You are on page 1of 45

Seguridad Inalmbrica

Para proteger algo primero debes saber como atacarlo

By REUTER <hellreuter@gmail.com>

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

En este libro se trataran de analizar los sistemas de seguridad en redes inalmbricas (WiFi) el autor no se hace responsable de lo que incite este documento, solo se fomentara el uso adecuado de sistemas de seguridad y se pondrn a prueba los posibles ataques hacia este tipo de redes. Los trminos victima y atacante son puramente para la identificacin de objetivos. Algunos de los conceptos, acciones y definiciones incluidos en este material no son obra del autor, se tratara de incluir las fuentes de dichos textos al final del libro.

PRESENTACION:
Hola a todos, soy un estudiante de ingeniera en sistemas computacionales del Instituto Tecnolgico de Veracruz. El motivo por el cual decid hacer este libro es por que quisiera compartir mi preocupacin hacia los actuales sistemas de seguridad en las redes. Hoy en da la tecnologa avanza mucho mas de lo que pensamos, cada da salen nuevos softwares que tratan de hacernos la vida mas facil pero, por que no tomar un poco mas de conciencia hacia lo que realmente necesitamos guardar. Ninguno de nosotros (creo) trabajamos en el gobierno o en alguna institucin donde realmente debemos proteger los datos, pero no solo los datos de empresas son importantes, tambin necesitamos asegurar NUESTRA INFORMACION de personas No Autorizadas. Este libro no es solo por que quieres jalar el Internet de la vecina..(o talvez si..) . Te ayudara a protejerte contra los que quisieran jalarte informacin o serviciosde Internet. Pienso que si nosotros pagamos (a veces) por un servicio que brindan las empresas, este servicio DEBE incluir la seguridad de nuestras redes, con esto no digo que vamos a terminar violados o muertos porque no nos dieron seguridad , pero ahora las empresas se preocupan solo por vender, no por COMPROBAR lo que venden. Mi carrera supone ir orientada a SEGURIDAD Y REDES, lamentablemente hasta hoyNO ME HAN DEFINIDO LO QUE ES SEGURIDAD. Si se traban en algunas secciones no duden en consultarmelo porfavor! Con gusto los ayudare En finla ayuda de cada uno diciendo o escribiendo acerca de lo que van aprendiendo, nos ayuda a TODOS a realmente APRENDER!.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

CAPITULO I
Conceptos Generales
El protocolo IEEE 802.11 o Wi-Fi es un estndar de protocolo de comunicaciones que define el uso de los dos niveles inferiores de la arquitectura OSI (modelo de referencia de Interconexin de Sistemas Abiertos) capas fsica y de enlace de datos, especificando sus normas de funcionamiento en una WLAN. En general, los protocolos de la rama 802.x definen la tecnologa de redes de rea local. Los estndares 802.11b y 802.11g utilizan bandas de 2,4 Ghz que no necesitan de permisos para su uso. El estndar 802.11a utiliza la banda de 5 GHz. El estndar 802.11n har uso de ambas bandas, 2,4 GHz y 5 GHz. Las redes que trabajan bajo los estndares 802.11b y 802.11g pueden sufrir interferencias por parte de hornos microondas, telfonos inalmbricos y otros equipos que utilicen la misma banda de 2,4 Ghz

Estaciones: computadores o dispositivos con interfaz inalmbrica. Medio: se pueden definir dos, la radiofrecuencia y los infrarrojos. Punto de acceso (AP): tiene las funciones de un puente (conecta dos redes con niveles de enlace parecidos o distintos), y realiza por tanto las conversiones de trama pertinente. Sistema de distribucin: importantes ya que proporcionan movilidad entre AP, para tramas entre distintos puntos de acceso o con los terminales, ayudan ya que es el mecnico que controla donde esta la estacin para enviarle las tramas. Conjunto de servicio bsico (BSS): grupo de estaciones que se intercomunican entre ellas. Se define dos tipos: 1. Independientes: cuando las estaciones, se intercomunican directamente. 2. Infraestructura: cuando se comunican todas a travs de un punto de acceso. Conjunto de servicio Extendido (ESS): es la unin de varios BSS. rea de Servicio Bsico (BSA): es la zona donde se comunican las estaciones de una misma BSS, se definen dependiendo del medio. Movilidad: este es un concepto importante en las redes 802.11, ya que lo que indica es la capacidad de cambiar la ubicacin de los terminales, variando la BSS. La transicin ser correcta si se realiza dentro del mismo ESS en otro caso no se podr realizar. Lmites de la red: los lmites de las redes 802.11 son difusos ya que pueden solaparse diferentes BSS.

SISTEMAS DE SEGURIDAD: Cifrados WEP y WPA


WEP (Protocolo de equivalencia con red cableada) La seguridad de la red es extremadamente importante, especialmente para las aplicaciones o programas que almacenan informacin valiosa. WEP cifra los datos en su red de forma que slo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una clave de cifrado antes de enviarlo al aire. Cuanto ms larga sea la clave, ms fuerte ser el cifrado. Cualquier dispositivo de recepcin deber conocer dicha clave para descifrar los datos. Las claves se insertan como cadenas de 10 o 26 dgitos hexadecimales y 5 o 13 dgitos alfanumricos. La activacin del cifrado WEP de 128 bits evitar que el pirata informtico ocasional acceda a sus archivos o emplee su conexin a Internet de alta velocidad. Sin embargo, si la clave de seguridad es esttica o no cambia, es posible que un intruso motivado irrumpa en su red mediante el empleo de tiempo y esfuerzo. Por lo tanto, se recomienda cambiar la clave WEP frecuentemente. A pesar de esta limitacin, WEP es mejor que no disponer de ningn tipo de seguridad y debera estar activado como nivel de seguridad mnimo.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

WPA (Wi-Fi Protected Access) WPA emplea el cifrado de clave dinmico, lo que significa que la clave est cambiando constantemente y hacen que las incursiones en la red inalmbrica sean ms difciles que con WEP. WPA est considerado como uno de los ms altos niveles de seguridad inalmbrica para su red, es el mtodo recomendado si su dispositivo es compatible con este tipo de cifrado. Las claves se insertan como de dgitos alfanumricos, sin restriccin de longitud, en la que se recomienda utilizar caracteres especiales, nmeros, maysculas y minsculas, y palabras difciles de asociar entre ellas o con informacin personal. Dentro de WPA, hay dos versiones de WPA, que utilizan distintos procesos de autenticacin: * Para el uso personal domstico: El Protocolo de integridad de claves temporales (TKIP) es un tipo de mecanismo empleado para crear el cifrado de clave dinmico y autenticacin mutua. TKIP aporta las caractersticas de seguridad que corrige las limitaciones de WEP. Debido a que las claves estn en constante cambio, ofrecen un alto nivel de seguridad para su red. * Para el uso en empresarial/de negocios: El Protocolo de autenticacin extensible (EAP) se emplea para el intercambio de mensajes durante el proceso de autenticacin. Emplea la tecnologa de servidor 802.1x para autenticar los usuarios a travs de un servidor RADIUS (Servicio de usuario de marcado con autenticacin remota). Esto aporta una seguridad de fuerza industrial para su red, pero necesita un servidor RADIUS. WPA2 es la segunda generacin de WPA y est actualmente disponible en los AP ms modernos del mercado. WPA2 no se cre para afrontar ninguna de las limitaciones de WPA, y es compatible con los productos anteriores que son compatibles con WPA. La principal diferencia entre WPA original y WPA2 es que la segunda necesita el Estndar avanzado de cifrado (AES) para el cifrado de los datos, mientras que WPA original emplea TKIP (ver arriba). AES aporta la seguridad necesaria para cumplir los mximos estndares de nivel de muchas de las agencias del gobierno federal. Al igual que WPA original, WPA2 ser compatible tanto con la versin para la empresa como con la domstica. La tecnologa SecureEasySetup (SES) de Linksys o AirStation OneTouch Secure System (AOSS) de Buffalo permite al usuario configurar una red y activar la seguridad de Acceso protegido Wi-Fi (WPA) simplemente pulsando un botn. Una vez activado, SES o AOSS crea una conexin segura entre sus dispositivos inalmbricos, configura automticamente su red con un Identificador de red inalmbrica (SSID) personalizado y habilita los ajustes de cifrado de la clave dinmico de WPA. No se necesita ningn conocimiento ni experiencia tcnica y no es necesario introducir manualmente una contrasea ni clave asociada con una configuracin de seguridad tradicional inalmbrica.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

