Auditora Wifi

Grupo 2
Miguel del Prado Aranda Rafael Mrquez Caballero M ngeles Santos Oliva

ndice de contenido
1 Introduccin.......................................................................................................................................4 2 Introduccin terica...........................................................................................................................5
2.1 Tipos de Ataques..................................................................................................................................... 5 2.1.1 Ataques Pasivos....................................................................................................................................... 5 2.1.2 Ataques Activos........................................................................................................................................ 7 2.2 Ataques a WEP......................................................................................................................................... 8 2.2.1 Tipos de ataques a WEP............................................................................................................................8 2.2.2 Auditora de una red segn sus caractersticas....................................................................................... 12 2.3 Ataques a listas de acceso MAC............................................................................................................ 13 2.4 Ataques a WPA...................................................................................................................................... 13

3 Herramientas....................................................................................................................................15
3.1 Herramientas Para linux......................................................................................................................... 15 3.1.1 Suite aircrack-ng..................................................................................................................................... 15 3.1.2 Wlandecrypter y Wepattack ................................................................................................................19 3.2 Herramientas para windows................................................................................................................... 20 3.2.1 Cain......................................................................................................................................................... 20 3.2.2 WifiHopper..............................................................................................................................................20 3.2.3 ComView................................................................................................................................................ 20 3.2.4 Wireshark................................................................................................................................................ 20 3.2.5 NetStumbler............................................................................................................................................ 20

4 Casos prcticos................................................................................................................................ 21
4.1 Auditora de red WEP............................................................................................................................ 4.2 Red con poco trfico.............................................................................................................................. 4.3 Red con mucho trfico........................................................................................................................... 4.4 Red con filtrado MAC........................................................................................................................... 4.5 Auditora de red WPA............................................................................................................................ 21 24 25 26 26

5 Bibliografa......................................................................................................................................28

ndice de ilustraciones
Ilustracin 2.2.1.1: Ataque Arbaugh. Operacin XOR.......................................................................10 Ilustracin 3.1.1.1: Airodump-ng. Sniffer de paquetes Wireless........................................................15 Ilustracin 3.1.1.2: Aircrack-ng. Testeando posibles claves...............................................................16 Ilustracin 3.1.1.3: Airoscript-ng. Pantalla inicial..............................................................................18 Ilustracin 3.1.2.1: wlandecrypter. Ejemplo de ejecucin con datos ficticios....................................19 Ilustracin 4.1.1: Airodump,pantalla de capturas............................................................................... 22 Ilustracin 4.1.2: Airodump, significadode los campos..................................................................... 23 Ilustracin 4.1.3: Ejemplo, red cuckoo...............................................................................................23 Ilustracin 4.3.1: Obtencin de la clave WEP....................................................................................26

Pgina 3

Auditora WiFi

1 Introduccin
Desde hace a unos cuantos a!os las redes inal"bricas han #roliferado en los hogares e"#resas$ siendo de gran i"#ortancia la seguridad sobretodo en %stas &lti"as' (as tecnolog)as de co"unicaci*n inal"brica nos libran de la necesidad de utilizar nuestros dis#ositivos conectados a cables$ con la co"odidad que ello #ro#orciona' +n la actualidad casi cualquier a#arato con ca#acidad co"#utacional tiene conectividad inal"brica de alg&n ti#o$ sea ,i-.i o /luetooth' +sta libertad es$ ir*nica"ente$ ta"bi%n su #ri"er inconveniente a que$ al e"itir toda nuestra infor"aci*n 0al aire1$ en teor)a cualquiera #odr)a tener acceso a ella' Al contrario que en el caso de las redes cableadas tradicionales$ un intruso no necesita acceso f)sico a nuestro edificio u oficina #ara intentar asaltar la red interna' (as se!ales de radio que utilizan los dis#ositivos sin cables navegan con libertad absoluta a trav%s del aire$ #or lo tanto estn al alcance de cualquiera que tenga ca#acidad #ara interce#tarlas' Ade"s de todo esto$ la interce#ci*n de #aquetes de datos #ara su anlisis #asar inadvertida a que no ha "odo de saber si alguien lo est haciendo a "enos que "ani#ule los datos este"os vigilando esta contingencia' en las

A#arte de los #roble"as de seguridad que ata!en ta"bi%n a las redes convencionales de cable$ las redes inal"bricas #resentan inconvenientes adicionales debidos a su #ro#ia naturaleza in"aterial' Dado que cualquiera #uede interce#tar los #aquetes que se trans"iten a trav%s del es#ectro electro"agn%tico es necesario cifrarlos de alguna "anera #ara que los #osibles es#)as no #uedan inter#retar su significado' Con la configuraci*n #or defecto de la "a or)a de los #untos de acceso$ cualquiera #uede intentar conectarse a nuestra red si se encuentra dentro de su alcance tiene un dis#ositivo adecuado' Por ello es es#ecial"ente i"#ortante conseguir un "%todo fiable de autenticacin o restricci*n de acceso que nos asegure que s*lo los dis#ositivos o usuarios que nosotros desea"os sean ca#aces de conectarse a nuestra red sin cables' A#arte de los accesos no autorizados a nuestra infor"aci*n$ una red "al #rotegida #uede hacer que nuestros equi#os se conviertan en 0zo"bies1 #ara ataques distribuidos' +s decir$ de "anera inadvertida #ara nosotros$ alguien #udiera estar usando nuestros equi#os #ara atacar a otras redes o servidores' Si nuestras necesidades de #rotecci*n inal"bricos no autorizados' seguridad van "s all de las bsicas debe"os tener en

cuenta algunas cuestiones adicionales' +ntre %stas se encuentra la detecci*n de #untos de red

Pgina 4

Introduccin terica

2 Introduccin Terica
(a auditor)a de redes ,ifi gira en torno a dos conce#tos i"#ortantes' +l #ri"ero de ellos es conocer qu% es el modo monitor' +l "odo "onitor es un "odo de funciona"iento de la tar2eta inal"brica en el cual es ca#az de recoger todos los #aquetes que a#arecen en su radio de alcance #ero sin in ectar ninguno a la red' +l funciona"iento de una tar2eta ,3.3 traba2ando en "odo "onitor es "u si"ilar a un sniffer #ara redes 4CP53P convencionales' +l segundo se refiere a un #rotocolo' +l protocolo Address Resolution Protocol 6ARP 7 R.C89:; es usado #ara traducir una direcci*n 3P de <9-bits a una direcci*n +thernet de =8-bits 6las redes ,i.i ta"bi%n utilizan el #rotocolo ethernet;' Para ilustrarlo$ cuando un host A 6>?9'>:8'>'>; quiere co"unicarse con un host / 6>?9'>:8'>'9;$ la direcci*n 3P conocida debe ser traducida a una direcci*n MAC utilizando el #rotocolo ARP' Para hacerlo$ el host A env)a un "ensa2e broadcast conteniendo la direcci*n 3P del host /' +l host ob2etivo$ reconociendo que la direcci*n 3P en los #aquetes coincide con la su a$ devuelve una res#uesta' (a res#uesta es t)#ica"ente al"acenada en la cach%'

2.1 TIPOS

DE

ATAQUES
ataques que descubrir una red inal"brica' +stas

+l #ri"er #aso #ara asegurar una red ,(A@$ es conocer cules son las a"enazas #uede sufrir' +Aisten diferentes "%todos #ara interce#tar$ atacar a"enazas #ueden ser divididas en dos grandes gru#osB

Ataques pasivos: +l #rinci#al ob2etivo del atacante es obtener infor"aci*n' Su#onen un #ri"er #aso #ara ataques #osteriores' +2e"#los de ataques #asivos son las "onitorizaciones escuchas de la red'

Ataques activos: (os ataques activos su#onen una "odificaci*n en el flu2o de datos o la creaci*n de falsos flu2os en la trans"isi*n de datos' Pueden tener dos ob2etivos diferentesB #retender ser alguien que en realidad no se es #ara obtener infor"aci*n o cola#sar los servicios que #uede #restar la red'

