Back Track 5 Wireless Penetration Testing Español - 2

 

BackTrack 5 inalámbrico  Pruebas de Penetración  Guía para principiantes  

Maestro más punteras técnicas de prueba inalámbrica con   BackTrack 5 

Vivek Ramachandran  

BIRMINGHAM BI RMINGHAM - MUMBAI 

 

BackTra ck 5 prueba BackTrack pruebass de penetración inalámbrica  Guía para principiantes   Copyright © 2011 Edi Edi torial Packt 

Todo s los derechos reser reservados. vados. Ningu Ninguna na parte de e ste libro puede ser reproducid reproducida, a, almacenad almacenadaa e n un s is tem temaa de recuperació recuperación, n,  o tra ns mitida mitida en cualquier forma o por cualquier cualquier me medio dio,, sin l a previa autorización autorización por es crito de la  ed i tor, tor, exce excepto pto en e l caso de breves citas incrust incrustadas adas en artículos o reseñas.  Todo s los esfuer esfuerzos zos han s ido rrealizado ealizadoss en e n la preparac preparación ión de este l ibro para garantizar la eexactit xactitud ud de la  in formac formación ión presentad presentada. a. Sin e mbargo mbargo,, la i nformac nformación ión contenid contenidaa e n este libro se vende sin  ga ran tí tía, a, e xpresa xpresa o implícit implícita. a. Ni el a utor utor ni Pa ckt P Pub ub lis lishing, hing, y sus distr distribuido ibuidores res  y distribuidores serán responsables por cualquier daño causado o presuntamente causado directa o  in directamen directamente te por este libro.  Packt Pub l ish ishing ing ha esforzad esforzado o en p ropor roporcion cionar ar i nfor nformación mación sobre todas las marcas d e la  compa ñías y producto productoss mencionad mencionados os en e ste libr libro o p or el uso adecuado de los capitales capitales.. Sin em bargo bargo,,  Packt Pub l ish ishing ing no puede garant garantizar izar la e xactit xactitud ud de e sta informac información ión.. 

Publ icado por primera vez: Septiemb Septiembre re 201 2011 1 

Referencia de Producción: 1300811 

Publ icado por Packt Publish Publishing ing Ltd.  Lugar l ibr ibrea ea  35 Livery la calle  Bi rmingham B3 2 2PB, PB, Rein o Unido. 

ISBN 978-1-849515-58-0  www.packtpub.com 

Cover Ima ge por Asher Wishker Wishkerman man (a.wishkerman @ mpic.de)  

 

Créditos  Autor 

Coordinador del Proy Proyecto ecto  

Revisores 

Correc tor de prueba pruebass 

Vivek Ramachandran 

Danie l W. Dieter Dieterle le  Teófilo Couto 

Adquisición Editor   Tarun Singh  

Michelle Quadros  

Mario Cecere 

Indizadores  eja l Da ruwale uwale   Hemanj ini Bar Barii  

Editor de Desarrollo 

Coordinador de Producció Producción n 

Editor Técnico 

Cubierta de trabajo  

Neha Mallik 

Sakina Kaydaw Kaydawala ala 

rvindkumar Gupta 

rvindkumar Gupta 

 

Sobre el autor  Vi Vivek vek Ramachandran ha estado trabajando trabajando en Se gurid guridad ad Wi-Fi desde el año 2003. 2003. Él d escub escubrió rió el  Ataqu e Caffe La tte y también romp rompió ió encubr encubrimiento imiento WEP WEP,, un esquema esquema d e pro protecc tección ión WEP p úblicament úblicamentee e n 2007 en   De fcon. En 201 2011, 1, Vivek fue el prime primero ro e n demostr demostrar ar cómo el malwar malwaree podría util utilizar izar Wi-Fi para crear  pue rtas tr traa seras seras,, gusanos, e incluso rredes edes d e bots.  Anteri orme ormente, nte, fue un o de los p rogram rogramado adores res del p rotoco rotocolo lo 802 802.1x .1xyy se guridad de puerto puertoss de Cisco  De l a serie C Caa tal talyst yst 65 6500 00 de conmutador conmutadores es y fue también uno d e los ga nad nadore oress de la s egurid eguridad ad de Microsoft  Concurs o S hooto hootout ut celebrado en la I ndia ndia e ntr ntree una re reportad portado o 65.0 65.000 00 pa rticip rticipantes. antes. Él es mejor conocid conocido o en  la comunidad de hacker hackerss como el fundador de http://www.SecurityTube.net/donde  rutinariamente los mensajes videos en Seguridad Wi-Fi, el lenguaje ensamblador, técnicas de explotación, y por lo tanto  en . Se curity curityTube.ne Tube.nett recibe más d e 100. 100.000 000 vvii sitante sitantess únicos a l mes.  Vivekk tra bajo en s egurid Vive eguridad ad inalámbr inalámbrica ica ha s ido citado en BBC on liline, ne, InfoWorld, Ma Ma cWorld, cWorld,  El Re Registro, gistro, el Mundial de Canadá, y as í s uce ucesiv sivamente amente.. Es te año se eest stáá hablando o fo rmación rmación en una serie  de confere conferencia nciass d e seguridad, inclu incluida ida l a BlackHat, BlackHat, Defcon, H ackt acktivity ivity,, 44con, H ITB ML, Bru con,  Derbycon, HashDays, SecurityZone, SecurityByte, y así sucesivamente.  Me gu s taría dar las gracias a mi bella esposa por toda la ayuda y apoyo durante el  proce s o de escritura del libro libro,, mis p adr adres, es, a bu buelos elos y hermanos para creer  en mí y me a l entó duran durante te todos estos años, y por ú ltimo pero no meno menoss i mpo mportan rtante te que,  a grad ecer a todos los u suario suarioss de Secur SecurityTube ityTube.net .net que siempre han sido  de trás de mí y el apoyo a todo mi trabajo. Usted Ustedes es rock! 

 

Sobre el Revisor  Daniel W Dieterle D ieterle tie ne más d e 20 añ os de experien experiencia cia en el campo d e las TI. Él ha proporcion proporcionado ado div diversos ersos 

ni veles de apoyo a l os client clientes es que van d esde pequeñas empr empresas esas hasta compañías de Fo rtu rtune ne 500.  Da niel d isfruta isfruta de l a seguridad i nfor nformát mática, ica, dirige el b log de seguridad cibernét cibernética ica (http://cyberarms.   w ordpress.co ordpress.com m /) Y es un a utor utor invitado en la segurid seguridad ad https://Infosecisland.com/ .  Me gu s taría agrad agradecer ecer a mi bella esposa y los hijos de s u grac gracia ia me da  el tiempo necesario para ay ayudar udar con este libro. Sin s u sacri sacrificio, ficio, me  no ha n sido capaces de ser parte de este interesante interesante proye proyecto. cto. 

 

 www.PacktPub.com  www .PacktPub.com  Los archiv a rchivos os de so soporte, porte, libros electrónicos, ofertas de descuento, más sar w ww.P Es p osible que d esee esyeemá visit visitar ww.PacktPub.com acktPub.com pa ra l os archivos archivos de so porte porte y descargas relacion relacionadas adas con  su libro libro.. 

¿Sa bía usted que Packt ofrece version versiones es de libros electr electrónicos ónicos de ca da libr libro o p ub ublicado licado,, con PDF y e Pub  archi vos? Uste Usted d p ued uedee a ctual ctualizar izar a l a versión eBook en www.PacktPub.com y como un a impresi impresión ón  cli ente libro, usted tiene d erec erecho ho a u n descuento en la copia d e libros electrón electrónicos. icos. Póngase en contacto ccon on nos otro otross en  [email protected] pa ra más detal detalles. les.  En www.PacktPub.com, Ta mbién se p uede leer una colecc colección ión de a rtí rtículos culos libre libress d e técnicos, registrar registrarse se para obten er un unaa  s eri e de b olet oletines ines gratuitos y reci reci be descuen descuentos tos y ofertas e xclu xclusiv sivas as e n los libros de Pa ckt y l ibros electr electrónicos. ónicos. 

http://PacktLib.PacktPub.com   ¿Necesita ¿Ne cesita soluciones instan instantáneas táneas a sus preguntas de TI? PacktLib está een n línea de lib ros digit digitales ales P Paa ckt  de l a bib bibliotec lioteca. a. Aquí, usted puede acceder, leer y bus car en toda la biblioteca de libr libros os d e Packt. 

¿Por qué suscribirse?  ?  Se pue den hacer búsquedas a través de ca da libr libro o p ublicado ublicado por Packt  ?  Copi a r y pegar, imprim imprimir ir y marcar contenid contenido o  ?  En l a demanda y acce sib sible le a través d el navegador web   A  Acceso cceso gratui gratuito to para los titu titulares lares de cuentas Packt Si us ted  ttii ene un unaa cuenta en P Paa cktwww.PacktPub.com, Uste d puede usar esto para el acceso 

PacktLi b h oy y vvee r nue ve libros totalm totalmente ente gratis. Sólo tiene que utilizar sus credenciales de i nicio de sesión  el a cceso inmediato. 

 

Tabla de contenidos  Prólogo   Capítulo 1: configuración del laboratorio   de hardware  inalámbrico Los requisitos Requisitos de software  

Instalación de Back BackTrack Track 

Tiempo para la acción - la in instalación stalación de BackTrac BackTrackk  Configuración del punto punt o de acc acceso eso   Tiempo para la acción acción - la configur configuración ación del punto de acceso  La creación de la tarjeta inalámbrica  Tiempo para la acción - la configuración de la ttarjet arjetaa inalámbrica  Conexión al punto de ac acceso ceso  Tiempo para la acción - la configuración de la ttarjet arjetaa inalámbrica  Resumen 

Capítulo 2: WLAN y sus inseguridades inherentes  

Revisar los marcos WLAN   Tiempo para la acción - la creación de una interfaz de modo de monitor   Tiempo para la acción - sniffing de paquet paquetes es inalá inalámbr mbricos icos  Tiempo para la acción acción - Gest Gestión ión de los marcos de visualiza visualización, ción, contr control ol y datos  

Tiempo para la acción - sniffing de paquet paquetes es de datos de nuestra red   Tiempo para la acción - la inyección de pa paquet quetes es   Nota importante sobre WLAN inhalación y la inyección   Tiempo para la acción acción - a ex exper perimentar imentar ccon on su tarje tarjeta ta de Alfa  El papel de los dominios de regulac regulación ión de los acc accesos esos m móviles óviles  Tiempo para la acción acción - a ex exper perimentar imentar ccon on su tarje tarjeta ta de Alfa  Resumen 

Capítulo 3: Omisión Omisión de autenticación WLAN 

SSID oculto  Tiempo para la acción - el descubrimi descubrimient ento o SSID oculto  

1  7  8  8  8  9 12   12   15   16   17   18   22  

23 

24   26   29   32   36   40 42   42   45   45   49  

51 

51   52  

 

Tabla de contenidos

 

MAC filtros  Tiempo para la acción - super superando ando filtros MAC  Autentica Autent icación ción abierta  Tiempo para la acción - sin pasar por la autent autenticación icación abiert abiertaa 

57   57   60   60  

Autentica Autent icación ciónlade clave-compartida Tiempo para acción sin pasar por la autent autenticación icación compart compartida ida  Resumen 

62   63 71  

 

Capítulo 4: Defectos WLAN cifrado  

WLAN cifra cifrado do  Encriptación WEP  Tiempo para la acción acción - cracking WEP   WPA/WPA2   Tiempo para la acción - cracking WPA-PSK débil contraseña   La aceleración de WPA/W W PA/WPA2 PA2 PSK cracking  Tiempo para la acción - acelerar el proceso de craqueo  Descifrar Descif rar WEP y WPA paquete paquetess  Tiempo para la acción - descifrar WEP y WPA pa paquet quetes es   La conexión a redes WEP y WPA  

Tiempo para la acción - la conexión a una red WEP Tiempo para la acción - la conexión a una red WPA   Resumen 

 

73 

73   74   74   82   85   89   90   94   94   96   96   97   99  

Capítulo 5: Los ataques a la infraestructura WLAN  

101 

Capítulo 6: Luch a contra el cl cliente iente  

117 

Cuentas por defecto de fecto y las credenciales del punto de acceso acceso  Tiempo para la acción acción - grietas cuentas por defecto en los puntos de acc acceso eso   Ataques de denegación de servicio  Tiempo para la acción - De-aute De-autenticación nticación ccontr ontraa ataque de DoS  Gemelo malvado y suplantación suplantación de identidad de punt punto o de acceso MAC  Tiempo para la acción acción - el gem gemelo elo malvado de MAC spoofing   Rogue punto de ac acceso ceso  Tiempo para la acción - punto de acceso no auto autorizados rizados  Resumen 

Honeypot y Mis Asociación ataques  Tiempo para la acción acción - or orquest questar ar un aataque taque Mis-Asociación  Caffe Caff e Latt Latte e ataque   Tiempo para la acción acción - la re realizac alización ión de los ataques Caffe Latte   De autenticación y Dis-Asociación de ataques  Tiempo para la acción - De-Aut De-Autenticación enticación del cliente   Hirte ataque   Tiempo para la acción acción - cracking WEP con el ataque Hirt Hirte e  [Ii] 

101   102   104   104   107   108   112   112   116  

118   118   124   124   129   129   133   133  

 

Tabla de contenidos

AP-menos WPA-Persona WPA-Personall grietas  Tiempo para la acción - AP-me AP-menos nos WPA ccracking racking  Resumen 

Capítulo Capí tulo 7: Advanced ataques WLAN 

135   137   140  

141 

Man-in-the-middle  Tiempo para la acción - Man-in-the-middle  Escuchas inalámbrica inalámbr ica mediant mediante e MIT MITM M  Tiempo para la acción acción - escucha inalámbrica  Secuestro de sesión sobre rredes edes inal inalámbrica ámbricass  Tiempo para la acción acción - el secue secuestro stro de sesión sobre rredes edes inalá inalámbr mbricas icas  Encontrar las configuraciones configuraciones de seguridad en el e l cliente   Tiempo para la acción - la enume enumeración ración de los per perfiles files de seguridad inalámbrica  Resumen 

141   142   147   147   152   153   156   157   161  

Capítulo 8: Atacar WPA-Enterprise y RADIUS  

163 

Tiempo para la acción - griet grietas as PEAP   Atacar EAP-TTLS  Tiempo para la acción - griet grietas as EAP-TTLS  Mejores prácticas de seguridad para empresas   Resumen 

168   173   174   176   177  

La creación creación de freeradius-WPE  Tiempo para la acción - la creación de la AP con freeradius-WPE  Atacar PEAP 

Capítulo 9: Metodología de pruebas de penetración inalámbrica   Pruebas de penetr penetrac ación ión inalá inalámbrica mbrica  Planificación   Descubrimiento  Tiempo para la la acci acción ón - el descubrimiento de los dispositivos inalámbricos  Ataque 

163   164   168  

179 

179   180   180   181   183  

Encontra r los puntos de acceso  Encontra r clientes no aauto utorizados rizados 

183   185  

La s té cnica cnicass delos encrip encriptación tación Comprometer clientes   

186 189  

191   192  

La presentación pres entación de informes   Resumen 

Apéndice A: Conclusiones y camino camino por recorrer   Terminando  La construcción de un avanzado laboratorio labora torio de Wi-Fi  Mantene Man tenerse rse al día  Conclusión 

[Iii] 

193 

193   194   196   197  

 

 

Tabla de contenidos

 

Apéndice B: Respuestas Pop Qu iz 

Capítulo 1, Wireless Wirele ss Laboratorio de config configuración uración  Capítulo 2, WLAN y sus inseguridad inseguridades es inherentes  Capítulo 3, por encima e ncima de autenticaci autenticación ón WLAN   Capítulo cifra cifrado do  Capítulo 4, 5, defectos ataques aWLAN la infraestructura WLAN  Capítulo 6, atacando a los clientes   Capítulo 7, Advanced Advanced WL WLAN AN ataques   Capítulo 8, atacar WPA Enterprise y RADIUS  Capítulo 9, Metodología de pruebas inalámbrico inalámbrico penet penetrante rante 

Índice 

199 

199   199   200   200 200   201   201   201   202  

203 

[Iv] 

 

Prólogo  Las redes i nalá nalámbric mbricas as se h an vuelto omnipresen omnipresentes tes en el mundo actual. Millone Milloness d e personas l os usan  en todo el mundo todos los d ías e n sus casas, ofic oficinas inas y puntos de a cces cceso o p úblicos úblicos para iniciar sesión en la Internet   y n o ta nto el trabajo personal y profesional. A pesar de que hace la vida muy inalámbrica  fá cil y n os d a una gran m ovilidad ovilidad por ejemplo ejemplo,, viene co con n sus riesgo riesgos. s. En l os último últimoss tiempo tiempos, s, l a insegur inseguridad idad  la s redes i nalámbric nalámbricas as han sido explot explotados ados para entrar en las empresas empresas,, l os banco bancoss y el gobie gobierno rno 

 

la s organizac organizaciones. iones. sLatodaví frecuencia de de estos ataques se haaintensi intensificado , como l a robust red a ya prueba de errore Los a dminist dministradore radores todavía a ni i dea cómo inalámbric inalámbrica s egur eguraaficado, en una forma robusta errores. s. 

BackTrack BackT rack 5 prueb pruebas as de pen penetración etración inalámbrica: Guía para principiantes es tá dirigido a ayudar a los  le ctor a entend entender er las i nsegur nseguridade idadess asociadas a las re redes des inalámb inalámbricas ricas,, y cómo l levar a cabo  prue bas de p enet enetració ración n para e nco ncontrar ntrar y conectarlo conectarlos. s. Esta e s una lectura esencial para a que quellos llos que quieran  pa ra llevar a ca bo audito auditorías rías de seguridad en redes i nalá nalámbric mbricas as y s iempr iempree quise tener u n práctico paso a paso  guía para la m isma. C Como omo todos los ataques inalámb inalámbrico ricoss s e explic explicaa e n este libro es seguid seguido o in mediatam mediatamente ente  por u na demostr demostración ación práctica, el aprendizaje es muy completo. completo.  Hemos elegi elegido do BackTrack 5 como l a platafor plataforma ma para poner a p rueba todo todoss l os ataques inalá inalámbric mbricos os en e ste libro.  Ba ckTrack, ya que l a mayor mayoría ía de u stede stedess ya d eben saber, es la pen etrac etración ión más popula popularr del mu ndo  prue bas d e la d ist istribució ribución. n. C Con on tiene ccii ento entoss de herram herramientas ientas de s eg eguridad uridad y hacking, algun algunas as de las cuales se  s u us o en est estee curso de este libro. 

Lo que este libro cubre   Capítulo 1, de configuración inalám brica de laboratorio, i ntrodu ce docen docenas as de ejercicio ejercicioss que vamos a es tar ha ciend ciendo o en este  li bro. C Con on el fin de ser capaz d e probar, el lector tendr tendráá qu e establec establecer er un laboratorio móvil.  Este capítulo se ce ntr ntraa e n cómo crear un lab orat oratorio orio de p rue ruebas bas inalámbr inalámbricas icas utiliz utilizando ando el ha rdwar rdwaree de la plataforma   y e l s oftware de código ab abierto. ierto. En primer lugar, se verá en l os requisito requisitoss de hardware que incluyen  tarjetas tarje tas i nalá nalámbric mbricas, as, antenas, puntos de acceso y otros disposi dispositivos tivos Wi -Fi, a con tinuación inuación,, n os trasladar trasladaremos emos  nue stro eenf nfoque oque a los req uis uisitos itos de s oftw oftware are que i nclu ncluye ye el sistema op erat erativo, ivo, driver driverss Wi -Fi,  y h erram ientas de segurid seguridad. ad. Por úl timo, vamos a crear u n banco de prueb pruebas as para nuestro nuestross e xperimen xperimentos tos y comprob ar difer diferentes entes  confi gurac guracion iones es i nal nalámbric ámbricas as en él. 

 

Prólogo

 

Capítulo 2, WLAN y sus inseguridades inherentes, s e ce ntr ntraa en l os def defectos ectos de diseño inhere inherentes ntes a 

la s redes i nalámbric nalámbricas as que los hace i nseg nseguros uros fuer fueraa de l a caja. Vamos a comenzar con un rápido  res umen de los p rot rotocolos ocolos 80 802.11 2.11 WL WLAN AN usan do un analizad analizador or d e red llamada Wireshark Wireshark.. Es to  nos da u n conocim conocimiento iento práctico acerc acercaa d e cómo estos protocol protocolos os de tra bajo bajo.. Lo más i mportante mportante,,  a ver cómo lo s cliente clientess y la comunic comunicación ación del punto de acceso funcion funcionaa a niv nivel el empacad empacador or mediante eell a náli nálisis sis de  Ge Gess tión, control control y da tos de l os marco marcos. s. A con tinu tinuación, ación, aprend aprenderá erá acerca de la inyección de paquetes y el empacador  s ni ffing ffing en redes inalám inalámbricas, bricas, y vver er a l gunas herramien herramientas tas que nos p ermiten hacer lo mismo mismo..  Capítulo 3, sin pasar por la autenticación de WLAN, ha bla d e cómo romper una a uten utenticació ticación n WLAN 

meca nismo! Vamo Vamoss a i r paso a paso y es tud tudiar iar la manera de s ubvertir ubvertir la clav clavee abier abierta ta y compartida  au tenticacio tenticaciones. nes. En el curso de esto, usted apre aprenderá nderá a a nali nalizar zar l os paquet paquetes es inalám inalámbricos bricos y la figura  el me mecanism canismo o d e autent autenticació icación n d e la red. También vvam am os a buscar la forma de en trar en  rede s con SSID oculto y fi ltrado M MAC AC activado. Se trata de dos m ecan ecanismos ismos comunes  emp leados por l os administr administrado adores res de red p ara las re des inalám inalámbric bricas as más sigilo sigilosas sas y d i fíciles fíciles  de pe netrar, sin embarg embargo, o, estos s on muy sencil sencillos los de derivación.  Capítulo 4, defectos WLAN cifrado, a naliza u no de l os sect sectores ores más vvulnerables ulnerables de la  WLAN protocolo de cifrado son los es quem quemas, as, WEP, WPA WPA,, y WPA2 WPA2.. Dura nte la ú lt ltima ima década,  lo s hackers han encontrad encontrado o múltiples fallas en e stos esquem esquemas as y ha n escrit escrito o a disposició disposición n del p úblico úblico 

s oftware para romper ellos y descifrar los datos. A pesar de WPA/W WPA/WPA2 PA2 es seguro por diseño,  de s conf configurac iguración ión de l os abre las vulner vulnerabilid abilidades ades de seg segur uridad idad,, q ue p ued ueden en ser f ácilment ácilmentee e xplotad xplotados. os. En e ste  cap ítulo, vamos a e ntende ntenderr la i nseguridad nseguridad en cada uno de e stos esquem esquemas as de cifrado y hacer  de mostracion mostraciones es prácticas sobr sobree la manera de romperlas.  Capítulo 5, ataques a la infraestructura WLAN, camb ia nuestro foco a la infraestr infraestruct uctura ura WLAN 

vuln erabili erabilidades dades.. Va mos mos a ver las vulner vulnerabilid abilidades ades creadas por la configur configuración ación y  probl em emas as d e diseño. Vamos a hacer demostracio demostraciones nes prácticas de l os ataques ataques,, como pu nto de acceso MAC spoofing,  bi t fl ipping ipping y fuzzing a taqu taques es de re repetic petición ión,, l os punto puntoss de a cceso cceso,, y la d enegac enegación ión de servicio servicio.. Este  cap ítulo s e ofrece al lector una compren comprensión sión sólida de cómo hacer una prueba de p enet enetració ración n de la  In fraestruct fraestructura ura WLAN.  Capítulo 6, atacando atacando a los clientes, a bre sus ojos, si siempre he creído que la te cno cnología logía inalámbr inalámbrica ica 

s egu ridad del cliente era algo que no tenía de qué preocu preocupar parse! se! La mayorí mayoríaa de l as perso personas nas excluy excluyee la  cli ente de su lista lista cuando piensan en la segurid seguridad ad d e la WLAN. En este ca pítulo pítulo se p rue rueban ban más allá de  dud a de por qué el cliente es tan importante ccomo omo el punto de a cces cceso o al p enet enetrar rar una prueba  De red WLAN. Vamos a b uscar la forma de poner en peligro la s eg eguridad uridad med mediante iante ataque ataquess del lado del cl ie iente nte  tal es como e rrores de la asociac asociación ión,, Caffe La tte disocia disociación, ción, conexio conexiones nes a d-hoc, fuzzing, honey honeypots, pots,  y muchos otros. 

[2] 

 

Prólogo

 

Capítulo 7, ataques avanzados WLAN, mi ra a más ataques a van vanzado zadoss como ya hemos  cubi erto la mayoría d e los a taques básicos tanto en la i nfrae nfraest structu ructura ra y el clien cliente. te. Estos ataques  por l o ge ner neral al implican el uso de múltiples ataqu ataques es básico básicoss en e n conjunto para romper la seguridad de más  situaciones difíciles. Algunos de los ataques que vamos a aprender incluyen dispositivos inalámbricos   toma de huellas dactilares, el hombre-en-el-medio sobre redes inalámbricas, detección de intrusiones in a lá lámbric mbricas as y evadir  s is tem temas as de prevenció prevención, n, d e operació operación n pícaro punto de a cceso med mediante iante protoco protocolo lo p erso ersonaliz nalizado, ado, y un par d e  otros . En e ste capít capítulo ulo se p resen resenta ta la pu nta de lanza de los a taqu taques es inalám inalámbricos bricos abso absoluta luta en el  mundo rea real. l.  Capítulo 8, atacar WPA Enterpris e y RADIUS, grad uados del usuario al siguien siguiente te nivel de 

pres entar entarle le a los a taques avanzad avanzados os en WPA-Enterp WPA-Enterprise rise y l a con figu figuració ración n del s erv ervidor idor RADIUS. Estos  lo s ataques s erá muy útil cuando el l ecto ectorr tiene qu e realiz realizar ar una prueba de p enet enetració ración n en un gran  Re Redes des d e l as empresas que depend dependen en d e la WPA-Enterpris WPA-Enterprisee y l a autentic autenticación ación RADIUS para proporcio proporcionar nar  con l a segurid seguridad. ad. Esta es, probablem probablemente, ente, tan avanzada como Wi-Fi ataques ataques pueden obtener en e l mundo real.  Capítulo 9, Metodología de pruebas inalám brico penetran penetrante, te, Es a quí donde todo el aprendiz aprendizaje aje de la 

cap ítulos anteriore anterioress se u ne, y vamos a ver cómo hacer una p rueba de p enet enetració ración n inalámb inalámbrica rica  de un a man era sis sistemátic temáticaa y me metódica. tódica. Vamos a a pre prender nder sobre las distintas fases de penetración penetración  la s pru ebas de p lanif lanificació icación, n, el d escubrim escubrimiento iento,, eell ataque y l a presentació presentación n d e infor informes, mes, y a plicar plicarlo lo a la pe ne trac tración ión inalámb inalámbrica rica prue bas. También vvamos amos  a entender como p rop roponer oner recomen recomendacione dacioness y me jore joress p ráctic rácticas as después de un  prue ba de penetr penetración ación inalám inalámbr brica. ica. 