CAPITULO II WEP
Preparandose

Ahora que conocemos los cifrados los cifrados WEP y WPA veamos como saltarlos Antes que nada hablemos del software..LINUX O WINDOWS. Respuesta LINUXahora, por que no Windows? Muchas de las herramientas desarrolladas por programadores han sido hechas bajo ambiente Linux as que no voy a entrar en discusin para saber cual es mejor, simplemente las herramientas que se usaran en este capitulo sern bajo Linux. Antes de que digan ahh! Pero si yo casi no se Linux existen varios sistemas operativos andando por la red llamados: LIVE CDs..estas son distribuciones de Linux, que corren desde el CD y trabajan bajo la memoria ram asi que no hay necesidad de instalarnos todo el sistema en nuetro DD para hacer pruebas Primero debemos asegurarnos de que nuestra tarjeta inalmbrica corre bajo una modalidad llamada monitor Modo Monitor: Forma muy particular de trabajo de las tarjetas wireless. Esta forma de trabajar de las tarjetas wireless es muy atpico y idealmente es poner la tarjeta de forma que pueda detectar todo el trafico que circula por su alrededor. Para que lo entendamos es como "pegar la oreja a la pared para ver que hacen nuestros vecinos ". De esta forma podemos capturar todo el trfico. Eso si, sin toser y sin casi respirar. A diferencia del modo Managed que es solo para conectarse o desconectarse de un punto de acceso, el modo monitor nos va a ser muy funcional. Voy a tratar de explicar con una grafica lo que vamos a intentar hacer.

Como se ve en la grafica trataremos de capturar los paquetes de datos entre el cliente y el punto de acceso..estos paquetes ser peticiones al AP (visualizar paginas web, etc..)..En cada paquete se encuentra

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

una pequea parte de la clave wep. Como abras notado se necesita que el cliente este conectado de forma inalmbrica, te preguntaras: Pero que hago si el cliente se conecta por cable? (como esos mdems que da Prodishit), no te preocupes hay varias tcnicas que mas adelante explicare. Primero veamos si tu tarjeta entra en modo monitor.. Leyenda utilizadas para la confeccin de la tabla de tarjetas inalmbricas. 1.- Modelo: Nombre habitual de la tarjeta. 2.- Chipset: Nombre del chipset de la tarjeta. Nota: Intentaremos matizar la revisin de la tarjeta o el chipset para evitar problemas a la hora de adquirirlas y probarlas. Las revisiones son versiones posteriores que los fabricantes lanzan al mercado con el mismo nombre de la tarjeta, pero la mayora de las veces cambian el chipset, por lo tanto si compramos una tarjeta porque hemos creamos que tenia un chipset de atheros, pudiera ser que el vendedor de la tienda (sin darse cuenta) nos suministre una tarjeta con una revisin diferente y posiblemente lleve otro chipset distinto (son as los fabricantes), de esta forma, las caractersticas que exigamos a nuestra tarjeta para la practica de la auditoria wireless muy posiblemente no sean las esperadas y deseadas. Esto paso con las C54i/C54ri que pasaron de Atheros a Ralink, manteniendo el nombre de la tarjeta. 3.- Win: Auditoria para modo monitor en Windows. Valor = airo, indica que la tarjeta entra en modo monitor en Windows con el airodump y el winairodump. Valor = com, indica que la tarjeta entra en modo monitor en Windows con la versin de evaluacin del Commview para wifi. 4.- Linux: Auditoria para modo monitor en Linux. Valor = si, indica que la tarjeta entra en modo monitor en Linux. 5.- Inyeccin: Tanto soporte en linux como en Windows. Valor = Lx, indica que la tarjeta entra en modo monitor y adems permite la inyeccin de trafico para aumentar la captura de datos en linux. Esta funcin es muy importante en la auditoria wireless. Puede ser que para cierto estndar no inyecta trafico, por lo tanto intentaremos citar para que estndar es efectiva y posible la inyeccin. Sea 802.11b, sea 802.11g, o sea para ambos 802.11b/g. El aadido +CV, indica que la tarjeta entra en modo monitor y adems permite la inyeccin de trafico para aumentar la captura de datos en Windows con el CommView 5.2 para wifi. Si la tarjeta es b/g podr inyectar en ambos modos. Si solo es modo b solo podr inyectar en modo 802.11b lgicamente. Si este segundo valor es +?? quiere decir que no tenemos datos para saber si inyecta en Windows con el Commview 5.2. 6.- Antena(ant.): Posibilidad de incorporar una antena externa. Valor = si, indica que la tarjeta permite que se le pueda aadir una antena externa para aumentar la cobertura. Tambin citaremos el conector utilazo para ello, pero no se har ninguna referencia a modificaciones particulares de las mismas tanto sean remedios caseros como semiprofesionales. Solo la definiremos tal como viene de fabrica. Si necesitis fabricar de forma casera un pigtail para aadir una antena mas potente (las cuales suelen venir con conectores externos del tipo N) podis visitar la seccin Bricolaje donde enconareis un manual de la fabricacin de un pigtail de forma casera y una gua sobre conectores y cables. 7.- Cobertura: Es difcil analizar de forma exacta y profesional los niveles de seal exactos de cada tarjeta, ya que no disponemos de herramientas adecuadas para realizar un estudio de potencia de forma profesional. Sin embargo daremos la matizacin efectuada por las observaciones de las personas que publicaron sus anlisis. Usaremos expresiones tales como: muy sorda, sorda, normal, buena y muy buena. No es muy profesional pero es lo mejor que tenemos, lo cual no es poco y ya me hubiera gustado disponer de esta informacin en mis inicios en la auditoria wireless. 8.- Observaciones: Cualquier matizacin o informacin que sea interesante de mencionar para cada tarjeta en particular y que no queda registrado en ninguno de los otros campos. Nota: Las indicaciones en ?? estn por determinar. O no son datos fiables para la columna, seccin y tarjeta en cuestin.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Podrs Checar tu modelo de tarjeta en el administrador de dispositivos de Windows..Si tu tarjeta es compatible bajo Linux y permite inyeccin..FELICIDADES.. si no permite inyeccin, no te preocupes aun se puede hacer algo.. Comprobado esto pasemos a LINUX dejemos Windows a un lado por un rato :P . Como lo comente anteriormente vamos a utilizar un live cd llamado Backtrack en su versin 3 beta..el iso se lo consiguen en: http://www.remote-exploit.org/backtrack_download.html chequen el listado de los servidores..y de preferencia descarga la de cd no la de usb. Una vez descargado y quemado, pon tu bios a que bootee desde el disco y ..pasemos a BACKTRACK!

