Auditoría Wireless:

WiFiSlax 2.0
Tecnologías de Red

Juan Esparza Torregrosa

Andrea Cascant Vañó1
Diana Aparisi Martín
Contenido

Introducción al mundo Wireless ..................................................................................................4

¿Qué es WLAN y WIFI? .............................................................................................................4
¿Cuáles son los estándares IEEE de 802.11? ............................................................................4
Conceptos básicos ....................................................................................................................4
Punto de acceso (AP/PA): .....................................................................................................4
Clientes WiFi:........................................................................................................................4
SSID (Service Set Identification): ..........................................................................................5
Roaming: ..............................................................................................................................5
Beacon frames:.....................................................................................................................5
Seguridad en redes Wireless (1) ...............................................................................................5
Aspectos fundamentales en redes WiFi ...............................................................................5
WEP (Wired Equivalent Privacy) ...........................................................................................5
WPA (Wireless Protected Access) ........................................................................................6
EAP (Extensible Authentication Protocol) y 802.11i .............................................................6
Auditoría Wireless: WiFiSlax 2.0...................................................................................................7
¿Qué es WiFiSlax? ....................................................................................................................7
Entorno, estructura y contenido de WifiSlax ............................................................................7
Soporte para los chipset de las tarjetas Wireless .................................................................7
Herramientas comunes que incorpora WiFiSlax (2) .............................................................8
Herramientas orientadas a la auditoría Wireless .................................................................9
Ataques realizados con WiFiSlax 2.0 (3) .....................................................................................10
¿Cómo entrar a una red inalámbrica protegida con WEP?.....................................................11
1. Identificar y activar el interfaz de red que usaremos en el ataque .................................11
2. Identificar la red que va ser atacada y el canal en el que emite .....................................11
3. Conmutar el interfaz atacante a modo monitor .............................................................12
4. Capturar tráfico de paquetes de la red atacada .............................................................13
5. Obtener la clave WEP de la red atacada ........................................................................14
¿Cómo entrar a una red inalámbrica protegida con WPA/PSK? .............................................16
1. Identificar y activar el interfaz de red que usaremos en el ataque .................................16
2. Identificar la red que va ser atacada y el canal en el que emite .....................................16
3. Conmutar el interfaz atacante a modo monitor .............................................................17
4. Capturar tráfico de paquetes de la red atacada .............................................................18
5. Generar el “Handshake” necesario para realizar el ataque ............................................19

2
 6. Obtener la clave WPA/PSK de la red atacada ................................................................20
Ataques sin éxito realizados con WiFiSlax 2.0 ............................................................................24
¿Cómo entrar a una red inalámbrica protegida con WPA2/PSK? ...........................................24
Problemas surgidos: ...........................................................................................................25
Bibliografía .................................................................................................................................27

3
Introducción al mundo Wireless

¿Qué es WLAN y WIFI?

Wireless Lan puede definirse como a una red que cubre un entorno geográfico
limitado, que tiene como medio de transmisión el aire y que tiene una velocidad de
transferencia mayor a 1mbps.
Wi-Fi es un conjunto de estándares para redes inalámbricas basados en las
especificaciones IEEE 802.11. Creado para ser utilizado en redes locales inalámbricas.

¿Cuáles son los estándares IEEE de 802.11?

802.11A (5,1-5,2 GHZ , 5,2-5,3 GHZ, 5,7-5,8 GHZ ), 54 MBPS. OFDM: MULTIPLEXACIÓN POR
DIVISIÓN DE FRECUENCIAS ORTOGONAL
802.11B (2,4-2,485 GH Z), 11 MBPS .
802.11 C DEFINE CARACTERÍSTICAS DE AP COMO BRIDGES.
802.11D MÚLTIPLES DOMINIOS REGULADORES ( RESTRICCIONES DE PAÍSES AL USO DE
DETERMINADAS FRECUENCIAS ).
802.11E CALIDAD DE SERVICIO (Q OS).
802.11F PROTOCOLO DE CONEXIÓN ENTRE PUNTOS DE ACCESO (AP), PROTOCOLO IAPP: INTER
ACCESS POINT PROTOCOL.
802.11 G (2,4-2,485 GH Z), 36 O 54 MBPS. OFDM: MULTIPLEXACIÓN POR DIVISIÓN DE
FRECUENCIAS ORTOGONAL. APROBADO EN 2003 PARA DAR MAYOR VELOCIDAD CON
CIERTO GRADO DE COMPATIBILIDAD A EQUIPAMIENTO 802.11B .
802.11H DFS: DYNAMIC FREQUENCY S ELECTION , HABILITA UNA CIERTA COEXISTENCIA CON
HIPERLAN Y REGULA TAMBIÉN LA POTENCIA DE DIFUSIÓN.
802.11I SEGURIDAD (APROBADA EN J ULIO DE 2004).
802.11J PERMITIRÍA ARMONIZACIÓN ENTRE IEEE (802.11), ETSI (HIPERLAN2) Y ARIB
(HISWANA ).
802.11M MANTENIMIENTO REDES WIRELESS .

