PROJET DE SECURITE RESEAU

y Theme:
CASSER LES CLES WIFI WEP ET WAP SOUS BACKTRACK Classe: Master1 Rseau Informatique Ecole: ISI

Nom du prof: Mr Youssef

y Groupe 2 y MAKAMBILA Claire Stephen y KOITA Cheikh y AMAR Souleymane

1-Prsentation 2-Pr requis 3-Configuration 3-1Cl wep 3-2Cl wap 4-Conclusion

1-Prsentation
yA travers ce projet , nous

allons voir comme il est ais de cracker un rseau wifi encrypt en WEP et en Wap sous Backtrack avec la suite aircrack-ng.

Se Procurer un live cd de Backtrack 2ou3 - Si vous utilisez dja un systme d'exploitation Linux, vous pouvez tlcharger la suite aircrack-ng - Avoir une connaissance avec l'environnement Linux - Assurez vous que vous disposez d'une carte wifi compatible mode monitor et injection

2-Pr requis

3-C fig r ti 3- Cl w p
yBootez votre ordinateur avec le live

cd de Backtrack. Une fois sur le bureau, passez en clavier azerty franaise en cliquant sur le drapeau se trouvant sur la barre de tache , et ouvrez un Shell de commande.

Dcouverte des rseaux

ifi

Commencez par passer votre carte wifi en mode monitor afin de pouvoir couter les rseaux wifi environnants. La commande iwconfig vous renseigne sur les interfaces wifi.

Pour faire basculer la carte en mode monitor on utilisera La commande airmon-ng start wlan0

Surveillance du rseau airdump-ng est le programme qui permet de surveiller les rseaux wifi
y Pour commencer la surveillance en saisi la commande y y y y

suivante: airodump-ng --encrypt wep wlan0 --encrypt permet de filtrer les rseaux en fonction du type d'encryption utilis. Wlan0 c est interface wifi NB: seuls les rseaux en WEP seront affichs

Le rseau dont l'essid (essid = nom du rseau wifi) est Livebox-a1b2 sera notre cible pour cet exemple. Sous airodump-ng, les points d'accs sont affichs en haut, et les stations (ordinateurs connects) sont affichs en bas. On peut voir qu'un ordinateur est connect au rseau Liveboxa1b2 dont l'adresse mac est 00:16:41:C9:E0:3F. Un rseau en WEP, une station connecte, les conditions sont runies pour cracker le rseau. On stoppe airodump en faisant ctrl + c dans le shell, et on le relance en crant un fichier de capture et en ciblant le rseau Livebox-a1b2.

Cration du fichier de ca ture et choix du rseau cracker

airodump-ng -w out -c 10 --bssid 00:16:41:C9:E0:3F wlan0

On voit qu'airodump-ng surveille excusivement notre rseau cible. En bas, l'ordinateur connect la Livebox. La colonne "rxq" indique la qualit du signal radio (entre 0 et 100), ici avec un rxq 100 le signal est excellent .En naviguant sous konkeror dans le dossier depuis lequel nous avons lanc airodump-ng, nous pouvons voir les 2 fichiers crs: out-01.cap (le fichier de capture contenant les paquets) et out-01.txt (un fichier log contenant toutes les informations concernant les essids, adresses mac des points d'accs, stations etc... )

Association au oint d'accs

Nous allons utiliser aireplay-ng pour vrifier si nous pouvons nous associer au point d'accs. Ici, les conditions sont optimales pour le crack: le signal est excellent et un client est connect au point d'accs. Si le signal tait moins bon, nous pourrions avoir des difficults nous associer au point d'accs. Il est judicieux de tenter une association avant de se lancer dans l'injection de paquet. Cela permet de voir si la connectivit est bonne, et cela peut aussi permettre de savoir si un point d'accs utilise le filtrage par adresse mac. Petite explication sur le filtrage mac:

Certaines box n'autorisent s'associer que les clients figurant dans leur liste de clients autoriss. Pour rsumer, si vous n'avez pas une adresse mac valide vous ne pourrez pas communiquer avec le point d'accs, ce qui rendra le crack et la connection impossible. Sachez que le filtrage mac est activ par dfaut sur les Livebox, mais il est dsactiv par dfaut sur les routeurs Tecom (Club Internet).