* Nota: Antes de ejecutarlo es preferible que leas los comandos de inicio ejecutados en el siguiente apartado

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

BackTrack
La primera pantalla (por si no sabes leer ingles) te pide el usuario y la contrasea, por default el usuario es: root y la contrasea es: toor , despus de habernos logeado tipeamos el comando startx y le damos enter para pasar al modo grafico. Despus de una bonita splash screen de una manita tenemos el escritorio:

Muy parecido a Windows ehh? Backtrack es una distribucin de Linux muy potente tiene cientos de herramientas pre-cargadas para la auditoria de redes e infiltracin de sistemas. Vamos a utilizar una paquetera que se llama aircrack-ng, esta trae todas las utilidades necesarias para nuestro propsito. Si no estas acostumbrado a Linux antes de meternos en el crackeo trata de familiarizarte con el escritorio, comprueba todos los mdulos, checa todo. Ahora pasemos a unos cuantos conceptos que necesitaremos a lo largo de nuestra tarea Terminal: Es la shell de Linux, seria como ejecutar cmd en Windows xp, aqu es donde vamos a estar trabajando y ejecutaremos todos los comandos, podemos acceder a la Terminal dando click en la pantallita negra que esta situada en la parte inferior izquierda. Una vez abierta ejecutamos el comando iwconfig iwconfig : a secas no dir las interfaces que tenemos. Una vez que veamos cual es la interfaz inalambrica con esa trabajaremos; la interface vara del tipo de tarjeta que utilizamos, puede ser eth0, ath0, rtap, wlan, wifi0, ra0 etc

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Ejemplo:

En el caso de la imagen anterior la interface de tarjeta inalmbrica es ra0 pero como dije anteriormente el nombre de la interface puede variar. Ahora necesitamos ponerla en modo monitor; Nota: apartir de este punto voy a explicar como se hace con las tarjetas normales y con las tarjetas ipw3945 de Intel dado que este tipo de tarjetas es un poco complicadas trabajar con ellas, si tienes una interface llamada wlan0 significa que tienes una de estasmarcare con rojo cuando utilize esta interface. Si no, continua normalmente Para poner en modo monitor nuestra interface necesitamos ejecutar el comando airmon-ng Se usa de la siguiente manera: airmon-ng start [interface]

En este caso colocamos nuestra interface wifi0 en monitor y nos creo una nueva interface llamada ath1, en algunos casos no crea una nueva interface, solo pone en modo monitor la actual, asi que basta con checar cual es la que nos puso en monitor ( a la derecha se puede ver monitor enable) y luego comprobarlo haciendo iwconfig nuevamente. Para la tarjeta Intel 3945 se debe de poner manualmente, esto se hace ejecutando lo siguiente en una Terminal: Para identificarla: lsmod | grep iwl3945 Quitando el driver de modo manager: Modprobe r iwl3945

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Poniendo el driver de modo monitor: Modprobe ipwraw Esto nos debe de crear 2 nuevas interfaces: Rtap0 y wifi0

Ok Ya que colocamos nuestra tarjeta en modo monitor pasemos al siguiente paso.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Identificacin de victima
Ahora que estamos listos para escuchar todas las conexiones y paquetes, necesitamos saber, a que punto de acceso vamos a atacar esto se hace con el siguiente comando. Airodump-ng A continuacin una leve explicacin: Airodump-ng se usa para capturar paquetes wireless 802.11 y es til para ir acumulando vectores de inicializacin IVs con el fin de intentar usarlos con aircrack-ng y obtener la clave WEP. Si tienes un receptor GPS conectado al ordenador, airodump-ng es capaz de mostrar las coordenadas de los puntos de acceso que vaya encontrando. uso: airodump-ng <opciones> <interface> Opciones: --ivs : Graba nicamente los IVs capturados --gpsd : Usa GPSd --w <nombre archivo>: Nombre del archivo donde guardar las capturas -write : Lo mismo que --w --beacons : Guardar todas las balizas o beacons en el archivo --netmask <mscara de red> : Filtrar APs por mscara --bssid <bssid> : Filtrar APs por BSSID Por defecto, airodump-ng va saltando alrededor de los canales 2.4Ghz. Puedes capturar en un canal especfico usando: --channel <canal>: Capturar en un canal especfico --band <abg> : Banda en la que actuar airodump-ng --cswitch <mtodo> : Saltar de canal con este mtodo: 0 : FIFO (opcin por defecto) 1 : Round Robin 2 : Saltar al ltimo -s : Lo mismo que --cswitch

Cual es el significado de los datos mostrados por airodump-ng? airodump-ng nos mostrar una lista de los puntos de acceso detectados, y tambin una lista de los clientes conectados (stations). Como ejemplo puedes ver la siguiente captura de pantalla: CH 9 ][ Elapsed: 4 s ][ 2007-02-25 16:47 BSSID PWR RXQ Beacons 10 57 #Data, #/s CH MB ENC CIPHER AUTH ESSID 0 0 11 54. OPN 14 1 9 11 WEP WEP NETGEAR bigbear

00:09:5B:1C:AA:1D 11 16 00:14:6C:7A:41:81 34 100 BSSID STATION

PWR Lost Packets Probes

00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14 (not associated) 00:14:A4:3F:8D:13 19 0 4 mossy 00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 5

Field BSSID

Descripcin Direccin MAC del punto de acceso.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Nivel de seal. Su significado depende del driver que usemos, pero cuanto mayor sea el PWR ms cerca estaremos del AP o del cliente. Si el PWR es -1, significa que el driver no soporta la deteccin del nivel de seal. Si el PWR es -1 para algunos clientes (stations) es porque los PWR paquetes proceden del AP hacia el cliente pero las transmisiones del cliente se encuentran fuera del rango de cobertura de tu tarjeta. Lo que significa que solo escuchas la mitad de la comunicacin. Si todos los clientes tienen PWR -1 significa que el driver no tiene la cpacidad de detectar el nivel de seal. Calidad de recepcin calculada a travs del porcentaje de paquetes (management y paquetes RXQ de datos) recividos correctamente en los ltimos 10 segundos. Mira la nota para una explicacin ms detallada. Nmero de paquetes anucio o beacons enviadas por el AP. Cada punto de acceso envia Beacons alrededor de diez beacons por segundo cuando el rate o velocidad es de 1M, (la ms baja) de tal forma que se pueden recibir desde muy lejos. Nmero de paquetes de datos capturados (si tiene clave WEP, equivale tambien al nmero de # Data IVs), incluyendo paquetes de datos broadcast (dirigidos a todos los clientes). Nmero de paquetes de datos capturados por segundo calculando la media de los ltimos 10 #/s segundos. Nmero de canal (obtenido de los paquetes anuncio o beacons). CH Nota: Algunas veces se capturan paquetes de otros canales, incluso si airodump-ng no est saltando de canal en canal, debido a interferencias o solapamientos en la seal. Velocidad mxima soportada por el AP. Si MB = 11, es 802.11b, si MB = 22es 802.11b+ y MB velocidades mayores son 802.11g. El punto (despues del 54) indica que esa red soporta un prembulo corto o short preamble. Algoritmo de encriptacin que se usa. OPN = no existe encriptacin (abierta),WEP? = WEP u otra (no se han capturado suficientes paquetes de datos para saber si es WEP o ENC WPA/WPA2), WEP (sin el interrogante) indica WEP esttica o dinmica, y WPA o WPA2 en el caso de que se use TKIP o CCMP. CIPHER Detector cipher. Puede ser CCMP, WRAP, TKIP, WEP, WEP40, o WEP104. El protocolo de autenticacin usado. Puede ser MGT, PSK (clave precompartida), o OPN AUTH (abierta). Tambien llamado SSID, que puede estar en blanco si la ocultacin del SSID est activada en el AP. En este caso, airodump-ng intentar averiguar el SSID analizando paquetes probe ESSID responses y association requests (son paquetes enviados desde un cliente al AP). Direccin MAC de cada cliente asociado. En la captura de pantalla, vemos que se han STATION detectado dos clientes (00:09:5B:EB:C5:2B y 00:02:2D:C1:5D:1F). Lost El nmero de paquetes perdidos en los ltimos 10 segundos. Packets El nmero de paquetes de datos enviados por el cliente. Probes Los ESSIDs a los cuales ha intentado conectarse el cliente. NOTAS: RXQ: Se calcula a partir de los paquetes de datos y management. Supongamos que tienes 100% de RXQ y recibes 10 (o cualquier otra cantidad) beacons por segundo. Ahora de repente el RXQ baja a 90, pero todava capturas las mismas beacons. Esto significa que el AP est enviando paquetes a un cliente pero no puedes escuchar o capturar los paquetes que salen del cliente hacia el AP (necesitas acercarte ms al cliente). Otra situacin puede ser, que tengas una tarjeta de 11MB (por ejemplo una prism2.5) y estes cerca del AP. Pero el AP est configurado en modo nicamente de 54MBit y tambien el RXQ disminuye, en este caso sabrs que hay conectado al menos un cliente a 54MBit. Ok pues despus de la leve explicacin, procedemos a determinar que acces point tenemos cerca: Corremos el comando: Airodump-ng [interface] Interface = La que previamente pusimos en monitor

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

**Para los de Intel 3945 vamos a usar la interfase rtap0 Si Lo hicimos bien debemos obtener algo parecido a esto:

En la tabla que se menciona antes muestra lo que significa cada campo. Despus de unos segundos que haya detectado todas las redes, paramos el proceso con ctrl.+ C seleccionamos a nuestra victima que en este caso sera el de nombre HellReuter dejamos la Terminal asi y vamos a checar el siguiente apartado.

