Wifi Backtrack - Odt

7/13/2019 Wifi Backtrack - Odt

1/146


2/146

BackTrack 5 pruebas de penetracin

inalmbrica

Master de tcnicas inalmbricas de testingms punteras con BackTrack 5

Vivek Ramachandran


3/146

Tabla de contenidos

Prefacio

Captulo 1: Preparando el entorno de laboratorio

Requisitos de hardware

Requisitos de software

Instalacin de ack!rack

Parte pr"ctica # instalacin de ack!rack

$%ustes del punto de acceso

Parte pr"ctica # confi&uracin del punto de acceso

$%ustes de la tar%eta de red inal"mbrica

Parte pr"ctica # confi&uracin de la tar%eta inal"mbrica

$%ustes del punto de acceso

Parte pr"ctica # confi&uracin de su tar%eta inal"mbrica

Resumen

Captulo ': ()$* + sus inse&uridades inherentes

Revisar los frames ()$*

Parte pr"ctica # creacin de una interfa, en modo monitor

Parte pr"ctica # sniffin& de paquetes inal"mbricos

Parte pr"ctica - visuali,acin de administracin.control + frames de datos

!iempo para la accin # sniffin& de paquetes de datos de nuestra red

Parte pr"ctica # in+eccin de paquetes

*ota importante sobre sniffin& e in+eccin en ()$*

Parte pr"ctica # e/perimentar con su tar%eta $lfa

Papel de los dominios de re&ulacin inal"mbricos

Parte pr"ctica # e/perimentar con su tar%eta $lfa

Resumen


4/146

Captulo 0: vitar autenticacin ()$* 2b+passin& ()$*3

44I5 oculto

Parte pr"ctica # descubriendo 44I5 oculto

6iltros 7$C

!iempo para la accin # superando filtros 7$C

$utenticacin abierta

Parte pr"ctica # evitar autenticacin abierta 2b+passin& 8pen $uth3

$utenticacin de clave compartida

Parte pr"ctica - evitar autenticacin compartida

Resumen

Captulo 9: 5efectos en cifrado ()$*

Cifrado ()$*

ncriptacin (P

Parte pr"ctica - crackin& (P

(P$(P$'

Parte pr"ctica # crackin& frase de paso (P$#P4; d


5/146

Parte pr"ctica # $taque de 5e#autenticacin 5o4

mpare%amiento malicioso + spoofin& de punto de acceso 7$C

Parte pr"ctica # mpare%amiento malicioso spoofin& 7$C

Punto de acceso no autori,ado

Parte pr"ctica # punto de acceso no autori,ado

Resumen

Captulo >: $tacando al cliente

7is hone+pot + ataques de des#asociacin

Parte pr"ctica # orquestar un ataque de des#asociacin

$taque Caffe )atte

Parte pr"ctica # reali,acin de los ataques Caffe )atte

$taques de 5es#autenticacin + des#asosciacin

Parte pr"ctica # des#autenticacin de los clientes

$tque ?irte

Parte pr"ctica # crackin& (P con ataques ?irte

$P#less (P$#Personal crackin&

!iempo para la accin # $P#less (P$ crackin&

Resumen

Captulo @: $taques avan,ados ()$*

7an#in#the#middle

Parte pr"ctica # 7an#in#the#middle

scuchas inal"mbrica mediante 7I!7

Parte pr"ctica # escucha inal"mbrica

4ecuestro de sesin inal"mbrica 2?i%ackin&3

Parte pr"ctica # secuestro de sesin inal"mbrica

ncontrar las confi&uraciones de se&uridad en el cliente

Parte pr"ctica # enumeracin de los perfiles de se&uridad inal"mbrica

Resumen


6/146

Captulo A: $tacar (P$#nterprise + R$5IB4

)a creacin de freeradius#(P

Parte pr"ctica # creacin del $P con freeradius#(P

$tacar P$P

Parte pr"ctica - craquear P$P

$tacar $P#!!)4

Parte pr"ctica # crackin& $P#!!)4

)as me%ores pr"cticas de se&uridad para empresas

Resumen

Captulo : 7etodolo&a de pruebas de penetracin inal"mbrica

Pruebas de penetracin inal"mbrica

Planificacin

Descubrimiento

Parte pr"ctica # descubrimiento de los dispositivos inal"mbricos

Ataque

Encontrar puntos de acceso no autoriados

Encontrar clientes no autoriados

Tcnicas de encriptacin

!omprometer clientes

Presentacin de informes

Resumen

$p


7/146

Captulo '. ()$* + sus inse&uridades inherentes

Captulo 0. evitar autenticacin ()$*

l captulo 9. defectos del cifrado ()$*

Captulo =. ataques a la infraestructura ()$*

Captulo >. atacando a los clientes

Captulo @. $taques avan,ados ()$*

Captulo A. atacar (P$ nterprise + R$5IB4

Captulo . 7etodolo&a de pruebas de penetracin inal"mbrica

Endice

"as redes inalmbricas se #an $uelto omnipresentes en el mundo actual%Millones de personas lasutilian por todo el mundo todos los d&as en sus casas' oficinas ( puntos de acceso p)blicos para iniciarsesin en el *nternet ( no tanto para el traba+o personal ( profesional%A pesar de que lo inalmbrico#ace la $ida mas fcil ( nos da una gran mo$ilidad por e+emplo' $iene con sus riesgos%En los )ltimostiempos' las redes inalmbricas inseguras #an sido e,plotados para entrar en las empresas' bancos (organiaciones gubernamentales%"a frecuencia de estos ataques se #a intensificado' (a que losadministradores de red toda$&a no saben cmo conseguir una red inalmbrica segura en una formarobusta ( a prueba de errores%

ack!rack =:pruebas de penetracin inal"mbricatiene como ob+eti$o a(udar al lector a entender lasinseguridades asociadas a las redes inalmbricas ( cmo lle$ar a cabo pruebas de penetracin paraencontrar los fallos ( $ulnerabilidades%Esta es una lectura esencial para aquellos que quieran lle$ar acabo auditor&as de seguridad en redes inalmbricas ( siempre quiso una gu&a paso a paso prctica parala misma% Todos los ataques inalmbricos e,plicados en este libro son inmediatamente continuados poruna demostracin prctica' el aprendia+e es mu( completo%

-emos elegido ack!rack =como plataforma para poner a prueba todos los ataques inalmbricos eneste libro%BackTrack' como la ma(or&a de ustedes (a deben saber' es la distribucin de pruebas depenetracin ms popular en el mundo %!ontiene cientos de #erramientas de seguridad ( #acking'algunas de los cuales $amos a utiliar en el transcurso de este libro%

Lo que abarca este libro

Captulo 1, la configuracin inalmbrica de laboratorio,presenta docenas de e+ercicios que $amos aestar #aciendo en este libro%!on el fin de ser capa de probar' el lector tendr que establecer unlaboratorio inalmbrico%Este cap&tulo se centra en cmo crear un laboratorio de pruebas inalmbricasutiliando el #ard.are de la plataforma ( el soft.are de cdigo abierto%En primer lugar' se $ern losrequisitos de #ard.are que inclu(en tar+etas inalmbricas' antenas' puntos de acceso ( otrosdispositi$os /i01i' entonces pasaremos a un enfoque de los requisitos de soft.are que inclu(e elsistema operati$o' dri$ers /i01i ( las #erramientas de seguridad %Por )ltimo' $amos a crear un bancode pruebas para nuestros e,perimentos ( comprobar diferentes configuraciones inalmbricas en l%

Captulo 2, WLAN y sus inseguridades inherentesse centra en los defectos de dise2o in#erentes a lasredes inalmbricas que les #ace inseguros nada mas conectarlos%3amos a comenar con un resumenrpido de los protocolos 46%77 /"A8 usando un analiador de red llamado /ires#ark%Esto nos darun conocimiento prctico acerca de cmo estos protocolos traba+an%"o ms importante' $amos a $ercomo funciona la comunicacin entre el cliente ( el punto de acceso a ni$el de paquetes mediante el


8/146

anlisis de los marcos de gestin' de control ( de datos%A continuacin' aprender acerca de lain(eccin de paquetes ( sniffing en redes inalmbricas ( $eremos algunas #erramientas que nospermiten #acer lo mismo%

Captulo ,e$itando la autenticacin de WLAN !bypassing WLAN Auth"#abla acerca de cmo romperun mecanismo de autenticacin /"A8% 3amos a ir paso a paso ( estudiar la manera de sub$ertirautenticaciones de cla$e abierta ( compartida%En el transcurso de esto' usted aprender a analiar lospaquetes inalmbricos ( a$eriguar el mecanismo de autenticacin de la red%Tambin $amos a buscar laforma de entrar en las redes con 99*D oculto ( filtrado MA! acti$ado%9e trata de dos mecanismos

comunes empleados por los administradores de red para las redes inalmbricas ms sigilosas ( dif&cilesde penetrar' sin embargo' estos son mu( sencillos de e$itar%

Captulo #, defectos del cifrado WLAN ,una de las partes ms $ulnerables del protocolo /"A8 son losesquemas de cifrado /EP' /PA' ( /PA6%Durante la )ltima dcada' los #ackers #an encontradom)ltiples fallas en estos esquemas ( #an escrito el soft.are a disposicin del p)blico para la rotura delos mismos ( descifrar los datos%A pesar de que /PA:/PA6 es seguro por dise2o' una malaconfiguracin abre el camino de las $ulnerabilidades de seguridad que pueden ser fcilmentee,plotadas%En este cap&tulo' $amos a entender la inseguridad en cada uno de estos esquemas decifrado ( #acer demostraciones prcticas sobre la manera de romperlas%

Captulo $, ata%ues a la infraestructura WLAN,cambia nuestra $isin de las $ulnerabilidades de lainfraestructura /"A8%3amos a $er las $ulnerabilidades creadas por los problemas de configuracin (dise2o%3amos a #acer demostraciones prcticas de los ataques de suplantacin de identidad' punto deacceso' MA! ( los ataques de repeticin' los puntos de acceso' fuing ( denegacin de ser$icio%Eneste cap&tulo se dar al lector una comprensin slida de cmo #acer una prueba de penetracin de lainfraestructura /"A8%

Captulo &,atacando a los clientes,abra sus o+os si siempre #e cre&do que la seguridad del clienteinalmbrico era algo que no ten&a de qu preocuparse;"a ma(or&a de las personas e,clu(e al cliente desu lista cuando piensan en la seguridad de la /"A8%En este cap&tulo se demostrar sin lugar a dudaspor qu el cliente es tan importante como el punto de acceso al penetrar en las pruebas de seguridad

de una red /"A8%3amos a buscar la forma de poner en peligro la seguridad mediante ataques del ladodel cliente tales como errores de asociacin' !affe "atte disociacin' cone,iones ad0#oc' fuing'#one(pots' ( muc#os otros%

Captulo ', ata%ues a(an)ados WLAN,contempla ms ataques a$anados #abiendo (a cubierto lama(or&a de los ataques bsicos tanto en la infraestructura ( como en el cliente%Estos ataques suelenimplicar el uso de m)ltiples ataques bsicos en con+unto para romper la seguridad en los escenariosms dif&ciles%Algunos de los ataques que $amos a aprender son las #uellas digitales del dispositi$oinalmbrico AD*?9%Estos ataques son mu( )tiles cuando el lector tiene que realiar una prueba de penetracin en una redde grandes empresas que dependen de la /PA0Enterprise ( la autenticacin >AD*?9 para darlesseguridad%Esta es' probablemente' tan a$anado como los ataques /i01i pueden ser en el mundo real%

