Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría Wireless WiFiSlax 2.0 PDF
Auditoría Wireless WiFiSlax 2.0 PDF
WiFiSlax 2.0
Tecnologías de Red
2
6. Obtener la clave WPA/PSK de la red atacada ................................................................20
Ataques sin éxito realizados con WiFiSlax 2.0 ............................................................................24
¿Cómo entrar a una red inalámbrica protegida con WPA2/PSK? ...........................................24
Problemas surgidos: ...........................................................................................................25
Bibliografía .................................................................................................................................27
3
Introducción al mundo Wireless
802.11A (5,1-5,2 GHZ , 5,2-5,3 GHZ, 5,7-5,8 GHZ ), 54 MBPS. OFDM: MULTIPLEXACIÓN POR
DIVISIÓN DE FRECUENCIAS ORTOGONAL
802.11B (2,4-2,485 GH Z), 11 MBPS .
802.11 C DEFINE CARACTERÍSTICAS DE AP COMO BRIDGES.
802.11D MÚLTIPLES DOMINIOS REGULADORES ( RESTRICCIONES DE PAÍSES AL USO DE
DETERMINADAS FRECUENCIAS ).
802.11E CALIDAD DE SERVICIO (Q OS).
802.11F PROTOCOLO DE CONEXIÓN ENTRE PUNTOS DE ACCESO (AP), PROTOCOLO IAPP: INTER
ACCESS POINT PROTOCOL.
802.11 G (2,4-2,485 GH Z), 36 O 54 MBPS. OFDM: MULTIPLEXACIÓN POR DIVISIÓN DE
FRECUENCIAS ORTOGONAL. APROBADO EN 2003 PARA DAR MAYOR VELOCIDAD CON
CIERTO GRADO DE COMPATIBILIDAD A EQUIPAMIENTO 802.11B .
802.11H DFS: DYNAMIC FREQUENCY S ELECTION , HABILITA UNA CIERTA COEXISTENCIA CON
HIPERLAN Y REGULA TAMBIÉN LA POTENCIA DE DIFUSIÓN.
802.11I SEGURIDAD (APROBADA EN J ULIO DE 2004).
802.11J PERMITIRÍA ARMONIZACIÓN ENTRE IEEE (802.11), ETSI (HIPERLAN2) Y ARIB
(HISWANA ).
802.11M MANTENIMIENTO REDES WIRELESS .
Conceptos básicos
Punto de acceso (AP/PA): Se trata de un dispositivo que ejerce básicamente funciones de
Puente entre una red Ethernet cableada con una red WiFi sin cables.
Clientes WiFi: Equipos portátiles (PDAs, portátiles,..) con tarjetas WiFi (PCMCIA, USB o
MINI-PCI) y equipos sobremesa con tarjetas WiFi (PCI, USB o internas en placa).
4
SSID (Service Set Identification): Este identificador suele emplearse en las redes
Wireless creadas con Infraestructura. Se trata de un conjunto de Servicios que agrupan
todas las conexiones de los clientes en un sólo canal.
Roaming: Propiedad de las redes WiFi por la los clientes pueden estar en movimiento a ir
cambiando de punto de acceso de acuerdo a la potencia de la señal.
Beacon frames: Los Puntos de Acceso mandan constantemente anuncios de la red, para
que los clientes móviles puedan detectar su presencia y conectarse a la red wireless. Estos
“anuncios” son conocidos como beacon frames, si esnifamos las tramas de una red
wireless podremos ver que normalmente el AP manda el ESSID de la red en los beacon
frames, aunque esto se puede deshabilitar por software en la mayoría de los AP que se
comercializan actualmente.
Las redes Wireless son de por sí más inseguras que las redes con cables, ya que el
medio físico utilizado para la transmisión de datos son las ondas electromagnéticas. Para
proteger los datos que se envían a través de las WLANs, el estándar 802.11b define el uso
del protocolo WEP, que intenta proveer de la seguridad de una red con cables a una red
Wireless, encriptando los datos que viajan sobre las ondas en las dos capas más bajas del
modelo OSI (capa física y capa de enlace).
