Está en la página 1de 19

c c 

c 
 
 


p
p

 !p
p
p
Bueno, algunos ya conocen este texto que publiqué en un hilo y he mejorado y
corregido durante bastante tiempo. Ahora creo que está listo para publicarlo en un
topic a parte y espero que me comenten lo que les parece, he puesto mucho tiempo y
esfuerzo en él. En el futuro, añadiré otros posts en este hilo sobre diversos temas,
ataques más avanzados, incluiré explicaciones, nuevos enlaces...

Bienvenidos a este texto que he realizado con la intención de explicar una serie de
conceptos básicos sobre las redes wireless (inalámbricas, 802.11), que considero
fundamentales para poder entender un poco lo que nos traemos entre manos en el
foro de hacking wireless.

Antes de nada comentar que algunos aspectos que no se desarrollan en exceso en este
manual, se resumen o esquematizan, se pueden encontrar magistralmente explicados
en el taller de Vic_THOR (*Bibliografía) por si necesitan ampliar sus conocimientos.

Si usted no sabe lo que son los estándares 802.11 le vuelvo a recomendar que visite el
anterior taller, ya que contiene los conocimientos más básicos que no se explican en
este manual. Es necesario conocer también la arquitectura de una red wifi 802.11

Al final del manual se ha introducido un glosario con las definiciones de los términos
técnicos de redes 802.11 para su consulta en caso de duda.

m m

El hacking como muchos ya sabrán no consiste en seguir los pasos de una receta de
cocina. Consiste en conocer teóricamente las técnicas de ataque, fundamentos básicos
del entorno... esto posibilita desarrollar nuevas herramientas de seguridad, combinar
diferentes técnicas de ataque para aumentar la efectividad, desarrollar estrategias de
ataque...

-------------------------------------------------------------------------------------------------
-------------------------
Antes de nada me parece vital distinguir entre:
- Hacking wireless:
Consiste en acceder a la red WLAN de otro usuario y utilizar su ancho de banda para
conectarse a internet (es decir nos conectamos por el morro). Acceder a los recursos
compartidos de los demás ordenadores de la red y sustraer datos confidenciales de
todo tipo.

No es está en el fondo la inteción de este manual, sino comprender el tema, montado


de una red segura, protección de esta, hacer una auditoría inalámbrica... en fin que lo
de siempre léanse la ética del hacker (Muchos por aquí la necesitan y dan ganas de no
postear nada pues se imaginan los usos que darán a esta información).

- Hacking una red con un router:


Consiste en ganar acceso a un ordenador que se encuentra detrás de una red y se
conecta mediante un server/gateway/router (lo que sea) a internet. Sobre esto
también estoy posteando así que si les interesa pueden mirar mis últimos mensajes, e
informarse de como funcionan las IPs en una red, la teoría de ataque, métodos para
saltarse router y firewall (como conexiones inversas ya sea mediante netcat o troyanos
de conexión inversa)

o   
 
        
 
http://foro.elhacker.net/index.php/topic,62799.msg287872.html#msg287872

Esto lo digo porque son muchos los que no distinguen entre lo uno y lo otro y nada
tienen que ver entre ellos.
-------------------------------------------------------------------------------------------------
-------------------------

La intención de este manual no es otra que puedan entender de qué hablan.


 
         
  , espero que
les sirva:


    antes de empezar el tema: Sería imposible tratar todos los
puntos partiendo desde cero. Habitualmente se aconseja antes de introducirse en
redes:

- Conocer el modelo de capas OSI. *Ir al subforo de redes


- Conocer el protocolo TCP/IP. *Subforo de redes
- Conocer los diferentes estándares IEEE 802.11: Diferentes actualizaciones del
estándar inicial en relación a la velocidad de transmisión de datos.
- Topología básica de redes.

   

La monitorización de redes consiste en detectar las redes inalámbricas cuyas ondas


llegan a nuestro captador de señal.

       Para esto se necesita una tarjeta de red inalámbrica WNIC


(Wireless Network Interface Card. También reciben el nombre de adaptador
inalámbricos AIs) + un software para detectar APs (Access Points o puntos de acceso).

m     m

 Es necesario saber como se mide la potencia. Nos


tienen que sonar conceptos como: IR, EIRP... Para medirla se utilizan varias unidades:
milivatios mW o decibelios dB. El modo más preciso es el dBm (decibelio por milivatio)

> Un aumento de 3dB duplica o reduce a la mitad la potencia.


> dBm = dBi

A la hora de escoger una tarjeta inalámbrica se deben tener en cuenta:

> El chipset: El chipset es el chip de la tarjeta, el cerebro si me permiten el término.


En el siguiente enlace encontrarán un listado de modelos de tarjetas y sus respectivos
chipsets.

       


!

> Nivel de potencia de salida y posibilidad de ajustarlo


> Sensibilidad en la recepción
> Conectores para antenas externas
> Soporte de algoritmos de encriptación mejorados.
> Imporante: Compatibilidad con el sistema operativo.

Sobre el chipset podría estar hablando horas (jeje quizás no tanto).

 "#     


Es imposible hacer un estudio de mercado sobre todos los modelos disponibles,
estudiar la relación calidad/precio, probar si las mediciones de potencia o distancia son
correctas...

Esta pregunta no es nada fácil de responder sin conocer las circustancias del usuario:
presupuesto, interés, ataques que piensa desplegar... Quizás no sepan que algunas
herramientas están pensandas para actuar con chipsets determinados y que conseguir
que funcionen con otros conllevaría adaptar el código, lo cual no está al alcance de
muchos usuarios, ya sean avanzados, sino de expertos y profesionales.

