SON VULNERABLES LOS ENTORNOS WIRELESS?

Lucas Zuluaga Prez

Docente
Fernando Quintero
Especializacin Tecnolgica en Seguridad en Redes

SENA
Medelln
2012

TABLA DE CONTENIDO

Tema

Pgina

Introduccin 3
Password por Default... 4
Cifrado WEP. El que utilizan nuestros ISP...............................................................13
Cifrado WPA. Estoy Protegido completamente .. 21

INTRODUCCION
Los entornos Wireless son muy seguros! Esta fue una respuesta que escuche alguna vez
de una compaera que tena una red Wireless en su casa , cuando le pregunte si tena
protegida su red Wireless.
La mayora de las veces los intrusos penetran redes wireless que estn abiertas o que
usan cifrados dbiles, y es que una tecnologa que se ha vuelto tanto comn hoy en da
que en casi cualquier lado hay al menos una red wireless a la que nos podemos conectar
para navegar en internet.
Por estndar, desconocimiento o por confiados dejamos la red wireless de nuestra casa
con una proteccin mnima porque pensamos que es la ideal y que no puede ser
vulnerada por nadie el objetivo de este HowTo es mostrar cmo pueden ser
aprovechados algunos agujeros de seguridad.

Para esta actividad, utilice un porttil ACER de bajas caractersticas en cuanto a

procesamiento pero con una tarjeta wireless muy buena como es la Atheros

PASSWORD POR DEFAULT

Una de las ms comunes vulnerabilidades en los entornos Wireless son los Password por
Default en los dispositivos activos.
Pero ? Un intruso que puede ganar con ingresar a nuestro Dispositivo (Llmese
Router Inalmbrico, Access Point, Bridge)
Pues es aqu donde la creatividad y conocimiento del intruso entra a jugar:
-

podra simplemente desconfigurar el equipo y dejarnos sin conectividad.

Ver el password de nuestro SSID, poderse conectar a la red y si tenemos internet
navegar tranquilamente y realizar un poco de cosas que ni nos imaginamos.
Conectarse en la misma red, ingresar a nuestros hosts y obtener informacin
confidencial
Realizar ataques (Acciones Ilegales) y pues como est saliendo por una
conexin generalmente Nateada, en caso de algn rastreo seguramente daran
con nosotros y podramos enfrentar consecuencias legales de algo que no
tenemos conocimiento.
Utilizar nuestro ancho de banda para descargar contenido de la Web (Pelculas,
videos, Software, etc)
Crear un SSID (Sin difusin de Beacons Frames) conectarse a este y tener
conectividad.

Nota: Estamos suponiendo en este caso, que el equipo en un Dispositivo que nos provee
conectividad en Internet.
Pues bien, esta es una pequea lista de acciones (Que se me ocurrieron) que un intruso
podra realizar simplemente por obtener acceso a nuestro dipositivo Wireless.

AHORA COMO PODRIA REALIZARLO?

Para este caso, vamos a suponer un escenario donde nos han dado el acceso a la red
Wireless, como somos invitados estamos conectados a la red por un SSID GUEST Pero la
clave de este cambia constantemente adems de que estamos en una red aislada al de la
LAN.
Queremos obtener el password del SSID EMPLEADOS.

Como tenemos acceso a la red, vamos a tratar de conectarnos al dispositivo Wireless (Que
para este caso ser un Router Inalmbrico) ya que suponemos que no le dan tanta
prioridad al tema de seguridad.
Miramos desde nuestra maquina la direccin IP del Gateway.

root@bt#
Gateway)

route

(Para ver la tabla de enrutamiento local, y ver cul es nuestro

Una vez que conocemos la direccin IP del Gateway, haremos un Escaneo de este
dispositivo para obtener ms informacin.
Utilizamos la herramienta NMAP
root@bt# nmap Ss <IP_Objetivo>