5
WPA (Wireless Protected Access)
Estándar desarrollado por WiFi alliance para ser el sustituto del WEP. Está
incorporado en la definición 802.11i de IEEE. Ha sido diseñado para que sea compatible
con la mayor cantidad de dispositivos Wireless del mercado. Las diferencias con respecto
a WEP son:
Ilustración 1
6
Auditoría Wireless: WiFiSlax 2.0
¿Qué es WiFiSlax?
Wifislax está basado principalmente en SLAX (basado en la distribución Slackware
Linux). Incorpora reconocimiento de muchas de las tarjetas inalámbricas (wireless) del
mercado cumpliendo así el objetivo final de tener una herramienta de seguridad orientada
al trabajo de la auditoria inalámbrica.
En estos momentos no hay en Internet ninguna live CD que esté integrada con los
drivers de las famosa ipw2200, los rt73 de las nuevas tarjeta USB con chipset ralink, y las
nuevas PCI con el chipset rt61. Y no solo se ocupa del simple análisis pasivo a través del
modo monitor con cualquier sniffer sino que además WifiSlax está dotada de los parches
necesarios para la aceleración de tráfico.
Madwifi-
RT2500
ng ZD1211
IPW2200 RTL8185
rw
Wlan-ng RT73
7
Herramientas comunes que incorpora WiFiSlax (2)
Ilustración 2
El menú ‘Wifislax’ contiene las herramientas que luego analizaremos para realizar
la auditoría Wireless.
El menú ‘Internet’ contiene herramientas como Navegadores de Internet
(Konqueror y Firefox), programas de Mensajería Instantánea (Skype, XChat IRC, Kopete),
utilidades de Conexión Remota (Remote Desktop, VNC y VPN) y por último podemos
encontrar ‘Tor Controller (Tork)’.
Tork es un programa mediante el cual vamos a poder navegar anónimamente a
través de internet y mantener a salvo nuestra privacidad en la navegación gracias a la
conexión a diferentes servidores proxy. La principal ventaja del uso de Tork es la
aceptable velocidad con la que navegamos por internet.
Ilustración 3
8
En el menú ‘Multimedia’ encontraremos los típicos programas de reproducción y
grabación de audio, y un útil Visor y Lector de PDF.
En el menú ‘Sistema’, la herramienta ‘Info Center’ nos permite editar cualquier
parámetro hardware de nuestro PC. Además también se incluye un útil visor de procesos
llamado ‘Performance Monitor’.
Por último el menú ‘Configuración’ nos ofrece la utilidad ‘Configuración del panel’
que permite definir la interfaz gráfica de nuestro escritorio. La herramienta ‘Centro de
Control’ sirve para definir cualquier parámetro del sistema operativo (como passwords,
administración eléctrica , etc.)
Suite Actual
Cortesía de Backtrack & Slax
9
Ataques realizados con WiFiSlax 2.0 (3)
Por lo que respecta al material hardware utilizado para este ataque fue una tarjeta
Wireless con el chipset Ralink RT2500.
Aircrack-ng Herramienta para crackear por fuerza bruta o por diccionario claves
WEP o WPA.
Herramienta para desencriptar archivos .cap que contienen información
Airdecap-ng de la red atacada.
Herramienta para inyectar tráfico en la red y conseguir paquetes con
Aireplay-ng datos más rápidamente.
Herramienta para poner una tarjeta en modo promiscuo o modo
Airmong-ng monitor.
Herramienta que captura el tráfico de la red atacada y guarda toda la
Airodump-ng captura en un archivo .cap
Herramienta que recopila todas las utilidades de las herramientas
Kismet citadas anteriormente.
RT2500
00:60:B3:**:**:**
WLAN_E5
Ilustración 4
10
¿Cómo entrar a una red inalámbrica protegida con WEP?
1. Identificar y activar el interfaz de red que usaremos en el ataque
Antes de comenzar con todos los pasos de nuestro ataque, debemos configurar la
interfaz de red con la que atacaremos, para ello vamos a comprobar que está activa en el
sistema mediante el comando iwconfig, y seguidamente habilitaremos dicho interfaz si
está inactivo con el comando ifconfig ra0 up.