En el subapartado de tarjetas inalámbricas (apartado de hardware 802.11) he


comentado las especificaciones a considerar antes de la compra, repasemos. Voy a
realizar una lista para guiar al comprador inexperto:

-------------------------------------------------------------------------------------------------
--------------------------> ' 
 
 Las tarjetas inalámbricas aún
hoy en día no son tan baratas como sus compañeras de red 802.33 Ethernet, pero
empiezan a tener precios muy asequibles. Las hay desde 20 euros hasta 300 o más
(estas tienen de todo, por ejemplo pigtails que son realmente caros y a la hora de la
verdad hay que ponerles cinta aislante para que no se hagan pupa al moverlos)

> '  


 
  
- windows: Una tarjeta con chipset Atheros es bastante recomendable. No
encontrará problemas para ponerla en modo monitor con drivers airopeek de
wildpackets, aunque hay más chipsets compatibles (sólo debe consultar el listado en la
página de wildpackets). Un modelo interesante podría ser: Conceptronic c54c, aunque
mi compañero lovalost me informó que ya no las fabrican, quizás pueda encontrarla
rebajada en alguna tienda por internet (bendito stock!)
- Linux y BSD: La recomendación por antonomasia no deja de ser PRISM. ¿por qué?
Pues básicamente porque permiten variedad de opciones:
- DoS, ruptura de WEP, fake APs, ataques man-in-the-middle...
- Porque funcionan con la gran mayoría de aplicaciones, etc.
- Están bien documentadas y darán poca guerra, perfectas para principiantes.
- Los linux con kernels a partir de 2.4.18 tienen controladores incorporados.

'



No se olviden de cómo saber que chipset tiene nuestro modelo.
       
!
> ADVERTENCIA! ¿Demasiado fácil, no? Pues hasta ahora sí. Entramos con el conocido
y engorroso problema de las revisiones ¿qué son? Actualizaciones de un mismo modelo
¿qué actualizan? Hace un cambio del chipset.

Esto es reamente peligroso, porque podemos comprar un modelo de tarjeta pensando


que tiene por ejemplo chipset Prism1 y resulta que tenga Prism Lamadrequeloparió
(porque es la tercera revisión, mucho ojito!)

Los nuevos chipsets no suelen tener, cuando salen, mucha cobertura. Dan problemas y
en ocasiones no hay drivers para que puedan entrar en modo monitor, porque se están
desarrollando. Por eso son muchos los piratas del aire que recomiendan usar Intersil
Prisms antiguas, porque lo retro está de moda.

'

        Aquí es donde viene lo peor. La revisión es
algo que viene escrito en la parte de atrás de las tarjetas y casi ninguna web tiene tal
exceso de información que comente la revisión, es por esto que es recomendable
comprar la tarjeta en una tienda especializada con un dependiente que comprenda lo
que está tratanto de vender y pueda abrir la caja. Sino podemos buscar por internet
sobre nuestro modelo y descubrir si tiene revisiones conflictivas.
Cuidense mucho pues sino pueden llevarse una desagradable sorpresa, como por
ejemplo encontrarse con un chipset que hayan inventado dos muertos de hambre y no
tenga controladores de ningún tipo.

> Pues ahora pueden consultar el listado de tarjetas, donde vienen los chipsets,
informarse de si tienen conectores externos para antenas y de qué tipo, buscar en una
tienda virtual o google el modelo, precios aproximados y decidirse.
-------------------------------------------------------------------------------------------------
-------------------------

En estos momentos si tienes una red inalámbrica cuyas ondas de radio lleguen hasta el
captador, detectarás el AP correspondiente a esa WLAN (Red LAN wireless).

Pero y si nuetros vecinos aún no se han modernizado y no cuentan con la última


tecnología, tan presente hoy en todas las compañías telefónicas (nos regalan un router
en los donetes, con los tazos de matutano...)

El proceso se puede implementar con un portátil para poder salir de casa e ir en busca
de redes en un centro comercial, otros edificios...

Es aquí donde surge el conocido término wardriving: que no es otra cosa que ir en
busca de redes con un coche, así también está el warcycling (en bici para mantenernos
en forma), warwalking (dando un paseito, estilo golf)...

Si somos vagos por naturaleza o nos gusta demasiado el sillón-ball (deporte de riesgo
donde los haya) podemos aumentar nuestra potencia de detección. Así sin movernos
de casa, detectaremos redes a largas distancias.

 $         %     


    Lo que hace la antena es "apuntar", dirigir la señal aumentando su
calidad. Desde la perspectiva de un atacante:
> La distancia supone ocultación física y alejamiento.
> Es esencial para ataques sobre la capa física, de denegación de servicios (DoS) y
ataques man-in-the-middle (de intermediario).
Para comprender las antenas son necesarios unos conceptos básicos de
rediofrecuencia, que no trataremos en este texto, debido a la extensión del asunto. Un
par de apuntes:

> La ganancia de un antena es la amplificación de potencia. Se expresa en dBi y es


pasiva, ya que la antena como hemos dicho no añade en realidad potencia, sino que
enfoca las ondas radiadas para conseguir un haz más estrecho (apunta)
> El ancho de haz determina la zona de cobertura de la antena. Conviene no olvidar su
tridimensionalidad.
> "Regla de los 6 dB": Un aumento de 6dB en la EIRP duplica el alcance de transmisión
o recepción.

Tipos de antenas. Se diferencian tres tipos generales:


1. Omnidireccionales (360 grados en un plano horizontal)
2. Parcialmente direccionales (De 60 a 120º)
> Antena yagi.
3. De alta direccionalidad

El precio de una antena oscila según sus características y su ganancia: las hay de 25
euros, de 120...

