Certified Offensive and Defensive SecurityProfessional -CODSP Training
Certified Offensive and Defensive
SecurityProfessional-CODSP Training
(Profesional Certificado en Seguridad Ofensiva y Defensiva)
Taller de entrenamiento: Penetration Testing y auditora a redes inalmbricas
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Temario
Modulo 1: Como operan las redes inalmbricas:
Conceptos bsicos. (SSID, MAC, AP, antenas, canales, frecuencias, Beacons, Frames entre otros) El Estndar 802.11(a/b/g/n) Modos de operacin de una red inalmbrica (Ad-hoc, AP, Brigde, Hotspot, Portal cautivo, entre otros) Modo de autenticacin abiertaopen system(sin autenticacin) Tipos de protoclos y algoritmos de cifrado (WEP , WPA, WPA2)
Modulo 2:Amenazas y vulnerabilidades de una red inalmbrica:
Access Point Falso Rogue AP Denegacin de servicios Captura e interceptacin de trafico Ataque de hombre en el medio Cracking de algoritmos de encripcin WEP - WPA Ataque por diccionario - WPA
Modulo 3:Atacando una red inalmbrica:
Preparando Backtrack 5 R3 Suite de herramientas de auditora y Pentestesting de redes inalmbricas: Aircrack- NG (Aireplay, Aircrack, Airodump, Airmin, entre otros) Modos de operacin de una interface de red inalmbrica (master mode, ad-hoc, managed mode, monitor mode) Descubrimiento de APs (Redes inalmbricas) y sniffing de trfico Uso del comando iwconfig Colocando la tarjeta en modo monitor en Linux BT 5 R3 Inyeccin de trafico Cracking del protocolo WEP Ataque por diccionario protocolo WPA Creando un AP falso Karmetasploit (Integracin de Karma en metasploit)
Modulo 4:Hardening (Aseguramiento) de una red inalmbrica:
Utilizar algoritmos de cifrado seguros Deshabilitar SSID broadcast Actualizacin de Firmware de AP Contraseas seguras de AP Controlando el espectro de la seal inalmbrica
Certified Offensive and Defensive SecurityProfessional -CODSP Training
ADICIONALES: Que hacer luego De crackear una red inalmbrica? Ataque de hombre en el medio, tomar control del Access point mediante vulnerabilidad, buscar vulnerabilidades y atacar a los clientes conectados a la red, wardriving, geoposicionamiento, encontrando el SSID. HERRAMIENTAS NECESARIAS PARA EL TALLER: Porttil Distribucin Linux Backtrack 5 R3 en live CD o instalado en el porttil. Se usar la suite aircrack-ng que viene incluida en el Backtrack. Tarjeta inalmbrica USB : para llevar a cabo las prcticas de cracking del cifrado es necesario usar una tarjeta inalmbrica cuyo chipset soporte inyeccin y sniffing de paquetes, para una lista de chipsets soportados visitar sta pgina: http://www.aircrack- ng.org/doku.php?id=compatibility_drivers
Para ste taller especfico recomendamos la tarjeta Tarjeta TP-LINK TL-WN722N la cual tiene un valor aproximado de $ 29.000 Chipset Atheros AR9271 -- Inyecta sin problema potencia de la seal aprox. 3 dbi -- Antena desmontable http://www.tp-link.com/en/products/details/?model=TL-WN722N#spec
Un Access point: cualquiera que soporte cifrado WEP/WPA/WPA2, ste ser proporcionado por el instructor durante el taller.
Modulo 1: Como operan las redes inalmbricas:
Conceptos bsicos. (SSID, MAC, AP, antenas, canales, frecuencias, Beacons, Frames entre otros) El Estndar 802.11(a/b/g/n) Modos de operacin de una red inalmbrica (Ad-hoc, AP, Brigde, Hospot, Portal cautivo,entre otros) Modo de autenticacin abiertaopen system(sin autenticacin) Tipos de protocolos y algoritmos de cifrado (WEP , WPA, WPA2)
SSID: (Service Set IDentifier) es un nombre incluido en todos los paquetes de una red inalmbrica (Wi-Fi) para identificarlos como parte de esa red. El cdigo consiste en un mximo de 32 caracteres que la mayora de las veces son alfanumricos (aunque el estndar no lo Certified Offensive and Defensive SecurityProfessional -CODSP Training
especifca, as que puede consistir en cualquier carcter). Todos los dispositivos inalmbricos que intentan comunicarse entre s deben compartir el mismo SSID. Existen algunas variantes principales del SSID. Las redes ad-hoc, que consisten en mquinas cliente sin un punto de acceso, utilizan el BSSID (Basic Service Set IDentifier); mientras que en las redes en infraestructura que incorporan un punto de acceso, se utiliza el ESSID (Extended Service Set IDentifier). Nos podemos referir a cada uno de estos tipos como SSID en trminos generales. A menudo al SSID se le conoce como nombre de la red. Dicho SSID se configura en el Access point como nombre de red y dicho Access point difunde ste SSID abiertamente para indicar que est presente y los clientes puedan conectarse a l si cumplen con los requisitos de validacin solicitados Uno de los mtodos ms bsicos de proteger una red inalmbrica es desactivar la difusin (broadcast) del SSID, ya que para el usuario medio no aparecer como una red en uso. Sin embargo, no debera ser el nico mtodo de defensa para proteger una red inalmbrica. Se deben utilizar tambin otros sistemas de cifrado y autentificacin. MAC: En las redes de computadoras, la direccin MAC (siglas en ingls de media access control; en espaol "control de acceso al medio") es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma nica a una tarjeta o dispositivo de red. Se conoce tambin como direccin fsica, y es nica para cada dispositivo. Est determinada y configurada por el IEEE (los ltimos 24 bits) y el fabricante (los primeros 24 bits) utilizando el organizationally unique identifier. La mayora de los protocolos que trabajan en la capa 2 del modelo OSI usan una de las tres numeraciones manejadas por el IEEE: MAC-48, EUI-48, y EUI- 64, las cuales han sido diseadas para ser identificadores globalmente nicos. No todos los protocolos de comunicacin usan direcciones MAC, y no todos los protocolos requieren identificadores globalmente nicos. Las direcciones MAC son nicas a nivel mundial, puesto que son escritas directamente, en forma binaria, en el hardware en su momento de fabricacin. Debido a esto, las direcciones MAC son a veces llamadas burned-in addresses, en ingls. Si nos fijamos en la definicin como cada bloque hexadecimal son 8 dgitos binarios (bits), tendramos: 6 * 8 = 48 bits nicos En la mayora de los casos no es necesario conocer la direccin MAC, ni para montar una red domstica, ni para configurar la conexin a internet, usndose esta slo a niveles internos de la red. Sin embargo, es posible aadir un control de hardware en un conmutador o un punto de acceso inalmbrico, para permitir slo a unas MAC concretas el acceso a la red. En este caso, deber saberse la MAC de los dispositivos para aadirlos a la lista. Dicho medio de seguridad se puede considerar un refuerzo de otros sistemas de seguridad, ya que tericamente se trata de una direccin nica y permanente, aunque en todos los sistemas Certified Offensive and Defensive SecurityProfessional -CODSP Training
operativos hay mtodos que permiten a las tarjetas de red identificarse con direcciones MAC distintas de la real. La direccin MAC es utilizada en varias tecnologas entre las que se incluyen: Ethernet 802.3 CSMA/CD 802.5 o redes en anillo a 4 Mbps o 16 Mbps 802.11 redes inalmbricas (Wi-Fi). Asynchronous Transfer Mode MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la informacin libre de errores entre dos mquinas conectadas directamente. Para ello se generan tramas, pequeos bloques de informacin que contienen en su cabecera las direcciones MAC correspondiente al emisor y receptor de la informacin. Ejemplo de una direccin MAC: B8-70-F4-12-5B-C6 Como obtener la direccin MAC de una interfaz: En Windows se digita en cmd la orden: ipconfig /all all aparece en el campo de direccin fsica, tambin se puede usar la orden: getmac En Linux se digita en terminal la orden: ifconfig esto muestra informacin de las interfaces de red disponibles en el campo de hardware address aparece la MAC Aunque la direccin MAC de una interfaz es nica y se asigna a cada interfaz en el momento de fabricarse sta puede ser cambiada mediante software, dicha tcnica se llama MAC spoofing Para cambiar la mac de la tarjeta de red del bactrack ejecutar lo siguiente en terminal: ifconfig eth0 down luego machcanger m 00:11:22:33:44:55 eth0 , luego ifconfig eth0 up ACCESS POINT: Un punto de acceso inalmbrico (WAP o AP por sus siglas en ingls: Wireless Access Point) en redes de computadoras es un dispositivo que interconecta dispositivos de comunicacin almbrica para formar una red inalmbrica. Normalmente un WAP tambin puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos conectados a la red cable y los dispositivos inalmbricos. Muchos WAPs pueden conectarse entre s para formar una red an mayor, permitiendo realizar "roaming". Por otro lado, una red donde los dispositivos cliente se administran a s mismos sin la necesidad de un punto de acceso se convierten en una red ad-hoc. Los puntos de acceso inalmbricos tienen direcciones IP asignadas, para poder ser configurados. Los puntos de acceso (AP) son dispositivos que permiten la conexin inalmbrica Certified Offensive and Defensive SecurityProfessional -CODSP Training
