Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Grupo 2
Miguel del Prado Aranda Rafael Mrquez Caballero M ngeles Santos Oliva
ndice de contenido
1 Introduccin.......................................................................................................................................4 2 Introduccin terica...........................................................................................................................5
2.1 Tipos de Ataques..................................................................................................................................... 5 2.1.1 Ataques Pasivos....................................................................................................................................... 5 2.1.2 Ataques Activos........................................................................................................................................ 7 2.2 Ataques a WEP......................................................................................................................................... 8 2.2.1 Tipos de ataques a WEP............................................................................................................................8 2.2.2 Auditora de una red segn sus caractersticas....................................................................................... 12 2.3 Ataques a listas de acceso MAC............................................................................................................ 13 2.4 Ataques a WPA...................................................................................................................................... 13
3 Herramientas....................................................................................................................................15
3.1 Herramientas Para linux......................................................................................................................... 15 3.1.1 Suite aircrack-ng..................................................................................................................................... 15 3.1.2 Wlandecrypter y Wepattack ................................................................................................................19 3.2 Herramientas para windows................................................................................................................... 20 3.2.1 Cain......................................................................................................................................................... 20 3.2.2 WifiHopper..............................................................................................................................................20 3.2.3 ComView................................................................................................................................................ 20 3.2.4 Wireshark................................................................................................................................................ 20 3.2.5 NetStumbler............................................................................................................................................ 20
4 Casos prcticos................................................................................................................................ 21
4.1 Auditora de red WEP............................................................................................................................ 4.2 Red con poco trfico.............................................................................................................................. 4.3 Red con mucho trfico........................................................................................................................... 4.4 Red con filtrado MAC........................................................................................................................... 4.5 Auditora de red WPA............................................................................................................................ 21 24 25 26 26
5 Bibliografa......................................................................................................................................28
ndice de ilustraciones
Ilustracin 2.2.1.1: Ataque Arbaugh. Operacin XOR.......................................................................10 Ilustracin 3.1.1.1: Airodump-ng. Sniffer de paquetes Wireless........................................................15 Ilustracin 3.1.1.2: Aircrack-ng. Testeando posibles claves...............................................................16 Ilustracin 3.1.1.3: Airoscript-ng. Pantalla inicial..............................................................................18 Ilustracin 3.1.2.1: wlandecrypter. Ejemplo de ejecucin con datos ficticios....................................19 Ilustracin 4.1.1: Airodump,pantalla de capturas............................................................................... 22 Ilustracin 4.1.2: Airodump, significadode los campos..................................................................... 23 Ilustracin 4.1.3: Ejemplo, red cuckoo...............................................................................................23 Ilustracin 4.3.1: Obtencin de la clave WEP....................................................................................26
Pgina 3
Auditora WiFi
1 Introduccin
Desde hace a unos cuantos a!os las redes inal"bricas han #roliferado en los hogares e"#resas$ siendo de gran i"#ortancia la seguridad sobretodo en %stas <i"as' (as tecnolog)as de co"unicaci*n inal"brica nos libran de la necesidad de utilizar nuestros dis#ositivos conectados a cables$ con la co"odidad que ello #ro#orciona' +n la actualidad casi cualquier a#arato con ca#acidad co"#utacional tiene conectividad inal"brica de alg&n ti#o$ sea ,i-.i o /luetooth' +sta libertad es$ ir*nica"ente$ ta"bi%n su #ri"er inconveniente a que$ al e"itir toda nuestra infor"aci*n 0al aire1$ en teor)a cualquiera #odr)a tener acceso a ella' Al contrario que en el caso de las redes cableadas tradicionales$ un intruso no necesita acceso f)sico a nuestro edificio u oficina #ara intentar asaltar la red interna' (as se!ales de radio que utilizan los dis#ositivos sin cables navegan con libertad absoluta a trav%s del aire$ #or lo tanto estn al alcance de cualquiera que tenga ca#acidad #ara interce#tarlas' Ade"s de todo esto$ la interce#ci*n de #aquetes de datos #ara su anlisis #asar inadvertida a que no ha "odo de saber si alguien lo est haciendo a "enos que "ani#ule los datos este"os vigilando esta contingencia' en las