Si tu presupuesto es cero, siempre tienes la opción Mc Gyver. Puedes construirte una


antena casera. La pega es que el rendimiento no es muy fiable. Aquí el precio puede ir
de 7 euros (antena pringles jeje) a lo que queramos.

Consultar el Recopilatorio de textos y enlaces interesantes para más información sobre


su construcción.

Aquí os dejo el enlace donde mi compañero lovalost explica un poco el tema (Si estáis
interesados os recomiendo lo leáis detenidamente)
 &         '(())


lluis_11 dejo en un post este enlace (Considero interesante) sobre el montaje de


muchos tipos de antenas distintos bien organizadas.
    

Es necesario tener conocimientos sobre como instalar la antena, tipos de conectores


(SMA, RP-SMA, SMC, MMCX...)

          
http://foro.elhacker.net/index.php/topic,65332.0.html

Podremos instalar nuestra antena tanto en el AI como en el AP, cada forma tienen sus
ventajas e inconvenientes que se deben valorar desde la perspectiva de la situación en
la que nos encontremos. Interesa recordar, que habitualmente las tarjetas PCI traen
conectores externos.

  
&   Consiguen ganancia activa inyectando pontencia continua
(DC). Tipos:

> Unidireccionales: Aumentan la potencia de transmisión.


> Bidireccionales: Incremetan también la sensibilidad de recepción.
Se suelen instalar para compensar las pérdidas debidas a una excesiva longitud del
cable coaxial que une la antena y el dispositivo inalámbrico.

-------------------------------------------------------------------------------------------------
-------------------------
Aquí podemos hablar también del warchalking (Es un lenguaje de símbolos
normalmente escritos con tiza en las paredes que informa a los posibles interesados de
la existencia de una red inalámbrica en ese punto.)

Detectada una red se puede hacer una marca en el suelo, o bien un mapa virtual con
su localización (para esto conviene tener un GPS) que además anota las características
de la red: SSID, WEP, direcciones MAC, red abierta o cerrada, DHCP, ancho de
banda...

De estas características hablaremos más tarde, todo a su tiempo.

No menciono los símbolos del warchalking pero los podéis encontrar en google o el
manual de Vicent Alapont (*Bibliografía).

-------------------------------------------------------------------------------------------------
-------------------------
*    &!
Como en ningún manual he visto ninguna explicación de este tipo, porque
seguramente se considera excesivamente básica, me he decidido a hablar un poco del
tema, porque estoy seguro de que no todo el mundo lo tiene claro y llega a confundir
modelo con el enganche (tipo de interfaz)

Seguro que algunos continúan algo perdidos ¿y entonces qué es eso de PCI, PCMCIA,
BUS...? Vamos a intentar explicarlo de manera sencilla.
El modelo de tarjeta inalámbrica viene definido por COMPAÑÍA + MODELO + BUS.
Vamos a explicar cada apartado:
- Compañía: Algunas de las más conocidas con: Conceptronic, Linksys, icom, D-Link,
Cisco/Aironet ... y son las empresas encargadas de la manufactura y venta de la
tarjeta. Estas empresas se encargan de montar la tarjeta, no de desarrollar el chipset
y sus drivers, eso va a parte. De ahí que diferentes modelos de una misma compañía
puedan tener distintos chipsets (son mundos a parte). De ahí que debamos consultar
el chipset en el listado que he dado para no llevarnos a engaño.

- Modelo: Una serie de números y letras que marcan un modelo. No apto para
disléxicos, ya que algunos modelos difieren de otros tan solo en una "c" o una "r".

- Tipo de interfaz: Llegamos al quid de la cuestión. Esto entra dentro de


fundamentos físicos de los computadores (jejeje que informático) y viene a ser la
ranura de entrada, el puerto de conexión de la tarjeta, el método de enganche (esta
última es una definicón algo chabacana) ¿pero cuándo uso uno y cuando otro? Para
responder a esto, vamos a analizar brevemente los métodos de conexión más comunes
y en qué situaciones se utilizan:

> PCI (El acrónimo responde a Peripheral Component Interconnect) Es un bus de


interconexión de componente periféricos. Es un bus de computadora estándar para
conectar dispositivos periféricos directamente a la tarjeta madre de la computadora
(bus local). Comentar que PCI permite configurar el dispositivo de manera dinámica.
Se suelen utilizar en ordenadores de SOBREMESA.
Es común que tengan conectores para antenas, esto es una factor a tener en cuenta.
>> MINIPCI: Consiste en un tarjeta PCI de pequeño tamaño para PORTÁTILES.

> PCMCIA : (Personal Computer Memory Card International Association,


asociación de la industria de fabricantes de hardware para ordenadores portátiles
encargada de la elaboración de estándares). Es un dispostivo normalmente utilizado en
computadoras PORTÁTILES para implementar sus posibilidades.

Llegamos a un punto aclaratorio clave: CARD BUS Y PC CARD. Las tarjetas PCMCIA DE
16bits pueden recibir el nombre de PC Card y las de 32 bits CARD BUS (este
termino os debería sonar) Ahora lo pongo a parte para tener el esquema claro.
>> CARD BUS: PCMCIA de 32 bits. se pueden usar con un adaptador USB.

