De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda
El botón WPS (centro, azul) en un enrutador inalámbrico que muestra el símbolo definido por Wi-Fi Alliance para esta función.

La configuración protegida de Wi-Fi ( WPS ; originalmente, Wi-Fi Simple Config ) es un estándar de seguridad de red para crear una red doméstica inalámbrica segura .

Creado por Cisco e introducido en 2006, el objetivo del protocolo es permitir a los usuarios domésticos que saben poco sobre seguridad inalámbrica y pueden sentirse intimidados por las opciones de seguridad disponibles configurar el acceso protegido Wi-Fi , además de facilitar la instalación. dispositivos nuevos a una red existente sin ingresar frases de contraseña largas. La configuración protegida de Wi-Fi permite al propietario de los privilegios de Wi-Fi bloquear a otros usuarios para que no utilicen la red Wi-Fi de su hogar. El propietario también puede permitir que las personas usen Wi-Fi. Esto se puede cambiar presionando el botón WPS en el enrutador doméstico. [1]

En diciembre de 2011 se reveló una falla de seguridad importante que afecta a los enrutadores inalámbricos con la función WPS PIN, que los modelos más recientes han habilitado de manera predeterminada. La falla permite a un atacante remoto recuperar el PIN de WPS en unas pocas horas con un ataque de fuerza bruta y, con el PIN de WPS, la clave precompartida (PSK) WPA / WPA2 de la red . [2] Se ha instado a los usuarios a desactivar la función de PIN de WPS, [3] aunque es posible que esto no sea posible en algunos modelos de enrutadores. [4]

Modos [ editar ]

El estándar enfatiza la usabilidad y la seguridad , y permite cuatro modos en una red doméstica para agregar un nuevo dispositivo a la red:

Método PIN
En el que se debe leer un PIN de una etiqueta o una pantalla en el nuevo dispositivo inalámbrico . Luego, este PIN debe ingresarse en el "representante" de la red, generalmente el punto de acceso de la red . Alternativamente, se puede ingresar un PIN proporcionado por el punto de acceso en el nuevo dispositivo. Este método es el modo básico obligatorio y todo debe ser compatible. La especificación de Wi-Fi Direct reemplaza este requisito al establecer que todos los dispositivos con teclado o pantalla deben admitir el método PIN. [5]
Método de botón pulsador
En el que el usuario tiene que presionar un botón, ya sea real o virtual, tanto en el punto de acceso como en el nuevo dispositivo cliente inalámbrico. En la mayoría de los dispositivos, este modo de descubrimiento se apaga tan pronto como se establece una conexión o después de una demora (generalmente 2 minutos o menos), lo que ocurra primero, minimizando así su vulnerabilidad. El soporte de este modo es obligatorio para los puntos de acceso y opcional para conectar dispositivos. La especificación de Wi-Fi Direct reemplaza este requisito al afirmar que todos los dispositivos deben admitir el método de botón. [6]
Método de comunicación de campo cercano
En el que el usuario tiene que acercar al nuevo cliente al punto de acceso para permitir una comunicación de campo cercano entre los dispositivos. También se pueden utilizar etiquetas RFID compatibles con NFC Forum . El soporte de este modo es opcional.
Método USB
En el que el usuario usa una unidad flash USB para transferir datos entre el nuevo dispositivo cliente y el punto de acceso a la red. La compatibilidad con este modo es opcional, pero está obsoleta.

Los dos últimos modos generalmente se conocen como métodos fuera de banda , ya que hay una transferencia de información por un canal que no es el canal Wi-Fi en sí. Solo los dos primeros modos están actualmente [ ¿cuándo? ] cubiertos por la certificación WPS. El método USB ha quedado obsoleto y no forma parte de las pruebas de certificación de Alliance.