A#arte de los #roble"as de seguridad que ata!en ta"bi%n a las redes convencionales de cable$ las redes inal"bricas #resentan inconvenientes adicionales debidos a su #ro#ia naturaleza in"aterial' Dado que cualquiera #uede interce#tar los #aquetes que se trans"iten a trav%s del es#ectro electro"agn%tico es necesario cifrarlos de alguna "anera #ara que los #osibles es#)as no #uedan inter#retar su significado' Con la configuraci*n #or defecto de la "a or)a de los #untos de acceso$ cualquiera #uede intentar conectarse a nuestra red si se encuentra dentro de su alcance tiene un dis#ositivo adecuado' Por ello es es#ecial"ente i"#ortante conseguir un "%todo fiable de autenticacin o restricci*n de acceso que nos asegure que s*lo los dis#ositivos o usuarios que nosotros desea"os sean ca#aces de conectarse a nuestra red sin cables' A#arte de los accesos no autorizados a nuestra infor"aci*n$ una red "al #rotegida #uede hacer que nuestros equi#os se conviertan en 0zo"bies1 #ara ataques distribuidos' +s decir$ de "anera inadvertida #ara nosotros$ alguien #udiera estar usando nuestros equi#os #ara atacar a otras redes o servidores' Si nuestras necesidades de #rotecci*n inal"bricos no autorizados' seguridad van "s all de las bsicas debe"os tener en
cuenta algunas cuestiones adicionales' +ntre %stas se encuentra la detecci*n de #untos de red
Pgina 4
Introduccin terica
2 Introduccin Terica
(a auditor)a de redes ,ifi gira en torno a dos conce#tos i"#ortantes' +l #ri"ero de ellos es conocer qu% es el modo monitor' +l "odo "onitor es un "odo de funciona"iento de la tar2eta inal"brica en el cual es ca#az de recoger todos los #aquetes que a#arecen en su radio de alcance #ero sin in ectar ninguno a la red' +l funciona"iento de una tar2eta ,3.3 traba2ando en "odo "onitor es "u si"ilar a un sniffer #ara redes 4CP53P convencionales' +l segundo se refiere a un #rotocolo' +l protocolo Address Resolution Protocol 6ARP 7 R.C89:; es usado #ara traducir una direcci*n 3P de <9-bits a una direcci*n +thernet de =8-bits 6las redes ,i.i ta"bi%n utilizan el #rotocolo ethernet;' Para ilustrarlo$ cuando un host A 6>?9'>:8'>'>; quiere co"unicarse con un host / 6>?9'>:8'>'9;$ la direcci*n 3P conocida debe ser traducida a una direcci*n MAC utilizando el #rotocolo ARP' Para hacerlo$ el host A env)a un "ensa2e broadcast conteniendo la direcci*n 3P del host /' +l host ob2etivo$ reconociendo que la direcci*n 3P en los #aquetes coincide con la su a$ devuelve una res#uesta' (a res#uesta es t)#ica"ente al"acenada en la cach%'
2.1 TIPOS
DE
ATAQUES
ataques que descubrir una red inal"brica' +stas
+l #ri"er #aso #ara asegurar una red ,(A@$ es conocer cules son las a"enazas #uede sufrir' +Aisten diferentes "%todos #ara interce#tar$ atacar a"enazas #ueden ser divididas en dos grandes gru#osB
Ataques pasivos: +l #rinci#al ob2etivo del atacante es obtener infor"aci*n' Su#onen un #ri"er #aso #ara ataques #osteriores' +2e"#los de ataques #asivos son las "onitorizaciones escuchas de la red'
Ataques activos: (os ataques activos su#onen una "odificaci*n en el flu2o de datos o la creaci*n de falsos flu2os en la trans"isi*n de datos' Pueden tener dos ob2etivos diferentesB #retender ser alguien que en realidad no se es #ara obtener infor"aci*n o cola#sar los servicios que #uede #restar la red'
2.1.1
,(A@B
Ataques Pasivos
Dentro de esta categor)a se encuentran los siguientes ataques #asivos "s eAtendidos en las redes
Espionaje/Surveillance. +l es#iona2e es la t%cnica "s si"#le a la que se #uede so"eter una red inal"brica' Consiste en observar el entorno #ara reco#ilar infor"aci*n relacionada con la to#olog)a de la red' +sta infor"aci*n se #uede e"#lear en #osteriores ataques' @o se necesita ning&n ti#o de hardCare o softCare es#ecial$ s*lo tener acceso a la instalaci*n'
Pgina 5
Auditora WiFi
Mediante el es#iona2e$ un atacante #uede obtener "ucha infor"aci*n sensible #ara utilizar en su favor$ co"o #uede ser la localizaci*n de antenas$ #untos de acceso$ etc'
Escuchas/Sniffing/Eavesdropping. (as escuchas son un ataque #asivo que tienen co"o ob2etivo final "onitorizar la red #ara ca#turar infor"aci*n #eligrosa co"o$ #or e2e"#lo la direcci*n MAC o 3P origen identificadores de usuarios$ contrase!as$ clave ,+P$ etc' (as escuchas se consideran un #aso #revio a ataques #osteriores$ co"o #uede ser la in ecci*n "odificaci*n de "ensa2es sin necesidad de descifrar claves$ SS3D$ etc'$ lo que su#one una i"#ortante fisura en cuanto a seguridad' destino$
Wardriving. +s un caso #articular del ataque anterior 6escuchas; donde individuos equi#ados con "aterial a#ro#iado 6dis#ositivo inal"brico$ antena$ softCare de rastreo c*"o se realice el rastreoB a #ie$ bicicleta$ #atines$ etc' unidad DPS; tratan de localizar en coche #untos de acceso inal"bricos' +Aisten otras "odalidades de#endiendo de
Warchalking. +s un lengua2e de s)"bolos nor"al"ente escritos con tiza en las #aredes que infor"a a los #osibles interesados de la eAistencia de una red inal"brica en ese #unto' +n general$ el con2unto de ele"entos que for"an un s)"bolo son los siguientesB
+n #ri"er lugar se identifica el no"bre del #unto de acceso o SS3D' +n segundo lugar se identifica el ti#o de red$ bien sea abierta 6sin clave de acceso; o cerrada 6con clave de acceso;'
De esta for"a$ cualquier transe&nte con un dis#ositivo con conectividad ,(A@ #odr hacer uso de la red gracias a la infor"aci*n ofrecida #or los s)"bolos'
Ataques de descubrimiento de contrasea. +ste ti#o de ataques tratan de descubrir la contrase!a que un usuario utiliza #ara acceder al siste"a o descubrir claves de cifrado de la infor"aci*n$ general"ente$ tras llevar a cabo una escucha reco#ilaci*n del trfico cifrado durante cierto tie"#o' Para obtener las #osibles contrase!as se utilizan #rinci#al"ente dos "%todosB