> BUS o USB: (Universal Serial Bus) Provee un estándar de bus serie para
conectar dispositivos a un PC. Cuando se diceñó este sistema se pensaba en mejorar la
capacidad plug-and-play (permitiendo conectar o desconectar dispositivos sin
necesidad de reiniciar. Pero no entra en este texto explicar como funciona plug-and-
play, investiguen y aprendan jeje) Hoy en día el USB domina y se ha convertido en el
método de conexión más usado, debido a
su dinamismo, desplanzando otros estándares de conexión. Pues estos tipos de
conexión, para el que no lo sepa, están en la parte de atrás de la torre del ordenador o
del portátil. Cuando hablamos de un tarjeta wireless BUS, hablamos de una tarjeta con
un cable Bus para conectar. Son fáciles de instalar, sin embargo, a veces no tan
potentes como las anteriores (velocidad, encriptación...). Funcionan tanto en
PORTÁTILES como en PCs DE MESA.

> CENTRINO: (Centrino Mobile Technology o Tecnología Móvil Centrino en


español) Es una iniciativa comercial de Intel para promocionar una combinación
determinada de CPU, chipset de la placa base e interface de red inalámbrica en el
diseño de un ordenador personal portátil. Actualmente esta combinación consiste en
un procesador Pentium M, un chipset de la familia Intel 855 y una conexión de red del
tipo Intel PRO/Wireless 2100 (IEEE 802.11b) o PRO/Wireless 2200 (IEEE 802.11g).
Esto va integrado en los portátiles de la marca Intel (no se deben confundir el
procesador Pentium M y el Centrino). Por
otra parte muchos consumidores han recibido la impresión de que Centrino es la única
forma de obtener conectividad inalámbrica en un portátil.
Este tipo de interfaz no puede entrar en modo RF (monitor) usando Windows.

Una vez tengamos esto claro, les pongo un ejemplo de cómo se debería decir que
tarjeta tenemos: "Tengo una Conceptronic c54c tipo PCI" (Si aún con esto, no lo
entienden, quizás deberían cambiar de hobby por las tabas o algo así)

Ahora dejo algunas fotos (porque una imagen vale más que mil palabras).
m

$m
 +&       

Existen varios métodos para detectar APs.

- Monitorización activa: (Barrido activo) Consiste en que el AI envía un paquete sonda


o baliza (beacon frame) y en caso de existir un AP al que le llegue la señal, contestará
con marco de respuesta sonda (request frame) que contiene los datos de la red.
- Monitorización pasiva: Implica la escucha del AI en busca de marcos baliza que
emiten los APs.

Teniendo en cuenta que los usuarios de otros sistema operativos (OS) que no sean
windows suelen tener unos conocimientos medios de informática avanzados, me
referiré tan solo a los programas para windows.

El más conocido es el Net Stumbler de windows, es un programa de código cerrado


que monitoriza las redes de forma activa. Utilizado por aficionados espontáneos del
wardriving.

  Wardriving no es lo mismo que netstumbling.

* $ 
   $ 

Consiste en poner nuestra tarjeta wireless en escucha para poder captar los paquetes
que transmiten otras redes wireless sin estar asociados a ellas. Esto lo explico de
manera más detallada en siguiente post:

   
 

 
        
http://foro.elhacker.net/index.php/topic,64149.0.html

  El modo promiscuo de las tarjetas de red Ethernet 802.33 no es lo mismo que el


modo monitor en redes 802.11.

 "%
      
 
   , 
http://foro.elhacker.net/index.php/topic,64705.0.html

No todos las tarjetas de red pueden entrar en modo monitor, esto se debe tener en
cuenta a la hora de comprarla. Si tenéis un tarjeta centrino, es hora de sacar la
cartera.

*        -    


Como son muchos los que preguntan si su tarjeta puede entrar en modo monitor o
quizás no sepan encontrar los drivers aún conociendo la página a la que deben
dirigirse, voy a listar los chipsets compatibles con airopeek para Windows de
Wildpackets. Lo que deben hacer es buscar su modelo de tarjeta en la lista que les dí y
enterarse de qué chipset utilizan.

Listado:
- Atheros
- Realtek
- Symbol
- Agere

IMPORTANTE: Cuando ya hayamos crackeado WEP deberemos instalar los antiguos


drivers de la tarjeta, porque en modo monitor no es posible conectarse a una red. Esto
se explica con más detalle en:

"              !      


http://foro.elhacker.net/index.php/topic,65590.0.html

 +&&   . 
  .  ,   

Los sniffers (también denominados analizadores de protocolos o "husmeadores").


El sniffing de paquetes es la práctica de capturar datos de red que no están destinados
a tu máquina, generalmente con el propósito de ver tráfico confidencial (contraseñas,
datos...)
Para snifar ("olfatear") es necesario entender como transmiten los paquetes las
máquinas en una red.

Una vez configurada la tarjeta en modo monitor, trataremos de capturar los paquetes
de otras redes o la propia (auditoría de seguridad) con el objetivo de saltarnos sus
medidas de seguridad y asociarnos a la red (ancho de banda, datos confidenciales).
Entramos en la parte jugosa del manual.

Aquí entran en juego factores de lo bien que esté configurada la red o no. Términos
previos:

SSID (Service Set IDentifier) El SSID es un código de 32 caracteres alfanuméricos que


llevan los paquetes de una WLAN para indentificarlos como parte de esa red. Por lo
tanto todos los dispositivos inalámbricos que intentan comunicarse entre sí deben
compartir el mismo ESSID. Las redes cuya infraestructura incorpora un punto de
acceso, utilizan el ESSID (E de extendido). Sin embargo nos podemos referir a este
como SSID en términos generales.
A menudo al ESSID se le conoce como nombre de la red.

El ESSID de la red ficticia del vecino está por defecto en emisión pública, cualquier
usuario usando un stumbler podría detectar esta ESSID (nombre de red) y sabiendo
que el ESSID actúa como la relación entre la estación cliente (tu máquina) y el AP, ya
tienes el nombre de red, que será vital para asociarse a la red a la que "atacamos".