 Apéndice A, Conclusión Conclusión y cami no por recorrer, concl uy uyee el l ibr ibro o y deja al us uario uario con alguno algunoss 

in dicadores para la lectura y la inv investigac estigación. ión. 

Lo que usted necesi necesita ta para este libro   Para s eguir y rrecrear ecrear l os ejerc ejercicios icios práctic prácticos os en e ste libro, se necesit necesitan an d os portátileess con  bui lt-in Wi-Fi de tarjetas, un Alfa AWUS036H inalá inalámbric mbrico o USB U SB adaptado adaptadorr Wi -Fi, Back BackTrack Track 5, y al guno gunoss  ha rdware y so softwar ftware. e. Hemos expue expuesto sto en eeste ste Capítulo 1, de configuración inalámbrica de laboratorio.  Como a lternativ lternativaa a la configur configuración ación de p ort ortátil átil dos, también puede crear una máquina vi vi rtual rtual de la vivienda  Ba ckTrack 5 y cone ctar la tarjeta a tr traa vés de la i nter nterfaz faz USB. Esto le ayudar ayudaráá a empezar  conckTrack e l uso 5 depae ra stelas libr libro o mucho másreales rápido, le recomendamo recomendamos s correr una máquina dedicada dedicada  Ba evalu evaluaciones aciones en pero el campo.   Como re quisito p revio, revio, los lectores deben ser conscientes de los co con n cep ceptos tos básicos básicos d e red es inal inalámbric ámbricas. as. Esto incluye   ten er co conocim nocimientos ientos previo previoss s obre obre los co conce nceptos ptos básico básicoss d el protocolo 8 802.1 02.11 1 y pun to d e a cceso de cliente  la comunicac comunicación. ión. A pesar de q ue a re ferirme ferirme brev brevemente emente a algunos de esto cuando hemos creado el lab orat oratorio, orio, es   es pera que el usuario ya está al tanto de estos conceptos. conceptos. 

[3] 

 

Prólogo

 

Que este libro es para   Aunq ue e ste libr libro o es u na serie para princ principian ipiantes, tes, que está destinad destinado o a to dos dos l os niveles de usuar usuarios, ios, de l os aficionados   la de rech rechaa a tra vés de e xp xperto ertoss e n s eguridad eguridad inal inalámbric ámbrica. a. Hay algo para to dos. dos. El libr libro o co comie mienza nza  con ata ques simp simples, les, pero luego pasa a expli explicar car los más comp complicado licados, s, y, fin almente, almente,  an a liliza za los a taqu taques es de sangrad sangrado o b ord ordee y l a inv investigación estigación.. Como todos los at aqu aques es se e xplican xplican utiliz utilizando ando prácticas  ma nifestaciones, nifestaciones, es mu y fácil para los lectores en to dos dos l os niv niveles eles para tra tar rápidament rápidamentee eell ataque por  s í mi smos. Tenga en cuenta que a pesar de q ue el libro destaca lo loss diferentes ataq ataques ues que p ued uedee  s e lanzó een n contra de u na red inalámb inalámbrica, rica, el vverdadero erdadero propósit propósito o es ed ucar a l os usuario usuarioss a convertirse en un  prue bas de p enet enetració ración n inalámb inalámbrica. rica. Una prueba en la penetración penetración de e xpe xperto rtoss q ue en tienden todos los a taques a  y no s ería capaz de demostrar ccon on fa cilidad ilidad,, si a sí lo solic solicita ita el cliente. 

Convenciones  En e s te libro, usted encontr encontrará ará varios eepíg pígrafes rafes que a pare parecen cen con f recu recuencia encia..  Da r in stru strucciones cciones clar claras as de cómo l levar a cabo un procedim procedimiento iento o una tarea, s e utiliz utiliza: a: 

acción - título  Tiempo para la acción 1.  Acc Acció ió n 1   

Acció Acc ió n 2 

 

Acció Acc ió n 3 

2. 3.

In s trucc trucciones iones a me nudo nudo necesita necesitan n una e xp xplicació licación n adicional para que tengan sentid sentido, o, p or lo que s on  se guido de: 

¿Qué ha pasado?  En e s te epígrafe se explic explicaa e l funcionam funcionamiento iento de las tareas o i nstr nstrucc ucciones iones que usted acaba de co completar mpletar..  Us ted también encontrará trará algun algunas as o otras tras a yudas de a pre prendiz ndizaje aje een n el l ibro ibro,, incluyendo:   encon

Pop Quiz - título  

Estoss son cortas preguntas de o Esto opción pción múlt múltiple iple destinad destinado o a ayudar a p rob robar ar s u propia comprensió comprensión. n. 

Tener un héroe va - encabezamiento encabezamiento  En e l las se e st stablecen ablecen los problem problemas as prácticos y da r ideas para exper experime imentar ntar con l o que  han aprendido.  [4] 

 

Prólogo

 

Us ted también encon encontrará trará una serie de estilos de te xto que distingu distinguir ir entre diferente diferentess tipos d e  de l a infor información mación.. Es tos son alguno algunoss e jem jemplo ploss d e eestos stos estilo estilos, s, y un a e xplicac xplicación ión de su sig signif nificado icado..  Las palabras de código en el te xto se muestran de la siguiente mane manera: ra: "Hemos habili habilitado tado la interfaz con el

ifconfig 

man do ""..  Pal abras que ve e n la pantalla, en los menús o cuadros d e diálogo diálogo,, por ejemplo, aparecen en e l texto  de es ta manera: "Para vver er l os paquet paquetes es de d atos para nuestro punto de a cceso cceso,, añad añadaa l o siguien siguiente te al filt filtro ro    (== Wlan.bssid 00:21:91: d2: 8e: 25). & & (Wlan.fc.type_subtype == 0x20) "

Avisoss o not as impor Aviso importantes tantes aparec aparecen en en un cuadro como este. 

Cons ejo ejoss y trucos aparec aparecen en así.  

Lector información 

Comen tario tarioss de nuestros lecto lectores res es siem siempre pre bienven bienvenida. ida. Háganos saber lo q ue piensa piensass a cerc cercaa de este libro-  lo qu e te ggusta usta o no le gustaba que puede. C Comentario omentarioss de l os lectore lectoress es importante para nosot nosotros ros para de s arro arrollar llar títulos  que realmente sacar el má ximo partid partido o d e.  Para en viar ttus us comentar comentarios ios en general, basta ccon on enviar un e -mai -maill a [email protected], Y  men cionar el título del libro a través del tema tema de s u men mensaje. saje.  Si ha y un libro que usted necesit necesitaa y le gustaría vver er a publicar publicar,, por fav favor or envíenos una nota en la  Sugiera un título la forma forma en www.packtpub.com o po r e-mail [email protected].  Si ha y un te ma que tiene exper experiencia iencia y está i nter nteresado esado en, yyaa sea eescrib scribiend iendo o o  contrib ució ución n en un libro, vea nuestra guía de a utor utor www.packtpub.com / autores . 

 Atención al a l cl cliente iente   Ahora qu e usted es el orgull orgulloso oso propiet propietario ario de un libro de Packt, tenemos una serie de co cosas sas para ayudar ayudarte te  pa ra o obtener btener eell máximo provec provecho ho de su compra. 

[5] 

 

Prólogo

 

Fe de erratas  Aunq ue h emos tomad tomado o todas las precauc precaucion iones es para garant garantizar izar la exactitud de n uestr uestros os contenido contenidos, s, los e rrores se  s uceder. Si usted encue encuentr ntraa un error en uno de nuestros libro libros, s, tal vez un eerror rror en el texto o l a  códi go que s e a gr gradecerí adeceríaa qu e tuviera a inform informar ar de ello a n osot osotros. ros. De esta manera, uste usted d p ued uedee a horrar horrar otros   lo s lectores de la frustr frustración ación y nos ayudan a mejorar las vversio ersiones nes poster posteriore ioress de este lib ro. Si  en contrar ninguna errata, por favor informe al visitarhttp://www.packtpub.com/support ,  la s elecció elección n de s u lib libro, ro, haciendo clic e n el elformulario formulario de presentación de erratas enl ace, ace, y entrar en los detalles  de s u fe d e erratas. Una vvez ez que su fe de e rratas se vverifican, erifican, su prese presentac ntación ión será aceptad aceptadaa y la  fe de erratas se cargará en nu estro estro sitio web, o añadir a u na lista de erratas existentes existentes,, bajo l a  Secci ón de e rrat rratas as de ese título. Cualquier Cualquier errata existe existente nte s e puede vver er me diant diantee la s el elección ección de su título de  http://www.packtpub.com/support. 

Piratería  

La pi ratería ratería de material prote protegido gido en IInter nternet net es u n p rob roblem lemaa con stante stante en todos los medios. En Packt,  toma mos l a protecc protección ión de nuestro nuestross derecho derechoss de autor y l icenc icencias ias muy en serio. Si te e ncuen ncuentras tras con cualquie cualquierr  copi as ilegales de n uestr uestros os trabajos, en cualquier form forma, a, een n Internet, por favor indíquenos indíquenos el l ugar  di rección o n ombr ombree del sitio we web b de inmediato para que podamo podamoss presentar un recurso.  Por favor, pón gase en contacto con n osot osotro ross en e n [email protected] con un enlace a la sospecha  pi rata material material..  Apreci amos su a yuda en la p rot rotección ección de nuestros autor autores es y nu estra capacidad para llev llevar ar  val i oso contenido contenido.. 

Preguntas  Pued e co contac ntactar tar con nosotro nosotross en [email protected] s i usted e stá stá te tenien niendo do un p roblem roblemaa con cualq cualquier uier  as pecto del libro, y haremos todo lo posible para hacerle hacerle frente. 

[6] 

 

1

 

Laboratorio de configuración inalámbrica 

"Si tuvie ra ocho hor horas as para cortar un árbol, pasa pasaría ría seis horas afilando mi hacha".   Abraha m Lincoln, decimos decimosexto exto president presidentee d dee EE.UU.   Detrás Detr ás de cada éxito de la eeje jecución cución es de horas o días de prep p reparación, aración, y conexión inalámbric inalámbricaa   La Las s pruebas de penet penetración ración no es lestros a excepció excepción. n.imentos En e ste stse de c ap apítulo, ítulo, vamos a cr crear ear la una red inalámbr inalámbrica ica la bora boratorio torio que usarem usaremos os para nu nuestro s exper ex perimento este l ibr ibro. o. C Consid onsidere ere posibilidad pos ibilidad de esta   prác tica de llabora aboratorio torio com como o su   are na de preparac preparación ión aante ntess de sum sumergir ergirse se een n las pruebas de pe netra netración ción en el mund mundo o rea real! l! 

Las pruebas de penetrac penetración ión inalá inalámbric mbricaa e s un te ma práctic práctico, o, y es impor importante tante para la prime primera ra instalació instalación n de u n la borato boratorio, rio, don donde de   pod emos p robar robar todas las diferentes exper experiencias iencias en e ste libro en u n ambien ambiente te s eguro y co ntrolado.  Es i mportante que se con figu figura ra esta práctica antes de continuar adel adelante ante en este libr libro. o.  En e s te capítulo, vamo vamoss a examin examinar ar lo siguiente: 

  ?  ?  ?

?

  

?

De h a rdwar rdwaree y s oftware 

Ba ckTrack 5 instalació instalación n 

La crea ción de un pu nto de a cceso y configuració configuración n de la 

 

In s tala talación ción de la tarjeta inalá inalámbric mbricaa Pruebas de conectividad entre el portátil y el p unto de acceso 

Así qu e el juego comie comience! nce! 

 

Lab ora torio de configuración configuración inalámbrica

 

Los requisitos de hardware   Vam os a neces necesitar itar el sigu siguiente iente hardwar hardwaree para crear el laboratorio móvil móvil:: 

 

?

 

?

 

?

 

?

Dos ordenadores portátiles con utilizar ar uno de l os orden ordenadores adores portá tiles como de la víct víctii ma   Wi-Fi interno tarjetas: Vam os a utiliz en nuestro laboratorio y el otro como el p ortátil ortátil de p rue rueba ba de i ntrusión. ntrusión. Aunq Aunque ue casi todos los  portá til s e ajusta a este perfil, las comput computador adoras as portátiles con al menos 3 GB d e RAM es deseable. Es  ya q ue s e puede ejecutar una gran ca ntid ntidad ad de memoria intensi intensiva va d e softw software are en nuestro nuestross Un Alfa adaptador sitamos os un USB Wi -Fi que puede sopor soportar tar la inyección de paquetes    inalámbrico: Nece sitam experimentos. y l a de tecció tección n de paquetes, y que es a poyado poyado por rretroceso. etroceso. La m ejor opc opción ión parece ser  el Alfa AWUS0 AWUS036H 36H tarje tarjeta ta de re des de Alfa como BackTrack apoy apoyaa esta-fuera de la  caja . Este servicio está dispon disponible ible en Amazon. Amazon.com com por un precio d e 34 dólares en el momen momento to d e la escritura.  Un punto de acceso: Cual quier punto de acceso que so porta porta cifrado WEP/WP WEP/WPA/ A/WPA2 WPA2  norma s cabría la cu enta. M Mee va a u tili tilizar zar un D-LINK DIR- 615 Wir Wireless eless N Ro Router uter para  con e l propósito de la ilustrac ilustración ión een n todo este libro. Se puede comprar en Amazon Amazon.com .com  don de e s menor en alred alrededor edor de $ 35 en el m omento de la escritur escritura. a.  Una conexión a Internet: Esto s erá muy útil para llevar a cabo la i nv nvestig estigación, ación, la descarg descargaa  s oftware, y pa ra algunos de n uestr uestros os experim experimentos. entos. 

Requisitos de software   Nece sitaremo sitaremoss el siguien siguiente te s oftw oftware are para crear el l abo aborato ratorio rio móvil: 

 

?

BackTrack 5: Ba ckTrack puede ser descargado desd desdee s u sitio web oficial ubicado ubicado en e n 

http://www.backtrack-linux.org. El software software es d e código abierto y 

de be ser capaz de descargar direct directame amente nte del sitio web. 

 

?

Windows XP/Vista/7: Us ted tendrá que cualqu cualquiera iera de Windows XP, Windows Vista, o  Wi ndows 7 i nstal nstalado ado e n uno d e los ordenado ordenadores res portátile portátiles. s. Este portátil se utiliza como la víctima  má qu ina par paraa el resto del libro. 

Es i mportante señala señalarr qu e a p esar de q ue está u tilizand ilizando o un sistema sistema operativ operativo o basado en Wi ndow ndowss para n uest uestrras pruebas, la  ap rendieron técnic técnicas as se pueden a pli plicar car a cualquie cualquierr disposi dispositivo tivo Wi -Fi capaz, como teléfo teléfono noss i nte nteligen ligentes tes y  Tab l et etas, as, entre otros. 

Instalación de BackTrack   Vea mos a hora hora rápidamen rápidamente te buscar la forma de p onerse en marcha con B ackTrack ackTrack..  Ba ckTrack s e instala instalará rá en la computado computadora ra portátil que servirá como la máquina de p ruebas ruebas de p enet enetració ración n  pa ra el resto del libro libro.. 

[8] 

 

Capítulo 1

 

acción ión - la instalación de Tiempo para la acc BackTrack   Ba ckTrack eess relativ relativame amente nte fácil de i nstal nstalar. ar. Vamos a correr BackTrac BackTrackk arrancan arrancando do como u n DVD en vivo y  lu ego eg o in instalarlo stalarlo en el disco du ro.  Si ga las siguie siguientes ntes instru instrucciones cciones paso a paso: 

 

Grab a r la I SO BackTrack BackTrack (estamo (estamoss u tiliz tilizando ando el BackTrac BackTrackk 5 KDE 32-Bi t Edition) que  ha de scarg scargado ado en un DVD de arranque. 

 

Arr Arraa nca r el p ort ortátil átil con DVD y se leccio leccione ne la opción opciónTexto Texto BackTrack - arranque por defecto  Modo Texto el menú de inic inicio: io: 

1.

2.

[9] 

 

Lab ora torio de configuración configuración inalámbrica

 

 

Si el arranqu arranquee fue e xito xitoso, so, entonces usted debe ver a l a conocid conocidaa pantalla de BackTrack BackTrack:: 

 

Pued e arranc arrancar ar en el modo gráfico mediant mediantee la i ntroducc ntroducción ión de startx en e l símbolo del sistem sistema. a.  Di s frute frute de la m úsica de i nic nicio! io! Una vez q ue esté en la interf interfaz az gráfica de usuario, la pantal pantalla la debe s er si mila milarr a   lo siguien siguiente: te: 

3.

4.

[10] 

 

Capítulo 1

 

Ahora h aga aga clic en el Instalación de BackTrack ico no de la p arte super superior ior izquier izquierda da del eescrito scritorio rio.. Esto   i ni ciar ciar el in stalado staladorr Ba ck ckTrack Track como se muestra a continuación: 

5.

 

Este programa de instalació instalación n es similar a l os instalad instaladore oress basados en GUI de la mayorí mayoríaa de l os sistem sistemas as Linux y debe  s er fá cil de seguir. Selec Seleccion cionee l as opcione opcioness adecuadas en ca da pantall pantallaa y come nzar la  el proceso de i nstal nstalación. ación. Cuand Cuando o la instalación hay hayaa te rminado, rminado, reinicie el e quipo quipo cuando se le s olic olicite, ite,  y extraer el D VD. VD.  7.  Una vez q ue se re reinicia inicia el equip equipo, o, se l e pres presentar entaráá una p antalla de inicio de s es esión. ión. Escrib Escribaa el e l inicio de sesión  como "root" y l a contrase contraseña ña "toor". Ahora deberí deberíaa e star conectado conectado a s u instalac instalación ión  versi ón d e BackTrack. ¡Felic ¡Felicitacion itaciones! es!  Esta ré cambiando el tema de escrit escritorio orio y algunas opciones para este libro. Siéntas Siéntasee l ibre ibre de utilizar su  propi os temas y l os ajustes de color!  6.

[11] 

 

Lab ora torio de configuración configuración inalámbrica

  ¿Qué ha pasado? 

He Hemos mos i nst nstalado alado ccon on éxito dar marcha atrás en e l portátil! Vam Vamos os a utilizar eeste ste portát portátilil como e l  prue bas de p enet enetració ración n de co comput mputadoras adoras portátil portátiles es p ara todos l os otros experimen experimentos tos de este libro. 

Tener un héroe ir - la instalación instala ción de BackTrack BackTrack en Virtual Virtual Box   Tam bién podemo podemoss instalar BackTr BackTrack ack en el software de virtualiz virtualización ación como Virtual Box. Box. Para l os lectores  que no puede ser que desee dedicar un portátil ccompleto ompleto que dar marcha atrás, esta es la mejor opción. La  process o de instalac proce instalación ión de B BackTr ackTrack ack een n Virtual Box es e xact xactame amente nte el mismo. La ún ic icaa diferencia es el  pre- instalac instalación, ión, que tendrá que crear en Vi rtu rtual al Box. Tener un ir e n él! Puede descarg descargar ar  Virtual B ox de http://www.virtualbox.org.  Una de las otras maneras en qu e puede inst instalar alar y utilizar la R Ruta uta inver inversa sa es a tra vés de unidades USB. Esto es particularmente  úti l si no desea instalar en el d isco dur duro, o, p ero ttodavía odavía quier quieree almac almacén én de dato datoss persistente en  Ba ckTrack s u ejemplo ejemplo,, como s ecue ecuencias ncias de comandos y herramie herramientas ntas nuevas nuevas.. Le animamos a probar este  tan bi en! en! 

Configuración del punto de acceso 

Ahora vamos a con figu figurar rar el punto de acceso. Como se me ncio ncionó nó anter anteriormente, iormente, vvaa mos mos a usar el D -L -Link ink DIR-  615 Wi reless N Router para todos l os experim experimentos entos de este lib ro. Sin embargo, siént siéntase ase libre d e usar cualquie cualquierr  otro p un to d e acceso. Los princip principios ios básicos de f uncion uncionamiento amiento y la utilizac utilización ión siguen siendo los mismos. 

Tiempo para la acción acción - la configuración del punto de acceso  Vam os a empezar empezar!! Vamos a e stablec stablecer er el punto de acceso para para u tiliz tilizar ar l a autent autenticació icación n abier abierta ta con un SSID de   "Wire less Lab Lab". ".  Si ga estas instr instrucc ucciones iones paso a paso:   

1.

De en ergía en el punto de a cces cceso o y el u so de un cable EEthernet thernet par paraa conectar el portát portátilil a una  de lo s puerto puertoss del p unto de acces acceso o Ethernet. 

[12] 

 

Capítulo 1

 

2.

 

In troduzca la direcció dirección n I P de la te term rminal inal de acceso a la co configur nfiguración ación pu nto en s u navegado navegador. r. Para  el DI R-61 R-615, 5, se le da a 192 192.168 .168.0.1 .0.1 en el m anual anual.. Us ted deb debee consultar consultar a su  a cceder a la guía de configurac configuración ión de punto de encontr encontrar ar su dirección IP. Si us ted no tiene los manuales  route-n de l punto también se puedeIP encontrar direc ción mediante ejecució ejecución coma ndos.deLaacceso, direcció dirección n IP del gateway suele serlaeldirección punto deIP acceso. Unalavvez ez que sen  d el   cone ctado, usted deb debee ver a u n p ort ortal al de configu configuración ración que se parece a esto: 

 

3.

Explora las diferentes configuraciones en el portal después de entrar y encontrar los ajustes relacionados  a l a co config nfiguración uración de un nuevo SS SSID. ID. 

[13] 

 

Lab ora torio de configuración configuración inalámbrica

 

4.

 

5.

 

6.

 

Cambi ar el SSID a Laboratorio inalámbrica. De pendiendo del punto de acceso acceso,, puede que tenga que  rei niciar el sistema para q ue la conf configurac iguración ión p ara cambia cambiar: r: 

De l mismo modo, encontrar los ajustes rrelacionado elacionadoss con la Autenticación y cam bie l a conf configurac iguración ión de

 

Abierto Autenticación. En mi cas o, el Modo de seguridad confi gurac guración ión de Ninguno in dica que que  es utilizar el modo de a uten utenticació ticación n abierta.  Gua rde l os cambio cambioss e n el punto de a cceso y vuelva a iniciar iniciarlo, lo, si es neces necesario. ario. Ahora su acceso  pun to deb e estar en funcio funcionam namiento iento con un SSID Laboratorio inalámbrica. 

Una forma sencilla de comprobarlo consiste en utilizar la utilidad de configuración inalámbrica de Windows y  obs erv ervaa r las re des disp disponibles onibles con el o rdenad rdenador or p ortátil ortátil Window Windows. s. Usted deb e encontr encontrar arInalámbrica Inalámbrica de laboratorio como   una de l as rredes edes en la l is ista: ta: 

[14] 

 

Capítulo 1

 

¿Qué ha pasado?  He Hemos mos configur configurado ado corr correctamente ectamente nuestro pu nto de acceso con un SSID SSIDLaboratorio Laboratorio inalámbrica. Se trata de radiodifusión  s u p resencia y esto está siendo recogido por nuestro portátil portátil con Window Windowss y otros den tro de la Radio  Ra diofrecuen diofrecuencia cia (RF) del alcanc alcancee del p unto unto d e acceso.  Es i mportante tener en cuenta que hemos config configurado urado nuest nuestro ro punto de acceso en mo modo do de abrir, que es  el me meno noss s eguro. eguro. Es aconsejab aconsejable le no con ectar eeste ste punto de a cces cceso o a I nter nternet net por eell momento  que , como cualquie cualquiera ra dentro del ra ngo de RF será ca paz de u sarlo para acce acceder der a I nter nternet. net. 

Tener un héroe configuración ación del punto punt o de acceso que WEP WEP y WPA   h éroe ir - la configur Jue ga un poco con las o pcio pciones nes de configurac configuración ión del punto de a cceso cceso.. Trate d e ver si lo puede conse conseguir guir  en ma rcha y fun cion cionando ando con l os esquem esquemas as de cifrad cifrado o co como mo WEP y WPA WPA/WPA2 /WPA2.. Va mos a utilizar est estos os  lo s modos en los ú ltim ltimos os capítulo capítuloss para ilustrar los ataques contra ellos. 

La creación de la tarjeta inalámbrica   La crea cre a ción de ALFA nuestra tarjet tarjetaa de re d inalámb inalámbrica rica es mucho más fácil que el p unto de a cces cceso. o. La ven taj tajaa eess qu e   Ba ckTrack s oport oportaa e sta tarjeta fuera de la caja, y vie ne con to todo doss los lo s contro controladores ladores de d isposit ispositivo ivoss n ecesari ecesarios os para   pe rmitir la in yección yección de paquetes y la detección de paquetes.  [15] 

 

Lab ora torio de configuración configuración inalámbrica

  Tiempo para la acción acción - la configuración de la tarjeta inalámbrica  Nos otros vamos a u sar la ta rjet rjetaa i nalám nalámbr brica ica con el ordenador portátil del Alfa prueb pruebas as de pe ne trac tración ión es.   

Por fa vor, si ga estas instruc instrucciones ciones paso a paso para co configur nfigurar ar s u tarjet tarjeta: a:

 

Conecte Cone cte la ta rjeta a uno de los p uertos del portátil BackTrack USB y arrancar. 