Connaitre les rglages par dfaut des boxlive permet bien souvent de savoir l'avance si un filtrage mac est activ ou pas. Nous utiliserons comme attaques le --deauth count : deauthenticate 1 or all stations (-0) Notre commande pour l'attaque -1 fakeauth (association & authentification) sera: aireplay-ng -1 0 -e Livebox-a1b2 -a 00:16:41:C9:E0:3F -b 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 wlan0 Livebox-a1b2: essid (nom du rseau wifi) 00:16:41:C9:E0:3F: adresse mac du point d'accs 00:12:F0:6F:ED:38: adresse mac du client ("station" sous airodump-ng) wlan0: notre interface wifi

On peut voir qu'avant d'envoyer les paquets

d'association au point d'accs, aireplay-ng a remplac l'adresse mac de notre carte wifi par celle spcifie dans le paramtre -h (celle de la station) afin que nous puissions communiquer avec le point d'accs. L'association a t immdiate, le message "association successfull :-)" confirme le succs de l'opration.

y L'attaque ar rejeu d'ar (injection

de aquets)

Nous allons maintenant lancer l'attaque aireplay-ng -3 (attaque par rejeu d'arp). Les anciennes versions de la suite aircrack-ng permettaient de cracker une cl WEP avec 1 millions d'Ivs, entre la capture, l'injection et le crack il fallait bien souvent pas loin d'une heure pour cracker le rseau. La version actuelle de la suite aircrack-ng utilise l'algorithme "PTW" qui permet de cracker un rseau WEP 128 bits avec peine 45000 datas. Cependant, l'algoritme PTW n'utilise pas les Ivs, mais les arp pour le crack. C'est la raison pour laquelle l'attaque par rejeu d'arp est la solution la plus performante et la plus rapide pour cracker une cl WEP. Notre commande pour l'attaque -3 standard ARPrequest replay (rejeu d'arp) sera: aireplay-ng -3 -e Livebox-a1b2 -a 00:16:41:C9:E0:3F -b 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 -x 600 -r out-01.cap wlan0

Livebox-a1b2: essid (nom du rseau wifi) 00:16:41:C9:E0:3F: adresse mac du point d'accs 00:12:F0:6F:ED:38: adresse mac du client ("station" sous airodump-ng) 600: nombre de paquets par secondes qui seront injects ( rgler en fonction de la qualit du signal wifi) out-01.cap: notre fichier de capture airodump-ng wlan0: notre interface wifi

Une fois l'attaque lance, on peut voir en bas le nombre d'arp requests (requetes arp) contenus dans notre fichier de capture. A partir de 40000 arp, il est possible de cracker une cl WEP 128 bits. Les requetes arp sont galement sauvegardes dans un fichier appel replay-arp-date-heure.cap. On peut voir qu'aireplay-ng vient de crer ce fichier:

Retournons dans notre shell airodump-ng pour dcouvrir ce qu'il se passe. On peut y voir les effets de notre attaque: -La colonne "Data" augmente, ce qui signifie que le fichier de capture contient des Ivs. -La colonne "#/s" indique 167, ce qui signifie que nous captons 167 datas/seconde

Quelques minutes de patience s'imposent, une fois que les datas et arp commencent atteindre un nombre intressant (10000 arp pour une cl WEP 64 bits, 40000 arp pour une cl WEP 128 bits) nous pouvons ouvrir un nouveau shell et lancer aircrack-ng pour cracker la cl WEP du rseau. cracker la cl WEP avec Aircrack-ng En tapant aircrack-ng dans le shell vous dcouvrirez les diffrentes options disponibles. Pour ce type de crack, la commande est basique: aircrack-ng nom-du-fichier-de-capture Dans notre exemple: aircrack-ng out-01.cap

Air r - gs l tr v il:

ts

Assez rapidement (on peut le voir sur le compteur, ici cela n'a pris que 3 minutes) KEY FOUND!

3-2Cl

Une fois le bureau charg, cliquez 4 fois sur le petit drapeau amricain situ en bas droite de l'cran pour passer en clavier azerty franais.