2.1.1
,(A@B

Ataques Pasivos

Dentro de esta categor)a se encuentran los siguientes ataques #asivos "s eAtendidos en las redes

Espionaje/Surveillance. +l es#iona2e es la t%cnica "s si"#le a la que se #uede so"eter una red inal"brica' Consiste en observar el entorno #ara reco#ilar infor"aci*n relacionada con la to#olog)a de la red' +sta infor"aci*n se #uede e"#lear en #osteriores ataques' @o se necesita ning&n ti#o de hardCare o softCare es#ecial$ s*lo tener acceso a la instalaci*n'

Pgina 5

Auditora WiFi
Mediante el es#iona2e$ un atacante #uede obtener "ucha infor"aci*n sensible #ara utilizar en su favor$ co"o #uede ser la localizaci*n de antenas$ #untos de acceso$ etc'

Escuchas/Sniffing/Eavesdropping. (as escuchas son un ataque #asivo que tienen co"o ob2etivo final "onitorizar la red #ara ca#turar infor"aci*n #eligrosa co"o$ #or e2e"#lo la direcci*n MAC o 3P origen identificadores de usuarios$ contrase!as$ clave ,+P$ etc' (as escuchas se consideran un #aso #revio a ataques #osteriores$ co"o #uede ser la in ecci*n "odificaci*n de "ensa2es sin necesidad de descifrar claves$ SS3D$ etc'$ lo que su#one una i"#ortante fisura en cuanto a seguridad' destino$

Wardriving. +s un caso #articular del ataque anterior 6escuchas; donde individuos equi#ados con "aterial a#ro#iado 6dis#ositivo inal"brico$ antena$ softCare de rastreo c*"o se realice el rastreoB a #ie$ bicicleta$ #atines$ etc' unidad DPS; tratan de localizar en coche #untos de acceso inal"bricos' +Aisten otras "odalidades de#endiendo de

Warchalking. +s un lengua2e de s)"bolos nor"al"ente escritos con tiza en las #aredes que infor"a a los #osibles interesados de la eAistencia de una red inal"brica en ese #unto' +n general$ el con2unto de ele"entos que for"an un s)"bolo son los siguientesB

+n #ri"er lugar se identifica el no"bre del #unto de acceso o SS3D' +n segundo lugar se identifica el ti#o de red$ bien sea abierta 6sin clave de acceso; o cerrada 6con clave de acceso;'

+n &lti"o lugar se identifica la velocidad del "is"o'

De esta for"a$ cualquier transe&nte con un dis#ositivo con conectividad ,(A@ #odr hacer uso de la red gracias a la infor"aci*n ofrecida #or los s)"bolos'

Ataques de descubrimiento de contrasea. +ste ti#o de ataques tratan de descubrir la contrase!a que un usuario utiliza #ara acceder al siste"a o descubrir claves de cifrado de la infor"aci*n$ general"ente$ tras llevar a cabo una escucha reco#ilaci*n del trfico cifrado durante cierto tie"#o' Para obtener las #osibles contrase!as se utilizan #rinci#al"ente dos "%todosB

Ataques #or fuerza brutaB una herra"ienta generar co"binaciones de letras$ n&"eros s)"bolos for"ando #osibles contrase!as las #robar una a una'

Ataques de diccionarioB eAistiendo un diccionario de #alabras$ una herra"ienta intentar acceder al siste"a #robando una a una las #alabras incluidas en el diccionario'

Pgina 6

Tipos de Ataques
+stos ti#os de ataque son la base #ara el descubri"iento de claves ,+P 6,ired +quivalent Privac ; de una red ,(A@' Para ello se suelen utilizar utilidades softCare que #rueban$ a gran velocidad$ #osibles contrase!as' +l tie"#o necesario #ara co"#letar este ti#o de ataques ser funci*n del hardCare con el que se cuente 6funda"ental #ara el tie"#o e"#leado en el anlisis de la ca#tura; de la clave que se use

de la longitud

#odr oscilar entre decenas de horas

d)as'

Descubri"iento de +SS3D ocultosB Por defecto el SS3D se anuncia cada #ocos segundos "ediante /eacon .ra"es' Si se oculta es "s co"#licado saber que eAiste una red inal"brica' +sta t%cnica consiste en leer los #aquetes averiguar el SS3D$ dado que %ste va en teAto claro'

2.1.2

Ataques Activos
Puntos de acceso no autori ados/!ogue APs Si se consigue tener acceso a la instalaci*n f)sica de una red ,(A@$ %ste es uno de los ataques "s nocivos' En Rogue AP es un #unto de acceso que se conecta sin autorizaci*n a una red eAistente' +stos #untos de acceso no son gestionados #or los ad"inistradores de la red es #osible que no se a2uste a las #ol)ticas de seguridad de la red'

De esta for"a se abre una #uerta a todo ti#o de ataques indeseados$ #uesto que #er"ite a cualquiera con un ter"inal ,(A@ conectarse a la red$ vulnera todos los "ecanis"os que se basan en el cifrado de infor"aci*n entre eAtre"os 6,+P$ ,PA$ ,PA9$ etc;' +n general$ los rogue APs suelen e"itir con "s #otencia que los #untos de acceso vlidos de la red #ara que los usuarios se conecten a ellos #or defecto'

Spoofing En ataque de s#oofing consiste en su#lantar validadores$ credenciales o identificadores estticos$ es decir$ #ar"etros que #er"anecen invariables antes$ durante des#u%s de la concesi*n de un #rivilegio$ una autentificaci*n$ etc' Para reco#ilar la infor"aci*n necesaria #ara hacer la su#lantaci*n de identificadores es necesaria una fase #revia en la que se e"#lee alg&n ti#o de ataque #asivo'

"an #n $he "iddle +s un ataque basado en el s#oofing que consiste en inter#onerse entre dos siste"as' +n este ti#o de ataques$ Man 3n 4he Middle$ un atacante interce#ta selectiva"ente "odifica los datos de la co"unicaci*n #ara su#lantar la identidad de las entidades i"#licadas en la co"unicaci*n' Puede escuchar todos los "ensa2es interca"biados #or las #artes e incluso reenviarlos "odificados' (os eAtre"os no saben que no se estn co"unicando real"ente con qui%n creen'

Secuestro de sesiones/%ijacking

Pgina 7

Auditora WiFi
Fi2acGing es una a"enaza de seguridad que se vale del s#oofing$ #ero %sta consiste en to"ar una coneAi*n eAistente entre dos dis#ositivos de usuario' 4ras "onitorizar la red el atacante #uede generar trfico que #arezca venir de una de las #artes envueltas en la co"unicaci*n$ robando la sesi*n de los individuos involucrados'

&enegaci'n de servicio (&)S*/+amming (a denegaci*n de servicio no tiene co"o ob2etivo escuchar los #aquetes ni acceder a la red$ sino si"#le"ente inutilizarla #ara que otros usuarios no #uedan acceder a ella' +Aisten diferentes t%cnicas #ara realizar este ti#o de ataquesB

+nv)o de #aquetes de infor"aci*n "al confor"ados de "anera que la a#licaci*n que debe inter#retarlo no #uede hacerlo cola#sa'

3nundaci*n de la red con #aquetes ti#o 3CMP - #ing$ 4CP 7 SH@$ 3P origen igual a 3P destino$ etc' que no #er"iten que circulen los #aquetes de infor"aci*n de usuarios'

/loqueo de cuentas #or eAcesivos intentos de login fallidos' 3"#edi"ento de logueo del ad"inistrador'