*NOTA: Si no te detecta ninguna, hay que comprobar que esta haciendo el barrido de canales, esto es que este scanneando todo los canales, lo comprobamos viendo que en el extremo superior izquierdo, esta cambiando constantemente de canal, si se queda fijo es que algo va mal.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Al ataque !
Una de las primeras dudas planteadas era el hecho de cmo capturar datos inalambricos si no hay ningun cliente inalambrico conectado, este tipo de ataque es llamado comnmente INYECCION SIN CLIENTES. Vamos a usar aireplay-ng una herramienta de la familia de aircrack-ng obviamente ya esta pre-cargada en nuestro Backtrack. Veamos algunos tipos de ataque y como usarlos

Cmo uso aireplay ? Si el controlador est correctamente parcheado, aireplay es capaz de inyectar paquetes 802.11 en modo Monitor en bruto; actualmente implementa un conjunto de 5 ataques diferentes. Si recibes el mensaje "ioctl(SIOCGIFINDEX) failed: No such device", revisa que el nombre de tu dispositivo es correcto y que no has olvidado un parmetro en la lnea de comandos. En los siguientes ejemplos, 00:13:10:30:24:9C es la direccin MAC del punto de acceso (en el canal 6), y 00:09:5B:EB:C5:2B es la direccin MAC de un cliente inalmbrico. Ataque 0: desautenticacin Este ataque es probablemente el ms til para recuperar un ESSID oculto (no difundido) y para capturar "saludos" WPA forzando a los clientes a reautentificarse. Tambin puede ser usado para generar peticiones ARP en tanto que los clientes Windows a veces vacan su cache de ARP cuando son desconectados. Desde luego, este ataque es totalmente inservible si no hay clientes asociados. Normalmente es ms efectivo fijar como blanco una estacin especfica usando el parmetro -c. Algunos ejemplos: o o o o o Captura del "saludo" WPA una Atheros airmon.sh start ath0 airodump ath0 out 6 (cambia a otra consola) aireplay -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0 (espera unos segundos) aircrack -w /ruta/al/diccionario out.cap Generar peticiones ARP con una tarjeta Prism2 airmon.sh start wlan0 airodump wlan0 out 6 (cambia a otra consola) aireplay -0 10 -a 00:13:10:30:24:9C wlan0 aireplay -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B wlan0 Despus de enviar tres tandas de paquetes de desautentificacin, comenzamos a escuchar en busca de peticiones ARP con el ataque 3. La opcin -h es esencial y debe ser la direccin MAC de un cliente asociado. Si el controlador es wlan-ng, debes ejecutar el script airmon.sh; de otro modo la tarjeta no estar preparada correctamente para la inyeccin. o o Denegacin de servicio masiva con una tarjeta RT2500 airmon.sh start ra0

o o o o o

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

aireplay -0 0 -a 00:13:10:30:24:9C ra0 Con el parmetro 0, este ataque enviar en un bucle infinito paquetes de desautentificacin a las direcciones de broadcast, evitando as que los clientes permanezcan conectados.

Ataque 1: autenticacin falsa Este ataque es particularmente til cuando no hay clientes asociados: creamos la direccin MAC de un cliente falso, la cual quedar registrada en la tabla de asociacin del AP. Esta direccin ser usada para los ataques 3 (reinyeccin de peticiones ARP) y 4 (desencriptacin WEP "chopchop"). Es mejor preparar la tarjeta con la MAC usada (abajo, 00:11:22:33:44:55) de modo que el controlador enve ACKs de forma adecuada. De todos modos si este ataque falla y hay ya un cliente asociado, es ms efectivo usar simplemente su direccin MAC (aqu, 00:09:5B:EB:C5:2B) para los ataques 3 y 4. ifconfig ath0 down ifconfig ath0 hw ether 00:11:22:33:44:55 ifconfig ath0 up aireplay -1 0 -e "el ssid" -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 12:14:06 Sending Authentication Request 12:14:06 Authentication successful 12:14:06 Sending Association Request 12:14:07 Association successful :-)

Con los CVS 2005-08-14 madwifi parcheados, es posible inyectar paquetes estando en modo Infraestructura (la clave WEP en s misma no importa, en tanto que el AP acepte autenticacin abierta). Por lo que, en lugar de usar el ataque 1, puedes slo asociarte e inyectar / monitorizar a travs de la interfaz athXraw: ifconfig ath0 down hw ether 00:11:22:33:44:55 iwconfig ath0 mode Managed essid "el ssid" key AAAAAAAAAA ifconfig ath0 up sysctl -w dev.ath0.rawdev=1 ifconfig ath0raw up airodump ath0raw out 6 Entonces puedes ejecutar el ataque 3 o el 4 (abajo, aireplay reemplazar automticamente ath0 por ath0raw): aireplay -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0 aireplay -4 -h 00:10:20:30:40:50 -f 1 ath0 Algunos puntos de acceso requieren de reautentificacin cada 30 segundos, si no nuestro cliente falso ser considerado desconectado. En este caso utiliza el retardo de re-asociacin peridica: aireplay -1 30 -e "el ssid" -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 Si este ataque parece fallar (aireplay permanece enviando paquetes de peticin de autenticacin), puede que est siendo usado un filtrado de direcciones MAC. Asegrate tambin de que:

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

o o o o o

Ests lo suficientemente cerca del punto de acceso, pero ojo no demasiado porque tambin puede fallar. El controlador est correctamente parcheado e instalado. La tarjeta est configurada en el mismo canal que el AP. El BSSID y el ESSID (opciones -a / -e) son correctos. Si se trata de Prism2, asegrate de que el firmware est actualizado.

Como recordatorio: no puedes inyectar con un chipset Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell o Broadcom debido a limitaciones de firmware y/o controlador. Pero se han solucionado con la nueva suite para las centrino ipw2200b/g.

Ataque 2: Reenvo interactivo de paquetes Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados ms efectivos que el ataque 3 (reinyeccin automtica de ARP). Podras usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cul slo funciona si el AP realmente reencripta los paquetes de datos WEP: aireplay -2 -b 00:13:10:30:24:9C -n 100 -p 0841 \ -h 00:09:5B:EB:C5:2B -c FF:FF:FF:FF:FF:FF ath0 Tambin puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP encriptacas con WEP, cuyo tamao es bien 68 o 86 bytes (dependiendo del sistema operativo): aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \ -m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath0 aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \ -m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B ath0

Ataque 3: Reinyeccin de peticin ARP El clsico ataque de reinyeccin de peticin ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Necesitas o bien la direccin MAC de un cliente asociado (00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1 (00:11:22:33:44:55). Puede que tengas que esperar un par de minutos, o incluso ms, hasta que aparezca una peticin ARP; este ataque fallar si no hay trfico. Por favor, fjate en que tambin puedes reutilizar una peticin ARP de una captura anterior usando el interruptor -r . aireplay -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 Saving ARP requests in replay_arp-0627-121526.cap You must also start airodump to capture replies. Read 2493 packets (got 1 ARP requests), sent 1305 packets...