Ataques #or fuerza brutaB una herra"ienta generar co"binaciones de letras$ n&"eros s)"bolos for"ando #osibles contrase!as las #robar una a una'
Ataques de diccionarioB eAistiendo un diccionario de #alabras$ una herra"ienta intentar acceder al siste"a #robando una a una las #alabras incluidas en el diccionario'
Pgina 6
Tipos de Ataques
+stos ti#os de ataque son la base #ara el descubri"iento de claves ,+P 6,ired +quivalent Privac ; de una red ,(A@' Para ello se suelen utilizar utilidades softCare que #rueban$ a gran velocidad$ #osibles contrase!as' +l tie"#o necesario #ara co"#letar este ti#o de ataques ser funci*n del hardCare con el que se cuente 6funda"ental #ara el tie"#o e"#leado en el anlisis de la ca#tura; de la clave que se use
de la longitud
d)as'
Descubri"iento de +SS3D ocultosB Por defecto el SS3D se anuncia cada #ocos segundos "ediante /eacon .ra"es' Si se oculta es "s co"#licado saber que eAiste una red inal"brica' +sta t%cnica consiste en leer los #aquetes averiguar el SS3D$ dado que %ste va en teAto claro'
2.1.2
Ataques Activos
Puntos de acceso no autori ados/!ogue APs Si se consigue tener acceso a la instalaci*n f)sica de una red ,(A@$ %ste es uno de los ataques "s nocivos' En Rogue AP es un #unto de acceso que se conecta sin autorizaci*n a una red eAistente' +stos #untos de acceso no son gestionados #or los ad"inistradores de la red es #osible que no se a2uste a las #ol)ticas de seguridad de la red'
De esta for"a se abre una #uerta a todo ti#o de ataques indeseados$ #uesto que #er"ite a cualquiera con un ter"inal ,(A@ conectarse a la red$ vulnera todos los "ecanis"os que se basan en el cifrado de infor"aci*n entre eAtre"os 6,+P$ ,PA$ ,PA9$ etc;' +n general$ los rogue APs suelen e"itir con "s #otencia que los #untos de acceso vlidos de la red #ara que los usuarios se conecten a ellos #or defecto'
Spoofing En ataque de s#oofing consiste en su#lantar validadores$ credenciales o identificadores estticos$ es decir$ #ar"etros que #er"anecen invariables antes$ durante des#u%s de la concesi*n de un #rivilegio$ una autentificaci*n$ etc' Para reco#ilar la infor"aci*n necesaria #ara hacer la su#lantaci*n de identificadores es necesaria una fase #revia en la que se e"#lee alg&n ti#o de ataque #asivo'
"an #n $he "iddle +s un ataque basado en el s#oofing que consiste en inter#onerse entre dos siste"as' +n este ti#o de ataques$ Man 3n 4he Middle$ un atacante interce#ta selectiva"ente "odifica los datos de la co"unicaci*n #ara su#lantar la identidad de las entidades i"#licadas en la co"unicaci*n' Puede escuchar todos los "ensa2es interca"biados #or las #artes e incluso reenviarlos "odificados' (os eAtre"os no saben que no se estn co"unicando real"ente con qui%n creen'
Secuestro de sesiones/%ijacking
Pgina 7
Auditora WiFi
Fi2acGing es una a"enaza de seguridad que se vale del s#oofing$ #ero %sta consiste en to"ar una coneAi*n eAistente entre dos dis#ositivos de usuario' 4ras "onitorizar la red el atacante #uede generar trfico que #arezca venir de una de las #artes envueltas en la co"unicaci*n$ robando la sesi*n de los individuos involucrados'
&enegaci'n de servicio (&)S*/+amming (a denegaci*n de servicio no tiene co"o ob2etivo escuchar los #aquetes ni acceder a la red$ sino si"#le"ente inutilizarla #ara que otros usuarios no #uedan acceder a ella' +Aisten diferentes t%cnicas #ara realizar este ti#o de ataquesB
+nv)o de #aquetes de infor"aci*n "al confor"ados de "anera que la a#licaci*n que debe inter#retarlo no #uede hacerlo cola#sa'
3nundaci*n de la red con #aquetes ti#o 3CMP - #ing$ 4CP 7 SH@$ 3P origen igual a 3P destino$ etc' que no #er"iten que circulen los #aquetes de infor"aci*n de usuarios'
/loqueo de cuentas #or eAcesivos intentos de login fallidos' 3"#edi"ento de logueo del ad"inistrador'
(os ataques de fuerza bruta consisten en recu#erar una clave #robando todas las co"binaciones #osibles hasta encontrar aquella que #er"ite el acceso' Dicho de otro "odo$ define el #rocedi"iento #or el cual a #artir del conoci"iento del algorit"o de cifrado e"#leado de un #ar teAto claro5teAto cifrado$ se realiza el cifrado 6res#ectiva"ente$ descifrado; de uno de los "ie"bros del #ar con cada una de las #osibles co"binaciones de clave$ hasta obtener el otro "ie"bro del #ar'
2.2.1.2
Ataque de diccionario
En ataque #or diccionario consiste en intentar averiguar una contrase!a #robando todas las #alabras de un diccionario' +ste ti#o de ataque suele ser "s eficiente que un ataque de fuerza bruta a que "uchos usuarios suelen utilizar una #alabra eAistente en su lengua co"o contrase!a #ara que la clave sea fcil de recordar$ lo cual no es una #rctica reco"endable' (os ataques de diccionario tienen #ocas #robabilidades de %Aito con siste"as que utilizan contrase!as fuertes con letras en "a &sculas "in&sculas "ezcladas con n&"eros con cualquier otro ti#o de s)"bolos' Sin e"bargo #ara la "a or)a de usuarios recordar contrase!as tan co"#le2as resulta co"#licado' +Aisten variantes que co"#rueban ta"bi%n algunas de las t)#icas sustituciones 6deter"inadas letras #or n&"eros$ interca"bio de dos letras$ abreviaciones; as) co"o distintas co"binaciones de "a &sculas "in&sculas'
Pgina 8
Ataques a WEP
2.2.1.3
,.,.-...-
Ataques estadsticos
/"S (/luhrer0 "antin and Shamir*
su "ala i"#le"entaci*n en el cifrado ,+P hacen que se CeaG-Ge s' .MS
#ueda derivar estad)stica"ente la clave utilizada' Fa dos versiones del .MS' .MS clsico$ #er"ite derivar la clave desde unos 8'JJJ'JJJ de #aquetes ca#turados con 3I &nicos CeaG-Ge s' avanzado que #er"ite derivar la clave desde unos 9'JJJ'JJJ de #aquetes ca#turados con &nicos
,.,.-...,
Ataques de 1orek
(a filosof)a de los ataques estad)sticos .MS ins#ira a un hacGer lla"ado KoreG que inventa la teor)a de una serie de nuevos ataques estad)sticos' +sto ocurre en el 9JJ=' +n Ma o de ese "is"o a!o$ tanto al creador de Ce#(ab co"o al creador de aircracG$ se les re"ite an*ni"a"ente el algorit"o que i"#le"enta esta serie de ataques' (a i"#le"entaci*n de estos algorit"os dan un resultado es#ectacularB clave de =J bits LM ?J'JJJ #aquetes ca#turados' Clave >98 bits LM <JJ'JJJ #aquetes ca#turados' +l total de ataques de KoreG son >N a!adiendo los clsicos avanzados'
,.,.-....