2.2 ATAQUES A WEP

2.2.1
2.2.1.1

Tipos de ataques a WEP

Ataques de fuerza bruta

(os ataques de fuerza bruta consisten en recu#erar una clave #robando todas las co"binaciones #osibles hasta encontrar aquella que #er"ite el acceso' Dicho de otro "odo$ define el #rocedi"iento #or el cual a #artir del conoci"iento del algorit"o de cifrado e"#leado de un #ar teAto claro5teAto cifrado$ se realiza el cifrado 6res#ectiva"ente$ descifrado; de uno de los "ie"bros del #ar con cada una de las #osibles co"binaciones de clave$ hasta obtener el otro "ie"bro del #ar'

2.2.1.2

Ataque de diccionario

En ataque #or diccionario consiste en intentar averiguar una contrase!a #robando todas las #alabras de un diccionario' +ste ti#o de ataque suele ser "s eficiente que un ataque de fuerza bruta a que "uchos usuarios suelen utilizar una #alabra eAistente en su lengua co"o contrase!a #ara que la clave sea fcil de recordar$ lo cual no es una #rctica reco"endable' (os ataques de diccionario tienen #ocas #robabilidades de %Aito con siste"as que utilizan contrase!as fuertes con letras en "a &sculas "in&sculas "ezcladas con n&"eros con cualquier otro ti#o de s)"bolos' Sin e"bargo #ara la "a or)a de usuarios recordar contrase!as tan co"#le2as resulta co"#licado' +Aisten variantes que co"#rueban ta"bi%n algunas de las t)#icas sustituciones 6deter"inadas letras #or n&"eros$ interca"bio de dos letras$ abreviaciones; as) co"o distintas co"binaciones de "a &sculas "in&sculas'

Pgina 8

Ataques a WEP
2.2.1.3
,.,.-...-

Ataques estadsticos
/"S (/luhrer0 "antin and Shamir*
su "ala i"#le"entaci*n en el cifrado ,+P hacen que se CeaG-Ge s' .MS

Iulnerabilidades en el algorit"o RC=

#ueda derivar estad)stica"ente la clave utilizada' Fa dos versiones del .MS' .MS clsico$ #er"ite derivar la clave desde unos 8'JJJ'JJJ de #aquetes ca#turados con 3I &nicos CeaG-Ge s' avanzado que #er"ite derivar la clave desde unos 9'JJJ'JJJ de #aquetes ca#turados con &nicos

,.,.-...,

Ataques de 1orek

(a filosof)a de los ataques estad)sticos .MS ins#ira a un hacGer lla"ado KoreG que inventa la teor)a de una serie de nuevos ataques estad)sticos' +sto ocurre en el 9JJ=' +n Ma o de ese "is"o a!o$ tanto al creador de Ce#(ab co"o al creador de aircracG$ se les re"ite an*ni"a"ente el algorit"o que i"#le"enta esta serie de ataques' (a i"#le"entaci*n de estos algorit"os dan un resultado es#ectacularB clave de =J bits LM ?J'JJJ #aquetes ca#turados' Clave >98 bits LM <JJ'JJJ #aquetes ca#turados' +l total de ataques de KoreG son >N a!adiendo los clsicos avanzados'

,.,.-....

Ataque de 1lein contra WEP

una correlaci*n en RC= entre los la Ge strea" son conocidos$ es el Ge b te i' Si los Ge b tes > al i->

Andreas Klein$ un investigador ale"n$ de"ostr* que ha Ke b tes > al i->$ la Ge stre"

#osible adivinar el siguiente Ge b te con una #robabilidad de >'<:59N: lo cual es un #oco " or que >59N:' +sto #er"ite que sea #osible adivinar la su"a de los Ge b tes i hasta iOG con una #robabilidad de "as de >'9=59N:' Se trata de adivinar la su"a de los siguientes >$9$<$ ''' hasta >< Ge b tes #ara cada #aquete' Si se han ca#turado los #aquetes suficientes$ el valor adivinado un nu"ero "a or de veces #ar una su"a$ usual"ente sera el nu"ero correcto' Si no el valor correcto en la "a or)a de los casos sera uno de los "as adivinados' 4res investigadores$ +riG 4eCs$ Andrei P chGine Ralf-Phili## ,ein"ann desarrollaron un ataque que

r#ido 6basndose en el cri#toanlisis del RC= de Andreas Klein;$que traba2a con #aquetes ARP obtener la llave en "enos de 9 "inutos' (os #asos a seguir #ara a#licar este ti#o de ataque son los siguientesB >' Detectar la red ob2etivo' 9' Denerar algo de trfico <' (anzar el algorit"o' al"acenarlo en disco'

solo necesita 8N$JJJ #aquetes #ara cracGear la llave ,+P con un ?NP de #robabilidad' +sto significa

AircracG-#tC trata de encontrar la clave$ usando la idea descrita anterior"ente' Si se tienen de =J$JJJ a 8N$JJJ #aquetes$ la #robabilidad de %Aito$ estar entre el NJ el ?N #or ciento'

Pgina 9

Auditora WiFi
2.2.1.4
,.,.-.2.-

Ataques Inductivos
Ataque Arbaugh
en el

Creado #or ,illia" A' Arbaugh en 9JJ>$ se basa en las caracter)sticas lineales de CRC

hecho que el M3C es inde#endiente de la llave' +l ob2etivo es conocer #arte del teAto #lano que via2a cifrado en una tra"a$ #or e2e"#lo identificando "ensa2es 0DFCPD3SCOI+R1 del que se conocen los ca"#os' (os #asos que constitu en este ti#o de ataque son los siguientesB >' Se realiza un QOR del teAto #lano$ conocido con el c #herteAt recibido del Ge strea" #ara el 3I concreto' 9' Se genera un #aquete #ing o ARP Request de ta"a!o n-< b tes de longitud' +n el a"biente de ,+P$ los #ri"eros tres b tes de un #aquete clave$ sie"#re son conocidos' <' Se calcula el 3CI se a!ade s*lo los #ri"eros < b tes' se a!ade el &lti"o b te del 3CI #ara adivinar el siguiente se obtienen n b tes

=' Se realiza un QOR con el Ge strea" b te del Ge strea"' Se env)a

se es#era una res#uesta #robando las 9NN #osibilidades'

Ilustracin 2.2.1.1: Ataque Arbaugh. Operacin XOR

N' Re#etir hasta tener Ge strea" co"#leto 6>NJJ b tes; vlido #ara un 3I' :' (os 99= 7 > restantes Ge strea"s son "s fciles de obtener' R' Denerar #aquete broadcast #ings' Se conoce el teAto #lano de la res#uesta 3I diferente' cada vez con un

Pgina 10

Ataques a WEP
,.,.-.2., Ataque inductivo inverso. 1orek chopchop

Desarrollado #or KoreG en octubre de 9JJ=$ est basado en el ataque inductivo Arbaugh #ero efectuado de for"a inversa' Cho#-cho# a#rovecha las #ro#iedades lineales del CRC' +ste ataque$ cuando es eAitoso$ #uede desencri#tar un #aquete de datos ,+P sin necesidad de conocer la clave' 3ncluso #uede funcionar con ,+P din"ica' +ste ataque no recu#era la clave ,+P en s) "is"a$ sino que revela &nica"ente el teAto #lano' De esta for"a se #ueden conocer los suficientes datos co"o #ara elaborar un #aquete ARP #aquete ARP' rein ectarlo$ haciendo innecesaria la es#era a la ca#tura de un

,.,.-.2..

