CODSP Training Pentesting Inalambricas

Certified Offensive and Defensive SecurityProfessional -CODSP Training
Certified Offensive and Defensive

SecurityProfessional-CODSP Training

(Profesional Certificado en Seguridad Ofensiva y Defensiva)

Taller de entrenamiento:
Penetration Testing y auditora a redes
inalmbricas


Temario

Modulo 1: Como operan las redes inalmbricas:

Conceptos bsicos. (SSID, MAC, AP, antenas, canales, frecuencias, Beacons, Frames
entre otros)
El Estndar 802.11(a/b/g/n)
Modos de operacin de una red inalmbrica (Ad-hoc, AP, Brigde, Hotspot, Portal
cautivo, entre otros)
Modo de autenticacin abiertaopen system(sin autenticacin)
Tipos de protoclos y algoritmos de cifrado (WEP , WPA, WPA2)

Modulo 2:Amenazas y vulnerabilidades de una red inalmbrica:

Access Point Falso Rogue AP
Denegacin de servicios
Captura e interceptacin de trafico Ataque de hombre en el medio
Cracking de algoritmos de encripcin WEP - WPA
Ataque por diccionario - WPA

Modulo 3:Atacando una red inalmbrica:

Preparando Backtrack 5 R3
Suite de herramientas de auditora y Pentestesting de redes inalmbricas: Aircrack-
NG (Aireplay, Aircrack, Airodump, Airmin, entre otros)
Modos de operacin de una interface de red inalmbrica (master mode, ad-hoc,
managed mode, monitor mode)
Descubrimiento de APs (Redes inalmbricas) y sniffing de trfico
Uso del comando iwconfig
Colocando la tarjeta en modo monitor en Linux BT 5 R3
Inyeccin de trafico Cracking del protocolo WEP
Ataque por diccionario protocolo WPA
Creando un AP falso
Karmetasploit (Integracin de Karma en metasploit)

Modulo 4:Hardening (Aseguramiento) de una red inalmbrica:

Utilizar algoritmos de cifrado seguros
Deshabilitar SSID broadcast
Actualizacin de Firmware de AP
Contraseas seguras de AP
Controlando el espectro de la seal inalmbrica


ADICIONALES: Que hacer luego De crackear una red inalmbrica? Ataque de hombre en el
medio, tomar control del Access point mediante vulnerabilidad, buscar vulnerabilidades y
atacar a los clientes conectados a la red, wardriving, geoposicionamiento, encontrando el SSID.
HERRAMIENTAS NECESARIAS PARA EL TALLER:
Porttil
Distribucin Linux Backtrack 5 R3 en live CD o instalado en el porttil.
Se usar la suite aircrack-ng que viene incluida en el Backtrack.
Tarjeta inalmbrica USB : para llevar a cabo las prcticas de cracking del cifrado es
necesario usar una tarjeta inalmbrica cuyo chipset soporte inyeccin y sniffing de
paquetes, para una lista de chipsets soportados visitar sta pgina: http://www.aircrack-
ng.org/doku.php?id=compatibility_drivers

Para ste taller especfico recomendamos la tarjeta Tarjeta TP-LINK TL-WN722N la cual
tiene un valor aproximado de $ 29.000 Chipset Atheros AR9271 -- Inyecta sin problema
potencia de la seal aprox. 3 dbi -- Antena desmontable
http://www.tp-link.com/en/products/details/?model=TL-WN722N#spec

Un Access point: cualquiera que soporte cifrado WEP/WPA/WPA2, ste ser
proporcionado por el instructor durante el taller.

Modulo 1: Como operan las redes inalmbricas:

Conceptos bsicos. (SSID, MAC, AP, antenas, canales, frecuencias, Beacons, Frames entre
otros)
El Estndar 802.11(a/b/g/n)
Modos de operacin de una red inalmbrica (Ad-hoc, AP, Brigde, Hospot, Portal
cautivo,entre otros)
Modo de autenticacin abiertaopen system(sin autenticacin)
Tipos de protocolos y algoritmos de cifrado (WEP , WPA, WPA2)

SSID: (Service Set IDentifier) es un nombre incluido en todos los paquetes de una red
inalmbrica (Wi-Fi) para identificarlos como parte de esa red. El cdigo consiste en un mximo
de 32 caracteres que la mayora de las veces son alfanumricos (aunque el estndar no lo

especifca, as que puede consistir en cualquier carcter). Todos los dispositivos inalmbricos
que intentan comunicarse entre s deben compartir el mismo SSID.
Existen algunas variantes principales del SSID. Las redes ad-hoc, que consisten en mquinas
cliente sin un punto de acceso, utilizan el BSSID (Basic Service Set IDentifier); mientras que en
las redes en infraestructura que incorporan un punto de acceso, se utiliza el ESSID (Extended
Service Set IDentifier). Nos podemos referir a cada uno de estos tipos como SSID en trminos
generales. A menudo al SSID se le conoce como nombre de la red.
Dicho SSID se configura en el Access point como nombre de red y dicho Access point difunde
ste SSID abiertamente para indicar que est presente y los clientes puedan conectarse a l si
cumplen con los requisitos de validacin solicitados
Uno de los mtodos ms bsicos de proteger una red inalmbrica es desactivar la difusin
(broadcast) del SSID, ya que para el usuario medio no aparecer como una red en uso. Sin
embargo, no debera ser el nico mtodo de defensa para proteger una red inalmbrica. Se
deben utilizar tambin otros sistemas de cifrado y autentificacin.
MAC: En las redes de computadoras, la direccin MAC (siglas en ingls de media access
control; en espaol "control de acceso al medio") es un identificador de 48 bits (6 bloques
hexadecimales) que corresponde de forma nica a una tarjeta o dispositivo de red. Se conoce
tambin como direccin fsica, y es nica para cada dispositivo. Est determinada y
configurada por el IEEE (los ltimos 24 bits) y el fabricante (los primeros 24 bits) utilizando el
organizationally unique identifier. La mayora de los protocolos que trabajan en la capa 2 del
modelo OSI usan una de las tres numeraciones manejadas por el IEEE: MAC-48, EUI-48, y EUI-
64, las cuales han sido diseadas para ser identificadores globalmente nicos. No todos los
protocolos de comunicacin usan direcciones MAC, y no todos los protocolos requieren
identificadores globalmente nicos.
Las direcciones MAC son nicas a nivel mundial, puesto que son escritas directamente, en
forma binaria, en el hardware en su momento de fabricacin. Debido a esto, las direcciones
MAC son a veces llamadas burned-in addresses, en ingls.
Si nos fijamos en la definicin como cada bloque hexadecimal son 8 dgitos binarios (bits),
tendramos:
6 * 8 = 48 bits nicos
En la mayora de los casos no es necesario conocer la direccin MAC, ni para montar una red
domstica, ni para configurar la conexin a internet, usndose esta slo a niveles internos de
la red. Sin embargo, es posible aadir un control de hardware en un conmutador o un punto
de acceso inalmbrico, para permitir slo a unas MAC concretas el acceso a la red. En este
caso, deber saberse la MAC de los dispositivos para aadirlos a la lista. Dicho medio de
seguridad se puede considerar un refuerzo de otros sistemas de seguridad, ya que
tericamente se trata de una direccin nica y permanente, aunque en todos los sistemas

operativos hay mtodos que permiten a las tarjetas de red identificarse con direcciones MAC
distintas de la real.
La direccin MAC es utilizada en varias tecnologas entre las que se incluyen:
Ethernet
802.3 CSMA/CD
802.5 o redes en anillo a 4 Mbps o 16 Mbps
802.11 redes inalmbricas (Wi-Fi).
Asynchronous Transfer Mode
MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la informacin libre de
errores entre dos mquinas conectadas directamente. Para ello se generan tramas, pequeos
bloques de informacin que contienen en su cabecera las direcciones MAC correspondiente al
emisor y receptor de la informacin.
Ejemplo de una direccin MAC: B8-70-F4-12-5B-C6
Como obtener la direccin MAC de una interfaz:
En Windows se digita en cmd la orden: ipconfig /all all aparece en el campo de direccin
fsica, tambin se puede usar la orden: getmac
En Linux se digita en terminal la orden: ifconfig esto muestra informacin de las interfaces
de red disponibles en el campo de hardware address aparece la MAC
Aunque la direccin MAC de una interfaz es nica y se asigna a cada interfaz en el momento de
fabricarse sta puede ser cambiada mediante software, dicha tcnica se llama MAC spoofing
Para cambiar la mac de la tarjeta de red del bactrack ejecutar lo siguiente en terminal: ifconfig
eth0 down luego machcanger m 00:11:22:33:44:55 eth0 , luego ifconfig eth0 up
ACCESS POINT: Un punto de acceso inalmbrico (WAP o AP por sus siglas en ingls: Wireless
Access Point) en redes de computadoras es un dispositivo que interconecta dispositivos de
comunicacin almbrica para formar una red inalmbrica. Normalmente un WAP tambin
puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos
conectados a la red cable y los dispositivos inalmbricos. Muchos WAPs pueden conectarse
entre s para formar una red an mayor, permitiendo realizar "roaming".
Por otro lado, una red donde los dispositivos cliente se administran a s mismos sin la
necesidad de un punto de acceso se convierten en una red ad-hoc.
Los puntos de acceso inalmbricos tienen direcciones IP asignadas, para poder ser
configurados. Los puntos de acceso (AP) son dispositivos que permiten la conexin inalmbrica