Quizás el tema más importante a destacar es la posibilidad de expansión de

802.11. El incremento constante de mayores velocidades, hace que los 11 Mbps de
802.11b, estén quedando pequeños. La migración natural es hacia 802.11g, pues sigue
manteniendo la frecuencia de 2,4GHz, por lo tanto durante cualquier transición en la
que deban convivir, ambos estándares lo permiten. En cambio si se comienzan a instalar
dispositivos 802.11a, los mismos no permiten ningún tipo de compatibilidad con 802.11b,
pues operan en la banda de 5 GHz.

Conceptos básicos
Punto de acceso (AP/PA): Se trata de un dispositivo que ejerce básicamente funciones de
Puente entre una red Ethernet cableada con una red WiFi sin cables.

Clientes WiFi: Equipos portátiles (PDAs, portátiles,..) con tarjetas WiFi (PCMCIA, USB o
MINI-PCI) y equipos sobremesa con tarjetas WiFi (PCI, USB o internas en placa).

4
SSID (Service Set Identification): Este identificador suele emplearse en las redes
Wireless creadas con Infraestructura. Se trata de un conjunto de Servicios que agrupan
todas las conexiones de los clientes en un sólo canal.

Roaming: Propiedad de las redes WiFi por la los clientes pueden estar en movimiento a ir
cambiando de punto de acceso de acuerdo a la potencia de la señal.

Beacon frames: Los Puntos de Acceso mandan constantemente anuncios de la red, para
que los clientes móviles puedan detectar su presencia y conectarse a la red wireless. Estos
“anuncios” son conocidos como beacon frames, si esnifamos las tramas de una red
wireless podremos ver que normalmente el AP manda el ESSID de la red en los beacon
frames, aunque esto se puede deshabilitar por software en la mayoría de los AP que se
comercializan actualmente.

Seguridad en redes Wireless (1)

Las redes inalámbricas requieren nuevos conceptos de seguridad que se obvian en
las redes cableadas.

Un intruso que busque acceso a una LAN cableada se enfrenta irremediablemente

con el problema del acceso físico a la misma. En una WLAN el problema del intrusismo se
vuelve delicado. Es suficiente con permanecer en el área de cobertura, que puede ser muy
extensa, para estar en contacto con la red local. Puede incluso estar en movimiento.

Esta nueva situación obliga a la búsqueda de nuevas soluciones para garantizar la

seguridad de los usuarios.

Aspectos fundamentales en redes WiFi

Autenticidad y control de acceso: El usuario es quien dice ser.

Privacidad: La información no es legible por terceros.
Integridad: La información no puede ser alterada en tránsito.

WEP (Wired Equivalent Privacy)

Las redes Wireless son de por sí más inseguras que las redes con cables, ya que el
medio físico utilizado para la transmisión de datos son las ondas electromagnéticas. Para
proteger los datos que se envían a través de las WLANs, el estándar 802.11b define el uso
del protocolo WEP, que intenta proveer de la seguridad de una red con cables a una red
Wireless, encriptando los datos que viajan sobre las ondas en las dos capas más bajas del
modelo OSI (capa física y capa de enlace).

El protocolo WEP está basado en el algoritmo de encriptación RC4, y utiliza claves

de 64bits o de 128bits. En realidad son de 40 y 104 bits, ya que los otros 24 bits van en el
paquete como Vector de Inicialización (IV). Se utiliza un checksum para prevenir que se
inyecten paquetes spoofeados.