Bueno, ya en este paso sabemos la direccin MAC del Dispositivo Wireless, Adems de los
puertos abiertos y que de seguro el 80 es para la administracin por HTTP.
Ahora, consultaremos en la pgina oficial de la IEEE esa Mac-Address a que dispositivo
hace referencia

Vaya, ya sabemos que el dispositivo en un Cisco-Links. (Router Inalmbrico)

Ahora lo que haremos sera cargar una herramienta con la que realizaremos un ataque de
fuerza bruta para tratar de encontrar el user y Password de acceso.
Pero.. Para que nos sirvio saber que tipo de dispositivo es? Pues si tenemos un
diccionario que depende de la marca del dispositivo seria un paso necesario, o si
queremos saber las caracterisiticas del dispositivo para planear que haremos una vez
ingresemos.
Cargamos la herramient XHydra
root@bt# xhydra
Nos cargara una herramienta grafica.

En la primera pestaa TARGET

Single Target = Un objetivo especifico y ponemos la Direccion IP

Port= Sabemos que tiene el puerto 80 Open y seguramente es para la administracin por
HTTP.

Luego pasamos a la pestaa PASSWORDS.

Username= Cargamos un archivo de diccionario con los users mas comunes (donde
especificaremos una lista de Usuarios) hay una gran cantidad de estos archivos de
distribucin publica en internet)

Password= Hacemos lo mismo que en la pestaa Username, pero aqu ubicamos la ruta
donde est el archivo de Password.

En la pestaa TUNING podemos ver algunos parmetros adicionales como:

Number of Task= Numero de tareas que ejecutara
Use a HTTP/HTTPS Proxy= SI estamos detrs de un servidor Proxy
Aplica)

(En este caso no

Por ultimo, pasamos a la pestaa START Donde damos clic en el boton start para que
inicie con el ataque de fuerza bruta.

Lo que har a continuacin, ser probar el ataque contar el dispositivo wireless para
obtener acceso a las credenciales de administracin.
Este ataque lo que hace es probar el primer usuario con cada uno de los password
previamente establecidos en el diccionario y tratar de conectarse por HTTP a la IP
Especificada.
Muy enredado?
Pues sera algo como:
http://192.168.1.1
http://192.168.1.1
http://192.168.1.1
http://192.168.1.1
http://192.168.1.1
http://192.168.1.1

user=admin
user=admin
user=admin
user=admin
user=admin
user=admin

password= a
password= b
password= c
password= d
password= e
password= f

Resultado: NO ES, encontes continuo

Resultado: NO ES, encontes continuo
Resultado: NO ES, encontes continuo
Resultado: NO ES, encontes continuo
Resultado: NO ES, encontes continuo
Resultado: NO ES, encontes continuo

As sucesivamente hasta lograr la combinacin correcta. La herramienta en este caso

XHydra tiene la capacidad de realizar N Cantidad (NO Pude encontrar este dato, pero s
que son muchsimas) combinaciones posibles por segundo..
10

Hasta que

La herramienta nos muestra las credenciales validas.

En este caso user: root y el password: admin.
Sucedi algo extrao, y fue al tratar de explicar el ejercicio a unos compaeros, que
sorpresa me lleve cuando el resultado de realizar nuevamente esta operacin fue:

11

Manager ? De donde sali ese usuario. Cada que realizaba nuevamente la operacin me
arrojaba un usuario diferente pero con el mismo password.
La vulnerabilidad es que este dispositivo no valida el USUARIO como credencial de acceso,
sino el password as que si le ponemos como usuario uno cualquiera y password admin
nos permitir el ingreso.