Ataque 4: El "chopchop" de KoreK (prediccin de CRC) Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinmica. Este ataque no recupera la clave WEP en s misma, sino que revela meramente el texto plano. De cualquier modo, la mayora de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

en realidad tiran los paquetes menores de 60 bytes. Este ataque necesita al menos un paquete de datos WEP. 1. Primero, desencriptemos un paquete: aireplay -4 -h 00:09:5B:EB:C5:2B ath0 2. Echemos un vistazo a la direccin IP: 3. tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap 4. reading from file replay_dec-0627-022301.cap, link-type [...] IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1 Ahora, forjemos una peticin ARP. La IP inicial no importa (192.168.1.100), pero la Ip de destino (192.168.1.2) debe responder a peticiones ARP. La direccin MAC inicial debe corresponder a una estacin asociada. ./arpforge replay_dec-0627-022301.xor 1 00:13:10:30:24:9C \ 00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap 6. Y reenviemos nuestra peticin ARP forjada: aireplay -2 -r arp.cap ath0 -------------------------------------------------------------------------------------------------------------------------------

5.

Sabiendo ahora como se usa el aireplay pasemos a lo didactico..Recordemos nuestra victima HellReuter donde se quedo

Ahora tenemos que capturar los paquetes de HellReuter solo queremos los de ese acces point asi que los demas no nos sirven por el momento. Escuchar solo a el ejecutamos lo siguiente:

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Airodump-ng --bssid (mac del AP ) w (nombre del archivo a guardar) c (canal del ap) [interface] Para un ejemplo mas claro vease la imagen de la siguiente pagina **Los usuarios de Intel 3945 vamos a usar la interface rtap0

Con esto solo estamos capturando los paquetes de nuestra victima:

Como podemos observar los paquetes de datos estan en 0 eso significa que no hay clientes conectados. Para crackear una clave WEP necesitamos como minimo 50,000 paquetes de datos. Para generar automticamente paquetes de datos vamos a recurrir a el ATAQUE DE CONEXIN SINCLIENTES esto es mezclando el ataque 1 con el ataque 3 del aireplay. Suena difcil pero es muy facilVamos a autentificarnos y luego inyectar paquetes.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Dejamos esa Terminal abierta y escuchando, y abrimos otra.

Antes de Realizar el ataque necesitamos un dato mas de nosotros. Nuestra mac adress, la sacamos utilizando el comando ifconfig y viendo nuestra interface podemos determinar nuestra mac, son los primeros 6 pares de numeros:

La anotamos por que la vamos a necesitar.Las Macs adress siempre iran con : asi que le cambiamos los por : , y preparemonos para l primer ataque. Nota: Todos los usuarios con tarjetas normales utilizaran la misma interface con la cual dejaron escuchando el airodump Nota: Los usuarios con Intel 3945 utilizaremos la interface wifi0, recordemos que estamos escuchando paquetes con rtap0 En la Terminal recientemente abierta ejecutamos : Aireplay-ng -1 5 e (nombre del AP) a (mac del ap) h (nuestra mac) [interface] Con la siguiente imagen .. puede quedarnos mas claro:

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Si te aparece que no se puede realizar el ataque dado que esta en otro canal, trata de correr de nuevo el airmon-ng pero esta vez poniendo el canal al final. Ejemplo: Airmon-ng start [interface] c (canal) Una vez que obtenemos Association successful podemos para el proceso con ctrl. + C Tambin podemos observar que en la Terminal del airodump estamos asociados

Nota: A veces este ataque falla puede deberse a que estas muy cerca o muy lejos del AP si este ataque no se realiza con xito no podrs continuar con el siguiente paso Bien ya pertenecemos a la red del AP ahora necesitamos generar paquetes. Para eso utilizamos el ataque 3 INYECCION DE PAQUETES. Sin cerrar esa ventana presionamos la tecla de arriba para no tener que escribir denuevo todo el comando, y modificamos algunas cosas, ejecutamos: Aireplay-ng -3 b (mac del ap) h (nuestra mac) [interface] Noten que eliminamos el nombre del AP y ademas cambiamos la letra de la mac del AP por una b y el 1 por el -3 Los usuarios normales usaran siempre la misma interface para escuchar, asociarse, e inyectar Los usuarios de Intel 3945 usaremos rtap0 para escuchar y wifi0 para asociarce e inyectar

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Ejecutamos y empezamos a obtener paquetes!!!! =D

Esperamos a que juntemos un poco mas de 70,000 paquetes y vamos a Crackear haber si obtenemos la contrasea. No paramos los procesos los dejamos ah y abrimos otra Terminal Recuerdas el nombre que le diste al airodump para que guardara..? el que pusimos w. En la otra termina..lo buscamos con el comando ls notese que al nombre que le pusimos que guardara le agrego un -01 o -02 depende de las veces que lo hiciste y ademas tienen extenciones .txt y .cap. Lo que nos interesa a nosotros es el ultimo archivo que guardo en mi caso es -04 y la extencion .cap Entonces encontrado el archivo tipeamos: Aircrack-ng (nombre del archivo)

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Ejecutamos y

Key Found. Ahora puedes detener todos los procesos, ir a hacerte un caf fumarte un cigarro. Y EMPEZARTE

A PREOCUPAR! Ya viste que tan facil es romper una encriptacin WEP!! IMAGINATE QUE ALGUIEN HAYA HECHO ESO EN TU AP Y AHORA ESTA CHUPANDOTE EL INTERNET!
Por eso en el siguiente segmento veremos como hacer mas seguras las claves WEP.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Asegurandonos
1. Cambia la contrasea por defecto. Baja 2. Usa encriptacin WEP/WPA. Alta 3. Cambia el SSID por defecto. Baja 4. Desactiva el broadcasting SSID. Media 5. Activa el filtrado de direcciones MAC. Alta 6. Establece el n mximo de dispositivos que pueden conectarse. Media 7. Desactiva DHCP. Alta 8. Desconecta el AP cuando no lo uses. Baja 9. Cambia las claves WEP regularmente. Media Asegurar el Punto de Acceso: 1. Cambia la contrasea por defecto. Todos los fabricantes establecen un password por defecto de acceso a la administracin del Punto de Acceso. Al usar un fabricante la misma contrasea para todos sus equipos, es fcil o posible que el observador la conozca. Aumentar la seguridad de los datos transmitidos: 2. Usa encriptacin WEP/WPA. Activa en el Punto de Acceso la encriptacin WEP. Mejor de 128 bits que de 64 bits cuanto mayor sea el nmero de bits mejor. Los Puntos de Acceso ms recientes permiten escribir una frase a partir de la cual se generan automticamente las claves. Es importante que en esta frase intercales maysculas con minsculas y nmeros, evites utilizar palabras incluidas en el diccionario y secuencias contiguas en el teclado (como qwerty, fghjk o 12345). Tambin tendrs que establecer en la configuracin WEP la clave que se utilizar de las cuatro generadas (Key 1, Key 2, Key 3 o Key 4). Despus de configurar el AP tendrs que configurar los accesorios o dispositivos Wi-Fi de tu red. En stos tendrs que marcar la misma clave WEP (posiblemente puedas utilizar la frase anterior) que has establecido para el AP y la misma clave a utilizar (Key 1, Key 2, Key 3 o Key 4). Algunos Puntos de Acceso ms recientes soportan tambin encriptacin WPA (Wi-Fi Protected Access), encriptacin dinmica y ms segura que WEP. Si activas WPA en el Punto de Acceso, tanto los accesorios y dispositivos WLAN de tu red como tu sistema operativo deben soportarlo (Palm OS por el momento no y para Windows XP es necesario instalar una actualizacin). Ocultar tu red Wi-Fi: 3. Cambia el SSID por defecto. Suele ser algo del estilo a default, wireless, 101, linksys o SSID. En vez de MiAP, APManolo o el nombre de la empresa es preferible escoger algo menos atractivo para el observador, como puede ser Broken, Down o Desconectado. 4. Desactiva el broadcasting SSID. El broadcasting SSID permite que los nuevos equipos que quieran conectarse a la red Wi-Fi identifiquen automticamente los datos de la red inalmbrica, evitando as la tarea de configuracin manual. Al desactivarlo tendrs que introducir manualmente el SSID en la configuracin de cada nuevo equipo que quieras conectar. Evitar que se conecten: 5. Activa el filtrado de direcciones MAC. Activa en el AP el filtrado de direcciones MAC de los dispositivos Wi-Fi que actualmente tengas funcionando. Al activar el filtrado MAC dejars que slo los dispositivos con las direcciones MAC especificadas se conecten a tu red Wi-Fi.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