5
WPA (Wireless Protected Access)

Estándar desarrollado por WiFi alliance para ser el sustituto del WEP. Está
incorporado en la definición 802.11i de IEEE. Ha sido diseñado para que sea compatible
con la mayor cantidad de dispositivos Wireless del mercado. Las diferencias con respecto
a WEP son:

Utilización de claves dinámicas en vez de estáticas.

Distribución automática de claves en vez de manual.
Cada usuario tiene su clave en vez de ser compartidas.

EAP (Extensible Authentication Protocol) y 802.11i

Es un protocolo que sirve para adaptar a las redes inalámbricas protocolos ya

establecidos y otros nuevos. Este sistema requiere siempre un Servidor de Autenticación.
EAP utiliza dos WEP como claves de sesión que las partes implicadas acuerdan
durante la autentificación y que se cambia con una frecuencia que determina el
administrador del AP.
Un WEP es para el tráfico broadcast y otro se establece para cada cliente de
manera que los clientes no pueden escucharse mutuamente.

Ilustración 1

6
Auditoría Wireless: WiFiSlax 2.0

¿Qué es WiFiSlax?
Wifislax está basado principalmente en SLAX (basado en la distribución Slackware
Linux). Incorpora reconocimiento de muchas de las tarjetas inalámbricas (wireless) del
mercado cumpliendo así el objetivo final de tener una herramienta de seguridad orientada
al trabajo de la auditoria inalámbrica.

En estos momentos no hay en Internet ninguna live CD que esté integrada con los
drivers de las famosa ipw2200, los rt73 de las nuevas tarjeta USB con chipset ralink, y las
nuevas PCI con el chipset rt61. Y no solo se ocupa del simple análisis pasivo a través del
modo monitor con cualquier sniffer sino que además WifiSlax está dotada de los parches
necesarios para la aceleración de tráfico.

En lo que respecta a las aplicaciones, esta distribución incorpora ciertas

herramientas específicas para la auditoria wireless, y en la medida que ha sido posible, se
han intentado traducido al español, como por ejemplo el airoscript. Así como una serie de
lanzadores gráficos par facilitar el digamos estrés que muchos detractores de Linux
siempre han manifestado, que corresponde al exceso uso del teclado para muchas
herramientas, aunque no olvidar que dichos lanzadores solo aglutinan una ínfima parte de
las posibilidades de desarrollo con el trabajo con comandos básicos.

Entorno, estructura y contenido de WifiSlax

WifiSlax tiene la misma estructura que cualquier distribución de Linux existente,
con la única diferencia de poseer una serie de interfaces gráficos con correspondencia a
cada uno de los drivers de tarjetas Wireless más famosos del mercado.
Estos lanzadores gráficos son adaptaciones de famosas herramientas de auditoría
Wireless, centrándonos en la tecnología Bluetooth y WiFi.

Soporte para los chipset de las tarjetas Wireless

Drivers Intel pro

Ralink Zydas Realtek
Linux Wireless

Pism54 RT2570 ZD1201 IPW2100 RTL8180

Madwifi-
RT2500
ng ZD1211
IPW2200 RTL8185
rw
Wlan-ng RT73

HostAP RT61 ZD1211b IPW3945 RTL8187

7
Herramientas comunes que incorpora WiFiSlax (2)

WiFiSlax incorpora una serie de herramientas comunes que podemos encontrar en

otras distribuciones de Linux, en la Ilustración 2 se muestra el menú principal de la
distribución:

Ilustración 2

El menú ‘Wifislax’ contiene las herramientas que luego analizaremos para realizar
la auditoría Wireless.
El menú ‘Internet’ contiene herramientas como Navegadores de Internet
(Konqueror y Firefox), programas de Mensajería Instantánea (Skype, XChat IRC, Kopete),
utilidades de Conexión Remota (Remote Desktop, VNC y VPN) y por último podemos
encontrar ‘Tor Controller (Tork)’.
Tork es un programa mediante el cual vamos a poder navegar anónimamente a
través de internet y mantener a salvo nuestra privacidad en la navegación gracias a la
conexión a diferentes servidores proxy. La principal ventaja del uso de Tork es la
aceptable velocidad con la que navegamos por internet.

