Del Blog Digimodes: Seguridad en redes WiMAX (29/05/2016)

Relacionado con el post anterior:

Seguridad en redes WiMAX

Posted on 29 mayo, 2016 by alex.casanova

WiMAX (WorldWide Interoperatibility for Microwave Access) es el nombre comercial de un grupo de tecnologías inalámbricas que emergieron de la familia de los estándares WirelessMAN. En concreto, en el año 2001 se creó el Foro WiMAX para promover el estándar y para ayudar a mejorar la compatibilidad y la interoperabilidad entre múltiples fabricantes.

Comúnmente existe cierta confusión entre la tecnología WiMAX y las tecnologías Wireless (WLAN) estandarizadas por el grupo IEEE 802.11. WiMAX está basada en el estandar 802.16, y lo que le diferencia de las redes WiFI es que estas redes son a escala metropolitana. WiMAX se diseñó pensando en dar cobertura en areas metropolitanas, cubriendo áreas, de hasta de 50Km con velocidades de 70Mb/s, lo que es suficiente para proporcionar un acceso a Internet a toda una ciudad o varias zonas de la misma.

Según algunos informes consultados, en la actualidad en España existen despliegues comerciales del estándar 802.16e en varias zonas de Galicia y Asturias, así como en la zona Sur y Levante. Estos operadores ofrecen servicios de Internet y Voz

Principales estándares IEEE 802.16

Fuente: https://riunet.upv.es/bitstream/handle/10251/34530/Memoria.pdf?sequence=1

Conceptos básicos:

Dentro de las redes WiMAX debemos distinguir dos conceptos básicos:

• Estación Base (BS): Debemos entenderlo de forma muy similar a cómo entendemos una estación base en telefonía móvil. Elemento de la red que posee una o varias antenas para ofrecer cobertura, normalmente instalado por un operador de telecomunicaciones.
• Receptor WiMAX (SS): En este lado solemos encontrar al abonado al servicio de WiMAX. En esta ubicación se instala un CPE (Customer Premises Equipment) para dar servicio a dicho abonado.

WiMAX dispone de dos modos de operación:

• LoS (Line of sight): En este modelo de operación es necesario disponer de visión directa con la BS.
• Non-LoS (Non-line-of-sight): Es el modelo de ofrecer servicio sin línea de visión directa con la BS (Base Station). Como por ejemplo, un pequeño dispositivo conectado a nuestro ordenador que este, a su vez, se coencta a la BS sin tener necesariamente línea de visión directa con la BS.

Fuente: http://www.slideshare.net/AryaAkbarzadehArbata/0-wi-max-overview?qid=04167c0a-b9dc-4b37-80df-8449cdb065bb&v=&b=&from_search=11

Atribuciones de frecuencias:

Bandas no licenciadas (Aplicaciones ICM) Reflejado en la nota UN-51 del CNAF:

•  2400 – 2500 Mhz
•  5725 – 5875 Mhz
•  24 Ghz – 24.25 Ghz
•  61 Ghz – 61.50 Ghz

Banda Licenciada: Reflejado en la nota UN-107 / UN-128 del CNAF:

• 3400 – 3600 Mhz
• 5150 – 5350 Mhz

El stack de protocolo usado para WiMAX, aunque muy similar al wifi incluye variaciones en sus capas. El protocolo WiMAX se diseñó pensando en garantizar privacidad, confidencialidad y autenticación.

Autenticación (BS – SS)

Para garantizar la autenticación WiMAX puede utilizar estas dos premisas

• OSA (Open System Authentication): la autenticación del cliente está basada en su dirección MAC. La estación base (BS) en base a su configuración puede autenticar o no a la estación cliente.
• SKA (Shared Key Authentication): en este caso para la autenticación se utilizan “claves compartidas” que ambos extremos deberán conocer para garantizar una autenticación más segura.