Algunos puntos de acceso inalámbricos tienen un botón WPS de doble función, y mantener presionado este botón durante un tiempo más corto o más largo puede tener otras funciones, como restablecimiento de fábrica o alternar WiFi. [7]

Algunos fabricantes, como Netgear , utilizan un logotipo y / o nombre diferente para la configuración protegida de Wi-Fi; [8] Wi-Fi Alliance recomienda el uso de la marca de identificación de configuración protegida Wi-Fi en el botón de hardware para esta función. [9]

Arquitectura técnica [ editar ]

El protocolo WPS define tres tipos de dispositivos en una red:

Registrador
Un dispositivo con autoridad para emitir y revocar el acceso a una red; puede integrarse en un punto de acceso inalámbrico (AP) o proporcionarse como un dispositivo separado.
Inscrito
Un dispositivo cliente que busca unirse a una red inalámbrica.
AP
Un punto de acceso que funciona como un proxy entre un registrador y un inscrito.

El estándar WPS define tres escenarios básicos que involucran los componentes enumerados anteriormente:

AP con capacidades de registrador integradas configura una estación inscrita ( STA )
En este caso, la sesión se ejecutará en el medio inalámbrico como una serie de mensajes de solicitud / respuesta EAP , terminando con el AP disociando el STA y esperando que el STA se reconecte con su nueva configuración (entregada por el AP justo antes ).
El registrador STA configura el AP como inscrito
Este caso se subdivide en dos aspectos: primero, la sesión podría ocurrir en un medio cableado o inalámbrico, y segundo, el AP ya podría estar configurado cuando el registrador lo encontró. En el caso de una conexión por cable entre los dispositivos, el protocolo se ejecuta en Universal Plug and Play(UPnP), y ambos dispositivos deberán admitir UPnP para tal fin. Cuando se ejecuta sobre UPnP, se ejecuta una versión abreviada del protocolo (solo dos mensajes) ya que no se requiere autenticación más que la del medio cableado unido. En el caso de un medio inalámbrico, la sesión del protocolo es muy similar al escenario del registrador interno, pero con roles opuestos. En cuanto al estado de configuración del AP, se espera que el registrador pregunte al usuario si reconfigura el AP o mantiene su configuración actual, y puede decidir reconfigurarlo incluso si el AP se describe a sí mismo como configurado. Varios registradores deben tener la capacidad de conectarse al AP. UPnP está diseñado para aplicarse solo a un medio cableado, mientras que en realidad se aplica a cualquier interfaz en la que se pueda configurar una conexión IP. Por lo tanto, habiendo configurado manualmente una conexión inalámbrica,el UPnP se puede utilizar sobre él de la misma manera que con la conexión por cable.
El STA del registrador configura el STA del inscrito
En este caso, el AP se encuentra en el medio y actúa como un autenticador, lo que significa que solo envía los mensajes relevantes de un lado a otro.

Protocolo [ editar ]

El protocolo WPS consta de una serie de intercambios de mensajes EAP que se desencadenan por la acción de un usuario, basándose en un intercambio de información descriptiva que debe preceder a la acción de ese usuario. La información descriptiva se transfiere a través de un nuevo elemento de información (IE) que se agrega a la baliza, la respuesta de la sonda y, opcionalmente, a los mensajes de solicitud de sondeo y solicitud / respuesta de asociación. Aparte de los valores de longitud de tipo puramente informativos , esos IE también contendrán los métodos de configuración posibles y actualmente implementados del dispositivo.

Después de esta comunicación de las capacidades del dispositivo desde ambos extremos, el usuario inicia la sesión de protocolo real. La sesión consta de ocho mensajes que son seguidos, en el caso de una sesión exitosa, por un mensaje para indicar que el protocolo se completó. El flujo exacto de mensajes puede cambiar cuando se configuran diferentes tipos de dispositivos (AP o STA), o cuando se utilizan diferentes medios físicos (alámbricos o inalámbricos).

