere estar cerca del punto de acceso principal. Puedes trabajar fácilmente sin conexión. Es cierto que para realizar todas estas acciones, necesitará un software especial.

¿Cómo hackear WPA2-PSK?

Por razones obvias, aquí no se dará el algoritmo completo para romper la conexión, ya que puede usarse como algún tipo de instrucción para la acción. Detengámonos solo en los puntos principales, y luego solo en términos generales.

Como regla general, cuando se accede directamente al enrutador, se puede cambiar al llamado modo Airmon-NG para monitorear el tráfico (airmon-ng start wlan0 - cambie el nombre del adaptador inalámbrico). Después de eso, el tráfico se captura y corrige usando el comando airdump-ng mon0 (datos de seguimiento del canal, velocidad de la baliza, velocidad y método de encriptación, cantidad de datos transferidos, etc.).

A continuación, se activa el comando para fijar el canal seleccionado, después de lo cual se ingresa el comando Aireplay-NG Deauth con los valores que lo acompañan (no se proporcionan por razones de legalidad del uso de dichos métodos).

Después de eso (cuando el usuario ya ha pasado la autorización al conectarse), el usuario simplemente puede desconectarse de la red. En este caso, cuando vuelva a ingresar desde el lado de la piratería, el sistema repetirá la autorización de inicio de sesión, después de lo cual será posible interceptar todas las contraseñas de acceso. A continuación, aparecerá una ventana con un "handshake" (apretón de manos). Luego, puede aplicar el lanzamiento de un archivo WPAcrack especial, que le permitirá descifrar cualquier contraseña. Naturalmente, nadie le dirá a nadie exactamente cómo se lanza. Solo notamos que con cierto conocimiento, todo el proceso lleva desde varios minutos hasta varios días. Por ejemplo, un procesador de nivel Intel que se ejecuta a una velocidad de reloj estándar de 2,8 GHz no puede procesar más de 500 contraseñas en un segundo, o 1,8 millones por hora. En general, como ya está claro, no debes halagarte.

En lugar de un epílogo

Eso es todo para WPA2-PSK. Lo que es, quizás, desde la primera lectura quede claro y no lo será. No obstante, parece que cualquier usuario comprenderá los conceptos básicos de protección de datos y los sistemas de encriptación utilizados. Además, hoy en día casi todos los propietarios de dispositivos móviles se enfrentan a esto. ¿Alguna vez has notado que cuando creas una nueva conexión en el mismo teléfono inteligente, el sistema sugiere usar cierto tipo de protección (WPA2-PSK)? Muchos simplemente no le prestan atención, pero en vano. En configuraciones avanzadas, puede usar una cantidad suficientemente grande de parámetros adicionales para mejorar el sistema de seguridad.

¡Hola a todos!

Analicé algunos de los comentarios que los visitantes dejan en el sitio, revisé las solicitudes y me di cuenta de que hay un problema muy común con la conexión a Wi-Fi, sobre el que aún no he escrito. Pero se han dejado muchos comentarios en el sitio pidiendo ayuda para solucionar este problema. Algo aconsejé allí, pero no sé si mi consejo te ayudó. (rara vez alguien escribirá sobre los resultados 🙁).

Y ayer, romano (Gracias amable hombre 🙂) dejó un comentario en el artículo, en el que compartió información sobre cómo resolvió el problema "Guardado, seguridad WPA\WPA2". Este comentario me ayudó un poco a navegar por el problema y decidí recopilar todos los consejos para resolver este error en un artículo.

La esencia del problema

Al conectar un teléfono o una tableta (muy probablemente en Android), a una red doméstica o en algún lugar de un café, aparece una inscripción junto al nombre de la red "Guardado, seguridad WPA\WPA2". Y cada vez más no pasa nada. Si hace clic en esta red y selecciona Para conectar, entonces no pasará nada. Puede ver cómo se ve este error en la captura de pantalla anterior.

Específicamente provoqué este problema en mi enrutador Wi-Fi Asus RT-N13U e intenté conectar un teléfono HTC One V (Android 4.0). Así que obtuve esta inscripción "Guardado, protección WPA\WPA2". Y todo salió bien a la primera. ¿Cómo? Sí, muy sencillo. En la configuración de mi enrutador, el "Modo de red inalámbrica" ​​se configuró en Automático, y lo configuré en Solo n. Guardé la configuración, desconecté el teléfono del Wi-Fi, pero ya no funcionó 🙂.