Y pudimos acceder a la pgina de administracin del Router Inalmbrico

12

CIFRADO WEP. EL QUE UTILIZAN NUESTROS ISP

Esta es otra de las vulnerabilidades ms comunes y es el cifrado WEP.
Muchos de los ISP instalan en nuestros hogares dispositivos Wireless y el cifrado que
configuran en el dispositivo es WEP.
Aqu es donde entra una de mis inquietudes, si se sabe que el cifrado WEP es vulnerable y
se puede romper fcilmente, porque todava lo utilizan? La respuesta a este interrogante
es la COMPATIBILIDAD, ya que en los hogares se puede tener gran diversidad de
dispositivos que quieren conectarse a la Wireless para navegar en internet.
Pues no todos estos dispositivos soportan mtodos de encripcion como WPA o WPA2
(Que son cifrados mucho ms robustos y seguros)
Ahora, explicare como romper un cifrado WEP con longitud de sus claves de 128 Bits.
64 o 128 Bits?
Longitud clave Cifrar
64 Bits
128 Bits

Caracteres ASCII
5
13

Caracteres Hexadecimal
10
26

13

Lo primero, es verificar que nuestra tarjeta inalmbrica soporte el modo Monitor.

root@bt# iwconfig

Si nuestra tarjeta de red Soporta el Modo Monitor, nos mostrara a la salida de este
comando la interfaz de red Wireless en caso contrario no nos mostrara ningn
adaptador.
root@bt# airmon-ng start wlan0
Ahora lo que haremos ser verificar que la tarjeta de red Wireless haya iniciado
correctamente en Modo Monitor.

14

root@bt# iwconfig

Bueno, ahora empezamos a escanear las redes Wireless para encontrar nuestro Target.

15

root@bt# irodump-ng mon0

Vaya, encontramos solo 2 SSID (Eso seguro fue porque lo prob un sbado en la Noche )
Lo realmente importante es que detecto una red con SSID PLANETATIERRA con cifrado
WEP.
La potencia esta en -59db lo que nos indica que estamos relativamente cerca del equipo
asi quque podremos realizar las pruebas tranquilamente.
Muchas veces sucede que
cuando el equipo Wireless se encuentra muy lejos, tenemos problemas al recibir los
Beacons Frames, paquetes de asociacin o de inyeccin, entonces causara que tardemos
demasiado o que el resultado no sea exitoso.
Ahora lo que haremos, ser capturar todo el trafico posible.
root@bt# airodump-ng -c 1 w /home/root/pruebaswireless/ --bssid <MAC Address
TARGET>

Aqu vemos el escaneo que estamos realizando, los #DATA son los paquetes que captura
nuestra interfaz de red, (En este caso 0) mmm esperamos un rato y los #DATA se
encontraba en 15.
Algo importante a tener en cuenta, es que para garantizar el xito del ataque:
CIFRADO
64 Bits
128 Bits

#DATA
5.000 - 30.000
80.000 - 150.000

16

Ahora, lo que haremos ser Inyectar PAQUETES para agilizar el proceso de captura de
Trafico.
Lo que haremos ser tratar de crear una falsa autenticacin con el Dispositivo Wireless.
root@bt# aireplay-ng -1 0 a <Mac TARGET> mon0

Ahora empezamos a inyectar Paquetes.

17

Depende mucho el tipo de adaptador Wireless, ya que muchos tienen la propiedad de ser
mas sensibles y de enviar una mayor cantidad de paquetes en pocos segundos.
En la imagen vemos que lleva enviados 5103 Paquetes.

Y como son estos paquetes?

Pusimos un Snnifer en la red y pudimos observar una gran cantidad de paquetes, son TCP
y vemos que enva un Sync con el que pretende establecer una conexin y el dispositivo
wireless responde con un ACK. (Podemos ver en la captura que el que responde es un DLink )

18

Explicandolo mas detalladamente, este proceso es algo como:

Hola, soy
---Hola, soy
---Hola, soy
---Hola, soy
----

el equipo XXXX y deseo establecer una conexin Contigo --

OK responde

el equipo XXXX y deseo establecer una conexin Contigo --

OK responde

el equipo XXXX y deseo establecer una conexin Contigo --

OK responde

el equipo XXXX y deseo establecer una conexin Contigo --

OK responde

Una vez tenemos capturados una gran cantidad de paquetes (Los podemos ver en los
#Data) iniciamos el proceso de desencripcion con la herramienta AIRCRACK.
root@bt#
aircrack-ng
-n
<Ruta_del_Archivo_que_almaceno_Trafico>

128

-b

<Mac

Target>

19

Y el resultado fue Exitoso.