Andreas Klein$ un investigador ale"n$ de"ostr* que ha Ke b tes > al i->$ la Ge stre"
#osible adivinar el siguiente Ge b te con una #robabilidad de >'<:59N: lo cual es un #oco " or que >59N:' +sto #er"ite que sea #osible adivinar la su"a de los Ge b tes i hasta iOG con una #robabilidad de "as de >'9=59N:' Se trata de adivinar la su"a de los siguientes >$9$<$ ''' hasta >< Ge b tes #ara cada #aquete' Si se han ca#turado los #aquetes suficientes$ el valor adivinado un nu"ero "a or de veces #ar una su"a$ usual"ente sera el nu"ero correcto' Si no el valor correcto en la "a or)a de los casos sera uno de los "as adivinados' 4res investigadores$ +riG 4eCs$ Andrei P chGine Ralf-Phili## ,ein"ann desarrollaron un ataque que
r#ido 6basndose en el cri#toanlisis del RC= de Andreas Klein;$que traba2a con #aquetes ARP obtener la llave en "enos de 9 "inutos' (os #asos a seguir #ara a#licar este ti#o de ataque son los siguientesB >' Detectar la red ob2etivo' 9' Denerar algo de trfico <' (anzar el algorit"o' al"acenarlo en disco'
solo necesita 8N$JJJ #aquetes #ara cracGear la llave ,+P con un ?NP de #robabilidad' +sto significa
AircracG-#tC trata de encontrar la clave$ usando la idea descrita anterior"ente' Si se tienen de =J$JJJ a 8N$JJJ #aquetes$ la #robabilidad de %Aito$ estar entre el NJ el ?N #or ciento'
Pgina 9
Auditora WiFi
2.2.1.4
,.,.-.2.-
Ataques Inductivos
Ataque Arbaugh
en el
Creado #or ,illia" A' Arbaugh en 9JJ>$ se basa en las caracter)sticas lineales de CRC
hecho que el M3C es inde#endiente de la llave' +l ob2etivo es conocer #arte del teAto #lano que via2a cifrado en una tra"a$ #or e2e"#lo identificando "ensa2es 0DFCPD3SCOI+R1 del que se conocen los ca"#os' (os #asos que constitu en este ti#o de ataque son los siguientesB >' Se realiza un QOR del teAto #lano$ conocido con el c #herteAt recibido del Ge strea" #ara el 3I concreto' 9' Se genera un #aquete #ing o ARP Request de ta"a!o n-< b tes de longitud' +n el a"biente de ,+P$ los #ri"eros tres b tes de un #aquete clave$ sie"#re son conocidos' <' Se calcula el 3CI se a!ade s*lo los #ri"eros < b tes' se a!ade el <i"o b te del 3CI #ara adivinar el siguiente se obtienen n b tes
Pgina 10
Ataques a WEP
,.,.-.2., Ataque inductivo inverso. 1orek chopchop
Desarrollado #or KoreG en octubre de 9JJ=$ est basado en el ataque inductivo Arbaugh #ero efectuado de for"a inversa' Cho#-cho# a#rovecha las #ro#iedades lineales del CRC' +ste ataque$ cuando es eAitoso$ #uede desencri#tar un #aquete de datos ,+P sin necesidad de conocer la clave' 3ncluso #uede funcionar con ,+P din"ica' +ste ataque no recu#era la clave ,+P en s) "is"a$ sino que revela &nica"ente el teAto #lano' De esta for"a se #ueden conocer los suficientes datos co"o #ara elaborar un #aquete ARP #aquete ARP' rein ectarlo$ haciendo innecesaria la es#era a la ca#tura de un
,.,.-.2..
Con este ataque$ cuando tiene %Aito$ se #uede obtener >NJJ bits de un PRDA 6Pseudo Rando" Deneration Algorith";' +ste ataque no recu#era la clave ,+P #or si "is"o$ si"#le"ente sirve #ara conseguir el PRDA' Des#u%s se #uede usar el PRDA #ara generar #aquetes' Se requiere al "enos un #aquete de datos recibido del #unto de acceso #ara #oder iniciar el ataque' /sica"ente$ el #rogra"a obtiene una #eque!a cantidad de infor"aci*n sobre la clave de un #aquete e intenta enviar un ARP 5o #aquetes ((C al #unto de acceso 6AP;' Si el #aquete es recibido contestado #or el AP de for"a satisfactoria$ entonces se #odr obtener un #oco "s de infor"aci*n sobre la clave de ese nuevo #aquete enviado #or el AP' +ste ciclo se re#ite varias veces hasta que se obtienen los >NJJ bits del PRDA'
2.2.1.5
+l "a or #roble"a a la hora de intentar descifrar una clave ,+P a no es el tie"#o de #rocesado de claves a que con los ataques de KoreG se reduce sustancial"ente' +l "a or #roble"a es el tie"#o de ca#tura de #aquetes' +l tie"#o esti"ado en ca#turar esos <JJ'JJJ #aquetes que se necesitan #ara sacar una clave cifrada con >98 bits #uede oscilar entre >J "inutos varios d)as' 4odo de#ende del trfico de la red'
Se #uede forzar un ataque de re#etici*n #ara que el AP genere nuevos paquetes con I s !nicos' Fa que reco"#ilar a!adi%ndole ciertos #arches a los drivers de las tar2etas ,ifi #ara #oder in ectar trfico' (os #aquetes candidatos son 3CMP$ ARP algunos seg"entos 4CP'
Se suelen usar heur)sticas #ara observar qu% #aquetes reciben res#uesta' Otra for"a de hacerlo$ es identificar el #aquete ARP #or su ta"a!o' Se #ueden llegar a rein ectar los <JJ'JJJ #aquetes #ara recibir los #aquetes con nuevo 3I en unos N "inutos'
2.2.1.6
+l ataque de falsa autenticaci*n #er"ite realizar los dos ti#os de autenticaci*n ,+P 6abierta u 0O#en S ste"1 co"#artida o 0Shared Ke 1; asociarse con el #unto de acceso 6AP;' +sto es "u &til no ha ning&n cliente cuando se necesita una direcci*n MAC asociada #ara usarla con alg&n ataque
asociado' Se debe tener en cuenta que el ataque 0falsa autenticaci*n1 @O genera ning&n #aquete ARP'
Pgina 11