Causas principales del error "Guardado, WPA\WPA2 protegido"

Amigos, no puedo decir con certeza todo y dar consejos que funcionarán al cien por cien, espero que lo entiendan. Todos los dispositivos son diferentes, la configuración es diferente para todos y hay muchos más matices.

Pero intentaré recopilar los motivos que conozco y las formas de resolverlos, a través de los cuales puede aparecer un problema de este tipo con la conexión a una red inalámbrica.

Si, al conectarse a una red inalámbrica, vio la inscripción "Guardado, protección WPA \ WPA2" en su teléfono (podría ser un poco diferente), entonces debe verificar esta configuración (Te aconsejo que consultes en el mismo orden):

Para comenzar, simplemente reinicie su enrutador.

Ya he notado este problema varias veces: Internet en el teléfono simplemente deja de funcionar, pero hay una conexión y la red es buena. Apago y enciendo Wi-Fi en el teléfono, pero ya no se conecta a la red, dice "Guardado, protección WPA2". Solo reiniciar el enrutador ayuda.

1. Establezca la región correcta en la configuración del enrutador
2. Compruebe si la contraseña de Wi-Fi es correcta
3. Verifique (cambie) el modo de operación de la red inalámbrica en la configuración del enrutador
4. Verifique (cambie) el tipo de cifrado y el tipo de seguridad, cambie la contraseña en la configuración del enrutador
5. Experimente cambiando el canal en el que opera su red inalámbrica.
6. Intente cambiar el ancho del canal.

Y ahora con más detalle en todos los puntos.

Configuramos la región correcta en la configuración del enrutador

Muy a menudo, este error ocurre precisamente porque la región incorrecta está en la configuración de Wi-Fi.

Usando Tp-Link como ejemplo, le mostraré cómo cambiar la región. Si tiene un enrutador de otra compañía, lo más probable es que estas configuraciones se cambien en la misma página donde se configuran el nombre y otras configuraciones de la red inalámbrica.

En el panel de control, vaya a la pestaña Inalámbrica (Modo inalámbrico) y punto opuesto región indique el país en el que se encuentra.

Guarde la configuración haciendo clic en el botón Ahorrar(Ahorrar) .

Comprueba tu contraseña y vuelve a conectarte

Tal vez acabas de ingresar la contraseña incorrectamente (Es cierto, lo más probable es que haya una conexión permanente, en un círculo. Pero debe verificarlo), y antes de entrar en la configuración del router, te aconsejo que lo compruebes.

Usted pregunta, ¿cómo puedo volver a mantener la contraseña, porque la solicitud de contraseña no aparece? Tienes que quitar la conexión. Simplemente haga clic en su red y seleccione Borrar.

Ahora, haga clic nuevamente en su red e ingrese su contraseña de Wi-Fi. Solo asegúrate de que sea correcto. Si la olvidó, mire la contraseña en la configuración del enrutador o en la computadora conectada (Si alguna). Lea más en el artículo.

Comprobación del modo de la red inalámbrica

Creo que esta es la razón principal. Solo tu dispositivo (teléfono, tableta) es posible que no sea compatible con el modo operativo en el que opera el enrutador.

El modo de operación son esas letras incomprensibles b/g/n, que probablemente ya hayas notado en la configuración del enrutador. Intenta experimentar con el cambio de modo. No olvide reiniciar el enrutador después de cada cambio y apague / encienda el Wi-Fi en su teléfono (tableta).

Aquí estoy, configuré n Only en lugar de Auto y apareció un error. ¿Y si, por ejemplo, ya tienes n Only en tu configuración? Aquí están sus problemas.

Cambiar el tipo de encriptación/seguridad, contraseña

Es posible que a su dispositivo simplemente no le guste el tipo de seguridad o cifrado que utiliza el enrutador. O no me gusta la contraseña.

Recomiendo configurar estos valores:

WPA/WPA2 - Personal (Recomendado)

Versión: WPA-PSK

Cifrado: AES

PSK Contraseña (clave): al menos ocho caracteres y solo números.

Guardamos, reiniciamos el enrutador, eliminamos la conexión en el teléfono y nos conectamos ingresando una nueva contraseña.

¡Atención! Después de cambiar la contraseña u otras configuraciones de seguridad, puede haber problemas para conectar otros dispositivos que ya estaban conectados a esta red (computadoras, laptops, televisores).

Experimentando con el canal en el que opera la red Wi-Fi

Improbable, por supuesto, pero podría ser. Sobre qué es un canal de red inalámbrica, cómo cambiarlo y por qué, escribí en un artículo.