de un equipo mvil de cmputo (ordenador, tableta, smartphone) con una red. Generalmente los puntos de acceso tienen como funcin principal permitir la conectividad con la red, delegando la tarea de ruteo y direccionamiento a servidores, ruteadores y switches. La mayora de los AP siguen el estndar de comunicacin 802.11 de la IEEE lo que permite una compatibilidad con una gran variedad de equipos inalmbricos. Algunos equipos incluyen tareas como la configuracin de la funcin de ruteo, de direccionamiento de puertos, seguridad y administracin de usuarios. Estas funciones responden ante una configuracin establecida previamente. Al fortalecer la interoperabilidad entre los servidores y los puntos de acceso, se puede lograr mejoras en el servicio que ofrecen, por ejemplo, la respuesta dinmica ante cambios en la red y ajustes de la configuracin de los dispositivos. Los AP son el enlace entre las redes cableadas y las inalmbricas. El uso de varios puntos de acceso permite el servicio de roaming. El surgimiento de estos dispositivos ha permitido el ahorro de nuevos cableados de red. Un AP con el estndar IEEE 802.11b tiene un radio de 100 m aproximadamente. Son los encargados de crear la red, estn siempre a la espera de nuevos clientes a los que dar servicios. El punto de acceso recibe la informacin, la almacena y la transmite entre la WLAN (Wireless LAN) y la LAN cableada. Un nico punto de acceso puede soportar un pequeo grupo de usuarios y puede funcionar en un rango de al menos treinta metros y hasta varios cientos. Este o su antena normalmente se colocan en alto pero podra colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada. El usuario final accede a la red WLAN a travs de adaptadores situados en sus equipos (ordenador, tableta, smartphone, smart TV, radio por Internet...). Estos proporcionan una interfaz entre el sistema de operacin de red del cliente (NOS: Network Operating System) y las ondas, mediante una antena inalmbrica.
ANTENA: Una antena es un dispositivo (conductor metlico) diseado con el objetivo de emitir o recibir ondas electromagnticas hacia el espacio libre. Una antena transmisora transforma voltajes en ondas electromagnticas, y una receptora realiza la funcin inversa. Existe una gran diversidad de tipos de antenas. En unos casos deben expandir en lo posible la potencia radiada, es decir, no deben ser directivas (ejemplo: una emisora de radio comercial o una estacin base de telfonos mviles), otras veces deben serlo para canalizar la potencia en una direccin y no interferir a otros servicios (antenas entre estaciones de radioenlaces). Tambin es una antena la que est integrada en la computadora porttil para conectarse a las redes Wi-Fi. Las caractersticas de las antenas dependen de la relacin entre sus dimensiones y la longitud de onda de la seal de radiofrecuencia transmitida o recibida. Si las dimensiones de la antena son mucho ms pequeas que la longitud de onda las antenas se denominan elementales, si Certified Offensive and Defensive SecurityProfessional -CODSP Training
tienen dimensiones del orden de media longitud de onda se llaman resonantes, y si su tamao es mucho mayor que la longitud de onda son directivas. CANAL ES: Cuando se defini el standard IEEE 802.11 (el que regula las redes locales inalmbricas), se especific tambin los tres rangos de frecuencia disponibles para los dispositivos que desearan emitir de esta forma: 2.4 GHz, 3.6 GHz y 5 GHz. La mayora de dispositivos actuales operan, por defecto, en la franja de frecuencias cercana a 2.4 GHz, por lo que es en la que vamos a centrarnos hoy. Cada rango de frecuencias fue subdividido, a su vez, en multitud de canales. Para 2.4 GHz, estamos hablando de 14 canales, separados por 5 MHz. Eso s, cada pas y zona geogrfica aplica sus propias restricciones al nmero de canales disponibles. Por ejemplo, en Norteamrica tan slo se utilizan los 11 primeros, mientras que en Europa disponemos de 13. El problema de esta distribucin es que cada canal necesita 22MHz de ancho de banda para operar, y como se puede apreciar en la figura esto produce un solapamiento de varios canales contiguos. Aqu aparece un concepto importante a tener en cuenta: el solapamiento. Como puede observarse en el grfico ,el canal 1 se superpone con los canales 2, 3, 4 y 5, y por tanto los dispositivos que emitan en ese rango de frecuencias pueden generar interferencias. Lo mismo ocurre con el canal 6 y los canales 7, 8, 9 y 10. Parece lgico pensar entonces que, si nuestra conexin Wi-Fi no va todo lo bien que debera, podra intentarse mejorar la red cambiando el canal a otro menos usado entre los puntos de acceso cercanos y que no se superponga con ellos.
FRECUENCIA: Segn el rango de frecuencias utilizado para transmitir, el medio de transmisin pueden ser las ondas de radio, las microondas terrestres o por satlite, y los infrarrojos, por ejemplo. Dependiendo del medio, la red inalmbrica tendr unas caractersticas u otras: Certified Offensive and Defensive SecurityProfessional -CODSP Training
Ondas de radio: las ondas electromagnticas son omnidireccionales, as que no son necesarias las antenas parablicas. La transmisin no es sensible a las atenuaciones producidas por la lluvia ya que se opera en frecuencias no demasiado elevadas. En este rango se encuentran las bandas desde la ELF que va de 3 a 30 Hz, hasta la banda UHF que va de los 300 a los 3000 MHz, es decir, comprende el espectro radioelctrico de 30 - 3000000000 Hz. Microondas terrestres: se utilizan antenas parablicas con un dimetro aproximado de unos tres metros. Tienen una cobertura de kilmetros, pero con el inconveniente de que el emisor y el receptor deben estar perfectamente alineados. Por eso, se acostumbran a utilizar en enlaces punto a punto en distancias cortas. En este caso, la atenuacin producida por la lluvia es ms importante ya que se opera a una frecuencia ms elevada. Las microondas comprenden las frecuencias desde 1 hasta 300 GHz. Microondas por satlite: se hacen enlaces entre dos o ms estaciones terrestres que se denominan estaciones base. El satlite recibe la seal (denominada seal ascendente) en una banda de frecuencia, la amplifica y la retransmite en otra banda (seal descendente). Cada satlite opera en unas bandas concretas. Las fronteras frecuenciales de las microondas, tanto terrestres como por satlite, con los infrarrojos y las ondas de radio de alta frecuencia se mezclan bastante, as que pueden haber interferencias con las comunicaciones en determinadas frecuencias. Infrarrojos: se enlazan transmisores y receptores que modulan la luz infrarroja no coherente. Deben estar alineados directamente o con una reflexin en una superficie. No pueden atravesar las paredes. Los infrarrojos van desde 300 GHz hasta 384 THz.
FRAMES: Los marcos (frames) WLAN En este taller se revisan algunos aspectos de seguridad de las redes inalmbricas, para entender a fondo como sucede la comunicacin entre la red inalmbrica se debe tener un conocimiento bsico del protocolo y las cabeceras de los paquetes. Vamos ahora a revisar rpidamente algunos conceptos bsicos de las WLAN que la mayora de ustedes ya conocen. En WLAN, la comunicacin ocurre mediante tramas. Un marco tendra la siguiente estructura de cabecera: Certified Offensive and Defensive SecurityProfessional -CODSP Training
Trama WLAN
El campo "Frame Control" en s tiene una estructura ms compleja: Certified Offensive and Defensive SecurityProfessional -CODSP Training
El campo type define el tipo de marco WLAN, que tiene tres posibilidades:
1. Marcos de administracin: Los marcos de administracin son responsables de mantener la comunicacin entre los puntos de acceso y clientes inalmbricos. Los marcos de administracin pueden tener los siguientes subtipos: Authentication - Autenticacin De-authentication -Desautenticacin o finalizacin de la conexin Association Request -Solicitud de asociacin Association Response - Respuesta de Asociacin Reassociation Request - Solicitud de reasociacin Reassociation Response - Respuesta de reasociacin Disassociation - Desasociacin Beacon - Beacon Probe Request - Solicitud de exploracin Probe Response - Respuesta de exploracin 2. Marcos de control: las tramas de control son responsables de garantizar un intercambio adecuado de datos entre el punto de acceso y los clientes inalmbricos. Los marcos de control pueden tener los siguientes subtipos: Request to Send (RTS) - Solicitud de envo Clear to Send (CTS) - Libre para enviar Certified Offensive and Defensive SecurityProfessional -CODSP Training
Acknowledgement (ACK) - Confirmacin
3. Marcos de datos: Las tramas de datos transportan los datos reales enviados en la red inalmbrica. No hay sub-tipos de marcos de datos.