KEY FOUND (Muestra la clave en Hexadecimal o en Ascci)
Pudimos Romper la clave y ahora ya sabemos cual es la clave del SSID PLANETATIERRA

20

CIFRADO WPA. ESTOY PROTEGIDO COMPLETAMENTE

Gerix IT que es una interfaz grfica para la Suite Aircrack-NG Que incluye herramientas
adicionales.
Actualmente Gerix Wifi Cracker est disponible y soportado nativamente por BackTrack
(En sus versiones 4, 5, 5 R1 y 5 R2) y disponible en los repositorios de todas las
distribuciones basadas en Debian (Ubuntu, Kubuntu)
El programa requiere que se tenga: aircrack-ng, y python-qt3.
Para abrirlo en nuestra distribucin Backtrack lo encontramos en:
Applications/BackTrack/ExplotationTools/WirelessExplotation/WLANExplotaiton/Gerixwificracker-ng
Una vez abrimos la herramienta, lo que haremos sera seleccionar nuestra interfaz de red
y habilitarla en modo monitor.
Nota: Debemos de estar seguros que nuestra tarjeta wireless soporta el modo monitor,
para ver el procedimiento ir a la pagina #

21

Seleccionamos la tarjeta de red Wireless (La #1) y damos clic en Enable/Disable Monitor
Mode una vez hecho esto, creara un adaptador con nombre mon0 (Mode Monitor)
En la parte inferior de la pantalla, damos clic en el botn RESCAN NETWORK (Para
escanear y detectar las redes wireless en nuestro alrededor)

22

Vemos el SSID de la red PLANETATIERRA,

superiores y elegimos WPA

ahora nos desplazamos por los menu

23

Aqu, lo que haremos ser detectar el trafico de la red asociado con el SSID anteriormente
seleccionado.
Damos clic en Start Sniffing and Logging

Vemos los #Data capturados, pero a diferencia de WEP aqu de nada nos sirve tener
mucho trafico capturado, necesitamos es el HANDSHAKE

24

HANDSHAKE
Esta palabra traducida al espaol signfica Apretn de Manos, es el proceso de
negociacin que se establece de manera dinmica entre 2 entidades (En este caso un
cliente que solicita conectarse a un Dispositivo Wireless)

Durante este proceso, se negocean algunos parmetros como la Tasa de Transferencia, el

canal, la encripcion (Definida a travs de una clave)
Sabemos que hay un cliente conectado en la red Wireless, lo que haremos sera enviar
unos paquetes para tratar de desauntenticarlo y que inicie nuevamente el proceso de
autenticacin con el dispositivo wireless, como estamos interceptando todo el trafico
estaremos pendientes de este proceso para capturar el Handshake.
Damos clic en WPA Attack, (En la pestaa WPA) y carga la mac address de la victima (El
host conectado en la red) damos clic en el Boton Client Deasuthentication

25

Y empieza a enviar unos paquetes de desauntenticacion, que hara el cliente?? Ps al ver

que esta desauntenticado inicia el proceso de autenticacin y es all cuando capturamos el
HANDSHAKE.

La suite de Aircrack realizara el resto del proceso.

26

KEY FOUND:
Encontr el password de conexin a la red wireless.
Como ves, al tener un cifrado WPA no quiere decir que tenga un cifrado verdaderamente
fuerte y que no pueda ser comprometido por algn atacante.

Los contenidos de este docuemento estn sujetos a una licencia de Creative Commons
Commons Attribution 3.0 License.

27