Intente experimentar y vea si ayuda.

Ancho de banda

Hay un elemento en la configuración del enrutador Wi-Fi como Ancho de banda. Si tiene, por ejemplo, TP-Link y el menú está en inglés, entonces se llama Ancho de banda.

Allí puede seleccionar varias opciones: Auto, 20MHz y 40MHz - depende del enrutador. Intenta instalar primero Auto(o en Asus 20MHz / 40MHz), si no ayuda, entonces por separado.

¿Dónde puedo cambiar el ancho del canal?

Ir a la configuración del enrutador dirección 192.168.1.1, o 192.168.0.1, ingrese el nombre de usuario / contraseña - mire en la parte inferior del enrutador).

Asus

ir a la pestaña Red inalámbrica y cambiar el valor opuesto Ancho de banda.

Enlace TP

Pestaña Inalámbrica – configuración inalámbrica, párrafo Ancho de banda.

No olvide guardar su configuración y reiniciar su enrutador.

Epílogo

Escribí todo lo que quise. Realmente espero que mi consejo te ayude. Te librarás de este problema y te harás amigo de tu teléfono o tableta con un enrutador Wi-Fi 🙂.

Quizás conozca otras soluciones a este problema, compártalas en los comentarios. ¡Se lo agradeceré!

¡Buena suerte!

Más en el sitio:

El teléfono (tableta) no se conecta a Wi-Fi, escribe "Guardado, protección WPA \ WPA2" actualizado: 7 de febrero de 2018 por: administración

Para proteger su red Wi-Fi y establecer una contraseña, asegúrese de seleccionar el tipo de seguridad de la red inalámbrica y el método de encriptación. Y en esta etapa, muchos tienen una pregunta: ¿cuál elegir? ¿WEP, WPA o WPA2? ¿Personal o Empresa? ¿AES o TKIP? ¿Qué configuración de seguridad protegerá mejor su red Wi-Fi? Intentaré responder a todas estas preguntas en este artículo. Considere todos los métodos posibles de autenticación y cifrado. Averigüemos qué configuración de seguridad de la red Wi-Fi está mejor configurada en la configuración del enrutador.

Tenga en cuenta que el tipo de seguridad o autenticación, autenticación de red, seguridad, método de autenticación son todos iguales.

El tipo de autenticación y el cifrado son las configuraciones de seguridad básicas para su red Wi-Fi inalámbrica. Creo que primero debe averiguar qué son, qué versiones hay, sus capacidades, etc. Después de eso, ya descubriremos qué tipo de protección y cifrado elegir. Te mostraré el ejemplo de varios enrutadores populares.

Recomiendo configurar una contraseña y proteger su red inalámbrica. Establece el nivel máximo de protección. Si deja la red abierta, sin protección, cualquiera puede conectarse a ella. No es seguro en primer lugar. Así como una carga extra en tu router, una caída en la velocidad de conexión y todo tipo de problemas con la conexión de diferentes dispositivos.

Seguridad de la red Wi-Fi: WEP, WPA, WPA2

Hay tres opciones de protección. Eso sí, sin contar "Open" (Sin protección).

• WEP(Privacidad equivalente por cable) es un método de autenticación obsoleto e inseguro. Este es el primer y no muy exitoso método de protección. Los atacantes pueden acceder fácilmente a las redes inalámbricas que están protegidas mediante WEP. No necesita configurar este modo en la configuración de su enrutador, aunque está presente allí (no siempre).
• WPA(Wi-Fi Protected Access) es un tipo de seguridad confiable y moderno. Máxima compatibilidad con todos los dispositivos y sistemas operativos.
• WPA2 es una versión nueva, mejorada y más confiable de WPA. Hay soporte para el cifrado AES CCMP. Por el momento, esta es la mejor manera de asegurar una red Wi-Fi. Eso es lo que recomiendo usar.

WPA/WPA2 puede ser de dos tipos:

• WPA/WPA2 - Personal (PSK) es el método de autenticación normal. Cuando solo necesita establecer una contraseña (clave) y luego usarla para conectarse a una red Wi-Fi. Se utiliza una contraseña para todos los dispositivos. La contraseña en sí se almacena en los dispositivos. Donde se puede ver o cambiar si es necesario. Se recomienda utilizar esta opción.
• WPA/WPA2-Empresa- un método más complejo, que se utiliza principalmente para proteger redes inalámbricas en oficinas y varias instituciones. Permite un mayor nivel de protección. Se usa solo cuando se instala un servidor RADIUS para la autorización del dispositivo (que da contraseñas).