Ilustración 3

8
 En el menú ‘Multimedia’ encontraremos los típicos programas de reproducción y
grabación de audio, y un útil Visor y Lector de PDF.
En el menú ‘Sistema’, la herramienta ‘Info Center’ nos permite editar cualquier
parámetro hardware de nuestro PC. Además también se incluye un útil visor de procesos
llamado ‘Performance Monitor’.
Por último el menú ‘Configuración’ nos ofrece la utilidad ‘Configuración del panel’
que permite definir la interfaz gráfica de nuestro escritorio. La herramienta ‘Centro de
Control’ sirve para definir cualquier parámetro del sistema operativo (como passwords,
administración eléctrica , etc.)

Herramientas orientadas a la auditoría Wireless

La distribución Wifislax presenta una serie de utilidades para la auditoría Wireless,

en este gráfico se señalan las más importantes:

Misc Wifislax wireless Esniffer Redes

Herramientas Wireless

Suite Actual
Cortesía de Backtrack & Slax

Reversing Wireless Lan Manager Wireless (Airodump-

ng)
Services Asistente Wireless
Habilitación modo
Forensics Monitorización monitor (Airmon-ng)
Database Wireless (Kismet)
Tratamiento de datos
Cisco Interfaces Wireless Wireless (Airdecap-ng)
reconocidas
Bluetooth Análisis claves
Script Auditoría Wireless (Aircrack-ng)
802.11 Wireless (Airoscript)
Inyección de tráfico
Tunneling Cambiar MAC Wireless (Aireplay-ng)
Sniffers (Macchanger)
Spoofing PCMCIA predefinidas
Fuzzers
PasswordAttacks
Enumeration
Exploit
Scanners

9
Ataques realizados con WiFiSlax 2.0 (3)
Por lo que respecta al material hardware utilizado para este ataque fue una tarjeta
Wireless con el chipset Ralink RT2500.

Las herramientas utilizadas en el ataque fueron las siguientes:

Aircrack-ng Herramienta para crackear por fuerza bruta o por diccionario claves
WEP o WPA.
Herramienta para desencriptar archivos .cap que contienen información
Airdecap-ng de la red atacada.
Herramienta para inyectar tráfico en la red y conseguir paquetes con
Aireplay-ng datos más rápidamente.
Herramienta para poner una tarjeta en modo promiscuo o modo
Airmong-ng monitor.
Herramienta que captura el tráfico de la red atacada y guarda toda la
Airodump-ng captura en un archivo .cap
Herramienta que recopila todas las utilidades de las herramientas
Kismet citadas anteriormente.

Podríamos considerar que el entorno de la red a la que procedemos atacar, está

distribuida de la siguiente manera, donde RT2500 es el equipo atacante, y WLAN_E5 es el
SSID de la red atacada.

RT2500

00:60:B3:**:**:**

WLAN_E5

Ilustración 4

10
¿Cómo entrar a una red inalámbrica protegida con WEP?
1. Identificar y activar el interfaz de red que usaremos en el ataque

Antes de comenzar con todos los pasos de nuestro ataque, debemos configurar la
interfaz de red con la que atacaremos, para ello vamos a comprobar que está activa en el
sistema mediante el comando iwconfig, y seguidamente habilitaremos dicho interfaz si
está inactivo con el comando ifconfig ra0 up.

Ilustración 5

2. Identificar la red que va ser atacada y el canal en el que emite

En primer lugar vamos a identificar la red que va a ser atacada, para

posteriormente analizar su SSID, MAC, y canal en el que está emitiendo. Estos tres factores
van a ser las bases de nuestro ataque.
Para identificarlos vamos a utilizar la herramienta Kismet (Menú  WiFiSlax 
Herramientas Wireless  Monitorización wireless (Kismet))

Ilustración 6

11
 Debemos indicarle el ‘Dispositivo’ (seleccionaremos el interfaz de red por el que se
va a realizar el ataque) que en nuestro caso va a ser ‘ra0’. Indicaremos el driver que utiliza
el interfaz seleccionado (en nuestro caso RT2500). Y para finalizar indicamos un nombre
para el interfaz.