de un equipo mvil de cmputo (ordenador, tableta, smartphone) con una red. Generalmente
los puntos de acceso tienen como funcin principal permitir la conectividad con la red,
delegando la tarea de ruteo y direccionamiento a servidores, ruteadores y switches. La
mayora de los AP siguen el estndar de comunicacin 802.11 de la IEEE lo que permite una
compatibilidad con una gran variedad de equipos inalmbricos. Algunos equipos incluyen
tareas como la configuracin de la funcin de ruteo, de direccionamiento de puertos,
seguridad y administracin de usuarios. Estas funciones responden ante una configuracin
establecida previamente. Al fortalecer la interoperabilidad entre los servidores y los puntos de
acceso, se puede lograr mejoras en el servicio que ofrecen, por ejemplo, la respuesta dinmica
ante cambios en la red y ajustes de la configuracin de los dispositivos. Los AP son el enlace
entre las redes cableadas y las inalmbricas. El uso de varios puntos de acceso permite el
servicio de roaming. El surgimiento de estos dispositivos ha permitido el ahorro de nuevos
cableados de red. Un AP con el estndar IEEE 802.11b tiene un radio de 100 m
aproximadamente.
Son los encargados de crear la red, estn siempre a la espera de nuevos clientes a los que dar
servicios. El punto de acceso recibe la informacin, la almacena y la transmite entre la WLAN
(Wireless LAN) y la LAN cableada.
Un nico punto de acceso puede soportar un pequeo grupo de usuarios y puede funcionar en
un rango de al menos treinta metros y hasta varios cientos. Este o su antena normalmente se
colocan en alto pero podra colocarse en cualquier lugar en que se obtenga la cobertura de
radio deseada.
El usuario final accede a la red WLAN a travs de adaptadores situados en sus equipos
(ordenador, tableta, smartphone, smart TV, radio por Internet...). Estos proporcionan una
interfaz entre el sistema de operacin de red del cliente (NOS: Network Operating System) y
las ondas, mediante una antena inalmbrica.

ANTENA: Una antena es un dispositivo (conductor metlico) diseado con el objetivo de emitir
o recibir ondas electromagnticas hacia el espacio libre. Una antena transmisora transforma
voltajes en ondas electromagnticas, y una receptora realiza la funcin inversa.
Existe una gran diversidad de tipos de antenas. En unos casos deben expandir en lo posible la
potencia radiada, es decir, no deben ser directivas (ejemplo: una emisora de radio comercial o
una estacin base de telfonos mviles), otras veces deben serlo para canalizar la potencia en
una direccin y no interferir a otros servicios (antenas entre estaciones de radioenlaces).
Tambin es una antena la que est integrada en la computadora porttil para conectarse a las
redes Wi-Fi.
Las caractersticas de las antenas dependen de la relacin entre sus dimensiones y la longitud
de onda de la seal de radiofrecuencia transmitida o recibida. Si las dimensiones de la antena
son mucho ms pequeas que la longitud de onda las antenas se denominan elementales, si

tienen dimensiones del orden de media longitud de onda se llaman resonantes, y si su tamao
es mucho mayor que la longitud de onda son directivas.
CANAL ES: Cuando se defini el standard IEEE 802.11 (el que regula las redes locales
inalmbricas), se especific tambin los tres rangos de frecuencia disponibles para los
dispositivos que desearan emitir de esta forma: 2.4 GHz, 3.6 GHz y 5 GHz. La mayora de
dispositivos actuales operan, por defecto, en la franja de frecuencias cercana a 2.4 GHz, por lo
que es en la que vamos a centrarnos hoy. Cada rango de frecuencias fue subdividido, a su vez,
en multitud de canales.
Para 2.4 GHz, estamos hablando de 14 canales, separados por 5 MHz. Eso s, cada pas y zona
geogrfica aplica sus propias restricciones al nmero de canales disponibles. Por ejemplo, en
Norteamrica tan slo se utilizan los 11 primeros, mientras que en Europa disponemos de 13.
El problema de esta distribucin es que cada canal necesita 22MHz de ancho de banda para
operar, y como se puede apreciar en la figura esto produce un solapamiento de varios canales
contiguos.
Aqu aparece un concepto importante a tener en cuenta: el solapamiento. Como puede
observarse en el grfico ,el canal 1 se superpone con los canales 2, 3, 4 y 5, y por tanto los
dispositivos que emitan en ese rango de frecuencias pueden generar interferencias. Lo mismo
ocurre con el canal 6 y los canales 7, 8, 9 y 10. Parece lgico pensar entonces que, si nuestra
conexin Wi-Fi no va todo lo bien que debera, podra intentarse mejorar la red cambiando el
canal a otro menos usado entre los puntos de acceso cercanos y que no se superponga con
ellos.

FRECUENCIA: Segn el rango de frecuencias utilizado para transmitir, el medio de transmisin
pueden ser las ondas de radio, las microondas terrestres o por satlite, y los infrarrojos, por
ejemplo. Dependiendo del medio, la red inalmbrica tendr unas caractersticas u otras:

Ondas de radio: las ondas electromagnticas son omnidireccionales, as que no son
necesarias las antenas parablicas. La transmisin no es sensible a las atenuaciones
producidas por la lluvia ya que se opera en frecuencias no demasiado elevadas. En este
rango se encuentran las bandas desde la ELF que va de 3 a 30 Hz, hasta la banda UHF
que va de los 300 a los 3000 MHz, es decir, comprende el espectro radioelctrico de 30
- 3000000000 Hz.
Microondas terrestres: se utilizan antenas parablicas con un dimetro aproximado de
unos tres metros. Tienen una cobertura de kilmetros, pero con el inconveniente de
que el emisor y el receptor deben estar perfectamente alineados. Por eso, se
acostumbran a utilizar en enlaces punto a punto en distancias cortas. En este caso, la
atenuacin producida por la lluvia es ms importante ya que se opera a una frecuencia
ms elevada. Las microondas comprenden las frecuencias desde 1 hasta 300 GHz.
Microondas por satlite: se hacen enlaces entre dos o ms estaciones terrestres que
se denominan estaciones base. El satlite recibe la seal (denominada seal
ascendente) en una banda de frecuencia, la amplifica y la retransmite en otra banda
(seal descendente). Cada satlite opera en unas bandas concretas. Las fronteras
frecuenciales de las microondas, tanto terrestres como por satlite, con los infrarrojos
y las ondas de radio de alta frecuencia se mezclan bastante, as que pueden haber
interferencias con las comunicaciones en determinadas frecuencias.
Infrarrojos: se enlazan transmisores y receptores que modulan la luz infrarroja no
coherente. Deben estar alineados directamente o con una reflexin en una superficie.
No pueden atravesar las paredes. Los infrarrojos van desde 300 GHz hasta 384 THz.