Captulo , 3etodologa de pruebas inalmbrico penetracin,es donde todo el aprendia+e de loscap&tulos anteriores se une ( $amos a $er cmo #acer una prueba de penetracin inalmbrica en formasistemtica ( metdica%3amos a aprender sobre las distintas fases de pruebas de penetracin ' laplanificacin' el descubrimiento' el ataque ( la presentacin de informes ( aplicarla a las pruebas de

penetracin inalmbrica%Tambin $amos a entender como proponer recomendaciones ( me+oresprcticas despus de una prueba de penetracin inalmbrica%

Ap4ndice A, Conclusin y ho5a de ruta ,conclu(e el libro ( de+a al usuario con algunos conse+os para lalectura ( la in$estigacin%


9/146

Que necesitas para usar este libro

Para seguir ( recrear los e+ercicios prcticos en este libro' se necesitan dos porttiles con funcin decone,in de tar+etas /i01i ' un adaptador inalmbrico ?9B Alfa A/?9@- /i01i' BackTrack 5 (algunos otros equipos ( soft.are%Los hemos detallado en el Captulo 1, configuracin del entorno delaboratorio inalmbrico6

!omo alternati$a a la instalacin de backtrack en su equipo ' tambin puede crear una mquina $irtualen BackTrack 5 ( conectar la tar+eta a tra$s de la interfa ?9B%Esto le a(udar a empear a utiliar

este libro muc#o ms rpido' pero le recomendamos un equipo dedicado corriendo BackTrack 5 paralas e$aluaciones reales en el campo%

!omo requisito pre$io' los lectores deben ser conscientes de los conceptos bsicos de redesinalmbricas%Esto inclu(e tener conocimiento pre$io sobre los conceptos bsicos del protocolo 46%77 (comunicacin del cliente con el punto de acceso%A pesar de referirme bre$emente a esto cuandocreamos el laboratorio' se espera que el usuario (a est al tanto de estos conceptos%

A quien va dirigido este libro

Aunque este libro es una serie para principiantes' est destinado a todos los ni$eles de usuarios' desdeprincipiantes a e,pertos de la seguridad inalmbrica%-a( algo para todos%El libro comiena conataques simples' pero luego pasa a e,plicar los ms complicados' (' finalmente' analia los ataquesque se salen de lo normal ( la in$estigacin%!omo todos los ataques se e,plican con demostracionesprcticas' es mu( fcil para los lectores en todos los ni$eles intentar rpidamente el ataque por s&mismos%Tenga en cuenta que a pesar de que el libro destaca los diferentes ataques que pueden serlanados contra una red inalmbrica' el $erdadero propsito es educar a los usuarios a con$ertirse enun analista de penetracin inalmbrica%Ser&a capa de demostrar con facilidad todo tipo de ataques depruebas de penetracin ( test de forma profesional' si as& lo solicita el cliente%

Convenciones

En este libro' usted encontrar $arios ep&grafes que aparecen con frecuencia%

Dan instrucciones claras de cmo lle$ar a cabo un procedimiento o una tarea as& pues se utilia

Parte prctica

1.Accin 7

2.Accin 6

3.Accin @

"as instrucciones a menudo necesitan una e,plicacin adicional para que tengan sentido' por lo que sesigui con

Qu !a pasado"

En este ep&grafe se e,plica el funcionamiento de las tareas o instrucciones que usted acaba decompletar%

?sted tambin encontrar algunas otras a(udas de aprendia+e en el libro' inclu(endo

#$amen sorpresa

Estos son preguntas cortas de tipo test destinadas a a(udar a probar su propia comprensin%


10/146

%ntntalo

En ellas se establecen los problemas prcticos ( se dan ideas para e,perimentar con lo que #asaprendido%

?sted tambin encontrar una serie de estilos de te,to que distinguen entre diferentes tipos deinformacin%Estos son algunos e+emplos de estos estilos' ( una e,plicacin de su significado%

"as palabras de cdigo en el te,to se muestran de la siguiente manera C habilitando lainterfaz con el comando ifconfig"

"as palabras que $e en la pantalla' en los men)s o cuadros de dilogo' por e+emplo' aparecen en elte,to as& CPara $er los paquetes de datos para nuestro punto de acceso' a2ada lo siguiente al filtro2wlanFbssid GG HH: '1:1: d': Ae:F '=3 2wlanFfcFt+peJsubt+pe GG H/'H3C

A$isos o notas importantes aparecen en un cuadro como este

!onse+os ( trucos aparecen as&

&Con'igurar el entorno de laboratorio %nalmbrico


11/146

"as pruebas de penetracin inalmbrica es un tema prctico ( es importante primeramente lainstalacin de un laboratorio donde se puedan probar todas las diferentes e,periencias de este libro enun ambiente seguro ( controlado%Es importante que se #aga esta prctica antes de continuar adelantecon el libro%

En este cap&tulo' $amos a e,aminar lo siguiente

Requisitosde #ard.are ( soft.are

BackTrack5 instalacin

Establecerun punto de acceso ( configuracin

Instalacinde la tar+eta inalmbrica

Pruebade la conecti$idad entre el porttil ( el punto de acceso

As& que ' que comience el +uego;

(equisitos del )ard*are

3amos a necesitar el siguiente #ard.are para crear el laboratorio inalmbrico%

Dos

computadoras port"tiles con tar%etas (i#6i internas:3amos a utiliar uno de losordenadores porttiles como de la $&ctima en el laboratorio ( el otro como el porttil de pruebade intrusin%Aunque casi todos los porttiles se a+ustan a este perfil' las computadorasporttiles con al menos @ B de >AM es deseable%Esto se debe a que se puede e+ecutar unagran cantidad de memoria intensi$a de soft.are en nuestros e,perimentos%

Unadaptador $lfa inal"mbrico:9e necesita un ?9B /i01i que pueda soportar la in(eccinde paquetes ( la deteccin de paquetes ( que sea soportado por Backtrack%"a me+or opcinparece ser la tar+eta de rede de Alfa A/?9@- (a que BackTrack apo(a esta sin ningunaconfiguracin pre$ia%

Unpunto de acceso:!ualquier punto de acceso que soporte los estndares de encriptacin/EP:/PA:/PA6 $aldr&a para esto%Nosotros vamos a utiliar un D0"*8F D*>075 /ireless 8>outer para ilustrar todo este libro%


12/146

Unacone/in a Internet:Esta ser mu( )til para lle$ar a cabo la in$estigacin' la descargade soft.are ( para algunos de nuestros e,perimentos%

(equisitos de so't*are

8ecesitaremos el siguiente soft.are para crear el laboratorio inalmbrico

BackTrack=:BackTrack puede ser descargado desde su sitio .eb oficialhttp://www.backtrack-linux.org %El soft.are es de cdigo abierto ( debe ser capade descargar directamente del sitio .eb%

WindowsKPVista@:?sted necesitar /indo.s GP' /indo.s 3ista o /indo.s H instaladoen uno de los ordenadores porttiles%Este porttil se utilia como equipo $&ctima para el restodel libro%

Es importante se2alar que a pesar de que se est utiliando un sistema operati$o basado en /indo.spara nuestras pruebas' las tcnicas aprendidas se pueden aplicar a cualquier dispositi$o /i01i comotelfonos inteligentes ( tabletas' entre otros%

Parte prctica+%nstalacin de BackTrack

3amos a#ora rpidamente a buscar la forma de ponerse en marc#a con BackTrack%

BackTrack se instalar en la computadora porttil que ser$ir como la mquina de pruebas depenetracin para el resto del libro%

BackTrack es relati$amente fcil de instalar%3amos a correr BackTrack arrancando como un D3D en$i$o ( luego instalarlo en el disco duro%

9iga las siguientes instrucciones paso a paso

1.rabar la *9I BackTrack


13/146

3.9i el arranque tu$o ,ito' entonces usted debe $er a la conocida pantalla de BackTrack

4.9e puede arrancar en el modo grfico mediante la introduccin de start/en el s&mbolo del sistema%Disfrute de la msica de inicio! Una vez que est en la interfaz grfica de usuario la "antalla de#e ser igual que lasiguiente ca"tura$


14/146

5.A#ora #aga clic en el icono de instalacin de ack!racka la parte superior iquierda del escritorio%9e iniciar el instalador de BackTrack como se muestra a continuacin

6.Este programa de instalacin es similar a los instaladores basados en ?* de la ma(or&a de lossistemas "inu, ( debe ser fcil de seguir%9eleccione las opciones adecuadas en cada pantalla (comenar el proceso de instalacin%!uando la instalacin #a(a terminado' reinicie el equipo cuandose le solicite ( e,traiga el D3D%

7.?na $e que se reinicia el equipo' se le presentar una pantalla de inicio de sesin%Escriba en elinicio de sesin CrootC ( la contrase2a CtoorC%A#ora debe estar logueado en la $ersin instalada deBackTrack%1elicitaciones;

Jo $o( a cambiar el tema de escritorio ( algunas opciones para este libro%9intase libre de utiliar suspropios temas ( los a+ustes de color;

Qu !a pasado"

-emos instalado con ,ito Backtrack en el porttil;3amos a utiliar este ordenador como el porttil deprebas de intrusin para todos los dems e,perimentos en este libro%

%ntntalo+%nstalacin de BackTrack en ,irtual Bo$

Tambin podemos instalar BackTrack en el soft.are de $irtualiacin como 3irtual Bo,%Para loslectores que no quieran dedicar un porttil completo a Backtrack' esta es la me+or opcin%El proceso deinstalacin de BackTrack en 3irtual Bo, es e,actamente el mismo%"a )nica diferencia es la pre0

configuracin que usted tendr que crear en 3irtual Bo,%Puedes descargar 3irtual Bo, desde aqu&http://www.virtualbox.org.