Ilustración 7

Como podemos observar el SSID de la red que va a ser atacada es ‘WLAN_E5’,

donde ‘Ch’ es el canal en el que está emitiendo (en nuestro caso el 9).

3. Conmutar el interfaz atacante a modo monitor

Para activar el modo monitor de nuestra tarjeta vamos a utilizar la herramienta

Airmong-ng (Menú  WiFiSlax  Suite Actual Habilitación en modo monitor (Airmon-
ng))

Ilustración 8

12
 En el lanzador gráfico de esta herramienta el único parámetro que debemos
seleccionar es ‘Dispositivo’ donde elegiremos el interfaz de red de nuestra tarjeta.

4. Capturar tráfico de paquetes de la red atacada

Este punto de nuestro ataque es el más importante, ya que ahora es cuando vamos
a recopilar los paquetes necesarios para obtener la clave WEP. Para ello vamos a utilizar
la herramienta Airodump-ng (Menú  WiFiSlax  Suite Actual Esniffer redes wireless
(Airdump-ng))

Ilustración 9

En el lanzador gráfico solo tendremos que indicarle el nombre del fichero que se va
a crear con todas las capturas.
Pero debido a que este método sondea todos los canales por los que puede estar
emitiendo la red atacada, hemos preferido en nuestro ataque utilizar el airodump a través
de la consola, ya que nos ofrece la posibilidad de indicarle como parámetro el canal que
queremos que realice la captura. Para ello debemos teclear en la consola:

# airodump-ng –c 9 –w captura ra0

Donde –c corresponde al canal, -w corresponde a que escriba en el fichero

captura, y ra0 corresponde a la interfaz de la tarjeta wireless. Esta instrucción nos
mostrará la información de la Ilustración 10.
Nos interesan los campos BSSID, # Data, ENC, ESSID; estos campos nos indican la
dirección MAC del AP, el numero de IVs que han sido capturados, el metodo de
encriptación y el ESSID del AP respectivamente.
Teóricamente, necesitamos 500.000 paquetes para poder romper una clave WEP
de 64 bits y 1.000.000 para romper una de 128 bits, aunque pueden ser menos.

13
 Ilustración 10

5. Obtener la clave WEP de la red atacada

Para concluir nuestro ataque, vamos a obtener la clave WEP a través de los
paquetes capturados. Para ello vamos a utilizar la herramienta Aircrack-ng (Menú 
WiFiSlax  Suite Actual Análisis de claves wireless (Aircrack-ng))

Ilustración 11

En el lanzador gráfico solo tendremos que indicarle el nombre del fichero que va a
utilizarse para encontrar la clave WEP.

14
 Pero debido a que este método no recibe el número de bits que puede utilizar la
clave WEP (64 o 128), hemos preferido en nuestro ataque utilizar el aircrack-ng a través
de la consola, ya que nos ofrece la posibilidad de indicarle como parámetro la cantidad de
bits de la clave. Para ello debemos teclear en la consola:

# aircrack-ng –n 64 captura.cap

Donde –n corresponde al numero de bits, captura es el fichero con los paquetes

‘snifados’.

Ilustración 12

Como podemos observar en la Ilustración 12 el resultado del análisis de la clave

WEP ha sido erróneo, el motivo de ello es porque el número de bits que estamos indicando
en la instrucción anterior no es el correcto. En estos casos deberemos realizar el análisis
con una cantidad de 128 bits, para ello utilizamos la siguiente instrucción:

# aircrack-ng –n 128 captura.cap

Ilustración 13

15
 El resultado del proceso de análisis es la clave de la red atacada, que es:
Z001349816E5.

¿Cómo entrar a una red inalámbrica protegida con WPA/PSK?

1. Identificar y activar el interfaz de red que usaremos en el ataque

Antes de comenzar con todos los pasos de nuestro ataque, debemos configurar la
interfaz de red con la que atacaremos, para ello vamos a comprobar que está activa en el
sistema mediante el comando iwconfig, y seguidamente habilitaremos dicho interfaz si
está inactivo con el comando ifconfig ra0 up.