BEACONS: marco beacon es uno de los marcos de administracin en redes inalambricas WLAN basadas en IEEE 802.11. Los Beacon frames contienen toda la informacin sobre la red inalmbrica y son transmitidos peridicamente para anunciar la presencia de la red WLAN. La infrastructura con la que el Punto de Acceso (a partir de ahora AP, Access Point) enva mediante el servicio de transmisin BBS, al menos el utilizado en la red 802.11 BSS. sta generacin de IBBS es repartida por las estaciones de puntos de acceso. Un Beacon frame consiste de una cabecera MAC adress,un cuerpo y un FCS(frame check sequence). Algunos de los campos, por lo general los ms relevantes son el Timestamp o hora con la que las estaciones se sincronizan, el Beacon Interval o intervlo entre transmisiones, el tiempo en el que un nodo (AP o dispositivo Ad-Hoc, como un smartphone por ejemplo) debe enviar un Beacon es llamado TBTT, Target Beacon Transmission Time y se expresa en unidades de tiempo, por lo general de 100 TU. La capacidad de informacin es de 16bits y contiene informacin sobre la red inalmbrica. Las conexiones AdHoc son movilizan dentro de este marco. Adems de esta informacin detalla encripciones como: SSID Rangos soportados Frequency-hopping (FH) Direct-Sequence (DS) Contention-Free (CF) IBSS Mapa de indicacin de trafico (TIM)
STANDARD 802.11 IEEE 802.11 Certified Offensive and Defensive SecurityProfessional -CODSP Training
El IEEE (Institute of Electrical and Electronics Engineers) Instituto de Ingenieros Elctricos y Electrnicos. Estos son un grupo de cientficos y estudiantes que en conjunto son una autoridad lder en el aeroespacio, las telecomunicaciones, la ingeniera biomdica, energa elctrica, etc., El IEEE est compuesto por ms de 365.000 miembros en todo el mundo. El IEEE se form en 1963 por la fusin de: AIEE - el Instituto Americano de Ingenieros Elctricos, que fue responsable de las comunicaciones cableadas, sistemas de luz y de energa. IRE, el Instituto de Ingenieros de Radio, responsable de las comunicaciones inalmbricas.
Comits
El IEEE se divide en diferentes comits. El comit "802" desarrolla los estndares de red de rea local y los estndares de red de rea metropolitana. Los estndares ms conocidos incluyen Ethernet, Token Ring, LAN inalmbrico, LANS de puente y LANS de puentes virtuales. Las especificaciones IEEE designan las dos capas OSI ms bajas que contienen la "capa fsica" y la "capa de enlace". La "capa de enlace" se subdivide en 2 sub-capas llamado "control de enlace lgico"(LLC) y "Media Access Control" (Control de acceso a medios - MAC). Listado de los diferentes comits: Certified Offensive and Defensive SecurityProfessional -CODSP Training
IEEE 802.11
El IEEE 802.11 es un conjunto de estndares desarrollado por el grupo 11 (LAN inalmbrica) de trabajo del commite IEEE 802 .Para ms informacin acerca de IEEE 802.11 visitar la pgina: http://en.wikipedia.org/wiki/802.11
En el grupo de trabajo IEEE 802.11 existen los siguientes estndares IEEE y enmiendas: Certified Offensive and Defensive SecurityProfessional -CODSP Training
Nota: 802.11, 802.11F y 802.11T son estndares. Todos los dems son enmiendas. La tabla anterior muestra una visin general de las diferentes normas y modificaciones - las principales son que hay que recordar son: 802.11a, 802.11b, 802.11g, 802.11n
STANDARD VELOCIDAD MXIMA DE TRANSMISIN 802.11 2 Mbit 802.11 b 11 Mbit 802.11 a 54 Mbit 802.11 g 54 Mbit 802.11 n 74 Mbit 600 Mbit Certified Offensive and Defensive SecurityProfessional -CODSP Training
Modos de funcionamiento inalmbrico
Hay 2 modos principales de funcionamiento inalmbrico: Infraestructura Ad Hoc En ambas modalidades se requiere un SSID (Service Set Identifier) - identificador de conjunto de servicios para la verificacin de la red. En el modo de infraestructura el SSID se establece configurndolo en el punto de acceso (AP) y en el modo ad hoc, Es fijado por la estacin (STA) la cual es la que crea la red. El SSID se transmite en beacon frames, unas 10 veces por segundo por el AP. El SSID es tambin anunciado por el cliente cuando se conecta a una red inalmbrica. Estas caractersticas bsicas son usadas por los sniffers inalmbricos para identificar los nombres de red y reunir otra informacin interesante.
Modo infraestructura
En el modo de infraestructura, hay al menos un punto de acceso y una estacin que juntos forman un basic Service Set (BSS) Conjunto de servicio bsico. El AP por lo general est conectado a una red cableada que se llama un sistema de distribucin (DS). Un Extended Service Set (ESS) es un conjunto de dos o ms puntos de acceso inalmbricos conectados con el mismo cable. Certified Offensive and Defensive SecurityProfessional -CODSP Training
Red Ad hoc
Una red ad hoc (tambin llamado un conjunto de servicios bsicos independientes - IBSS) se compone de al menos 2 STAs comunicndose sin un punto de acceso. Este modo tambin se denomina " modo punto a punto." Una de las estaciones tiene algunas de las responsabilidades de un punto de acceso, tales como: Beaconing Autenticacin de nuevos clientes que se unan a la red En el modo Adhoc el STA no retransmite paquetes a otros nodos como un AP.
Mtodos de autenticacin y algoritmos de cifrado de redes inalmbricas La mayora de las redes inalmbricas utilizan algn tipo de configuracin de seguridad. Estas configuraciones de seguridad definen la autentificacin (el modo en que el dispositivo en s se identifica en la red) y la encripcin (el modo en que los datos se cifran a medida que se envan por la red). Si no especifca correctamente estas opciones cuando est configurando su dispositivo inalmbrico , no podr conectar con la red inalmbrica. Por lo tanto, debe emplearse cuidado cuando se configuren estas opciones. Consulte la siguiente informacin para ver los mtodos de autentificacin y encripcin que admite su dispositivo inalmbrico
Mtodos de autentificacin Certified Offensive and Defensive SecurityProfessional -CODSP Training
Sistema abierto Se permite el acceso a la red a dispositivos inalmbricos sin ninguna autentificacin. Clave compartida Todos los dispositivos que acceden a la red inalmbrica comparten una clave predeterminada secreta. WPA-PSK/WPA2-PSK Activa una clave precompartida de acceso protegido Wi-Fi (WPA PSK/WPA2-PSK), que permite a l cliente inalmbrico asociarse con puntos de acceso utilizando el cifrado TKIP para WPA o AES para WPA-PSK y WPA2-PSK (WPA-Personal). Mtodos de cifrado El cifrado se utiliza para asegurar los datos que se envan por la red inalmbrica, tipos de cifrado Ninguna No se utiliza ningn mtodo de cifrado. WEP Al utilizar WEP (Privacidad equivalente a cableado), los datos se transmiten y se reciben con una clave segura. TKIP TKIP (Protocolo de integridad de clave temporal) proporciona una clave por paquete que mezcla una comprobacin de integridad de mensajes y un mecanismo que vuelve a crear claves. AES AES (Advanced Encryption Standard) es un potente estndar de encriptacin autorizado por Wi-Fi. Clave de red Existen algunas reglas para cada mtodo de seguridad: Sistema abierto/Clave compartida con WEP Esta clave consiste en un valor de 64 bits o 128 bits que debe introducirse en formato ASCII o HEXADECIMAL. Certified Offensive and Defensive SecurityProfessional -CODSP Training
ASCII de 64 (40) bits: Utiliza 5 caracteres de texto: por ej., WLLAN (distingue entre maysculas y minsculas). Hexadecimal de 64 (40) bits: Utiliza 10 dgitos de datos hexadecimales: por ej., 71f2234aba. ASCII de 128 (104) bits: Utiliza 13 caracteres de texto: por ej., Wirelesscomms (distingue entre maysculas y minsculas). Hexadecimal de 128 (104) bits: Utiliza 26 dgitos de datos hexadecimales: por ej., 71f2234ab56cd709e5412aa2ba.