Si en la red a auditar se genera "ucho trfico$ el #rocedi"iento es sencillo' necesario ca#turar el trfico ro"#er el cifrado' Concreta"ente$ el #roceso a seguir es el siguienteB
>' #dentificar la red. es necesario deter"inar qu% red se desea auditar' +s suficiente con conocer su canal$ su /SS3D el +SS3D'
9' Poner la tarjeta en modo monitor' Con esta acci*n la tar2eta queda #re#arada #ara recoger todo el trfico que detecte o$ filtrando seg&n las o#ciones que #er"ita el #rogra"a utilizado' <' 3apturar tr4fico. el trfico a ca#turar debe "edirse en n&"ero de 3Is' +s decir$ no se considera trfico vlido #ara la auditor)a los beacons enviados #or el AP de la red seleccionada' En n&"ero adecuado de 3Is de#ender de la longitud de la #ro#ia clave ,+P que se desea obtener' =' !omper cifrado' Ena vez ca#turada una cantidad de trfico que se esti"e adecuada es el "o"ento de co"enzar lo que real"ente constitu e el ataque ,+P' +ste ataque #uede ser de diferentes ti#osB >' Ataques estad)sticos' 9' Ataques de fuerza bruta' <' Ataques de diccionario' que #ro#orcionar la clave
2.2.2.2
Si la red so"etida a auditor)a dis#one de #oco trfico$ es necesario rein ectar alguno de los #aquetes ca#turados as) generar "s trfico' (os dos #ri"eros #asos ser)an iguales al caso de una establecer la tar2eta a "odo "onitor' A #artir red con "ucho trfico' +s decir$ se debe identificar la red de de ese "o"ento se realizan los siguientes #asos' >' Ca#turar un #aquete rein ectable$ t)#ica"ente una #etici*n ARPB ta"a!o fi2o 6:8 b tes;$ 9' Rein ectarlo "uchas veces$ al"acenando el trfico generado' <' Ro"#er el cifrado con los #aquetes ca#turados' Al igual que #ara una red con "ucho trfico$ #ueden e"#learse ataques estad)sticos$ de fuerza bruta o de diccionario'
Pgina 12
Ataques a WEP
2.2.2.3 Red sin trfico
+n este caso la red no dis#one de ning&n cliente asociado$ #or lo que no eAiste trfico en la red' Para conseguir generar trfico a no es vlido el "%todo e"#leado en una red con #oco trfico' +s necesario generar trfico 0desde cero1' +sto se consigue de la siguiente for"aB >' Realizar un ataque de autenticaci*n falsaB >' Facer creer al AP que tiene un cliente conectado$ a #esar de no ser cierto' 9' +l AP enviar trfico al cliente falso' <' +n ese trfico #uede haber tra"as rein ectables' =' Proceder de igual for"a que en una red con #oco trfico' +s decir$ rein ectar el trfico recibido desde el AP ro"#er el cifrado con los #aquetes ca#turados'
de los equi#os que si que tienen acceso a la red' +ste acci*n constitu e el lla"ado "Ataque #A$
cualquiera de los clientes' S*lo hace falta establecer la MAC del host auditor igual a la MAC de alguno a se habr vulnerado la restricci*n' +sto es sencillo de i"#le"entar$ #or e2e"#lo en el siste"a o#erativo (inuA se #uede realizar con el co"ando ifconfig de#endiendo del ti#o de tar2eta' 4a"bi%n eAisten otras utilidades #ara ca"biar la MAC co"o #or e2e"#lo set"ac' Fa que tener en cuenta que si ha dos "quinas en la red con la "is"a direcci*n MAC #uede haber #roble"as$ aunque general"ente en las redes Cireless esto no suele ser un #roble"a "u grave a que el Punto de Acceso no #uede distinguir que verdadera"ente ha dos "quinas con la "is"a MAC' De todas for"as$ si es #osible 0anular1 a la "quina a la que se ha 0robado1 la direcci*n MAC' Para hacer esto$ se debe i"#le"entar un ataque de Denegaci*n de Servicio'
Pgina 13
Auditora WiFi
utilizar t%cnicas de fuerza bruta' +sto se debe a que la clave no es esttica$ #or lo que recogiendo 3Is co"o en la encri#taci*n ,+P$ no conseguire"os obtener "s r#ida"ente la clave' (o &nico que se necesita #ara #oder iniciar un ataque es ca#turar los "ensa2es de =-,a FandshaGe entre el cliente el AP' +l handshaGe se genera en el "o"ento que el cliente se conecta a la red' (a clave #re-co"#artida tiene un ta"a!o de 8 a :< caracteres es utilizando un diccionario' +l hecho de tener que usar fuerza bruta es un inconveniente "u grande #orque se hace un uso intensivo del #rocesador del PC$ solo #uede #robar de NJ a <JJ claves #or segundo$ de#endiendo de la CPE' +l #roceso #uede llevar horas o d)as si se utiliza un diccionario grande' +Aisten herra"ientas que #er"iten calcular el tie"#o que se tarda en adivinar una clave "ediante fuerza bruta' (as t%cnicas que se utilizan #ara el cracGeo de redes ,PA o ,PA9 son las "is"as a que el "%todo de autenticaci*n es el "is"o' +ste #roceso se #uede hacer de dos for"asB activa o #asiva' De for"a activa significa que #ode"os acelerar el #roceso deautenticando a un cliente Cireless' Por el contrario$ de for"a #asiva significa que #ode"os es#erar a que un cliente Cireless se autentifique en la red ,PA5,PA9' (a venta2a de la for"a #asiva es que no necesita"os in ectar ,indoCs' (os #asos a seguir son los siguientesB >' Colocar la interface Cireless en "odo "onitor #ara que #ueda escuchar #aquete en el aire 9' Ca#turar el handshaGe$ es decir$ los = #aquetes que interca"bia un cliente con el AP en el "o"ento que se autentifica' <' Deautentificar a un cliente conectado' +ste #aso es o#cional$ sirve #ara acelerar activa"ente el #roceso' +l requisito necesario es que se encuentre asociado actual"ente alg&n cliente Cireless con el AP lo que hace es enviar un "ensa2e al cliente #ara desasociarlo con el AP' en la reautenticaci*n se generarn los +ntonces el cliente Cireless se reautenticar con el AP ca#turar cualquier #or lo tanto #odre"os utilizarla desde la &nica for"a de obtener la clave