 

Una vez con ectad ectado, o, abra una terminal de consola y el tipo de iwconfig. Su pantalla pantalla debe  s e p arecen a lo siguien siguiente: te: 

1. 2.

Como pue de ver, wlan0 es la interfaz inalámbrica creada para la tarjeta inalámbrica Alfa.  Escriba ifconfig wlan0 hasta para q ue el disposi dispositivo tivo de red. A con tinu tinuación, ación, escrib escribaa ifconfig   w la lan0 n0 pa ra ver el estado actual de la interfaz: interfaz: 

[16] 

 

Capítulo 1

 

3.

 

La di rección M MAC AC 00: c0: ca: 3e: bd: 93 de be coincid coincidir ir con la dirección M MAC AC por eescrito scrito  en s u tarjeta de Alfa. Esta es una manera rápida para para asegur asegurarse arse de que se h a activ activado ado la  i nte nterfaz rfaz correcta. 

¿Qué ha pasado?  Ba ckTrack i nclu ncluye ye con to todo doss l os controla controladores dores neces necesarios arios para la ta rjet rjetaa de Alfa. Ta n pronto como la máquina  arra ncado, la tarjeta fue reconocida y se l e asign asignó ó la in terf terfaz az de re dwlan0. Por defecto,  toda s las in terf terfaces aces de red e n BackTrack se desactiv desactivan an e n el arranque. Hemo Hemoss habilitad habilitado o la i nter nterfaz faz con el  ifconfig coma ndo ndos. s. Ahora nuestra tarjeta de Alfa está en marcha y fun cion cional! al! 

Conexión al punto de acceso   Ahora vamos a b uscar la forma de conect conectar ar con el pu nto de acceso mediant mediantee l a tarjeta wireles wirelesss Al fa. Nues Nuesttro  pun to de a cceso tiene un SSID SSIDInalámbrica Inalámbrica de laboratorio y n o u tiliza ningún tipo de autentic autenticación. ación. 

[17] 

 

Laboratorio de configuración inalámbrica

  Tiempo para la acción acción - la configuración de la tarjeta inalámbrica  pasoss para co Aquí vamos ! Siga es tos paso conect nectar ar la ta rjeta inalám inalámbric bricaa del punto de a cces cceso: o:  1.

 

Vea mos primero l o que l as redes i nal nalámbric ámbricas as nuestr nuestraa ta rjeta de Alfa está detectand detectando. o. Edición  el comando iwlist w lan0 exploraci exploración ón y us ted encont encontrará rará una lista de redes en  su lo cal calida idad: d: 

 

Mante nga el desplazamien desplazamiento to hacia abajo y us ted debe e nco ncontrar ntrar la Inal Inalámbrica ámbrica de laborator io de l a re red d en es ta l is ista. ta. En  mi configuración, que se detecta como Cel Celular ular 05, Pero pu ede s er dife diferente rente en el suyo. La ESSID campo   conti ene el nomb nombre re de la red: 

2.

[18] 

 

Capítulo 1

 

 

Como mú l tiple tipless p untos untos de a cceso pued pueden en tener el m ismo SSID, compruebe que la dirección MA MAC C  menci onado onadoss e n el Dirección campo por en cima de los p artid artidos os MA MAC C del punto de a cceso cceso.. Un ráp ido y  ma ne ra fácil de ob tene tenerr la direcció dirección n MAC se enc encuentra uentra debajo del p unto de a cces cceso o o median mediante te la página  

 

val ores basa basados dos en GUI.  Ahora , el comando iwconfig wlan0 essid "Laboratorio Wireless Wireless"" y luego  iw config config w lan lan0 0 para comprobar el estado. Si usted se h a conectad conectado o a la  pun to de a cceso cceso,, debería vver er la d irecc irección ión MAC de l punto de acceso en el Acceso  Acceso  Punto: camp o de la producc producción ión de iwconfig, Como s e muestra en la siguiente pantalla: 

3.

4.

[19] 

 

Lab ora torio de configuración configuración inalámbrica

 

5.

 

Sa be mos mos q ue el p unto de acceso tiene una i nterfaz nterfaz de gestión d e direccion direcciones es IP I P "192 "192.168 .168.0.1" .0.1"  de s u manual. P Por or otra part parte, e, esta es la misma que la d irección irección IP por defecto del route routerr cuando  se cor corre re el route-n comando comandos. s. Va mos mos a poner nuestra direcc dirección ión I P en la misma subred  med iante la emisi emisión ón de la orden ifconfig wlan0 192.168.0.2 netmask  255.255.255.0 up. Ve rifique q ue el comand ifc onfig w lan0 comando o tuvo éxito al escribirifconfig

 

y el control de la sali salida: da: 

 

6.

Ahora vamos a hacer pin g al punto de a cceso con el comandoping 192.168.0.1. Si el  cone xión de re d se ha co conf nfigurado igurado corr correctamen ectamente, te, entonces usted debe ver las re spu spuestas estas  de s de el punto de acceso. Tiene la posib posibilidad ilidad de emitir una arp-a para verificar que que e l  l a respuesta vvii ene desde el punto de acceso. Usted debe ver qu e la dirección MAC  de la IP 192 192.168 .168.0.1 .0.1 es l a direc dirección ción del p unto unto d e acceso M MAC AC hem os señalado anterio anteriorment rmente. e. Es  i mpo mportan rtante te tener en cuenta q ue algun algunos os de l os puntos de acceso más reciente recientess pueden tene tenerr u na respuesta  a l os p aquetes ICMP Ec Echo ho Request con discapac discapacidad. idad. Esto se suele hacer para facili facilitar tar el acceso  pun to s eguro eguro fuera de la caja co con n sólo l as opc opciones iones de configurac configuración ión mínim mínimaa desnuda  di s pon ponible. ible. EEn n ta l caso, usted podría po dría ttratar ratar de a brir un navegador y acceder a la web  i nte nterface rface par paraa verificar que la con exió exión n está func funcionand ionando. o. 

[20] 

 

Capítulo 1

 

7.

 

En e l punto d e acceso acceso,, s e puede vverificar erificar la conectiv conectividad idad mirand mirando o a la conexión  regi stro stros. s. Como se pu ede vver er e n el registro siguient siguiente, e, la dirección MAC de l a tarjeta inalám inalámbrica brica  00: c0: ca: 3a: bd: 93 se ha registr registrado: ado: 

[21] 

 

Lab ora torio de configuración configuración inalámbrica

  ¿Qué ha pasado? 

Nos a caba de conect conectarse arse a nuestro punto de a cceso ccon on ééxito xito a partir de BackTr BackTrack ack con nuestra Alfa inalámbrica   tarjeta tarje ta como el d ispo isposit sitivo ivo i nal nalámbric ámbrico. o. También nos enteramo enteramoss d e cómo verificar que una con exió exión n s e ha  es tablecido tablecido tanto en e l cliente inal inalámbrico ámbrico y el lado del p unto unto de acceso acceso.. 

Tener un héroe va ya - el estableci e stablecimient miento o de cone conexión xión en la configuració configuración n de h éroe vaya WEP 

Aquí e s un eejercic jercicio io d ifícil ifícil para usted-co usted-configur nfigurar ar el p unto unto de acceso en la co configur nfiguración ación de WEP. Para  cad a uno d e estos, intentar eestablec stablecer er un a conexió conexión n co con n el pu nto de acceso median mediante te el adaptador adaptador i nalá nalámbric mbrico. o.  hombre bre iw confi config g para sab er cómo  Suge rencia rencia:: Consulte el manual para la iwconfig de comando comandoss escribien escribiendo do hom confi gurar la tarjeta p para ara conectarse a WEP. 

Pop Quiz - Conceptos básicos  1. De s pués pués de emitir el coman comando do ifconfig wlan0 hasta , ¿Cómo verificar la conexión conexió n inalámbrica  l a ta rjeta eestá stá en march marchaa y funcional?  2. ¿ Se puede eejecut jecutar ar todos los experimen experimentos tos con el BackTrack Live CD s olo? olo? Y n o se i nst nstala ala  en e l d is isco co dur duro? o?  3. ¿Qué ha ce el comando arp-a show?   4. La he rramien rramienta ta que deb emo emoss utilizar en BackTrack para conectarse a las red es WPA/WPA2 WPA/WPA2?? 

Resumen  En es te capítu capítulo lo se p ropo roporcio rcionan nan instruccio instrucciones nes detallad detalladas as so bre cómo configurar su p ropio ropio labor laboratorio atorio móvil.  Ade más, een Además, n el p roc roceso, eso, que ha a pre prendido ndido los paso pasoss básicos para: 

 

In s tala talación ción de B ackTr ackTrack ack en su disco du ro y la e xplorac xploración ión de otras opciones opciones,, como VMware  y USB 

 

La confi co nfi gurac guración ión de su punto de acceso desde el in terf terfaz az web 

?

? ?

   

?

La compre comprensión nsión y el uso de varios comando comandoss para config configurar urar y us ar s u tarjet tarjetaa i nalá nalámbric mbricaa  Cómo comp robar el estado de la conexión entr entree eell client clientee i nal nalámbric ámbrico o y el punto de acceso 

Es i mportante que adquie adquiera ra confia confianza nza en la con figu figuració ración n d el sist sistema. ema. S i no es a sí, es aconsej aconsejable able que  Pued e repetir est estos os ejemplos un par de ve veces. ces. En capítu capítulos los poster posteriores, iores, será la de d ise iseñar ñar más  es cenarios complicados. complicados.  En e l s iguiente iguiente capítu capítulo, lo, vamos a aprend aprender er acerca de la i nseg nseguridad uridad inhe inheren rente te a las redes WLAN, debido a  di s eño eño.. No Nosotr sotros os vamos a usar la herramien herramienta ta Analizado Analizadorr de redes Wireshark para en tend tender er estos co conce nceptos ptos  de un a manera práct práctica. ica. 

[22] 

 

2

 

  Su WLAN y  Las inseguridades inherentes  "El más nobl e de l e dificio, el más profundo de la base debe ser e stabl stablecido." ecido." 

Thomas Kempis, EEscritor scritor Nada grande se puede construir sobre una base débil, y en nuestr nuestro o co context ntexto, o, nada  seguro se guro s e puede constru construir ir sob sobre re algo qu quee es iinhe nherentem rentemente ente insegur insegura. a.  

 

WLAN están diseñadas para proporcionar ciertas inseguridades que son relativamente fáciles de explotar, como paquetes  s uplantación de i den dentidad, tidad, la in yección yección de paquete paquetes, s, y l a in hala halación ción (que incluso p odría odría pasar de l ejos) ejos).. Nosotros  expl orar las fallas en este capítulo capítulo..  En es e s te capítulo, vvamos amos a ve verr lo siguie siguiente: nte: 

  ?  ?  ?  ?  ?

Revisar Re visar l os marc marcos os WLAN  Marco de l os diferen diferentes tes tip tipos os y sub tipos  Us o d e Wireshar Wiresharkk para olfatear los marcos de gestión, contro controll y da tos  Olfa tear los paquetes de dato datoss para u na red inalámbr inalámbrica ica dado  In yectar p aqu aquetes etes en una red i nal nalámbric ámbricaa dado 

Vamos a emp empezar ezar!! 

 

 

WLAN y sus insegur idades inherentes

Revisar Rev isar los ma marcos rcos WLAN WLAN  Como e s te libro se ocupa de los a spectos spectos de segurid seguridad ad d e redes inalám inalámbr bricas, icas, vamo vamoss a suponer que  ya ti en en un conocimie conocimiento nto básico del proto protocolo colo y de la ca bece becera ra del paquete paquete.. Si no es así o si es  pa s ado algún tiempo desd desdee qu e trabajó en la red inalámbric inalámbrica, a, este sería un bu en momento para rev revisar isar  de nuevo nuevo..  Vam os a hora hora a revis revisar ar rápidamen rápidamente te algunos concep conceptos tos básicos de las redes WLA WLAN, N, qu e la mayoría d e ustedes yyaa se p uede ueden n  en cue cuenta. nta. En las redes WLAN, la comunicac comunicación ión ocurr ocurree en los marcos. Un marco te tend ndría ría las siguient siguientes es  cab ecera de la estructura: 

El "Frame Con tro trol" l" en e n sí mismo campo tiene una estructura estructura más compleja: 

[24] 

 

Capítulo 2

 

El camp o de ti po define el tipo de WLAN marco, q ue tiene tre tress posibilidad posibilidades: es:  1. Gestión de marcos: Marcos de gestión es responsab responsable le de mantener  l a comunicac comunicación ión e ntr ntree l os punto puntoss d e a cceso y clien tes inalá inalámbric mbricos. os. La D irecc irección ión  ma rcos pueden tener los siguie siguientes ntes sub-tipo sub-tipos: s: 

  ?  ?  ?  ?  ?  ?  ?  ?  ?  ?

Autenticación   De l a autentic autenticación ación 

Sol icitud de asociación asociación  Aso ciación de respuest respuestaa  Sol icitud de reasociación reasociación  Re Reaa sociac sociación ión de respue respuesta sta  Disociación  Faro   Probe Request  Pr Probe obe Response 

2. Tramas de contro control: l: Trama s d e control son responsable responsabless de a segur segurar ar un intercam intercambio bio adecuado de  da tos e ntr ntree el punto de acceso y cclili ente entess inalámbr inalámbricos. icos. Tr Tramas amas de control puede tener el  s i guientes s ub-tip ub-tipos: os: 

  ?  ?  ?

Sol icitud de envío envío (RTS)  Lis to para enviar (CTS)  Acuse de recibo (AC (ACK) K) 

3. Tramas de datos: Las tramas de datos llevar a l os datos reales enviad enviados os por la red inalám inalámbric brica. a. Hay  ha y tipos de s ub-tr ub-tramas amas de dato datos. s.  Vam os a discut discutir ir las i mplicacio mplicaciones nes de s egurid eguridad ad de cada un o de e stos cuadro cuadross cuando hablamos de diferentes  ata ques en los último últimoss capítulos.  Ahora vamos a b uscar la forma de oler estas tramas en un a red inalámbric inalámbricaa u tiliz tilizando ando Wireshark. Wireshark. Ha y otras herramien herramientas tas como airodump-ng, tcpdu tcpdump mp o ts hark que se puede u tilizar para oler    tamb ién. Nosotros, sin embarg embargo, o, el u so de Wireshar Wiresharkk p ara la mayor p arte de este libro, pero le a nim nimamos amos a que  expl orar otras herr herraa mie mientas. ntas. El prim primer er paso para h acer esto es crear u na interfaz en modo m onitor. onitor. Este  s e creará una i nter nterfaz faz de nuestra tarjeta de Alfa, que nos permite leer todas las tramas i nalám nalámbric bricas as e n el aire,  in dependien dependientemen temente te de si está destinado para nosotro nosotross o no. En e l mundo interconec interconectado tado,, eesto sto se conoc conocee popularmente como  modo promiscuo. 

[25] 

 

 

WLAN y sus insegur idades inherentes

acción ión - la creación de una interfaz de modo de Tiempo para la acc monitor  Ahora vamos a con figu figurar rar nuestra nuestra tarjeta de Alfa en mo do monitor!  Si ga estas instrucc instrucciones iones para comenzar:  1.

2.

Arr Arraa nqu e en BackTrac BackTrackk con su tarjeta de Alfa conectad conectado. o. Una vez que eesté sté dentro de la consola,  entrar iwconfig pa ra confirm confirmar ar que s u tarjeta ha sido detectad detectadaa y el conducto conductorr  ha cargado correctamen correctamente: te: 

w lan lan0 coma ndo para traer l a tarjeta de arriba. Compr Compruebe uebe que la tarjeta es d e hasta  Util ice el ifconfig   0 hasta med iante la ejecució ejecución n de ifc ifconfig onfig wlan0 wlan0. Us ted debe v ver er l a palabr palabraa UP en la s eg egund undaa línea de l a  de s alida ccomo omo se muestra: 

[26] 

 

Capítulo 2

 

3.

 

Para pon er nuestr nuestraa tarjeta en modo monitor monitor,, vamos a u tiliz tilizar ar el airmon-ng utilidad que se  di s pon ponible ible por d efecto en BackTr BackTrack. ack. La primera carrera airmon-ng pa ra veri ficar ficar que detecta el  tarje tas dispon disponibles. ibles. Uste Usted d d ebe vver er e l wlan0 interfaz aparece aparece e n l a salida: 

[27] 

 

 

WLAN y sus insegur idades inherentes

 

A continuación, introduzca airm airmon-ng on-ng start w lan0 para crear una in terf terfaz az de modo de mo nito nitorr  corres pond pondiente iente a la wlan0 dispositiv dispositivo. o. Este n uev uevo o m odo de in terf terfaz az d e mo nito nitorr s e  nombre mon0. Pued es vverificar erificar que se ha creado mediante la ejecuc ejecución ión de airmon-ng s in  a rgumentos de nuev nuevo: o: 

 

Además, correr ifconfig debería mostrar ahora una nueva interfaz llamada mon0: 

4.

5.

[28] 

 

Capítulo 2

 

¿Qué ha pasado?  He Hemos mos cre creado ado ccon on éxito una interf interfaz az de mo do de monitormon0. Esta interf interfaz az s e utiliz utilizaa para  Sni ff d e paquetes inalámbr inalámbricos icos fuera del aire. Esta interf interfaz az h a sido creado p ara ara n uestr uestraa ta rjeta inalám inalámbric bricaa Al fa. 

monitor  Tener un héroe ir - la creación de múltiples interfaces de modo monitor Es pos ible cr crear ear m últip últiples les i nter nterfaces faces de modo d e monitorear eell uso d e la ta rjeta físi física ca misma. Uso  l a airmon-ng s ervicio ervicioss público públicoss para ver cóm o puede hacer esto.  ¡Imp resionan resionante! te! Contamo Contamoss con una interfaz de modo de monitor a la espera de leer algunos paque paquetes tes fuera del aire.  Así qu e vamos a empezar empezar!!  En e l s iguiente iguiente ejercic ejercicio, io, vamos a u tiliz tilizar ar Wi reshark reshark para rastrear los paquete paquetess fu era era d el aire con el elmon0 mon0  el mod o de monitor de interfaz qu e acabamos acabamos de crear. 

acción ión - sniffing de paquetes Tiempo para la acc inalámbricos   Si ga estas instrucc instrucciones iones para comenzar a oler l os paquet paquetes: es:   

Inalámbrica ámbrica de laboratorio labor atorio que config Encen der nuestro punto de acceso Inal configura ura en Capítulo 1, 

 

In i cie Wireshar Wiresharkk escrib escribiendo iendo Wireshark y en la consola. Una vez q ue Wiresh Wireshark ark está een n march marcha, a,  ha ga clic en el Captura | Interfaces sub-menú: 

1.

2.

Laboratorio de configuración inalámbrica.  

[29] 

 

 

WLAN y sus insegur idades inherentes

 

Seleccione Se leccione la captura de paque paquetes tes de la mon0 in terfaz hacien haciendo do clic en el Comienzo botón situad situado o a la  dere cho de la mon0 i nterf nte rfaz az como s e muestra en la ca ptu ptura ra de p antalla a nter nterior. ior. Wireshar Wiresharkk  come nzar la ca ptu ptura, ra, y aho ra deb ería ería ver l os paquetes dentro de la ventana de W Wiresh ireshark ark:: 

 

Esto s son los paquetes inalámb inalámbrico ricoss que s u Alfa tarjeta wi-fi i nhalación nhalación del aire. En  Para ver cua lquie lquierr paquete, selecc selección iónelo elo en l a ventana super superior ior y todo el paquete se vvaa a  a pa rece en la ventan ventanaa del me medio dio:: 

3.

4.

[30] 

 

Capítulo 2

 

Ha ga clic en el tr trii ángulo delante de deIEEE IEEE 802.11 Wireless LAN marco de gestión para ampliar  y ver i nfo nformació rmación n adicion adicional. al. 

 

Mira a l os campo camposs de ca bece becera ra diferent diferentee en e l paquete y l as correlacio correlacionan nan ccon on la WLAN  tip os d e tramas y su b-tipos-que b-tipos-que ha aprend aprendido ido antes. 

5.

6.

 

¿Qué ha pasado?  Nos otros sólo olfateó nuestra prime primera ra s erie erie de p aquetes fuera del aire! Hemos puesto en marcha Wireshark que utiliz utilizan an la   control ar la interfaz de modo d e mon0 he mos cre creado ado anterior anteriormente. mente. Uste Usted d se d ará cuenta al mirar a la  regi ón de p ie de p ágin áginaa de Wireshark la velocidad a la que l os paquet paquetes es están siendo capturad capturadas as y tamb ién el  núm ero de paquetes capturad capturados os hasta ahora. 

[31] 

 

 

WLAN y sus inseguridades inherentes

Tener un héroe e ncontrar diferentes dispositivos dispositivos  h éroe ir - encontrar Ra s tros tros Wireshark puede ser un p oco i ntim ntimidant idantee a veces, y ni siqu siquiera iera por un razonable razonableme mente nte poblada  red i nalámbr nalámbrica, ica, usted po podr dría ía terminar oliend oliendo o unos cu anto antoss miles d e paquetes. P Por or l o tanto, es importan importante te  s er ca paz de profundizar só sólo lo a los paquetes que nos interesa interesan. n. Esto s e puede lograr usand usando o  Fi l tros en Wireshark. Explorar cómo ssee pueden utilizar estos filtros para id entificar únicos dis dispositivos positivos inalám inalámbr brico icoss  en l os rastros, tanto los puntos de acceso y cli ente entess inalám inalámbricos. bricos.  Si us ted no puede hacer esto, no se preocupe preocupe,, ya que es l o próxim próximo o q ue vvaa a a pre prender. nder. 

acción ión - Gestión de los l os marcos marcos de visualización, control y datos  Tiempo para la acc Ahora vamos a a pre prender nder cómo a plic plicar ar filtros en Wireshar Wiresharkk para ver l a gestión, cont control, rol,  y lo s d atos de los marcos.  Por favor, s i ga estas instru instruccio cciones nes paso a paso: 

 

1.

Para ver todo todoss los marcos de gestión de los paquetes capturado capturados, s, entra en el filtro  wlan.fc.type == 0 en l a ventana de filtr filtro o y ha ga clic en enAplicar. Aplicar. Us ted puede dejar el paquete  cap tura s i d esea esea e vitar que los paquetes de desp desplazamien lazamiento to hacia ab ajo demasia demasiado do rá pid pido: o: 

[32] 

 

Capítulo 2

 

Para ver tramas d e control, mod modificar ificar la expresió expresión n de filtro para leer leerwlan.fc.type wlan.fc.type == 1: 

 

Para ver las tramas de datos, modificar la eexpr xpresión esión de filtro parawlan.fc.type para wlan.fc.type == 2: 

2.

3.

[33] 

 

 

 

WLAN y sus insegur idades inherentes

 

Ade más de s eleccionar Además eleccionar un tipo de sub-utiliz sub-utilización ación de la wlan.fc.subtype fi l tro. tro. Por ejemplo, para vver er  todo s los marcos del faro de todos l os marco marcoss de ggestión estión de utiliz utilizar ar el sig siguien uiente te filtro(Wlan. filtro(Wlan.  fc.type == 0) & & (wlan.fc.subtype == 8). 

4.

 

5.

Si l o p refiere, pue puede de hacer clic en cualquiera de los campos de cabecera cabecera een n la ve ventan ntanaa central  y lu ego selecc seleccione ione Aplicar como filtro | Seleccionado pa ra a greg gregarlo arlo como un filtro: 

[34] 

 

Capítulo 2

 

6.

Esto a ñad ñadirá irá automáticam automáticamente ente la co corre rrecta cta expresió expresión n de filtro para que en el elFiltro Filtro campo  como s e mue muestr stra: a: 

[35] 

 

 

 

WLAN y sus insegur idades inherentes

¿Qué ha pasado?  Acaba mo moss d e e nter nterarnos arnos de cómo filtrar los paq uete uetess en Wiresh Wireshark ark utiliz utilizando ando diversas expresiones de filtro. Esto ayuda a  que nos permit permitee con tro trolar lar los paquetes selec seleccionado cionadoss de los dispositiv dispositivos os que están intere interesados sados e n, en lu gar de trata r de analiz analizar ar  todomás, s los po paquetes en el aire. Además, Ade podem demos os ver q ue la  cabecer cabeceraa del p aqu aquete ete de marcos de gest g estión, ión, control, y los datos están en  texto p l ano y no contiene ningún tipo de ci fr frado. ado. De esta maner maneraa cualquier persona que pueda interceptar lo loss paquetes  pue de leer eestas stas ccaa bec beceras. eras. También es i mpor mportante tante ttener ener en cuenta que tamb también ién es p osible que un hacker  mod ificar cualqu cualquiera iera de eestos stos paque paquetes tes y vvol ol ver a transmitir transmitir.. Como n o hay ningún ataqu ataquee l a integrid integridad ad o l a repetición   de mi tigac tigación ión een n el protoco protocolo, lo, esto es muy fácil d e hacer. Vere Veremos mos algunos de estos ataques en  cap ítulos p oster osteriore iores. s. 

con los filtros  Tener un héroe go - jugar con

Pued e consult consultar ar el manual d e Wireshar Wiresharkk para saber más a cerc cercaa de las expresion expresiones es de f iltro dispo disponibles nibles y  cómo us arlos. Tr Trate ate de ju gar con diferentes combinac combinaciones iones de filtro filtross h asta asta que e sté seguro  pue de p rofu rofundiz ndizar ar a cualquier nivel nivel de d etal etalle, le, ni rastr rastro o d e paquetes de gran tam tamaño. año.  En e l s iguiente iguiente ejercic ejercicio, io, vamos a ver có cómo mo rastr rastrear ear los p aqu aquetes etes de d atos transferid transferidos os entre nuestro acceso  pun to y el clien cliente te inalámb inalámbrico. rico. 

acción ión - sniffing de paquetes de datos de nuestra Tiempo para la acc red   En e s te ejerc ejercicio, icio, vvam am os a a pre prender nder a olfatear los paquetes de datos p ara una red inalámbrica dada. dada. Para el  Por si mplicid mplicidad, ad, vamos a ver l os paquetes sin n ingún tipo de ci frado. frado.  Si ga estas instrucc instrucciones iones para comenzar: 

 

1.