Ilustración 14

2. Identificar la red que va ser atacada y el canal en el que emite

En primer lugar vamos a identificar la red que va a ser atacada, para

posteriormente analizar su SSID, MAC, y canal en el que está emitiendo. Estos tres factores
van a ser las bases de nuestro ataque.
Para identificarlos vamos a utilizar la herramienta Kismet (Menú  WiFiSlax 
Herramientas Wireless  Monitorización wireless (Kismet))

Ilustración 15

16
 Debemos indicarle el ‘Dispositivo’ (seleccionaremos el interfaz de red por el que se
va a realizar el ataque) que en nuestro caso va a ser ‘ra0’. Indicaremos el driver que utiliza
el interfaz seleccionado (en nuestro caso RT2500). Y para finalizar indicamos un nombre
para el interfaz.

Ilustración 16

Como podemos observar el SSID de la red que va a ser atacada es ‘WLAN_E5’,

donde ‘Ch’ es el canal en el que está emitiendo (en nuestro caso el 9).

3. Conmutar el interfaz atacante a modo monitor

Para activar el modo monitor de nuestra tarjeta vamos a utilizar la herramienta

Airmong-ng (Menú  WiFiSlax  Suite Actual Habilitación en modo monitor (Airmon-
ng))

Ilustración 17

17
 En el lanzador gráfico de esta herramienta el único parámetro que debemos
seleccionar es ‘Dispositivo’ donde elegiremos el interfaz de red de nuestra tarjeta.

4. Capturar tráfico de paquetes de la red atacada

Este punto de nuestro ataque es el más importante, ya que ahora es cuando vamos
a recopilar los paquetes necesarios para obtener la clave WEP. Para ello vamos a utilizar
la herramienta Airodump-ng (Menú  WiFiSlax  Suite Actual Esniffer redes wireless
(Airdump-ng))

En el lanzador gráfico solo tendremos que indicarle el nombre del fichero que se va
a crear con todas las capturas.

Pero debido a que este método sondea todos los canales por los que puede estar
emitiendo la red atacada, hemos preferido en nuestro ataque utilizar el airodump a través
de la consola, ya que nos ofrece la posibilidad de indicarle como parámetro el canal que
queremos que realice la captura. Para ello debemos teclear en la consola:

# airodump-ng –c 9 –w captura ra0

Donde –c corresponde al canal, -w corresponde a que escriba en el fichero

captura, y ra0 corresponde a la interfaz de la tarjeta wireless. Esta instrucción nos
mostrará la información de la Ilustración 10.

Nos interesan los campos BSSID, # Data, ENC, ESSID; estos campos nos indican la
dirección MAC del AP, el numero de IVs que han sido capturados, el metodo de
encriptación y el ESSID del AP respectivamente.

Teóricamente, necesitamos 500.000 paquetes para poder romper una clave

WPA/PSK aunque lo recomendable es 1.000.000 de paquetes capturados.

Ilustración 18

18
5. Generar el “Handshake” necesario para realizar el ataque

¿Qué es un “Handshake”?

Para llevar a cabo este tipo de ataque WPA/PSK necesitamos capturar el

“handshake” (negociación) que se produce cuando un cliente se autentica con un punto de
acceso.

Método 1: Esperar a que se produzca

Teóricamente ‘Airodump-ng’ nos muestra las MAC´s de los clientes que se

autentifiquen en el AP atacado. Este hecho conlleva que el nuevo cliente haya introducido
la clave WPA si realmente está generando tráfico en la red, por lo tanto se haya producido
el “handshake”; con lo cual generará altas probabilidades de encontrar el “handshake”
mediante la utilización de ‘Aircrack-ng’, como podemos ver esta imagen:

Ilustración 19

Si con este método no hubiéramos capturado y detectado el “handshake”,

deberíamos generarlo de forma manual; a continuación veremos como hacerlo.

Método 2: Generar el “handshake” manualmente

La forma de generar el “handshake” manualmente es utilizando la herramienta

‘Aireplay-ng’, mediante el comando:

aireplay-ng -0 5 -a MAC_AP -c MAC_CLIENTE ra0

-0  Fuerza a aireplay a generar 5 peticiones de Deautenticación

Este método es probablemente el más útil para recuperar un ESSID oculto así
como para capturar el “handshake”.