Itra de las maneras en que puede instalar ( utiliar Backtrack es a tra$s de unidades ?9B%Esto esparticularmente )til si usted no desea instalar en el disco duro' pero toda$&a quiere almacenar los datosde foma persistente en su BackTrack' tales como los scripts ( las nue$as #erramientas%"e animamosa probar esto tambin;


15/146

Con'iguracin del punto de acceso

A#ora $amos a configurar el punto de acceso%!omo se mencion anteriormente' $amos a usar el D0"ink D*>075 /ireless 8 >outer para todos los e,perimentos de este libro% 9in embargo' sintase librede usar cualquier otro punto de acceso% "os principios bsicos de funcionamiento ( la utiliacin siguensiendo los mismos%

Parte prctica - Con'igurar el punto de acceso

3amos a empear;3amos a establecer el punto de acceso para utiliar la autenticacin abierta con el99*D K/ireless "abL

9iga estas instrucciones paso a paso

1.Encienda el punto de acceso ( el usa un cable Et#ernet para conectar su porttil a uno delos puertos del punto de acceso Et#ernet%

2.*ntroduca la direccin *P de la terminal del punto de acceso en su na$egador%Para el D*>0

75' se le da la *p 76%74%%7 en el manual%?sted debe consultar la gu&a de configuracindel punto de acceso para encontrar su direccin *P%

9i usted no tiene los manuales del punto de acceso' tambin se puede encontrar la direccin

*P' e+ecute el comando route -n."a direccin *P del gate.a( *P suele ser el punto deacceso%?na $e conectado' usted deber&a $er un portal de configuracin que se parece aesto

3.E,plorar los diferentes a+ustes en el portal despus de entrar ( encontrar los a+ustes relacionados conla configuracin de un nue$o 99*D%


16/146

4.!ambie el 44I5a (ireless )abFDependiendo del punto de acceso' es posible que tenga que

reiniciar el sistema para cambiar la configuracin

5.Del mismo modo' encuentre los a+ustes relacionados con la autenticacin( cambie la configuracina 8pen $uthenticationFEn mi caso' la configuracin el modo de se&uridad*oneindica que estutiliando el modo de autenticacin abierta%

6.uarde los cambios en el punto de acceso ( $uel$a a iniciarlo' si es necesario%A#ora el punto deacceso debe estar en funcionamiento con el 99*D (ireless )ab%?na forma sencilla de comprobarloconsiste en utiliar la utilidad de configuracin inalmbrica de /indo.s ( obser$ar las redesdisponibles%?sted debe encontrar (ireless )abcomo una de las redes en la lista


17/146

Qu !a pasado"

-emos configurado correctamente nuestro punto de acceso inal"mbricocomo laboratorio 99*D%9etrata de la radiodifusin de su presencia ( esto est siendo recogido por nuestro porttil /indo.s (otros dentro de la >adiofrecuencia 1= del alcance del punto de acceso

Es importante tener en cuenta que #emos configurado nuestro punto de acceso en modo abierto' quees el menos seguro%Es aconse+able no conectar este punto de acceso a *nternet por el momento

porque cualquiera dentro del rango de >1 ser capa de usarlo para acceder a *nternet%

%ntntalo - Con'igurar el punto de acceso usando .#P / .PA

Nuega un poco con las opciones de configuracin del punto de acceso%Trate de $er si se puede poner

en marc#a el uso de esquemas de encriptacin como /EP ( /PA:/PA6%3amos a utiliar estosmodos en los )ltimos cap&tulos para ilustrar los ataques contra ellos%

Con'iguracin de la tar0eta inalmbrica

"a configuracin de A"1A nuestra tar+eta de red inalmbrica es muc#o ms fcil que la del punto de

acceso%"a $enta+a es que BackTrack soporta esta tar+eta fuera de la ca+a ( $iene con todos loscontroladores de dispositi$os necesarios para permitir la in(eccin de paquetes ( la deteccin depaquetes%

Parte prctica - Con'igurar la tar0eta de red inalmbrica Tiempo para la accin + la

con'iguracin de la tar0eta inalmbrica

8osotros $amos a usar la tar+eta inalmbrica Alfa con el ordenador porttil de pruebas de penetracin %

Por fa$or' siga estas instrucciones paso a paso para configurar su tar+eta

1.!onecte la tar+eta a uno de los puertos ?9B del ordenador porttil BackTrack ( arrancarlo%

2.?na $e conectado' abra una terminal de consola ( escribir iwconfig.9u pantalla ser

similar a lo siguiente


18/146

!omo puede $er'wlan0es la interfa inalmbrica creada para la tar+eta inalmbrica Alfa%Escribaifconfig wlan0 para le$antar el dispositi$o de red%A continuacin' escribaifconfig wlan0para$er el estado actual de la interfa

3"a direccin MA!77:C0:ca:3e:bd:93debe coincidir con la direccin MA! de su tar+etaescrita en Alfa%Esta es una manera rpida para asegurarse de que #a #abilitado la interfacorrecta%

Qu !a pasado"

BackTrack inclu(e con todos los controladores necesarios para la tar+eta Alfa%Tan pronto como lamquina arranca' la tar+eta es reconocida ( se le asign lawlan0interfa de red%Por defecto' todas lasinterfaces de red en BackTrack se desacti$an en el arranque%-emos #abilitado la interfa con elcomando ifconfig.A#ora nuestra tar+eta de Alfa est en marc#a ( funcional;

Cone$in al punto de acceso

A#ora $amos a buscar la forma de conectar con el punto de acceso mediante la tar+eta .ireless Alfa%8uestro punto de acceso tiene un 99*D (ireless )ab( no utilia ning)n tipo de autenticacin%

Parte prctica - Con'igurar la tar0eta de red inalmbrica

Aqu& $amos;9iga estos pasos para conectar la tar+eta inalmbrica al punto de acceso

1.3eamos primero que redes inalmbricas est detectando nuestra tar+eta Alfa%Emita el comandoiwlit wlan0 canning( encontrar una lista de redes en las cercan&as


19/146

%.Desplaate #acia aba+o' deberias encontrar la red!irele "aben esta lista%En mi configuracin'se detecta como!ell 0#$pero puede ser diferente de la su(a%El campo contiene el nombre%&&'(dela red

&.3arios puntos de acceso pueden tener el mismo 99*D' compruebe que la direccin MA! se mencionaen el campo )ddrepor encima de la MA! del punto de acceso%Es una forma rpida ( fcil paraobtener la direccin MA! que se encuentra deba+o del punto de acceso o el usando la configuracin de?* basado en .eb%

'.A#ora' e+ecute el comandoiwconfig wlan0 eid *!irele "ab*( luegoiwconfig wlan0para comprobar el estado%9i usted se #a conectado al punto de acceso' deber&a $er la direccin MA!

en elpunto de acceo:se $isualia en la salida de iwconfig$como se muestra en la siguientepantalla

(.9abemos que el punto de acceso tiene una interfa de gestin de direccin *P C76%74%%7C quedescribe su manual%Por otra parte' esta es la misma que la direccin *P del router por defecto cuandose e+ecuta el comando route -n.3amos a poner nuestra direccin *P en la misma subred mediantela emisin de la orden ifconfig wlan0 +9,.+.0., netmak ,##.,##.,##.0 up.


20/146

!ompruebe que se #a e+ecutado correctamente escribiendoifconfig wlan0 ( controle la salida delcomando

).A#ora $amos a #acer ping al punto de acceso con el comandoping 76%74%%7%9i la cone,in dered se #a configurado correctamente' entonces usted debe $er las respuestas desde el punto deacceso%Tiene la posibilidad de emitir unarp -apara $erificar que la respuesta $iene desde el punto deacceso%?sted debe $er que la direccin MA!de la *P 76%74%%7 es la direccin del punto de accesoMA! que #emos se2alado anteriormente%Es importante se2alar que algunos de los puntos de accesoms recientes podr&an tener des#abilitada la respuesta a los paquetes *!MP Ec#o >equest %Esto se#ace normalmente para #acer que el punto de acceso mas seguro fuera de la ca+a' con slo lasopciones m&nimas de configuracin disponibles%En tal caso' usted podr&a tratar de abrir un na$egador (acceder a la interfa /eb para $erificar que la cone,in est funcionando%


21/146

7.En el punto de acceso' se puede $erificar la conecti$idad obser$ando los logs de cone,in%!omo se puede $er en el registro siguiente' la direccin MA! de la tar+eta inalmbrica**$c%$ca$&a$+& se #a registrado

Qu !a pasado"

Acabamos de conectarnos a nuestro punto de acceso con ,ito a partir de BackTrack con nuestra

tar+eta inalmbrica Alfa como dispositi$o inalmbrico%Tambin nos enteramos de cmo $erificar queuna cone,in se #a establecido' tanto en el cliente inalmbrico ( del lado del punto de acceso%cone$inen la con'iguracin de .#P

%ntntalo - #stablecer una con'iguracin .ep

Aqu& es un e+ercicio dif&cil para usted 00 configurar el punto de acceso con configuracin /EP%Paracada uno de estos intentar establecer una cone,in con el punto de acceso mediante el adaptadorinalmbrico% 9ugerencia' consulte el manual para el comando i,configescribiendo man i,config para$er como configurar la tar+eta para conectarse a /EP%

#$amen sorpresa - Conocimientos bsicos

7%Despus de emitir el comandoifconfig wlan0 up'Ocmo $erificamos que la tar+etainalmbrica est en marc#a ( funcional

6%O9e puede e+ecutar todos los e,perimentos con el BackTrack "i$e !D soloJ no instalarloen el disco duro

@%OQu #ace el comandoarp -a

R%Que #erramienta debemos utiliar en BackTrack para conectarnos a las redes/PA:/PA6

(esumen


22/146

En este cap&tulo se proporcionan instrucciones detalladas sobre cmo configurar su propio laboratoriom$il%Adems' en el proceso' que #a aprendido los pasos bsicos para

Instalacinde BackTrack en su disco duro ( la e,ploracin de otras opciones' como3M.are ( ?9B

Configuracindel punto de acceso en la interfa .eb

Comprender( utiliar $arios comandos para configurar ( usar su tar+eta inalmbrica

Cmo$erificar el estado de la cone,in entre el cliente inalmbrico ( el punto deacceso

Es importante que adquiera confiana en la configuracin del sistema%9i no es as&' es recomendableque repita estos e+emplos un par de $eces%En cap&tulos posteriores' #abr que dise2ar escenarios mscomplicados%

En el siguiente cap&tulo' $amos a aprender acerca de la inseguridad in#erente a las redes /"A8 por sudise2o%8osotros $amos a usar la #erramienta Analiador de redes /ires#ark para entender estos

conceptos de una manera prctica%

()$* +

las inse&uridades inherentes

1#l ms noble del edi'icio2 l b se m s pro'und debe ser est blecid 31

T#omas Fempis' Escritor

8ada grande puede construir sobre una base dbil' ( en nuestro conte,to' nadaseguro se puede construir sobre algo que es in#erentemente inseguro%

"as /"A8 estn dise2adas con ciertas inseguridades que son relati$amente fciles dee,plotar' como la suplantacin de paquetes' la in(eccin de paquetes ( el sniffing %3amos a e,plorarlas fallas en este cap&tulo%

En este cap&tulo' $amos a $er lo siguiente


23/146

>e$isar los marcos /"A8

Distintos tipos de tramas ( sub0tipos

?so de /ires#ark para sniff la gestin' control ( frames de datos

9niffing de paquetes de datos para una red inalmbrica determinada

*n(eccin de paquetes en una red inalmbrica determinada

3amos a empear;

(evisando .LA4 'rames

!omo este libro se ocupa de los aspectos de seguridad de redes inalmbricas' $amos a suponer queusted (a tiene un conocimiento bsico del protocolo ( de las cabeceras de los paquetes% 9i no es as& osi #a pasado alg)n tiempo desde que traba+ en la red inalmbrica' este ser&a un buen momento para$ol$er otra $e%

3amos a#ora a re$isar rpidamente algunos conceptos bsicos de las redes /"A8' que la ma(or&a de

ustedes (a deben tener en cuenta% En las redes /"A8' la comunicacin ocurre en los marcos


24/146

S Autenticacin

S Des0autenticacin

S 9olicitud de Asociacin

S Asociacin de respuesta

S 9olicitud de re0asociacin

S >espuesta de re0asociacin

S Disociacin

S Beacon

S 9ondeo de solicitud

S 9ondeo de respuesta

6% Control de frames:cuadros de control son responsables de asegurar un correctointercambio de datos entre el punto de acceso ( los clientes inalmbricos% Tramas de controlpuede tener los siguientes sub0tipos