= #aquetes de autenticaci*n que esta"os interesados en ca#turar' =' Obtener la clave #re-co"#artida$ co"#robando si las #alabras contenidas en un diccionario coinciden con la clave del handshaGe anterior'
Pgina 14
Herramientas
' (erramientas
3.1 HERRAMIENTAS PARA LINUX
3.1.1 Suite aircrack-ng
(a suite aircracG-ng es la <i"a evoluci*n de una suite de a#licaciones #ara la auditor)a Cireless 6aircracG;' +ntre estas a#licaciones se encuentranB aircracG-ng$ airodu"#-ng$ aire#la -ng''' 4a"bi%n dis#one del scri#t Airoscri#t$ que ofrece un "ane2o "s sencillo e integrado del con2unto de a#licaciones' Airmon-ng: +ste scri#t #uede usarse #ara activar el "odo "onitor de las tar2etas Cireless' 4a"bi%n #uede usarse #ara #arar las interfaces salir del "odo "onitor' es &til #ara ir acu"ulando vectores obtener la clave ,+P' Si se dis#one
Airodump-ngB Se usa #ara ca#turar #aquetes Cireless 8J9'>> de inicializaci*n 3Is con el fin de intentar usarlos con aircracG-ng #untos de acceso que va a encontrando'
de un rece#tor DPS conectado al ordenador$ airodu"#-ng es ca#az de "ostrar las coordenadas de los
clientes conectados 60stations1;' Co"o e2e"#lo #uedes ver la siguiente ca#tura de #antallaB
#oder
Ataque 50 &eautenticaci'n. env)a #aquetes de desasociaci*n a uno o "s clientes que estn actual"ente asociados a un #unto de acceso' +s &til desasociar clientes #ara recu#erar o desvelar un +SS3D oculto$ ca#turar handshaGes ,PA5,PA9 forzando a los clientes a volverse a autenticar$ generar #eticiones ARP' +ste ataque es total"ente in&til si no eAisten clientes Cireless asociados'
Pgina 15
Auditora WiFi
Ataque ,0 Selecci'n interactiva del paquete a enviar. +ste ataque #er"ite escoger el #aquete a reenviar 6in ectar;' +ste ataque #uede obtener #aquetes #ara in ectar de 9 for"as' (a #ri"era es ca#turando #aquetes con la tar2eta Cireless' (a segunda es utilizando un archivo ca#'
Ataque .0 !ein6ecci'n de una petici'n A!P (A!P7request*. +l #rogra"a escucha hasta encontrar un #aquete ARP cuando lo encuentra lo retrans"ite hacia el #unto de acceso' +sto otra vez' Pero$ cada #aquete ARP re#etido #rovoca que el #unto de acceso tenga que re#etir el #aquete ARP con un 3I nuevo' +l #rogra"a retrans"ite el "is"o #aquete ARP una #or el AP tiene un 3I nuevo'
#uede recu#erar la clave ,+P una vez que se han ca#turado suficientes #aquetes encri#tados con airodu"#-ng' (leva a cabo varios ti#os de ataques #ara descubrir la clave ,+P con #eque!as cantidades de #aquetes ca#turados$ co"binando ataques estad)sticos con ataques de fuerza bruta' Para cracGear claves ,PA5,PA9-PSK$ es necesario usar un diccionario'
Pgina 16
#osibilidades o votos 6votes; #ara cada b te de la clave ,+P' Cada ataque tiene un n&"ero diferente de votos asociado con %l$ #or lo que la #robabilidad de cada ataque varia "ate"tica"ente' Cuantos "s votos se tengan de un b te o valor #articular$ "a or #robabilidad ha de que sea el correcto' Para cada b te de la clave$ la #antalla "uestra el carcter "s #robable el n&"ero de votos que ha acu"ulado' (a clave que tenga el "a or n&"ero de votos es la que "s #robabilidades tiene de ser la correcta$ #ero no est garantizado' AircracG-ng #robar continua"ente de la "s #robable a la "enos #robable #ara encontrar la clave' +sta es la raz*n #or la cual cuantos "s #aquetes$ "s fcil ser #ara aircracG-ng deter"inar la clave ,+P' (a a#roAi"aci*n estad)stica #uede #or si sola dar la clave ,+P de la red' Pero la idea es que ta"bi%n se #uede co"#le"entar con la fuerza bruta #ara realizar el traba2o' AircracG-ng usa la fuerza bruta #ara deter"inar cuantas claves se han de #robar #ara intentar encontrar la clave ,+P' El fudge factor le dice a aircracG-ng hasta donde #robar claves' En fudge factor de 9$ dividir los votos del b te "s #robable$ a #robar crecer #robar todas las #osibilidades con un n&"ero de votos de al "enos la "itad de los que tiene el carcter "s #osible' Cuanto "a or sea el fudge factor$ el n&"ero de claves "a or ser el tie"#o que se est% e2ecutando aircracG-ng' Cuantos "s #aquetes de se reduzca "ucho el tie"#o necesario #ara encontrar la clave' datos se tengan$ se "ini"izar la necesidad de a#licar fuerza bruta a "uchas claves$ lo que hace que no traba2e tanto tie"#o la CPE
(as t%cnicas "encionadas hasta ahora no funcionan #ara claves WPA)WPA2 pre*s+ared' (a &nica for"a de cracGear estas claves #re-co"#artidas 6#re-shared; es a trav%s de un ataque de diccionario' +sta ca#acidad est ta"bi%n incluida en aircracG-ng' Esando un diccionario con una lista de #alabras$ aircracG-ng du#lica los cuatro #aquetes handshaGe #ara "irar si ha alguna #alabra en el diccionario que coincida con el resultado de los cuatro #aquetes handshaGe' Si lo consigue$ se habr identificado de for"a satisfactoria la clave #re-co"#artida' Fa que resaltar que este #rogra"a hace un uso "u intensivo del #rocesador del ordenador$ buen diccionario dar "e2ores resultados' +l uso de aircracG viene deter"inado #or el siguiente co"andoB