FRAMES: Los marcos (frames) WLAN
En este taller se revisan algunos aspectos de seguridad de las redes inalmbricas, para
entender a fondo como sucede la comunicacin entre la red inalmbrica se debe tener un
conocimiento bsico del protocolo y las cabeceras de los paquetes.
Vamos ahora a revisar rpidamente algunos conceptos bsicos de las WLAN que la mayora de
ustedes ya conocen. En WLAN, la comunicacin ocurre mediante tramas. Un marco tendra la
siguiente estructura de cabecera:

Trama WLAN

El campo "Frame Control" en s tiene una estructura ms compleja:

El campo type define el tipo de marco WLAN, que tiene tres posibilidades:

1. Marcos de administracin: Los marcos de administracin son responsables de mantener
la comunicacin entre los puntos de acceso y clientes inalmbricos. Los marcos de
administracin pueden tener los siguientes subtipos:
Authentication - Autenticacin
De-authentication -Desautenticacin o finalizacin de la conexin
Association Request -Solicitud de asociacin
Association Response - Respuesta de Asociacin
Reassociation Request - Solicitud de reasociacin
Reassociation Response - Respuesta de reasociacin
Disassociation - Desasociacin
Beacon - Beacon
Probe Request - Solicitud de exploracin
Probe Response - Respuesta de exploracin
2. Marcos de control: las tramas de control son responsables de garantizar un intercambio
adecuado de datos entre el punto de acceso y los clientes inalmbricos. Los marcos de control
pueden tener los siguientes subtipos:
Request to Send (RTS) - Solicitud de envo
Clear to Send (CTS) - Libre para enviar

Acknowledgement (ACK) - Confirmacin

3. Marcos de datos: Las tramas de datos transportan los datos reales enviados en la red
inalmbrica. No hay sub-tipos de marcos de datos.

BEACONS: marco beacon es uno de los marcos de administracin en redes inalambricas WLAN
basadas en IEEE 802.11. Los Beacon frames contienen toda la informacin sobre la red
inalmbrica y son transmitidos peridicamente para anunciar la presencia de la red WLAN. La
infrastructura con la que el Punto de Acceso (a partir de ahora AP, Access Point) enva
mediante el servicio de transmisin BBS, al menos el utilizado en la red 802.11 BSS. sta
generacin de IBBS es repartida por las estaciones de puntos de acceso.
Un Beacon frame consiste de una cabecera MAC adress,un cuerpo y un FCS(frame check
sequence). Algunos de los campos, por lo general los ms relevantes son el Timestamp o hora
con la que las estaciones se sincronizan, el Beacon Interval o intervlo entre transmisiones, el
tiempo en el que un nodo (AP o dispositivo Ad-Hoc, como un smartphone por ejemplo) debe
enviar un Beacon es llamado TBTT, Target Beacon Transmission Time y se expresa en unidades
de tiempo, por lo general de 100 TU.
La capacidad de informacin es de 16bits y contiene informacin sobre la red inalmbrica. Las
conexiones AdHoc son movilizan dentro de este marco. Adems de esta informacin detalla
encripciones como:
SSID
Rangos soportados
Frequency-hopping (FH)
Direct-Sequence (DS)
Contention-Free (CF)
IBSS
Mapa de indicacin de trafico (TIM)

STANDARD 802.11
IEEE 802.11

El IEEE (Institute of Electrical and Electronics Engineers) Instituto de Ingenieros Elctricos y
Electrnicos. Estos son un grupo de cientficos y estudiantes que en conjunto son una
autoridad lder en el aeroespacio, las telecomunicaciones, la ingeniera biomdica, energa
elctrica, etc., El IEEE est compuesto por ms de 365.000 miembros en todo el mundo.
El IEEE se form en 1963 por la fusin de:
AIEE - el Instituto Americano de Ingenieros Elctricos, que fue responsable de las
comunicaciones cableadas, sistemas de luz y de energa.
IRE, el Instituto de Ingenieros de Radio, responsable de las comunicaciones inalmbricas.

Comits

El IEEE se divide en diferentes comits. El comit "802" desarrolla los estndares de red de
rea local y los estndares de red de rea metropolitana. Los estndares ms conocidos
incluyen Ethernet, Token Ring, LAN inalmbrico, LANS de puente y LANS de puentes virtuales.
Las especificaciones IEEE designan las dos capas OSI ms bajas que contienen la "capa fsica" y
la "capa de enlace". La "capa de enlace" se subdivide en 2 sub-capas llamado "control de
enlace lgico"(LLC) y "Media Access Control" (Control de acceso a medios - MAC).
Listado de los diferentes comits:

IEEE 802.11

El IEEE 802.11 es un conjunto de estndares desarrollado por el grupo 11 (LAN inalmbrica) de
trabajo del commite IEEE 802 .Para ms informacin acerca de IEEE 802.11 visitar la pgina:
http://en.wikipedia.org/wiki/802.11

En el grupo de trabajo IEEE 802.11 existen los siguientes estndares IEEE y enmiendas:

Nota: 802.11, 802.11F y 802.11T son estndares. Todos los dems son enmiendas. La tabla
anterior muestra una visin general de las diferentes normas y modificaciones - las principales
son que hay que recordar son:
802.11a, 802.11b, 802.11g, 802.11n

STANDARD
VELOCIDAD MXIMA
DE TRANSMISIN
802.11 2 Mbit
802.11 b 11 Mbit
802.11 a 54 Mbit
802.11 g 54 Mbit
802.11 n 74 Mbit 600 Mbit

Modos de funcionamiento inalmbrico

Hay 2 modos principales de funcionamiento inalmbrico:
Infraestructura
Ad Hoc
En ambas modalidades se requiere un SSID (Service Set Identifier) - identificador de conjunto
de servicios para la verificacin de la red. En el modo de infraestructura el SSID se establece
configurndolo en el punto de acceso (AP) y en el modo ad hoc, Es fijado por la estacin (STA)
la cual es la que crea la red.
El SSID se transmite en beacon frames, unas 10 veces por segundo por el AP. El SSID es
tambin anunciado por el cliente cuando se conecta a una red inalmbrica. Estas
caractersticas bsicas son usadas por los sniffers inalmbricos para identificar los nombres de
red y reunir otra informacin interesante.

Modo infraestructura

En el modo de infraestructura, hay al menos un punto de acceso y una estacin que juntos
forman un basic Service Set (BSS) Conjunto de servicio bsico.
El AP por lo general est conectado a una red cableada que se llama un sistema de distribucin
(DS).
Un Extended Service Set (ESS) es un conjunto de dos o ms puntos de acceso inalmbricos
conectados con el mismo cable.

Red Ad hoc

Una red ad hoc (tambin llamado un conjunto de servicios bsicos independientes - IBSS) se
compone de al menos 2 STAs comunicndose sin un punto de acceso. Este modo tambin se
denomina " modo punto a punto." Una de las estaciones tiene algunas de las
responsabilidades de un punto de acceso, tales como:
Beaconing
Autenticacin de nuevos clientes que se unan a la red
En el modo Adhoc el STA no retransmite paquetes a otros nodos como un AP.

Mtodos de autenticacin y algoritmos de cifrado de redes inalmbricas
La mayora de las redes inalmbricas utilizan algn tipo de configuracin de seguridad. Estas
configuraciones de seguridad definen la autentificacin (el modo en que el dispositivo en s se
identifica en la red) y la encripcin (el modo en que los datos se cifran a medida que se envan
por la red). Si no especifca correctamente estas opciones cuando est configurando su
dispositivo inalmbrico , no podr conectar con la red inalmbrica. Por lo tanto, debe
emplearse cuidado cuando se configuren estas opciones. Consulte la siguiente informacin
para ver los mtodos de autentificacin y encripcin que admite su dispositivo inalmbrico

Mtodos de autentificacin

Sistema abierto
Se permite el acceso a la red a dispositivos inalmbricos sin ninguna autentificacin.
Clave compartida
Todos los dispositivos que acceden a la red inalmbrica comparten una clave predeterminada
secreta.
WPA-PSK/WPA2-PSK
Activa una clave precompartida de acceso protegido Wi-Fi (WPA PSK/WPA2-PSK), que permite
a l cliente inalmbrico asociarse con puntos de acceso utilizando el cifrado TKIP para WPA o
AES para WPA-PSK y WPA2-PSK (WPA-Personal).
Mtodos de cifrado
El cifrado se utiliza para asegurar los datos que se envan por la red inalmbrica, tipos de
cifrado
Ninguna
No se utiliza ningn mtodo de cifrado.
WEP
Al utilizar WEP (Privacidad equivalente a cableado), los datos se transmiten y se reciben con
una clave segura.
TKIP
TKIP (Protocolo de integridad de clave temporal) proporciona una clave por paquete que
mezcla una comprobacin de integridad de mensajes y un mecanismo que vuelve a crear
claves.
AES
AES (Advanced Encryption Standard) es un potente estndar de encriptacin autorizado por
Wi-Fi.
Clave de red
Existen algunas reglas para cada mtodo de seguridad:
Sistema abierto/Clave compartida con WEP
Esta clave consiste en un valor de 64 bits o 128 bits que debe introducirse en formato ASCII
o HEXADECIMAL.