Selección de banda o radio [ editar ]

Algunos dispositivos con conectividad de red inalámbrica de doble banda no permiten al usuario seleccionar la banda de 2,4 GHz o 5 GHz (o incluso una radio o SSID en particular) cuando se utiliza la configuración protegida Wi-Fi, a menos que el punto de acceso inalámbrico tenga un botón WPS separado para cada banda o radio; sin embargo, varios enrutadores inalámbricos posteriores con múltiples bandas de frecuencia y / o radios permiten el establecimiento de una sesión WPS para una banda específica y / o radio para la conexión con clientes que no pueden tener el SSID o la banda (por ejemplo, 2.4 / 5 GHz) seleccionado explícitamente por el usuario en el cliente para la conexión con WPS (por ejemplo, empujando los 5 GHz, donde sea compatible,El botón WPS en el enrutador inalámbrico obligará a un dispositivo cliente a conectarse a través de WPS solo en la banda de 5 GHz después de que el dispositivo cliente haya establecido una sesión WPS que no puede permitir explícitamente la selección de red y / o banda inalámbrica para el método de conexión WPS ).[10] [11]

Un dispositivo de banda ancha móvil Telstra 4GX Advanced III que muestra las opciones de emparejamiento WPS para una radio / banda en particular.

Vulnerabilidades [ editar ]

Ataque de fuerza bruta en línea [ editar ]

En diciembre de 2011, el investigador Stefan Viehböck informó sobre una falla de diseño e implementación que hace que los ataques de fuerza bruta contra WPS basados ​​en PIN sean factibles de realizar en redes Wi-Fi habilitadas para WPS. Un ataque exitoso a WPS permite que partes no autorizadas obtengan acceso a la red, y la única solución efectiva es deshabilitar WPS. [3] La vulnerabilidad se centra en los mensajes de reconocimiento enviados entre el registrador y el inscrito al intentar validar un PIN, que es un número de ocho dígitos que se utiliza para agregar nuevos inscritos WPA a la red. Dado que el último dígito es una suma de comprobación de los dígitos anteriores, [12] hay siete dígitos desconocidos en cada PIN, lo que da como resultado 10 7 = 10,000,000 combinaciones posibles.

Cuando un afiliado intenta obtener acceso usando un PIN, el registrador informa la validez de la primera y segunda mitades del PIN por separado. Dado que la primera mitad del pin consta de cuatro dígitos (10,000 posibilidades) y la segunda mitad tiene solo tres dígitos activos (1000 posibilidades), se necesitan como máximo 11,000 intentos antes de recuperar el PIN. Se trata de una reducción de tres órdenes de magnitud del número de PIN que sería necesario probar. Como resultado, un ataque se puede completar en menos de cuatro horas. La facilidad o dificultad de explotar esta falla depende de la implementación, ya que los fabricantes de enrutadores Wi-Fi podrían defenderse de tales ataques al ralentizar o deshabilitar la función WPS después de varios intentos fallidos de validación del PIN. [2]

Un joven desarrollador con sede en un pequeño pueblo del este de Nuevo México creó una herramienta que aprovecha esta vulnerabilidad para demostrar que el ataque es factible. [13] [14] La herramienta fue luego comprada por Tactical Network Solutions en Maryland por 1,5 millones de dólares. Afirman que conocen la vulnerabilidad desde principios de 2011 y la han estado utilizando. [15]

En algunos dispositivos, deshabilitar WPS en la interfaz de usuario no da como resultado que la función se deshabilite y el dispositivo sigue siendo vulnerable a este ataque. [4] Se han lanzado actualizaciones de firmware para algunos de estos dispositivos, lo que permite que WPS se desactive por completo. Los proveedores también podrían parchear la vulnerabilidad agregando un período de bloqueo si el punto de acceso Wi-Fi detecta un ataque de fuerza bruta en curso, lo que deshabilita el método PIN durante el tiempo suficiente para que el ataque no sea práctico. [dieciséis]