Es por esto que una medida fundamental de seguridad es desactivar la emisión pública
del ESSID (broadcasting), y sino es posible, al menos ocultarlo para que un atacante
inexperto no pueda continuar en su intento.

 
 &
 ,  (Wireless Equivalency Privacy)
Es el sistema de cifrado incluido en redes estándar 802.11 de los paquetes que se
transmiten en una red wireless. El WEP viene inhabilitado por defecto. Un usuario sin
conocimientos relativos al tema o un usuario medio no habilitará el WEP al instalar el
AP. Esto constituye un gran error de seguridad ya que sino la red queda abierta a todo
usuario.

WEP cifra y comprime los datos enviados por ondas de radio. Sin embargo, WEP no es
precisamente el sistema de encriptación más potente del mercado. Incluso aunque
esté habilitado nuestra red sigue siendo insegura.

Es "rompible" con los denominados WEP crackers . De esto hablaremos más tarde.

Para conocer las vulnerabilidades del cifrado WEP:


$     (Hacking wireless - Chincheta)
http://foro.elhacker.net/index.php/topic,54992.0.html

Recuperando la intención de este manual, la compresión sobre todos los apartados en


relación con el hacking wireless, voy a explicas de forma técnica el cifrado WEP. Es
necesario para comprender esto unos conceptos previos de criptografía (Recomiendo el
taller que ha comenzado la revista Hack x Crack HXC en el momento de redactar esto)

Código:
El cifrado WEP no es otro que el algoritmo de encriptación RC4 (Algoritmo de cifrado
de flujo, es decir que funciona expandiendo una clave secreta o "seed" la cual es un
generador de números psdeualeatoria)
Siguiendo las principales vulnerabilidades que afectan a este algoritmo proporcionado
por RSA Security es posible reducir su potencia de 128 bits de cifrado a 24 bits. Lo que
conlleva una disminución importante de la seguridad (de 2^104-1 a 2^24-1)
Además se usa un vector de inicialización (conocido como IV de 24 bits) la cual se
añade a la seed mencionada antes, y cambia para cada trama. El receptor usa el
mismo IV para chequear la integridad del mensaje.
Los IVS son públicos (no cifrados, en texto plano, o sea legibles), y aparecen en los
paquetes transmitidos por la red. Como ya he dicho varían, el problema es que la
máquina suele reutilizar IVS (no entro en detalles del porqué) y un intruso podría
hacer con duplicados, montar una tabla y conocer el texto de un mensaje.
Para ello ha de servirse el intruso de un boli, papel y mucha paciencia para interpretar
el flujo.
Pero esto nos llevaría demasiado tiempo, asi que se ha automatizado el proceso.

Esto es en esencia lo que hace un WEP cracker. Tras capturar una serie de paquetes,
en el orden de 1 millón para romper un cifrado de 128 bits, estos programas rompen la
clave WEP de forma pasiva, analizando los IVs débiles o repetidos.

No se crean que WEP es el único sistema de cifrado que existe, hay muchos más. Este
es el más famoso y el más inestable.

El WPA es mucho más seguro, pero este sistema no es funcional en algunos host APs
(routers) que funcionan con estándares IEEE 802.11 antiguos.

/ "#  ,   !   

Recimiente descubrí que la última versión del Aircrack la v2.1 tiene en su paquete zip
una carpeta para windows 32bits. Las pruebas realizada por lovalost (que colabora
conmigo en la realización de un taller de wireless, también moderador de este
apartado) mostraron como resultados que el aircrack funciona más deprisa que
cualquier otro WEP cracker probado en windows, aunque no alcanza la funcionabilidad
que tiene en el SO (Sistema Operativo) Linux.

 "%
 !       
  (Nuestro gran entendido del
foro hacking wireless)
http://foro.elhacker.net/index.php/topic,64705.0.html

(    & !
  &   , 

Otra posibilidad para hacernos con la WEP key o clave WEP es realizar un ataque por
fuerza bruta al cifrado WEP de un solo paquete. También se puede desplegar un
ataque con diccionario. En este post explico la teoría y viabilidad del ataque, además
de las herramientas para llevarlo a cabo.

    & !
  &   ,
http://foro.elhacker.net/index.php/topic,64471.0.html

) +   , 


      %
    

Si tenemos acceso físico a una de las máquinas de la red (con sistema operativo
Windows) podremos extraer la clave WEP, ahorrándonos tiempo de trabajo.

 +    ,   ,  0 


http://foro.elhacker.net/index.php/topic,56008.msg281743.html#msg281743

    &  !   0  + 


http://foro.elhacker.net/index.php/topic,61344.0.html

 
       

Como ya he dicho se ha desarrollado uno de los ataques más básicos a la red en sus
diversas técnicas, sin embargo no por ser básico dejar de ser esencial.

Pero a la hora de hacer este ataque podemos encontrarnos algunas barreras que se
despliegan como médidas básicas e insuficientes de seguridad, con la intención de
desanimar a script kiddies. Un atacante avanzado habitualmente no suele ser peligroso
(igual que un maestro en kung-fu no va por la calle buscando pelea). Las medidas
comentadas ahora son las más comunes, no por esto las únicas, pero esto no es un
manual avanzado (tiempo al tiempo)

 1+ 2 ++m +m (En un manual lo leí como ESSID
cerrado): Al desactivar el BROADCAST del ESSID el AP deja de emitir marcos baliza
(beacon frames) y la red aparece como no en uso. Un programa que haga barrido
activo no la detectará y sin embargo si lo conseguiremos mediante un barrido pasivo,
ya que los paquetes siguen en el aire. Como ya he dicho el ESSID es el nombre de red
y es vital para poder asociarnos a ella, en este caso no podremos visualizarlo y aunque
logremos romper el WEP no tendremos nada que hacer.