ASCII de 64 (40) bits:
Utiliza 5 caracteres de texto: por ej., WLLAN (distingue entre maysculas y minsculas).
Hexadecimal de 64 (40) bits:
Utiliza 10 dgitos de datos hexadecimales: por ej., 71f2234aba.
ASCII de 128 (104) bits:
Utiliza 13 caracteres de texto: por ej., Wirelesscomms (distingue entre maysculas y
minsculas).
Hexadecimal de 128 (104) bits:
Utiliza 26 dgitos de datos hexadecimales: por ej., 71f2234ab56cd709e5412aa2ba.

WPA-PSK/WPA2 PSK y TKIP o AES
Utiliza una clave precompartida (PSK) que tiene ms de 7 caracteres y menos de 64 caracteres
de longitud.
Actualmente existen tres tipos de cifrado de red inalmbrica: Acceso protegido Wi-Fi (WPA y
WPA2), Privacidad equivalente por cable (WEP) y 802.1x. Los dos primeros se describen ms
detalladamente en las secciones siguientes. El cifrado 802.1x se usa normalmente para redes
empresariales y no se tratar aqu.
Acceso protegido Wi-Fi (WPA y WPA2)
WPA y WPA2 requieren que los usuarios proporcionen una clave de seguridad para
conectarse. Una vez que se ha validado la clave, se cifran todos los datos intercambiados entre
el equipo o dispositivo y el punto de acceso.
Existen dos tipos de autenticacin WPA: WPA y WPA2. Si es posible, use WPA2 porque es el
ms seguro. Prcticamente todos los adaptadores inalmbricos nuevos son compatibles con
WPA y WPA2, pero otros ms antiguos no. En WPA-Personal y WPA2-Personal, cada usuario
recibe la misma frase de contrasea. ste es el modo recomendado para las redes domsticas.
WPA-Enterprise y WPA2-Enterprise se han diseado para su uso con un servidor de
autenticacin 802.1x, que distribuye claves diferentes a cada usuario. Esto modo se usa
principalmente en redes de trabajo.

Privacidad equivalente por cable (WEP)

WEP es un mtodo de seguridad de red antiguo que todava est disponible para dispositivos
antiguos, pero que ya no se recomienda usar. Cuando se habilita WEP, se configura una clave
de seguridad de red. Esta clave cifra la informacin que un equipo enva a otro a travs de la
red. Sin embargo, la seguridad WEP es relativamente fcil de vulnerar.
Hay dos tipos de WEP: La autenticacin de sistema abierto y la autenticacin de clave
compartida. Ninguna de las dos es muy segura, pero la autenticacin de clave compartida es la
menos segura. Para la mayora de equipos inalmbricos y puntos de acceso inalmbricos, la
clave de autenticacin de clave compartida es la misma que la clave de cifrado WEP esttica;
es decir, la clave se usa para proteger la red. Un usuario malintencionado que capture los
mensajes para una autenticacin de clave compartida satisfactoria puede usar herramientas
de anlisis para determinar la autenticacin de clave compartida y, a continuacin, determinar
la clave de cifrado WEP esttica. Tras determinar la clave de cifrado WEP, el usuario
malintencionado tendr acceso total a la red. Por este motivo, esta versin de Windows no
admite la configuracin automtica de una red mediante la autenticacin de clave compartida
WEP.
Nota: No es recomendable usar Privacidad equivalente por cable (WEP) como el mtodo de
seguridad inalmbrica. Acceso protegido Wi-Fi (WPA o WPA2) es ms seguro. Si prueba WPA o
WPA2 y no funcionan, se recomienda actualizar el adaptador de red a uno que sea compatible
con WPA o WPA2. Todos los dispositivos de red, los equipos, los enrutadores y los puntos de
acceso tambin deben admitir WPA o WPA2.

Modulo 2:Amenazas y vulnerabilidades de una red inalmbrica:

Ataque de falsa autenticacin. Asociacin al dispositivo
Access Point Falso Rogue AP
Denegacin de servicio DOS Ataques de des-autenticacin
Captura e interceptacin de trafico Ataques de hombre en el medio
Cracking de algoritmos de encripcin Mediante captura de paquetes
Ataque por diccionario

ATAQUE DE FALSA AUTENTICACIN
ste tipo de ataque funciona tanto para WEP sistema abierto (open system)como para WEP
clave compartida (SKA sharek Key Authentication)
Aunque no es estrictamente necesario es recomendable empezar cada tipo de ataque con un
anterior ataque de falsa autenticacin para tener comunicacin ms fluida con el AP.
Iniciaremos poniendo nuestra tarjeta en modo monitor

airmon-ng start wlan5 , si sabemos el canal de la vctima lo podemos incluir de una vez
airmon-ng start wlan5 10 Donde 10 es el nmero del canal por donde transmite el AP a
atacar

La tarjeta queda en modo monitor usando la interfaz virtual mon0
airodump-ng -c 10 --bssid 00:26:44:B1:DF:65 -w wep1 mon0 se especfca c canal w
guarder a archive con el nombre wep1 y mon0 ser la interfaz que sniffear

Nos autenticamos para poder enviar paquetes al AP, si no estamos autenticados el AP
rechazar nuestro trfico
aireplay-ng -1 0 -e DSTEAMSEGURIDAD.COM -a 00:26:44:B1:DF:65 -h A0-F3-C1-23-5D-43 mon0
siendo -1 el tipo de ataque fakeauth e el essid a la MaC del AP h nuestra propia MAC y
mon0 la interfaz con la cual se atacar

Podemos ver en la salida de pantalla que la asociacin fue exitosa
En la pantalla que tenamos corriendo de airodump-ng podemos ver nuestra MAC como
conectada al AP en la columna STATION.

Si en algn caso el ataque no tiene xito puede haber una restriccin de direcciones MAC en
el AP. En ste caso se sniffea primero el AP, se observa que cliente tiene conectados y se hace
spoofing de la direccin MAC de uno de los clientes para lograr una conexin exitosa.

ACCESS POINT FALSO ROGUE ACCESS POINT
Un access point falso o ROGUE AP es un access point no autorizado conectado a la red
autorizada.
Tpicamente, este punto de acceso se puede utilizar como una puerta trasera (backdoor) por
un atacante, lo cual le permitir eludir todos los controles de seguridad de la red. Esto
significara que el cortafuegos, los sistemas de prevencin de intrusos, y as sucesivamente,
que custodian la frontera de una red no podran hacer mucho para impedir que el atacante
acceda a la red.

En el caso ms comn, un access point falso se configurar con modo de autenticacin abierta
y sin cifrado. El Access point falso se puede crear de dos formas:
1. Instalacin de un dispositivo fsico real en la red autorizada como access point falso.sta
forma ms que tratarse de seguridad inalmbrica, tiene que ver con la violacin de la
seguridad fsica de las instalaciones donde se encuentra la red autorizada.

2. Creacin de un access point falso en software y puentearlo con la red local Ethernet
(cableada)autorizada. Esto permitir que prcticamente cualquier ordenador porttil de la red
autorizada pueda funcionar como Access point falso. Veremos esto en el
siguiente laboratorio:

CREACIN DEL ACCESS POINT FALSO MEDIANTE SOFTWARE
Siga estas instrucciones para comenzar:
Antes de iniciar Cualquier ataque
Se verificar mediante el comando ifconfig -a las interfaces de red detectadas por el sistema,
wlan0 ser la interna del porttil y wlan1 la USB que tenemos para inyectar, en ste caso es
wlan5


Se verifica si est encendida o apagada con el comando iwconfig wlan5


En caso de estar apagada se digita iwconfig wlan5 txpower auto y luego verificamos
nuevamente que haya encendido con con iwconfig wlan5 , ahora el campo de txpower es igual
a 20 que es la potencia de la seal del ainterfaz inalmbrica

Se pone la tarjeta en modo monitor con el comando: airmon-ng start wlan5 all vemos que se
activa como una nueva interfaz del sistema mon0

Lo podemos verificar tambin con ifconfig -a:


Ahora vamos a cambiar la mac de la tarjeta de red antes de realizar cualquier ataque, esto con
el fin de evitar dejar cualquier rastro de nuestra MAC real, para hacerlo digitamos lo siguiente:
ifconfig mon0 down para desactivar la interfaz creada mon0