S 9olicitud de en$&o K>equest to 9endLT9=

S "isto para en$iar K!lear to 9endL

S >econocimiento KAckno.ledgementL


25/146

2.?tilice el comando ifconfig ,lan*para le$antar la tar+eta inalmbrica% 3erifique que la tar+etaest corriendo e+ecutando ifconfig ,lan*% ?sted debe $er la palabra K?pL en la segunda l&neade la salida como se muestra

@% Para poner nuestra tar+eta en modo monitor' $amos a utiliar la utilidad airmon-ng' que est

disponible por defecto en BackTrack% En primer lugar e+ecutar airmon0ng para comprobar quedetecta las tar+etas disponibles% ?sted debe $er la interfa .lan aparecer en la salida

R% A continuacin' introduca airmon-ng start ,lan*para crear una interfa en modo monitorcorrespondiente al dispositi$o .lan% Este nue$o modo de interfa de monitor ser llamadomon% Puedes $erificar que se #a creado mediante la e+ecucin de airmon0ng sin argumentosuna $e ms


26/146

5.Adems' e+ecutando ifconfig deber&a mostrar a#ora una nue$a interfa llamada mon

Qu !a pasado"

-emos creado con ,ito una interfa de modo monitor mon% Esta interfa se utilia para rastrear los

paquetes inalmbricos de la ona% Esta interfa #a sido creada para nuestra tar+eta inalmbrica Alfa%

%ntntalo - Crear multiples inter'aces en modo monitor

Es posible crear m)ltiples interfaces de modo monitor usando la misma tar+eta f&sica% ?se la utilidadairmon0ng para $er cmo puede #acer esto% tar+eta

*mpresionante; !ontamos con una interfa de modo de monitor a la espera de leer algunos paquetesen el aire% As& que $amos a empear;

En el siguiente e+ercicio' $amos a utiliar /ires#ark para rastrear los paquetes en aire con el modomonitor de la interfa monHque acabamos de crear

Parte prctica - ni''ing de paquetes inalmbricos

9iga estas instrucciones para comenar a esnifar los paquetes


27/146

1FEncienda nuestro punto de acceso de laboratorio inalmbrico que se configur en elCaptulo 1

2.*nicie /ires#ark tecleando /ires#ark en la consola% ?na $e que /ires#ark est

e+ecutando' #aga click sobre Capture Interfacessub0men)

3.9eleccione la captura de paquetes desde la interfa de mon #aciendo clic en el botn

4tarta la derec#a de la interfa mon como se muestra en la captura de pantalla anterior%/ires#ark comenar la captura ( a#ora deber&a $er los paquetes dentro de la $entana de/ires#ark

4.Estos son los paquetes inalmbricos que su tar+eta .i0fi Alfa esnifa del aire% Para $ercualquier paquete' seleccinelo en la $entana superior ( todo el paquete se mostrar en la$entana del medio


28/146

5%-aga clic en el tringulo delante de I AH'F11 wireless )$* mana&ement frameparaampliar ( $er informacin adicional%

6.Busque en los diferentes campos de cabecera en el paquete ( las correlacionan con losdiferentes tipos de tramas ( sub0tipos /"A8 que #a aprendido antes%

Qu !a pasado"

8osotros no slo esnifamos nuestra primera serie de paquetes en el aire; -emos puesto en marc#a/ires#ark que utilia la interfa en modo monitor monHque #emos creado anteriormente% ?sted sedar cuenta al mirar a la regin del pie de pgina de /ires#ark la $elocidad a la que los paquetes estnsiendo capturados ( tambin el n)mero de paquetes capturados #asta a#ora%

%ntntalo - 6escubiendo dispositivos di'entes

"os traados de /ires#ark pueden ser un poco intimidantes a $eces ( simplemente para una

raonablemente poblada red inalmbrica podr&as terminar esnifando unos cuantos millones depaquetes% Por lo tanto es importante ser capa de profundiar solo en los paquetes que nos interesan%Esto se puede lograr usando filtros en /ires#ark% E,plore como se pueden utiliar estos filtros paraidentificar dispositi$os inalmbricos )nicos por sus rastros tanto para los puntos de acceso como paralos clientes conectados%

9i usted no puede #acer esto' no se preocupe' (a que es lo pr,imo que $a a aprender%

Parte prctica -,iendo gestin 2 control / 'rames de datos

A#ora $amos a aprender cmo aplicar filtros en /ires#ark para $er la gestin' control ( frames dedatos%

Por fa$or' siga estas instrucciones paso a paso

1.Para $er todos los marcos de gestin de los paquetes que se capturaron' escriba el filtro

wlanFfcFt+pe GG Hen la $entana de filtro ( #aga clic en $plicarFPuede detener la captura depaquetes' si desea e$itar que los paquetes se desplacen #acia aba+o demasiado rpido


29/146

2Para $er frames de control' modifique la e,presin del filtro para leerwlanFfcFt+pe GG 1:

3.Para $er las tramas de datos' modificar la e,presin de filtro parawlanFfcFt+pe GG ':


30/146

4.Para seleccionar adems un sub0tipo adicional utilice el filtrowlanFfcFsubt+peFPor

e+emplo' para $er todos los Beacon frames de todos los marcos de gestin utiliar el siguientefiltro 2wlanF fcFt+pe GG H3 2wlanFfcFsubt+pe GG A3F

5%9i lo prefiere' puede #acer clic en cualquiera de los campos de la cabecera de la $entanadel medio ( luego seleccione la opcin $ppl+ as 6ilter 4electedpara agregarlo como unfiltro


31/146

6.Esto a2adir automticamente la e,presin correcta de filtro para el campo de filtrocomose muestra

Qu !a pasado"

Acabamos de enterarnos de cmo filtrar los paquetes en /ires#ark utiliando di$ersas e,presiones defiltro% Esto nos a(uda a $igilar los paquetes seleccionados de los dispositi$os que nos interesa' en lugarde tratar de analiar todos los paquetes en el aire%

Adems' podemos $er que la cabecera del paquete de marcos de gestin' control ( los datos estn en

te,to plano ( no contiene ning)n tipo de cifrado% De esta manera cualquier persona que puedainterceptar los paquetes puede leer estas cabeceras% Tambin es importante tener en cuenta quetambin es posible que un #acker para modifique cualquiera de estos paquetes ( los retransmita% !omono #a( integridad o la mitigacin de ataques de repeticin en el protocolo' esto es mu( fcil de #acer%3eremos algunos de estos ataques en los )ltimos cap&tulos%

%ntntalo - 7uegue con los 'iltros

Puede consultar el manual de /ires#ark para saber ms acerca de las e,presiones de filtro disponibles( cmo utiliarlas% Trate de +ugar con diferentes combinaciones de filtros #asta que est seguro queusted puede profundiar en cualquier ni$el de detalles a lo largo del rastro de paquetes de gran tama2o%

En el siguiente e+ercicio' $amos a $er cmo rastrear los paquetes de datos transferidos entre nuestropunto de acceso inalmbrico ( los clientes%

Parte prctica - ni''ing de paquetes de datos de nuestra red

En este e+ercicio' $amos a aprender a esnifar los paquetes de datos para una red inalmbricadeterminada% En aras de la simplicidad' $amos a $er los paquetes sin ning)n tipo de cifrado%


32/146

9iga estas instrucciones para comenar

1.Encienda el punto de acceso que #ab&a nombrado como /ireless "ab configurado parautiliar sin cifrado%

2.En primer lugar' tendr que encontrar el canal en el que el punto de acceso inalmbrico dellaboratorio se est e+ecutando% Para ello' abra un terminal ( e+ecutar airodum"-ng -- #ssid**$%1$+1$ D%$ /$ %( mon* donde 677 D6 4E 65 es la direccin MA! de nuestropunto de acceso% 3amos a la e+ecucin del programaa ( en bre$e puede $er su punto deacceso que aparece en la pantalla +unto con el canal que se est e+ecutando

3.Podemos $er en la captura de pantalla anterior que nuestro punto de acceso .i0fi de

laboratorio se encuentra en el canal 77% Tenga en cuenta que esto puede ser diferente en supunto de acceso%

4.!on el fin de rastrear los paquetes de datos que $an ( $ienen desde este punto de acceso'

es necesario bloquear nuestra tar+eta inalmbrica en el mismo canal que es el canal 77% Paraello e+ecute el comando iwconfig mon0 channel 11( luego e+ecutar i8config mon7para $erificarla misma% ?sted debe $er el $alor de frecuencia 6%R6 - en la salida% Esto corresponde a!anal 77

5%A#ora inicia /ires#ark ( empear a capturar en la interfa mon% Despus que /ires#ark#a comenado a capturar los paquetes' aplica un filtro para el bssid de nuestro punto deacceso como se muestra usandowlanFbssid GG HH:'1:1:5':A:'=en el rea de filtrousando la direccin MA! apropiada para el punto de acceso


33/146

6.Para $er los paquetes de datos para nuestro punto de acceso' a2ada lo siguiente al filtro2wlanFbssid GG HH:'1:1:d':Ae:'=3 2wlanFfcFt+peJsubt+pe GG H/'H3FAbra su

na$egador en la computadora porttil del cliente ( escriba la direccin ?>" de la interfa degestin del punto de acceso % En mi caso como #emos $isto en el capitulo 7 es

#ttp::76%74%%7% Esto $a a generar paquetes de datos que /ires#ark podr capturar%

H% !omo puede $er' la deteccin de paquetes nos permite analiar los paquetes de datos sinencriptar mu( fcilmente% Esta es la ran por la cual tenemos que utiliar la encriptacininalmbrica%

Qu !a pasado"

Acabamos de capturar paquetes de datos inalmbricos con /ires#ark utiliando di$ersos filtros% !omoel punto de acceso no est utiliando ning)n tipo de cifrado' podemos $er todos los datos en te,toplano% Este es un problema de seguridad importante (a que cualquiera dentro del alcance de >1 del

punto de acceso puede $er todos los paquetes si se utilia un sniffer como /ires#ark%

%ntntalo - Anali8ar los paquetes de datos


34/146

?tilice /ires#ark para analiar los paquetes de datos adicionales% ?sted notar que una solicitud de

D-!P es realiada por el cliente ( si #a( un ser$idor D-!P disponible se responde con una direccin%A continuacin usted encontrar paquetes A>P ( otros paquetes de protocolo inalmbricos% Esta esuna manera agradable ( sencilla de #acer el descubrimiento de sistemas pasi$os en la red inalmbrica%Es importante ser capa de $er un rastro de paquetes ( reconstruir cmo las aplicaciones en el #ostinalmbrico se comunica con el resto de la red% ?na de las caracter&sticas ms interesantes que/ires#ark ofrece es C9eguir una secuenciaC


35/146

Qu !a pasado"

Acabamos de in(ectar con ,ito paquetes en nuestra red de pruebas de laboratorio con airepla(0ng% Esimportante se2alar que nuestra tar+eta in(ecta estos paquetes arbitrarios en la red sin tener que estarconectado al "aboratorio de punto de acceso inalmbrico%

%ntntalo+%nstalacin de BackTrack en ,irtual Bo$r

3amos a $er la in(eccin de paquetes con ma(or detalle en cap&tulos posteriores' sin embargo'

sintase libre de e,plorar otras opciones de la #erramienta airepla(0ng para in(ectar paquetes% ?stedpuede $erificar que la in(eccin se logr mediante el uso de /ires#ark para monitorear las redes%