Creo que descubrimos el método de autenticación. Lo mejor es usar WPA2 - Personal (PSK). Para una mejor compatibilidad, de modo que no haya problemas para conectar dispositivos más antiguos, puede configurar el modo mixto WPA/WPA2. Muchos enrutadores tienen este método configurado de forma predeterminada. O marcado como "Recomendado".

Encriptación inalámbrica

Hay dos maneras TKIP y AES.

Se recomienda AES. Si tiene dispositivos antiguos en la red que no admiten el cifrado AES (pero solo TKIP) y tendrán problemas para conectarse a la red inalámbrica, configure "Auto". El tipo de cifrado TKIP no se admite en el modo 802.11n.

En cualquier caso, si instala estrictamente WPA2 - Personal (recomendado), solo estará disponible el cifrado AES.

¿Qué protección poner en un router Wi-Fi?

Usar WPA2 - Personal con encriptación AES. De lejos, esta es la mejor y más segura manera. Así es como se ve la configuración de seguridad inalámbrica en los enrutadores ASUS:

Y así es como se ven estas configuraciones de seguridad en los enrutadores de TP-Link (con firmware antiguo).

Puede ver instrucciones más detalladas para TP-Link.

Instrucciones para otros enrutadores:

Si no sabe dónde encontrar todas estas configuraciones en su enrutador, escriba los comentarios, intentaré sugerir. No olvide especificar el modelo.

Dado que los dispositivos más antiguos (adaptadores Wi-Fi, teléfonos, tabletas, etc.) pueden no ser compatibles con WPA2 - Personal (AES), configure el modo mixto (Auto) en caso de problemas de conexión.

A menudo noto que después de cambiar la contraseña u otras configuraciones de seguridad, los dispositivos no quieren conectarse a la red. Las computadoras pueden recibir el error "La configuración de red guardada en esta computadora no coincide con los requisitos de esta red". Intente eliminar (olvidar) la red en el dispositivo y vuelva a conectarse. Cómo hacer esto en Windows 7, escribí. Y en Windows 10 necesitas .

Contraseña (clave) WPA PSK

Independientemente del tipo de método de seguridad y cifrado que elija, debe establecer una contraseña. También es una clave WPA, contraseña inalámbrica, clave de seguridad de la red Wi-Fi, etc.

La longitud de la contraseña es de 8 a 32 caracteres. Se pueden utilizar letras y números latinos. También caracteres especiales: - @ $ # ! etc. ¡Sin espacios! ¡La contraseña distingue entre mayúsculas y minúsculas! Esto significa que "z" y "Z" son caracteres diferentes.

No recomiendo establecer contraseñas simples. Es mejor crear una contraseña segura que nadie pueda adivinar con seguridad, incluso si se esfuerzan.

Es poco probable que pueda recordar una contraseña tan compleja. Sería bueno escribirlo en algún lado. No es raro que se olvide una contraseña de Wi-Fi. Qué hacer en tales situaciones, escribí en el artículo:.

Si necesita aún más seguridad, puede usar el enlace de dirección MAC. Es cierto, no veo la necesidad de esto. WPA2: personal emparejado con AES y una contraseña compleja es suficiente.

¿Cómo protege su red Wi-Fi? Escribe en los comentarios. Bueno, haz preguntas 🙂

Con la difusión de las redes inalámbricas, los protocolos de encriptación WPA y WPA2 se han vuelto conocidos por casi todos los propietarios de dispositivos que se conectan a Wi-Fi. Están especificados en las propiedades de las conexiones, y la atención de la mayoría de los usuarios que no son administradores del sistema es mínimamente atraída. Basta con decir que WPA2 es una evolución de WPA y, por lo tanto, WPA2 es más nuevo y más adecuado para las redes actuales.

WPA es un protocolo de cifrado diseñado para proteger redes inalámbricas del estándar IEEE 802.11, desarrollado por Wi-Fi Alliance en 2003 como reemplazo del protocolo WEP obsoleto e inseguro.
WPA2- Un protocolo de cifrado que es un desarrollo mejorado de WPA, introducido en 2004 por Wi-Fi Alliance.