Ataque de fragmentaci'n WEP

Con este ataque$ cuando tiene %Aito$ se #uede obtener >NJJ bits de un PRDA 6Pseudo Rando" Deneration Algorith";' +ste ataque no recu#era la clave ,+P #or si "is"o$ si"#le"ente sirve #ara conseguir el PRDA' Des#u%s se #uede usar el PRDA #ara generar #aquetes' Se requiere al "enos un #aquete de datos recibido del #unto de acceso #ara #oder iniciar el ataque' /sica"ente$ el #rogra"a obtiene una #eque!a cantidad de infor"aci*n sobre la clave de un #aquete e intenta enviar un ARP 5o #aquetes ((C al #unto de acceso 6AP;' Si el #aquete es recibido contestado #or el AP de for"a satisfactoria$ entonces se #odr obtener un #oco "s de infor"aci*n sobre la clave de ese nuevo #aquete enviado #or el AP' +ste ciclo se re#ite varias veces hasta que se obtienen los >NJJ bits del PRDA'

2.2.1.5

Ataques de generacin de trfico

+l "a or #roble"a a la hora de intentar descifrar una clave ,+P a no es el tie"#o de #rocesado de claves a que con los ataques de KoreG se reduce sustancial"ente' +l "a or #roble"a es el tie"#o de ca#tura de #aquetes' +l tie"#o esti"ado en ca#turar esos <JJ'JJJ #aquetes que se necesitan #ara sacar una clave cifrada con >98 bits #uede oscilar entre >J "inutos varios d)as' 4odo de#ende del trfico de la red'

Se #uede forzar un ataque de re#etici*n #ara que el AP genere nuevos paquetes con I s !nicos' Fa que reco"#ilar a!adi%ndole ciertos #arches a los drivers de las tar2etas ,ifi #ara #oder in ectar trfico' (os #aquetes candidatos son 3CMP$ ARP algunos seg"entos 4CP'

Se suelen usar heur)sticas #ara observar qu% #aquetes reciben res#uesta' Otra for"a de hacerlo$ es identificar el #aquete ARP #or su ta"a!o' Se #ueden llegar a rein ectar los <JJ'JJJ #aquetes #ara recibir los #aquetes con nuevo 3I en unos N "inutos'

2.2.1.6

Ataques de autenticacin falsa

+l ataque de falsa autenticaci*n #er"ite realizar los dos ti#os de autenticaci*n ,+P 6abierta u 0O#en S ste"1 co"#artida o 0Shared Ke 1; asociarse con el #unto de acceso 6AP;' +sto es "u &til no ha ning&n cliente cuando se necesita una direcci*n MAC asociada #ara usarla con alg&n ataque

asociado' Se debe tener en cuenta que el ataque 0falsa autenticaci*n1 @O genera ning&n #aquete ARP'

Pgina 11

Auditora WiFi 2.2.2

2.2.2.1

Auditora de una red segn sus caractersticas

Red con mucho trfico
Snica"ente es

Si en la red a auditar se genera "ucho trfico$ el #rocedi"iento es sencillo' necesario ca#turar el trfico ro"#er el cifrado' Concreta"ente$ el #roceso a seguir es el siguienteB

so"eter los #aquetes que lo for"an a un ataque "ediante el cual se

>' #dentificar la red. es necesario deter"inar qu% red se desea auditar' +s suficiente con conocer su canal$ su /SS3D el +SS3D'

9' Poner la tarjeta en modo monitor' Con esta acci*n la tar2eta queda #re#arada #ara recoger todo el trfico que detecte o$ filtrando seg&n las o#ciones que #er"ita el #rogra"a utilizado' <' 3apturar tr4fico. el trfico a ca#turar debe "edirse en n&"ero de 3Is' +s decir$ no se considera trfico vlido #ara la auditor)a los beacons enviados #or el AP de la red seleccionada' En n&"ero adecuado de 3Is de#ender de la longitud de la #ro#ia clave ,+P que se desea obtener' =' !omper cifrado' Ena vez ca#turada una cantidad de trfico que se esti"e adecuada es el "o"ento de co"enzar lo que real"ente constitu e el ataque ,+P' +ste ataque #uede ser de diferentes ti#osB >' Ataques estad)sticos' 9' Ataques de fuerza bruta' <' Ataques de diccionario' que #ro#orcionar la clave

2.2.2.2

Red con poco trfico

Si la red so"etida a auditor)a dis#one de #oco trfico$ es necesario rein ectar alguno de los #aquetes ca#turados as) generar "s trfico' (os dos #ri"eros #asos ser)an iguales al caso de una establecer la tar2eta a "odo "onitor' A #artir red con "ucho trfico' +s decir$ se debe identificar la red de de ese "o"ento se realizan los siguientes #asos' >' Ca#turar un #aquete rein ectable$ t)#ica"ente una #etici*n ARPB ta"a!o fi2o 6:8 b tes;$ 9' Rein ectarlo "uchas veces$ al"acenando el trfico generado' <' Ro"#er el cifrado con los #aquetes ca#turados' Al igual que #ara una red con "ucho trfico$ #ueden e"#learse ataques estad)sticos$ de fuerza bruta o de diccionario'

Pgina 12

Ataques a WEP
2.2.2.3 Red sin trfico

+n este caso la red no dis#one de ning&n cliente asociado$ #or lo que no eAiste trfico en la red' Para conseguir generar trfico a no es vlido el "%todo e"#leado en una red con #oco trfico' +s necesario generar trfico 0desde cero1' +sto se consigue de la siguiente for"aB >' Realizar un ataque de autenticaci*n falsaB >' Facer creer al AP que tiene un cliente conectado$ a #esar de no ser cierto' 9' +l AP enviar trfico al cliente falso' <' +n ese trfico #uede haber tra"as rein ectables' =' Proceder de igual for"a que en una red con #oco trfico' +s decir$ rein ectar el trfico recibido desde el AP ro"#er el cifrado con los #aquetes ca#turados'

2.3 ATAQUES A LISTAS DE ACCESO MAC

Ena de las "edidas "s co"unes que se utilizan #ara securizar una red Cireless es restringir las "quinas que #odrn co"unicarse con el Punto de Acceso haciendo filtrado #or direcci*n MAC en %ste' Para esto se suele crear una tabla en el #unto de acceso que contiene todas las MACs de los clientes que estn autorizados #ara conectar' Aunque esto #ueda #arecer una "edida de seguridad efectiva$ no lo es$ ca"biar la direcci*n MAC que a#arece en los #aquetes que un cliente env)a$ spoofing%& Para llevar a cabo el ataque basta con esnifar durante un "o"ento el trfico de los clientes fi2arse en la MAC de a que es "u fcil

hacernos #asar #or uno

de los equi#os que si que tienen acceso a la red' +ste acci*n constitu e el lla"ado "Ataque #A$

cualquiera de los clientes' S*lo hace falta establecer la MAC del host auditor igual a la MAC de alguno a se habr vulnerado la restricci*n' +sto es sencillo de i"#le"entar$ #or e2e"#lo en el siste"a o#erativo (inuA se #uede realizar con el co"ando ifconfig de#endiendo del ti#o de tar2eta' 4a"bi%n eAisten otras utilidades #ara ca"biar la MAC co"o #or e2e"#lo set"ac' Fa que tener en cuenta que si ha dos "quinas en la red con la "is"a direcci*n MAC #uede haber #roble"as$ aunque general"ente en las redes Cireless esto no suele ser un #roble"a "u grave a que el Punto de Acceso no #uede distinguir que verdadera"ente ha dos "quinas con la "is"a MAC' De todas for"as$ si es #osible 0anular1 a la "quina a la que se ha 0robado1 la direcci*n MAC' Para hacer esto$ se debe i"#le"entar un ataque de Denegaci*n de Servicio'

2.4 ATAQUES A WPA

(os ataques ,PA a#rovechan la vulnerabilidad contra la clave PSK' A diferencia del ataque sobre ,+P no se #ueden usar "%todos estticos de in ecci*n #ara acelerar el #roceso$ s*lo se #ueden