WPA-PSK/WPA2 PSK y TKIP o AES Utiliza una clave precompartida (PSK) que tiene ms de 7 caracteres y menos de 64 caracteres de longitud. Actualmente existen tres tipos de cifrado de red inalmbrica: Acceso protegido Wi-Fi (WPA y WPA2), Privacidad equivalente por cable (WEP) y 802.1x. Los dos primeros se describen ms detalladamente en las secciones siguientes. El cifrado 802.1x se usa normalmente para redes empresariales y no se tratar aqu. Acceso protegido Wi-Fi (WPA y WPA2) WPA y WPA2 requieren que los usuarios proporcionen una clave de seguridad para conectarse. Una vez que se ha validado la clave, se cifran todos los datos intercambiados entre el equipo o dispositivo y el punto de acceso. Existen dos tipos de autenticacin WPA: WPA y WPA2. Si es posible, use WPA2 porque es el ms seguro. Prcticamente todos los adaptadores inalmbricos nuevos son compatibles con WPA y WPA2, pero otros ms antiguos no. En WPA-Personal y WPA2-Personal, cada usuario recibe la misma frase de contrasea. ste es el modo recomendado para las redes domsticas. WPA-Enterprise y WPA2-Enterprise se han diseado para su uso con un servidor de autenticacin 802.1x, que distribuye claves diferentes a cada usuario. Esto modo se usa principalmente en redes de trabajo.
Privacidad equivalente por cable (WEP) Certified Offensive and Defensive SecurityProfessional -CODSP Training
WEP es un mtodo de seguridad de red antiguo que todava est disponible para dispositivos antiguos, pero que ya no se recomienda usar. Cuando se habilita WEP, se configura una clave de seguridad de red. Esta clave cifra la informacin que un equipo enva a otro a travs de la red. Sin embargo, la seguridad WEP es relativamente fcil de vulnerar. Hay dos tipos de WEP: La autenticacin de sistema abierto y la autenticacin de clave compartida. Ninguna de las dos es muy segura, pero la autenticacin de clave compartida es la menos segura. Para la mayora de equipos inalmbricos y puntos de acceso inalmbricos, la clave de autenticacin de clave compartida es la misma que la clave de cifrado WEP esttica; es decir, la clave se usa para proteger la red. Un usuario malintencionado que capture los mensajes para una autenticacin de clave compartida satisfactoria puede usar herramientas de anlisis para determinar la autenticacin de clave compartida y, a continuacin, determinar la clave de cifrado WEP esttica. Tras determinar la clave de cifrado WEP, el usuario malintencionado tendr acceso total a la red. Por este motivo, esta versin de Windows no admite la configuracin automtica de una red mediante la autenticacin de clave compartida WEP. Nota: No es recomendable usar Privacidad equivalente por cable (WEP) como el mtodo de seguridad inalmbrica. Acceso protegido Wi-Fi (WPA o WPA2) es ms seguro. Si prueba WPA o WPA2 y no funcionan, se recomienda actualizar el adaptador de red a uno que sea compatible con WPA o WPA2. Todos los dispositivos de red, los equipos, los enrutadores y los puntos de acceso tambin deben admitir WPA o WPA2.
Modulo 2:Amenazas y vulnerabilidades de una red inalmbrica:
Ataque de falsa autenticacin. Asociacin al dispositivo Access Point Falso Rogue AP Denegacin de servicio DOS Ataques de des-autenticacin Captura e interceptacin de trafico Ataques de hombre en el medio Cracking de algoritmos de encripcin Mediante captura de paquetes Ataque por diccionario
ATAQUE DE FALSA AUTENTICACIN ste tipo de ataque funciona tanto para WEP sistema abierto (open system)como para WEP clave compartida (SKA sharek Key Authentication) Aunque no es estrictamente necesario es recomendable empezar cada tipo de ataque con un anterior ataque de falsa autenticacin para tener comunicacin ms fluida con el AP. Iniciaremos poniendo nuestra tarjeta en modo monitor Certified Offensive and Defensive SecurityProfessional -CODSP Training
airmon-ng start wlan5 , si sabemos el canal de la vctima lo podemos incluir de una vez airmon-ng start wlan5 10 Donde 10 es el nmero del canal por donde transmite el AP a atacar
La tarjeta queda en modo monitor usando la interfaz virtual mon0 airodump-ng -c 10 --bssid 00:26:44:B1:DF:65 -w wep1 mon0 se especfca c canal w guarder a archive con el nombre wep1 y mon0 ser la interfaz que sniffear
Nos autenticamos para poder enviar paquetes al AP, si no estamos autenticados el AP rechazar nuestro trfico aireplay-ng -1 0 -e DSTEAMSEGURIDAD.COM -a 00:26:44:B1:DF:65 -h A0-F3-C1-23-5D-43 mon0 siendo -1 el tipo de ataque fakeauth e el essid a la MaC del AP h nuestra propia MAC y mon0 la interfaz con la cual se atacar Certified Offensive and Defensive SecurityProfessional -CODSP Training
Podemos ver en la salida de pantalla que la asociacin fue exitosa En la pantalla que tenamos corriendo de airodump-ng podemos ver nuestra MAC como conectada al AP en la columna STATION.
Si en algn caso el ataque no tiene xito puede haber una restriccin de direcciones MAC en el AP. En ste caso se sniffea primero el AP, se observa que cliente tiene conectados y se hace spoofing de la direccin MAC de uno de los clientes para lograr una conexin exitosa.
ACCESS POINT FALSO ROGUE ACCESS POINT Un access point falso o ROGUE AP es un access point no autorizado conectado a la red autorizada. Tpicamente, este punto de acceso se puede utilizar como una puerta trasera (backdoor) por un atacante, lo cual le permitir eludir todos los controles de seguridad de la red. Esto significara que el cortafuegos, los sistemas de prevencin de intrusos, y as sucesivamente, que custodian la frontera de una red no podran hacer mucho para impedir que el atacante acceda a la red.
En el caso ms comn, un access point falso se configurar con modo de autenticacin abierta y sin cifrado. El Access point falso se puede crear de dos formas: 1. Instalacin de un dispositivo fsico real en la red autorizada como access point falso.sta forma ms que tratarse de seguridad inalmbrica, tiene que ver con la violacin de la seguridad fsica de las instalaciones donde se encuentra la red autorizada. Certified Offensive and Defensive SecurityProfessional -CODSP Training
2. Creacin de un access point falso en software y puentearlo con la red local Ethernet (cableada)autorizada. Esto permitir que prcticamente cualquier ordenador porttil de la red autorizada pueda funcionar como Access point falso. Veremos esto en el siguiente laboratorio:
CREACIN DEL ACCESS POINT FALSO MEDIANTE SOFTWARE Siga estas instrucciones para comenzar: Antes de iniciar Cualquier ataque Se verificar mediante el comando ifconfig -a las interfaces de red detectadas por el sistema, wlan0 ser la interna del porttil y wlan1 la USB que tenemos para inyectar, en ste caso es wlan5
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Se verifica si est encendida o apagada con el comando iwconfig wlan5
Certified Offensive and Defensive SecurityProfessional -CODSP Training
En caso de estar apagada se digita iwconfig wlan5 txpower auto y luego verificamos nuevamente que haya encendido con con iwconfig wlan5 , ahora el campo de txpower es igual a 20 que es la potencia de la seal del ainterfaz inalmbrica
Se pone la tarjeta en modo monitor con el comando: airmon-ng start wlan5 all vemos que se activa como una nueva interfaz del sistema mon0
Lo podemos verificar tambin con ifconfig -a:
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Ahora vamos a cambiar la mac de la tarjeta de red antes de realizar cualquier ataque, esto con el fin de evitar dejar cualquier rastro de nuestra MAC real, para hacerlo digitamos lo siguiente: ifconfig mon0 down para desactivar la interfaz creada mon0
Digitamos el comando macchanger -m 00:11:22:33:44:55 mon0 , con esto se cambia la mac real por una falsa
Se activa nuevamente la interfaz con ifconfig mon0 up
Ya estamos listos para realizar los diversos tipos de ataques
Certified Offensive and Defensive SecurityProfessional -CODSP Training
1. Primero vamos a configurar nuestro Access point falso usando airbase-ng y darle el ESSID Rogue: airbase-ng --essid Rogue -c 11 mon0
Si conectamos algn cliente inalmbrico al rogue AP aparecer en pantalla de sta manera y mostrando la palabra unencrypted ya que no proporcionamos opcin de contrasea al rogue AP cuando lo iniciamos:
2. Ahora queremos crear un puente entre la interfaz Ethernet que hace parte de la red autorizada y nuestra interfaz de Access point falso. Para ello, en primer lugar crearemos una interfaz de puente y la nombraremos de W ifi-Bridge: brctl addbr Wifi-Bridge
3. A continuacin, se aade tanto la interfaz Ethernet y la interfaz virtual at0 creada por airbase-ng a este puente: brctl addif Wifi-Bridge eth0 brctl addif Wifi-Bridge at0
4. Luego activaremos stas interfaces para subir el puente: Certified Offensive and Defensive SecurityProfessional -CODSP Training
ifconfig eth0 0.0.0.0 up ifconfig at0 0.0.0.0 up
5. Ahora habilitaremos el redireccionamiento IP en el kernel para asegurar que los paquetes estn siendo redireccionados: echo 1 > /proc/sys/net/ipv4/ip_forward
6. le proporcionamos una ip al puente que creamos y los activamos ifconfig Wifi-Bridge 192.168.1.53 up
7. Ahora cualquier cliente inalmbrico que se conecte a nuestro Access point falso tendr acceso completo a la red autorizada usando el "Wifi-Bridge" puente inalmbrico- a-cable que acabamos de construir. Podemos comprobar esto conectando un cliente al Access point falso.