Diferencia entre WPA y WPA2

Encontrar la diferencia entre WPA y WPA2 no es relevante para la mayoría de los usuarios, ya que toda protección de redes inalámbricas se reduce a elegir una contraseña de acceso más o menos compleja. Hoy en día, la situación es tal que todos los dispositivos que operan en redes Wi-Fi deben admitir WPA2, por lo que la elección de WPA solo puede deberse a situaciones no estándar. Por ejemplo, los sistemas operativos anteriores a Windows XP SP3 no admiten WPA2 sin parches, por lo que las máquinas y los dispositivos administrados por dichos sistemas requieren la atención de un administrador de red. Incluso algunos teléfonos inteligentes modernos pueden no ser compatibles con el nuevo protocolo de encriptación, principalmente para dispositivos asiáticos que no son de marca. Por otro lado, algunas versiones de Windows anteriores a XP no admiten WPA2 a nivel de objeto de política de grupo, por lo que en este caso requieren un ajuste más fino de las conexiones de red.
La diferencia técnica entre WPA y WPA2 es la tecnología de encriptación, en particular los protocolos utilizados. WPA usa el protocolo TKIP, WPA2 usa el protocolo AES. En la práctica, esto significa que el WPA2 más moderno proporciona un mayor grado de seguridad de la red. Por ejemplo, el protocolo TKIP le permite crear una clave de autenticación de hasta 128 bits de tamaño, AES, hasta 256 bits.

TheDifference.ru determinó que la diferencia entre WPA2 y WPA es la siguiente:

WPA2 es una mejora de WPA.
WPA2 usa el protocolo AES, WPA usa el protocolo TKIP.
WPA2 es compatible con todos los dispositivos inalámbricos modernos.
Es posible que WPA2 no sea compatible con sistemas operativos más antiguos.
WPA2 es más seguro que WPA.

La información que puede obtener en este artículo se puede utilizar para obtener acceso no autorizado a las redes, y sus acciones pueden estar cubiertas por los artículos 272-273 del Código Penal de la Federación Rusa. Esta información se publica aquí solo con fines informativos, y usted es el único responsable de su uso con fines ilegales. Este artículo está dedicado al tema que se destacó en la reunión del Grupo de Usuarios de MGUPI "Garantizar la seguridad de las redes inalámbricas (WPA2)".

Introducción

En el artículo anterior, hablamos sobre los principios generales de las redes inalámbricas y su seguridad. Se habló sobre los tipos de redes inalámbricas, y sobre los principios generales de su seguridad, así como un ejemplo de cómo acceder fácilmente a una red con encriptación WEP.
Este artículo explicará cómo funciona WPA y cuáles son las principales vulnerabilidades que los atacantes pueden usar para ingresar ilegalmente a su red.

Ventajas de WPA sobre WEP

WPA, WiFi Protected Access es un nuevo mecanismo, el más moderno en este momento, para proteger las redes inalámbricas del acceso no autorizado. WPA, y su evolución WPA2, vino a reemplazar el mecanismo WEP, que para entonces había comenzado a quedar obsoleto. Una vez más, veamos cómo funciona WEP:

1. Una trama de datos consta de una parte cifrada y otra no cifrada. La parte cifrada contiene los datos y la suma de comprobación (CRC32), la parte no cifrada contiene el vector de inicialización y el identificador de clave.

2. Cada trama de datos se cifra con un cifrado de flujo RC4 utilizando un vector de inicialización con una clave WEP adjunta como clave de cifrado.

Por lo tanto, para cada trama de datos, se genera su propia clave de cifrado, pero al mismo tiempo, cada nueva clave de cifrado se diferencia de la otra solo por un vector de inicialización. (24 bits, cuando la longitud de la clave puede ser de 40 o 104 bits) Así, si un atacante intercepta una gran cantidad de paquetes, recibirá lo siguiente: - una gran cantidad de vectores de inicialización
- una gran cantidad de datos cifrados
- la clave de cifrado para cada cuadro subsiguiente difiere del anterior en solo 4 bits (la longitud del vector de inicialización)
Así, es posible extraer la clave realizando operaciones matemáticas sobre los paquetes.
Para obtener con éxito una clave WEP, un atacante necesita lo siguiente:
- estar en un lugar donde sea posible recibir una señal de red (RSSI de -85 dBm es suficiente)
- capturar alrededor de 100-200 mil vectores de inicialización, dependiendo de la longitud de la clave (WEP-40 o WEP-104). Por lo general, para esto necesita interceptar 25-50 Mb de tráfico transmitido en la red. En presencia de una alta actividad en la red (descargas de archivos (especialmente usando redes peer-to-peer) videoconferencias), de 5 a 10 minutos serán suficientes para capturar la cantidad de tráfico requerida.