Ilustración 5
Ilustración 6
11
Debemos indicarle el ‘Dispositivo’ (seleccionaremos el interfaz de red por el que se
va a realizar el ataque) que en nuestro caso va a ser ‘ra0’. Indicaremos el driver que utiliza
el interfaz seleccionado (en nuestro caso RT2500). Y para finalizar indicamos un nombre
para el interfaz.
Ilustración 7
Ilustración 8
12
En el lanzador gráfico de esta herramienta el único parámetro que debemos
seleccionar es ‘Dispositivo’ donde elegiremos el interfaz de red de nuestra tarjeta.
Este punto de nuestro ataque es el más importante, ya que ahora es cuando vamos
a recopilar los paquetes necesarios para obtener la clave WEP. Para ello vamos a utilizar
la herramienta Airodump-ng (Menú WiFiSlax Suite Actual Esniffer redes wireless
(Airdump-ng))
Ilustración 9
En el lanzador gráfico solo tendremos que indicarle el nombre del fichero que se va
a crear con todas las capturas.
Pero debido a que este método sondea todos los canales por los que puede estar
emitiendo la red atacada, hemos preferido en nuestro ataque utilizar el airodump a través
de la consola, ya que nos ofrece la posibilidad de indicarle como parámetro el canal que
queremos que realice la captura. Para ello debemos teclear en la consola:
13
Ilustración 10
Para concluir nuestro ataque, vamos a obtener la clave WEP a través de los
paquetes capturados. Para ello vamos a utilizar la herramienta Aircrack-ng (Menú
WiFiSlax Suite Actual Análisis de claves wireless (Aircrack-ng))
Ilustración 11
En el lanzador gráfico solo tendremos que indicarle el nombre del fichero que va a
utilizarse para encontrar la clave WEP.
14
Pero debido a que este método no recibe el número de bits que puede utilizar la
clave WEP (64 o 128), hemos preferido en nuestro ataque utilizar el aircrack-ng a través
de la consola, ya que nos ofrece la posibilidad de indicarle como parámetro la cantidad de
bits de la clave. Para ello debemos teclear en la consola:
# aircrack-ng –n 64 captura.cap
Ilustración 12
Ilustración 13
15
El resultado del proceso de análisis es la clave de la red atacada, que es:
Z001349816E5.
Antes de comenzar con todos los pasos de nuestro ataque, debemos configurar la
interfaz de red con la que atacaremos, para ello vamos a comprobar que está activa en el
sistema mediante el comando iwconfig, y seguidamente habilitaremos dicho interfaz si
está inactivo con el comando ifconfig ra0 up.
Ilustración 14
Ilustración 15
16
Debemos indicarle el ‘Dispositivo’ (seleccionaremos el interfaz de red por el que se
va a realizar el ataque) que en nuestro caso va a ser ‘ra0’. Indicaremos el driver que utiliza
el interfaz seleccionado (en nuestro caso RT2500). Y para finalizar indicamos un nombre
para el interfaz.
Ilustración 16
Ilustración 17
17
En el lanzador gráfico de esta herramienta el único parámetro que debemos
seleccionar es ‘Dispositivo’ donde elegiremos el interfaz de red de nuestra tarjeta.
Este punto de nuestro ataque es el más importante, ya que ahora es cuando vamos
a recopilar los paquetes necesarios para obtener la clave WEP. Para ello vamos a utilizar
la herramienta Airodump-ng (Menú WiFiSlax Suite Actual Esniffer redes wireless
(Airdump-ng))
En el lanzador gráfico solo tendremos que indicarle el nombre del fichero que se va
a crear con todas las capturas.
Pero debido a que este método sondea todos los canales por los que puede estar
emitiendo la red atacada, hemos preferido en nuestro ataque utilizar el airodump a través
de la consola, ya que nos ofrece la posibilidad de indicarle como parámetro el canal que
queremos que realice la captura. Para ello debemos teclear en la consola:
Nos interesan los campos BSSID, # Data, ENC, ESSID; estos campos nos indican la
dirección MAC del AP, el numero de IVs que han sido capturados, el metodo de
encriptación y el ESSID del AP respectivamente.
Ilustración 18
18
5. Generar el “Handshake” necesario para realizar el ataque
¿Qué es un “Handshake”?
Ilustración 19
Este método es probablemente el más útil para recuperar un ESSID oculto así
como para capturar el “handshake”.