 

2.

Enci enda el p unto unto de acceso que había nombr nombrado ado a Inal Inalámbrica ámbrica de labor laboratorio atorio . Deja que siguen configurados   no u tilizar el cifrado.  En pri mer lu gar, gar, tendrá que encontr encontrar ar el ca nal en e l que la Inal Inalámbrica ámbrica de labor laboratorio atorio punto de acceso acceso 

 

airodump-ng - bssid s00:21:91: e está e jD2: ecutand ecutando. o. Para abre00:21:91: un te rm rminal inal y eje ejecut 8E: 25 mon0ello, donde D2: 8E: 8E : 25cutar esarla direc direcció ción n MAC de 

nue stro punto de acceso acceso.. Vamos a la e jecu jecución ción del pro progr grama, ama, y en breve debe consult consultar ar a su punto de acceso  mue s tra en la pantal pantalla la junto con el canal que se es tá ejecutando: 

[36] 

 

Capítulo 2

 

3.

 

4.

 

Inalámbrica ámbrica de laborator io Pode mos ver en la captura de pantall pantallaa a nterior nterior que nuestro punto de accesoInal es  que s e ejecutan en el canal 11. Ten ga en cuent cuentaa que esto puede ser diferente de s u pun punto to de acceso.  Con e l fi n de rastrear l os paque paquetes tes de d atos que iban y venían desde eeste ste punto de acceso, es necesar necesario io  bl oq ueo de n uestr uestraa ta rjeta in inalámb alámbrica rica en el mismo canal que es e l canal de 11. Para ello ejecutar el  comando iw config mon0 canal 11 y luego ejecutar iwconfig mon0 para verificar  el mismo. Usted deb debee ver ver e l valorFrecuencia: 2,462 GHz en la salida. salida. Est Estee  corres ponde al canal 11: 

[37] 

 

 

WLAN y sus insegur idades inherentes

 

5.

Ahora en cend cender er Wire Wireshark shark y empezar a oler en el mon0 i nte nterf rfaz. az. Despué Despuéss de Wireshark ha  come nzó a esnifar lo loss paquetes, aplicar un filtro para la bssid de nu es estro tro punto de acceso como se muestra   jun to con wlan.bssid == 00:21:91: D2: 8E: 25 en el área de filtro. Util Utilice ice el ap rop ropiado iado  Di rección MA MAC C del punto de acceso: 

 

6.

Para ver lo s paquetes de datos para nuestr nuestro o p unto unto d e acceso acceso,, a ñad ñadaa lo s iguien iguiente te al filtro  (== Wlan.bssid 00:21:91: d2: 8e: 25) & & (wlan.fc.type_subtype == 0x20).Abr 0x20). Abraa s u   na vegador de la computad computadora ora portátil del cliente y escriba la direcc dirección ión URL d e la i nterfaz de gestión  pun to de a cceso cceso.. En mi caso, como hemos vvis is to en Capítulo 1, es http://192.168.0.1. Este  va a gen erar paquetes de d atos que Wireshark captur captura: a: 

[38] 

 

Capítulo 2

 

7.

 

Como p ue de vver, er, l a detección de p aquetes nos permite analiz analizar ar los p aqu aquetes etes de datos no ci frados frados muy   fá cilmente. Esta es l a razón p or la cual te tenemo nemoss que u til tilizar izar la e ncriptaci ncriptación ón inalámbric inalámbrica. a. 

¿Qué ha pasado?  Acaba mo moss de paquetes de datos s obre obre olfateó el aire con Wireshar Wiresharkk u tili tilizand zando o d iver iversos sos filtro filtros. s. A me did didaa que nuestra  pun to de acceso no eest stáá utilizando ningú ningún n tipo d e cifrad cifrado, o, podemos ver todos los datos en texto plano. Este es un  probl em emaa de s eguridad eguridad importan importante te como cualquier cualquieraa dentro del a lc lcance ance de RF del p unto de a cceso pue puede de ver todoss los paquetes si  todo s e u tiliz tilizaa un sniffer ccomo omo Wireshar Wireshark. k. 

[39] 

 

 

WLAN y sus insegur idades inherentes

vaya ya - el análisis de paquetes paquetes de Tener un héroe va datos 

Util ice Wireshar Wiresharkk p ar araa a nali nalizar zar l os paquet paquetes es de datos adicio adicionales. nales. Usted not notará ará qu e una solicitud de DHCP  s e hace po r el cliente y si h ay un servidor DHCP disponib disponible, le, respon responde de con una d irecc irección. ión. Entonc Entonces es  us ted e ncont ncontrará rará paqu paquetes etes ARP y otr otros os paquete paquetess de p rotocolo en e l aire. Este es u n bonit bonito o y s enc encillo illo  ma ne ra de hacer el descubr descubrimiento imiento de sistemas pasi pasivos vos en e n la red i nalá nalámbric mbrica. a. Es i mpo mportan rtante te s er capaz de ver  un pa quete de rastrear y rreco econstruir nstruir cómo las a plic plicaciones aciones en el h ost inalámb inalámbrico ricoss se com unican unican  con e l resto de la re d. Una de las caract característic erísticas as más interesan interesantes tes de Wireshark ofrece es  "Seguir "Seg uir una s ecu ecuencia" encia".. Esto le permit permitee ver varios paquete paquetess juntos, que forman parte d e un TCP  camb io, en la mis ma cconexión. onexión.  Ade más, trate de iniciar s esión Además, esión en gmail.com o e n cualqu cualquier ier otro sitio web p opular opular y a nalizar los dato datoss  tráfi co gener generado. ado.  Ahora vamos a ve verr un a demostr demostración ación de có cómo mo inyectar paquetes en u na red i nalám nalámbric brica. a. 

acción ión - la inyecc inye cción ión de Tiempo para la acc paquetes 

Nos otros vvaa mos a usar el aireplay-ng herramienta que está disponible en BackTrack para este ejercicio.  Si ga cuidado cuidadosame samente nte estas instruc instrucciones: ciones: 

 

Con e l fi n de hacer una prueba de iny inyección, ección, primer primero o Wiresh Wireshark ark de in ic icio io y l a eexpr xpresión esión del filtro filtro(Wlan. (Wlan.  == bssid 00:21:91: d2: 8e: 25) & & (wlan.fc.type_subtype == 0x08)!.Esto 0x08)!. Esto s e asegur asegurará ará de  que s ólo vvem em os no fa ro paquetes de nuestra red de l abor aborator atorios. ios. 

 

Ahora ejecuta el s iguien iguiente te comando aireplay-ng -9-e inalámbrica Lab-un  00:21:91: d2: 8e: 25 mon0 en un term termina inal: l: 

1.

2.

[40] 

 

Capítulo 2

 

3.

 

Vol ver a Wireshar Wiresharkk y us ted debe debería ría ver un montón de p aquetes aquetes en la p antalla ahora. Alguno Algunoss  de es tos p paquetes aquetes han sido enviad enviados os por aireplay-ng que pusi pusimos mos en m arch archa, a, y otros   Inalámbrica ámbrica de laboratorio labor atorio en res puest s on d esde el p unto unto de acceso Inal puestaa a los paquetes inyectados: 

¿Qué ha pasado?  Acaba mo moss de é xito iny inyecta ecta paquetes en nuestr nuestraa red de labor laboratorios atorios de prueba con aireplay-ng. Es   im portante tener en cuen ta que nuestra tarjet tarjetaa de inyectar estos paque paquetes tes arbitr arbitrarios arios a la red sin  Inalámbrica ámbrica de laborator io. en rea lidad lidad está conectad conectado o al p unto de acces acceso o Inal  

[41] 

 

 

WLAN y sus insegur idades inherentes

instala ción de BackTrack BackTrack en Virtual Virtual Box   Tener un héroe ir - la instalación Vam os a ver la i ny nyección ección de paquete paquetess con mayor detalle en capítulo capítuloss posteriores, sin emb embargo, argo, no d ude ude en  expl orar otras opciones de la aireplay-ng herramienta para inyectar paquetes. Se puede verificar que  in yección de é xito median mediante te el u so de Wireshar Wiresharkk para mo nito nitorear rear el aire. 

Nota importante sobre WLAN inhalación y la inyección   WLAN s ue len operar dentro de l os tres rangos de fre frecue cuencia ncia difer diferentes, entes, 2,4 GHz, 3,6, y  4.9/5.0 4.9/5 .0 G GHz. Hz. No todas las ta rjet rjetas as Wi-Fi de a poyo poyo a todos esto estoss rangos y ba ndas aso asociadas. ciadas. C Co o mo  eje mplo, la ta rjet rjetaa de Alfa, que e stam stamos os utilizan utilizando, do, sólo es co compatib mpatible le con IIEEE EEE 802 802.11b .11b / g. Es to signific significaría aría  Esta carta no puede operar en 802 802.11a .11a / n. El punto clav clavee aquí es q ue al inhalar o in yectar yectar paqu paquetes etes en un  ba nda e n particu particular, lar, su tarjeta Wi-Fi te tendrá ndrá que apoyarlo apoyarlo..  Otr Otro o a s pecto interesan interesante te de la te cno cnología logía Wi-Fi es qu e en cada una de e stas band bandas, as, hay múltip múltiples les  can a les les.. Es impo importante rtante tener en cuenta que su tarjeta Wi-Fi s ólo pue puede de ser een n un canal en un momento dado  mome nto. No es posible sintonizar vvarios arios canales al mismo tiempo. La analogía que se p uede  da r es la radio del coche. Se puede aju ajustar star a u no s olo de los canales d disponib isponibles les en un mo mome mento nto dado  tie mpo. Si q uier uieres es escuchar algo diferen diferente, te, tendr tendráá qu e cambiar el canal d e la radio.  El mi smo princip principio io se a pli plica ca a oler WLAN. Esto nos lleva a una i mpor mportant tantee conclusi conclusión: ón: que  No p ue de oler todos los canale canaless al mismo tiempo, tend tendremos remos que seleccion seleccionar ar el canal que e s de interés  pa ra n osot osotros. ros. Lo que esto signific significaa es que si nuestro pu nto de a cceso de interés en el canal 1, tten en dr dremos emos que  pon er nuestra tarjet tarjetaa en e l canal 1 1..  A p esar d e que se han ocu pad pado o de i nhalación nhalación en l os párraf párrafos os anterio anteriores res WLAN, lo mismo se a plica plica a  in yección, así. Para iny inyectar ectar paquetes en un canal específico, específico, que tendrá que p oner oner la tarjeta de ra dio  en e se cana canal. l.  Ahora vamos a hacer a lguno lgunoss e jercic jercicios ios s obre obre la configurac configuración ión d e nuestra ta rjet rjetaa d e ca nales espec específic íficos, os, sa lto de canal, canal,  es tablecimiento tablecimiento de do min minios ios de reglamen reglamentació tación, n, l os niv niveles eles de potencia, y a sí sucesivamen sucesivamente. te. 

acción - a experimentar con su tarjeta de Alfa Tiempo para la acción Si ga atent atentamente amente las instruccio instrucciones: nes:   

1.

 

Entrar en e l iwconfig wlan0 de comandos para comprobar Entrar comprobar la capacid capacidad ad d e la tarjeta. A me medid didaa qu e  pue de ver e n la s iguiente iguiente captura de pantal pantalla, la, la tarjeta de Alfa puede funcionar en elb el by gbandas: 

[42] 

 

Capítulo 2

 

Sól o p ara fines de d emo emostració stración, n, cuando me conect conecto o o tra tarje tarjeta, ta, un D -Link DWA-12 DWA-125, 5, vemos  que es ca paz de b, g, y nbandas: 

 

Para configurar la tarjet tarjetaa en e n un canal en particular particular se utiliza el iw iwconfig config m mon0 on0 canal X   comandos: 

2.

3.

[43] 

 

 

 

WLAN y sus insegur idades inherentes

 

4.

La iw config config s erie de coman comandos dos no ti ene un modo de s alto alto d e canal.  Se pod ría escrib escribir ir un script sencillo sencillo sobre ella para hacer que funcio funcione. ne. Una forma más fácil es usar  airodump-ng con o pci ones ones para los canales de salto ya s ea de manera arbitrar arbitraria ia o s ólo un su bconju bconjunto nto o   s ól o algunos grupos. Todas estas opcion opciones es se mu estr estran an en la siguiente captu captura ra de p antalla  cua ndo n os encontram encontramos os airodump-ng-ayuda : 

¿Qué ha pasado? 

Enten dimos que ta nto inalám inalámbr bricas icas inhalación y la i ny nyección ección de p aqu aquetes etes dependen del h ardw ardware are  de a poyo disponib disponibles. les. Esto significa que sólo pueden operar en l as band bandas as y ca nales permitid permitidos os  por n ue stra tarje tarjeta. ta. Adem Además, ás, la ta rjeta in inalámbr alámbrica ica de ra dio sólo puede estar en un canal a la vez. Es to  ad emás signif significa ica que sólo podemos inh inhalar alar o i ny nyectar ectar en un canal a la vez. 

Tener un héroe inha lación de múlti m últiples ples canales canales  h éroe ir - inhalación Si a usted le ggusta usta oler de forma simultán simultánea ea en mú lt ltiples iples canal canales, es, que s e requier requieren en múltiples  fís i ca tarjetas Wi-Fi. Si usted puede conseguir tarjetas adicionales, entonces usted puede inten tar para olfatear olfa tear en múltiples   can a les simultán simultáneam eamente. ente.  [44] 

 

Capítulo 2

 

El papel de los dominios de regulación de los accesos móviles   La compl ej ejidad idad de la tecnologí tecnologíaa Wi -Fi no termin terminan an a quí quí.. Cada país tiene su propio espectro sin licencia 

la a sign signación ación de la polít política. ica. Los u suario suarioss d e este dicta específicam específicamente ente permitid permitido o que los niveles de en ergí ergíaa y ha permi tido tido el es pectro. En los EE.UU., por ejemplo, la FCC decide, y si usted utiliz utilizaa l as redes redes WLAN e n el q ue EE.UU.  tie nen qu e cumplir ccon on estas regulac regulacion iones. es. En alg algunos unos países países,, no hacerlo es un delito pu nib nible. le.  Ahora ech em emos os un vistazo a cómo podemos encont encontrar rar la config configurac uración ión por de fecto fecto de reglam reglamentac entación ión y cómo cambiar  el los si es necesar necesario. io. 

acción ión - a experimentar con su tarjeta de Alfa   Tiempo para la acc Re Reaa lice los sigu siguiente ientess pasos: 

 

Rei Re i nicie su orden ordenador ador y no conectar la tarjeta de Alfa a ella todavía. 

 

Una vez con ectad ectado, o, el mo nito nitorr los mensajes del kernel ccon on el cola comando: 

 

In s erte la ttaa rjeta de Alfa, deber debería ía ver ver a lgo que se asemeja a las siguientes  cap tura de p antalla. Esta es la con figu figuració ración n por d efecto de regula regulación ción aplicad aplicado o a la ta rjeta: 

1. 2.

3.

[45] 

 

 

WLAN y sus insegur idades inherentes

 

Vam os a supon suponer er que se b asan en los EE.UU.. Para cambiar eell do min minio io regulador regulador para la  EE.UU.. en un nuevo termina EE.UU., que e l comando iw reg c onjunto de EE.UU terminal: l: 

 

Si el coman comando do eess correct correcto, o, se o btien btienee una salida como se muestra (en el siguient siguientee  cap tura de p antalla) en la te rminal dond do ndee estamos monito monitorean reando do / var / l og / me messages ssages:: 

 

Ahora trata, de cambiar la tarjeta en el canal 1 11, 1, que iba a funcionar funcionar.. Pero ccuan uan do s e trat tratee de ca mbiar mbiar  pa ra el ca nal 12 12,, s e produce un err error. or. Esto se debe a que el canal 12 no s e perm permite ite para su uso en  lo s EE.UU. EE.UU.:: 

4.

5.

6.

[46] 

 

Capítulo 2

 

 

Lo mi s mo se a plica p para ara los n ivele iveless de potencia. Lo Loss EE.UU. s ólo permit permitee un máximo de 27dBm (500  mi l ivatios), ivatios), por lo que a pesar de qu e la tarjet tarjetaa de Alfa cuenta con una potencia anun anunciada ciada de 1 Watt (30  dBm) , no puede configurar la tarjeta tarjeta a la potencia máx máxima ima de transmis transmisión: ión: 

 

Si n e mbargo mbargo,, si e stuv stuviéramos iéramos en Bolivia, enton entonces ces podríamos podríamos transmitir a una poten potencia cia de 1 vatio, como   es to es p ermitid ermitido o allí. Como podemos ver, una vez establec establecido ido el dominio regula reg ulador dor para la  Bolivia-iw reg conjunto BO, Pode mos cambiar la tarjet tarjetaa de potencia de 1 vvati ati o o 30DMB.  Ta mbién puede utili utilizar zar el canal 12 en Bolivia, que fue rechaz rechazado ado en e n los EE. EE.UU.: UU.: 

7.

8.

[47] 

 

 

WLAN y sus insegur idades inherentes

¿Qué ha pasado?  Cada país tiene s us prop propias ias regulacio regulaciones nes para el u so de l a banda inalám inalámbric bricaa s in licen licencia. cia. Cuando  pon er n uestr uestro o d ominio ominio regulad regulador or de un país eespecíf specífico, ico, n uestr uestraa tarjeta va a o bedecer a los ca nales permitido permitidoss y 

 

ni potenc potencia iaeen specificada. icada.no Sinpembarg embargo, o,s yespa fácil cambiarirelado domin minio iopo regulado regulador r de la tarjeta oblveles igande a trabajar ne specif los canales erm ermitido itidos ra transmit transmitir más de tenc tencia ia permitid permitidos. os.  y

Tener un héroe dominioss reguladores reguladores  h éroe ir - la exploración de dominio Mira los diferente diferentess p arám arámetros etros se p ueden estab establecer lecer como canal, el p oder, dominio dominioss re regu gulator latorios, ios,  y a s í s ucesiv ucesivame amente. nte. Utilizan Utilizando do el iw s erie de comandos en BackTrack. Esto debe darle una empresa  comprensión compre nsión de cóm o config configurar urar su tarjeta cuando usted se e ncuentra en diferentes países y la necesidad de  camb iar la conf configuración iguración de la tarjet tarjeta. a. 

Pop Quiz - paquete paquet e de WLAN inhalación y la inyec inyección ción  1. ¿ Qué tip os de trama es responsab responsable le de la a uten utenticació ticación n en redes i nal nalámbric ámbricas? as?  a. Control Control   b. Administración 

c.  Datos   d. QoS  

2. ¿Cuá l es el nombre de la i nter nterfaz faz del monito monitorr segundo modo q ue se pueden crear en  w la lan0 n0 uso airmon-ng?   a . Mon0  b. Mon1  c.  1Mon  d. MONB 

3. ¿ Cuál es la e xp xpresión resión de filtro para ver todas las tramas no faro en Wiresh Wireshark? ark?  a . ! (Wlan.fc.type_subtype (Wlan.fc .type_subtype == 0x08) 

lan.fc.type_subtype _subtype == == 0x08  b. w lan.fc.type

c.  (Sin guía)  

d. Wla Wlan.fc n.fc .type == 0x08 

[48] 

 

Capítulo 2

 

Resumen  En e s te capítu capítulo, lo, hemo hemoss h echo algunas observ observaciones aciones impor importante tantess so bre bre l os protocolo protocoloss d e WLAN:  Marcos de gestión, de contr control ol y de d atos están cifrad cifrados os y por l o tan to puede ser fácilm fácilmente ente leída por  al guien que está vi gilan gilando do el e spac spacio io aéreo. Es importan importante te señalar aquí que el paquet paquetee de datos  carga pu eden ser protegid protegidos os mediante el cifrado de mantenerla confidencial. confidencial. Vamos a hablar de esto en  el próximo capítulo capítulo..  Pode mos rastrear todo el espacio aéreo de n uestr uestro o entorno, poniend poniendo o n uestra uestra tarjeta en modo mo nito nitor. r.  Ya que no hay protecció protección n d e la integr integridad idad en l a gestión y los marco marcoss de con trol, trol, es muy fá cil de inyectar  es tos paquetes modificándo modificándolos los o vol ver a ju gar ccomo omo e s el u so de h erramientas erramientas tales como aireplay-ng.  Si n e ncriptar los paquetes de d atos tamb también ién se p ueden modif modificar icar y rrep ep roduc roducir ir de nuevo a la red. Si e l  pa quete está cifrado, podemo podemoss repetir el paquete tal como está, como WLAN por su diseñ diseño o n o tiene  pa quete d e protec protección ción de reproducc reproducción. ión.  En e l s iguiente iguiente capítu capítulo, lo, va mos mos a ver diferentes mecan mecanismo ismoss de autentic autenticación ación que se u til tilizan izan en  WLAN, como ireccion iones es MAC, autenticació autenticación n comp compartida, artida, y as í sucesivam sucesivamente, ente, y comp ren render der los diversos   fi ltrado de d irecc fa l las de seguridad en ello elloss a trav través és de d emostr emostracion aciones es en vi vo. 

[49] 

 

3

 

Sin pasar p asar por la autenticación de W WLAN LAN  "Una falsa falsa sensa sensación ción de seguridad e s peor que estar seguro."  Anónimo 

Una fals a sensac sensación ión de seguridad es peor que ser inseg inseguro, uro, ya que puede  no e sta r preparado preparadoss par paraa enfrent enfrentar ar la e ventualiidad dad de ser h hackeado ackeado..  

Las WLAN tienen esquemas de autentic autenticación ación débiles débiles,, qu e pueden romperse fá cilmente y anuladas. En este  cap ítulo, vamos a ver l os esquem esquemas as de autentic autenticación ación utiliz utilizado ado en var varias ias redes WLAN y a prender a  lo s golpea golpearon ron..  En es e s te capítulo, vvamos amos a ve verr lo siguie siguiente: nte: 

  ?  ?  ?  ?

De s cubrir SSID ocult oculto o  Sup erando los filtros MA MAC C  Pas ando por alto l a autentic autenticación ación abier abierta ta  Si n p asar por l a autentic autenticación ación de clave comp compartid artidaa 

SSID oculto   En el e l mod o de config configurac uración ión por de defe fecto, cto, todos los punt puntos os de a cceso envían sus SSID en el Beacon  ma rcos. Esto permite a l os clien clientes tes een n los alrededore alrededoress para descubrir con facilidad facilidad.. SSID oculto es una  confi gurac guración ión en el punto de acceso no eemit mitee su SSID en las tramas de Beacon. Por Por l o tanto,  Sól o los clientes que conocen el SSID del pu nto de a cceso puede conectar conectarse se a él.  De s afortunad afortunadamente, amente, esta medida no pro proporc porciona iona una seguridad robusta, pero l a mayoría d dee la rred ed  lo s administ administrado radores res creo que sí. Ah ora vvaa mos a buscar la forma d e descubr descubrir ir los SSID ocultos. 

 

Sin p asar p or la autenticación autenticación de WLAN

 

acción - el descubrimiento SSID Tiempo para la acción oculto  instrucciones Si ga estas instrucc iones para comenzar:  1.

 

 

2.

Us o d e Wireshar Wireshark, k, si hacemos un seguimien seguimiento to de l os marco marcoss del f aro Inal Inalám ámbrica brica de laborator io de la red,  s omo omoss capaces de ver el SSID en te texto xto plano. Usted debe ver tramas de señaliz señalización ación como se muestra e n  l a s iguiente iguiente pantal pantalla: la: 

Confi gurar el punto de acceso para estable establecer cer el Inalámbrica de laboratorio l aboratorio red com o un SSID o cult culto. o. La   opci ón de co configur nfiguración ación real d e hacer esto puede vvaa riar según según los p untos de acceso acceso.. En mi caso ,  ne cesidad de comprobar la laInvisible Invisible opción en el Visibilidad de estado opci ón como se muestr muestraa a continuación: 

[52] 

 

Capítulo 3

 

3.

Ahora bien, si nos fijamos en la traza Wireshark Wireshark,, usted encontrar encontraráá que e l SSID SSIDInalámbrica Inalámbrica de laboratorio ha   de s apare aparecido cido de l os marco marcoss del faro faro.. Esto es lo qu e SSID oculto se trata: 

[53] 

 

 

Sin p asar p or la autenticación autenticación de WLAN

 

 

Con e l fi n de evitar, en prim primer er lugar vamo vamoss a utilizar la técnica pasiv pasivaa de esperar a que u n  cli ente legít legítimo imo para con ect ectar ar el p unto de acceso. Esto vvaa a gener generar ar solicit solicitud ud de la s onda onda y  Paqu etes de s ondeo ondeo de respuesta que ccontendrá ontendrá el SSID de l a red, lo que revela  su presenc presencia: ia: 

 

Alte rnativam rnativamente, ente, puede utilizar aireplay-ng para enviar paquetes a deautenticación  Inalám ámbric brica a de laborator io pu nto d e acceso, esc toda s las estacio estaciones nes en nombre de la Inal escrib ribaa aireplay-  ng -0 5-a 00:21:91: 00:21: 91: 8E:: D2 25 mon0. La -0 opci ón es que la elec elección ción de un  De a utent utenticació icación n ataque, y 5es el número de p aqu aquetes etes de deauten deautenticació ticación n envia enviar. r.  Por últi mo, -A espec especifica ifica la d irecc irección ión M MAC AC del pu nto de acceso que s e dirigen dirigen:: 

4.

5.

[54] 

 

Capítulo 3

 

 

Los pa quetes quetes de deauten deautenticació ticación n anter anterior ior o oblig bligará ará a to todos dos los cl iente ientess legítimos legítimos p ara descone desconectar ctar  y vol ver a conectar. Sería una buena idea añadir un filtro de paquetes de deautenticac deautenticación ión  pa ra verlas de una maner maneraa aislar aislar:: 

 

Las respuesta respuestass de la sonda desde el p un unto to de acceso se termin terminan an revelan revelando do su S SID oculto oculto..  Esto s paquete paquetess se mostrará en Wireshar Wireshark, k, co como mo se muestra a con tinuación inuación.. Una ve vezz que los clientes legítimos   cone ctar de n uev uevo, o, podemos vver er e l SSID oculto con la s olicitud olicitud de la sonda y l a sonda  Marcos de res puesta. puesta. Usted puede utili utilizar zar el filtro (== Wlan.bssid 00:21:91: d2: 8e: 25) & &  ! (Wlan.fc.t (W lan.fc.type_sub ype_subtype type == 0x08) pa ra controlar todos los paquetes no -Beac -Beacon on un lado a otro d e  el punto de acce acceso. so. LLaa & & s i gno represen representa ta el operador lógico AND y el !signo  repre senta el operador lóg lógico ico NOT: 

6.