En pantalla vemos que se ha conectado un cliente y podemos visualizar su MAC
Aparece en modo unencrypted por que no le proporcionamos contrasea
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Una vez conectado, si est usando Windows 7, la pantalla podra ser como la siguiente:
7. Nos daremos cuenta de que recibe una direccin IP desde el demonio DHCP que corre en la LAN autorizada:
Certified Offensive and Defensive SecurityProfessional -CODSP Training
8. Ahora podemos acceder a cualquier host de la red cableada desde ste cliente inalmbrico mediante este Access point falso. A continuacin podemos hacer ping a la puerta de enlace de la red cableada:
Qu logramos? Hemos creado un punto de acceso falso y lo hemos usado para puentear todo el trfico de la LAN autorizada de travs de la red inalmbrica. Como se puede ver, se trata de una amenaza muy seria a la seguridad por que cualquiera puede ingresar a la red cableada usando ste puente.
Ataques de denegacin de servicio (DoS Denial Of Service attacks)g Las redes inalmbricas son propensas a los ataques de denegacin de servicio (DoS) que usando diversas tcnicas, incluyendo pero no limitndose a: De-Authentication attack Dis-Association attack CTS-RTS attack Signal interference or spectrum jamming attack En el mbito de ste taller, vamos a discutir los ataques de Des-autenticacin en la infraestructura LAN inalmbrica mediante la siguiente prctica:
Certified Offensive and Defensive SecurityProfessional -CODSP Training
1. Vamos a configurar el Access point para usar la autenticacin WPA2:
2. Vamos a conectar un cliente Windows al punto de acceso. Podremos ver la conexin en la pantalla de airodump-ng, en la columna STATION aparece la MAC del cliente: Si se ha hecho algn ataque antes desactivar el modo monitor y volverlo a iniciar digitar : airmon-ng stop wlan5 ahora nuevamanete activar el modo monitor airmon-ng start wlan5
Luego airmon-ng stop mon0 y airmon-ng stop mon1 , al verificar con airmon-ng ya no aparecen interfaces mon activadas
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Activamos nuevamente el modo monitor airmon-ng start wlan5
Usamos airodum-ng mon0 para detectar el cliente vctima al cual le vamos a lanzar el ataque de des-autenticacin , necesitamos el bssid del AP al igual que el canal y la MAC del cliente
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Hemos detectado que la MAC del cliente que queremos atacar es: F0:E7:7E:81:78:8A el ESSID del AP al que est conectado es DSTEAMSEGURIDAD.COM el BSSID de dicho AP es 00:26:44:B1:DF:65 y est trasmitiendo en el canal 6, con stos datos podemos armar nuestro ataque , primero corremos nuevamente airodump en el canal 6 3. Ahora en la mquina atacante, corramos un ataque de Des-Autenticacin dirigido en contra del cliente: airodump-ng -c 6 mon0 as nos muestra datos solamente del canal 6 y prepara la interfaz mon0 para el ataque a ese canal.
aireplay-ng --deauth 20 -a 00:26:44:B1:DF:65 -h 00:26:44:B1:DF:65 -c F0:E7:7E:81:78:8A mon0 Certified Offensive and Defensive SecurityProfessional -CODSP Training
Aunque es posible que el equipo todava se muestre en la pantalla de airodump si verificamos la conexin fsicamente en el mismo podemos ver que pierde totalmente la conexin al AP an usando cifrado WPA y WPA2, el parmetro 20 que proporcionamos es el nmero de paquetes a enviar, si se usa el nmero 0 el ataque sigue indefinidamente causando una negacin de servicio, si no se especifca la MAC del cliente con la opcin c , la negacin de servicio afecta a todas las estaciones lo cual inutilizara la red inalmbrica
5. Si se usa Wireshark para ver el trfico, notaremos un montn de paquetes de Des- Autenticacion que hemos enviado en el aire a travs de la interfaz mon0:, la victima era un celular Samsung conectado a la red inalmbrica pero el ataque aplica a cualquier tipo dedispositivo.
Certified Offensive and Defensive SecurityProfessional -CODSP Training
6. Podemos hacer el mismo ataque enviando un paquete Broadcast de De-Authentication en nombre del punto de acceso a toda la red inalmbrica. Esto tendr el efecto de desconectar todos los clientes conectados:
Hemos enviado con xito los marcos de Des-autenticacin tanto para el Access point como para el cliente. Este ha resultado la desconexin y una prdida completa de comunicacin entre ellos, para ste tipo de ataque no necesitamos en ningn momento tener la contrasea de la red para autenticarnos. Tambin hemos enviado paquetes Broadcast de Des-autenticacin, que se asegurarn de que ningn cliente en los alrededores se pueda conectar correctamente al access point. Es importante tener en cuenta que tan pronto como el cliente se desconecta ste tratar de conectarse de nuevo al access point, y por lo tanto el ataque de Des-autenticacin tiene que ser llevado a cabo de manera sostenida para tener un efecto completo de negacin de servicio. Este es uno de los ataques ms fciles de llevar a cabo, pero tiene el efecto ms devastador. ste podra ser utilizado fcilmente en el mundo real para hacer inutilizable una red inalmbrica.
Evil Twin (gemelo malvado) y el MAC spoofing del access point
Uno de los ataques ms potentes en infraestructuras WLAN es el gemelo malvado. La idea es bsicamente introducir un access point controlado por el atacante en las proximidades de la Certified Offensive and Defensive SecurityProfessional -CODSP Training
red WLAN. ste access point anuncia exactamente el mismo SSID que la red autorizada WLAN. Muchos usuarios mviles pueden conectarse accidentalmente a este punto de acceso malicioso pensando que es parte de la red autorizada. Una vez establecida la conexin, el atacante puede orquestar un ataque de hombre en el medio y redireccionar el trfico de forma transparente mientras escucha todas las comunicacines. Vamos a ver cmo un ataque de hombre en el medio se hace en un captulo posterior. En el mundo real, el ataque ideal sera llevado a cabo cerca de la red autorizada, por lo que el usuario se confunde y accidentalmente se conecta a su red. Un gemelo malvado que tiene la misma direccin MAC de un punto de acceso autorizado es an ms difcil de detectar y evadir. Aqu es donde el MAC spoofing del access point viene! En la siguiente prctica vamos a ver cmo crear un gemelo malvado, junto con el MAC spoofing del Access point.