19
 Habrá que tener cuidado en no dejar el dispositivo cliente inoperativo, que es lo
más normal en este tipo de ataques.
El efecto que se produce en el dispositivo cliente es inmediato, tal y como se puede
apreciar.

Ilustración 20

6. Obtener la clave WPA/PSK de la red atacada

Método 1: Utilizando ‘Aircrack-ng’

Para concluir nuestro ataque, vamos a obtener la clave WPA a través de los
paquetes capturados. Para ello vamos a utilizar la herramienta Aircrack-ng (Menú 
WiFiSlax  Suite Actual Análisis de claves wireless (Aircrack-ng))

Hay que tener en cuenta que con un solo “handshake” es suficiente y que hay que
compararlo con un diccionario, es decir, por fuerza bruta. Teniendo en cuenta estos dos
factores dependerá de la calidad de nuestro diccionario el éxito ante este tipo de ataque,
que en definitiva tiene un gran porcentaje de suerte.

Un diccionario es un fichero de texto que contiene combinaciones de caracteres. A

través del método de ataque de fuerza bruta, aircrack-ng compara dichos caracteres con
posibles claves WPA. Podemos encontrar diversos diccionarios en la web:
www.sourceforge.net

Ya que con la herramienta gráfica no es posible indicar ningún parámetro (como

puede ser el diccionario, el SSID del AP atacado, etc.), optamos por utilizar el comando
mediante la terminal:

# aircrack-ng –a 2 –e WLAN_E5 –w dict.txt captura-01.cap

Ilustración 21

20
 Donde –a indicamos el tipo de ataque (1WEP, 2  WPA), -e corresponde al
ESSID del AP atacado y con -w indicamos el path del diccionario.

El resultado del proceso de análisis es la clave de la red atacada, que es:

‘estoesunaprueba’.

Método 2: Utilizando ‘Cowpatty’ y ‘Genpmk’

En el método anterior vimos como se podía romper el protocolo WPA con clave
precompartida PSK (TKIP), a través de un ataque de fuerza bruta.

Una vez obtenida la clave del protocolo WPA-PSK(TKIP) obtuvimos las siguientes
conclusiones

Tiempo: más de 5 horas

Rate: 172 palabras/segundo

El tiempo que se tarda en completar un fichero de más de 4 millones de entradas,

que no es mucho, es excesivo y es debido al rate o número de palabras verificadas por
segundo.

Para acelerar este proceso es necesario precalcular el PMK, para ello podemos
utilizar la utilidad genpmk de Cowpatty.

Cowpatty es una herramienta específica para la ruptura del protocolo WPA-PSK

(TKIP) .

El problema al que nos enfrentamos a la hora de atacar el protocolo WPA con

diccionarios de texto plano es que, como se pudo observar, es un proceso exageradamente
lento. Algunos pensarán que un ataque offline de más 5 horas es muy poco, pero teniendo
en cuenta que el diccionario era de apenas 4 millones de entradas cambia un poco la
perspectiva.

El PMK esta compuesto por una serie de valores o atributos donde el SSID y la
longitud del mismo entre otros son siempre los mismos para un mismo dispositivo.

Siendo esto así podremos precalcular un hash PMK donde solo se compare el valor
cambiante, es decir, la clave.

Este método no esta exento de problemas ya que, es necesario generar el fichero

de hash para cada ESSID, siendo imposible la reutilización del mismo.

Por ello, la generación de un fichero de hash para un ESSID no genérico o por

defecto es más larga y costosa que el propio ataque a través de un diccionario de texto
plano.

Probablemente nunca podremos recopilar todos los ESSID por defecto y menos
aún generarlos con un diccionario de más de 50 millones de entradas, tardaríamos un
tiempo excesivo. De ahí la importancia de compartir este tipo de ficheros.

21
1. Generar el fichero de hash con ‘Genpmk’

A continuación mostraremos como generar los ficheros de hash y hacer uso de los
mismos. En nuestro caso, precalcularemos el PMK para cada una de las entradas del
diccionario con el ESSID WLAN_E5.

# genpmk –f dict.txt –d HASH_CP –s WLAN_E5

Donde –f corresponde al diccionario, -d es el nombre del fichero de hash que se

generará, y -s es el Essid. Esta instrucción es la mostrada en la Ilustración 10.