*ota importante sobre ()$* inhalacin + la in+eccin/"A8 suelen operar dentro de los tres rangos de frecuencia diferentes' 6'R -' @'' ( R%:5%#% 8otodas las tar+etas /i01i soportan estos rangos ( bandas asociadas% !omo por e+emplo' la tar+eta Alfaque estamos utiliando solo es compatible con *EE 46%77b:g% Esto significar&a que esta tar+eta nopuede operar en 46%77a:n% El punto cla$e aqu& es que al capturar o in(ectar paquetes en una banda enparticular su tar+eta /i01i tendr que tener el correspondiente soporte%

Itro aspecto interesante de la tecnolog&a /i01i es que en cada una de estas bandas' #a( m)ltiplescanales% Es importante tener en cuenta que su tar+eta /i01i solo puede estar en un canal en unmomento dado% 8o es posible sintoniar $arios canales al mismo tiempo% "a analog&a con la que se

puede comparar es la radio del coc#e% 9e puede sintoniar a uno solo de los canales disponibles en unmomento dado cada $e% 9i quieres escuc#ar algo diferente tendrs que cambiar el canal de la radio% Elmismo principio se aplica a la auditoria /"A8% Esto nos lle$a a una importante conclusin que no sepueden capturar todos los canales al mismo tiempo' tenemos que seleccionar el canal que mas nosinterese a nosotros% "o que esto significa es que si nuestro punto de inters esta en el canal 7' tenemosque poner nuestra tar+eta en el canal 7%

A pesar de que nos #emos ocupado de la captura /"A8 en los prrafos anteriores' lo mismo se aplicaa la in(eccin% Para in(ectar paquetes en un canal espec&fico' tendr que poner la tar+eta en lafrecuencia del canal%

A#ora $amos a #acer algunos e+ercicios sobre la configuracin de nuestra tar+eta en canalesespec&ficos' saltando de canal' a+ustndonos a la regulacin del dominio' los ni$eles de potencia ( as&

sucesi$amente%

Parte prctica+ #$perimentando con tu tar0eta inalmbrica

9iga atentamente las instrucciones

1.*ntroduca el comando i8config 8lan7para comprobar la capacidad de la tar+eta% !omo sepuede $er en la siguiente captura de pantalla' la tar+eta de Alfa puede funcionar en las bandasb( &


36/146

29lo para fines de demostracin' al conectar otra tar+eta a un D0"ink D/A0765' $emos quees capa de operar en las de bandas b. & ( n:

3.Para configurar la tar+eta en un canal en particular se utilia el comando i8config mon7channel 9

4.

"a serie de comandos i.config no tiene un modo de salto de canal% 9e podr&a escribir unscript sencillo para #acer que funcione de forma mas fcil usando airodump0ng con la opcinde salto de canales (a sea de manera arbitraria o solo un subcon+unto o solo algunos grupos%Todas estas opciones se muestran en la siguiente captura de pantalla que son el resultado dee+ecutar airodump:ng help;

Qu !a pasado"


37/146

Entendimos que tanto la captura inalmbrica como la in(eccin de paquetes depender de lacompatibilidad de #ard.are disponible% Esto significa que slo pueden operar en las bandas ( canalespermitidos por nuestra tar+eta% Adems' la tar+eta inalmbrica de radio slo puede estar en un canal a la$e% Esto adems significa que slo podemos in#alar o in(ectar en un canal a la $e%

%ntntalo+Captura en m9ltiples canales

9i a usted le gusta oler de forma simultnea en m)ltiples canales' requerir m)ltiples tar+etas f&sicas /i0

1i% 9i usted puede conseguir tar+etas adicionales' entonces usted puede intentar para capturar en $arioscanales al mismo tiempo%

#l papel de los dominios de regulacin inalmbrico3

"a comple+idad de la tecnolog&a /i01i no termina aqu&% !ada pa&s tiene su propia pol&tica de asignacinde espectro% Esto determina espec&ficamente los ni$eles permitidos de energ&a ( permite a usar elespectro% En los EE%??%' por e+emplo' la 1!! decide ( si usted utilia las redes /"A8 en los EE%??%tiene que cumplir con estas regulaciones% En algunos pa&ses' no #acerlo es un delito penal%

A#ora ec#emos un $istao a cmo podemos encontrar la configuracin por defecto de reglamentacin (luego la manera de cambiarlo si es necesario%

Parte prctica+ #$perimentando con su tar0eta de red

>ealice los siguientes pasos

1.>einicie su ordenador ( no conectes la tar+eta Alfa toda$&a%

2.?na $e conectado' monitoria los mensa+es del kernel con el comando tail

@%*nserte la tar+eta Alfa' deber&a $er algo que se aseme+a a la siguiente captura de pantalla%Esta es la configuracin por defecto de regulacin aplicada a la tar+eta


38/146

49upongamos que estamos en los EE%??% Para cambiar el dominio regulador tenemos elcomando i8 reg set 0en la consola

5.9i el comando es correcto' se obtiene una salida como se muestra


39/146

regulador


40/146

@% O!ul es la e,presin de filtro para $er todas las tramas non0beacon en /ires#ark

a%;


41/146

#vitando la autenticacin de

.LA4

:B/passing .LA4 Aut!entication;

NBna falsa sensacin de se&uridad es peor que estar

inse&uroFN

Annimo

?na falsa sensacin de seguridad es peor que estar inseguro' (a quepodr&a no estar preparado para enfrentar la e$entualidad de ser

#ackeado%

"as /"A8 tienen esquemas de autenticacin dbiles' que pueden romperse fcilmente ( ser anuladas%En este cap&tulo' $amos a $er los esquemas de autenticacin utiliado en $arias redes /"A8 (

aprender a superarlos%

En este cap&tulo' $amos a $er lo siguiente

Descubrir99*D oculto

Vencerfiltros MA!

Omisinde autenticacin abierta

Omisinde autenticacin de cla$e compartida

%6 oculto

En el modo de configuracin por defecto' todos los puntos de acceso en$&an sus 99*D en las tramas deBeacon%Esto permite a los clientes en los alrededores para descubrir con facilidad%99*D oculto es unaconfiguracin en el punto de acceso para que no emita su 99*D en las tramas gu&a


42/146


1.?sando /ires#ark' si #acemos un seguimiento de los marcos guia


43/146

4.!on el fin de saltrnoslo < b(pass=' en primer lugar $amos a utiliar la tcnica pasi$a de

esperar a que un cliente leg&timo se conecte al punto de acceso%Esto $a a generar una sondade solicitud equest= ( los paquetes de respuesta de la sonda esponse= que

contendr el 99*D de la red' lo que re$ela su presencia

5.Alternati$amente' puede usaraireplay -ngpara en$iar paquetes de de0autenticacin atodas las estaciones en nombre del punto de accesoinal1mbrico !irele "abescribiendoairepla -ng -0 # -a 00:,+:9+:(,:%:,# mon%"a opcin de-0espara la eleccin de un ataque de Deautenticacin ( =es el n)mero de paquetes de

deautenticacin a en$iar%Por ultimo -aespecifica la direccin MA! del punto de acceso alque se dirigen


44/146

6."os paquetes de deautenticacin anterior obligar a todos los clientes leg&timos adesconectarse ( reconectarse%9er&a una buena idea a2adir un filtro de paquetes dedeautenticacin para obser$arlas de manera aislada

7."as respuestas de la sonda desde el punto de acceso terminan re$elando su 99*D oculto%

Estos paquetes se mostrarn en /ires#ark como se muestran a continuacin% ?na $e que

los clientes leg&timos se conectan de nue$o podemos $er el 99*D oculto con la solicitud de

sonda ( los frames de respuesta equest ( >esponse frames=% Puedes utiliar el fi ltro

2wlanFbssid GG HH:'1:1:d':Ae:'=3 M2wlanFfcFt+peJsubt+pe GG H/HA3 para super$isar

todos los paquetes no0beacon


45/146

sonda esponse=%Estos paquetes contienen el 99*D del punto de acceso%9i estos paquetes noestn cifrados' pueden ser fcilmente capturados del aire ( el 99*D se puede encontrar%En muc#oscasos' los clientes pueden estar (a conectados al punto de acceso ( puede que no #a(a paquetesdisponibles de 9olicitud : >espuesta en la traa de /ires#ark%En este caso se puede desconectar a lafuera a los clientes desde el punto de acceso mediante el en$&o de paquetes falsificados dedeautenticacin%Estos paquetes fueran a los clientes a conectarse de nue$o al punto de acceso' loque re$ela el 99*D%

%ntntalo+6esautenticacin selectiva

En el e+ercicio anterior' en$iamos paquetes de difusin dedeautenticacin para forar la recone,in de

todos los clientes inalmbricos% Tratar de $er cmo se puede apuntar selecti$amente a clientesindi$iduales utiliando airepla-ng.

Es importante se2alar que a pesar de que se ilustran muc#os de estos conceptos utiliando /ires#ark'es posible organiar estos ataques con otras #erramientas comola suiteaircrack-ng% 8osotrosanimamos a e,plorar toda la suite de #erramientas aircrack-ng( la documentacin localiada en su

pagina .eb http://www.aircrack-ng.org %


46/146

3.Detrs del escenario el punto de acceso en$&a mensa+es de Error de autenticacin para el

cliente%"a traa de paquetes ser&a similar al siguiente

4.!on el fin de superar los filtros MA!' podemos usarairodump-ngpara encontrar lasdirecciones MA! de los clientes conectados al punto de acceso%Podemos #acer esto

mediante la emisin del comandoairodump-ng -c ++ -a --bid00:,+:9+:(,:%:,# mon0% Al especificar el bid$slo se #ar un seguimiento delp unto de acceso que es de inters para nosotros% El-c++establece el canal 77' donde

es la frecuencia de emisin del punto de acceso% %l -a asegura en la seccin declientes la salida de airodump-ng$slo se muestran los clientes que se asocian ( seconectan al punto de acceso%Esto nos mostrar todas las direcciones MA! del clienteasociado con el punto de acceso


47/146

5.?na $e que nos encontramos a un cliente de la lista blanca de MA!' se puede falsificar ladireccin MA! del cliente mediante la utilidadmacchangerque $iene con BackTrack%Puedeutiliar el comandomacchanger m 60:FB:42:D5:E4:01 wlan0para lograr esto%"adireccin MA! que se especifique con la opci2n -mes la nue$a direccin MA! falsa para la

interface .lan

6.!omo se puede $er claramente' estamos a#ora en condiciones de conectarnos al punto deacceso despus de la suplantacin de la direccin MA! de un cliente de la lista blanca%

Qu !a pasado"

9e monitore la red inalmbrica usandoairodump-ng( encontramos la direccin MA! de los clientesleg&timos conectados a la red inalmbrica%A continuacin' utiliamos la utilidadmacchnager"aracambiar la direccin MA! de nuestra tar+eta inalmbrica para que coincida con la del cliente%Estoenga2 al punto de acceso #acindole creer de que somos el cliente leg&timo ( nos permiti el acceso asu red inalmbrica%

9i le anima a e,plorar las diferentes opciones de la utilidadairodump-ngec#e un $istao a la

documentacin en su pagina .ebhttp://www.aircrack-ng.org/doku.phpid4airodump-ng

Autenticacin abierta

El trmino autenticacin abierta es casi un nombre inapropiado' (a que en realidad no proporcionaninguna autenticacin%!uando un punto de acceso est configurado para utiliar autenticacin abierta'esta preparado para que todos los clientes que conecten a l sean autenticados con ,ito %