1. Use airodump-ng para localizar el BSSID y el ESSID del Access point que nos gustara emular en el gemelo malvado digitando airodump-ng mon0
Emularemos el BSSID 00:26:44:B1:DF:65 SSID DSTEAMSEGURIDAD.COM 2. Conectamos un cliente inalmbrico a ste access point, pueden usar el celular Certified Offensive and Defensive SecurityProfessional -CODSP Training
Localicen la MAC del equipo que conectaron, esa va a ser la vctima, en ste caso F0:E7:7E:81:78:8A 3. Con sta informacin, se crea un nuevo access point con el mismo ESSID, y BSSID que es igual a la MAC usando el comando airbase-ng: airbase-ng -a 00:26:44:B1:DF:65 --essid DSTEAMSEGURIDAD.COM -c 6 mon0 -a para BSSID a impersonar, -c para el canal
4. Este nuevo punto de acceso creado no aparece en la pantalla de airodump-ng, lo nico extrao es que parace cambiar constantemente de canal: Certified Offensive and Defensive SecurityProfessional -CODSP Training
5. Ahora enviamos un marco de Des-autenticacin al cliente, para desconectarlo, ste intentar conectarse de nuevo inmediatamente: aireplay-ng --deauth 0 -a 00:26:44:B1:DF:65 -h 00:26:44:B1:DF:65 -c F0:E7:7E:81:78:8A mon0 Si les aparece un error de channel abran otra ventana de terminal y ejecuten airodump-ng -c 6 mon0 Siendo 6 el canal que van a atacar.
Certified Offensive and Defensive SecurityProfessional -CODSP Training
6. Como estamos ms cerca de ste cliente, nuestra potencia de la seal es mayor,entonces el cliente se conecta al access point gemelo malvado como se muestra en la siguientes pantalla:
8. Ahora bien, si vemos a travs de airodump-ng es imposible diferenciar los dos AP, el real y el falso visualmente visualmente esta es la forma ms potente del gemelo malvado. Certified Offensive and Defensive SecurityProfessional -CODSP Training
Qu hemos logrado?
Hemos creado un gemelo malvado para la red autorizada y usado un ataque de Des- autenticacin para que el cliente legtimo se conecte de nuevo a nosotros, en lugar de al access point de la red autorizada. Es importante tener en cuenta que en el caso de que el access point autorizado use cifrado como WEP / WPA, podra ser ms difcil llevar a cabo un ataque en el que escuchar el trfico pueda ser posible.
ATAQUE MAN IN THE MIDDLE En criptografa, un ataque man-in-the-middle (MitM o ataque de hombre en el medio, en espaol) es un ataque en el que el enemigo adquiere la capacidad de interceptar el trfico de red que no est dirigido hacia l leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos vctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie- Hellman, cuando ste se emplea sin autenticacin.
Certified Offensive and Defensive SecurityProfessional -CODSP Training
ste ataque permite capturar credenciales de autenticacin como usuario y contrasea si la conexin no viaja cifrada sobre SSL y tambin puede capturar el trfico SSL si se usa en conjunto con otro ataque por ejemplo con la herramienta SSLSTRIP Luego de que se crackea una red inalmbrica, uno de los ataques posteriores que se puede hacer es el ataque de hombre en el medio. Luego de obtenida la contrasea de la red inalmbrica podemos proceder a conectarnos de manera tradicional usando el wicd network manager para abrirlo se va a Applications Internet Wicd network manager , se selecciona la red que se ha crackeado, se le da click al botn propiedades y se digita la contrasea obtenida mediante el ataque, aqu ya nos encontramos conectados
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Ahora vamos a efectuar el ataque de hombre en el medio con ayuda de la herramienta ettercap digitando esto: ettercap -T -q -i wlan0 -w dump -M ARP /192.168.1.68/ /192.168.1.254/
ATAQUE POR DICCIONARIO Un ataque de diccionario es un mtodo de cracking que consiste en intentar averiguar una contrasea probando todas las palabras de un diccionario que se tiene previamente configurado (normalmente un archivo de texto con las palabaras en cada lnea). Este tipo de ataque suele ser ms eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contrasea para que la clave sea fcil de recordar, lo cual no es una prctica recomendable. Los ataques de diccionario tienen pocas probabilidades de xito con sistemas que emplean contraseas fuertes con letras en maysculas y minsculas mezcladas con nmeros (alfanumricos) y con cualquier otro tipo de smbolos. Sin embargo, para la mayora de los usuarios recordar contraseas tan complejas resulta complicado. Existen variantes que comprueban tambin algunas de las tpicas sustituciones (determinadas letras por nmeros, intercambio de dos letras, abreviaciones), as como distintas combinaciones de maysculas y minsculas.
Modulo 3 : Atacando una Red Inalmbrica
Uso del comando iwconfig Modos de operacin de una interface de red inalmbrica (Master mode, ad-hoc, managed mode, Monitor mode) Suite de herramientas de auditoria y Pentest de redes inalmbricas: Aircrack-NG (Aireplay, Aircrack, Airodump, Airmin, entre otros) Descubrimiento de AP (Redes inalmbricas) y Sniffing de trafico Inyeccion de trafico Cracking del protocolo WEP Ataque por diccionario protocolo WPA Creando un AP falso Karmetasploit (Integracin de Karma en metasploit)
Certified Offensive and Defensive SecurityProfessional -CODSP Training
3,1 Comando iwconfig
Descripcin: Este comando nos sirve para conocer y configurar una interfaz de red inalmbrica, a continuacin una explicacin de su utilizacin.
Iwconfig Este comando sin parametros nos muestra las interfaces de red inalmbricas que hay en nuestro equipo.
Iwconfig <interface> Pasando como parmetro la interfaz nos muestra las caractersticas de esta.
iwconfig <interface> channel <canal> Con estas opciones podemos escoger el canal para nuestra tarjeta iwconfig ath0 channel 6
iwconfig <interface> essid <essid> key <miclave> Para asociarnos a una red por su essid
3,2 Modos de Operacin de una Interfaz de Red Inalmbrica
mode monitor: iwconfig ath0 mode monitor El modo monitor es cuando ponemos nuestra interfaz de red en modo promiscuo o de escucha para ver todo lo que pasa por debajo de una comunicacn.
El modo monitor es de suma importancia ya que es por medio de este, que podemos escuchar los paquetes de la(s) redes a auditar.
mode managed: iwconfig ath0 mode managed Este modo es el modo por default de la interfaz inalmbrica, la cual permite asociarnos e interactuar con una red inalmbrica.
mode ad-hoc: iwconfig ath0 mode ad-hoc Se utiliza para crear una red inalmbrica sin la necesidad de tener un punto de acceso en la red. es til para conectar dos o ms ordenadores entre s.
3,2 Suite Aircrack-NG
Aircrack-NG es un conjunto de herramientas para auditar la seguridad de una red inalmbrica y esta compuesta por:
Certified Offensive and Defensive SecurityProfessional -CODSP Training
nos centraremos en 4 herramientas de esta suite especialmente que son : Airmon, Airodump, Aircrack y Aireplay, con estas 3 herramientas podemos Romper, monitorear e inyectar en nuestra red o redes a auditar .
Colocando en modo Monitor Airmon-ng
Esta herramienta nos facilita la puesta en modo monitor de nuestra tarjeta de red para escuchar el trafico de la red o redes que esten a nuestro alcance.
Sintaxis : Airmon-ng start <interface> Certified Offensive and Defensive SecurityProfessional -CODSP Training
Para deterner el modo monitor utilizamos : Sintaxis : Airmon-ng stop <interface>
Airodump-ng
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Con esta herramienta podemos escuchar sobre el estado monitor de nuestra interfaz , permitiendonos guardar la session de nuestro monitoreo para posteriormente analizar y obtener la clave.
nosotros para guardar la session de la red a auditar utilizaremos las siguiente opciones -w : nos permite redireccionar a un archivo la captura --bssid : Indicamos la BSSID a realizar el monitoreo -c : indicamos el canal donde se encuentra la red mon0 : nuestra interfaz en modo monitor
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Descubrimiento de AP (Redes inalmbricas) y Sniffing de Trafico
Para el descubrimiento de AP utilizaremos Airodump-ng el cual nos mostrara todas las redes inalmbricas que esten realizando Broadcast , las que estan con el ESSID oculto , nos lo mostrara en los clientes asociados a ella.
Descubrimiento de AP
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Captura de Trafico Wireshark
Certified Offensive and Defensive SecurityProfessional -CODSP Training
5 Inyeccion de trafico Cracking del protocolo WEP
5.1 Inyeccion con clientes Conectados
Para la inyeccin de trafico sobre WEP utilizaremos Aireplay-ng quien tiene varias opciones para la inyeccin permitiendonos obtener su contrasea.