La  % es la siguiente: Cuando está desactivado (el ESSID se envía en marcos
de respuesta -request frames-), el ESSID sigue enviandose en paquetes de petición de
asociación y reasociación. Entonces deberemos esperar con un "husmeador" activado a
que un usuario se conecte a la red (ese paquete contendrá el nombre de la red). Pero
¿y si los usuarios están constantemente conectados? o ¿y si tenemos prisa?
Existen utilidades para realizar DoS (este ataque que yo sepa sólo es viable en Linux,
nuestra punta de lanza en el hacking wierless) como Air-jack toolkit que, entre otras,
lleva una aplicación llamada essid_jack, cuya función concreta es provocar que los
clientes se tengan que reasociar al punto de acceso y así capturar el paquete de
asociación que contiene el ESSID. Pero esto ya entra en un nivel alto en el que no
entraremos aquí, así que pueden investigar o esperar hasta que publiquemos el
manual avanzado.

 m2  mm  $ 2 (*Consultar MAC en vocabulario)


Esta medida consiste en permitir solamente la conexión a cierto equipos atentiendo a
su MAC. Sin embargo es posible cambiar la dirección MAC de nuestra tarjeta utlizando
software específico, de este modo suplantaríamos la identidad de una de las máquinas
de confianza (trusted). Esta técnica se conoce como MAC spoofing. Para saber que
MAC deberemos emular, utilizaremos un husmeador (el más idóneo es Kismet).

 

  % $
http://foro.elhacker.net/index.php/topic,63350.0.html

3 $       

 
Consiste en utilizar materiales que mitiguen las ondas de radio impidiendo que salgan
de los límites del edificio.

       


> Habilitar WEP con el mayor número de bits posible.
> Habilitar WPA en vez de WEP si es que nuetros hardware es compatible (Tiene que
ser compatibles tanto el AP como los AIs, deben por así decirlo, hablar en el mismo
idioma para entenderse)
> Deshabilitar el broadcast (emisión pública) del ESSID (este método es bastante
bueno porque la red no aparecerá como una red en uso). Pero no es suficiente como
hemos visto, un atacante experto podría saltarse esta protección.

-------------------------------------------------------------------------------------------------
-------------------------
IMPORTANTE: Además de ocultar el ESSID, hay que cambiarlo para que no esté en
predeterminado, porque sino sacando la OUI de la MAC nos bastaría para conocer el
modelo de AP y buscar userID/password por defecto.

  %  m  


   
http://standards.ieee.org/regauth/oui/oui.txt
-------------------------------------------------------------------------------------------------
-------------------------
> Habilitar el filtrado de direcciones MAC.
> Deshabilitar el DHCP.
> Cambiar la contraseña por defecto del router. En caso de que un atacante acceda a
la red podría cerra puertas a otros usuarios, montar una backdoor (puerta trasera)
mapeando los puertos de la NAT para conectarse de forma remota...
> Cambio habitual de la clave WEP, que es estática. De este modo un atacante podría
perder el interés en nuestra red, ya que tendría que atacarla cada vez que se quisiese
asociar.
> Cambiar la IP por defecto del AP.

Se han comentado las medidas de protección, sin embargo dejo el tema de detección
de intrusos y utización de IDS (En nuestro caso WIDS ) para el manual avanzado. Pues
este ya tiene una extensión considerable y sería entrar en demasiada profundidad. En
el manual avanzado se incluirán algunas lecciones para una mejor comprensión:

- Capas OSI
- Criptografía
- Muchas más

             
&    m   &  

Todos los APs vienen con nombre de usuario y contraseña por defecto de fábrica. Si ha
sido instalado por un usuario que se sirve de una guía rápida o por un técnico
negligente, el AP seguirá teniendo el mismo user ID y password que antes de salir de
la caja.

Os dejo a continuación una página mencionada en este foro que tiene los users
ID/passwords por defecto de las grandes compañías que comercializan APs que está
además en constante actualización y te será muy útil.

        

Voy a comentar también que en los dos routers que he tenido la ocación de leer sus
manuales (siendo de diferente distribuidoras) tenían como user ID por defecto: Admin
y como contraseña por defecto: default.

Así que si no encontráis el AP que os interesa en el anterior web probad con lo


segundo.
En la actualidad se han descrito en algunos topics del foro técnicas para sacar la
contraseña de un router:

o +        
http://foro.elhacker.net/index.php/topic,62224.0.html

Por dividir las técnicas en dos ramas diferentes y que se entienda mejor el anterior
post:

1.- Técnicas para filtrar los paquetes de una red, entre los cuales están los que van
dirigidos al router, cuando el administrador se loguea en él.

Estas técnicas se utilizan cuando nosotros no somos el administrador de la red sino un


intruso en ella. La intención es extraer el user ID (nombre de usuario) y password de
acceso al router cuando el administrador se loguee.
Para ello nos podemos servir de un sniffer y técnicas de implementación del anterior
ataque: ARP spoofing, ataques man-in-the-middle...