aircrack-ng [opciones] <archivo(s) de captura>
que
en la #rctica claves ,PA #re-co"#artidas "u largas o inusuales no #odrn ser encontradas ' En
o #or
aircrack-pwt [opciones] <archivos (s) de captura>
de#endiendo del algorit"o de desencri#taci*n a usar Se #uede e2ecutar airodu"#-ng aircracG-ng al "is"o tie"#oB aircracG-ng se actualizar de for"a
Pgina 17
Auditora WiFi
Packetforge-ng:+l #ro#*sito de #acGetforge-ng es crear #aquetes encri#tados #ara #oder in ectarlos con #osterioridad' Se #ueden crear varios ti#os de #aquetes co"o 0ARP requests1$ EDP$ 3CMP o #aquetes hechos a la "edida' +l uso "s co"&n es crear #aquetes 0ARP requests1 #ara ser in ectados' Para crear un #aquete encri#tado$ es necesario tener un archivo PRDA 6#seudo rando" genration algorith";' +ste archivo se usa #ara encri#tar el #aquete que va"os a crear ng cho#cho# o con el ataque de frag"entaci*n' Airdecap-ng: desencri#ta archivos ca#turados que tengan encri#taci*n ,+P5,PA5,PA9' 4a"bi%n #uede ser usado #ara ver la cabecera de una ca#tura Cireless sin encri#taci*n' Airoscript-ng: +s un scri#t #ara #oder usar el aircracG de "anera sencilla infinidad de co"andos en consola' sin tener que "eter se obtiene con aire#la -
base de datos de #oco #eso 0ST(ite<1 co"o "ecanis"o al"acenador que est dis#onible #ara la
Pgina 18
incor#orados dentro del servidor' +sto eli"ina la necesidad de que cada a#licaci*n Cireless contenga del driver' 4a"bi%n so#orta "<i#les siste"as o#erativos' Cuando se inicia el en un n&"ero de #uerto 4CP es#ec)ficos #or las coneAiones de los el servidor$ escucha en una 3P
n&"ero de #uerto' Cuando use"os la suite aircracG-ng$ es#ecificare"os 1Udirecci*n 3P del servidorM dos #untos Un&"ero de #uertoM1 en lugar del no"bre de la interfaz' En e2e"#lo #uede ser >9R'J'J'>B:::' +sto #er"ite interesantes #osibilidadesB Wesside-ng. ,esside-ng es una utilidad 0auto-"gica1 que incor#ora todas las t%cnicas #ara obtener fcil"ente una clave ,+P en #ocos "inutos' Pri"ero identifica una red Cireless$ seguida"ente #rocede a asociarse a la "is"a$ obtiene un PRDA 6#seudo rando" generation algorith"; Aor data$ deter"ina el rango de 3Ps de la red$ rein ecta una res#uesta ARP deter"ina la clave ,+P' 4odo esto lo hace sin ninguna intervenci*n #or tu #arte' final"ente
3.1.2
Wlandecrypter y Wepattack
+l aire est viciado de redes del ti#o ,(A@VQQ donde QQ son dos cifras del <i"o b te F+Q de la MAC de la interfaz ,A@ del router' +ste ti#o de claves ,+P se generan de la siguiente "aneraB
(a #ri"era letra es la #ri"era letra de la "arca del router 6Co"trend$ W Ael$ Qavi$ '''; MAC de la interfaz ,A@ del router ' QQ son los dos <i"os d)gitos de esa MAC ,A@' Co"o estn relacionadas las intefaces ,A@ ,(A@ a que las hacen los "is"os fabricantes$
sabiendo la MAC ,(A@ se conocen los tres #ri"eros bloques de la interfaz ,A@' 4an solo se necesita un #rogra"a que genere las variaciones de las claves en los >98 bits' +sta "isi*n la cu"#le la herra"ienta Clandecr #ter' 4eniendo el +SS3D claves' el /SS3D se #ueden generar las
Pgina 19
Auditora WiFi
En e2e"#lo de uso de estas dos herra"ientas ser)a el siguienteB Clandecr #ter JJB>:B<8BCNB<NB>. ,(A@V>9 X Ce#attacG -f test>'ca# +n el que Clandecr #ter #ro#orciona el listado de claves #ara Ce#attacG$ quien a su vez seleccionar una de las claves ofrecidas' +sta selecci*n se realiza teniendo en cuenta los #aquete ca#turados durante el #roceso de escucha de trfico en la red'
a que #er"ite el uso de diccionarios a los que se les #uede a#licar diferentes :manipulaciones; #ara cada t%r"ino$ o utilizar fuerza bruta$ eligiendo los 2uegos de caracteres a utilizar' Co"o inconveniente #rinci#al ha que destacar que no es ca#az de a#rovechar los siste"as con "<i#les n&cleos de #rocesa"iento$ lo que sit&a el rendi"iento que se obtiene con esta herra"ienta bastante le2os de otras soluciones' 3.2.2 WifiHopper
canal clientes conectados'
3.2.3
#aquetes Io3P'
ComView
analizador de redes inal"bricas 8J9'>> a5b5g5n' Ca#tura obtiene #untos de acceso estad)sticas de diferentes ti#os' Ade"s inclu e un "*dulo de
3.2.4
Wireshark
analiza el trfico en un "o"ento deter"inado #er"ite obtener detallada"ente la
,iresharG es una herra"ieta "ulti#latafor"a de anlisis de red$ #roducto de la evoluci*n de +thereal' 3dentifica infor"aci*n del #rotocolo utilizado en el #aquete ca#turado'
3.2.5
NetStumbler
+s un sniffer$ #er"ite localizar redes inal"bricas detectables en el entorno en el que nos encontre"os e ir "idiendo intensidades de se!al a "edida que nos "ove"os$ #or lo que nos #er"ite encontrar su fuente de origen en #oco tie"#o' Otros e2e"#los de sniffer #ara ,indoCs sonB Airo#eeG$ Kis"et Air(ine'
Pgina 20
Casos prcticos
, $asos Pr-cticos