Ilustración 22

2. Obtener la clave WPA/PSK con ‘Cowpatty’

# cowpatty -r pskcrack-01.cap –d HASH_CP –s WLAN_E5

Donde –r corresponde al fichero *.cap compuesto de las capturas realizadas con

airodump-ng, -d es el nombre del fichero de hash que se ha generado con genpmk, y -s
es el Essid. Esta instrucción nos mostrará la información de la Ilustración 10.

Ilustración 23

22
 El resultado del proceso de análisis es la clave de la red atacada, que es:
‘estoesunaprueba’.

Como se puede observar ha testeado 29754 claves en 664,41 segundos, muy por
debajo de las más de 5 horas de la vez anterior.

23
Ataques sin éxito realizados con WiFiSlax 2.0

¿Cómo entrar a una red inalámbrica protegida con WPA2/PSK?

Por lo que respecta al material hardware utilizado para este ataque fue una tarjeta
Wireless con el chipset Ralink RT2500 y otra dos con el chipset Texas Instruments AX100.
El router utilizado fue un LinkSys WRT-54G con una actualización del firmware dd-wrt. Se
utilizaron varios de los equipos del laboratorio para intentar generar tráfico.

Las herramientas utilizadas en el ataque fueron las siguientes:

Airmong-ng Herramienta para poner una tarjeta en modo promiscuo o modo

monitor.
Herramienta que captura el tráfico de la red atacada y guarda toda la
Airodump-ng captura en un archivo .cap
Herramienta que recopila todas las utilidades de las herramientas
Kismet citadas anteriormente.

Podríamos considerar que el entorno de la red a la que procedemos atacar, está

distribuida de la siguiente manera, donde Texas Instruments AX100 es el equipo atacante,
y dd-wrt es el SSID de la red atacada.

Texas Instruments AX100

Texas Instruments AX100

dd-wrt

Ilustración 24

24
Problemas surgidos:

Incompatibilidad software con WPA2:

El SP2 también incluye soporte para el Acceso protegido Wi-Fi (Wi-Fi Protected
Access 2, o WPA2). El WPA2 cumple el estándar FIPS (Federal Information Processing
Standard) 140-2 norteamericano, y mejora la seguridad Wi-Fi añadiendo soporte para
encriptación AES (Advanced Encryption Standard) y autentificación 802.1x. El soporte
para WPA2 “se instala por defecto”, en caso contrario podemos encontrar el paquete de
instalación (KB893357) en la web de soporte de Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=66
2bb74d-e7c1-48d6-95ee-1459234f4483

Ilustración 25

Incompatibilidad hardware con WPA2:

El router utilizado en este último ataque no contaba con protección WPA2, por este
motivo se actualizó el firmware a un firmware libre para diversos routers inalámbricos o
WIFI, el DD-WRT. Es muy común observarlo en equipos Linksys WRT54G (el utilizado en
nuestro caso). Ejecuta un reducido sistema operativo basado en Linux. Está licenciado bajo
la GNU General Public License versión 2.

25
 Aparte de otras características que no se encuentran en el firmware original de
Linksys, DD-WRT incluye el demonio de la red de juego Kai, IPv6, Sistema de Distribución
Inalámbrico (WDS), RADIUS, controles avanzados de calidad de servicio (QoS) para la
asignación de ancho de banda y control de potencia (con un ajuste posible de hasta
251mW, mucho mayor que la potencia por defecto del router).

Conclusión final:

Tras solucionar las incompatibilidades descritas anteriormente, el ataque resultó

fallido debido a condiciones poco óptimas en los equipos del laboratorio.

26
Bibliografía

1. Fora, Pau Oliva. (In)seguridad en redes 802.11b. [En línea] Marzo de 2003.
http://pof.eslack.org/wireless/.

2. Linux, Fent. http://www.fentlinux.com. [En línea]

3. AyzaX. http://www.icenetx.net/. [En línea]

4. Lehembre, Guillaume. Seguridad WI-FI: WEP, WPA, WPA2. 2006.

5. SourceForge. Source Forge. [En línea] www.sourceforge.net.

27