7.

[55] 

 

Sin pasar por la autenticación de WLAN

 

¿Qué ha pasado?  A p esar d e q ue el SSID está oculto y no de difusió difusión, n, cada vez que un cliente legítim legítimo o trata de  cone ctarse al punto de acceso acceso,, s oli olicitud citud de cambio de la sonda y los paq uete uetess de respuesta de la s ond onda. a.  Estoss paquete Esto paquetess contiene contienen n el S SID del punto de acceso. A medida que estos paquetes no están cifrados, que  pue de ser muy fá cilmente inhala inhalados dos del aire y el SSID se puede encontr encontrar. ar.  En much os casos, los clientes pueden estar yyaa conectado al punto de a cceso y no s e puede  no de l a sonda de solicitu solicitud d / respuesta de paquetes paquetes disponib disponibles les en la traza de Wireshar Wireshark. k. En este sent sentido, ido, la fuerza pued puedee  de s conect conectar ar los clientes desde el punto de acceso mediante el e nv nvío ío de p aque aquetes tes falsific falsificados ados d eaute eautentic nticación ación  en el aire. Est Estos os paquetes se fuerz fuerzaa a los clientes a conecta conectarr de nu evo a l punto de acceso acceso,, por lo tanto  revelando el SSID. 

héroe éroe ir - deaute de autentic nticación ación selección selección  Tener un h En e l ejercicio anterior anterior,, e nvia nviamos mos paquetes de d ifusi ifusión ón a la recone reconexión xión deauten deautenticació ticación n fuerza  de todo s los clientes i nalá nalámbric mbricos. os. Tratar de ver cómo s e puede a puntar puntar selectiv selectivamente amente a clientes indiv individual iduales es utilizando  aireplay-ng.  Es i mportante señ señala alarr que a p esar de que se ilustran muchos de estos conceptos conceptos con  Wi reshark, es p osible organiz organizar ar eestos stos ataques con otras herramientas herramientas como aircrack-ng  s ui te, así. Nosotro Nosotross animamo animamoss a explor explorar ar todo el aircrack-ng conju conjunto nto de h herramientas erramientas y  otra docu mentac mentación ión que se e ncu ncuentr entraa en e n su sitio we b:http://www.aircrack-ng.org .  [56] 

 

Capítulo 3

 

MAC filtros  Fi l tros tros MAC son una técnic técnicaa de l a vejez utiliz utilizaa para la a uten utenticació ticación n y autorizació autorización, n, y han  s us raíces en el mu ndo cab cableado. leado. Por d esgrac esgracia, ia, fallan miserablem miserablemente ente en el mundo inalámb inalámbrico. rico.  La i dea b ásic ásicaa es e s la de autenticar basad basado o en la dirección MAC de l cliente. Esta lista de permitid permitidos os  Las direcciones M MAC AC se man tend tendrá rá por el a dministr dministrador ador de la red re d y se introd introduce uce een n el  pun to de acceso. Sabre Sabremos mos ver lo fácil q ue es para evitar los filtros MA MAC. C. 

acción ión - superando filtros MAC  Tiempo para la acc Que com ience el juego: 

 

1.

Primero Prime ro vamos a configur configurar ar nuestro punto de acceso para utili utilizar zar el filtrado de MAC y lu eg ego o agregar agregar el cliente  Di rección MAC de la computador computadoraa p ortátil ortátil víct víctima. ima. Las p ágin áginas as d e configurac configuración ión de mi rou ter el s i guien guiente te aspecto aspecto:: 

[57] 

 

Sin pasar por la autenticación de WLAN

 

 

Una vez fi ltr ltrado ado MAC es tá activ activado ado sólo p erm ermite ite la direcció dirección n MAC será ca paz de  con é xito la autenticac autenticación ión con el punto de acceso. Si tratamos de conectar con con el acceso  pun to d e una máquina con una dirección MA MAC C no l a lista blanca, la conexió conexión n fallará  como s e m uestr uestraa a continuació continuación: n: 

 

De trás d e las escen escenas, as, el p unt unto o d e acceso es el envío de mensaj mensajes es de a ute utenticac nticación ión de la falta de  el cliente. La tra za de p aqu aquetes etes sería similar al sigu siguiente: iente: 

2.

3.

[58] 

 

Capítulo 3

 

4.

 

5.

 

Con e l fi n de superar l os fil filtros tros MAC MAC,, pod emos emos usar airodump-ng pa ra enco encontrar ntrar l as direcciones MAC  de los clientes conectados al punto de acceso. Podemos hacer esto mediante la emisión de los comandos  airodump-ng-c 11-a - bss id 00:21:91: D2: 8E: 25 mon0 mon0. Especificando   l a bssid, Sólo se h ará un s egu eguimiento imiento del punto de acceso que es de i nte nterés rés para nosotr nosotros. os. La -C  11 es tablece tablece que el ca nal 11, donde el p unto unto de acceso. La -A a segura que en el cliente  se cción de la airodump-ng de salida, los client clientes es sólo se asocian y se conecta a u n  pun to d e a cceso se muestran muestran.. Esto nos mostr mostrará ará todas las direccione direccioness MAC del client clientee asociado  con e l punto de a cce ccesso: 

Una vez q ue nos e nco ncontram ntramos os frente a u n clien cliente te la list listaa blanca de MAC, se puede falsif falsificar icar la direcció dirección n MAC de   el cliente utiliz utilizando ando el macchanger utilidad que viene con BackTrack. Usted puede utilizar el   comando macchanger-m 60: FB: FB: 42: D5: E E4: 4: 01 w lan0 pa ra lograr esto. La   De di recc recciones iones MAC que e specif specifique ique con el -M op ción es la nu eva direcc dirección ión M MAC AC falsa p ara  l a wlan0 interfaz: 

[59] 

 

Sin p asar p or la autenticación autenticación de WLAN

 

6.

 

Como se puede ver claramente, estamos ahora en condiciones de conectarse al punto de acceso después de s uplantac uplantación ión de identid identidad ad   l a dirección M MAC AC de un client clientee de la l ist istaa blanca. 

¿Qué ha pasado? 

Se mo nitoreó el aire con airodump-ng y en contrar la dirección MAC de l os clien clientes tes legítimo legítimoss  cone ctados a l a red inalámbric inalámbrica. a. A con tinuació tinuación, n, utiliza la macchnager utilidad para camb ca mbiar iar nu nuestr estraa  di rección MAC de la ta rjeta in inalámbr alámbrica ica para que coincid coincidaa con el del cliente. Este engañó a los p untos de acceso en la cr creenci eenciaa de  que s on los clientes l egítimos, egítimos, y que nos permitió el a cceso a s u red inalámb inalámbrica. rica.  Se le anima a explor explorar ar las diferent diferentes es opciones de la airodump-ng utilidad por ir  a través de la document documentación ación en su página web:http://www.aircrack-ng.org/doku.   php? id = airodump-ng. 

 Autenticación abierta   La a utentic ute nticación ación abiert abiertaa plazo es casi un nombre inapr inapropia opiado, do, ya que een n realid realidad ad n o ofrece ningun ningunaa 

 

de tenticado a utenticac utenticación ión.. Cua nd ndo o un p untolos declacceso configurado rado para tilizar izar autentic autenticación ación abiert abierta, a, s e au tenticados s correctamen correctamente te todos iente ientessestá que configu se conectan a éél.l. u til

Ahora vamos a h acer un e jercic ercicio io para a uten utenticar ticar y cone ctar ctarse se a un pu nto de a cces cceso o u tilizand tilizando o Open  Autenticación.  

Tiempo para la acción acción - sin pasar por la autenticación abiertaho  ra la fo Vea mos a hora forma rma de eludir la autenticac autenticación ión abierta:   

1.

En p rime r lugar, se establece nuestro punto de acceso de lab orat oratorio orioInalámbrica Inalámbrica de laboratorio pa ra utilizar la autentic autenticación ación abiert abierta. a. En  mi pun to de a cceso se tr trata ata simplem simplemente ente de hacer me median diante te el eest stablec ablecimiento imiento de deModo Modo de seguridad a Ninguno: 

[60] 

 

Capítulo 3

 

 

A conti nuac nuación, ión, conectar conectarse se a este punto de acceso con el comando iwconfig wlan0 essid   "Wireless "Wirel ess Lab" y verif i car que l a conex conexión ión ha ttenido enido ééxxito y que s e  cone ctados al punto de a cces cceso: o: 

 

Ten ga en cu enta que no teníamo teníamoss qu e faciliten faciliten cualquier nombr nombree de usuario / password / contraseña pa ra obtene obtenerr  a través de autent autenticación icación abier abierta. ta. 

2.

3.

[61] 

 

Sin p asar p or la autenticación autenticación de WLAN

 

¿Qué ha pasado?  Este es probablem probablemente ente el más sencillo hackear hast hastaa a hor hora. a. Como hemos visto, no era trivial p ara ara romper 

 

Auten ticació ticación n y conectar con el punto de a cces cceso. o.

 Autenticación de clave clave compa compartida rtida   Auten ticació ticación n de clave compartid compartidaa u tili tiliza za u n s ecret ecreto o compartid compartido o como la clave WEP para la au ten tenticac ticación ión d e la  de l cliente. El intercam intercambio bio de inform información ación exact exactaa se i lustr lustraa a co continuac ntinuación ión (tomado de http://www.   netgear.com): 

El cli ente inal inalámbric ámbrico o envía una s olicit olicitud ud de a uten utenticació ticación n al punto de acceso, que responde  de nu evo con un reto. Ahora el cliente tiene qu e cifrar este reto compar compartido tido con la  cla ve y en viar viarlo lo de vuelta al pu nto de a cceso cceso,, que descifra para compr comprobar obar si s e puede recuper recuperar ar la  texto d e desafío original. Si tiene éxito, el cliente se a uten utentica tica correc correctament tamente, e, de lo contr contrario ario se en vía un  Error Error de au tentic tenticación ación de mensajes.  El problema de seguridad es que u n atacante escuchar escuchar pasivamen pasivamente te a tod a esta comunicac comunicación ión  ol i end endo o el aire tiene acceso ta tanto nto al desafío de text texto o y eell desafío encriptad encriptado. o. Él  pue de aplicar la operac operación ión XOR para recuperar el flujo de clave. Este flujo de clave s e puede utiliz utilizar ar para cifrar  cua l quier quier desafío futuro enviad enviado o p or el p unto unto d e acceso sin n ecesi ecesidad dad de conoc conocer er la clave actual.  En e s te ejercicio, vvam am os a a pre prender nder a olfatear el aire para recuperar el desaf desafío ío y ccii fra el  reto, recuperar re cuperar el flujo de clave, y lo utilizan para la au tent tenticac icación ión een n el p unto unto de acceso sin  ne cesita la clave compar compartida. tida.  [62] 

 

Capítulo 3

 

acción ión - sin pasar por la autenticación Tiempo para la acc compartida   Pas ando por alto l a autentic autenticación ación compartid compartidaa es u n poco más difícil q ue los ejercicio ejercicioss an terio teriores, res, así que siga   

lo s p aso asoss con cuidado cuidado..

 

1.

Prime ro va mos a configur Primero configurar ar la autentic autenticación ación compar compartida tida de nuestra red i nalá nalámbric mbricaa d e lab orat orator orio. io. Que he hecho  es to een n mi punto de acceso median mediante te el establecim establecimiento iento de la laModo Modo de seguridad como WEP y Autenticación como   Clave compartida: 

[63] 

 

Sin p asar p or la autenticación autenticación de WLAN

 

 

Ahora vamos a con ectar a un cliente legítimo de esa red utilizan utilizando do la clave compartida que tenemos tenemos  es table tablecidos cidos en el paso 1. 

 

Con e l fi n de eludir la a uten utenticació ticación n de clave compartida, lo prime primero ro que eemp mpezará ezará a oler l os paquet paquetes es  en tre e l punto de acceso y s us clientes clientes.. Sin embar embargo, go, tambié también n n os gustar gustaríía registrar el  todo el i nter ntercambio cambio de a uten utenticació ticación n común. Para ello se utiliza airodump-ng utilizando el  mon0 11 - bssid bss id 00:21:91: D2: 8E: 8E: 25-w   comando airodump-ng-c mon0 keystream. La -W op ción ció n que es nuevo aquí, las petic peticiones iones airodump-ng para almacenar la  pa qu etes en u n archiv archivo o cuyo nombre vvaa ya p recedid recedido o de l a palabr palabraa "keystre "keystream". am". En u na nota later lateral, al,  pod ría ser una bu ena ide ideaa p ara almac almacenar enar diferentes s es esiones iones de captura de paquet paquetes es en difere diferentes ntes  a rchivos. Esto l e permit permitee a analiz analizar ar mucho tiempo después de l a traza que se ha re cogid cogido: o: 

 

Pode mos esperar a q ue un cliente legítim legítimo o para conectar con el p unto de a cceso o la fuerza  una reconexión con la té técnic cnicaa de deauten deautenticació ticación n utilizad utilizado o anteriorment anteriormente. e. Una ve vezz que u n cliente  s e conecta y su cede a la au tent tentic icación ación de clave compart compartida, ida, airodump-ng capturará  es te intercamb intercambio io de forma automática por la inhalació inhalación n del aire. Una in dicac dicación ión de q ue la captura se ha  éxito es cuand cuando o el AUT  AUTH H columna se lee SKA es decir, la autenticación de clave compartida, como  mue s tra a cont continuac inuación: ión: 

2.

3.

4.

[64] 

 

Capítulo 3

 

El capturado keystream s e alm acena een n u n arc archivo hivo con el pre prefijo fijo de la palabra keystream e n   el di rect rectorio orio a ctual. ctual. En mi caso el n ombr ombree del archivo es keystream-01-00-21-   91-D2-8E-25.xor como s e m uestr uestraa a continuació continuación: n: 

 

Con e l fi n de simula simularr una autentic autenticación ación de clave compar compartida, tida, vvam am os a utilizar el aireplay-ng  he rramienta. Corr Corremos emos el coman comando do aireplay- ng -1 0-e inalámbrica en laboratorio y  

5.

6.

 

keystream-01-00-21-91-D2-8E-25.xor-a 00:21:91: 8E:: D2 25 h   aa: aa: aa: aa: aa: aa mon0.aireplay-ng uti l iz izaa el keystr keystream eam se recuperaro recuperaron n en 

Inalám ámbrica brica de laborator io el paso 5 e intenta auten autenticar ticar al punto de acceso con eell SSID Inal  AC  y l a dirección M MAC AC 00:21:91: D2: 8E: 8E: 25 y u til iza un cliente a rbitrar rbitrario io de d irecc irecciones iones M MAC aa: aa: aa: aa: aa: aa. Encen der Wireshar Wiresharkk y oler tod os los paquetes de i nter nterés és median mediante te la aplicac aplicación ión de  un fi ltro de wlan.addr == aa: aa: aa: aa: aa: aa : 

 

7.

aireplay-ng nos permite saber si la autenti autenticació cación n tenido éxito o n o en el result resultado: ado: 

[65] 

 

Sin p asar p or la autenticación autenticación de WLAN

 

 

Pode mos verificar la mism mismaa con Wiresh Wireshark ark.. Us ted debe vver er u n rastro, como se mu es estra tra en la siguiente  l a pantalla de Wireshar Wireshark: k: 

 

El pri mer paquete es la s olic olicitud itud de autenticació autenticación n enviad enviadaa por el aireplay-ng herramienta para la  punto de a cce cceso: so: 

8.

9.

[66] 

 

Capítulo 3

10 10..

 

El s egun eg undo do paquete est estáá formado por el p unto de a cceso env envía ía al cliente un te xto de d esaf esafío ío  como s e mue muestr stra: a: 

[67] 

 

 

Sin p asar p or la autenticación autenticación de WLAN

11 11..

 

12.

 

En e l tercer p aqu aquete, ete, la herramienta herramienta envía el reto cifrado al punto de a cceso cceso:: 

Como aireplay-ng uti liza l a der deriva iva keystream pa ra el ci frado, frado, la au tent tenticació icación n  éxi to y el punto de acceso env envía ía un mensaje de éxit éxito o en el cu arto paq uete uete:: 

[68] 

 

Capítulo 3

 

13 13..

 

De s pués de l a autent autenticació icación n tiene éxito, las falsificac falsificacion iones es herramienta una asociación asociación con el punto de a cceso cceso,,  que sucede así así:: 

14 14..

 

Si ma rca los re gist gistros ros inalámb inalámbrica rica en la in terf terfaz az a dministr dministrativa ativa del punto de acceso acceso,, qu e  Ahora de ber beríía ver u n cliente inalámbrico ccon on una d irecc irección ión MAC MACAA: AA: AA: AA: AA: AA: AA conectados: 

[69] 

 

Sin p asar p or la autenticación autenticación de WLAN

 

¿Qué ha pasado?  He Hemos mos te nid nido o éxito en la o bten btención ción de la keystream a partir de un intercam intercambio bio de autentic autenticación ación compartid compartida, a, y  he mos utilizad utilizado o para falsificar una autentic autenticac ación ión al p unto de a cceso cceso.. 

Tener un héroe ir - llenando tablas t ablas del punto de acceso  Los pun tos de acceso tienen una cu enta de cliente máximo después después de q ue empiez empiezan an a rechazar las conexiones conexiones.. Por  es cribir un envoltorio envoltorio sencill sencillo o más aireplay-ng, Es posible a utomat utomatizar izar y en enviar viar cientos  de l as s oli olicitudes citudes de conexión al azar direccion direcciones es MAC de l pu nto de acceso. Esto acabarí acabaríaa  ll enado de las ta bla blass i nter nternas nas y una vez que la cuenta d el cliente cliente el máximo se alcanza el punto de acceso  de ja ría de aceptar nuevas conexio conexiones. nes. Esto es no rmalme rmalmente nte lo que se llama una denegac denegación ión de serv servii cio  (DoS ) y pue de forzar el router se reinicie o q ue sea disfunc disfuncion ional. al. Esto p odría odría llev llevar ar a  todoss los clientes inalámbr todo inalámbricos icos que se d esconect esconectee y no p oder usar la red autorizada.  Comprobar s i se puede comprobar en e l laborato laboratorio! rio! 

Pop Quiz - WLAN de autenticación   1. Us ted puede oblig obligar ar a un cliente inalámbrico inalámbrico para volv volver er a co conect nectarse arse al punto de a cces o por el camino?  a . Envia ndo ndo un paquete deaute deautenticac nticación ión  b. Rei Re i niciar el cliente  c.  Al reiniciar re iniciar el punto de acceso  d. Toda s las anterio anteriores res  2. Ab i erto de a uten utenticació ticación: n:  a . Proporciona una s egurid eguridad ad decente  b. No ha y segurid seguridad ad  c.  Re Requiere quiere el uso de la en crip criptació tación n  d. Ni ngu na de las anterio anteriores res  3. Romp iendo las ob ras clave d e autenticac autenticación ión compartid compartidaa por?  a. De rivad rivados os de la keystream de los paquetes  b. De rivación de la clave de cifrad cifrado o  c.  Envío de paquetes de d eautenticac eautenticación ión al punto de acceso  d. Al re i niciar el p unto unto de acceso 

[70] 

 

Capítulo 3

 

Resumen  En e s te capítu capítulo, lo, h emos emos a pre prend ndido ido l o siguien siguiente te acerca de la autenticac autenticación ión WLAN: 

 

?

 

?

  ?  ?

SSI D o culto es una ca racte racteríst rística ica de s egurid eguridad ad a través de la oscuridad, que es relativame relativamente nte sencillo   de su pe perar rar..  Fi ltros de direccio direcciones nes MAC no p roporcionan ningu ninguna na segurid seguridad ad de q ue las d irecc ireccion iones es MAC pue den ser inhalados  de s de el aire de l os paquet paquetes es inalámbr inalámbricos. icos. Esto es posi posible ble porque las dire direcciones cciones MA MAC C  no e s tán ccii fr fradas adas en el paquete.  Open Authentication proporciona ninguna autenticación real.   Auten ticació ticación n d e clave compar compartida tida es poco d ifícil ifícil de batir, pero con la ayuda de las h erramientas erramientas ad ecuadas ecuadas que  pue de derivar de la tienda de la keystream, Con e l que es posible responde responderr a todas las futur futuras as    de s afío afíoss e nv nviado iado por el punto de acceso. El resultad resultado o es q ue se p ued uedee a ute utenticar nticar,, sin ne cesidad de con ocer la clave a ctual. ctual.  En e l s iguiente iguiente capítu capítulo, lo, va mos mos a ver diferentes mecan mecanis ismos mos de e ncriptac ncriptación ión WLAN WEP,  WPA y WPA2, y mi rar a las i nseg nseguridad uridades es que les plaga. 

[71] 

 

4

 

Defectos WLAN cifrado  "640 K de memoria es más de lo que nadie va a nec es esitar." itar." 

Bil Billl Ga tes, fundad fundador or de Microsoft 

Incl Incluso uso con la mejor de las intenciones intenciones,, el futuro es siem siempre pre impredecibl impredecible. e. La   WLAN comi té diseñado WEP y WPA lluego uego de ser cifrad cifrado o a tod todaa prue prueba ba meca nismos, pero con el ttiempo iempo,, est e stos os dos mecanismo mecanismoss se había fallas,  que han sido   ampliliament amp amentee difundidos y explotado explotadoss en el mundo real. 

Mecan ismo ismoss d e e ncriptac ncriptación ión WLAN h an tenido u na larga histor historia ia d e ser vul ner nerable able a cripto criptográf gráficos icos  ata ques. Todo comenzó ccon on WEP a p rin rincipio cipioss de 2000, que fin almente almente fue roto por completo. En los últimos años  veces , l os ataqu ataques es s on dirig dirigidos idos lentamen lentamente te WPA. A pe pesar sar de q ue no hay ningún ataque a disposició disposición n del p úblico úblico  en l a actu actualidad alidad para romper WPA en todas las condicio condiciones nes generale generales, s, hay a taques que existen y dentro de  circunstancias espec especiales iales..  En e s te capítulo, vamo vamoss a examin examinar ar lo siguiente: 

  ?  ?

?

 

Di ferentes esquem esquemas as de cifrado en las redes WLA WLAN N  Encrip tació tación nW WEP EP C Cracking racking  Cr Cracki acki ng WPA 

WLAN cifrado  WLANs tra nsmiten datos a trav través és del aire y por l o tanto hay una n eces ecesidad idad inher inherente ente a l a protecc protección ión de los dato datoss  de forma conf confidencial idencial.. Es to se l ogra mejor media mediante nte el ci fr frado. ado. El comité d e WLAN (IEEE 802. 802.11) 11)  formul ado los siguiente siguientess protoc protocolos olos de cifrad cifrado o de datos:  ?  Wired Equivalent Privacy (WEP)  

  ?  ?

Wi-Fi Protected Access (WPA)   Protección de acceso WiFi v2 (WPAv2) 

 

Defectos WLAN cifrado

 

Aquí, va mos a ver cada un o de estos protoco protocolos los de ci fr frado ado y de mostr mostrar ar varios ataq ataques ues  en contra de ellos. ellos. 

Encriptación WEP   El protocolo WEP s e sabía que e ra imper imperfecto fecto desde el añ o 200 2000, 0, pe ro, ro, s orpre orprend ndenteme entemente, nte, todavía es  s eguir s iend iendo o utiliz utilizados ados y l os pu nto ntoss d e a cces cceso o aún in cluyen WEP ha bili bilitado tado capacid capacidades. ades.  Ha y muchas debilidad debilidades es criptográf criptográficas icas de WEP y que fueron descub descubierto iertoss p or Walker,  Arbau gh, Fluhrer, M Maa rtin rtin,, Shamir, KoreK, y muchos otro o tros. s. Evaluación de WEP a partir de u na  pun to d e vista criptográf criptográfico ico está fuera del alcance de e ste libro, ya q ue implica la compren comprensión sión  ma temáticas complejas. complejas. Aquí, vam os a b uscar la forma d e romper la e ncriptac ncriptación ión WEP u tili tilizando zando fácilme fácilmente nte disponibles   he rramientas en l a platafor plataforma ma de B ackTr ackTrack. ack. Esto i nclu ncluye ye toda la Aircrack-n  Aircrack-ng g conjunto d e h erram erramientasientas-  airmon-ng,aireplay-ng,airodump-ng,aircrack-ng , Y otros.  Vea mos a hora hora configura por primera vvez ez WEP en n uestr uestro o laboratorio de pruebas y ver cómo s e p ued uedee romper romper.. 

Tiempo para la acción - cracking cracking WE WEP P  l a acción Si ga las instrucc instrucciones iones para comenzar comenzar::   

1.

Prime ro vamos a co Primero conect nectar ar con n uestr uestro o p unto unto de acceso accesoInalámbrica Inalámbrica de laboratorio l aboratorio y vaya a l a zona de ajus tes que   s e refiere a los mecan mecanismos ismos de cifrado inalá inalámbric mbrico: o: 

[74] 

 

Capítulo 4

 

 

En mi pun to de a cceso cceso,, esto se p uede hace hacerr mediante el establec establecimiento imiento de l a Modo de seguridad a WEP. Nosotros  Ta mbién es necesar necesario io establecer la longitud de la clave WEP WEP.. Como s e muestra en la siguiente captur capturaa de pa ntalla ntalla,, he   conju nto d e WEP a usar clav clavee s de 128 bits. He puesto el elPor Por defecto la clave WEP a WEP Key 1 y tienen   es table tablecer cer el valor en hexadec hexadecimal imal a abcdefabcdefabcdefabcdef12 como e l d e 128 bi ts clave WEP. Puede   confi gurar est estaa op ción a eleg elegir: ir: 

 

Una vez qu e los ajustes s e aplican aplican,, el p unto unto de acceso ahora se ofrece como el WEP  cifra do mecanismo de elección. Ahora vamos a configur configurar ar la m áquina atacan atacante. te. 