Pgina 13

Auditora WiFi
utilizar t%cnicas de fuerza bruta' +sto se debe a que la clave no es esttica$ #or lo que recogiendo 3Is co"o en la encri#taci*n ,+P$ no conseguire"os obtener "s r#ida"ente la clave' (o &nico que se necesita #ara #oder iniciar un ataque es ca#turar los "ensa2es de =-,a FandshaGe entre el cliente el AP' +l handshaGe se genera en el "o"ento que el cliente se conecta a la red' (a clave #re-co"#artida tiene un ta"a!o de 8 a :< caracteres es utilizando un diccionario' +l hecho de tener que usar fuerza bruta es un inconveniente "u grande #orque se hace un uso intensivo del #rocesador del PC$ solo #uede #robar de NJ a <JJ claves #or segundo$ de#endiendo de la CPE' +l #roceso #uede llevar horas o d)as si se utiliza un diccionario grande' +Aisten herra"ientas que #er"iten calcular el tie"#o que se tarda en adivinar una clave "ediante fuerza bruta' (as t%cnicas que se utilizan #ara el cracGeo de redes ,PA o ,PA9 son las "is"as a que el "%todo de autenticaci*n es el "is"o' +ste #roceso se #uede hacer de dos for"asB activa o #asiva' De for"a activa significa que #ode"os acelerar el #roceso deautenticando a un cliente Cireless' Por el contrario$ de for"a #asiva significa que #ode"os es#erar a que un cliente Cireless se autentifique en la red ,PA5,PA9' (a venta2a de la for"a #asiva es que no necesita"os in ectar ,indoCs' (os #asos a seguir son los siguientesB >' Colocar la interface Cireless en "odo "onitor #ara que #ueda escuchar #aquete en el aire 9' Ca#turar el handshaGe$ es decir$ los = #aquetes que interca"bia un cliente con el AP en el "o"ento que se autentifica' <' Deautentificar a un cliente conectado' +ste #aso es o#cional$ sirve #ara acelerar activa"ente el #roceso' +l requisito necesario es que se encuentre asociado actual"ente alg&n cliente Cireless con el AP lo que hace es enviar un "ensa2e al cliente #ara desasociarlo con el AP' en la reautenticaci*n se generarn los +ntonces el cliente Cireless se reautenticar con el AP ca#turar cualquier #or lo tanto #odre"os utilizarla desde la &nica for"a de obtener la clave

= #aquetes de autenticaci*n que esta"os interesados en ca#turar' =' Obtener la clave #re-co"#artida$ co"#robando si las #alabras contenidas en un diccionario coinciden con la clave del handshaGe anterior'

Pgina 14

Herramientas

' (erramientas
3.1 HERRAMIENTAS PARA LINUX
3.1.1 Suite aircrack-ng

(a suite aircracG-ng es la &lti"a evoluci*n de una suite de a#licaciones #ara la auditor)a Cireless 6aircracG;' +ntre estas a#licaciones se encuentranB aircracG-ng$ airodu"#-ng$ aire#la -ng''' 4a"bi%n dis#one del scri#t Airoscri#t$ que ofrece un "ane2o "s sencillo e integrado del con2unto de a#licaciones' Airmon-ng: +ste scri#t #uede usarse #ara activar el "odo "onitor de las tar2etas Cireless' 4a"bi%n #uede usarse #ara #arar las interfaces salir del "odo "onitor' es &til #ara ir acu"ulando vectores obtener la clave ,+P' Si se dis#one

Airodump-ngB Se usa #ara ca#turar #aquetes Cireless 8J9'>> de inicializaci*n 3Is con el fin de intentar usarlos con aircracG-ng #untos de acceso que va a encontrando'

de un rece#tor DPS conectado al ordenador$ airodu"#-ng es ca#az de "ostrar las coordenadas de los

Airodu"#-ng "ostrar una lista de los #untos de acceso detectados$

ta"bi%n una lista de los

clientes conectados 60stations1;' Co"o e2e"#lo #uedes ver la siguiente ca#tura de #antallaB

Ilustracin 3.1.1.1: Airodump-ng. Sniffer de paquetes Wireless

aireplay-ng: Su funci*n #rinci#al es generar trfico #ara usarlo "s tarde con aircracG-ng cracGear claves ,+P

#oder

,PA-PSK' Se #ueden realizar cinco ataques diferentesB

Ataque 50 &eautenticaci'n. env)a #aquetes de desasociaci*n a uno o "s clientes que estn actual"ente asociados a un #unto de acceso' +s &til desasociar clientes #ara recu#erar o desvelar un +SS3D oculto$ ca#turar handshaGes ,PA5,PA9 forzando a los clientes a volverse a autenticar$ generar #eticiones ARP' +ste ataque es total"ente in&til si no eAisten clientes Cireless asociados'

Ataque -0 /alsa autenticaci'n.

Pgina 15

Auditora WiFi

Ataque ,0 Selecci'n interactiva del paquete a enviar. +ste ataque #er"ite escoger el #aquete a reenviar 6in ectar;' +ste ataque #uede obtener #aquetes #ara in ectar de 9 for"as' (a #ri"era es ca#turando #aquetes con la tar2eta Cireless' (a segunda es utilizando un archivo ca#'

Ataque .0 !ein6ecci'n de una petici'n A!P (A!P7request*. +l #rogra"a escucha hasta encontrar un #aquete ARP cuando lo encuentra lo retrans"ite hacia el #unto de acceso' +sto otra vez' Pero$ cada #aquete ARP re#etido #rovoca que el #unto de acceso tenga que re#etir el #aquete ARP con un 3I nuevo' +l #rogra"a retrans"ite el "is"o #aquete ARP una #or el AP tiene un 3I nuevo'

Ataque 28 Ataque chopchop' Ataque 98 Ataque de /ragmentaci'n. ,PA5,PA9-PSK' AircracG-ng

aircrack-ng: +s un #rogra"a cracGeador de claves 8J9'>> ,+P

#uede recu#erar la clave ,+P una vez que se han ca#turado suficientes #aquetes encri#tados con airodu"#-ng' (leva a cabo varios ti#os de ataques #ara descubrir la clave ,+P con #eque!as cantidades de #aquetes ca#turados$ co"binando ataques estad)sticos con ataques de fuerza bruta' Para cracGear claves ,PA5,PA9-PSK$ es necesario usar un diccionario'

Ilustracin 3.1.1.2: Aircrack-ng. Testeando posibles claves

M&lti#les t%cnicas se co"binan #ara cracGear la clave ,+PB

Ataques .MS Ataques KoreG .uerza bruta

Pgina 16

Herramientas Para linux

Esando una serie de #ruebas estad)sticas lla"adas .MS ataques KoreG$ se van acu"ulando

#osibilidades o votos 6votes; #ara cada b te de la clave ,+P' Cada ataque tiene un n&"ero diferente de votos asociado con %l$ #or lo que la #robabilidad de cada ataque varia "ate"tica"ente' Cuantos "s votos se tengan de un b te o valor #articular$ "a or #robabilidad ha de que sea el correcto' Para cada b te de la clave$ la #antalla "uestra el carcter "s #robable el n&"ero de votos que ha acu"ulado' (a clave que tenga el "a or n&"ero de votos es la que "s #robabilidades tiene de ser la correcta$ #ero no est garantizado' AircracG-ng #robar continua"ente de la "s #robable a la "enos #robable #ara encontrar la clave' +sta es la raz*n #or la cual cuantos "s #aquetes$ "s fcil ser #ara aircracG-ng deter"inar la clave ,+P' (a a#roAi"aci*n estad)stica #uede #or si sola dar la clave ,+P de la red' Pero la idea es que ta"bi%n se #uede co"#le"entar con la fuerza bruta #ara realizar el traba2o' AircracG-ng usa la fuerza bruta #ara deter"inar cuantas claves se han de #robar #ara intentar encontrar la clave ,+P' El fudge factor le dice a aircracG-ng hasta donde #robar claves' En fudge factor de 9$ dividir los votos del b te "s #robable$ a #robar crecer #robar todas las #osibilidades con un n&"ero de votos de al "enos la "itad de los que tiene el carcter "s #osible' Cuanto "a or sea el fudge factor$ el n&"ero de claves "a or ser el tie"#o que se est% e2ecutando aircracG-ng' Cuantos "s #aquetes de se reduzca "ucho el tie"#o necesario #ara encontrar la clave' datos se tengan$ se "ini"izar la necesidad de a#licar fuerza bruta a "uchas claves$ lo que hace que no traba2e tanto tie"#o la CPE