Ataque de fuerza bruta sin conexión [ editar ]

En el verano de 2014, Dominique Bongard descubrió lo que llamó el ataque Pixie Dust . Este ataque solo funciona en la implementación WPS predeterminada de varios fabricantes de chips inalámbricos, incluidos Ralink, MediaTek, Realtek y Broadcom. El ataque se centra en la falta de aleatorización al generar los nonces "secretos" E-S1 y E-S2 . Conociendo estos dos nonces, el PIN se puede recuperar en un par de minutos. Se ha desarrollado una herramienta llamada pixiewps [17] y se ha desarrollado una nueva versión de Reaver para automatizar el proceso. [18]

Dado que tanto el punto de acceso como el cliente (inscrito y registrador, respectivamente) deben demostrar que conocen el PIN para asegurarse de que el cliente no se esté conectando a un AP no autorizado, el atacante ya tiene dos hashes que contienen cada mitad del PIN, y todos lo que necesitan es forzar el PIN real. El punto de acceso envía dos hashes, E-Hash1 y E-Hash2, al cliente, demostrando que también conoce el PIN. E-Hash1 y E-Hash2 son valores hash de (E-S1 | PSK1 | PKe | PKr) y (E-S2 | PSK2 | PKe | PKr), respectivamente. La función hash es HMAC-SHA-256 y usa la "authkey" que es la clave utilizada para hash los datos.

Problemas de seguridad física [ editar ]

Todos los métodos WPS son vulnerables al uso por parte de un usuario no autorizado si el punto de acceso inalámbrico no se mantiene en un área segura. [19] [20] [21] Muchos puntos de acceso inalámbricos tienen información de seguridad (si está protegida de fábrica) y el PIN de WPS impreso en ellos; este PIN también se encuentra a menudo en los menús de configuración del punto de acceso inalámbrico. Si este PIN no se puede cambiar o deshabilitar, el único remedio es obtener una actualización de firmware para permitir que se cambie el PIN o reemplazar el punto de acceso inalámbrico.

Es posible extraer una frase de contraseña inalámbrica con los siguientes métodos sin herramientas especiales: [22]

  • Se puede extraer una frase de contraseña inalámbrica usando WPS en Windows Vista y versiones más recientes de Windows, bajo privilegios administrativos al conectarse con este método, luego abrir las propiedades de esta red inalámbrica y hacer clic en "mostrar caracteres".
  • Un simple exploit en la utilidad de cliente inalámbrico Intel PROset puede revelar la frase de contraseña inalámbrica cuando se usa WPS, después de un simple movimiento del cuadro de diálogo que le pregunta si desea reconfigurar este punto de acceso. [22]

  • Un boletín de servicio genérico sobre seguridad física para puntos de acceso inalámbricos.

  • Un enrutador inalámbrico que muestra información de seguridad preestablecida impresa, incluido el PIN de configuración protegida de Wi-Fi.

Referencias [ editar ]