Passag

it r

Mai t a t, r s ig z v s s r v s i t rfac s r s a x ta a t i c fig

Basculer en mode monitor afin d'couter les rseaux wifi, tapez la commande airmon-ng start suivie du nom de l'interface wifi. Dans ce cas: airmon-ng start wlan0

L'coute des rseaux airodump-ng --encrypt wpa wlan0

Pour arretter airodump, faites ctrl + c dans le shell. Ici, airodump-ng a cout tous les canaux, et a affich les points d'accs utilisant le cryptage WPA, sans crire de fichier de capture.Ensuite en lance la commande airodump-ng -w out -encrypt wpa -c 11 --bssid 00:17:33:8C:81:77 wlan0 pour filtrer le rseau

L'attaque active avec Aireplayg

y Une mthode de crack (mthode passive)

consiste cibler un point d'accs, et couter le rseau pendant des heures en attendant qu'un client se connecte. En effet, le 4 way handshake est un ensemble de paquets mis par le point d'accs et la station lorsque celle ci se connecte. Lors de la connexion, si votre rception est bonne (la qualit radio du signal est visible dans la colonne "rxq", si elle est suprieure 50 elle est de bonne qualit), le
handshake sera captur.

Une autre mthode consiste utiliser aireplay-ng et son attaque -0 (dauthentication) pour forcer la dconnexion du client et capturer le handshake lorsqu'il se reconnecte (le gestionnaire de rseau wifi de windows est regl par dfaut pour se reconnecter automatiquement un point d'accs en cas de dconnexion, l'attaque -0 exploite cette faille).

Prparez votre attaque aireplay-ng. Cliquez dans session, new shell et ouvrez 2 nouveaux shells. Dans le premier, prparez la commande aireplay-ng -0 0 -a bssid -c station interface Dans le second, prparez la commande aireplay-ng -0 0 a bssid interface Le paramtre -0 signifie une attaque dauth, le 0 qui suit signifie que l'envoi des paquets de dauth sera infini, il faudra donc arretter l'attaque aprs quelques instants avec ctrl + c. Vous pouvez spcifier un dlai, par exemple aireplay-ng -0 5 , et l'attaque s'arrettera aprs l'envoi de 5 paquets de dauth. Quand les commandes sont pretes, lancez les dans chaque shell, patientez quelques secondes et stoppez les.

Si l'attaque a russi, vous devriez avoir une bonne surprise en revenant dans votre shell airodump-ng. L'apparition du WPA handshake en haut droite de la fenetre indique la russite de l'attaque. Selon la qualit de la rception, la capture du handshake peut etre immdiate, ou trs fastidieuse. Il se peut que vous deviez renouveler les attaques de nombreuses reprises avant d'obtenir le tant attendu handshake

Le bruteforce du handshake
y Le handshake est maintenant dans le fichier de

capture, vous pouvez stopper airodump. Vous devez maintenant vous armer d'un bon fichier dictionnaire (consulez notre section spciale concernant les Packs Crack Wpa ICI, et le copier dans le dossier ou se trouve le fichier de capture. Comme on peut le voir, j'ai copi le fichier dictionnaire nomm 8.txt dans le dossier root. Le fichier out-01.cap est le fichier de capture contenant le handshake, et le fichier out-01.txt est un fichier cr par airodump-ng contenant des informations sur le fichier de capture

Le crack peut commencer Le crack se lance avec la commande suivante: aircrack-ng -w nom-du-fichier-dictionnaire nom-dufichier-de-capture Dans cet exemple: aircrack-ng -w 8.txt out-01.cap

Le crack se lance, aircrack-ng va tester tous les mots de passe contenus dans le fichier dictionnaire. La vitesse du crack, indique en haut en keys/second dpend de la puissance de calcul de votre processeur

Le crack peut tre long, il faut patienter et tester plusieurs fichiers dictionnaires jusqu ce que la cl soit casse

4-Conclusion
yPour conclure nous pouvons dire

que les wifi scuriss avec les cls wep et wap ne sont pas fiables .il serai mieux d utilise le filtrage par adresse mac.