(as t%cnicas "encionadas hasta ahora no funcionan #ara claves WPA)WPA2 pre*s+ared' (a &nica for"a de cracGear estas claves #re-co"#artidas 6#re-shared; es a trav%s de un ataque de diccionario' +sta ca#acidad est ta"bi%n incluida en aircracG-ng' Esando un diccionario con una lista de #alabras$ aircracG-ng du#lica los cuatro #aquetes handshaGe #ara "irar si ha alguna #alabra en el diccionario que coincida con el resultado de los cuatro #aquetes handshaGe' Si lo consigue$ se habr identificado de for"a satisfactoria la clave #re-co"#artida' Fa que resaltar que este #rogra"a hace un uso "u intensivo del #rocesador del ordenador$ buen diccionario dar "e2ores resultados' +l uso de aircracG viene deter"inado #or el siguiente co"andoB
aircrack-ng [opciones] <archivo(s) de captura>

que

en la #rctica claves ,PA #re-co"#artidas "u largas o inusuales no #odrn ser encontradas ' En

o #or
aircrack-pwt [opciones] <archivos (s) de captura>

de#endiendo del algorit"o de desencri#taci*n a usar Se #uede e2ecutar airodu"#-ng aircracG-ng al "is"o tie"#oB aircracG-ng se actualizar de for"a

auto"tica cuando est%n dis#onibles nuevos 3Is'

Pgina 17

Auditora WiFi
Packetforge-ng:+l #ro#*sito de #acGetforge-ng es crear #aquetes encri#tados #ara #oder in ectarlos con #osterioridad' Se #ueden crear varios ti#os de #aquetes co"o 0ARP requests1$ EDP$ 3CMP o #aquetes hechos a la "edida' +l uso "s co"&n es crear #aquetes 0ARP requests1 #ara ser in ectados' Para crear un #aquete encri#tado$ es necesario tener un archivo PRDA 6#seudo rando" genration algorith";' +ste archivo se usa #ara encri#tar el #aquete que va"os a crear ng cho#cho# o con el ataque de frag"entaci*n' Airdecap-ng: desencri#ta archivos ca#turados que tengan encri#taci*n ,+P5,PA5,PA9' 4a"bi%n #uede ser usado #ara ver la cabecera de una ca#tura Cireless sin encri#taci*n' Airoscript-ng: +s un scri#t #ara #oder usar el aircracG de "anera sencilla infinidad de co"andos en consola' sin tener que "eter se obtiene con aire#la -

Ilustracin 3.1.1.3: Airoscript-ng. Pantalla inicial

Airdriver-ng. Airdriver-ng es un 0scri#t1 que #ro#orciona infor"aci*n acerca de los drivers Cireless del siste"a$ con la #osibilidad de cargar o descargar los drivers' Ade"s$ airdriver-ng #er"ite instalar desinstalar drivers co"#leta"ente con los #arches requeridos #ara "odo "onitor e in ecci*n' Adicional"ente ta"bi%n tiene algunas otras funciones' Airolib-ng. utilidad de la suite aircracG-ng #ara al"acenar calcular su 0PairCise Master Ke s1 6PMKs; "a or)a de las #latafor"as' "ane2ar listas de essid contrase!as$

usarlas #ara cracGear ,PA5,PA9' +l #rogra"a usa la

base de datos de #oco #eso 0ST(ite<1 co"o "ecanis"o al"acenador que est dis#onible #ara la

Pgina 18

Herramientas Para linux

Airserv-ng. Airserv-ng es un servidor #ara tar2etas Cireless que #er"ite "&lti#les a#licaciones usar #rogra"as Cireless inde#endiente"ente de la tar2eta 4CP cliente-servidor' 4odos los siste"as o#erativos los datos de la tar2eta del driver$ a trav%s de una coneAi*n de red drivers de las tar2etas Cireless estn

incor#orados dentro del servidor' +sto eli"ina la necesidad de que cada a#licaci*n Cireless contenga del driver' 4a"bi%n so#orta "&lti#les siste"as o#erativos' Cuando se inicia el en un n&"ero de #uerto 4CP es#ec)ficos #or las coneAiones de los el servidor$ escucha en una 3P

clientes' (a a#licaci*n Cireless entonces se co"unica con el servidor a trav%s de la direcci*n 3P

n&"ero de #uerto' Cuando use"os la suite aircracG-ng$ es#ecificare"os 1Udirecci*n 3P del servidorM dos #untos Un&"ero de #uertoM1 en lugar del no"bre de la interfaz' En e2e"#lo #uede ser >9R'J'J'>B:::' +sto #er"ite interesantes #osibilidadesB Wesside-ng. ,esside-ng es una utilidad 0auto-"gica1 que incor#ora todas las t%cnicas #ara obtener fcil"ente una clave ,+P en #ocos "inutos' Pri"ero identifica una red Cireless$ seguida"ente #rocede a asociarse a la "is"a$ obtiene un PRDA 6#seudo rando" generation algorith"; Aor data$ deter"ina el rango de 3Ps de la red$ rein ecta una res#uesta ARP deter"ina la clave ,+P' 4odo esto lo hace sin ninguna intervenci*n #or tu #arte' final"ente

3.1.2

Wlandecrypter y Wepattack

+l aire est viciado de redes del ti#o ,(A@VQQ donde QQ son dos cifras del &lti"o b te F+Q de la MAC de la interfaz ,A@ del router' +ste ti#o de claves ,+P se generan de la siguiente "aneraB

(a #ri"era letra es la #ri"era letra de la "arca del router 6Co"trend$ W Ael$ Qavi$ '''; MAC de la interfaz ,A@ del router ' QQ son los dos &lti"os d)gitos de esa MAC ,A@' Co"o estn relacionadas las intefaces ,A@ ,(A@ a que las hacen los "is"os fabricantes$

sabiendo la MAC ,(A@ se conocen los tres #ri"eros bloques de la interfaz ,A@' 4an solo se necesita un #rogra"a que genere las variaciones de las claves en los >98 bits' +sta "isi*n la cu"#le la herra"ienta Clandecr #ter' 4eniendo el +SS3D claves' el /SS3D se #ueden generar las

Ilustracin 3.1.2.1: wlandecrypter. Ejemplo de ejecucin con datos ficticios

Pgina 19

Auditora WiFi
En e2e"#lo de uso de estas dos herra"ientas ser)a el siguienteB Clandecr #ter JJB>:B<8BCNB<NB>. ,(A@V>9 X Ce#attacG -f test>'ca# +n el que Clandecr #ter #ro#orciona el listado de claves #ara Ce#attacG$ quien a su vez seleccionar una de las claves ofrecidas' +sta selecci*n se realiza teniendo en cuenta los #aquete ca#turados durante el #roceso de escucha de trfico en la red'

3.2 HERRAMIENTAS PARA WINDOWS

3.2.1 Cain
Cain se #uede utilizar co"o herra"ienta #ara ro"#er los hashes de autenticaci*n ,PA$

a que #er"ite el uso de diccionarios a los que se les #uede a#licar diferentes :manipulaciones; #ara cada t%r"ino$ o utilizar fuerza bruta$ eligiendo los 2uegos de caracteres a utilizar' Co"o inconveniente #rinci#al ha que destacar que no es ca#az de a#rovechar los siste"as con "&lti#les n&cleos de #rocesa"iento$ lo que sit&a el rendi"iento que se obtiene con esta herra"ienta bastante le2os de otras soluciones' 3.2.2 WifiHopper
canal clientes conectados'

Per"ite descubrir SS3DYs$ ti#o de red$ ti#o de encri#taci*n$ frecuencia

3.2.3
#aquetes Io3P'