6. Establece el nmero mximo de dispositivos que pueden conectarse. Si el AP lo permite, establece el nmero mximo de dispositivos que pueden conectarse al mismo tiempo al Punto de Acceso. 7. Desactiva DHCP. Desactiva DHCP en el router ADSL y en el AP. En la configuracin de los dispositivos/accesorios Wi-Fi tendrs que introducir a mano la direccin IP, la puerta de enlace, la mscara de subred y el DNS primario y secundario.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

CAPITULO III
WPA
Introduccin
- Una vez analizadas los inseguras que son las redes inalmbricas con cifrado WEP y facilidad con que se pueden recuperar claves WEP mediante tcnicas de reinyeccin de trafico, desautentificacin, autentificacin falsa y captura de datos, se nos plantea el reto de comprobar la seguridad de las redes WPA. No voy a explicar todo el rollo de este tipo de seguridad, adems que no me lo se, sino la pauta a seguir para demostrar que siguen siendo inseguras (aunque ya no tanto segn se configuren), pero segn su configuracin realmente podemos estar bastantes tranquilos. Hay varias formas de seguridad va WPA (al menos eso creo yo), pero vamos fundamentalmente las mas habituales usadas por la mayora de nuestras redes domesticas del tipo WPA-PSK si entrar en servidores RADIUS. La configuracin mediante encriptacin WEP no depende de una buena configuracin, simplemente son inseguras. Las WPA-PSK pueden ser muy seguras, pero siempre que estn bien configuradas. Solo citar que este tipo de proteccin difiere de las WEP en que la clave es dinmica, o sea que cambia cada cierto tiempo y es especifica para cada terminal (si estoy equivocado es igual ya que lo que vamos a realizar es un ejemplo de aplicacin practica, de como lo hara un posible atacante no autorizado). Pero antes de llegar a la demostracin tenemos que explicar algunos conceptos tericos muy bsicos. Los routers y las tarjetas inalmbricas deben de tener una clave secreta para una autentificacin inicial, para que lo entendis, como en el Microsoft Windows 2000 Server donde es necesario indicar un nombre de usuario y una clave para tener acceso a los recursos, pues esto diremos en groso modo que es igual. O por ejemplo cualquier foro donde se nos pide un nombre de usuario y una contrasea. Por lo tanto vamos a ir a la caza de esta clave secreta y as simulamos un virtual ataque, de esta forma en funcin de los resultados podemos prevenir y configurar nuestro sistema para lograr un alto grado de seguridad wireless. No es necesario sniffar mucho trafico, no es cantidad sino calidad. Y solo se puede coger en el momento que un cliente se autentifica con su punto de acceso. Por eso, aunque la cantidad de trafico no es importante su nivel de seguridad es mucho mayor debido a que los posibles atacantes deben tener paciencia para encontrar el trafico correcto. Este trafico correcto donde se realizan las presentaciones entre estaciones cliente y los punto de acceso se le denomina como "handshake". Puede hacerse tanto en windows como en linux. Con la premisa que el numero de tarjetas que permiten el ataque 0 (desautentificacin de clientes) es mucho mayor en linux. Cuando se efectan ataques 0, dichos clientes que llamare legtimos se vuelvan a autentificar sobre todo si es windows quien controla la conexin inalmbrica y no las aplicaciones propias de las tarjetas inalmbricas. En este ultimo caso, esta reasociacin automtica es mas difcil de detectar y analizar. Pero que conste que con paciencia y sin efectuar ningn tipo de ataque se puede conseguir, simplemente con observar y capturar el trafico y que este se produzca en el momento de la conexin entre cliente y punto de acceso. Parece sencillo verdad (ya no hacen falta millares de datos capturados), pues no, realmente no es tan sencillo y se puede afirmar que el nivel de seguridad es mayor. Se debe esta afirmacin a la siguiente cuestin: Una vez obtenido el trafico correcto (con un solo "handshake" nos vale) hay que compararlo con las palabras de un diccionario (o sea por mtodo de la fuerza bruta). Dichos diccionarios son meros ficheros secunciales donde en cada lnea hay diferentes caracteres escritos. Y es en estos momentos el punto vital para determinar si una red inalmbrica puede ser o no ser segura, y solo depender de nosotros mismos, al contrario que las WEP donde nunca depender de nosotros ya que por definicin son inseguras totalmente.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Imaginar que vais aun cajero a sacar dinero y no sabis la contrasea pues bien tenemos 1 entre 10000 posibilidades. Es poco y si lo cajeros nos dejaran mas de 3 intentos sin bloquear la cuenta se hara fcilmente probando varios das. Con WPA-PSK y la suite del Aircrack no tenemos limitacin de intentos ya que lo hacemos fuera del acceso directo (vamos como si tu tuvieras en tu casa una pequea caja de seguridad con 4 dgitos y probaras todas las combinaciones posibles. Pero, la clave secreta de este tipo de seguridad no tiene que porque ser de 4 nmeros decimales (como son las claves de los cajeros) sino que puede variar entre 8 y 63 caracteres ASCII si se ejecuta el asistente para redes inalmbricas del Windows XP Profesional SP2. Cada carcter ASCII a su vez puede tener diferentes posibilidades, pues un simple calculo de posibilidades nos dice que el numero total de combinaciones corresponde al numero de caracteres ASCII elevado entre 8 y 63 en funciona de la longitud de la clave. Es cierto que no todos los caracteres ASCII podrn ser utilizados como dentro de las claves, pero el numero final sigue siendo muy elevado. Por ejemplo, contar solo con nmeros y letras, en total unos 37 mas o menos. Si la clave es de 8 caracteres, las combinaciones posibles serian 3.51247+E12 y si fuera de 6.3E+98, y eso sin diferenciar entra maysculas y minsculas. Pues no hay diccionario en el mundo que lleve todas esas combinaciones. Pero si usamos nombres propios tales como "Feliciano", "Isabelle" o de animales tales como "rinoceronte" o genricas como "Internet" estas si suelen estar en los diccionarios. Pero por ejemplo "ql9sj3rs7f" si seria una clave buena, solo que tendemos a no usarlas de este tipo, mal hecho, algo similar a las claves de nuestros correos electrnicos y accesos a paginas registradas donde siempre usamos las mismas, y sin encima son medianamente difciles de recordad, adems las apuntamos y las pegamos en la pantalla del monitor. Parece que podemos empezar a respirar tranquilo de que nadie que no este autorizado pueda acceder a nuestra red inalmbrica y absorber nuestro ancho de banda de conexin a internet. Por lo tanto nunca elaboris una clave mediante el sistema personal que el ser humano tiene para recordar las cosas, yo personalmente uso claves que casi siempre olvido y posteriormente tengo que resetar el punto de acceso para poder cambiarla. Dicho esto, solo cabe aadir que esta demostracin esta ideada para que podamos probarlo con nuestros propios equipos y comprobar el nivel de seguridad de vuestras instalaciones inalmbricas. Siempre lo dir que hay que ponerse en el lugar de las personas que tienen conocimientos para acceder a nuestras redes inalmbricas, hay que estar mas preparados que ellos, y una simulacin de ataque real con nuestros propios equipos nos permitir obtener resultados dignos de valorar.