$    &
   (Muy bueno y fácil de entender. Explica los
tipos de redes: de hubs o conmutadas -switches-)
http://fakedos.all-inone.net/tecdocexplo/arpspoofing.html

$   para hacerse con el nombre de usuario y contraseña del router si hemos
realizado una intrusión a la red y no somos los administradores de esta:
1.- Instalar un sniffer y poner la tarjeta de red en modo promiscuo.
2.- Filtrar los protocolos que nos interesan para que no se nos desborde de la cantidad
de datos: filtramos telnet y HTTP (que son los caminos de acceso al router)
3.- Se pueden utilizar técnicas de implementación del sniffing (Esto está descrito con
anterioridad)

También podríamos instalar un keylogger en la máquina que utiliza el administrador.


Hagan volar su imaginación.

2.- Si nos hemos olvidado de la contraseña de nuestro router, o nunca la supimos


porque nos la instaló un técnico y en ese momento no sabíamos ni lo que estaba
haciendo. Se subdividen básicamente en (detalladas en el anterior post):

- Ataque por fuerza bruta.


- Utilización de alguna vulnerabilidad (mediante exploit) conociendo el modelo de
router (Se busca información en google. Esto será efectivo si el firmware no está
actualizado y otros usuarios con conocimientos avanzados en programación publicaron
información en torno a posibles fallos para ganar acceso al router)
- El log de la cookie.
- Llamada al técnico.
- Resetear el router y configurarlo de nuevo con los datos de conexión. Al resetear el
router este vuelve a su configuración por defecto de fábrica, es conveniente buscar
información de nuestro AP en la página oficial de este, donde seguro se explica en las
FAQs como resetearlo, configurarlo...

Conviene aclarar que la contraseña del router no es la contraseña de red ni mucho


menos, se tiende a confudir por usuarios inexpertos. La contraseña de red como ya
hemos dicho es la WEP key, de ahí la importancia de saber crackearla.

 "      


    , 

El protocolo de cifrado WEP, a pesar de las futuras revisiones, mejoras, alternativas...


seguirá funcionando durante mucho tiempo, sin importar cómo de buenos y seguros
sean sus sustitutos. Los motivos son los siguientes y conviene tenerlos en cuenta:

1- Es fácil configurar WEP y cualquier sistema conforme con el estándar 802.11 lo


soporta, no ocurre lo mismo por ejemplo con WPA.
2- El hardware heredado podría no soportar los nuevos protocolos de seguridad y
muchos usuarios no se desharán de él a pesar de las recomendaciones, nuevos
estándars... ya que han invertido en su equipo un dinero que desean rentabilizar.
3- El hardware más moderno pasará a utilizar el nivel de seguridad del anterior
harware para poder interactuar con él.
4- Muchos administradores de red debido a su ignorancia o pereza no actualizarán el
firmware de sus sistemas para soportar sustitutos de WEP más seguros.
5- Los nuevos sistemas de seguridad conllevarán un esfuerzo en mantenerse
actualizado y comprensión. Algunas pymes (pequeñas y medianas empresas) que
disponen de estos métodos de intercomunicación entre máquinas se oponen por
motivos económicos.
6- Algunas implementaciones de las especificación 802.11i requerirá renovar el
hardware en su totalidad.
7- Todavía se pueden oir comentarios de los autodenominados "expertos" que opinan
que WEP es un protocolo lo suficientemente seguro para redes domésticas y
pequeñas empresas.

De este modo los ataques contra WEP están hoy más de moda que nunca, a pesar de
que WEP hace tiempo que quedo obsoleto. Sin embargo romper el WEP no es el último
paso (como muchos atacantes consideran) en el ataque a una red. Por último cabe
destacar, que los usuarios que llevan a cabo estos ataques sirviéndose de una guía
paso a paso, no merecen otra categoría dentro de las comunidades de seguridad
informática y hacking, que la de script kiddies o lammers.

Vamos a dar las características que debe reunir un usuario avanzado o entendido:

> Conocimiento de diversas técnicas de ataque:

- DoS (Ataques de Denegación de Servicio)


- Ataques de intermediario sobre la capa física.
- Inyectar tráfico para acelerar la ruptura de WEP.
- Conocer la estructura de los paquetes de las redes 802.11 y sus correspondientes
marcos.
- Saber llevar el ataque a la zona cableada de la red.
- Saltar pequeñas barreras como el filtrado de direcciones MAC y ESSID cerrados,
que hoy en día a pesar de su debilidad como medidas de seguridad siguien
desanimando a muchos atacantes.
- Ruptura de 802.1x
- Inyectar tráfico inalámbrico cifrado.
- Creación de una puerta trasera (backchannel)
- Montaje de una red segura, desplegar VPNs

Así el pérfil de usuario aficionado e interesado momentáneamente en el tema es:

- Ruptura del cifrado WEP con sistema operativo Windows.


- Realizar barridos activos con una copia de Netstumbler.

quizás debería preguntarse en que grupo se enmarca y ¿qué medidas podría tomar
para avanzar y aumentar sus conocimientos? No olvide que este texto es una simple
introducción al tema de la seguridad wireless, que puede resultar en algunos niveles
realmente complicado y requiere conocimientos sobre:

- Diferentes protocolos
- Criptografía
- Topología de redes
- Capas OSI
- Protocolo TCP a fondo

Pero antes debemos conocer unos conceptos básicos que serán nuestra base de apoyo
en el avance. En estos momentos se está trabajando en el desarrollo de un taller o
proyecto que comprenda algunos de estos puntos más avanzados explicados de la
forma más sencilla posible. Por el momento se está trabajado en solucionar las dudas
más habituales al iniciarse en el tema:
- ¿Qué tarjeta me recomiendan? ¿Cómo ponerla en modo monitor? ¿Qué es un
chipset y para qué sirve?
- ¿Puede mi tarjeta entrar en modo monitor?
- ¿Qué programa uso para romper WEP en windows?
- ¿WEP o WPA?