ComView
analizador de redes inal"bricas 8J9'>> a5b5g5n' Ca#tura obtiene #untos de acceso estad)sticas de diferentes ti#os' Ade"s inclu e un "*dulo de

Co""IieC es un #oderoso "onitor

3.2.4

Wireshark
analiza el trfico en un "o"ento deter"inado #er"ite obtener detallada"ente la

,iresharG es una herra"ieta "ulti#latafor"a de anlisis de red$ #roducto de la evoluci*n de +thereal' 3dentifica infor"aci*n del #rotocolo utilizado en el #aquete ca#turado'

3.2.5

NetStumbler

+s un sniffer$ #er"ite localizar redes inal"bricas detectables en el entorno en el que nos encontre"os e ir "idiendo intensidades de se!al a "edida que nos "ove"os$ #or lo que nos #er"ite encontrar su fuente de origen en #oco tie"#o' Otros e2e"#los de sniffer #ara ,indoCs sonB Airo#eeG$ Kis"et Air(ine'

Pgina 20

Casos prcticos

, $asos Pr-cticos
Para realizar los casos #rcticos he"os utilizado una distribuci*n de linuA lla"ada CifislaA' (a distribuci*n de #uede descargar desde htt#B55CCC'CifislaA'co"5 ,ifislaA esta basado en la distribuci*n SlacGCare (inuA' (as venta2as de util3zar "uchas$ #or e2e"#loB

CifislaA son

,ifislaA es un CD de arranque que contiene al siste"a o#erativo (inuA' Puede hacer correr (inuA directa"ente desde el CDROM sin instalaci*n'

Su #rinci#al ob2etivo es au"entar el reconoci"iento de la "a or)a de las tar2etas inal"bricas' @o eAiste ninguna otra live CD que integre los drivers i#C99JJ$ los rtR< de las nuevas tar2eta ES/ con chi#set ralinG$ las nuevas PC3 con el chi#set rt:>$ as) co"o los acA coneAi*n de auditoria$ sin olvidar los novedosos z das zd>9>>rC los i#C<?=N de co"o no los rtl8>8R de

ulti"a generaci*n$ ade"s de los drivers de toda la vida #ara el entorno de seguridad Cireless$ "adCifi-ng$ realteG$ etc'

Contiene #arches #ara la aceleraci*n o rei enci*n de trafico' Contiene herra"ientas traducidas al es#a!ol que son "u i"#ortantes #ara la auditor)a

Cireless$ co"o #or e2e"#lo el airoscri#t$ reco"endable #ara los reci%n llegados' 4a"bi%n incor#ora una serie de lanzadores grficos #ar facilitar el traba2o'

4.1 AUDITORA DE RED WEP

>' Antes de e"#ezar a ca#turar trfico$ lo #ri"ero ser #oner nuestra tar2eta de red inal"brica en "odo Monitor' Para ello utilizare"os el scri#t de Air"on-ng' (a sintaAis ser la siguienteB airmon*ng .start)stop/ .dispositivo/ dondeB startB #ara activar el "odo "onitor' sto#B #ara #arar el "odo "onitor' dis#ositivoB nuestra tar2eta 6athJ$ ethJ$ raCJ'''''; Para saber cual es la interfaz correcta$ e2ecuta"os el co"ando iCconfig$ la interfaz que no

"uestre 0no Cireless eAtension1$ ser la correcta' +n nuestro caso el co"ando serB airmon*ng start et+1 9' Posterior"ente utiliza"os Airodu"#-ng' Se usa #ara ca#turar datos tras"itidos a trav%s del #rotocolo 8J9'>> en #articular #ara la ca#tura recolecci*n de 3Is 6vectores iniciales; de los #aquetes ,+P con la intenci*n de usar aircracG-ng' (a sintaAis serB

Pgina 21

Auditora WiFi
airodump*ng 0opcione1s23 .dispositivo/ OPC3O@+SB --ivsB Ca#tura solo ivs --Crite Uno"bre del archivo a guardarM Bcrea un archivo del no"bre que le halla"os #uestos con la eAtensi*n6'ca# * 'ivs; e"#ieza a ca#turar' -CB es lo "is"o que #oner Crite --beaconsB Duarda los beacons$ #or defecto no los guarda' --channel BCa#tura el canal es#ecificado --cB (o "is"o que escribir channel -aB Ca#tura en la frecuencia de NDhz es#ecifica del canal a --abgB Ca#tura tanto en frecuencias de 9$=Dhz co"o en N Dhz +n nuestro caso el co"ando serB airodu"#-ng --C ca#turas eth> +sto nos ca#turar #aquetes en el dis#ositivo que le es#ecifique"os 6en nuestro caso eth>$ vosotros deber%is es#ecificar el vuestro;$ ca#turas'ca#' 4 $u-l es el significado de los campos mostrados por airodump 5 Airodu"#-ng "ostrar una lista con los #untos de acceso detectados$ clientes conectados o estaciones 6ZstationsZ;' ta"bi%n una lista de los guardar en el fichero con el no"bre

Ilustracin 4.1.1: Airodump,pantalla de capturas

Pgina 22

Auditora de red WEP

Ilustracin 4.1.2: Airodump, significadode los campos

Des#u%s de tener claro la red v)cti"a de nuestro ataque$ debere"os filtrar la ca#tura de #aquetes s*lo #ara esa red' (a sintaAis del co"ando serB airodump*ng *c .canal/ **6ssid .#A$7AP/ *8 .fic+ero7salida/ .interfaz/ SiendoB UMACVAPM la MAC del AP ob2etivo UcanalM el canal en el que esta Por e2e"#lo$

Ilustracin 4.1.3: Ejemplo, red cuckoo Pgina 23

Auditora WiFi
+n este caso$ #ara ca#turar sola"ente los #aquetes de la red [cucGoo[$ el co"ando serB airodump*ng *c 9 **6ssid ::::9:2;:'<:9,::= *8 fic+ero et+1 Pode"os encontrarnos con alg&n #roble"a co"o #uede ser que la +SS3D 6no"bre de la red; no a#arezca #ara ello debe"os realizar una disociaci*n de #aquetes hace #ara sacar el +SS3D escondidoB airepla> *: 1 *a ??:??:??:??:??:?? *c @@:@@:@@:@@:@@:@@ Donde QQBQQBQQBQQBQQBQQ ser la MAC del AP victi"a e HHBHHBHHBHHBHHBHH

corres#onde a la MAC de un cliente conectado al Punto de Acceso'

4.2 RED CON POCO TRFICO

1& AIB $CIDBTDA AAE$IAFEA Cuando no eAista ning&n cliente asociado al AP v)cti"a$ debe"os crear un cliente virtual #ara #oder in ectar trfico a la red a trav%s de este cliente' Ena vez ha a"os co"enzado a ca#turar trfico$ abri"os otro ter"inal serB aire#la -ng -> J -e Uno"breAPM -a UMACVAPM -h UMACVinterfazM UinterfazM SiendoB UMACVinterfazM la MAC de nuestra tar2eta de red Uno"breAPM la +SS3D del AP ob2etivo UMACVAPM la MAC del AP Por e2e"#lo$ si quere"os asociar un cliente a la red anterior con no"bre [cucGoo[ debe"os e2ecutar el co"andoB airepla>*ng *1 : *e cucGoo *a ::::9:2;:'<:9,:== *+ :::11:22:'':,,:;; et+1 Si todo ha ido bien$ debern a#arecer los siguientes "ensa2esB 12:1,::9 Aending Aut+entication Request 12:1,::9 Aut+entication successful 12:1,::9 Aending Association Request 12:1,::H Association successful 2& $EB $CIDBTDA AAE$IAFEA Cuando eAistan clientes asociados$ no ser necesario realizar nada$ si"#le"ente #asare"os al #aso < donde se realiza la in ecci*n' utiliza"os el aire#la -ng' (a sintaAis del co"ando