También preste atención a cómo el atacante realiza la captura de tráfico.
Por lo general, los adaptadores de red inalámbricos funcionan en modo normal: solo aceptan paquetes que se envían a su dirección MAC, siempre que estén conectados a esta red inalámbrica. Sin embargo, nada impide físicamente que el adaptador de red inalámbrico capture todos los paquetes que están dentro de su rango en el canal seleccionado. Para implementar esta función, existen controladores y software especiales no oficiales. Además, dicho software se vende de manera bastante legal y se usa para monitorear redes inalámbricas. Un ejemplo de tal programa es CommView for WiFi de TamoSoft. A continuación, el atacante analiza el tráfico capturado. Dado que WEP se descifró hace muchos años, puede encontrar utilidades en Internet que extraen automáticamente la clave del archivo CAP con tráfico, la más común de las cuales es Aircrack.
Por lo tanto, WEP tiene las siguientes desventajas
- previsibilidad de la clave de cifrado para el marco
-falta de medios de autenticación en la red
-mecanismo de verificación de integridad de datos débil
Por lo tanto, muchas empresas se negaron a utilizar redes inalámbricas para evitar la fuga de información corporativa. Sin embargo, con la llegada de WPA, y más tarde WPA2, la situación cambió y más y más usuarios corporativos comenzaron a usar WPA. De hecho, en comparación con WEP, tiene varias ventajas:
- independencia matemática entre sí de las claves de cifrado para cada paquete
-nuevo mecanismo de cálculo de suma de comprobación
-WPA incluye autenticación de protocolo 802.1X

Cómo funciona WPA

Las primeras modificaciones de WPA fueron una mejora de WEP.
Considere uno de los primeros protocolos WPA, WPA-TKIP
Utiliza un vector de inicialización de 48 bits, y las reglas para construir el vector se han cambiado, y MIC (Message Integrity Code) se usa para calcular la suma de verificación, que se usa en lugar del CRC32 obsoleto y menos confiable.
Y la mejora más importante es que la longitud de la clave de cifrado ahora es de 128 bits, en lugar de 40. Hay una jerarquía especial para la gestión de claves, que está diseñada para evitar la previsibilidad de la clave de cifrado para cada cuadro. Gracias a TKIP, la clave de cifrado de cada trama de datos se genera de forma que no se repitan, aunque sea parcialmente.
Por lo tanto, las redes WPA están completamente protegidas contra ataques de reproducción (repetición de claves) y falsificación (sustitución del contenido del paquete), lo que no se puede decir sobre WEP, donde era posible pasar por alto la verificación de suma de verificación CRC32 y también enviar una trama con exactamente la misma clave de cifrado, como la anterior.
Al mismo tiempo, se han integrado mecanismos de autenticación en WPA: EAP, así como soporte completo para los estándares 802.1X para autenticación. EAP: protocolo de autenticación extensible, uno de los protocolos de autenticación más utilizados. Se utiliza para la autenticación en redes cableadas y, por lo tanto, una red inalámbrica WPA se integra fácilmente en una infraestructura existente. Un requisito previo para la autenticación es la presentación por parte del usuario de un token de acceso que confirme su derecho a acceder a la red. Para obtener un token, se realiza una solicitud a una base de datos especial y, sin autenticación, se prohibirá la creación de redes para el usuario. El sistema de verificación está ubicado en un servidor RADIUS especial y Active Directory se usa como base de datos (en sistemas Windows)
Así, WPA es una síntesis de las siguientes tecnologías y estándares:
WPA=802.1X+EAP+TKIP+MIC
Sin embargo, la protección TKIP se rompió parcialmente en 2008. Para omitirlo con éxito, el enrutador inalámbrico debe usar QoS. Un atacante puede interceptar y descifrar datos transmitidos a través de la red, así como falsificar paquetes transmitidos a través de la red. Por lo tanto, se desarrolló el mecanismo WPA2, que es una mejora de WPA.