Requisitos
- Como dije anteriormente las pruebas las realizaremos con nuestros propios equipos, entonces necesitaremos de lo siguiente: 1.- Un router inalmbrico que incorpore seguridad tipo WPA-PSK, los Zyxel que vienen en el kit ADSL de telefnica pueden valer. Si no tenemos un router vale lo mismo para un punto de acceso, pero yo lo explicare para este router. Tampoco es necesario exclusivamente un router, sino mas concretamente un punto de acceso, pero dichos routers ya lo llevan incorporado. 2.- Un pc (sea el que sea) pero con 2 tarjetas wireless, una para el trabajo normal y otra para la captura de datos, por lo tanto la tarjeta con la conexin normal debe de permitir la seguridad WPA-PSK y la tarjeta para captura debe de permitir el modo monitor y ataque 0 para linux y/o windows. Si solo se permite el modo monitor tambin vale pero estaremos mas limitado. Yo en linux lo explicare con el ataque 0. Si queris ver como se efecta un ataque 0 (de desautentificacin) en windows solo tenis que acceder al Manual de inyeccin de trafico en windows. 3.- Sistema operativo: Yo lo voy a explicar para Linux, pero vale para windows exceptuando que el ataque 0 tiene un cariz diferente ya que solo es posible con un tarjeta con el chipset atheros y compatible

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

con el CommView 5.2 para wifi) y por lo tanto si no tenis una tarjeta con esta compatibilidad hay que esperar que el cliente se autentifique por primera vez. Recordad siempre que no todas las tarjetas tanto en linux como en windows permiten el ataque 0. Nota: No voy a explicar como se configura la tarjeta para seguridad WPA-PSK para Windows ya que es muy fcil y despus de leer como funciona un poco esto creo que lo sabris hacer, adems si explicare como se configura el router, una vez visto lo del router entenderis como hacerlo con vuestra tarjeta para Windows. Si explicare como configurar para Linux vuestra tarjeta para que trabaje con seguridad WPA-PSK, pero lo har para la Conceptronic C54RI. El driver para Linux lleva un mtodo especifico bastante rpido, para las otras es necesario la suite de wpa_supplicant Para configurar la tarjeta de captura creo que todos ya sabemos como hacerlo en Windows y en Linux.

Configuracin punto de acceso/router y tarjeta wireless (WPA-PSK)


Entramos en la configuracin de nuestro router va http o con la aplicacin de configuracin propia de el. Lo bueno es que por http puede hacerse tanto en Linux y en Windows y es la mejor manera para mi (vosotros hacerlo como mejor sepis o queris). Debemos de encontrar una seccin en el router parecida a esta:

Debe de estar en la seccin de Wireless Lan y en el apartado de 802.1x/WPA. En Wireless Port Control seleccionamos Authentification Requerided. De los timer paso de ellos, pero si estn a cero poner algn valor, los que estn aqu reflejados pueden valer.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

En Key Management Protocol seleccionamos WPA-PSK. En Group Data Privacy seleccionamos TKIP. Y en Pre-Shared Key ponemos la clave secreta que es lo que queremos descubrir, en mi caso puse "josemaria" (sin las comillas) que pudiera ser perfectamente mi nombre. Ahora dentro de Wireless LAN nos vamos hasta el apartado Wireless.

Habilitamos "Enable Wireless LAN". Ponemos el nombre de red (essid), en este caso "Policia".

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

En este captura el essid esta configurado para permanecer oculto. Pero para estas pruebas lo habilitaremos. En el caso que estuviera oculto seria los mismo ya que ya sabemos como obtenerlo y adems no importa para este tipo de ataques. Pongo el canal 1, aunque es igual el que sea. Y de RTS y fragmentacin ni los comento, total no se ni para que se usan. Bueno pinchamos sobre el boto "Aply" y ya tenemos listo el router para que trabaje de forma inalmbrica y con seguridad WPA-PSK.

Programa CCW y configuracin de la tarjeta para WPA-PSK


Como trabajar con Linux y mas exactamente el uso de comandos resulta muy estresante y tedioso disee esta pequea aplicacin. Dicha aplicacin es un mera interfaz grafica para la transformacin en comandos. Yo de todas formas nombrare y escribir los comandos ejecutados.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Ahora explico como hacerlo en Linux para una Conceptronic C54RI con el chipset de Ralink RT2500, pero............ tenemos que tener instalado el ultimo driver. Visitar zona driver Linux. (Zona clasica old pero funcional) Supongo que ser valido para cualquier tarjeta con el chipset de Ralink RT2500, como por ejemplo la Conceptronic C54RC. Coloco un driver que adems vale para la reinyeccin de trafico para seguridad WEP, y no necesita parche alguno. Nota: acceso a zona driver de linux nueva, pinchando: aqu Preparo una script para configurar esta tarjeta (el nombre de la script le ponis el que queris)

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Hay va la captura de pantalla:

Tal cual, creo que no es necesario comentar nada. Solo decir que para otras tarjetas abra formas alternativa y/o diferentes de realizarlo. Por ejemplo la suite del wpa_supplicant (o alguna forma especifica). Este donde este la ejecutamos, en este caso: ./wpa.sh Si estamos usando cuyalquier version de CCW y hemos creado (la script) en el mismo directorio que dicha aplicacin o la tenemos copiada en el, pulsamos el botn "Abrir shell" y ejecutamos:./wpa.sh Pongo una imagen una vez ejecutada la script (en el fondo el programa ccw1)

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Vemos que la tarjeta y el sistema reconocen el router, de esta forma sabremos que tenemos una red configurada de forma inalmbrica y con seguridad WPA-PSK. No hace falta ni siquiera que comprobis el acceso a Internet, con lo que tenemos en estos momentos ya es suficiente para seguir trabajando.

Captura general y particular


Bien vamos a lo que realmente importa. Llegados a este punto, todos ya sabemos como funciona el modo monitor, si no lo sabis aconsejo que paris de leer este manual y os dirijis al Manual de drivers para modo monitor en windows. El estudio de la inseguridad lo har con mi D-LINK G520 chipset sper G Rev. B3 de atheros (Interface ath0). Activo la tarjeta mediante el comando apropiado y ejecuto "airmon.sh start ath0" o : iwconfig ath0 mode monitor, o uso el botn especifico del CCW1.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Vemos que todo va bien. Para Windows ya sabis, ejecutis el programa airodump y la tarjeta con sus drivers especficos para modo monitor. Hay va una muestra:

Ahora pasamos a la captura general de todas los canales, en Windows lo mismo, con el airodump. Comando: airodump ath0 file 0, o pulsamos el botn especifico del CCW1. Y obtenemos:

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Las dems seales que vemos, en el caso que nos ocupa no importan y por tica profesional y personal las oculto, lo importante es que vemos la seal wireless creada por nosotros con el router y la tarjeta C54RI. Vemos la MAC del router, la MAC del cliente, el essid y el canal. Ahora tomamos nota de todo los datos y los introducimos en la aplicacin en el CCW1, o simplemente los apuntamos. Tanto para Windows y Linux cerramos la captura. Para Windows abrimos de nuevo el airodump y le colocamos que capture solo en el canal 1. A la respuesta y/n del airodump en Windows, respondemos no, para de esta forma solo tener un fichero del tipo: *.cap. Es decir los ficheros *.ivs donde solo se incluyen vectores IV no validos para este tipo de seguridad. Los IVs solo sern validos para la recuperacin de claves para redes inalmbricas con encriptacin WEP. Ejecutamos: "airmon.sh start ath0 1 " O pinchamos en el botn adecuado del CCW1.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Si no sabemos que esto de airmon.sh pasamos de el: o sea : iwconfig ath0 mode monitor channel 1 Ahora abrimos de nuevo el airodump con el siguiente comando o usando el programa CCW1. airodump ath0 policiawpa 1 Y que vemos, pues esto:

Ya lo tenemos preparado para la captura de datos. Vemos de nuevo el router y el cliente, o sea la C54RI. Pero no sabemos si el trafico es el correcto y adems en data solo hay un "1". No pasa nada, realizamos el ataque 0 sea en linux o con el winyector

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Desautentificacin de clientes legtimos.