2.

3.

[75] 

 

Defectos WLAN cifrado

 

 

Vamos a abrir abrir Wlan0 mediante me diante la emisió emisión n de la o orden rden ifconfig wlan0 hasta. Entonces  se ejecut ejecutará ará airm airmon-ng on-ng star t w lan0 pa ra crear mon0, La i nterfaz en modo mon monitor, itor, como se  s e muestra en la s iguien iguiente te captur capturaa de p antalla. Ver Verific ificar ar la mon0 i nterfaz ha sid o cr creado eado con  iw config config comando: 

 

Vamos a corr correr er airodump-ng pa ra localizar nuest nuestro ro punto de a cceso de laborato laboratorio rio con el co comand mando o  airodump-ng mon0. Como s e p uede ver en la s iguiente iguiente capt captura ura de pantalla, pod podemos emos vver er  l a Inal Inalám ámbrica brica de laboratorio fun cionamiento cionamiento del p un unto to d e acceso WEP WEP:: 

4.

5.

[76] 

 

Capítulo 4

 

6.

Inalám ámbrica brica de laborator io, As í que vamos a Para este e jercic jercicio, io, sólo estamos in intere teresados sados en e l Inal entrar en   airodump-ng-bssid 00:21:91: D2: 8E: 25 - canal 11 - escribir   WEPCrackingDemo mon0 que s ólo v ven en l os paque paquetes tes para esta red. P Por or otra p arte,  vamoss a s olic vamo olicitar itar airodump-ng pa ra guar guardar dar los paquetes en un pcap a rchivo con el   - Escribir Directiva:  

[77] 

 

 

Defectos WLAN cifrado

 

 

Ahora vamos a con ectar nue nuestro stro ccll iente inal inalámbric ámbrico o al punto de acceso y el uso de la clave WEP  abcdefabcdefabcdefabcdef12. Una vez que el cliente se ha conect conectado ado correctamen correctamente, te,  airodump-ng de be i nfor nformar mar en la pantalla pantalla:: 

 

Si us ted hace un ls en el mismo dire directorio, ctorio, usted po podrá drá vver er l os archiv archivos os co con n el prefijo  WEPCrackingDemo-* como s e muestra en la s iguien iguiente te captur capturaa de p antall antalla. a. Estos son el trá fico fico de

7.

8.

descarga  l os archivo archivoss creados por airodump-ng: 

 

9.

Si se obser observa va eell airodump-ng pa ntalla ntalla,, el número de paquetes de d atos que figuran en el  # Datos col umna es mu y pocas en número (sólo 68). En romper el protocolo WEP, es necesario un gran  núm ero de paquetes de datos, cifrad cifrado o con la m isma clav clavee par paraa eexplotar xplotar las debil debilidades idades en el  protocolo. protoco lo. Por l o tanto, vvam am os a tener que o bli bligar gar a l a red para p roducir roducir más paquetes de datos. P Paa ra hacer  es to, vamos a utili utilizar zar el aireplay-ng herramienta:  

[78] 

 

Capítulo 4

 

10 10..

 

Vam os a capt capturar urar los paquetes ARP en la red i nalá nalámbric mbricaa medianteaireplay-ng y  i nyectar de nuevo en la re d, para sim simular ular las respue respuestas stas ARP. Comenzaremo Comenzaremoss  aireplay-ng en un a ven tana separada, como se muestr muestraa e n la siguien siguiente te captura de pantalla. Reproducción  es tos paquetes unos pocos mile miless de veces, vamo vamoss a gener generar ar una gran cantid cantidad ad de tráfico de d atos en el  de la red. A Aunq unque ue aireplay-ng no sabe la clave WEP, que es ca paz de  i de ntific ntificar ar l os paquetes paquetes ARP mi rando el tamaño de l os paquete paquetes. s. ARP eess una cab ecer eceraa fija  protocolo protoco lo y po r lo ta nto el tamaño de los paquetes ARP se p ued uedee determinar fácilme fácilmente nte y s e puede  uti l izados izados para la i den dentific tificación ación d e ellos, i nclu ncluso so dentro del tráfico encr encriptado. iptado. Vamos a correr aireplay-  ng con l as op cion ciones es que se discuten a continuac continuación ión.. La -3 opción para la reproducción de ARP, -B  es pecific pecificaa el BSS ID de nuestra red, y-H es pecific pecificaa l a direcc dirección ión MAC de l cliente que  s on s uplantac uplantación ión de i den dentidad. tidad. Tenemo Tenemoss q ue hacer es to, como a taque de repetició repetición n s ólo funcio funcionará nará pa ra auten autentic ticar ar  y s e as ocia las direc direccion ciones es MAC de l os clien clientes. tes. 

11 11..

 

Muy pron to, usted debe ver que aireplay-ng fue capaz d e olfatear los paquetes ARP y ha  come nzó a re produ comenzó producir cir a la red de: 

12 12..

 

En es te pun punto, to, airodump-ng También se i nic niciará iará el registro de u na gran cantid cantidad ad d e paquetes de da tos. Todo Todoss   es tos paquetes captur capturado adoss s e almac almacenan enan en la WEPCrackingDemo-* los archivos que  vimos anterior anteriormente mente:: 

[79] 

 

Defectos WLAN cifrado

 

13 13..

 

Ahora , vamos a e mpezar ccon on la parte real de grietas grietas!! Nos encend encender eraircrack-ng con   la s opcion opciones es WEPCRackingDemo-01.cap en una nueva ventana. Esto iniciará eell  aircrack-ng s oftware y s e comenzará a trabajar en la formación de grietas de la clave WEP usando el  pa qu etes de datos een n el archiv archivo. o. Te nga nga en cuenta q ue es una buena idea ttener enerairodump-ngDe recolección de  l os paquet paquetes es WEP, aireplay-ng-Haciendo e l ataque d e repetición, y Aircr ack-ng-  trata ndo d e obtene obtenerr la clave WEP basada een n los paquetes captur capturado ados, s, todos en el mismo  tie mpo. En este experimen experimento, to, to todo doss ellos e stán stán abier abiertos tos en ve ventanas ntanas indepen independien dientes: tes: 

14 14..

 

Su p an tal talla la debe parecerse a la siguien sig uiente te captur capturaa de p antall antalla, a, cu andoaircrack-ng es   traba jand jando o en los paque paquetes tes para crackear la clave WEP: 

[80] 

 

Capítulo 4

 

15 15..

 

El núm ero de p aqu aquetes etes de datos necesarios necesarios para obtener la clave no e s determinista, determinista, pero  ge gene ne ralm ralmente ente en e l orden de cien mil o más. En u na red rápida (o el uso de  aireplay-ng), Se l levar levaráá a 5-10 minutos a l o sumo. Si el número de dato datoss  pa qu etes en l a actualid actualidad ad en el e xpedien xpediente te no s on sufic suficientes, ientes,aircrack-ng hará una pausa en  s e muestra en la s iguien iguiente te captur capturaa de p antalla y esper esperar ar a que más paquetes para ser captur capturado, ado, y  s e re iniciar iniciaráá el proceso de craqueo de nuevo: 

16 16..

 

Una vez q ue los paquetes de datos s uf uficientes icientes han sido captu capturados rados y procesado procesados, s, Aircrack-ng  Aircrack-ng  de be ser capaz de romp er la clav clave. e. Una vez q ue lo hace, con orgullo s e muestr muestraa en el terminal  y s a le como se muestra en la siguient siguientee pantalla pantalla:: 

[81] 

 

Defectos WLAN cifrado

17 17..

 

 

Es i mportante tener en cuenta que WEP es totalmente totalmente errónea y cómo u na clav clavee WEP (no importa  ) compl ejo será rroto oto por Aircrack-ng. El único requisito requisito es q ue un gran  núm ero suficien suficiente te de p aqu aquetes etes de d atos, encrip encriptado tadoss con esta clave, deben ser puestos a d is posición posición   Aircrack-ng rack-ng.  a Airc

¿Qué ha pasado?  He Hemos mos creado WEP en n uestr uestro o laborat laboratorio orio y ccon on éxito roto la clave WEP. C Con on e l fin de hacer esto,  pri mero eesper speró ó a q ue un cliente legítim legítimo o d e la red para conectarse al punto de a cces cceso. o. D Despu espués és de esto,  hemo s u til tilizad izado o e l aireplay-ng he rram rramienta ienta para repro reproducir ducir los paquetes ARP en la red. Es to hizo que eell  red pa ra enviar paquetes A ARP RP rep la lay, y, au mentando mentando así el n úmero úmero de paquete paquetess de datos eenv nviado iadoss  por e l aire. A con tinu tinuación ación,, utiliza aircrack-ng para obtener o btener l a clave WEP me diante el análisis criptográfico  de bilidades en estos paquetes de d atos.  Ten ga en cuenta que, también se p uede uede falsificar un certificado certificado de a uten utenticid ticidad ad al pu nto de acceso usando el Shared Key  Autenticación de rivación técnica, que hemo hemoss a pre prendido ndido en el último capítu capítulo. lo. Esto puede ser ú til, si  el cliente sale de la red legít legítima. ima. Esto se asegurar aseguraráá de que puede suplantar un certificad certificado o de a uten utenticid ticidad ad y  as ociación ociación y continuar enviando nuestro nuestross paquetes reprodu reproducen cen en la red. 

héroe éroe ir - falsa aute autenticac nticación ión con WEP WEP cracking  Tener un h

En e l ejercicio anterio anterior, r, si el cliente legít legítimo imo había conect conectado ado de re pen pente te fuera de la re d, que  no s ería capaz de reproduc reproducir ir los paquetes ccomo omo el pu nto de a cceso no aceptar paquetes de un -  as ociados clientes. clientes.  Su reto s ería falso un certific certificado ado de autentic autenticidad idad y de as ociac ociación ión con la clave compartid compartidaa  Auten ticació ticación n de d eriv erivación ación que h emos emos a pre prend ndido ido e n el último capítu capítulo, lo, mientr mientras as q ue romper el protoco protocolo lo WEP que está p asan asando. do. C Cierre ierre la sesión  el cliente legítimo de la red y compro comprobar bar si aún son capaces de in yectar yectar paque paquetes tes en la  la red y s i el punto de acceso a cept ceptaa y rresp esp onde onde a ellos. 

WPA/WPA2   WPA (o WPA vv1 1 como s e le conoce a veces), principalm principalmente ente se utiliza el algorit algoritmo mo de ci frado TKIP.  TKIP s e en cam camina ina a me jorar WEP WEP,, s in necesi necesidad dad d e hardwar hardwaree comp completament letamentee nueva para e jecut jecutarlo arlo..  WPA2 e n co contraste ntraste oblig obligatoria atoriamente mente utili utiliza za el a lgorit lgoritmo mo A AES-CCM ES-CCMP P pa ra el cifrad cifrado, o, que es mucho  má s p otente y robusto que TKIP.  Ambos WPA y WPA WPA2 2 pa ra perm permitir itir la autenticació autenticación n EAP-base, el uso d e s erv ervidores idores Radius  (La emp resa) o una cl ave pre-comp pre-compartid artidaa (PSK) (Pe (Perrsonal) basado en el s is istema tema de aute autenticac nticación. ión. 

[82] 

 

Capítulo 4

 

WPA/WPA2 PSK e s vulnerable a un ataque de diccionario WPA/WPA2 diccionario.. Los insumos necesario necesarioss para este ataque s e  la s cuatro vías WPA apretón de manos entre cliente y pun to de a cceso y un a lista de p alab alabras ras que contienen  fras es comunes. Luego, utilizan utilizando do h erramie erramientas ntas como Aircrack-ng, Podemos tratar de romper la WPA /  WPA2-PSK WPA2 -PSK contras eña.  Una ilustración del saludo de cu atro vvía ía s se mu estra estra en l a siguie siguiente nte pantal pantalla: la: 

WPA/WPA2 PSK l a forma en que se trabaja, se deriva de las sesiones por clave llamadaPor WPA/WPA2 llamadaPor parejas  Clave transitoria (PTK), con con el Pr Pree -Shared -Shared Key y otros cinco parám parámetro etross de S SIDSID-de de la Red,  Autenticador Nounce (Anuncian), Suplicante Nounce (SNounce), Autenticador MAC  dirección (Acceso MAC del punto), y Suplicante dirección MAC (Wi-Fi MAC del cliente). cliente) . Esta cl ave ave es  en tonces se u tili tiliza za para cifrar todos los datos entre el pu nto de a cceso y el cl iente iente..  Un a tacante que está escuchan escuchando do en toda esta conversa conversación, ción, oliendo el aire puede llegar a todos  lo s cinco parám parámetros etros mencio mencionados nados en el párrafo anterior anterior.. Lo único que no tiene  es la clave pre-com pre-compart partida. ida. Entonces, ¿cómo es la Cl ave Pr Pree -Comp -Compartid artidaa creado? Se o obtiene btiene median mediante te el uso de la WP WPAA-  PSK con traseña suministr suministrada ada por el usuario, junto con el SSID. La combinació combinación n de e stos dos  se envían a tr través avés de la Contraseña de clave Basado función de derivación de (PBKDF2), que emite el   De 256-bit con clave compartid compartida. a. 

[83] 

 

Defectos WLAN cifrado

 

En u n típ ico a taqu taquee de W WPA/WP PA/WPA2 A2 PSK diccionar diccionario, io, el atacan atacante te utiliza un diccion diccionario ario d e  fras es posible con la herramien herramienta ta de ataque. La herramienta herramienta que s e deriv derivaa n de la de 256-bit Pre-Shar Pre-Shared ed Key  de cad a una de las frases y el u so con los otros parámetr parámetros, os, que se descr describe ibe a la me ncio ncionad nadaa  crea r el PTK PTK.. La PTK se utiliz utilizará ará para verif verificar icar la Compruebe la integridad del mensaje (MIC) (MIC) en uno de  lo s paquete paquetess de apretón de manos. Si coincide, entonces la acertad acertadaa frase d el diccionar diccionario io s e  de l o co contr ntrario, ario, es i nco ncorrecto. rrecto. Fin Finalme almente, nte, si la red a utorizada utorizada frase exis existe te en  el di cc ccionario ionario,, se i dent dentificar ificarán. án. Así es e xactam xactamente ente como WPA/WPA2 PSK cr cracking acking funciona! La  La f ig igura ura siguiente ilu ilustra stra los pasos a seguir: 

En e l s iguiente iguiente ejercic ejercicio, io, vvaa mos a ver cómo romper una WPA-PSK de redes inalámb inalámbricas. ricas. La hor horaa exacta e xacta  mi s mos pasos que particip participarán arán en l a formación de gri etas etas de una red WPA2-PSK utiliz utilizaa CC CCMP MP (AES), as í. 

[84] 

 

Capítulo 4

 

a acción acción - cracking cracking WPA-P PA-PSK SK débil débi l contraseña contraseña  Tiempo para lla Si ga las instrucc instrucciones iones para comenzar comenzar:: 

 

1.

Prime ro vamos a co Primero conect nectar ar con n uestr uestro o p unto unto de acceso accesoInalámbrica Inalámbrica de laboratorio l aboratorio y es table tablecer cer el punto de a cce cceso so que  WPA-PSK. WPA-P SK. Vam os a estable establecer cer la contrase contraseña ña WPA-PSK para paraabcdefgh, abcdefgh, por l o que es vulnerab vulnerable le  a u n a taque de diccion diccionario: ario: 

[85] 

 

Defectos WLAN cifrado

 

2.

 

Comenzamos airodump-ng con el comando airodump-ng-bssid  

00:21:91: D2: 8E: 25-c anal 11-esc 11-escritura ritura WPACrac WPACrackingD kingDem emo o mon0, Por lo que 

comi enza a ca ptu pturar rar y al mac macenar enar ttodos odos los paquetes de nu es estra tra red: 

 

3.

Ahora podemos esper esperar ar a un nu evo cliente para conectar conectarse se al punto de acceso, d e manera que podamos   cap tar e l saludo de cuatro vías WPA o p odemos enviar una difusi difusión ón de la a uten utenticació ticación n  pa qu ete de obligar a los clientes para vvolver olver a co conectar. nectar. No Nosotros sotros hacemos el último de a cel celerar erar las cosas: 

 

4.

Ta n pro pronto nto como la captur capturaa de un apretón de manos WPA, airodump-ng l o indicará een n el  l a esquina super superior ior derecha de la pantalla con u n WP WPA A Handshake: s eg eguido uido por el a cces cceso o  BSSID punto punto:: 

[86] 

 

Capítulo 4

 

5.

Pode mos dejar de airodump-ng ah ora. Vamos a abrir el tapa archivo Wireshark y ve ve r  el s alud aludo o de cuatr cuatro o vías. Su Wireshark terminal debe tener el siguien siguiente te  cap tura de p antalla. He selecc seleccion ionado ado el primer paquete de la s aludo aludo de cuatro vías en e n el 

 

 

a rchivo d ees rastre rastreo, o, en la siguient siguiente e captura de pantalla pantalla.. Los p aqu aquetes etes de a pre pretón tón de manos s on las que protocolo EAPOL clave:  

 

6.

Ahora Aho ra va mos a em empezar pezar el ejercicio clave d dee agrietamiento real reales! es! P Paa ra esto, necesitamos un di dicccionario ionario  de pa labras com comunes unes.. Ba ck ckTrack Track inclu incluye ye u n archiv archivo o d e diccionar diccionario io darc0de.lst encuentra como   s e muestra en la s iguien iguiente te captur capturaa de p antalla. Es import importante ante señalar que en WPA cr craa cking,  us ted e s tan bu eno ccomo omo s u diccion diccionario. ario. BackTrac BackTrackk incluy incluyee con algunos diccionar diccionarios, ios, pero  es tos p ued ueden en ser i nsuf nsuficient icientes. es. Las con trase traseñas ñas que la gente elige depende de u n montón de cosas. co sas.  Esto i ncluy ncluyee cosas como, ¿qué país pertenec pertenecen en los u suario suarios, s, los no mbres mbres comunes y  fras es een n esa región, la concie conciencia ncia de s eguridad eguridad de los usuario usuarios, s, y un m ontón de otras cosas. Lo  pue de ser un a buena idea para agregar paí paíss y la región específica específica de las listas de palabras, ccuando uando se va  a ca bo u na prueba de pene penetració tración: n: 

[87] 

 

Defectos WLAN cifrado

 

 

Ahora vamos a invocar aircrack-ng con el pcap archivo como entrada y un eenlace nlace a la  a rchivo d e diccion diccionario ario como se muestra en la ca ptu ptura ra de pantalla: 

 

 Aircr ack-ng utiliza el archivo de diccionario para intentar diferentes combinaciones de contraseñas 

7.

8.

 

9.

y tra ta d e romper la clave. Si la contraseñ contraseñaa está e stá p resente resente en el a rchivo rchivo de diccionario diccionario,, se  fi nalmente romper romperlo lo y su pantalla s erá sim similar ilar a l a de la captura de pantall pantalla: a: 

Ten ga en cuenta que, al tratarse de un ataque d e dicc diccionario, ionario, eell req uis uisito ito previo es q ue la frase de contraseña   de be n estar presen presentes tes een n el a rch rchivo ivo de diccion diccionario ario que está su min ministran istrando do a aircrack-ng. Si el  fras e de contrase contraseña ña no está presente en el diccionar diccionario, io, el a taqu taquee fallará! 

[88] 

 

Capítulo 4

 

¿Qué ha pasado?  He Hemos mos cre creado ado WP WPA-PSK A-PSK en nuestro punto de a cces cceso o con u na contras contraseña eña común comúnabcdefgh. abcdefgh. A conti nuac nuación, ión,  uti lizó u n ataque de au tent tenticac icación ión de los clientes legít legítimos imos que vol ver a conectarse al punto de acceso.  Cuan do vuelva a con ect ectar, ar, capturam capturamos os el saludo d e cuatro vvías ías WPA en tre el p unto unto de acceso  y el cliente.  Como WPA-PSK es vulnerable a un a taqu taquee de d iccio iccionario, nario, vamo vamoss a alime alimentar ntar el archivo de ca ptura que contien contienee el  WPA cua tro vías apretón de manos y un a lista de frases comune comuness (en f orma de una lista de p alab alabras) ras) a   Aircr ack-ng. Como la f rase de paso pasoabcdefgh abcdefgh es tá presente en la lista de p alabras, alabras, Aircrack-ng  Aircrack-ng e s   cap a z de romper la compartida WP WPA-PSK A-PSK contr contraseña. aseña. Es muy importante tener en cuenta una vez vez más que e n  WPA ba sado en diccionario diccionarios, s, que son ta n buen buenos os co como mo el diccion diccionario ario qu e tiene tiene.. Por lo tanto, es  im portante elaborar junto juntoss u n dicc diccionario ionario grande y elab orad orado o antes de e mpez mpezar. ar. Aunque  Los buq ues de BackTrac BackTrackk con su propio dic diccionario cionario,, puede ser i nsu nsufic ficiente iente,, a veces, y se n ecesita más  es de cir, sobre todo basado en e l factor de localiz localización. ación. 

héroe éroe ir - tratando t ratando de WPA-PSK WPA-PSK cracking cracking con Cowpatty Cow patty  Tener un h Cow patt patty y es una herramienta, que tamb también ién se puede descifrar una contr contraseña aseña WPA-PSK con u n ataque de

diccionario.   Esta herramien herramienta ta seña i nclu ncluye ye con. BackTrac BackTrack. k. Lo d ejo como ejercicio para el usoCowpatty a   rompe r la contrase contraseña WPA-PSK WPA-PSK.

Además, Ade más, trate de estable establecer cer una contrase contraseña ña común, no presente en el d iccio iccionario nario,, y tratar d e que eell ataque  otra vez. ve z. Ahora no tendrá éxito en la fo form rmación ación de grietas de la frase de paso, con las dos Aircrack-ng  y Cow patt patty y .  Es i mportante señala señalarr que, el mis mo ataque, se aplic aplicaa i ncluso ncluso a u na red WPA2-PSK. Yo  in vitamos a comprobar comprobarlo lo de m aner aneraa i nd ndependie ependiente. nte. 

La aceleración de WPA/WPA2 PSK cracking   Ya he mos visto en e l apartad apartado o anterior que, si tenemos la contrase contraseña ña correcta en  nue stro diccionar diccionario, io, crackin crackingg WPA-Personal trab trabajará ajará cada vez a las mil mar maravillas. avillas. Enton Entonces ces ¿por qué n o  ba s ta con crear un diccion diccionario ario de las más e labo laboradas radas de millone milloness de co ntraseñas ntraseñas y fras es ccomunes omunes  us a la gente? Esto nos ayudará mucho y l a mayorí mayoríaa del tiempo, q ue term terminaría inaría la form formación ación de grietas  fras e de co contras ntraseña. eña. Todo su ena muy bien, pero nos falta u n component componentee cl ave-t ave-tiempo iempo empleado empleado..  Uno de l os cálcu cálculos los más CP CPU U y ll eva mucho tiempo es el de l a Pre-Shar Pre-Shared ed K Key ey utilizando  la frase de con traseñ traseñaa PSK y el SSID en la PBKDF2. Esta función hash de la combinación combinación  de má s de dos veces antes de 409 4096 6 la sali salida da de l a 256 bits de Pr Pree -Sh -Shared ared Key. El siguiente pas paso o d e  grie tas i mp mplica lica el uso de e sta sta clave junto co con n los parámetr parámetros os en eell saludo de cuatro vías y  verifi car contr contraa e l MIC een n el a pre pretón tón de m ano anos. s. Es te paso es com putacio putacionalmen nalmente te barato. Por otra parte,  lo s parámet parámetro ross pu eden variar en el apretón de manos ccaa da vvez ez y por l o tanto, este p aso no puede ser pre-  compu tarizad tarizada. a. Así, para acelerar el proce proceso so de cra queo queo q ue necesit necesitamos amos para hacer el cálculo d e la  PrePre- Sha red K Key ey de l a frase de paso lo más rápido posib posible. le.  [89] 

 

Defectos WLAN cifrado

 

Pode mos a celer celerar ar este proceso de p re-c re-cálculo álculo de la Pr Pree -Sh -Shared ared Key, ta mbién mbién llamado el Maestro de p ares  Key (PMK), (PMK), en el lengu lenguaje aje estándar 802 802.11. .11. Es i mpor mportante tante señal señalar ar qu e, como el SSID ta mbién mbién se  uti lizado para calcular el PM PMK, K, con l a misma frase, pero u n SSID d iferen iferente, te, acabarí acabaríamos amos  con u na PMK PMK di feren ferentes. tes. Por lo ta nto, nto, el PM PMK K de depende pende tanto de la contrase contraseña ña y el SSID.  En e l s iguiente iguiente ejercic ejercicio, io, vamos a ver có cómo mo calcu calcular lar previamen previamente te el PM PMK K y lo uti lilizan zan para WPA/WPA2  PSK cracking. 

Tiempo para la acción - acelerar el proceso de craqueo   l a acción  

1.

 

2.

Pode mos calcular previam previamente ente el PMK para u n S SID determ determinado inado y lista d e palabr palabras as con el genpmk herramienta   con el coman comando do genpmk-f / pentest/passwords/wordlists/darkc0de.  lst-d PMK-Wireless K-Wireless-Lab-s -Lab-s "Wirel "Wireless ess Lab" como s e muestra en la siguien siguiente te  cap tura de pantalla. Esto ccrea rea el a rch rchivo ivo PMK-Wireless-Lab que con tiene el pre-  PMK generada: 

Ahora creamos una red WPA-PSK con la f rase de paso pasocielo cielo signo (Presentes en el  di ccionario que se utiliza) y ccaa pturar un WPA-apret WPA-apretón ón de manos de la red. Ahora usamos  Cow patt patty y pa ra romp er la contraseñ contraseñaa WPA, como se muestra en la s igu iguiente iente pantal pantalla: la: 

[90] 

 

Capítulo 4

 

3.