Cómo funciona WPA2

Encontrar vulnerabilidades en WPA condujo a la creación del método de seguridad WPA2. Su diferencia esencial con WPA es que el tráfico de la red se cifra no solo desde los dispositivos que no están conectados a esta red, sino también entre ellos. En otras palabras, cada dispositivo tiene sus propias claves de cifrado para comunicarse con el punto de acceso. Hay varias claves de cifrado en la red:
1) Clave transitoria por pares (PTK). Mediante este tipo de clave se encripta el tráfico personal de cada cliente. Así, la red está protegida "desde dentro" para que un cliente autorizado en la red no pueda interceptar el tráfico de otro.
2)Clave Temporal de Grupo (GTK). Esta clave encripta los datos de transmisión.
WPA2 se utiliza como algoritmo de cifrado CCMP

CCMP (modo de contador con protocolo de código de autenticación de mensajes de encadenamiento de bloques cifrados), un protocolo de cifrado de bloques con un código de autenticación de mensajes y modo de encadenamiento de bloques y contadores, es un protocolo de cifrado para la red WPA2 que utiliza el algoritmo AES como base para el cifrado de datos. El estándar FIPS-197 utiliza una clave de cifrado de 128 bits.
La principal diferencia con TKIP y WEP es la gestión de integridad de paquetes centralizada que se realiza en la capa AES.
Estructura de un paquete cifrado CCMP

El paquete CCMP se ha ampliado en 16 octetos. El encabezado CCMP consta de tres partes: PN (número de paquete, 48 bits), ExtIV (vector de inicialización) e identificador de clave.
Encapsulación de datos usando CCMP:
1) El número de lote se incrementa en algún número para evitar repetir lotes
2) Se crean datos de autenticación adicionales
3) Se crea un campo de servicio nonce
4) El número de paquete y la identificación de la clave se colocan en el encabezado del paquete.
5) El campo nonce y los datos de autenticación adicionales se cifran mediante una clave temporal.


Desencapsulación de datos usando CCMP:
1) Se crean campos de datos de identificación adicionales y un campo nonce utilizando los datos del paquete.
2) El campo de datos de identificación adicionales se extrae del encabezado del paquete encriptado
3) Se recuperan el campo A2, el número de lote y el campo de prioridad
4) Se recupera el campo MIC
5) El paquete se descifra y se verifica su integridad utilizando el texto cifrado del paquete, datos de identificación adicionales, una clave temporal y el MIC mismo
6) El paquete se ensambla en forma descifrada.
7) Los paquetes con un número duplicado se descartan

Este método de encriptación en la red es actualmente el más confiable.

Métodos de autenticación en WPA\WPA2

La autenticación, es decir, la confirmación por parte del usuario de los derechos de acceso a los recursos, es un requisito previo para el funcionamiento de WPA\WPA2
Para ello, la implementación clásica de WAP\WPA2 incluye soporte para 802.11 y EAP.
En otras palabras, para que el dispositivo cliente complete con éxito el proceso de conexión, debe identificarse. En la práctica, se ve así: se le pide al usuario que ingrese un nombre de usuario y una contraseña para acceder a la red. La validación de credenciales se realiza en el servidor RADIUS, que a su vez se comunica con el servidor de autenticación. Un controlador de dominio de Windows Server 2008R2 se usa como servidor de autenticación, también se usa como servidor RADIUS.
Un enfoque similar para implementar WPA\WPA2 se llama WPA-Enterprise. Se utiliza en redes de gran producción donde ya se ha implementado una infraestructura de Active Directory.
Sin embargo, está claro que la implementación de Active Directory y RADIUS en una pequeña empresa o en un entorno doméstico es casi imposible. Por lo tanto, para que los estándares WPA\WPA2 se utilicen en el hogar, Wi-Fi Alliance ha desarrollado una implementación simplificada llamada WPA-PSK (Clave precompartida). Utiliza los mismos protocolos de encriptación, pero el esquema de autenticación de usuarios se simplifica enormemente. Para que un dispositivo reciba un token de acceso a la red, se debe ingresar en el dispositivo una frase de contraseña especial llamada clave precompartida. La longitud debe ser de 8 a 32 caracteres, y puede utilizar caracteres especiales, así como caracteres de alfabetos nacionales. Después de ingresar la frase de contraseña, se coloca en un paquete de asociación especial (paquete de intercambio de claves, protocolo de enlace), que se transmite al punto de acceso. Si la frase de contraseña es correcta, el dispositivo recibe un token de acceso a la red. Este enfoque es muchas veces más simple que WPA-Enterprise y, por lo tanto, ha encontrado una amplia aplicación entre las pequeñas empresas y los usuarios domésticos.