Además, por especificaciones, wiMAX para la autenticación puede utilizar un protocolo PKM (Privacy Key Management), para que una estación (BS) y un usuario (SS) puedan intercambiar claves y obtener autorización de la BS. Lo cual dificulta las tareas de que un atacante pueda autenticarse como un “subscriber” ante la BS.

Fuente: http://www.dasconference.ro/cd2012/data/papers/B58.pdf

Posibles vectores de ataque a redes WiMAX:

A continuación se muestran algunos posibles vectores de ataque a redes WiMAX y las herramientas que dispone para mitigar este tipo de ataques (si las hay):

• Rogue Base Stations: Al contrario de lo que sucede en Wifi, este tipo de ataques en WiMAX es mucho más complicado (que no imposible). Para llevar a cabo este ataque, una “Rogue BS” hará creer al SS (Subscriber Station) que está conectado a la BS legítima, de esta forma será capaz de capturar todo el tráfico de la SS. Para llevar a cabo este ataque la estación base falsa, generará su propio mensaje respuesta ante una petición de autorización, incluyendo en esta respuesta su propia AK (Authorization Key). Para conseguir este objetivo el atacante deberá ser capaz de conseguir la información de la BS legítima y construir una identidad con la información robada de la BS legítima.

En el caso de que la BS no exija una autenticación para que los clientes se asocien, el atacante podría configurar “Rogue Base Station” y podría conseguir que los SS se asociasen a esta “Rogue BS“capturando todo el tráfico que estos generen.

Fuente: http://www.dasconference.ro/cd2012/data/papers/B58.pdf

• Man-in-the-middle Attacks: Para prevenir este tipo de ataques, WiMAX usa un esquema “three-way handshake” el cual dispone de mecanismos de re-autenticación. Además WiMAX también dispone de mecanismos para forzar “handovers” y evitar las técnicas de “man-in-the-middle”
• Jamming Attack: Quizás uno de los ataques más sencillos que se pueden llevar a cabo en el interface aire. Este ataque consiste en generar “ruido” en el canal dónde se realiza la comunicación, impidiendo que BS y SS puedan comunicarse. Este ataque es de tipo DoS es difícil de llevar a cabo, si en vuestro caso, la estación (BS) y la unidad de tren (SS) están muy cerca, ya que el atacante debería emitir con mucha potencia impidiendo que ambos extremos de la comunicaciones (que están muy cerca) puedan llegar a comunicarse. [1]. Este tipo de ataques puede ser identificado con un analizador de RF.
• Scrambling Attack: Similar al ataque de Jamming, pero en un periodo de tiempo mucho más corto y dirigido a un tipo muy concreto de tramas de datos dentro de la capa PHY de WiMAX.
• Network manipulation with spoofed frames: WiMAX no dispone de mecanismos para la detección y descarte de los paquetes repetidos. Por tanto, es vulnerable a ataques de reenvío de tramas, lo que podría provocar un DoS. En este caso, el atacante debería ser capaz de capturar las tramas, y estar en LoS para alcanzar la BS a la que se quiere “atacar”.
• Water Torture Attack: este tipo de ataque, es un ataque de Denegación de Servicio (DoS). Para llevar a cabo este ataque, se enviarán “bogus frames” que el SS o BS no podrán procesar, con el consiguiente aumento del uso de la CPU y/o de la batería (en caso de tenerla) del dispositivo WiMAX.

Fuente: http://www.dasconference.ro/cd2012/data/papers/B58.pdf

• DoS basado en el comando RES-CMD: El comando RES-CMD es enviado desde la BS a la SS para reinicializar el estado cuando esta no responde adecuadamente o está funcionando de forma no esperada.

Referencias:

• https://riunet.upv.es/bitstream/handle/10251/34530/Memoria.pdf?sequence=1
• http://www.albentia.com/Docs/WP/ALB-W-000006spA4_Seguridad%20en%20redes%20WiMAX.pdf
• http://www.dasconference.ro/cd2012/data/papers/B58.pdf
• http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-127.pdf