19
Habrá que tener cuidado en no dejar el dispositivo cliente inoperativo, que es lo
más normal en este tipo de ataques.
El efecto que se produce en el dispositivo cliente es inmediato, tal y como se puede
apreciar.
Ilustración 20
Para concluir nuestro ataque, vamos a obtener la clave WPA a través de los
paquetes capturados. Para ello vamos a utilizar la herramienta Aircrack-ng (Menú
WiFiSlax Suite Actual Análisis de claves wireless (Aircrack-ng))
Hay que tener en cuenta que con un solo “handshake” es suficiente y que hay que
compararlo con un diccionario, es decir, por fuerza bruta. Teniendo en cuenta estos dos
factores dependerá de la calidad de nuestro diccionario el éxito ante este tipo de ataque,
que en definitiva tiene un gran porcentaje de suerte.
Ilustración 21
20
Donde –a indicamos el tipo de ataque (1WEP, 2 WPA), -e corresponde al
ESSID del AP atacado y con -w indicamos el path del diccionario.
En el método anterior vimos como se podía romper el protocolo WPA con clave
precompartida PSK (TKIP), a través de un ataque de fuerza bruta.
Una vez obtenida la clave del protocolo WPA-PSK(TKIP) obtuvimos las siguientes
conclusiones
Para acelerar este proceso es necesario precalcular el PMK, para ello podemos
utilizar la utilidad genpmk de Cowpatty.
El PMK esta compuesto por una serie de valores o atributos donde el SSID y la
longitud del mismo entre otros son siempre los mismos para un mismo dispositivo.
Siendo esto así podremos precalcular un hash PMK donde solo se compare el valor
cambiante, es decir, la clave.
Probablemente nunca podremos recopilar todos los ESSID por defecto y menos
aún generarlos con un diccionario de más de 50 millones de entradas, tardaríamos un
tiempo excesivo. De ahí la importancia de compartir este tipo de ficheros.
21
1. Generar el fichero de hash con ‘Genpmk’
A continuación mostraremos como generar los ficheros de hash y hacer uso de los
mismos. En nuestro caso, precalcularemos el PMK para cada una de las entradas del
diccionario con el ESSID WLAN_E5.
Ilustración 22
Ilustración 23
22
El resultado del proceso de análisis es la clave de la red atacada, que es:
‘estoesunaprueba’.
Como se puede observar ha testeado 29754 claves en 664,41 segundos, muy por
debajo de las más de 5 horas de la vez anterior.
23
Ataques sin éxito realizados con WiFiSlax 2.0
dd-wrt
Ilustración 24
24
Problemas surgidos:
El SP2 también incluye soporte para el Acceso protegido Wi-Fi (Wi-Fi Protected
Access 2, o WPA2). El WPA2 cumple el estándar FIPS (Federal Information Processing
Standard) 140-2 norteamericano, y mejora la seguridad Wi-Fi añadiendo soporte para
encriptación AES (Advanced Encryption Standard) y autentificación 802.1x. El soporte
para WPA2 “se instala por defecto”, en caso contrario podemos encontrar el paquete de
instalación (KB893357) en la web de soporte de Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=66
2bb74d-e7c1-48d6-95ee-1459234f4483
Ilustración 25
El router utilizado en este último ataque no contaba con protección WPA2, por este
motivo se actualizó el firmware a un firmware libre para diversos routers inalámbricos o
WIFI, el DD-WRT. Es muy común observarlo en equipos Linksys WRT54G (el utilizado en
nuestro caso). Ejecuta un reducido sistema operativo basado en Linux. Está licenciado bajo
la GNU General Public License versión 2.
25
Aparte de otras características que no se encuentran en el firmware original de
Linksys, DD-WRT incluye el demonio de la red de juego Kai, IPv6, Sistema de Distribución
Inalámbrico (WDS), RADIUS, controles avanzados de calidad de servicio (QoS) para la
asignación de ancho de banda y control de potencia (con un ajuste posible de hasta
251mW, mucho mayor que la potencia por defecto del router).
Conclusión final:
26
Bibliografía
1. Fora, Pau Oliva. (In)seguridad en redes 802.11b. [En línea] Marzo de 2003.
http://pof.eslack.org/wireless/.
27