Vulnerabilidades en WPA\WPA2

A pesar de todos sus méritos, WPA\WPA2 no está exento de vulnerabilidades.
Comencemos con el hecho de que en 2006, se descifró el cifrado TKIP en WPA. El exploit permite leer los datos transmitidos desde el punto de acceso a la máquina cliente, así como transmitir información falsa a la máquina cliente. Para implementar este ataque, es necesario que se utilice QoS en la red.
Por lo tanto, tampoco recomiendo usar WPA para asegurar su red inalámbrica. Por supuesto, es más difícil de descifrar que WEP, y WPA lo protegerá de un ataque Aircrack por parte de escolares, sin embargo, no resistirá un ataque dirigido a su organización. Para mayor seguridad, recomiendo usar WPA2
Sin embargo, WPA2 no está exento de vulnerabilidades. En 2008 se descubrió una vulnerabilidad que permitía realizar un ataque man-in-the-center. Permitió que un miembro de la red interceptara y descifrara los datos transmitidos entre otros miembros de la red utilizando su clave transitoria por pares. Por lo tanto, cuando se trabaja en una red de este tipo, tiene sentido utilizar medios adicionales para cifrar la información transmitida (Shipka PCDST, por ejemplo). Al mismo tiempo, tenga en cuenta que para aprovechar esta vulnerabilidad, un atacante debe estar autorizado y conectado a la red.
Sin embargo, me gustaría centrarme en la implementación "doméstica" de WPA-PSK. Simplificó el esquema de autorización, tal "cuello de botella" es la clave precompartida en sí misma, ya que ingresar esta clave le da al dispositivo acceso completo a la red (si el filtrado MAC no está habilitado).
La clave en sí se almacena en el punto de acceso. Según el modelo y el firmware del dispositivo, se implementan métodos para su protección. En algunos casos, basta con que un atacante obtenga acceso al panel de control web y obtenga la clave precompartida, que se almacena allí en texto sin cifrar. En algunos casos, el campo con él está protegido, como un campo de contraseña, pero aún es posible extraerlo si un atacante puede quitar el chip de memoria del dispositivo y obtener acceso de bajo nivel. Por lo tanto, preste atención a la seguridad física de su equipo inalámbrico.
Y finalmente, la vulnerabilidad más reciente es la capacidad de interceptar paquetes de protocolo de enlace en los que se transmite la clave precompartida cuando el dispositivo está conectado a la red. Según la cantidad de cifrado de la clave precompartida, al atacante solo le queda una opción: un ataque de fuerza bruta en los paquetes de asociación capturados. Por un lado, esto es irracional, pero debe entenderse que para esto no necesita estar cerca del punto de acceso en absoluto, y para un ataque de fuerza bruta (o diccionario) de este tipo, un atacante puede usar grandes recursos informáticos.
También vale la pena señalar que para interceptar un apretón de manos, un atacante no tiene que esperar hasta que se conecte un nuevo dispositivo a la red. En algunos adaptadores inalámbricos, cuando se utilizan controladores no estándar, es posible enviar paquetes de reasociación a la red, lo que interrumpirá las conexiones de red e iniciará un nuevo intercambio de clave de red entre los clientes y el punto de acceso. En este caso, para poder capturar los paquetes requeridos, es necesario que al menos un cliente esté conectado a la red. Además, un atacante debe estar cerca del punto de acceso para que la potencia de su adaptador (y estos adaptadores suelen ser de baja sensibilidad y bajo consumo, y se calientan mucho durante el funcionamiento) sea suficiente para ENVIAR paquetes de reasociación (recuerde WEP, donde solo tenía que "atrapar" una cantidad suficiente de tráfico). Y al final, un ataque de fuerza bruta lleva mucho tiempo, pero el uso de un clúster informático simplifica enormemente la tarea.

Conclusión

Este artículo ha sido sobre cómo funciona el mecanismo WPA\WPA2, así como sus principales vulnerabilidades.
Por lo tanto, para proteger WPA\WPA2 en casa, utilice contraseñas largas y complejas (que no sean de diccionario) y el uso de caracteres especiales y, preferiblemente, caracteres ASCII no imprimibles. Sin embargo, debe entenderse que en este caso, la capacidad de conectar muchos dispositivos móviles estará limitada si la contraseña no se puede ingresar desde este dispositivo.
En el trabajo, utilice siempre WPA-Enterprise, especialmente si ya tiene implementada una red de Active Directory. Esto protegerá su red de la mayoría de los ataques. Pero tampoco se olvide de otros medios para proteger su infraestructura.
El próximo artículo de esta serie brindará un ejemplo de cómo un atacante puede obtener acceso a una red WPA2-PSK usando una contraseña débil, así como deshabilitar temporalmente la red WPA a través de un ataque de denegación de servicio.