A#ora $amos a #acer un e+ercicio para autenticar ( conectarnos a un punto de acceso utiliando IpenAut#entication%

Tiempo para l

Parte prctica+B/pass de autenticacin abierta

3eamos a#ora la forma de eludir la autenticacin abierta


48/146

1.En primer lugar establecemos nuestro punto de acceso de laboratorio para utiliar laautenticacin abierta%En mi punto de acceso se trata simplemente de establecer securit+modeen *one:

2.A continuacin' nos conectamos a este punto de acceso mediante el comandoiwconfig

wlan0 eid *!irele "ab*( $erifique que la cone,in #a tenido ,ito ( que estamosconectados al punto de acceso

3.Tenga en cuenta que no #emos tenido que facilitar cualquier nombre de usuario : pass.ordpara obtener la cone,in a tra$s de la autenticacin abierta%

Qu !a pasado"


49/146

Este es probablemente el ms sencillo de #ackear #asta a#ora%!omo #emos $isto' no eratri$ial romper la autenticacin para conectar con el punto de acceso%

Autenticacin de clave compartida :!ared >e/ Aut!entication;

Autenticacin de cla$e compartida utilia un secreto compartido como la cla$e /EP para autenticar al

cliente%El intercambio de informacin e,acta se ilustra a continuacin


50/146

1.Primero $amos a configurar la autenticacin compartida en nuestra red inalmbrica de

laboratorio%"o #e #ec#o en mi punto de acceso estableciendo el modo de se&uridad.como(P( autenticacinde clave compartida 24hared ;e+3:

2.3amos a conectar a un cliente leg&timo de esa red utiliando la cla$e compartida que#emos fi+ado en el paso 7%

3.!on el fin de eludir la autenticacin de cla$e compartida' lo primero que #aremos serempear a capturar los paquetes entre el punto de acceso ( sus clientes%9in embargo'tambin nos gustar&a #acerlo con todo el registro de intercambio de autenticacin compartida%Para ello usamosairodump-ngcon el comandoairodump-ng mon0 -c 11 --bid00:21:!1:D2:"E: 25 -w >eystream6"a opci2n -wque es nue$o aqu& solicita aairodump-ngalmacenar (:o escribir los paquetes en un arc#i$o cu(o nombre es la palabraCke(streamC%!omo nota a parte' podr&a ser una buena idea guardar di$ersas sesiones decaptura de paquetes en diferentes arc#i$os%Esto permite analiarlo en el futuro despus deque la trama se #a capturado

4.Podemos esperar que un cliente leg&timo se conecte con el punto de acceso o forar una

recone,in con la tcnica de deautenticacin utiliada anteriormente%?na $e que un clientese conecta ( sucede la autenticacin de cla$e compartida' airodump-ngcaptura esteintercambio de forma automtica%?na indicacin de que la captura #a tenido ,ito es cuandola columna )567 se lee&8)es decir' autenticacin de cla$e compartida


51/146

5."a captura se almacena en un arc#i$o llamadoketreamen el directorio actual. /n mi casocon el nom#re de archivo 0estream-*1-**-%1-+1-D%-/-%(.2or como se muestra a continuacin

6.!on el fin de simular una autenticacin de cla$e compartida' $amos a utiliar la #erramientaairepla-ng.!orremos el comandoairepla-ng -+ 0 -e !irele "ab -ketream-0+-00-,+-9+-(,-%-,#.xor -a 00:,+:9+:(,:%:,# -h

aa:aa:aa:aa:aaaa mon0 .)irepla-ngusa la captura que obtu$o en el paso 5 eintenta autenticar al punto de acceso con el 99*D!irele "ab( la direccin MA!

00:,+:9+:(,:%:,# ( utilia un cliente arbitrario de direcciones MA!aa:aa:aaaaaaaa%*niciar /iresa#rk ( esnifar todos los paquetes de inters mediante la aplicacin del filtro

wlan.addr == aa:aa:aa:aa:aa:aa

7.)irepla-ngnos permite saber si la autenticacin tiene ,ito o no en el resultado

8.9e puede comprobar lo mismo con /ires#ark%?sted debe $er una traa como se muestra

a continuacin en la pantalla de /ires#ark


52/146

9.El primer paquete es la solicitud de autenticacin en$iada por la #erramientaairepla-ngal punto de acceso


53/146

10El segundo paquete est formado por el modelo de te,to que el punto de acceso en$&a al

cliente

11.En el tercer paquete' la #erramienta en$&a el modelo de te,to cifrado al punto de acceso

12.!omoairepla-ngusa la captura8etreamderi$ada para el cifrado' la autenticacin

se realia correctamente ( el punto de acceso en$&a un mensa+e de ,ito en el cuartopaquete


54/146

13.Despus de que la autenticacin tiene ,ito' la #erramienta falsifica una asociacin con el

punto de acceso' que sucede as&

149i usted comprueba los registros inalmbricos en la interfa administrati$a del punto de

acceso' se deber&a $er a un cliente inalmbrico con una direccin MA! AA:$$: $$: $$:$$: $$conectado


55/146

Qu !a pasado"

-emos tenido ,ito en la obtencin de latrama de un intercambio de autenticacin compartida ( lo

utiliamos para falsificar un certificado de autenticidad para conectarnos con el punto de acceso%

%ntntalo+%nundar las tablas del punto de acceso

"os puntos de acceso tienen una cuenta de clientes m,imos despus de que empiean a rec#aar lascone,iones%Al escribir un script sencillo en airepla-nges posible automatiar ( en$iar cientos desolicitudes de cone,in al aar de direcciones MA! al punto de acceso%Esto terminar&a llenando lastablas internas ( una $e que el n)mero de clientes m,imos es alcanado el punto de acceso quede+ar de aceptar nue$as cone,iones%Esto es normalmente lo que se llama un ataque de Denegacin de9er$icio einiciando al cliente

c% Al reiniciar el punto de acceso

d% Todas las anteriores

6%Autenticacin abierta

a%Proporciona una seguridad decente

b% 8o es segura

c%>equiere el uso de cifrado


56/146

d%8inguna de las anteriores

@%>ompiendo la cla$e de autenticacin compartida estamos #aciendo

a%Deri$acin del ke(stream capturados a los paquetes

b%Deri$acin de la cla$e de cifrado

c%En$&o de paquetes de deautenticacin al punto de acceso

d%>einiciar el punto de acceso

umario

En este cap&tulo' #emos aprendido lo siguiente acerca de la autenticacin /"A8

99*D oculto es una caracter&stica de seguridad que es relati$amente fcil de

superar%

1iltrado de direcciones MA! no proporciona ninguna seguridad de que las

direcciones MA! puedan ser capturadas en los paquetes inalmbricos%Esto esposible porque las direcciones MA! no estn cifradas en el paquete%

Autenticacin abierta no proporciona ninguna autenticacin real%

Autenticacin de cla$e compartida es un poco dif&cil de romper pero con la a(uda

de las #erramientas adecuadas podemos deri$ar la cadena de cla$e


57/146

6e'ectos de ci'rado.LA4

N>9H ; de memoria es m"s de lo que nadie va a necesitarFN

Bill ates' fundador de Microsoft

*ncluso con la me+or de las intenciones' el futuro es siempre impredecible%El comit de/"A8 dise2ada /EP ( /PA luego de ser tonto a prueba los mecanismos de cifrado'pero con el tiempo' estos dos mecanismos se #ab&a fallas' las cuales #an sidoampliamente di$ulgados ( e,plotados en el mundo real%

"os mecanismos de encriptacin /"A8 #an tenido una larga #istoria de ser $ulnerables a ataquescriptogrficos%Todo comen con /EP a principios de 6 que al final fue roto por completo%En los

)ltimos tiempos' los ataques son dirigidos poco a poco a /PA%A pesar de que no #a( ning)n ataquedisponible al p)blico en la actualidad para romper /PA en todas las condiciones #a( ataques que sonfactibles ba+o circunstancias especiales%

En este cap&tulo' $amos a e,aminar lo siguiente

Diferentes esquemas de cifrado en las redes /"A8

!racking de encri"taci3n /EP

!racking de encri"taci3n/PA

Ci'rado .LA4

"as /"A8 transmiten datos a tra$s del aire ( por lo tanto #a( una necesidad in#erente a la proteccinde los datos para que sean confidenciales%Esto se logra mediante el cifrado%El comit de /"A8


58/146

Aqu&' $amos a $er cada uno de estos protocolos de cifrado ( demostrar $arios ataques contra ellos%

#ncriptacin .#P

El protocolo /EP se sab&a que era imperfecto desde el a2o 6' pero' sorprendentemente' toda$&acontin)a siendo utiliado ( los puntos de acceso a)n inclu(en capacidades /EP #abilitadas%

-a( muc#as debilidades criptogrficas de /EP que fueron descubiertos por /alker' Arbaug#' 1lu#rer'Martin' 9#amir' ForeF ( muc#os otros%El anlisis /EP desde un punto de $ista criptogrfico est fueradel alcance de este libro (a que implica la comprensin de las matemticas comple+as%Aqu&' $amos abuscar la forma de romper la encriptacin /EP utiliando las #erramientas disponibles en la plataformade BackTrack%Esto inclu(e toda la suitede #erramientas de )ircrack-ngcomo son airmon-ng$airepla-ng$airodump-ng$aircrack-n ( otros%

3amos a configurar el cifrado /EP en nuestro laboratorio de pruebas ( $er cmo se puede romper%

Parte prctica+Cracking .ep

9iga las instrucciones para comenar

1. Primero $amos a conectar a nuestro punto de acceso Wireless Lab( $a(a a la onade a+ustes que se ocupa de los mecanismos de cifrado inalmbrico

2. En mi punto de acceso esto se puede #acer establiendo el modo de se&uridaden(PFTambin tendr que establecer la longitud de la cla$e /EP%!omo se muestra

en la siguiente captura de pantalla' (o #e puesto /EP para usar cla$es de 764 bits%-e puesto la clave (P por defecto (P ;e+ 1( #eestablecido el $alor en

#e,adecimal a abcdefabcdefabcdefabcdef1'como cla$e de 764 bits /EP%Puedeconfigurar esta opcin a su gusto


59/146

3.?na $e que los a+ustes se aplican el punto de acceso ofrece /EP como mecanismo decifrado%A#ora $amos a configurar la mquina atacante%

4.3amos a abrirwlan0e+ecutando el comandoifconfig wlan0 up%Entonces e+ecutamosairmon-ng tart wlan0para crear la interfa mon que es la interfa en modo monitor'como se muestra en la siguiente captura de pantalla% 3erifique que la interfa #a sido creadausando iwconfig


60/146

5.3amos a e+ecutarairodump-ngpara localiar nuestro punto de acceso de laboratorio conel comandoairodump-ng mon0. 4omo se "uede ver en la siguiente ca"tura "odemos ver el "untode acceso inalm#rico!irele "abfuncionando con cifrado 5/6$

6. Para este e+ercicio' slo estamos interesados en /ireless "ab$as& que $amos escribir enconsolaairodump-ng -bid 00:,+:9+:(,:%:,# -- canal ++ -write!%Cracking(emo mon0para $ero slo los paquetes para esta red%Adems' le decimos aairodump-ngque guarde los paquetes en un arc#i$o.pcapcon la directi$a -write

7.A#ora $amos a conectar nuestro cliente inalmbrico al punto de acceso ( el usamos lacla$e /EP abcdefabcdefabcdefabcdef+,. ?na $e que el cliente se #a conectadocorrectamente'airodump-ngdebe informar en la pantalla