Se tarda a prox proximadam imadamente ente 7,18 s egun egundos dos para Cowpatty para obtener l a clave, ccon on la pre-  PMKs PMKs ca l cula como se muestr muestraa en la i magen magen:: 

[91] 

 

 

Defectos WLAN cifrado

 

 

Ahora u samos aircrack-ng con el a rch rchivo ivo de d iccionario iccionario y agrietam agrietamiento iento de la misma  process o de toma de más d e 22 minutos. Esto demuestr proce demuestraa lo m ucho que están ganan ganando, do, porque  de l cálculo previo previo:: 

 

Con el e l fi n de util utilizar izar esto estoss PM PMKs Ks con aircrack-ng , Tenemos que usar una herramienta llamada  airolib-ng. Le d are mos mos las opcione opcioness airolib-ng Air crack-P crack-PM MK - importac importac ión  cow patty P PM MK-WirelessK-Wireless- Lab, Don de PMK-Aircrack es el aircrack-ng  ba s e de datos compat compatible ible para cr crear ear y PMK-Wireless-Lab es el genpmk  compa tible con PM PMK K ba se de datos que habíamo habíamoss creado previam previamente: ente: 

 

Ahora alimentar es ta base de d atos aircrack-ng y la velocid velocidad ad del proceso de craqueo  ha s ta notablem notablemente. ente. El comando que usamos es aircrack-ngaircrack-ng-rr PMK-Aircr ack  WPACrackingDemo2-01.cap: 

4.

5.

6.

[92] 

 

Capítulo 4

 

7.

 

Ha y otras herramien herramientas tas disponib disponibles les en B ackTrack ccomo, omo, Pyrit que pueden apro aprovechar vechar  l os sistem sistemas as multi-C multi-CPU PU pa ra aceler acelerar ar la fo form rmación ación de ggrietas. rietas. Le damos la pcap nombre de a rchivo rchivo con la   -R opción y el genpmk a rchivos compatible con el PMK -I opció n. Incl Incluso uso en el  mi s mo sistem sistemaa s e utiliz utilizaa con las h erram erramientas ientas anterio anteriores, res, Pyrit toma alred alrededor edor de tres segundos  pa ra o btener la clav clave, e, u til tilizand izando o el archivo creado creado con PM PMK K mismo genpmk como s e muestr muestraa en la  s i guien guiente te pant pantalla: alla: 

[93] 

 

Defectos WLAN cifrado

 

¿Qué ha pasado?  Nos fi jamo jamoss e n varias herramien herramientas tas y té técnic cnicas as p ara acelerar la formación de grietas WPA/WPA2-PS WPA/WPA2-PSK. K.  La i dea e s calcular previamen previamente te el PM PMK K pa ra u n SSID determin determinado ado y una list listaa de frases e n  nue stro diccionar diccionario. io. 

Descifrar WEP WEP y WPA paquetes   En tod os los ejercic ejercicios, ios, que h emos emos hecho hasta ahora, se han resuelto de claves WEP y WPA us a ndo ndo d ife iferentes rentes  técni cas. Pero, ¿qué hacemo hacemoss con esta inform información? ación? El p rim rimer er paso s ería ería la d e descifrar  pa quetes de d atos, hemos capturad capturado o utiliz utilizando ando estas teclas.  En e l s iguiente iguiente ejercicio ejercicio,, vamos a d escifrar eell WEP y WPA paq uetes en el archivo de rastreo mismo que  cap turado por eell aire, utilizando las teclas rompimo rompimos. s. 

Tiempo para la acc acción ión - descifrar WEP WEP y WPA paquetes  1.

 

Vam os a desc descifrar ifrar paquet paquetes es del archivo de captur capturaa WEP mi smo, hemo hemoss creado a ntes  WEPCrackingDemo-01.cap . Para e llo, vamo vamoss a utiliz utilizar ar otra herram herramienta ienta en el Aircrac  Aircrackk-  ng conju nto llamado Airdecap-ng. Corremos Corremos el s igu iguiente iente comando como se muestra en la  s i guien guiente te pantalla: airdecap-ng-w abcdefabcdefabcdefabcdef12  WEPCrackingDemo-01.cap , Util izand izando o la clave WEP rompim rompimos os con anterioridad: anterioridad: 

 

Los archivos decypted se almace almacenan nan en u n archiv archivo o llamado WEPCrackingDemo-01-dec.cap. Nos otros otros  util izar izar el tshark utilidad para ver l os prime primeros ros diez paquetes en e l archiv archivo. o. Te nga nga e n cuenta q ue, a  pue de ver algo diferente en fu nció nción n d e lo que ha capturado capturado:: 

2.

[94] 

 

Capítulo 4

 

3.

WPA/WPA2 WPA/WP A2 PSK qu e funciona exact exactamente amente de la misma fo form rmaa qu e con WEP utilizando la  airdecap-ng uti lidad, lidad, como s e muestr muestraa en e n la figura siguien siguiente, te, con la airdecap-ng-p  abdefgh WPACrackingDemo-01.cap-e "Wireless Lab" comando: 

¿Qué ha pasado?  Acaba mo moss de ver, cómo podemo podemoss descifrar WEP y WPA/WP WPA/WPA2-PSK A2-PSK pa quetes cifrad cifrados os con 

 Airdecap-ng . Es interes interesante ante notar, que podemos hacer lo mismo con Wireshark. Nos 

in vitamos a e xplo xplorar, rar, ¿cómo se pu ede hacer median mediante te l a consulta de la d ocum ocumentac entación ión de Wiresh Wireshark. ark. 

[95] 

 

 

Defectos WLAN cifrado

 

La conexión a redes WEP y WPA   Tam bién se p uede conec conectar tar a la re red d autor autorizad izadaa después de haber rroto oto la cl ave de red. Este  pueclave de venir bien, duúltima rante rante las pruebas penetración. ión.ar Inic Inicio e sesión ensu la red red es autoriz autorizada ada con la está muy agrietad agrietada a la prueba quede sepenetrac puede brindar brind a sioudcliente que insegura.    

l a acción Tiempo para la acción - la conexión a una red WEP WEP   

1.

Util ice el iwconfig uti lid lidad ad para conectarse a una red WEP, una vez que tienes la llave. En u na  el ejercicio pasado pasado,, se rom pió la clave WEP-abcdefabcdefabcdefabcdef12: 

¿Qué ha pasado?  He Hemos mos vi sto cómo cconectar onectarse se a una red WEP. 

[96] 

 

Capítulo 4

 

Tiempo para la acc acción ión - la conexión a una red WPA  WPA    

En e l caso de WPA, el asu nto es u n poco más comp complicado. licado. Laiwconfig utilidad no p ued uedee  s er u tilizado ccon on WPA/WP WPA/WPA2 A2 Person Personal al y Ente rp rprise, rise, ya q ue no l o s oporta. oporta. Nosot Nosotros ros  uti l izar izar una nu eva herram herramienta ienta llamada Wpa_supplicant, Para esta práctica. Para utilizar util izar Wpa_supplicant para un  red, s e tendrá que cr crear ear u n archiv archivo o d e configurac configuración ión ccomo omo s e muestra en la i magen magen.. Nosotro Nosotross  s erá el nombr nombree de este archivo wpa-supp.conf : 

 

A con tinuación, se i nv nvoca oca el Wpa_supplicant servicios públicos con las siguientes opciones -Dwext  -Iw lan0-c wpa-supp.conf wpa-supp.conf para conectarse conectarse a la re red d WPA, s ólo rroto oto  como s e m uestr uestra. a. Una vvez ez que la co conex nexión ión es exitosa, Wpa_supplicant le d ará un unaa  mensaje La conexión conex ión a XXXX XXXX c ompletado ompletado: 

1.

2.

[97] 

 

Defectos WLAN cifrado

 

3.

 

Ta nto p ara el WEP y WPA de redes, u na vvez ez q ue esté conect conectado, ado, que desea usar 

Dhcpclient3 pa ra to tomar mar una dirección DHC DHCP P de la red como se muestra a continu continuación: ación: 

¿Qué ha pasado?  El val or p redeter redeterminado minado Wi-Fi u tilidad iwconfig No s e puede u tilizar ilizar para con ect ectarse arse a las redes WPA/WP WPA/WPA2. A2. La  de he cho la herramien herramienta ta par paraa ello es Wpa_supplicant . En este l aborator aboratorio, io, h emos vis visto to cómo podemos u uttilizar para conectar  WPA para la red. 

Pop cifrado   Po p Quiz - defectos WLAN cifrado 1. ¿ Qué pa quetes quetes se utilizan para la re reprod producc ucción ión de paquetes?  a . De l a autentic autenticación ación de paquetes  b. Paqu ete asociad asociado o 

c.  Encrip tado de paquete paquetess ARP  d. Ni ngu na de las anterio anteriores res 

[98] 

 

 

Capítulo 4

 

2. WEP pu ed e ser vvii olada: olada:  a. Si empr empree  b. Sólo Só lo cuando una clav clavee d ébil / contraseña es elegid elegidaa  c.  En ci rcunstancias espec especiales iales,, s ólo  d. Sólo Só lo si el e l punto de acceso se ejecut ejecutaa el softw software are antiguo  3. WPA pue de ser violada:  a. Si empr empree  b. Sólo Só lo si una clave débil / contraseñ contraseñaa es eleg elegida ida  c.  Si el cliente cliente contiene firmw firmware are antiguo  d. I ncl uso sin clientes conectado conectadoss a l a red inalámbric inalámbricaa 

Resumen  En e s te capítu capítulo, lo, h emos emos a pre prend ndido ido l o siguien siguiente te acerca del cifrado de WLAN: 

 

?

 

?

 

?

WEP es de fectu fectuoso oso y no importa lo que la clave WEP e s decir decir,, con suficien suficientes tes muestr muestras as de p aqu aquetes etes de datos  s i empr empree es posible romper el protocolo WEP.  WPA/WPA2 es criptográficamente sin manipulable en la actualidad, sin embargo, en condiciones especiales   circun stanc stancias, ias, como cuando u na frase de contraseña débil es elegido en WPA/WPA2-PSK, WPA/WPA2-PSK, es  pos ible recuperar la co contr ntraseña aseña utilizan utilizando do los a taqu taques es d e d iccio iccionario nario..  En e l s iguiente iguiente capítu capítulo, lo, va mos mos a ver en d ife iferentes rentes ataqu ataques es e n la i nfraes nfraestructu tructura ra de WLAN,  tal es como l os punt puntos os de a cceso cceso,, l os gem gemelos elos del mal, poco voltear ataques ataques,, y as í sucesi sucesivamente. vamente. 

[99] 

 

Capítulo 4  

2. WEP pu ed e ser vvii olada: olada:  a. Si empr empree  b. Sólo Só lo cuando una clav clavee d ébil / contraseña es elegid elegidaa  c.  En ci rcunstancias espec especiales iales,, s ólo  d. Sólo Só lo si el e l punto de acceso se ejecut ejecutaa el softw software are antiguo  3. WPA pue de ser violada:  a. Si empr empree  b. Sólo Só lo si una clave débil / contraseñ contraseñaa es eleg elegida ida  c.  Si el cliente cliente contiene firmw firmware are antiguo  d. I ncl uso sin clientes conectado conectadoss a l a red inalámbric inalámbricaa 

Resumen  En e s te capítu capítulo, lo, h emos emos a pre prend ndido ido l o siguien siguiente te acerca del cifrado de WLAN: 

 

?

 

?

 

?

WEP es de fectu fectuoso oso y no importa lo que la clave WEP e s decir decir,, con suficien suficientes tes muestr muestras as de p aqu aquetes etes de datos  s i empr empree es posible romper el protocolo WEP.  WPA/WPA2 es criptográficamente sin manipulable en la actualidad, sin embargo, en condiciones especiales   circun stanc stancias, ias, como cuando u na frase de contraseña débil es elegido en WPA/WPA2-PSK, WPA/WPA2-PSK, es  pos ible recuperar la co contr ntraseña aseña utilizan utilizando do los a taqu taques es d e d iccio iccionario nario..  En e l s iguiente iguiente capítu capítulo, lo, va mos mos a ver en d ife iferentes rentes ataqu ataques es e n la i nfraes nfraestructu tructura ra de WLAN,  tal es como l os punto puntoss de a cceso cceso,, l os gem gemelos elos del mal, poco voltear ataques ataques,, y as í sucesi sucesivamente. vamente. 

[99] 

 

5

 

 Ataques a la WLAN WLAN  Infraestructura 

"Por lo tanto, lo que es de suma importanc importancia ia en la guerra es atacar la estrategia del enem enemigo" igo"  Sun Tzu, El Arte de l a Guerra  En es te capítulo, vamos a atacar el núcleo de la infraestructura infraestructura de WLAN! Nos centra centraremos remos en   cómo pode podemos mos pene penetrar trar en l a red autorizada median mediante te el uso de diversas nuevo ataqu ataquee   vectores vect ores y también cómo podemo podemoss atra at raer er a los c lien lientes tes autorizados a conectarse conectarse a nosotros, nosotros, como   atacante.  

La i nfraestru nfraestructura ctura WLAN es l o que proporcion proporcionaa servic servicios ios inalám inalámbric bricos os a todos los clientes WLAN en u n  de l sistem sistema. a. En e ste capítu capítulo, lo, vamos a ver varios ataqu ataques es que p ueden realiz realizarse arse contra  la i nfrae nfraestru structur ctura: a: 

 

Cuen tas por d efecto y las credenciale credencialess del punto de acceso 

 

Ataq ues de d enegació enegación n de servicio 

 

Gemelo Ge melo malvad malvado o y s uplantac uplantación ión d e i den dentidad tidad de punto punto

 

de acceso MAC C so  Puntos de MA acce acceso

? ? ? ?

Cuentas por defecto y las credenciales del punto de acceso acceso   Puntos de acceso WLAN son los p ila ilares res básicos de la in fr fraestru aestructura. ctura. A pesar de que e l juego  un pa pel tan i mpor mportante tante,, a veces el más d escuidado escuidado en té térm rminos inos de seguridad seguridad.. En e ste  eje rcicio, va va mos a comprobar si las contr contraseñas aseñas por defecto han sido ca mbiadas mbiadas en el pu nto de a cceso o  no. A conti nuación nuación,, vamos a s egu eguir ir para verificar que a un cuan cuando do las contr contraseñas aseñas se han ca mbiado, mbiado, siguen siendo  fá cil d e adivinar y el crack con un ataqu ataquee basado en diccion diccionario. ario. 

 

Los at aqu es a la infraestructura infraestructura WLA WLAN N 

Es i mportante señala señalarr qu e a me did didaa que a van vanzamo zamoss e n los cap ítulo tuloss más a van vanzados, zados, se presumirá  que han pasad pasado o p or los capítu capítulos los anterio anteriores res y ahora eestá stá familia familiarizado rizado con el u so de  toda s las herram herramientas ientas que se discuten allí. Esto nos p erm ermite ite a pro provechar vechar ese conocim conocimiento iento y tratar d e obtener má sques   compli ata complicado! cado! 

Tiempo para la acción - grietas cuentas por defecto en el acceso   puntos  Si ga estas instrucc instrucciones iones para comenzar:  1. 

Primero Prime ro vamos a co conect nectar ar con n uestr uestro o p unto unto de acceso accesoLaboratorio Laboratorio inalámbrica. Vemo s que el punt punto o de a cceso cceso  modelo es D-Link DIR-615 como se m uestra en la siguiente pantall pantalla: a: 

2. 

De s de la web del fabrican fabricante, te, nos e ncont ncontramos ramos con las credenc credenciales iales de cu enta por defecto para Administración  es tá en b lanco, es decir, sin contr contraseña. aseña. Nosotro Nosotross tratamos de esto en la página de inicio y ten er éxit éxito o en  tal a pulg Esto muestr muestraa lo fácil que es e ntr ntrar ar en las cuen tas con l as ccredencia redenciales les por defecto.  Si n d uda recomend recomendamos amos que para obtener en línea del router manual de usuario. Esto  pe rmitirá que usted eentien ntienda da lo que se tra ta de la p rueba duran durante te la penetración y  que os h agáis una idea de los d efecto efectoss de co config nfigurac uración ión que usted pu ede compr comprobar. obar. 

[102] 

 

Capítulo 5  

¿Qué ha pasado?  He Hemos mos co comprobad mprobado o que a veces las credenc credenciales iales por defecto no se cambian en el p unto de acceso, y es to  pod ría co conducir nducir a un compromiso de to todo do e l sistema. Adem Además, ás, inclu incluso so s i las cre creden denciales ciales por po r defec defecto to se cambian, se  No d eb e s er algo que sea fácil de a div divinar inar o ejecutar un simple diccionario diccionario de ataque basado en. 

Tener un héroe ir - cuenta cuentas s con ataques ata ques de fuerza bruta de craqueo  En e l ejercicio anterio anterior, r, cambie la contraseñ contraseñaa a algo difícil de adiv adivinar inar o bu scar scar en un  di ccionar ccionario io y ver s i s e puede rromper omper con u n enfoque de fuerza brut bruta. a. Limitar la d urac uración ión y  cara cteres de la co contr ntraseña, aseña, de modo que usted p ued uedee te ner éxito en a lgún mo momento. mento. Uno de los más co comune muness  herramientas utilizadas para romper la autentificación HTTP se llama Hydra disponibles en BackTrack.  

[103] 

 

Los at aqu es a la infraestructura infraestructura WLA WLAN N 

 Ataques de denegación de servicio   Las redes WLAN son prope propensos nsos a Denegación de servicio (Do (DoS) S) u sando varias técnicas, inc incluy luyendo, endo, p ero  no s e limit limitan an a: 

 

De -a uten utenticació ticación n a taqu taquee 

 

Di s -A -Asociaci sociación ón de ataque 

 

CT CTS-RTS S-RTS ata que que 

 

In terferenc terferencia ia de la s eñal de interfer interferencia encia o a taqu taquee e spectro spectro 

? ? ? ?

En e l á mbito de este libro, hab hablaremos laremos de De-autentic De-autenticac ación ión a taques a la red LAN i nalámbr nalámbrica ica  in fraestr fraestructura uctura mediante el siguient siguientee e xp xperimen erimento: to: 

Tiempo para la acción - De-autenticación contra ataque de DoS 

Si ga estas instrucc instrucciones iones para comenzar:  1. 

Vam os a conf configurar igurar l asInalámbrica as Inalámbrica de laboratorio l aboratorio de red para utilizar autent autenticació icación n abierta y no  cifra do. Esto n os permi permitirá tirá ver l os paquet paquetes es con Wireshark fácilm fácilmente: ente: 

[104] 

 

Capítulo 5  

2. 

Vam os a conect conectar ar a u n clien cliente te de Wi ndows ndows para el punto de acceso. Vam Vamos os a ver la con exió exión n en  l a airodump-ng pantalla: 

3. 

Ahora en la máquin máquinaa a tacante, corram corramos os un De- dirig dirigido ido autenticació autenticación n ataque  contra e sto: sto: 

4. 

Nota cómo el cliente se desconecta del punto de a cceso completo completo.. Podemo Podemoss  verificar la misma en el airodump-ng pantalla, así: 

[105] 

 

Los at aqu es a la infraestructura infraestructura WLA WLAN N 

5. 

Si s e utiliz utilizaa Wi reshark reshark para ver el tráfico tráfico,, te d arás cuenta de un montón de de-autenticac de-autenticación ión  pa qu etes por el a ire que nos acab acabaa de e nv nviar: iar: 

6. 

Pode mos hacer eell mismo ataque media mediante nte el e nv nvío ío d e una d ifusión ifusión de De -autentic -autenticación ación de p aqu aquet etes es en  nom bre del punto de acceso a la red inalámbric inalámbrica. a. Esto ttendrá endrá el e fecto fecto de la  de s conectar tod todos os l os client clientes es co conec nectado tados: s: 

[106] 

 

Capítulo 5  

¿Qué ha pasado?  He Hemos mos e nviado nviado con éxito-De autentic autenticación ación marcos para el p unto unto d e acceso y el cliente. Este  s e ha tra ducido en consegu conseguir ir que desconecta y una pérdida pérdida completa de co comunic municación ación entr entree eellos. llos.  Tam bién hemo hemoss e nv nviado iado Difusión De-autentic De-autenticación ación paquetes, que s e asegurará de q ue ningún cliente  En l os alred alrededores edores se pu ede cone conectar ctar corr correctamen ectamente te a l punto d e acceso.  Es i mportante tener en cuenta que tan pronto como el cliente se d es esconect conectaa se i nten ntenta ta co conect nectar ar de nu evo  una vez más al p unto de acceso, y por l o tanto el ataque de De-autentic De-autenticación ación tiene que ser llevado llevado a ca bo  de ma nera sosten sostenida ida a una negació negación n total de e fectuar fectuar la notific notificación. ación.  Este es uno d e los más fáciles de orquestar lo loss a taques, pero ti ene el efecto más devastad devastador. or. EEss te  pod ría s er fácilm fácilmente ente utilizado en el mundo rreal eal para que u na red inalámbr inalámbrica ica hasta sus rodillas rodillas.. 

Tener un héroe ir - DisDis-Asociación Asociación de ataques ataq ues   Trata r de ver cómo se pu ede llev llevar ar a cabo Dis-Asociación Dis-Asociación de ataques contr contraa l a infraestruct infraestructura ura con  he rramientas dispon disponibles ibles en BackTrack BackTrack.. ¿Puede usted h acer una e misió misión n de Dis -Asociac -Asociación ión d e ataque? 

Gemelo malvado y suplantación de identidad de punto de acceso MAC   Uno de l os ataques más potentes en las i nfrae nfraest structu ructuras ras WLAN es el gemelo malvad malvado. o. La i dea es  bá s ic icamente amente introdu introducir cir un pu nto de acceso controlado por po r el a tacante en las i nmed nmediac iaciones iones de la red WLAN.  Este pu nto de acceso se anuncian el mismo SSID exacto de la red WLAN autorizados. autorizados.  Muchos usuarios de re redes des inalám inalámbric bricas as accidental accidentalmente mente pueden conect conectarse arse a este pu nto de a cces cceso o malic malicioso ioso pen sar que es part partee  de l a red autoriz autorizada. ada. Una vez q ue se establece una conex conexión, ión, el a tacante puede orquest orquestar ar una  Man- i n-th n-the-mid e-middle dle y de forma transparen transparente te el tráfico de relevo relevo,, mientras que escuchas en toda l a  la comunicac comunicación. ión. Vamos a ver cómo un hombre en el ataque de inter intermediario mediario s e lleva a cabo en un capítulo posterior. En   el mun do rreal, eal, u n atacan atacante te lo i deal s ería ería uti liz lizar ar esta cerca de a taqu taquee a la red a utorizada, utorizada, por l o que  que el u suario se confunde y a ccident ccidentalmente almente se ccon on ecta a su red.  Un ge melo malvado que tiene la misma dirección MAC como u n p unto de a cces cceso o au torizado torizado es aún más  di fíciles de d etect etectar ar y disuadir. Aquí es donde el punto de acceso MAC MAC spo ofing ofing viene! En el  s ig iguien uiente te experimen experimento, to, vamos a ve verr cómo crear un ge melo melo malvado, junt junto o con el p unto de acceso  MAC s poo fing fing.. 

[107] 

 

Los at aqu es a la infraestructura infraestructura WLA WLAN N 

Tiempo para la acción - el gemelo malvado de MAC spoofing   iones para comenzar:  Si ga estas instrucc instrucciones 1. 

Uso airodump-ng pa ra locali localizar zar BSSID del p unt unto o d e acceso y el ESSI ESSID D q ue nos gustar gustaría ía  pa ra e mular mular en el ggemel emelo o malvado: 

2. 

Pone mos en con tacto a un client clientee i nalá nalámbric mbrico o al p unto de acceso: 

3. 

Con e s ta inform información, ación, se cr crea ea u n nuevo punto de a cceso con el mismo ESSID, pero  BSSI D d ife iferente rente y una d irecc irección ión MAC utilizando el base aérea-ng comando: 

[108] 

 

Capítulo 5  

4. 

Este nuevo p unt unto o d e acceso también se muestr muestraa en e l airodump-ng la pantal pantalla. la. Es i mpor mportante tante tener en  Ten ga en cuenta que tendr tendráá qu e ejecu ejecutar tar airodump-ng en una nueva ventana ccon on el siguien siguiente te  airodump-ng p-ng - channel 11 w lan0 pa ra ver este nuevo punto de acceso: comando airodum acceso: 

5. 

Ahora nos enví envíaa un a trama de D De-au icación ara eell cliente, por lo q ue se d es esconecta conecta y  i nme dia diatamente tamente intent intenta a volver ae-autent contenticació ectar: ectar:   n p ara

[109] 

 

Los at aqu es a la infraestructura infraestructura WLA WLAN N 

6. 

A med ida que se ace rcan más a este cliente, nue nuestra stra fuerza fuerza de l a señal es más alto y se conect conectaa a nuest nuestrro ma l   Punto de a cces cceso o d oble, oble, como s e muestra en las p antal antallas las siguientes siguientes:: 

7. 

Ta mbién se puede f al alsific sificar ar la dirección MAC BSSD y de l punto d e acceso mediante el siguien siguiente te  comando:  

[110] 

 

Capítulo 5  

8. 

Ahora bien, si vemo vemoss a través de airodump-ng es casi imposible diferenciar diferenciar  en tre tanto visual: visual: 

9. 

Incluso airodump-ng es incap incapaz az de d iferen iferenciar ciar que en realidad hay dos difer diferentes entes  pun tos de acceso físico en el mismo canal. Est Estaa es la forma más poten potente te de l a  gemelo malvado. 

¿Qué ha pasado?  He Hemos mos cre creado ado un gemelo malvad malvado o de l a red autoriz autorizada ada y se utiliza una autentic autenticación ación de De -  ata que para que e l client clientee l egít egítimo imo conec conectarse tarse de nuevo con nosotros, en lugar de la red autoriz autorizada ada  punto d e acceso acceso..  Es i mportante señala señalarr que e n el caso del p unt unto o d e acceso autorizad autorizado o mediante el cifrado ccomo omo  como WEP / WPA, pod ría ser más dif íc ícilil de llevar a ca bo un ataqu ataquee en eell que escucha el tráfico  pue de ser posible. Vamos a ver có cómo mo romper la clave WEP con con s ólo un cliente util utilizando izando el Caffe  Ataqu e de ca fé con lech e en un ca pítu pítulo lo poster posterior ior.. 