Pgina 24

Red con poco trfico

<' +l clsico ataque de rein ecci*n de #etici*n ARP es el "as efectivo #ara generar nuevos 3Is$ funciona de for"a "u eficaz' @ecesitas o bien la direcci*n MAC de un cliente asociado$ o bien la de un cliente falso' Puede que tengas que es#erar un #ar de "inutos$ o incluso "s$ hasta que a#arezca una #etici*n ARP\ este ataque fallar si no ha trfico' (a sintaAis del co"ando serB aire#la -ng -< -b UMACVAPM -h UMACVinterfazM UinterfazM DondeB UMACVinterfazM la MAC del cliente$ verdadero o falso UMACVAPM la MAC del AP +n nuestro caso$ con la red cucGoo el cliente asociado$ el co"ado ser:

airepla>*ng *' *6 ::::9:2;:'<:9,:== *+ :::11:22:'':,,:;; et+1 Aaving ARP requests in repla>7arp*:92H*121;29&cap @ou must also start airodump to capture replies& Read 2,=' pacGets 1got 1 ARP requests2I sent 1':; pacGets&&&

4.3 RED CON MUCHO TRFICO

@o har falta realizar ning&n ti#o de rein enci*n de trfico$ si"#le"ente debe"os tener #aciencia #ara ca#turar un nu"ero suficiente de #aquetes' >' +n cuanto tenga"os unos cuantos #aquetes ca#turados 68JG->JJG seg&n cada uno]; #ode"os #oner a traba2ar a aircracG-ng #ara obtener la clave' Para ello$ abri"os otra consola escribi"osB aircracG*ng *z *6 .#A$7AP/ .fic+ero7salida/J&cap DondeB UficheroVsalidaMlos ficheros con la caturas' Etiliza"os el ^ #ara utilizar todos' UMACVAPM la MAC del AP victi"a +n nuestro caso serB aircracG*ng *z *6 ::::9:2;:'<:9,::= J&cap Si todo va bien$ tendre"os la clave$ tanto en FeAadeci"al co"o en ASC33'

Pgina 25

Auditora WiFi

Ilustracin 4.3.1: Obtencin de la clave WEP

4.4 RED CON FILTRADO MAC

>' Antes de co"enzar a ca#turar #aquetes$ debe"os saber que clientes estn asociados con el AP v)cti"a$ #ara ello e2ecuta"os el co"ando$ eA#licado anterior"ente B airodump*ng *c .canal/ **6ssid .#A$7AP/ .interfaz/ 9' +n el caso de que eAista alg&n cliente asociado$ debe"os ca"biar la MAC de nuestra tar2eta de red #or la del cliente asociado' H en el caso de que no eAista ning&n cliente asociado$ la nueva MAC de nuestra tar2eta ser la MAC del AP v)cti"a' (os co"ando sern los siguientesB airmon*ng stop .interfaz/ macc+anger *m .#A$7nueva/ .interfaz/ airmon*ng start .interfaz/ .canal/ Donde UMACVnuevaM ser la nueva MAC de nuesta tar2eta <' Des#u%s de ca"biar nuestra MAC $ realiza"os los #asos eA#licados anterior"ente'

Poner en "odo "onitor nuestra tar2eta' Ca#turar trafico' 3n ectar si es necesario' Etilizar el aircracG cuando tenga"os un nu"ero de 3I[s suficientes'

4.5 AUDITORA DE RED WPA

>' Co"enzare"os #oniendo la tar2eta en "odo "onitor con el co"ando air"on-ng' airmon*ng .start)stop/ .dispositivo/ 9' Continua"os con la ca#tura de #aquetes' +n este caso debe"os es#erar a ca#turar el

Pgina 26

Auditora de red WPA

FA@DSFAK+ de la red$ que es donde se encuentra la clave' airodump*ng *c .canal/ **6ssid .#A$7AP/ *8 .fic+ero7salida/ .interfaz/ <' +l FA@DSFAK+ se envi a un cliente cuando %ste intenta conectarse a la red #or #ri"era vez' Si "ientras esta"os ca#turando #aquetes$ se conecta un cliente$ el FA@DSFAK+ ser ca#turado conectarse no debere"os hacer nada' Sin e"bargo$ en el caso de que eAista alg&n cliente as) #oder ca#turar el FA@DSFAK+' (a sintaAis del co"ando serB airepla>*ng *: 1 *a .#A$7AP/ *c .#A$7$liente/ .interfaz/ +n nuestro caso$ con la red cucGoo$ abri"os otra consola escribi"osB asociado$ debe"os "andar una solicitud de desautentificaci*n #ara que %ste vuelva a

airepla>*ng *: 1 *a ::::9:2;:'<:9,:== *c ::::<:'F:;H:<F:$: et+1 =' Des#ues de ca#turar el FA@DSFAK+ #ode"os #oner en "archa el aircraG' aircracG*ng *a 2 *8 pass8ord&lst *6 .#A$7AP/ .fic+ero7salida/J&cap Donde #assCord'lst es el no"bre del archivo de un #eque!o diccionario' Si tienes suerte la #ass esta dentro del diccionario que has usado$ enhorabuena$ obtendras finaliza el diccionario te saldra un +(. o algo #arecido que

un bonito K+H .OE@D$ si no esta$

indica el .inal del diccionario sin resultados encontrados 6sin K+H .OE@D;'

Pgina 27

Auditora WiFi

; $onclusiones
+ste art)culo$ co"ienza con una #eque!a introducci*n te*rica$ en el que se eA#lican #eque!os conce#tos #ara #er"itir al lector una "a or co"#resi*n de este tutorial' Posterior"ente se han eAa"inado algunas de las vulnerabilidades de ,+P ataque$ la "etodolog)a encri#taci*n ,+P ,PA$ #ro#orcionando los distintos "%todos de las distintas herra"ientas #ara la auditor)a de redes inal"bricas con

,PA$ co"o ta"bi%n$ con filtrado MAC'

+n los casos #rcticos$ se ha de"ostrado que$ aunque el "%todo #ara ro"#er la ,PA-PSK no es trivial$ el "%todo #ara ro"#er la clave ,+P es bastante si"#le sencillo$ que cualquier #ersona sin conoci"ientos #revios #odr)a realizar con %Aito' Por ello$ se reco"ienda los usuarios do"%sticos que #ara reducir sus riesgos de seguridad hagan uso de contrase!as "a ores de 9J caracteres o$ alternativa"ente$ "ediante el uso de ,PA-+"#resa la incor#oraci*n de un servidor de autenticaci*n'

+l %Aito de nuestros ataques de#endern en gran "edida$ del chi#set de nuestra tar2eta de red inal"brica$ de la ignorancia #or #arte del ad"inistrador de la red atacada tenga"os' de la suerte que

Pgina 28

Bibliografa

9 Ki6liografa

htt#B55CCC'slideshare'net5tAi#i5seguridad-en-redes-Cifi htt#B55#rog-as"'blogs#ot'co"59JJ85J95hacG-Cifi-en-CindoCs'ht"l htt#B55CCC'#edroescribano'co"5docs5CracGearVredesV,+P'#df htt#B55CCC'e-ghost'deusto'es5docs59JJN5conferencias5CA,e#(ab'#df htt#B55foro'elhacGer'net5hacGingVCireless5vulnerabilidadesVdelVcifradoVCe#tN=??9'J'ht"l\"sgNRR9=?

htt#sB55CCC'tl"'unavarra'es5investigacion5se"inarios5slides59JJR>>>:VanaVCe#'#df htt#B55CCC'scribd'co"5doc5::R?<=J5FaGin?-,ifi-+S htt#B55"iAelandia'co"59JJR5JN5adios-en->9J-segundos-cracGeando-la'#h# htt#B55hCag"'elhacGer'net5ht"5aircracG-ng'ht" htt#B55CCC'dacostabalboa'co"5es5aircracG-aircracG-ng-consegir-clave-Ci-fi5>J= htt#B55CCC'CifislaA'co"5

Pgina 29