8.9i usted #ace unlen el mismo directorio podrs $er los arc#i$os con el nombre!%Cracking(emo-como se muestra en la siguiente captura de pantalla%Estos son dedescarga de trfico los arc#i$os creados por airodump-ng:


61/146

9.9i se obser$a la pantalla de airodump-ng$el n)mero de paquetes de datos que figuranen la columna de datos es mu( peque2o P en la red inalmbrica usandoairepla-ngein(ectarlos de nue$o en la red' para simular las respuestas A>P%*niciamosairepla-ngenuna $entana separada' como se muestra en la siguiente captura de pantalla%>eproduciendoestos paquetes unos pocos miles de $eces $amos a generar una gran cantidad de trfico dedatos en la red%A pesar de queairepla-ngno sabe la cla$e /EP es capa de identificar

los paquetes A>P mirando el tama2o de los paquetes%A>P es un protocolo de cabecera fi+a (por lo tanto el tama2o de los paquetes A>P se puede determinar fcilmente ( se puedeutiliar para la identificacin de estos paquetes incluso con el trfico cifrado%3amos a e+ecutarairepla-ngcon las opciones que se muestran a continuacin%"a opcin3es para la

reproduccin de );$ -bespecifica el B99*D de nuestra red -hespecifica la direccinMA! del cliente al que estamos suplantacin la identidad%!omo ataque de repeticin slofuncionar para los clientes autenticados ( direcciones MA! asociadas%

11.*nmediatamente se puede $er queairepla-nges capa de capturar los paquetes deA>P ( #a empeado a en$iarlos a la red

12.En este punto'airodump-ngtambin comenar a registrar una gran cantidad depaquetes de datos%Todos estos paquetes capturados se almacenan en los arc#i$os/EP!rackingDemo0que(a $imos anteriormente

13.A#ora' $amos a empear con la parte real del #acking% E+ecutamosaircrack-ngcon lasopciones !%C;acking(emo-0+.cap en una nue$a $entana%9e iniciar el soft.are deaircrack-ng( se comiena a traba+ar en romper la cla$e /EP utiliando los paquetes de


62/146

datos en el arc#i$o%Tenga en cuenta que es una buena idea contar con airodump-ngcapturando los paquetes /EP' airepla-ng #aciendo la repeticin del ataque ()ircrack-ng tratando de obtener la cla$e /EP basada en los paquetes capturados' todo almismo tiempo%En este e,perimento' todos ellos estn abiertos en $entanas independientes

14."a pantalla debe parecerse a la siguiente captura de pantalla' cuandoaircrack-ngestatraba+ando en los paquetes para romper la cla$e /EP

15.El n)mero de paquetes de datos necesarios para obtener la cla$e no es determinante'pero en general $a en el orden de cien mil o ms%En una red rpida


63/146

17.Es importante se2alar que /EP es totalmente insegura ( cualquier cla$e /EP


64/146

.PA?.PA@

/PA


65/146

En un t&pico ataque de diccionario /PA:/PA6 P9F' el atacante utilia un diccionario de frases posibles

con la #erramienta de ataque%"a #erramienta obtiene la Pre09#ared Fe( de 650bit de cada una de lasfrases ( usndola con los otros parmetros' se describe la creacin de la mencionada PTF%"a PTF seutiliar para $erificar la comprobacin de inte&ridad del mensa%e 27IC 7essa&e Inte&rit+ Check3encada uno de los paquetes del apretn de manos


66/146

2.*niciamosairodump-ngcon el comandoairodump-ng -bid00:,+:9+:(,:%:,#channel ++ write !)Cracking(emo mon0 para comenar a capturar ( almacenartodos los paquetes de nuestra red

3.A#ora podemos esperar a que un nue$o cliente se conecte al punto de acceso para quepodamos capturar el apretn de manos /PA de cuatro $&as o podemos en$iar una difusinde autenticacin de paquetes para obligar a los clientes a $ol$er a conectarse%8osotros#acemos lo )ltimo para acelerar las cosas

4.Tan pronto como se captura de un apretn de manos /PA'airodump-ng$a #a indicar enla esquina superior derec#a de la pantalla como /PA -ands#ake:seguido por B99*D delpunto de acceso

5.Podemos pararairodump-nga#ora%3amos a abrir el arc#i$o.pcapen (ireshark( $erel saludo de cuatro $&as%9u terminal de (iresharkdebe $erse como la siguiente captura depantalla%-e seleccionado el primer paquete de la saludo de cuatro $&as del arc#i$o' en la

siguiente captura de pantalla%"os paquetes del apretn de manos son unas de cu(o protocoloes la clave $P8):

6.A#ora $amos a empear el e+ercicio cla$e de cracking real%Para esto' necesitamos undiccionario de palabras comunes% Backtrack inclu(e un arc#i$o de diccionario darcde%lst quemostramos en la siguiente captura de pantalla% Es importante se2alar que el en el cracking de/PA usted es tan bueno como lo sea su diccionario% Backtrack inclu(e algunos diccionariospero estos pueden ser insuficientes% "as contrase2as que la gente elige dependen de unmontn de cosas% Esto inclu(e cosas como a que pa&s pertenecen los usuarios' los nombrescomunes ( frases en esa regin' la conciencia de seguridad de los usuarios ( montn deotras cosas' esto te puede dar una idea de que palabras deber&amos agregar al diccionariocuando $amos #a lle$ar a cabo una prueba de penetracin


67/146

H%A#ora $amos a in$ocaraircrack-ngcon el arc#i$opcapcomo entrada ( un enlace alarc#i$o de diccionario como se muestra en la captura de pantalla

8.)ircrack-ngusa el arc#i$o de diccionario para tratar $arias combinaciones de frases depaso ( trata de romper la cla$e%9i la contrase2a est presente en el arc#i$o de diccionario'con el tiempo la romper ( la pantalla ser similar a la de la captura de pantalla

9.Tenga en cuenta que' al tratarse de un ataque de diccionario' el requisito pre$io es que lafrase de paso debe estar presente en el arc#i$o de diccionario que est suministrando aaircrack-ng.9i la contrase2a no est presente en el diccionario' el ataque fallar;


68/146

Qu !a pasado"

-emos creado una contrase2a com)n abcdef&hen nuestro punto de acceso con /PA0P9FFA

continuacin' utiliamos un ataque de de0autenticacin de los clientes leg&timos instndoles a $ol$er aconectarse al punto de acceso%!uando $uel$en a conectar' capturamos el saludo de cuatro $&as /PAentre el punto de acceso ( el cliente%

!omo /PA0P9F es $ulnerable a un ataque de diccionario' $amos a alimentar el arc#i$o de captura quecontiene el apretn de manos /PA de cuatro $&as ( una lista de frases comunes

Ja #emos $isto en el apartado anterior que si tenemos la contrase2a correcta en nuestro diccionario' elcracking de /PA0Personal traba+ar cada $e a las mil mara$illas%Entonces Opor qu no nos limitamosa crear un diccionario de las ms elaboradas de millones de contrase2as comunes ( el uso de frasesque la genteEsto nos a(udar&a muc#o' nos a#orrar&amos la ma(or&a del tiempo ( terminar&a con el

craqueo de la contrase2a%Todo suena mu( bien' pero nos falta el componente contrase2a0tiempoempleado%?no de los clculos que ms !P? consume ( lle$a muc#o tiempo es el de la Pre09#aredFe( utiliandola frase de contrase2a P9F ( el 99*D en la PBFD16%"a funcin #as# combina ambosms de R $eces antes de la salida de la Pre09#ared Fe( 65 bits%El siguiente paso implica el uso deromper esta cla$e +unto con los parmetros del saludo de cuatro $&as ( $erificar contra el M*! en elapretn de manos%Este paso es computacionalmente barato%Adems' los parmetros pueden $ariar enel apretn de manos cada $e ( por lo tanto' este paso no puede ser pre0calculado%As&' para acelerar elproceso de craqueo necesitamos #acer el clculo de laPre09#ared Fe( de la frase de paso lo msrpido posible%

Podemos acelerar este proceso de pre0clculo de la Pre09#ared Fe(' tambin llamado Pair.ise MasterFe(


69/146

Parte prctica - Acelerando el proceso de crackeo

1.Podemos calcular pre$iamente el PMF para un 99*D determinado ( lista de palabrasutiliando la #erramientagenpmkcon el comandogenpmk f/pentet/paword/wordlit/darkc0de.lt -d =8-!irele-"ab

*!irele "ab*como se muestra en la siguiente captura de pantalla%Esto crea el arc#i$o=8-!irele-"abque contiene el PMF pre0generado

2.A#ora crear una red /PA0P9F con la contrase2a sk+ si&n


70/146

&.9e tarda apro,imadamente H'74 segundos conCowpattobtener la cla$e' utiliando laPMF pre0calculada como se muestra en la captura de pantalla

4.A#ora usamosaircrack-ngcon el arc#i$o de mismo diccionario ( el proceso de craqueotoma ms de 66 minutos%Esto demuestra lo muc#o #a ganando debido al pre0clculo

(.!on el fin de utiliar estos PMFs con aircrack-ng$tenemos que usar una #erramientallamada airolib-ng."e daremos las opcionesairolib-ng =8-)ircrack importcowpatt PMF0/ireless0"ab'donde=8-)ircrackes la base de datos compatible conaircrack-ngque se crear (=8-!irele-"abes la base de datos compatible congenpmkPMF que #ab&amos creado pre$iamente


71/146

6.A#ora alimentar la base de datos paraaircrack-ng( la $elocidad del proceso decraqueo se #ar notable%El comando que usado esaircrack-ng -r =8-)ircrack/PA!rackingDemo607%cap

7.-a( otras #erramientas disponibles en BackTrack como'ritque puede apro$ec#ar lossistemas multi0!P? para acelerar el cracking%Damos el nombre de arc#i$opcapcon laopcin -r( lo complementamos con genpmkcon el arc#i$oPMF con la opcin -i.*nclusoen el mismo sistema en que utiliamos las #erramientas anteriores'rittoma alrededor detres segundosenobtener la cla$e' utiliando el arc#i$o creado PMF con genpmkcomo semuestra en la siguiente pantalla

Qu !a pasado"

Estudiamos $arias #erramientas ( tcnicas para acelerar el #acking /PA:/PA60P9F%"a idea escalcular pre$iamente el PMF para un 99*D determinado ( una lista de frases ennuestro diccionario%

6esci'rar paquetes.#P / .PA

En todos los e+ercicios' que #emos #ec#o #asta a#ora' #emos roto las cla$es /EP ( /PA usando$arias tcnicas%Pero' Oqu #acemos con esta informacinEl primer paso ser&a la de descifrarpaquetes de datos que #emos capturado utiliando estas cla$es%

En el siguiente e+ercicio' $amos a descifrar los paquetes /EP ( /PA en la trama del mismo arc#i$oque captur utiliando las cla$es que rompimos%


72/146

Parte prctica - 6esci'rando paquetes .#P / .PA

7% 3amos a descifrar paquetes del mismo arc#i$o de captura /EP que #emos creado antes!%Cracking(emo-0+.cap. Para ello' $amos a utiliar otra #erramienta de la suite)ircrack-ngllamada airdecap-ng.!orremos el siguiente comando como se muestra en la siguiente captura depantallaairdecap-ng -w abcdefabcdefabcdefabcdef+, !%Cracking(emo-0+.cap$utiliando la cla$e /EP que rompimos con anterioridad