Opciones Aireplay-ng
Certified Offensive and Defensive SecurityProfessional -CODSP Training
En la primera forma de inyeccin de paquetes utilizaremos Fakeauth (-1), Deauth(- 0), Arpreplay(-3) en la que utilizaremos los ARP request para retrasmitirlos e inyectar paquetes a la red.
Pasos:
5.1.1.Habilitar Modo monitor en el canal de nuestra red. Sintaxis Airmon-ng start <interface> <canal>
Certified Offensive and Defensive SecurityProfessional -CODSP Training
5.1.2.Escuchar Trafico en la interfaz creada en modo monitor (mon0) Sintaxis: airodump-ng <interfaz> -c <canal> -w <FileGuardaCaptura> --bssid <BSSID>
5.1.3.En una nueva terminal utilizaremos Aireplay-ng con la opcion --arpreplay(-3) Certified Offensive and Defensive SecurityProfessional -CODSP Training
sintaxis: aireplay-ng -3 -b <BSSID> mon0
De esta forma espera las peticiones ARP y las reenvia haciendo de esta forma posible la inyeccin
5.1.4.En otra Terminal ejecutaremos con Aireplay-ng con la opcin Fakeauth(-1) para asociarnos con el dispositivo.
Sintaxis: aireplay-ng -1 <delay> -a <BSSID> mon0
Como vemos nos respone Association Successful y ahora en la parte de abajo de la ventana del airodump-ng nos muestra la asociacin realizada. Certified Offensive and Defensive SecurityProfessional -CODSP Training
Tenemos un cliente verdadero con la MAC F0:E7:7E:81:78:8A y tenemos la asociacin falsa con nuestra mac de la tarjeta inalmbrica 00:1F:3A:3A:7D:FD
Ahora en la otra ventana con aireplay utilizamos la opcion deauth(-0) para realizar la desconexin de los clientes y generar las respuestas ARP y sea posible la inyeccin.
Sintaxis : aireplay-ng -0 0 -a 00:26:5A:1F:88:FA mon0
Certified Offensive and Defensive SecurityProfessional -CODSP Training
esto manda una peticion broadcast con la opcion deauth , osea va desconectar las asociaciones que estan sobre el AP y cuando estos hagan una reconexin tendremos la inyeccin exitosa.
Sabemos que la inyeccin es exitosa cuando en el campo data vemos rpidamente aumentar los paquetes.
Despues de esto abrimos un una nueva terminal aircrack-ng en donde le especificamos el archivo donde capturamos todo el trafico de esta session para obtener el la contrasea para autenticarnos con el AP.
5.1.5.Ejecutamos aircrack-ng <file.cap> para obtener de la captura la clave para conectarnos al AP Certified Offensive and Defensive SecurityProfessional -CODSP Training
5.2 Inyeccion via cliente
En esta ocuacin nos aprovecharemos de los paquetes enviados por los clientes asociados y reenviaremos dichos paquetes para generar el la inyeccin.
Realizamos los mismos procedimientos anteriores
-Poner en modo monitor la interfaz de red inalmbrica -Escuchar el trafico de nuestra red a auditar -Realizamos la asociacion con el AP
Certified Offensive and Defensive SecurityProfessional -CODSP Training
luego de estos paso usamos aireplay con las opciones siguientes.
aireplay-ng -2 -b 00:26:44:B2:04:F9 -d FF:FF:FF:FF:FF:FF -f 1 -m 68 mon0 Certified Offensive and Defensive SecurityProfessional -CODSP Training
Despues de escoger varios paquetes con el filtro indicado los DATA empiezan aumentar en la ventana del airodump.
Depues de haber inyectado correctamente procedemos a decifrar la clave con aircrack-ng. Certified Offensive and Defensive SecurityProfessional -CODSP Training
6.WPA Cracking Certified Offensive and Defensive SecurityProfessional -CODSP Training
Para obtener la clave de una red WPA el procedimiento al comienzo es el mismo que los anteriores, debemos poner en modo monitor y escuchar sobre dicha interfaz.
Lo siguiente a realizar al tener ya un cliente conectado procedemos a realizar con aireplay con la opcion --deauth (-0) y cuando el cliente se asocie de nuevo tendremos el handshake que es donde esta nuestra clave pero cifrada. Certified Offensive and Defensive SecurityProfessional -CODSP Training
Despues de realizar la autenticacin del cliente obtendremos un mensaje en la parte superior derecha que hemos capturado el handshake
Para sacar el texto en claro del handshake tendremos que utilizar un ataque de diccionario que pruebe las posibles claves de la red, para esta tarea crearemos un Certified Offensive and Defensive SecurityProfessional -CODSP Training
diccionario y lo pasaremos a aircrack-ng para que pruebe hasta encontrar la clave correcta si existe en el diccionario.
Sintaxis: Aircrak-ng -w <file.cap>
Modulo 4:Hardening (Aseguramiento) de una red inalmbrica:
Utilizar algoritmos de cifrado seguros Deshabilitar SSID broadcast Actualizacin de Firmware de AP Contraseas seguras de AP Controlando el espectro de la seal inalmbrica
Utilizar algoritmos de cifrado seguros
Las redes inalmbricas son cada vez ms potentes y su radio de accin mayor. Eso garantiza cobertura en toda tu casa. Pero tambin en la de tus vecinos o incluso en la calle.
Conectar el Wi-Fi
Certified Offensive and Defensive SecurityProfessional -CODSP Training
Sin proteccin, esos vecinos o cualquiera que est dentro del alcance de tu red inalmbrica puede "parasitar" tu Wi-Fi. Quiz no entren en tu PC ni roben tus datos pero harn ms lenta tu conexin a Internet. A ellos, se la estars pagando t. Robo de tus datos personales o confidenciales Una red Wi-Fi sin proteccin es una presa fcil incluso para un hacker aficionado, que podr acceder a tu computadora y hacer lo que quiera con ella.
Si las comunicaciones inalmbricas no estn protegidas, todos los datos almacenados en tu PC quedan expuestos. Tambin los datos de tarjetas o cuentas bancarias que uses en Internet. Es mejor el WEP o el WPA? La respuesta corta para quien tenga prisa: es MUCHO ms seguro el WPA, sobre todo el WPA2 con cifrado AES.
Si quieres saber ms detalles sigue leyendo. Al configurar tu red Wi-Fi usa WPA2-Personal con cifrado AES. Define una contrasea Wi-Fi fuerte. Por fuerte quiero decir en concreto que:
-Tenga al menos 15 caracteres.
-Combine letras maysculas y minsculas, nmeros y caracteres especiales ($, #, @, etc.).
-No incluya NINGUNA informacin personal, como nombres, fechas de cumpleaos o aniversarios o el nombre de tu mascota.
-No contenga palabras completas en ningn idioma, por raras que sean.
-No sea obvia. Claves como "qwerty", "1234" o "contrasea" no son originales ni seguras, son contraseas de diccionario lo que significa que fcilmente se pueden encontrar en archivos que ests distribuidos en Internet y los cuales usan los atacantes para romper los mtodos de autenticacin. Y despus de hacer todo eso cambia tu contrasea Wi-Fi cada cierto tiempo siguiendo las mismas recomendaciones. Ninguna clave es segura eternamente. PREPARANDO EL LABORATORIO Configurando el Access point Generalmente existen dos maneras de interactuar con el router para configurarlo y modificarle opciones Certified Offensive and Defensive SecurityProfessional -CODSP Training
- Telnet - Via web
Usaremos el acceso via web para configurarlo con los requerimientos necesarios para llevar a cabo la prctica del laboratorio.
Crackeando WEP, 6.1 WEP Cracking 6.1.1 Introduccin Este mdulo le guiar a travs de un escenario muy sencilla con el fin de romper una clave WEP. La intencin es desarrollar sus habilidades bsicas y conseguir que se familiarice con los conceptos. La prtica supone que usted cuenta con los controladores de tarjeta de red inalmbrica ya parcheados para inyeccin.
6.1.2 Supuestos Este ejercicio asume que est fsicamente suficientemente cerca para enviar y recibir paquetes del AP. Recuerde que slo porque usted puede recibir paquetes del punto de acceso no significa necesariamente que usted ser capaz de transmitir paquetes al mismo. La potencia de transmisin de la tarjeta inalmbrica es tpicamente menor que la del AP. Usted tiene que estar fsicamente lo suficientemente cerca como para que sus paquetes sean transmitidos y sean recibidos por el AP.