De todas formas recomiendo encarecidamente que visiten el Recopilatorio de textos y


enlaces de interés (en constante actualización) donde podrán encontrar respuestas a
más preguntas como estas y a otras más avanzadas. No olviden la lectura de todas las
chinchetas.

   %       


http://foro.elhacker.net/index.php/topic,64843.0.html

 #    #  


http://foro.elhacker.net/index.php/topic,65591.0.html

   

Las redes Wireless son todavía muy inseguras y es por esto que la política de
seguridad de algunas empresas las prohíbe tajantemente. Debido a la dificultad de
controlar la expansión de las ondas de radio, estas traspasan los límites del edificio,
"tendiendo una mano" al intruso.

Cuando instalas un AP en tu domicilio, se dan varios casos que van a repercutir en la


posterior seguridad de este AP.
- Lo instalas tú con un manual rápido sin habilitar WEP, ni cambiar la SSID por defecto,
ni la IP por defecto del router...
- Lo instala un técnico incompetente con conocimientos mínimos que le bastan
solamente para que funcione.
- Lo instala una empresa despreocupada por sus usuarios (Oí decir que telefónica no
configuraba el router)
- Te lo instala un técnico competente o tú mismo habiendote leído esto. ---> Tendrás
el culo bastante a salvo. (Recuerden que nada es seguro al 100%)

* 1m12m

   ,mm  


http://www.hackxcrack.com/phpBB2/viewtopic.php?t=21310

$  &&  2    


http://ccia.ei.uvigo.es/docencia/SSI/SniffersPDF.pdf

$       
  http://www.telefonica.net/web2/telamarinera/facu/seguridad_en_redes_inala
mbricas_by_vicent_alapont.zip

     ,  http://es.wikipedia.org/wiki/Portada --> Una


maravilla para entender temas profundos que nos superan, buscar definiciones. Un
consejo, tenedlo siempre a mano.

    %       (realmente bueno)


http://foro.elhacker.net/index.php/topic,45618.0.html

ESTE FORO que tanto me está enseñando sobre el tema.


Espero no dejarme ninguno.
Más mis conocimientos escasos sobre la seguridad informática.

  % 
 

Mi compañero moderador lovalost y yo estamos trabajando, de forma conjunta con el


staff de elhacker en un taller avanzado sobre hacking wireless.

Pueden leer más sobre el proyecto manual de hacking wireless aquí:


http://foro.elhacker.net/index.php/topic,62868.0.html

/ $          

1.- Comprar una tarjeta WNIC (AI)


2.- Hacer un barrido activo o pasivo para detectar las redes de los alrededores.
3.- Poner la tarjeta en modo monitor o RFMON.
4.- Utilizar un WEP cracker (Aircrack) para obtener el WEP key (contraseña de red)
Con el nombre de red ESSID y el WEP key ya podemos asociarnos y autentificarnos en
la red.
5.- En nuestro camino quizás necesitemos sortear una serie de barreras como el
filtrado de direcciones MAC, ESSID cerrados...
6.- En caso de acceso físico a una estación cliente de la red con Windows XP, utilizar
un programa de recuperación de la WEP key.
7.- Proximamente se desarrollarán ataques más avanzados como inyección de tráfico
para acelerar el proceso de ruptura de WEP, ataques hombre en medio (man-in-the-
middle)...

m mm +

Algunas de estas definiciones están extraídas del taller de Vic_THOR, que realizo un
buen glosario de consulta.

Autenticado y asociado: Estado en el que un dispositivo wireless se une a la red de


forma correcta y puede participar de los servicios que se ofrecen

Autenticado y disociado: Estado en el que un cliente ha sido reconocido por los


dispositivos de la red wireless pero que todavía no puede emitir datos ni participar de
los recursos.

Balizas/Beacons: Tramas de administración o sondas que emiten los puntos de acceso


para informar a sus clientes o a otros puntos de acceso de su presencia y de otros
datos.

BSSID: La MAC del punto de acceso

Desautenticado y disociado: Estado en el que un cliente está desconectado de la red y


no se asoció con el Punto de Acceso

Filtrado de MAC: Método de configuración de seguridad en puntos de acceso que


restringe a determinadas direcciones MAC la posibilidad de unirse a la red y
autenticarse.

IEEE: Instituto de Ingenieros Eléctricos y Electrónicos, una asociación estadounidense


dedicada a la estandarización.

Punto de acceso: (AP) Dispositivo que comunica redes de cable e inalámbricas.

Red inalámbrica (de área local) o WLAN o WIFI: El nombre técnico para denominarlas
es redes 802.11. El protocolo IEEE 802.11 es un estándar de protocolo de
comunicaciones de la IEEE que define el uso de los dos niveles más bajos de la
arquitectura OSI (capas física y de enlace de datos), especificando sus normas de
funcionamiento en una WLAN (Wireles LAN - red de área local)

SSID de difusión: Identificador de servicio vacío, es el equivalente a un ESSID con el


valor Any, en el cual cualquier cliente puede conectarse a la WLAN.

WEP: Protocolo de seguridad para el cifrado del tráfico WLAN

Wi-Fi: Organización que certifica la interoperabilidad de dispositivos 802.11 como un


estándar compatible y global de redes WLAN

WLAN: LAN inalámbrica

WPA: Acceso protegido Wi-FI que utiliza las características de 802.11i

802.11i: Estándar de seguridad para WLAN, combina el uso de 802.1x y protocolos de


cifrado TKIP/CCMP que ofrece autenticación de usuario (no de dispositivo),
confiabilidad e integridad de los datos.
p