2."os arc#i$os desencriptados se almacenan en un arc#i$o llamado !%Cracking(emo-

0+-dec.cap.8osotros usamos la utilidadtharkpara $er los primeros die paquetes delarc#i$o%Tenga en cuenta que es posible $er resultados diferentes en funcin de lo que #acapturado

3./PA:/PA6 P9F funciona e,actamente de la misma forma que con /EP utiliando lautilidad airdecap-ng$como se muestra en la figura siguiente' con elcomandoairdecap-ng -p abdefgh !)Cracking(emo-0+.cap -e * !irele "ab *


73/146

Qu !a pasado"

Acabamos de $er' cmo podemos descifrar paquetes cifrados /EP ( /PA:/PA60P9F conairdecap-ng.Es interesante notar' que podemos #acer lo mismo con /ires#ark%"e animamos ae,plorar cmo se puede #acer mediante la consulta de la documentacin de /ires#ark%

Conectndonos a redes .#P / .PA

Tambin se puede conectar a la red autoriada despus de #aber roto la cla$e de red% Esto puede$enir mu( bien' durante las pruebas de penetracin%*nicio de sesin autoriada en la red conla cla$ecrackeada es la )ltima prueba que puede brindar a su cliente de que su red es insegura%

Parte prctica - Conectndonos a una red .#P

1.?tilice la utilidadiwconfigpara conectarse a una red /EP' una $e que tienes la cla$e%En un e+ercicio anterior rompimos la cla$e !% abcdefabcdefabcdefabcdef+,:

Qu !a pasado"

-emos $isto cmo conectarse a una red /EP%

Parte prctica - Conectndonos a una red .#P

1. En el caso de /PA' el asunto es un poco ms complicado%"a utilidadiwconfigno se puede utiliar con /PA:/PA6 Personal ( Enterprise' (a que no lo soporta%8osotros utiliamos una nue$a #erramienta llamada wpa>upplicant para esta

prctica%Para usarwpa>upplicanten una red tendremos que crear un arc#i$ode configuracin como se muestra en la imagen%3amos a llamar a este arc#i$owpa-upp.conf:

2.A continuacin' se in$oca la utilidadwpa>upplicantcon las siguientes


74/146

opciones-(wext -iwlan0 c wpa-upp.conflapara conectarse a la red/PA que rompimos como (a $imos% ?na $e que la cone,in se establece'wpa>upplicantte mostrar un mensa+e de cone,in%

3.Por tanto una $e que est conectado con las cla$es de red /EP ( /PA deber&a usard#cpclient@ para conseguir una direccin D-!P de la red como se muestra a continuacin

Qu !a pasado"

"a utilidad predeterminada iwconfigno puede ser utiliada para conectarse a las redes /PA:/PA6%"a #erramienta de facto para esto es wpa>upplicant.En este laboratorio' #emos $isto cmopodemos usarlo para conectarse a la red /PA%

#$amen sorpresa - P cifrado

d%8inguno de los anteriores

6%/EP puede #ackeada

a%9iempre

b%9lo cuando una cla$e:contrase2a dbil es elegida

c%9loen circunstancias especiales'

d%9lo si el punto de acceso se e+ecuta soft.are antiguo


75/146

@%/PA puede ser $iolada

a%9iempre

b%9lo cuando una cla$e:contrase2a dbil es elegida

c%9i el cliente tiene firm.are antiguo

d%*ncluso sin clientes conectados a la red inalmbrica

(esumen

En este cap&tulo' #emos aprendido lo siguiente acerca del cifrado de /"A8

EPes defectuoso ( no importa cual sea la cla$e /EP es decir' con suficientesmuestras de paquetes de datos siempre es posible romper el protocolo /EP%

P!P!#es criptogrficamente no manipulable en la actualidad' sin embargo'ba+o circunstancias especiales' como cuando una frase de contrase2a dbil eselegida en /PA:/PA60P9F' es posible recuperar la contrase2a utiliando los

ataques de diccionario%

En el siguiente cap&tulo' $amos a $er en diferentes ataques en la infraestructura de/"A8' como puntos de acceso' e$il t.in' los ataques bit0flipping ( as&sucesi$amente%

$taques a la

infraestructura ()$*


76/146

NPor lo tanto. lo que es de suma importancia en la &uerra es atacar la estrate&iadel enemi&oN

9un Tu' El Arte de la uerra

En este cap&tulo' $amos a atacar el n)cleo de la infraestructura de /"A8;8oscentraremos en cmo podemos penetrar en la red autoriada mediante el uso de $arios$ectores de ataque nue$o' ( tambin cmo podemos atraer a los clientes autoriados aconectarse a nosotros' como un atacante%

"a infraestructura /"A8 es lo que proporciona ser$icios inalmbricos a todos losclientes /"A8 en un sistema%En este cap&tulo' $amos a $er $arios ataques que pueden realiarsecontra la infraestructura

!uentas por defecto ( credenciales del punto de acceso

Ataques de denegacin de ser$icio

E$il t.in ( suplantacin de identidad del punto de acceso MA!

Puntos de acceso renegados


77/146

2.Desde la .eb del fabricante' nos encontramos con las credenciales de cuenta por defectoadminest en blanco ' es decir' sin contrase2a% 8osotros tratamos este tema al principio dellibro ( nos conectamos con ,ito% Esto muestra lo fcil que es entrar en las cuentas con lascredenciales por defecto% 9in duda recomendamos descargar el manual de usuario del routerde internet' esto permitir que entiendas de lo que trata la prueba durante la penetracin (que te #agas una idea de los defectos de configuracin que $amos a comprobar%

%

Qu !a pasado"

-emos comprobado que a $eces las credenciales por defecto no se cambian en el punto de acceso (esto podr&a conducir a comprometer todo el sistema%Adems incluso si las credenciales por defectose cambian' no debe ser algo que sea fcil de adi$inar ni e+ecutando un simple ataque basado endiccionario%

%ntntelo - !acking de cuentas usando ataques de 'uer8a bruta

En el e+ercicio anterior' cambie la contrase2a a algo dif&cil de adi$inar o buscar en un diccionario ( $ea

si se puede romper con un ataque de fuera bruta%"imite la longitud ( caracteres de la contrase2a' demodo que pueda tener ,ito en alg)n momento%?na de las #erramientas ms comunes que se utilianpara romper la autentificacin -TTP se llama -(dra disponible en BackTrack%

Ataque de denegacin de servicio

"as redes /"A8 son propensas a los ataques de dene&acin de servicio 25o43usando $ariastcnicas' inclu(endo pero no limitadas a

Ataque de de0autenticacin

Ataque de desasociacin


78/146

Ataque4:S-8:S

Ataque de interferencia del espectro de lase2al

En el mbito de este libro' #ablaremos de ataques De0autenticacin a la infraestructurainalmbricade la red "A8 mediante el siguiente e,perimento%

Parte prctica -Ataque de de+autenticacin 6o


1.3amos a configurar la red (ireless )abpara utiliar la autenticacin abierta ( sincodificacin%Esto nos permitir $er los paquetes con /ires#ark fcilmente

2.3amos a conectar a un cliente de /indo.s en el punto de acceso%3emos la cone,in en lapantalla de airodump-ng:

3.A#ora en la mquina atacante' iniciamos un ataque dirigido de de0autenticacin

4.Tenga en cuenta como el cliente se desconecta del punto de acceso%Podemos $erificarloen la misma pantalla de airodump-ng$as&


79/146

5%9i se utilia /ires#ark para $er el trfico' te dars cuenta de que nos acaba de en$iarun montn de paquetes de de0autenticacin

6.Podemos #acer el mismo ataque mediante el en$&o de difusin de de0autenticacin depaquetes


80/146

Trata de $er cmo se puede lle$ar a cabo un ataque de desasociacin contra la infraestructura con las#erramientas disponibles en BackTrack%OPuedes #acer un ataque de desasociacin

#vil t*in / suplantacin de identidad de punto de acceso =AC

?no de los ataques ms potentes en las infraestructuras /"A8 es el E$il t.in%"a idea es' bsicamenteintroducir un punto de acceso controlado por el atacante en las inmediaciones de la red /"A8%Estepunto de acceso se anuncia con el mismo 99*D e,acto de la red /"A8 legitima%

Muc#os usuarios de redes inalmbricas accidentalmente pueden conectarse a este punto de accesomalicioso ( pensar que es parte de la red autoriada%?na $e que se establece la cone,in el atacantepuede orquestar un man0in0t#e0middle ( mantener de forma fluida un re0en$&o del trfico mientras queescuc#a toda la comunicacin%3amos a $er cmo se lle$a a cabo man0in0t#e0middle en el cap&tuloposterior%En el mundo real lo ideal es que el atacante estu$iera cerca de la red autoriada' para que elusuario se confunda ( accidentalmente se conecte a su red%

?n E$il t.in que tiene la misma direccin MA! como un punto de acceso autoriado es a)n ms dif&cilde detectar ( disuadir%Aqu& es donde la suplantacin MA! del punto de acceso comiena;En elsiguiente e,perimento' $amos a $er cmo crear un E$il t.in' +unto con la suplantacin del punto deacceso MA!%

Parte prctica -#vil t*in / suplantacin de =AC


1.?seairodump-ngpara localiar el B99*D del punto de acceso ( el E99*D que nosgustar&a emular en el E$il t.in

2.!onectamos un cliente inalmbrico al punto de acceso

3.?tiliando esta informacin' se crea un nue$o punto de acceso con el mismo E99*D perodiferentes B99*D ( direccin MA! con el comandoairbase0ng


81/146

4.Este nue$o punto de acceso tambin aparece en la pantalla de airodump-ng.Esimportante tener en cuenta que tendr que e+ecutarairodump-ngen una nue$a $entana conel siguiente comandoairodump-ng - channel ++ wlan0para $er este nue$o punto deacceso

5.A#ora en$iamos una trama de de0autenticacin para el cliente' por lo que se desconectainmediatamente ( trata de $ol$er a conectar

6.!uanto mas nos acercamos a este cliente' nuestra fuera de se2al es ms alto ( seconecta a nuestro punto de acceso duplicado malicioso


82/146

7.Tambin se puede falsificar la B99D ( la direccin MA! del punto de acceso mediante elsiguiente comando

8.A#ora bien' si $emos a tra$s deairodump-nges casi imposible diferenciar entre ambos

9.*nclusoairodump-nges incapa de diferenciar que en realidad #a( dos puntos de acceso f&sico enel mismo canal%Esta es la forma ms potente de E$il t.in%

Qu !a pasado"

-emos creado un duplicado malicioso de la red autoriada ( se utilia un ataque de0autenticacin paraque el cliente legitimo se conecte de nue$o pero esta $e a nosotros en lugar de al punto de acceso

legitimo%

Es importante se2alar que en el caso del punto de acceso autoriado #aga uso de encriptacin

/EP:/PA' podr&a ser ms dif&cil de lle$ar a cabo un ataque en el que la escuc#a del trfico puede ser


83/146

posible%3amos a $er cmo romper la cla$e /EP con un cliente que utiliando el ataque !affe "atte enun cap&tulo posterior%

%ntntalo -#vil t*in / saltos

Wifi Backtrack - Odt

Documents

Transcript of Wifi Backtrack - Odt