Digitamos el comando macchanger -m 00:11:22:33:44:55 mon0 , con esto se cambia la mac
real por una falsa

Se activa nuevamente la interfaz con ifconfig mon0 up

Ya estamos listos para realizar los diversos tipos de ataques


1. Primero vamos a configurar nuestro Access point falso usando airbase-ng y darle el
ESSID Rogue:
airbase-ng --essid Rogue -c 11 mon0

Si conectamos algn cliente inalmbrico al rogue AP aparecer en pantalla de sta manera y
mostrando la palabra unencrypted ya que no proporcionamos opcin de contrasea al rogue
AP cuando lo iniciamos:

2. Ahora queremos crear un puente entre la interfaz Ethernet que hace parte de la
red autorizada y nuestra interfaz de Access point falso. Para ello, en primer lugar
crearemos una interfaz de puente y la nombraremos de W ifi-Bridge:
brctl addbr Wifi-Bridge

3. A continuacin, se aade tanto la interfaz Ethernet y la interfaz virtual at0 creada por
airbase-ng a este puente:
brctl addif Wifi-Bridge eth0
brctl addif Wifi-Bridge at0

4. Luego activaremos stas interfaces para subir el puente:

ifconfig eth0 0.0.0.0 up
ifconfig at0 0.0.0.0 up

5. Ahora habilitaremos el redireccionamiento IP en el kernel para asegurar que los paquetes
estn siendo redireccionados:
echo 1 > /proc/sys/net/ipv4/ip_forward

6. le proporcionamos una ip al puente que creamos y los activamos ifconfig Wifi-Bridge
192.168.1.53 up

7. Ahora cualquier cliente inalmbrico que se conecte a nuestro Access point falso tendr
acceso completo a la red autorizada usando el "Wifi-Bridge" puente inalmbrico- a-cable que
acabamos de construir. Podemos comprobar esto conectando un cliente al Access point falso.

En pantalla vemos que se ha conectado un cliente y podemos visualizar su MAC

Aparece en modo unencrypted por que no le proporcionamos contrasea


Una vez conectado, si est usando Windows 7, la pantalla podra ser como la siguiente:

7. Nos daremos cuenta de que recibe una direccin IP desde el demonio DHCP que corre en la
LAN autorizada:


8. Ahora podemos acceder a cualquier host de la red cableada desde ste cliente inalmbrico
mediante este Access point falso. A continuacin podemos hacer ping a la puerta de enlace de
la red cableada:

Qu logramos?
Hemos creado un punto de acceso falso y lo hemos usado para puentear todo el trfico de la
LAN autorizada de travs de la red inalmbrica. Como se puede ver, se trata de una amenaza
muy seria a la seguridad por que cualquiera puede ingresar a la red cableada usando ste
puente.

Ataques de denegacin de servicio (DoS Denial Of Service attacks)g
Las redes inalmbricas son propensas a los ataques de denegacin de servicio (DoS) que
usando diversas tcnicas, incluyendo pero no limitndose a:
De-Authentication attack
Dis-Association attack
CTS-RTS attack
Signal interference or spectrum jamming attack
En el mbito de ste taller, vamos a discutir los ataques de Des-autenticacin en la
infraestructura LAN inalmbrica mediante la siguiente prctica:


1. Vamos a configurar el Access point para usar la autenticacin WPA2:

2. Vamos a conectar un cliente Windows al punto de acceso. Podremos ver la conexin en la
pantalla de airodump-ng, en la columna STATION aparece la MAC del cliente:
Si se ha hecho algn ataque antes desactivar el modo monitor y volverlo a iniciar digitar :
airmon-ng stop wlan5 ahora nuevamanete activar el modo monitor airmon-ng start wlan5

Luego airmon-ng stop mon0 y airmon-ng stop mon1 , al verificar con airmon-ng ya no
aparecen interfaces mon activadas


Activamos nuevamente el modo monitor airmon-ng start wlan5

Usamos airodum-ng mon0 para detectar el cliente vctima al cual le vamos a lanzar el ataque
de des-autenticacin , necesitamos el bssid del AP al igual que el canal y la MAC del cliente


Hemos detectado que la MAC del cliente que queremos atacar es: F0:E7:7E:81:78:8A el ESSID
del AP al que est conectado es DSTEAMSEGURIDAD.COM el BSSID de dicho AP es
00:26:44:B1:DF:65 y est trasmitiendo en el canal 6, con stos datos podemos armar nuestro
ataque , primero corremos nuevamente airodump en el canal 6
3. Ahora en la mquina atacante, corramos un ataque de Des-Autenticacin dirigido
en contra del cliente:
airodump-ng -c 6 mon0 as nos muestra datos solamente del canal 6 y prepara la interfaz
mon0 para el ataque a ese canal.

aireplay-ng --deauth 20 -a 00:26:44:B1:DF:65 -h 00:26:44:B1:DF:65 -c F0:E7:7E:81:78:8A
mon0

Aunque es posible que el equipo todava se muestre en la pantalla de airodump si verificamos
la conexin fsicamente en el mismo podemos ver que pierde totalmente la conexin al AP an
usando cifrado WPA y WPA2, el parmetro 20 que proporcionamos es el nmero de paquetes
a enviar, si se usa el nmero 0 el ataque sigue indefinidamente causando una negacin de
servicio, si no se especifca la MAC del cliente con la opcin c , la negacin de servicio afecta a
todas las estaciones lo cual inutilizara la red inalmbrica

5. Si se usa Wireshark para ver el trfico, notaremos un montn de paquetes de Des-
Autenticacion que hemos enviado en el aire a travs de la interfaz mon0:, la victima era un
celular Samsung conectado a la red inalmbrica pero el ataque aplica a cualquier tipo
dedispositivo.


6. Podemos hacer el mismo ataque enviando un paquete Broadcast de De-Authentication en
nombre del punto de acceso a toda la red inalmbrica. Esto tendr el efecto de
desconectar todos los clientes conectados:

Hemos enviado con xito los marcos de Des-autenticacin tanto para el Access point como
para el cliente. Este ha resultado la desconexin y una prdida completa de comunicacin
entre ellos, para ste tipo de ataque no necesitamos en ningn momento tener la contrasea
de la red para autenticarnos.
Tambin hemos enviado paquetes Broadcast de Des-autenticacin, que se asegurarn de que
ningn cliente en los alrededores se pueda conectar correctamente al access point.
Es importante tener en cuenta que tan pronto como el cliente se desconecta ste tratar de
conectarse de nuevo al access point, y por lo tanto el ataque de Des-autenticacin tiene que
ser llevado a cabo de manera sostenida para tener un efecto completo de negacin de
servicio.
Este es uno de los ataques ms fciles de llevar a cabo, pero tiene el efecto ms devastador.
ste podra ser utilizado fcilmente en el mundo real para hacer inutilizable una red
inalmbrica.

Evil Twin (gemelo malvado) y el MAC spoofing del access point

Uno de los ataques ms potentes en infraestructuras WLAN es el gemelo malvado. La idea es
bsicamente introducir un access point controlado por el atacante en las proximidades de la

red WLAN. ste access point anuncia exactamente el mismo SSID que la red autorizada WLAN.
Muchos usuarios mviles pueden conectarse accidentalmente a este punto de acceso
malicioso pensando que es parte de la red autorizada. Una vez establecida la conexin, el
atacante puede orquestar un ataque de hombre en el medio y redireccionar el trfico de
forma transparente mientras escucha todas las comunicacines. Vamos a ver cmo un ataque
de hombre en el medio se hace en un captulo posterior.
En el mundo real, el ataque ideal sera llevado a cabo cerca de la red autorizada, por lo que el
usuario se confunde y accidentalmente se conecta a su red.
Un gemelo malvado que tiene la misma direccin MAC de un punto de acceso autorizado es
an ms difcil de detectar y evadir. Aqu es donde el MAC spoofing del access point viene!
En la siguiente prctica vamos a ver cmo crear un gemelo malvado, junto con el MAC
spoofing del Access point.