Para realizar los casos #rcticos he"os utilizado una distribuci*n de linuA lla"ada CifislaA' (a distribuci*n de #uede descargar desde htt#B55CCC'CifislaA'co"5 ,ifislaA esta basado en la distribuci*n SlacGCare (inuA' (as venta2as de util3zar "uchas$ #or e2e"#loB
CifislaA son
,ifislaA es un CD de arranque que contiene al siste"a o#erativo (inuA' Puede hacer correr (inuA directa"ente desde el CDROM sin instalaci*n'
Su #rinci#al ob2etivo es au"entar el reconoci"iento de la "a or)a de las tar2etas inal"bricas' @o eAiste ninguna otra live CD que integre los drivers i#C99JJ$ los rtR< de las nuevas tar2eta ES/ con chi#set ralinG$ las nuevas PC3 con el chi#set rt:>$ as) co"o los acA coneAi*n de auditoria$ sin olvidar los novedosos z das zd>9>>rC los i#C<?=N de co"o no los rtl8>8R de
ulti"a generaci*n$ ade"s de los drivers de toda la vida #ara el entorno de seguridad Cireless$ "adCifi-ng$ realteG$ etc'
Contiene #arches #ara la aceleraci*n o rei enci*n de trafico' Contiene herra"ientas traducidas al es#a!ol que son "u i"#ortantes #ara la auditor)a
Cireless$ co"o #or e2e"#lo el airoscri#t$ reco"endable #ara los reci%n llegados' 4a"bi%n incor#ora una serie de lanzadores grficos #ar facilitar el traba2o'
"uestre 0no Cireless eAtension1$ ser la correcta' +n nuestro caso el co"ando serB airmon*ng start et+1 9' Posterior"ente utiliza"os Airodu"#-ng' Se usa #ara ca#turar datos tras"itidos a trav%s del #rotocolo 8J9'>> en #articular #ara la ca#tura recolecci*n de 3Is 6vectores iniciales; de los #aquetes ,+P con la intenci*n de usar aircracG-ng' (a sintaAis serB
Pgina 21
Auditora WiFi
airodump*ng 0opcione1s23 .dispositivo/ OPC3O@+SB --ivsB Ca#tura solo ivs --Crite Uno"bre del archivo a guardarM Bcrea un archivo del no"bre que le halla"os #uestos con la eAtensi*n6'ca# * 'ivs; e"#ieza a ca#turar' -CB es lo "is"o que #oner Crite --beaconsB Duarda los beacons$ #or defecto no los guarda' --channel BCa#tura el canal es#ecificado --cB (o "is"o que escribir channel -aB Ca#tura en la frecuencia de NDhz es#ecifica del canal a --abgB Ca#tura tanto en frecuencias de 9$=Dhz co"o en N Dhz +n nuestro caso el co"ando serB airodu"#-ng --C ca#turas eth> +sto nos ca#turar #aquetes en el dis#ositivo que le es#ecifique"os 6en nuestro caso eth>$ vosotros deber%is es#ecificar el vuestro;$ ca#turas'ca#' 4 $u-l es el significado de los campos mostrados por airodump 5 Airodu"#-ng "ostrar una lista con los #untos de acceso detectados$ clientes conectados o estaciones 6ZstationsZ;' ta"bi%n una lista de los guardar en el fichero con el no"bre
Pgina 22
Auditora WiFi
+n este caso$ #ara ca#turar sola"ente los #aquetes de la red [cucGoo[$ el co"ando serB airodump*ng *c 9 **6ssid ::::9:2;:'<:9,::= *8 fic+ero et+1 Pode"os encontrarnos con alg&n #roble"a co"o #uede ser que la +SS3D 6no"bre de la red; no a#arezca #ara ello debe"os realizar una disociaci*n de #aquetes hace #ara sacar el +SS3D escondidoB airepla> *: 1 *a ??:??:??:??:??:?? *c @@:@@:@@:@@:@@:@@ Donde QQBQQBQQBQQBQQBQQ ser la MAC del AP victi"a e HHBHHBHHBHHBHHBHH
Pgina 24
airepla>*ng *' *6 ::::9:2;:'<:9,:== *+ :::11:22:'':,,:;; et+1 Aaving ARP requests in repla>7arp*:92H*121;29&cap @ou must also start airodump to capture replies& Read 2,=' pacGets 1got 1 ARP requests2I sent 1':; pacGets&&&
Pgina 25
Auditora WiFi
Poner en "odo "onitor nuestra tar2eta' Ca#turar trafico' 3n ectar si es necesario' Etilizar el aircracG cuando tenga"os un nu"ero de 3I[s suficientes'
Pgina 26
airepla>*ng *: 1 *a ::::9:2;:'<:9,:== *c ::::<:'F:;H:<F:$: et+1 =' Des#ues de ca#turar el FA@DSFAK+ #ode"os #oner en "archa el aircraG' aircracG*ng *a 2 *8 pass8ord&lst *6 .#A$7AP/ .fic+ero7salida/J&cap Donde #assCord'lst es el no"bre del archivo de un #eque!o diccionario' Si tienes suerte la #ass esta dentro del diccionario que has usado$ enhorabuena$ obtendras finaliza el diccionario te saldra un +(. o algo #arecido que
indica el .inal del diccionario sin resultados encontrados 6sin K+H .OE@D;'
Pgina 27
Auditora WiFi
; $onclusiones
+ste art)culo$ co"ienza con una #eque!a introducci*n te*rica$ en el que se eA#lican #eque!os conce#tos #ara #er"itir al lector una "a or co"#resi*n de este tutorial' Posterior"ente se han eAa"inado algunas de las vulnerabilidades de ,+P ataque$ la "etodolog)a encri#taci*n ,+P ,PA$ #ro#orcionando los distintos "%todos de las distintas herra"ientas #ara la auditor)a de redes inal"bricas con
+n los casos #rcticos$ se ha de"ostrado que$ aunque el "%todo #ara ro"#er la ,PA-PSK no es trivial$ el "%todo #ara ro"#er la clave ,+P es bastante si"#le sencillo$ que cualquier #ersona sin conoci"ientos #revios #odr)a realizar con %Aito' Por ello$ se reco"ienda los usuarios do"%sticos que #ara reducir sus riesgos de seguridad hagan uso de contrase!as "a ores de 9J caracteres o$ alternativa"ente$ "ediante el uso de ,PA-+"#resa la incor#oraci*n de un servidor de autenticaci*n'
+l %Aito de nuestros ataques de#endern en gran "edida$ del chi#set de nuestra tar2eta de red inal"brica$ de la ignorancia #or #arte del ad"inistrador de la red atacada tenga"os' de la suerte que
Pgina 28
Bibliografa
9 Ki6liografa
Pgina 29