Realizamos el ataque 0 mediante el comando o con el botn especifico de CCW1: aireplay -0 5 ath0 -a MAC_AP -c MAC_CLIENTE Pero ojo, para que sea efectivo probar con diferentes velocidades. Citar: iwconfig ath0 rate 54M hasta iwconfig ath0 rate 24M Como yo uso este programa lo preparo todo desde el y me ahorro escribir bastante cdigo, ya que el programa lo hace por mi. Ah va una muestra:

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Queda bastante claro, primero iniciamos el proceso de captura y mientras se esta en ello, realizamos el ataque 0. Hay modelos de tarjetas y de drivers que permiten hacerlo con la misma tarjeta, es decir en este caso la atheros (capturar y inyectar). Y que obtenemos despus del ataque 0:

Vemos que el trafico a aumentado. En el caso que siempre hubiera trafico dejar la captura unos minutos para que se produzca de forma correcta el intercambio de claves entre cliente y punto de acceso. En este mismo momento tambin se produce el intercambio del nombre de la red (essid) y aunque estuviera ocultado podra determinarse muy fcilmente. Para efectuar ataques de este tipo en windows os recomiendo el Manual de inyeccin de trafico en windows o el Manual inyeccin aireplay para windows (berni69)

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

7.- Recuperacin de la clave secreta Abro una shell (de la forma que sea) y ejecuto: aircrack -a 2 -w /ruta_diccionario/diccionario policiawpa.cap El fichero esta en *.cap por que no le pasamos el argumento 1 al airodump, y es as como lo queremos. En el CCW1 deseleccionar la casilla de verificacin "Grabar solo data" ya que esta viene por defecto seleccionada, sino obtendris ficheros del tipo *.ivs. ESte formato siempre se ha mantenido para todas las versiones del ccw. La ruta (ruta_diccionario) es cualquier carpeta y se debe de poner de forma completa. El diccionario es un mero fichero bsico de texto secuencial (sin aadidos como por ejemplo pudieran ser los ficheros de Word). En cada lnea de este fichero nos encontraremos con diferentes caracteres (en definitiva claves de comprobacin).

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Que nos sale al ejecutar el comando:

Tanto manual se seguridad alta con cifrado WPA-PSK y solo hemos obtenido un handshake, pues bien tranquilos con eso es suficiente, ahora tecleo 3 (cada uno vera lo que tiene en su captura) que corresponder al estudio de recuperacin de claves WPA-PSK sobre nuestra red wireless propia y ............... a esperar socios, es que no hay mucho ms por hacer. Muchas veces os saldr cero, por lo tanto a repetir el proceso con otro diccionario. Existen multitud de zonas en Internet donde se pueden conseguir de forma gratuita los diccionarios aqu comentados, pero que en ningn momento informare de donde bajarlos, al ser posiblemente pagina de forma muy temporal. Decir que existen varios LiveCd de linux que ya incorporan diccionarios. Si el diccionario es bueno y la clave no es muy difcil puede tardar mucho o infinito, cuando acabe de leer todas la claves y esta no corresponda a la real, en dicha aplicacin nos saldr la palabra EOF (final de fichero), pues bien no desesperis y os tocara usar otro diccionario. Y si nunca dais con ella, pues enhorabuena, ya tienes configurada tu red inalmbrica de forma segura, pero el 100% nunca lo tendrs, esto nunca lo olvides...............

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Si tenis vuestra red wireless configurada con un bajo de nivel de seguridad (siempre hablamos de WPAPSK) os saldr:

Y lo repito para que se vea solo el aircrack 2.3 sin aadir la aplicacin del proyecto ccw.

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Consejo: Si despus de varios das no la encontris y en lugar de estar contentos te pones de los nervios y quizs dudis si realmente estas herramientas de auditoria wireless funcionan bien, hacerme caso, abrir el diccionario con un editor normal de texto (el que queris) y en cualquier lnea del mismo aadir una fila con el nombre secreto. Veris como si la encuentra, comprobando que el estudio es valido, tanto para resultados negativos como positivos para la recuperacin de claves WPA-PSK. Ya se que esto ultimo parece poco serio para comprobar un nivel de seguridad, pero que sepis que lo importante en este tipo de configuracin es capturar el trafico correcto, y determinar el uso de claves fueras de la lgica normal no contempladas en ningn diccionario, solo as se consigue un alto rendimiento de la configuracin de seguridad en sistemas inalmbricos o wireless. En el caso de un atacante real sobre nuestra red wireless, no podr aadir ninguna clave al diccionario ya que obviamente no la sabr. As tendremos seguro lo que es mas importante; sabremos como configurar nuestros equipos wireless para darle una mayor seguridad a todo el sistema (vamos si no eres capaz de recuperar una clave WPA-PSK, no tengas dudas de que realmente es segura, ya que la mejor defensa es un buen ataque y siempre hay que analizar tu sistema desde el punto de vista del atacante y corregirlo en ese sentido, hay que estar lo mas preparado posible). Recodar que las capturas se hicieron en su momento con la aplicacin ccw1 , pero que ya tenis el nuevo ccw7 (se mantienen las mismas funciones que el ccw1 explicado aqu, pero aumentadas considerablemente). Todo lo explicado aqui es valido para la nueva suite del aircrack-ng, podeis ver sus especificaciones de los comandos en: Como usar aircrack-ng?

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

- Programa en grupo CCW Es una mera interfaz en modo grafico donde se recopilan la mayora de acciones realizadas para la auditoria wireless en linux. Por eso el nombre de centro de control integrado wireless. Su instalacin es muy sencilla, lo nico que necesita es bajarse e instalar con anterioridad el programa gambas para usar su libreras. Este gambas solo hay que instalarlo y no hacer nada con el. Para la version 7 ser necesario el gambas2, realmente muy fcil de instalar en Debian. Si tenis Debian o Fedora Core la mejor manera de instalar gambas 1 y 2 es a travs de los repositorios. Para bajar el gambas2 en formato binario hacerlo mejor de sourceforge. 1.2.3.4.5.6.Descargar el programa CCW versin 4 en formato tar.gz en Espaol Descargar el programa CCW versin 4 en formato tar.gz en Ingles Descargar el cdigo fuente del CCW versin 7 en formato tar.gz en Ingles Descargar el cdigo fuente del CCW versin 7 en formato tar.gz Descargar el programa CCW versin 7 en formato tar.gz en Ingles Descargar el programa CCW versin 7 en formato tar.gz

Tambin citar que hemos hablado de la versin 2.3 de la suite del programa que ceo C. Devine pero existen versiones mas actualizadas que el mismo diseo, por ejemplo la 2.41 y la nueva generacin ng. Yo creo que podemos estar tranquilos con este tipo de proteccin de que nadie nos quitara ancho de banda, pero solo....... si usamos una contrasea realmente difcil de encontrar en un diccionario. Nuevas herramientas en windows para aumentar el anlisis de seguridad WPA

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)

FIN DE LA PARTE I.. En la siguiente parte nos dedicaremos analizar los servicios de envi de paquetes, veremos tambin a los sniffers, y otros programas, que pueden ayudar al atacante a espiarnos y espiar toda nuestra red. Por favor.. dudas, comentarios, sugerencias, ayudas, lo que sea favor de comunicarse a mi mail..

Hellreuter@gmail.com

Reuter

Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com)