1. Use airodump-ng para localizar el BSSID y el ESSID del Access point que nos gustara emular
en el gemelo malvado digitando airodump-ng mon0

Emularemos el BSSID 00:26:44:B1:DF:65 SSID DSTEAMSEGURIDAD.COM
2. Conectamos un cliente inalmbrico a ste access point, pueden usar el celular

Localicen la MAC del equipo que conectaron, esa va a ser la vctima, en ste caso
F0:E7:7E:81:78:8A
3. Con sta informacin, se crea un nuevo access point con el mismo ESSID, y BSSID que es
igual a la MAC usando el comando airbase-ng:
airbase-ng -a 00:26:44:B1:DF:65 --essid DSTEAMSEGURIDAD.COM -c 6 mon0
-a para BSSID a impersonar, -c para el canal

4. Este nuevo punto de acceso creado no aparece en la pantalla de airodump-ng, lo nico
extrao es que parace cambiar constantemente de canal:

5. Ahora enviamos un marco de Des-autenticacin al cliente, para desconectarlo, ste
intentar conectarse de nuevo inmediatamente:
aireplay-ng --deauth 0 -a 00:26:44:B1:DF:65 -h 00:26:44:B1:DF:65 -c F0:E7:7E:81:78:8A mon0
Si les aparece un error de channel abran otra ventana de terminal y ejecuten airodump-ng -c 6
mon0 Siendo 6 el canal que van a atacar.


6. Como estamos ms cerca de ste cliente, nuestra potencia de la seal es mayor,entonces el
cliente se conecta al access point gemelo malvado como se muestra en la siguientes pantalla:

8. Ahora bien, si vemos a travs de airodump-ng es imposible diferenciar los dos AP, el real y el
falso visualmente visualmente esta es la forma ms potente del
gemelo malvado.

Qu hemos logrado?

Hemos creado un gemelo malvado para la red autorizada y usado un ataque de Des-
autenticacin para que el cliente legtimo se conecte de nuevo a nosotros, en lugar de al
access point de la red autorizada.
Es importante tener en cuenta que en el caso de que el access point autorizado use cifrado
como WEP / WPA, podra ser ms difcil llevar a cabo un ataque en el que escuchar el trfico
pueda ser posible.

ATAQUE MAN IN THE MIDDLE
En criptografa, un ataque man-in-the-middle (MitM o ataque de hombre en el medio, en
espaol) es un ataque en el que el enemigo adquiere la capacidad de interceptar el trfico de
red que no est dirigido hacia l leer, insertar y modificar a voluntad, los mensajes entre dos
partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante
debe ser capaz de observar e interceptar mensajes entre las dos vctimas. El ataque MitM es
particularmente significativo en el protocolo original de intercambio de claves de Diffie-
Hellman, cuando ste se emplea sin autenticacin.


ste ataque permite capturar credenciales de autenticacin como usuario y contrasea si la
conexin no viaja cifrada sobre SSL y tambin puede capturar el trfico SSL si se usa en
conjunto con otro ataque por ejemplo con la herramienta SSLSTRIP
Luego de que se crackea una red inalmbrica, uno de los ataques posteriores que se puede
hacer es el ataque de hombre en el medio.
Luego de obtenida la contrasea de la red inalmbrica podemos proceder a conectarnos de
manera tradicional usando el wicd network manager para abrirlo se va a Applications
Internet Wicd network manager , se selecciona la red que se ha crackeado, se le da click al
botn propiedades y se digita la contrasea obtenida mediante el ataque, aqu ya nos
encontramos conectados


Ahora vamos a efectuar el ataque de hombre en el medio con ayuda de la herramienta
ettercap digitando esto:
ettercap -T -q -i wlan0 -w dump -M ARP /192.168.1.68/ /192.168.1.254/

ATAQUE POR DICCIONARIO
Un ataque de diccionario es un mtodo de cracking que consiste en intentar averiguar una
contrasea probando todas las palabras de un diccionario que se tiene previamente
configurado (normalmente un archivo de texto con las palabaras en cada lnea). Este tipo de
ataque suele ser ms eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen
utilizar una palabra existente en su lengua como contrasea para que la clave sea fcil de
recordar, lo cual no es una prctica recomendable.
Los ataques de diccionario tienen pocas probabilidades de xito con sistemas que emplean
contraseas fuertes con letras en maysculas y minsculas mezcladas con nmeros
(alfanumricos) y con cualquier otro tipo de smbolos. Sin embargo, para la mayora de los
usuarios recordar contraseas tan complejas resulta complicado. Existen variantes que
comprueban tambin algunas de las tpicas sustituciones (determinadas letras por nmeros,
intercambio de dos letras, abreviaciones), as como distintas combinaciones de maysculas y
minsculas.

Modulo 3 : Atacando una Red Inalmbrica

Uso del comando iwconfig
Modos de operacin de una interface de red inalmbrica (Master mode, ad-hoc,
managed mode, Monitor mode)
Suite de herramientas de auditoria y Pentest de redes inalmbricas: Aircrack-NG
(Aireplay, Aircrack, Airodump, Airmin, entre otros)
Descubrimiento de AP (Redes inalmbricas) y Sniffing de trafico
Inyeccion de trafico Cracking del protocolo WEP
Ataque por diccionario protocolo WPA
Creando un AP falso
Karmetasploit (Integracin de Karma en metasploit)


3,1 Comando iwconfig

Descripcin: Este comando nos sirve para conocer y configurar una interfaz de red
inalmbrica, a continuacin una explicacin de su utilizacin.

Iwconfig
Este comando sin parametros nos muestra las interfaces de red inalmbricas que hay
en nuestro equipo.

Iwconfig <interface>
Pasando como parmetro la interfaz nos muestra las caractersticas de esta.

iwconfig <interface> channel <canal>
Con estas opciones podemos escoger el canal para nuestra tarjeta
iwconfig ath0 channel 6

iwconfig <interface> essid <essid> key <miclave>
Para asociarnos a una red por su essid

iwconfig <interface> freq <valorGhz>

iwconfig <interface> rate <valorvelocidad>

Frecuencias de cada Canal
canal 1= 2.412G
canal 2= 2.417G
canal 3= 2.422G
canal 4= 2.427G
canal 5= 2.432G
canal 6= 2.437G
canal 7= 2.442G
canal 8= 2.447G
canal 9= 2.452G
canal 10= 2.457G
canal 11= 2.462G
canal 12= 2.467G

canal 13= 2.472G
canal 14= 2.484G

3,2 Modos de Operacin de una Interfaz de Red Inalmbrica

mode monitor: iwconfig ath0 mode monitor
El modo monitor es cuando ponemos nuestra interfaz de red en modo
promiscuo o de escucha para ver todo lo que pasa por debajo de una
comunicacn.

El modo monitor es de suma importancia ya que es por medio de este, que
podemos escuchar los paquetes de la(s) redes a auditar.

mode managed: iwconfig ath0 mode managed
Este modo es el modo por default de la interfaz inalmbrica, la cual permite
asociarnos e interactuar con una red inalmbrica.

mode ad-hoc: iwconfig ath0 mode ad-hoc
Se utiliza para crear una red inalmbrica sin la necesidad de tener un punto de
acceso en la red. es til para conectar dos o ms ordenadores entre s.

3,2 Suite Aircrack-NG

Aircrack-NG es un conjunto de herramientas para auditar la seguridad de una red
inalmbrica y esta compuesta por:


Airodump
Aireplay
Aircrack
Airdecap
Airbase
Airdecloak
Airdriver
Airgraph
Airolib
Airoscript
Airserv
Airtun

nos centraremos en 4 herramientas de esta suite especialmente que son : Airmon,
Airodump, Aircrack y Aireplay, con estas 3 herramientas podemos Romper,
monitorear e inyectar en nuestra red o redes a auditar .

Colocando en modo Monitor Airmon-ng

Esta herramienta nos facilita la puesta en modo monitor de nuestra tarjeta de red
para escuchar el trafico de la red o redes que esten a nuestro alcance.

Sintaxis : Airmon-ng start <interface>

Para deterner el modo monitor utilizamos :
Sintaxis : Airmon-ng stop <interface>

Airodump-ng


Con esta herramienta podemos escuchar sobre el estado monitor de nuestra interfaz ,
permitiendonos guardar la session de nuestro monitoreo para posteriormente analizar
y obtener la clave.

nosotros para guardar la session de la red a auditar utilizaremos las siguiente
opciones
-w : nos permite redireccionar a un archivo la captura
--bssid : Indicamos la BSSID a realizar el monitoreo
-c : indicamos el canal donde se encuentra la red
mon0 : nuestra interfaz en modo monitor


Descubrimiento de AP (Redes inalmbricas) y Sniffing de Trafico

Para el descubrimiento de AP utilizaremos Airodump-ng el cual nos mostrara todas
las redes inalmbricas que esten realizando Broadcast , las que estan con el ESSID
oculto , nos lo mostrara en los clientes asociados a ella.