  1. ^ Higgins, Tim. "¿Cómo se supone que funciona WPS?" . SmallNetBuilder . Consultado el 1 de mayo de 2020 .
  2. ↑ a b Viehböck, Stefan (26 de diciembre de 2011). "Configuración protegida de Wi-Fi de fuerza bruta" (PDF) . Consultado el 30 de diciembre de 2011 .
  3. ↑ a b Allar, Jared (27 de diciembre de 2011). "Nota de vulnerabilidad VU # 723755 - Vulnerabilidad de fuerza bruta del PIN de configuración protegida WiFi" . Base de datos de notas de vulnerabilidad . US CERT . Consultado el 31 de diciembre de 2011 .
  4. ↑ a b Gallagher, Sean (4 de enero de 2012). "Manos a la obra: hackear la configuración protegida WiFi con Reaver" . Condé Nast Digital . Consultado el 20 de enero de 2012 .
  5. ^ P2P Spec 1.2, cláusula 3.1.4.3
  6. ^ Especificación P2P 1.2,
  7. ^ [1] Página del producto Tenda W311R +: una pulsación larga provoca el restablecimiento de fábrica. Consultado el 18 de enero de 2016; Draytek: Manual de la serie Vigor 2820: pulsación corta alterna WiFi
  8. ^ "Netgear N600 Wireless Dual Band Gigabit ADS2 + Modem Router DGND3700 User Manual" (PDF) . www.netgear.com . Consultado el 16 de enero de 2016 .
  9. ^ "Guía de estilo de la marca Wi-Fi Alliance 2014" (PDF) . www.wi-fi.org . Alianza Wi-Fi. Abril de 2014 . Consultado el 16 de enero de 2016 .
  10. ^ [2] "D-Link DSL-2544N Dual Band Wireless N600 Gigabit ADSL2 + Modem Router User Manual, Version 1.0", página 11, consultado el 26 de enero de 2016.
  11. ^ NetComm NF8AC User Guide, página 11, http://media.netcomm.com.au/public/assets/pdf_file/0004/142384/NF8AC-User-Guide.pdf , consultado el 16 de octubre de 2016.
  12. ^ "Especificaciones de Windows Connect Now – NET (WCN-NET)" . Microsoft Corporation . 2006-12-08 . Consultado el 30 de diciembre de 2011 .
  13. ^ "reaver-wps" . Consultado el 30 de diciembre de 2011 .
  14. ^ "Demostración de Reaver en WPS - prueba de concepto" .
  15. Dennis Fisher (29 de diciembre de 2011). "Herramienta de ataque lanzada para la vulnerabilidad de PIN de WPS" . Consultado el 31 de diciembre de 2011 . Esta es una capacidad que en TNS hemos estado probando, perfeccionando y utilizando durante casi un año.
  16. ^ Slavin, Brad (18 de enero de 2013). "Seguridad Wi-Fi: el auge y la caída de WPS" . Netstumbler.com . Consultado el 17 de diciembre de 2013 .
  17. ^ "pixiewps" . Consultado el 5 de mayo de 2015 .
  18. ^ "Reaver modificado" . Consultado el 5 de mayo de 2015 .
  19. ^ "WPS- Advantages and Vulnerability", ComputerHowToGuide.com, 4 de septiembre de 2014, http://www.computerhowtoguide.com/2014/09/wps-advantages-vulnerability.html , obtenido el 16 de octubre de 2016.
  20. ^ "La configuración protegida de Wi-Fi (WPS) es insegura: he aquí por qué debería deshabilitarla", How-To-Geek, 24 de noviembre de 2013, http://www.howtogeek.com/176124/wi-fi-protected- setup-wps-is-insecure-heres-why-you-should-disable-it / , Consultado el 16 de octubre de 2016.
  21. ^ "Configuración protegida de Wi-Fi: amigo o enemigo", Tomáš Rosa, Foro de dispositivos y tarjetas inteligentes de 2013, 23 de mayo, Praga, http://crypto.hyperlink.cz/files/rosa_scadforum13.pdf , Tomáš Rosa, consultado el 16 de octubre , 2016.
  22. ^ a b Cereza, Bryce. Un énfasis en la seguridad física para redes inalámbricas, también conocido como Los peligros de la configuración protegida de Wi-Fi https://www.youtube.com/watch?v=kRhyvRAUG6k Consultado el 14 de julio de 2014

Enlaces externos [ editar ]

  • re.nexxtsolutions.com
  • Centro de conocimientos de configuración protegida de Wi-Fi en Wi-Fi Alliance
  • Arquitectura de dispositivo UPnP
  • US-CERT VU # 723755
  • Esperando la corrección de WPS
  • WPS Pixie Dust Attack (Ataque WPS sin conexión)
  • Hacklu2014 Offline Bruteforce Attack en WPS