6.1.3 Equipo utilizado Los detalles de nuestros jugadores: direccin MAC del PC que ejecuta Suite Aircrack-ng: 00:0 F: B5: 88: AC: 82 BSSID (direccin MAC del AP): 00:14:6 C: 7E: 40:80 ESSID (nombre de red inalmbrica): peluche Acceso canal del punto: 9 Interfaz inalmbrica: ath0 Usted debe obtener la informacin equivalente para la red a la que va a trabajar y entonces cambiar los valores en los ejemplos siguientes para su red especfica.
6.1.4.1 Descripcin de la prctica Certified Offensive and Defensive SecurityProfessional -CODSP Training
Para obtener la clave WEP de un Access point, necesitamos reunir una gran cantidad de vectores de inicializacin(IVs). El trfico de red normal no suele generar estos IVs en un plazo razonable de tiempo. Para nuestra ayuda viene la "inyeccin de trfico inalmbrico" tcnica - que acelera el proceso de la generacin y captura de IVs. Inyeccin implica forzar al AP a que enve y reenve los paquetes seleccionados una y otra vez rpidamente. Esto nos permite capturar un gran nmero de IVs en un corto perodo de tiempo. Una vez que hemos capturado un gran nmero de IVs, stos se puedes usar para determinar la clave WEP.
Estos son los pasos bsicos a seguir: 1. Colocar la tarjeta inalmbrica en modo monitor en el canal del AP especfico 2. Iniciar airodump-ng en el canal de AP con un filtro BSSID para recoger los nuevos IVs nicos 3. Usar aireplay-ng para fingir la autenticacin con el AP. 4. Iniciar aireplay-ng en el modo de ARP request replay para inyectar paquetes . 5. Ejecutar Aircrack-ng para crackear la clave usando los IVs capturados.
Crackeando WPA ataque por diccionario Es necesario poner la tarjeta en modo monitor Se debe capturar el handshake de 4 vas, para esto es necesario esperar a que un cliente se conecte autenticndose en al AP. Intentar forzar la reautenticacin usando el ataque de des-autenticacin. Se debe tener en cuenta que las contraseas WPA y WPA2 son de longitud 8 a 63 caracteres. Teniendo el archivo .cap con el handshake capturado se usa aircrack-ng con la opcin w y especificando el diccionario preparado con las contraseas a probar, tambin se puede usar cowpatty tambin por lnea de comando, si la contrasea est en el archivo usado como diccionario se crackear con xito la WPA e imprimir en pantalla la contrasea. Si se han capturado paquetes en modo monitor sin haberse autenticado en la red, luego de obtener la contrasea se puede usar airdecap en el archivo .cap y luego se abre con wireshark y se puede observar todo el trfico descifrado. Acelerando el proceso de cracking Hardware CUDA , amazon EC2 en la nube software pyrit Certified Offensive and Defensive SecurityProfessional -CODSP Training
Se pueden usar tablas precomputadas pero dichas tablas deben tener el mismo SSID a crackear ya que la contrasea cuando se genera depende del SSID
Modulo 4:Hardening (Aseguramiento) de una red inalmbrica:
1) Cambie las contraseas por defecto, de preferencia a una contrasea segura (por lo menos 8 caracteres incluyen las maysculas / minsculas, nmeros, caracteres especiales). Muchos de estos dispositivos se incluyen con la contrasea "password" o "admin" , dejar dichas contraseas por defecto es pedir a gritos que tomen control de su access point.
2) Desactive la administracin remota. La administracin de su enrutador / punto de acceso debe ser "slo local", es decir, no hay ninguna razn para que la gente de otro pas el acceso a su hardware de red. Si necesita realizar cambios, debe ser local en el dispositivo (por ejemplo, conectado fsicamente, cara interna de la red, etc.), As mismo desactive el servicio de administracin va telnet y http y habilite slo https y ssh de ser necesario
3) Actualizar el firmware. Lo creas o no, hardware de red de los consumidores tiene que ser parcheado tambin. Consulte el sitio de soporte del fabricante del dispositivo y comprueber si hay una actualizacin. Suscrbase para recibir alertas de correo electrnico para las actualizaciones, si est disponible, o comprueba peridicamente si hay actualizaciones.
4) Desactivar los servicios no utilizados. Muchos de estos dispositivos son "tienen muchas caractersticas avanzadas" y las tienen activas de forma predeterminada, aunque el 95% de los usuarios no los utilizar. A su vez de SNMP, UPnP, caractersticas "DMZ", etc SNMP, en particular, permite a alguien obtener informacin de todas las configuraciones del dispositivo, especialmente si la cadena de comunidad es "pblica" (y, por defecto, el 99% de las veces lo es) . Esto es un hecho preocupante y probablemente dar lugar a la mayor cantidad de casos de explotacin, es decir, SNMP abierto que regala todos los ajustes al mundo bajo peticin.
5) Cambie la configuracin predeterminada del dispositivo. Todos los vendedores tienden a utilizar el mismo conjunto de valores por defecto para sus dispositivos, como las direcciones IP de la red interna. Cambie esta configuracin a algo que tenga sentido para lo que usted est tratando de hacer. Certified Offensive and Defensive SecurityProfessional -CODSP Training
Configure la IP de su dispositivo en un rango y mscaras no comnes, esto dificultar en gran medida la tarea del atacante. Cambio de los valores predeterminados para los mtodos de cifrado de la red, sobre todo haciendo autenticacin WPA2 y WEP no.
6) Monitoree constantemente los logs de su dispositivo para analizar que logueos se han hecho mediante la interfaz de administracin, as mismo para ver si ha habido intentos de logueo falldos y desde que IP, hay gran nmero de botnets en Internet que acceden a los dispositivos sin que sus usuarios lo noten
7) Utilice Service Set Identifier no sugestivo (SSID) Convenciones de nomenclatura En una red inalmbrica, un SSID sirve como un nombre de red para la segmentacin de redes. Una estacin cliente debe configurarse con el SSID correcto con el fin de unirse a una red. El valor SSID se transmite en beacons, probes, requests y probes responses. Para evitar que un atacante malicioso pueda recopilar informacin de reconocimiento en una red inalmbrica por espionaje, el SSID no deben reflejar la informacin interna de la organizacin, el nombre no debe estar asociado a la empresa
8) Emplear filtrado de direcciones MAC en los puntos de acceso El filtrado de direcciones MAC pueden ser considerados la primera lnea de defensa para redes inalmbricas. Cuando el filtrado de direcciones MAC est activado, slo los dispositivos con direcciones MAC previamente aprobados pueden tener acceso a la red. Sin embargo ste mecanismo dificulta la tarea del atacante pero no es un mtodo infalible pues hay aplicativos que pueden cambiar la mac del dispositivo cliente. Los mecanismos de filtrado de direcciones MAC puede no ser factible en algunos escenarios, como la implementacin de puntos de acceso inalmbricos pblicos.
9) Limite el nmero de direcciones IP que entrega su dispositivo mediante DHCP y de ser posible deshabilite dicho servicio y configure manualmente las direcciones IP en los dispositivos que desee conectar a su red
10) Conozca su dispositivo, que funciones incorporadas tiene, que mtodos tiene para acceder a administrarlo, mantngase al da informado sobre las nuevas vulnerabiliades y exploits que Certified Offensive and Defensive SecurityProfessional -CODSP Training
publican de su dispositivo y est pendiente a los parches que se liberen para corregir dichas vulnerabilidades
11) Desactive la Gestin a travs de Wireless Se recomienda desactivar la administracin del router a travs de dispositivos inalmbricos asociados con el punto de acceso. Si alguien logra asociarse con el punto de acceso y conectarse al router, se puede cambiar la configuracin del router. Si desactiva sta gestin, slo se podr configurar el dispositivo conectndose a l por cable.
12) Apague el punto de acceso cuando no est en uso Esto tambin es aconsejable ya que minimiza el riesgo de acceso no autorizado y ahorra energa y vida til del dispositivo.
13) Configuracin del modo de red seleccione el modo inalmbrico que est en funcin de los protocolos. Las opciones posibles son. _ Disabled - Desactiva AP. _ Mixta - permite tanto 802.11b y 802.11g. _ B-Only - 8.2.11 b solamente. _ G-Only - 8.2.11 g solamente. _N-Only 8.2.11 n Si su dispositivo soporta ste modo, uselo solamente as y de sta manera minimizar en gran medida los ataques que pueden efectuarse a su red ya que muchos atacantes cuentan slo con dispositivos de ataque a los modos inferiores a N, esto no significa que no existen ataques a dispositivos N.