Descubrimiento de AP


Captura de Trafico Wireshark


5 Inyeccion de trafico Cracking del protocolo WEP

5.1 Inyeccion con clientes Conectados

Para la inyeccin de trafico sobre WEP utilizaremos Aireplay-ng quien tiene varias
opciones para la inyeccin permitiendonos obtener su contrasea.

Opciones Aireplay-ng


En la primera forma de inyeccin de paquetes utilizaremos Fakeauth (-1), Deauth(-
0), Arpreplay(-3)
en la que utilizaremos los ARP request para retrasmitirlos e inyectar paquetes a la
red.

Pasos:

5.1.1.Habilitar Modo monitor en el canal de nuestra red.
Sintaxis Airmon-ng start <interface> <canal>


5.1.2.Escuchar Trafico en la interfaz creada en modo monitor (mon0)
Sintaxis: airodump-ng <interfaz> -c <canal> -w <FileGuardaCaptura> --bssid
<BSSID>

airodump-ng mon0 -c 3 -w capture --bssid 00:26:5A:1F:88:FA

5.1.3.En una nueva terminal utilizaremos Aireplay-ng con la opcion --arpreplay(-3)

sintaxis: aireplay-ng -3 -b <BSSID> mon0

De esta forma espera las peticiones ARP y las reenvia haciendo de esta forma
posible la inyeccin

5.1.4.En otra Terminal ejecutaremos con Aireplay-ng con la opcin Fakeauth(-1)
para asociarnos con el dispositivo.

Sintaxis: aireplay-ng -1 <delay> -a <BSSID> mon0

Como vemos nos respone Association Successful y ahora en la parte de abajo de la
ventana del airodump-ng nos muestra la asociacin realizada.

Tenemos un cliente verdadero con la MAC F0:E7:7E:81:78:8A y tenemos la
asociacin falsa con nuestra mac de la tarjeta inalmbrica 00:1F:3A:3A:7D:FD

Ahora en la otra ventana con aireplay utilizamos la opcion deauth(-0) para realizar
la desconexin de los clientes y generar las respuestas ARP y sea posible la
inyeccin.

Sintaxis : aireplay-ng -0 0 -a 00:26:5A:1F:88:FA mon0


esto manda una peticion broadcast con la opcion deauth , osea va desconectar las
asociaciones que estan sobre el AP y cuando estos hagan una reconexin tendremos
la inyeccin exitosa.

Sabemos que la inyeccin es exitosa cuando en el campo data vemos rpidamente
aumentar los paquetes.

Despues de esto abrimos un una nueva terminal aircrack-ng en donde le
especificamos el archivo donde capturamos todo el trafico de esta session para
obtener el la contrasea para autenticarnos con el AP.

5.1.5.Ejecutamos aircrack-ng <file.cap> para obtener de la captura la clave para
conectarnos al AP

5.2 Inyeccion via cliente

En esta ocuacin nos aprovecharemos de los paquetes enviados por los clientes
asociados y reenviaremos dichos paquetes para generar el la inyeccin.

Realizamos los mismos procedimientos anteriores

-Poner en modo monitor la interfaz de red inalmbrica
-Escuchar el trafico de nuestra red a auditar
-Realizamos la asociacion con el AP


luego de estos paso usamos aireplay con las opciones siguientes.

Sitanxis : aireplay -2 -b <BSSID> -d <DestinoMac> -f <frameControl> -m <sizeMin>
<interfaz>

aireplay-ng -2 -b 00:26:44:B2:04:F9 -d FF:FF:FF:FF:FF:FF -f 1 -m 68 mon0

Despues de escoger varios paquetes con el filtro indicado los DATA empiezan
aumentar en la ventana del airodump.

Depues de haber inyectado correctamente procedemos a decifrar la clave con
aircrack-ng.

6.WPA Cracking

Para obtener la clave de una red WPA el procedimiento al comienzo es el mismo que
los anteriores, debemos poner en modo monitor y escuchar sobre dicha interfaz.

Lo siguiente a realizar al tener ya un cliente conectado procedemos a realizar con
aireplay con la opcion --deauth (-0) y cuando el cliente se asocie de nuevo
tendremos el handshake que es donde esta nuestra clave pero cifrada.

Despues de realizar la autenticacin del cliente obtendremos un mensaje en la parte
superior derecha que hemos capturado el handshake

Para sacar el texto en claro del handshake tendremos que utilizar un ataque de
diccionario que pruebe las posibles claves de la red, para esta tarea crearemos un

diccionario y lo pasaremos a aircrack-ng para que pruebe hasta encontrar la clave
correcta si existe en el diccionario.

Sintaxis: Aircrak-ng -w <file.cap>


Deshabilitar SSID broadcast
Actualizacin de Firmware de AP
Contraseas seguras de AP
Controlando el espectro de la seal inalmbrica


Las redes inalmbricas son cada vez ms potentes y su radio de accin mayor. Eso garantiza
cobertura en toda tu casa. Pero tambin en la de tus vecinos o incluso en la calle.

Conectar el Wi-Fi


Sin proteccin, esos vecinos o cualquiera que est dentro del alcance de tu red inalmbrica
puede "parasitar" tu Wi-Fi. Quiz no entren en tu PC ni roben tus datos pero harn ms lenta
tu conexin a Internet. A ellos, se la estars pagando t.
Robo de tus datos personales o confidenciales
Una red Wi-Fi sin proteccin es una presa fcil incluso para un hacker aficionado, que podr
acceder a tu computadora y hacer lo que quiera con ella.

Si las comunicaciones inalmbricas no estn protegidas, todos los datos almacenados en tu PC
quedan expuestos. Tambin los datos de tarjetas o cuentas bancarias que uses en Internet.
Es mejor el WEP o el WPA?
La respuesta corta para quien tenga prisa: es MUCHO ms seguro el WPA, sobre todo el WPA2
con cifrado AES.

Si quieres saber ms detalles sigue leyendo.
Al configurar tu red Wi-Fi usa WPA2-Personal con cifrado AES.
Define una contrasea Wi-Fi fuerte. Por fuerte quiero decir en concreto que:

-Tenga al menos 15 caracteres.

-Combine letras maysculas y minsculas, nmeros y caracteres especiales ($, #, @, etc.).

-No incluya NINGUNA informacin personal, como nombres, fechas de cumpleaos o
aniversarios o el nombre de tu mascota.

-No contenga palabras completas en ningn idioma, por raras que sean.

-No sea obvia. Claves como "qwerty", "1234" o "contrasea" no son originales ni seguras, son
contraseas de diccionario lo que significa que fcilmente se pueden encontrar en archivos
que ests distribuidos en Internet y los cuales usan los atacantes para romper los mtodos de
autenticacin.
Y despus de hacer todo eso cambia tu contrasea Wi-Fi cada cierto tiempo siguiendo las
mismas recomendaciones. Ninguna clave es segura eternamente.
PREPARANDO EL LABORATORIO
Configurando el Access point
Generalmente existen dos maneras de interactuar con el router para configurarlo y
modificarle opciones

- Telnet
- Via web

Usaremos el acceso via web para configurarlo con los requerimientos necesarios para
llevar a cabo la prctica del laboratorio.

Crackeando WEP,
6.1 WEP Cracking
6.1.1 Introduccin
Este mdulo le guiar a travs de un escenario muy sencilla con el fin de romper una clave
WEP.
La intencin es desarrollar sus habilidades bsicas y conseguir que se familiarice con los
conceptos. La prtica supone que usted cuenta con los controladores de tarjeta de red
inalmbrica ya parcheados para inyeccin.

6.1.2 Supuestos
Este ejercicio asume que est fsicamente suficientemente cerca para enviar y recibir paquetes
del AP.
Recuerde que slo porque usted puede recibir paquetes del punto de acceso no significa
necesariamente que usted ser capaz de transmitir paquetes al mismo.
La potencia de transmisin de la tarjeta inalmbrica es tpicamente menor que la del AP.
Usted tiene que estar fsicamente lo suficientemente cerca como para que sus paquetes sean
transmitidos y sean recibidos por el AP.

6.1.3 Equipo utilizado
Los detalles de nuestros jugadores:
direccin MAC del PC que ejecuta Suite Aircrack-ng: 00:0 F: B5: 88: AC: 82
BSSID (direccin MAC del AP): 00:14:6 C: 7E: 40:80
ESSID (nombre de red inalmbrica): peluche
Acceso canal del punto: 9
Interfaz inalmbrica: ath0
Usted debe obtener la informacin equivalente para la red a la que va a trabajar y entonces
cambiar los valores en los ejemplos siguientes para su red especfica.

6.1.4.1 Descripcin de la prctica

Para obtener la clave WEP de un Access point, necesitamos reunir una gran cantidad de
vectores de inicializacin(IVs). El trfico de red normal no suele generar estos IVs en un plazo
razonable de tiempo. Para nuestra ayuda viene la "inyeccin de trfico inalmbrico" tcnica -
que acelera el proceso de la generacin y captura de IVs. Inyeccin implica forzar al AP a que
enve y reenve los paquetes seleccionados una y otra vez rpidamente.
Esto nos permite capturar un gran nmero de IVs en un corto perodo de tiempo.
Una vez que hemos capturado un gran nmero de IVs, stos se puedes usar para determinar
la clave WEP.

Estos son los pasos bsicos a seguir:
1. Colocar la tarjeta inalmbrica en modo monitor en el canal del AP especfico
2. Iniciar airodump-ng en el canal de AP con un filtro BSSID para recoger los nuevos IVs nicos
3. Usar aireplay-ng para fingir la autenticacin con el AP.
4. Iniciar aireplay-ng en el modo de ARP request replay para inyectar paquetes .
5. Ejecutar Aircrack-ng para crackear la clave usando los IVs capturados.

Crackeando WPA ataque por diccionario
Es necesario poner la tarjeta en modo monitor
Se debe capturar el handshake de 4 vas, para esto es necesario esperar a que un cliente se
conecte autenticndose en al AP. Intentar forzar la reautenticacin usando el ataque de
des-autenticacin.
Se debe tener en cuenta que las contraseas WPA y WPA2 son de longitud 8 a 63
caracteres.
Teniendo el archivo .cap con el handshake capturado se usa aircrack-ng con la opcin w y
especificando el diccionario preparado con las contraseas a probar, tambin se puede
usar cowpatty tambin por lnea de comando, si la contrasea est en el archivo usado
como diccionario se crackear con xito la WPA e imprimir en pantalla la contrasea.
Si se han capturado paquetes en modo monitor sin haberse autenticado en la red, luego
de obtener la contrasea se puede usar airdecap en el archivo .cap y luego se abre con
wireshark y se puede observar todo el trfico descifrado.
Acelerando el proceso de cracking Hardware CUDA , amazon EC2 en la nube software
pyrit

Se pueden usar tablas precomputadas pero dichas tablas deben tener el mismo SSID a
crackear ya que la contrasea cuando se genera depende del SSID


1) Cambie las contraseas por defecto, de preferencia a una contrasea segura (por lo menos
8 caracteres incluyen las maysculas / minsculas, nmeros, caracteres especiales). Muchos de
estos dispositivos se incluyen con la contrasea "password" o "admin" , dejar dichas
contraseas por defecto es pedir a gritos que tomen control de su access point.

2) Desactive la administracin remota. La administracin de su enrutador / punto de acceso
debe ser "slo local", es decir, no hay ninguna razn para que la gente de otro pas el acceso a
su hardware de red. Si necesita realizar cambios, debe ser local en el dispositivo (por ejemplo,
conectado fsicamente, cara interna de la red, etc.), As mismo desactive el servicio de
administracin va telnet y http y habilite slo https y ssh de ser necesario

3) Actualizar el firmware. Lo creas o no, hardware de red de los consumidores tiene que ser
parcheado tambin. Consulte el sitio de soporte del fabricante del dispositivo y comprueber si
hay una actualizacin. Suscrbase para recibir alertas de correo electrnico para las
actualizaciones, si est disponible, o comprueba peridicamente si hay actualizaciones.

4) Desactivar los servicios no utilizados. Muchos de estos dispositivos son "tienen muchas
caractersticas avanzadas" y las tienen activas de forma predeterminada, aunque el 95% de los
usuarios no los utilizar. A su vez de SNMP, UPnP, caractersticas "DMZ", etc SNMP, en
particular, permite a alguien obtener informacin de todas las configuraciones del dispositivo,
especialmente si la cadena de comunidad es "pblica" (y, por defecto, el 99% de las veces lo
es) . Esto es un hecho preocupante y probablemente dar lugar a la mayor cantidad de casos
de explotacin, es decir, SNMP abierto que regala todos los ajustes al mundo bajo peticin.

5) Cambie la configuracin predeterminada del dispositivo. Todos los vendedores tienden a
utilizar el mismo conjunto de valores por defecto para sus dispositivos, como las direcciones IP
de la red interna. Cambie esta configuracin a algo que tenga sentido para lo que usted est
tratando de hacer.

Configure la IP de su dispositivo en un rango y mscaras no comnes, esto dificultar en gran
medida la tarea del atacante.
Cambio de los valores predeterminados para los mtodos de cifrado de la red, sobre todo
haciendo autenticacin WPA2 y WEP no.

6) Monitoree constantemente los logs de su dispositivo para analizar que logueos se han
hecho mediante la interfaz de administracin, as mismo para ver si ha habido intentos de
logueo falldos y desde que IP, hay gran nmero de botnets en Internet que acceden a los
dispositivos sin que sus usuarios lo noten

7) Utilice Service Set Identifier no sugestivo (SSID) Convenciones de nomenclatura
En una red inalmbrica, un SSID sirve como un nombre de red para la segmentacin de redes.
Una estacin cliente debe configurarse con el SSID correcto con el fin de unirse a una red. El
valor SSID se transmite en beacons, probes, requests y probes responses. Para evitar que un
atacante malicioso pueda recopilar informacin de reconocimiento en una red inalmbrica por
espionaje, el SSID no deben reflejar la informacin interna de la organizacin, el nombre no
debe estar asociado a la empresa

8) Emplear filtrado de direcciones MAC en los puntos de acceso
El filtrado de direcciones MAC pueden ser considerados la primera lnea de defensa para redes
inalmbricas. Cuando el filtrado de direcciones MAC est activado, slo los dispositivos con
direcciones MAC previamente aprobados pueden tener acceso a la red. Sin embargo ste
mecanismo dificulta la tarea del atacante pero no es un mtodo infalible pues hay aplicativos
que pueden cambiar la mac del dispositivo cliente. Los mecanismos de filtrado de direcciones
MAC puede no ser factible en algunos escenarios, como la implementacin de puntos de
acceso inalmbricos pblicos.

9) Limite el nmero de direcciones IP que entrega su dispositivo mediante DHCP y de ser
posible deshabilite dicho servicio y configure manualmente las direcciones IP en los
dispositivos que desee conectar a su red

10) Conozca su dispositivo, que funciones incorporadas tiene, que mtodos tiene para acceder
a administrarlo, mantngase al da informado sobre las nuevas vulnerabiliades y exploits que

publican de su dispositivo y est pendiente a los parches que se liberen para corregir dichas
vulnerabilidades

11) Desactive la Gestin a travs de Wireless
Se recomienda desactivar la administracin del router a travs de dispositivos inalmbricos
asociados con el punto de acceso. Si alguien logra asociarse con el punto de acceso y
conectarse al router, se puede cambiar la configuracin del router. Si desactiva sta gestin,
slo se podr configurar el dispositivo conectndose a l por cable.

12) Apague el punto de acceso cuando no est en uso Esto tambin es aconsejable ya que
minimiza el riesgo de acceso no autorizado y ahorra energa y vida til del dispositivo.

13) Configuracin del modo de red seleccione el modo inalmbrico que est en funcin de los
protocolos. Las opciones posibles son.
_ Disabled - Desactiva AP.
_ Mixta - permite tanto 802.11b y 802.11g.
_ B-Only - 8.2.11 b solamente.
_ G-Only - 8.2.11 g solamente.
_N-Only 8.2.11 n Si su dispositivo soporta ste modo, uselo solamente as y de sta manera
minimizar en gran medida los ataques que pueden efectuarse a su red ya que muchos
atacantes cuentan slo con dispositivos de ataque a los modos inferiores a N, esto no significa
que no existen ataques a dispositivos N.

CODSP Training Pentesting Inalambricas

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

CODSP Training Pentesting Inalambricas

Загружено:

Авторское право:

Доступные форматы

Certified Offensive and Defensive SecurityProfessional -CODSP Training

Certified Offensive and Defensive

Вам также может понравиться