Tener un héroe ir - gemelo m malvado alvado y zapping  En e l ejercicio anterio anterior, r, ejecute el gemelo malvad malvado o de los d ife iferentes rentes canales y observar ccómo ómo e l cliente,  Una vez desco desconec nectado tado,, s e subían a l os can canales ales para conectar con el punto de acceso. ¿Cuál es la decisión  fa ctores sobre los qu e el cliente decide el punto de a cceso para cone conectarse ctarse a? Es fuerz fuerzaa de l a señal?  Experi mentar y vval al idar. 

[111] 

 

Los at aqu es a la infraestructura infraestructura WLAN 

Rogue punto de acceso   Un p unto de acceso n o autorizad autorizados os es un punto de acceso no autorizad autorizado o conectado a la red a utoriz utorizada. ada.  Por lo ge general, neral, este punto de a cces cceso o p ued uedee s er utili utilizado zado ccomo omo un a entr entrada ada d e puerta tr trasera asera por u n atacante, lo cual le permit permitirá irá  pa s ar por alto todos l os contr controles oles de seguridad en la red. Esto significar significaría ía que los cortafuegos, intru intrusión sión  s is tem temas as de prevenció prevención, n, y a sí sucesiv sucesivamente, amente, que proteg protegen en la fronter fronteraa de una red s ería ería ca paz de hacer  poco q ue l e impid impidió ió accede accederr a la red.  En e l caso más común, un p unto unto d e acceso no autorizad autorizados os está estable establecido cido en Autent Autenticació icación n abierta y no  cifra do. El pu nto de a cceso pícaros se pueden cr crear ear d e dos maneras:  1. La i nstalac nstalación ión de u n dispositiv dispositivo o físico rreal eal de la re d autorizad autorizadaa como de acceso no autoriz autorizados ados  pun to. Es to vvaa a s er algo, me dejo como ejerc ejercicio icio para usted usted.. Además, más de  de s eguridad inal inalámbric ámbrica, a, esto tiene que ver con l a violac violación ión de la segurid seguridad ad física de los  a utorizados de la red.  2. Crea r un punto d e acceso no autoriz autorizados ados en el s oftware y puen te con el distribu distribuidor idor autorizad autorizado o  red Ethern et de red. Esto p erm ermitirá itirá que prácticamen prácticamente te cualqu cualquier ier portát portátilil que s e ejecu ejecuta ta en e l  red a utorizad utorizada a para fu ncio ncionar omo un punto de acceso no autorizados. Ve Veremos remos esto en el  s i guiente experim experimento. ento.   nar ccomo

Tiempo para la acción - punto de acceso no autorizados 

Si ga estas instrucc instrucciones iones p ar araa comenzar:  1. 

Prime ro vamos a p lantear nuestro pu nto de a cceso no a utoriz Primero utorizado adoss con base aérea-ng y darle el  ESSID Pícaro: 

[112] 

 

Capítulo 5  

2. 

Ahora queremos crear un puente entre la interfaz Ethernet Ethernet que una parte d e la  a utorizados de la red y nuestra inter interfaz faz de R ogue punto de acceso. Para hace hacerr esto, primero se  crea r una i nter nterfaz faz de pu ente y el nombre de Wifi-Puente: 

3. 

Luego Lue go a ñad ñadir ir tanto los de Ethernet y la i nter nterfaz faz at0 virtual cr creada eada p or  base aérea-ng a e ste puente puente:: 

4. 

A conti nuac nuación, ión, se traen eest stas as i nter nterfaces faces a llevar hasta el puente " 

5. 

Luego Lue go a ctiv ctivar ar el reenvío IP een n el ke kerne rnell para asegurar lo loss paquetes se en vían vían:: 

[113] 

 

Los at aqu es a la infraestructura infraestructura WLA WLAN N 

6. 

Genial! Ge nial! Hemos terminad terminado. o. Ah ora ora cualquier cliente inalámbric inalámbrico o se con ecta a n uestr uestro o acceso Rogue  pun to te ndrán pleno acceso a l as redes a utorizadas utorizadas utilizando la conexión inalámb inalámbrica rica a cable cableada ada  "Wif i -pue -puente" nte" que acaba de constru construir. ir. Podemo Podemoss comprobar esto e n prim primer er lugar la conexión de un clie nt ntee a la  Rogu e punto de acceso. Una vez conectado, si está utilizando utilizando Vist Vista, a, l a pantal pantalla la podría ser  como el siguiente: 

7. 

Nos da rem remos os cuent cuentaa de q ue recibe una dirección IP desde la qu e el demonio DHC DHCP P se e jecut jecutaa en el  a utorizado LA LAN: N: 

[114] 

 

Capítulo 5  

8. 

Ya pod emos acceder a cualqu cualquier ier host d e la red de cable de este cliente inalám inalámbric brico o mediante  es te p unto unto d e acceso no autoriz autorizados. ados. A continuació continuación, n, se hacer ping a la puerta de eenlace nlace en la rred ed de cable: 

¿Qué ha pasado?  He Hemos mos cre creado ado un punto de acceso no autoriz autorizados ados y lo utilizó para cubrir todo el tráfico autoriz autorizado ado de la re d LAN  través de la re d inalámb inalámbrica. rica. C Como omo puede puedess ver, eest staa es e s una amenaz amenazaa a la segurid seguridad ad en serio ccomo omo cualquier otro  pue de e ntrar ntrar en la re red d cableada util utilizand izando o este p uente. 

Tener un héroe ir - Rogue desafío punto pu nto de acceso   Comprobar s i se p uede crear un p unto unto d e acceso no autoriz autorizados, ados, que utiliza el ci frado frado de WPA/WP WPA/WPA2-bas A2-based ed  ver más legítimo en la red inalámb inalámbrica. rica. 

Pop Quiz - los ataques at aques a la infraestr infraestructura uctura WLAN WLAN  1. ¿Qu é h a ce un cifrad cifrado o d e punto de acceso dudoso uso en la mayo mayoría ría de l os caso casos? s?  a. Nin gu guno no  b. WEP  c.  WPA  d. WPA2 

[115] 

 

Los at aqu es a la infraestructura infraestructura WLA WLAN N 

2. En Evil Twin, con la mis ma direc dirección ción MAC de l punto de acceso autorizad autorizado: o:  a . Ha ce la d etecc etección ión de la Evil Twin más difícil  b. Obl iga al cliente a conectarse a ella  c.  Aume Aumenta nta la i nten ntensidad sidad de la s eñal de l a red  d. Ni ngu na de las anterio anteriores res  3. Los a taques DoS:  a . Baja e l rendim rendimiento iento global de l a red  b. No me ta l os cl clien ientes tes  c.  Sól o p uede hace hacerse rse si s e conoce la re d WEP/WP WEP/WPA/W A/WPA2 PA2 cr cred ed encialeess  d. Toda s las anterio anteriores res  4. Puntos de acceso acceso::  a . Ofrecen una entrada de puerta trase trasera ra en la re red d autorizad autorizadaa  b. Us e s ólo el cifrado WPA2  c.  Se pue de cr crear ear como un pu nto de a cceso basad basado o en s oftware o p ued uedee s er un dispo dispositivo sitivo real  d. Ambos (a) y (c (c)) 

Resumen  En e s te capítu capítulo, lo, h emos emos explor explorado ado las sig siguien uientes tes maneras de compromet comprometer er la s egurid eguridad ad de la  LAN i na lámbric lámbricaa d e i nfrae nfraest structu ructura: ra: 

   

Comprome tiendo las cuentas por defect defecto o y l as credenc credenciales iales de los puntos de acceso   Ataq ues de d enegació enegación n de servicio 

 

Mal gem elos elos y la supla suplantac ntación ión de MAC 

 

Puntos de acceso en l a red de la em empresa presa 

? ? ? ?

En e l s iguiente iguiente capítu capítulo, lo, va mos mos a ver een n difer diferentes entes ataque ataquess e n el cliente cliente i nal nalámbric ámbrico o LAN. C Curi uri osament osamente, e,  ma yoría d e los a dministr dministradores adores siente sienten n que el cliente no ti ene prob problemas lemas de s egurid eguridad ad de q ue preocup preocuparse. arse. Vamos a ver ccómo ómo  na da podría estar más lejo lejoss de la verdad. 

[116] 

 

6

 Atacar a los clientes  "La seguridad es tan fuerte c omo el eslabón má máss débil".   Cita Cit a fa mosa en el domini dominio o Seguridad de la Informac Información ión   La mayo ríatura de pruebas de el penet penetración ración parec parecen en toda una la aatenci tención ón la l a eso. WLAN infra es truc tructura y no s e dé cliente inalámbri inalámbrico, co,dar incluso fracc fracción iónade    Sin e mba mbargo, rgo, es interes interesante ante señalar que un hacke hackerr puede tener acceso a l a  aut orizados de l a red, al compr comprometer ometer un cliente inalámbric inalámbrico. o.  

En e s te capítu capítulo, lo, vamos a cambia cambiarr nu estro enfo enfoque que de la infraestr infraestructura uctura WLAN del cliente inalá inalámbric mbrico. o.  El cli ente pue puede de ser un conect conectado adoss o a islad islados os no as ocia ociados dos cliente cliente.. Va mos mos a ver diferente diferentess  ata ques, lo q ue pued puedee s er utilizad utilizadaa para combatir el client cliente. e.  Vam os a cubrir l os sig siguientes: uientes: 

 

Hon eypot y Mis Asociac Asociación ión ataqu ataques es 

 

Caffe Latte ataqu ataquee 

 

De -Authenticato -Authenticaton n y Di s-Asoc s-Asociación iación de ataqu ataques es 

? ? ? ?

   

?

Hirte ataqu ataquee  AP-meno s WPA-Pe WPA-Person rsonal al grietas 

 

 

 Ataca r a los clientes 

Honeypot y Mis Asociación ataques   Norma lmente lmente,, cuando u n cliente inalámbr inalámbrico, ico, como un orden ordenador ador portátil está encend encendido, ido, se p robará para las redes   s e ha co conectado nectado anter anterior iormente. mente. Estas redes se a lmac lmacenan enan en una l ist istaa llamada llamadaRecomendados Recomendados  Lista de la red (PNL) en s istem istemas as basados en Window Windows. s. Además, junto con esta lista, se mostrar mostraráá nin guna guna  la s redes dispon disponibles ibles en su gama.  Un ha cker puede hacer una de dos cosas:  1. En s ilencio, monito monitorr de la sonda y cria r a un p unto unto d e acceso falso ccon on el m ismo ESS ESSID ID de la  el cliente está b usc uscando. ando. Esto hará que eell cliente se con con ecte a la máquina de hackers,  pe nsando que es el l egít egítim imo o de la red.  2. Se pue den crear puntos de acceso falsos con el mismo ESSID de los vecinos vecinos para  confu ndir al usuario para ccon on ectarse ectarse a él. Este tipo de ataques son muy fácile fáciless de llevar a cabo en e n el café  tie ndas y ae ropuerto ropuertoss een n los que u n usuario po podría dría estar buscand buscando o para conectar conectarse se a una conexión Wi-Fi.  Esto s ataqu Estos ataques es s e denom denominan inan ataques honey honeypot, pot, que ocurren debido a errore erroress de la Asociación para la  pun to de l os hacker hackerss el a cceso pensand pensando o q ue es la legítima.  En e l s iguiente iguiente ejercic ejercicio, io, vvaa mos a hacer estos dos ataques en nu es estro tro laboratorio.  

Tiempo para la acción - orquestar un ataque Mis-Asociación   Si ga estas instrucc instrucciones iones para comenzar:  1. 

En l as sesiones anter anteriore iores, s, s e utilizó un ccll ie iente nte que había conectado a la laInalámbrica Inalámbrica de laboratorio acceso  pun to. Va mos mos a cambiar een n el cl iente pero no la re real alInalámbrica Inalámbrica de laboratorio pun to de acceso. Dejar Dejar  ahora ejecutar airodump-ng mon0 y comprobar l a salida. Que muy pron to enco encontrar ntrar el  cli ente para estar en no asociados y el mod o de sond sondeo eo para paraInalámbrica Inalámbrica de laboratorio l aboratorio y otros SSID en  s u p erfil almacen almacenado ado (Vivek ccomo omo s e muestr muestra): a): 

[118] 

 

Capítulo 6  

2. 

Para en tend tender er lo qu e está pasando, vvaa mos a eejecu jecutar tar Wiresh Wireshark ark y empezar a oler een n el elmon0 mon0  i nte nterfaz rfaz.. Como era de e sper sperar ar que p odría odría ver una gran cantidad de paquetes que no son relevantes para nuestro   a ná lilisis. sis. Aplicar un filtro para mostrar sólo Wireshark Wireshark paquetes Probe Request del  MAC del cliente que está utiliz utilizando: ando: 

[119] 

 

 Ataca r a los clientes 

3. 

En mi caso, el filtr filtro o se wlan.fc.type_subtype == 0x04 & & wlan.sa ==  60: FB: 42: D5: E4: 01. Ahora de be vver er l os paquetes paquetes Probe Request sólo desde el cliente  pa ra los SSI SSID D Vivek y Inalámbrica de laboratorio: 

4. 

Ahora vamos a i niciar un punto de a cces cceso o falso de la re red d Inalámbrica de laboratorio l aboratorio en el hacker hacker  má qu ina utilizan utilizando do el comando que se muestra a contin continuación: uación: 

[120] 

 

Capítulo 6  

5. 

De ntro d e un minut minuto o o así, el cliente se conecta a n oso osotro tross d e forma automátic automática. a. Esto mues muestra tra cómo  fá cil q ue es hacer que los clientes no asoc asociados. iados. 

6. 

Ahora , vamos a tratar el segundo caso, que es la creación de un punto de acceso falso falsoInalámbrica Inalámbrica de laboratorio  en la prese presencia ncia de la l egí egítim tima. a. Volvamos nuestr nuestro o punto de a cceso para aseg asegurarse urarse que  Inalámbrica de laboratorio es tá disponib disponible le para el clien cliente. te. Para este e xperimen xperimento, to, hemos establec establecido ido el acceso  pun to ca nal 3. Deje que el cliente se conec conecta ta al p un unto to de ac ceso. Podemo Podemoss comprobar este airodump-ng de la pantalla como se muestr muestraa a contin continuació uación: n:   

7. 

Ahora vamos a plantear nuestro punto de acceso falso con con el SSID SSIDInalámbrica Inalámbrica de laboratorio: 

[121] 

 

 Ataca r a los clientes 

8. 

Obs erve el clien te sig sigue ue conectado al punto de acceso legítimo legítimoInalámbrica Inalámbrica de laboratorio: 

9. 

Ahora vamos a e nv nviar iar de difusió difusión n de-autentic de-autenticación ación mensaj mensajes es al cl iente en nombre de  el punto d e acceso legítimo a rompe romperr su relación: 

[122] 

 

Capítulo 6  

10 10.. 

Sup on ie iendo ndo que la intensid intensidad ad de la señ al de nuestr nuestro o p unto unto de acceso falso falsoInalámbrica Inalámbrica de laboratorio l aboratorio es más fuer fuerte te que  el legítimo al cliente, se conecta a nuestro punto de acceso falso, en lugar de la  pun to de a cceso legítim legítimo: o: 

11 11.. 

Pode mos verificar la mism mismaa observando la airodump-ng s alida alida para ver l a nueva  l a as ociac ociación ión del cliente con n uestr uestro o punto de a cceso falso falso:: 

[123] 

 

 Ataca r a los clientes 

¿Qué ha pasado?  Acaba mo moss de cre crear ar una Honeypot media mediante nte la lista investigad investigado o por el cl iente y también con el m ismo  ESSID como el de los pu ntos ntos de acceso vecino vecinos. s. En el p rimer caso, el cliente autom automáticam áticamente ente   cerca cone ctados a nosotros ccomo omo lo fue en b usca de la red. En este úl timo timo caso, ya que estaban más cerca de  el cliente que el punto de a cces cceso o real, nuestra fuerz fuerzaa de l a señal es mayor, y ccon on ectado el cliente  pa ra noso nosotr tros. os. 

obligando ando a un cliente para conectarse conectarse a la Honeypot Hone ypot  Tener un héroe ir - oblig En e l ejercicio anterio anterior, r, ¿qué hacemos si el cliente no s e conecta autom automáticamen áticamente te a nosotros?  Ha bría qu e envia enviarr un paquet paquetee de de-auten -autenticació ticación n para romper el legítim legítimo o acceso de cliente  pun to de conexión y l uego, si nu estra estra fuerza de la señal es mayor, el cliente se co conec nectará tará a nuestro  fa l so punto de a cces cceso. o. Trate de h acer esto median mediante te la conexió conexión n d e un cliente a un p unto de acceso legítim legítimo o y  en tonces lo qu e obligó a conectar conectarse se a nuestro Honeypot. 

Caffe Caff e LLatte atte ataque   En e l a taqu taquee Honeypot, nos dimos cuenta de q ue los cliente clientess continuam continuamente ente la sonda de S SID que han  cone ctó a nter nterior iormente. mente. Si el clien cliente te s e conecta a un punto de acceso me media diante nte WEP de funcion funcionamiento amiento,,  s is tem temas as como Windows, caché y al mac macenar enar la clave WEP WEP.. La próxima vvez ez que el clien cliente te se conect conectaa a  el mismo pu nto de a cceso cceso,, la conexión inalámb inalámbrica rica de Windows gestor d e configurac configuración ión u tiliza tiliza au tom tomáticamen áticamente te la  cla ve almacen almacenada. ada.  El a taque C Caa ffe Latte fue inven inventado tado por mí, el autor de este libro y s e d emostr emostró ó  en Too ToorC rCon on 9, San D Diego, iego, EE.UU.. EEll ataque Caffe Latt Lattee es un a taque WEP, que p erm ermite ite a un hacker  pa ra re cuper cuperar ar la clave WEP de la re red d autorizad autorizada, a, utilizan utilizando do sólo el cliente. El ataque no  requ i eren que el clien cliente te estar en cualquier lugar ccerca erca de la red a utorizad utorizadaa de WEP. Se puede rromper omper la WEP  cla ve utilizand utilizando o sólo el cliente ais aislado. lado.  En e l s iguiente iguiente ejercic ejercicio, io, vvaa mos a retreive la clave WEP de u na red de un client clientee utilizan utilizando do el Caffe  Ataqu e de café con leche. 

Tiempo para la acción - la realización de los ataques Caffe Latte  instrucciones Si ga estas instrucc iones para comenzar:  1. 

Prime ro vamos a e stablec Primero stablecer er nuestro punto de a cceso cceso legítimo con WEP para la red Inalámbrica de laboratorio  con l a ABCDEF ABCDEFABCDE ABCDEFABC FABCDEF12 DEF12 clave een n hexadecimal: 

[124] 

 

Capítulo 6  

[125] 

 

 Ataca r a los clientes 

2. 

Vam os a conect conectar ar a nuestro cliente y asegurarse de que la conexión es exitosa con  airodump-ng como s e m uestr uestraa a continuació continuación: n: 

3. 

Vam os a desc desconectar onectar el p unto unto de acceso y garantizar que el cliente está en la e tapa de no asociados asociados  y l a b úsqued úsquedaa de la red WEP WEPInalámbrica Inalámbrica de laboratorio: 

4. 

Ahora u samos base aérea-ng para que a pare parezca zca un punto de acceso con Inalámbrica de laboratorio la boratorio como el SSID  con l os p arám arámetros etros que se muestran a continuació continuación: n: 

[126] 

 

Capítulo 6  

5. 

Ta n pro pronto nto como el cliente se conecta al punto de acc acceso, eso, base aérea-ng inicia el Caffe-  Ataq ue de ca fé ccon on leche, como se muest muestra: ra: 

6. 

Ahora iniciamo iniciamoss airodump-ng pa ra recoger lo loss paq uete uetess de datos a partir de este punto de a cceso cceso único, como l o hicimos antes en el caso de WEP cracking: 

[127] 

 

 Ataca r a los clientes 

7. 

Ta mbién empezamo empezamoss aircrack-ng como en e n el eejercic jercicio io WEP para descifrar lo hicimos antes de comenzar  el proceso de craqueo. La línea de comando comandoss sería aircrac aircrack-ng k-ng nom nombre bre de archiv archivo o donde  nom bre_archiv bre_archivo o es el n ombre del archiv archivo o creado po porr airodump-ng: 

8. 

Una vez q ue te ngamos ngamos suficien suficientes tes paquetes encrip encriptado tadoss WEP, aircrack-ng éxito en la formació formación n de grietas   l a clave como se muestra a continuac continuación ión:: 

[128] 

 

Capítulo 6  

¿Qué ha pasado?  He Hemos mos te nid nido o éxito en l a recuper recuperación ación de la clave WEP a p artir de sólo el client clientee i nalá nalámbric mbrico o sin necesidad de  un p unto de acceso rreal eal a s er usado usadoss o presentes en los alred alrededores. edores. EEste ste es el p oder de la Caffe   Ataqu e de café con leche.  El ata que que funciona a poco mo ver de un tirón y repetición de paquetes A ARP RP en viad viados os por el p uesto de cl iente inalámbrico   as ociación ociación con e l punto de acceso falso ccreado reado p or nosot nosotros. ros. Estos bits volcó ARP Solicitud de paquetes  cau s ar más los p aque aquetes tes de re spu spuesta esta ARP para ser e nv nviada iada por el cliente inalámbr inalámbrico. ico. Teng Tengaa e n cue cuenta nta que todos esto estoss  pa quetes están cifrad cifrados os con la clave WEP almacenad almacenadaa en e n el cliente. Una vvez ez que s on capace capacess de re unir unir un  gran núm ero de e stos paqu paquetes etes de datos, aircrack-ng es capaz de recuperar la clave WEP fácilmente. 

perfec rfecto! to!   Tener un héroe ir - la práctica te hace pe

Prue Prue be a cam bia biarr la clave WEP y repe tir el ataque ataque.. Este es un a taqu taquee difícil y req uier uieree u n poco de  prá ctica p ara organ organizar izar con ééxito xito.. Ta mbién mbién sería u na buena idea usar Wi reshark reshark y  exa minar el tráfico en l a red inalám inalámbrica. brica. 

De autenticación y Dis-Asociación de ataques   He Hemos mos vi sto de-auten de-autenticac ticación ión de a taque en los ca pítu pítulos los anterio anteriores, res, así como en el con text texto o de l a  pun to de acceso. En este capítulo, vvam am os a explor explorar ar el m ismo en el con text texto o del cliente cliente..  En e l l abo aboratorio ratorio de al lado, l e envia enviaremo remoss De -auten -autenticació ticación n de paq uete uetess sólo a los cl iente ientess y romper una  es tablecido tablecido la conexión entr entree el p unto unto de acceso y el clien te. 

Tiempo para la acción - De-Autenticación del cliente   Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

Primero Prime ro vamos a po ner nuestro punto de acceso accesoInalámbrica Inalámbrica de laboratorio de nuevo en línea. línea. Ha ga mos mos qu e siga func funcionand ionando o  en WEP pa ra demostrar que inclu incluso so con el ci fr frado ado a ct ctivado, ivado, es p osible osible atacar a l os  pun to de a cceso y conexión del clien cliente. te. Vamos a verific verificar ar que el punto de acceso es por el u so  airodump-ng: 

[129] 

 

 Ataca r a los clientes 

2. 

Vam os a conect conectar ar a nuestros nuestros cliente clientess a este punto de acceso tal y como lo verif verifique ique conairodumpng: 

3. 

Ahora vamos a ejecutar aireplay-ng para orientar al cliente y la conexión de pu nto de a cces cceso: o: 

4. 

El cli ente se desconec desconecta ta y vvue ue lve a in tent tentar ar hasta el punto de acceso, podemos  verifi car esto median mediante te el uso de Wi reshark reshark igual que antes: 

[130] 

 

Capítulo 6  

5. 

Ya he mos visto que incluso en l a pres presencia encia de cifrado WEP, es posible  De -l a autent autenticació icación n d e un cliente y desconectar desconectar.. Lo mismo es vá lido inclu incluso so en l a prese presencia ncia de  WPA/WPA2. WPA/WP A2. Ahora vamos a estable establecer cer nuestr nuestro o p unto unto d e acceso a la encript encriptación ación WP WPA A y verifi car la misma. 

[131] 

 

 Ataca r a los clientes 

6. 

Vam os a conect conectar ar a nuestros nuestros cliente clientess al p unto de acceso y asegúrese de que e stá stá conectado: 

7. 

Ahora vamos a ejecutar aireplay-ng para desconectar desconectar el clien cliente te del p unto de acceso: 

8. 

Us o d e Wireshar Wiresharkk podremo podremoss volver a comprobar que esto funcion funcionaa así: 

[132] 

 

Capítulo 6  

¿Qué ha pasado?  Acaba mo moss de enterarnos de cómo desconect desconectar ar un client clientee i nalá nalámbric mbrico o d e forma selectiv selectivaa desde u n punto de acces o ccon onaDe  ticación, Marcos de uten utenticació n, incluso en p resenc resencia ia d e l os esquem esquemas as d e cifrado como WEP/WP WEP/WPA/WPA2 A/WPA2..  Esto s e hizo mediante el envío de un paquete de a uten utenticació ticación-De n-De a p oco el punto de acceso - un par de cl ient ientes, es,  en l ugar de en viar una emisión dede-autenticac autenticación ión a toda la red. 

Tener un ir héroe - Dis-Asociación a taque ue en el cliente   Dis-Asociación de ataq En e l ejercicio anterior anterior,, s e utilizó un ataque de D Dee -au -autent tenticació icación n para romper la conexión. Tr Tratar atar de  us a ndo ndo u n paquet paquetee de Dis-Asoc Dis-Asociación iación para rompe romperr l a conexión se eest stablece ablece entre un cliente y un  punto d e acceso acceso.. 

Hirte ataque   Ya he mos visto cómo llevar a cabo el ataque Caffe Lat Latte. te. El ataque Hirte extiende eell Caffe  Ataqu e con leche utiliz utilizando ando técnicas de fragmen fragmentació tación n y p ermite a casi cualquier paqu paquete ete que se utilizará.  Más i nfor nformación mación s obre el ataque Hirte est estáá disponib disponible le en e l sitio web de aircr aircrack-ng: ack-ng:http://  www.aircrack-ng.org/doku.php?id=hirte .  Ahora vamos a utilizar aircrack-ng para llevar a ca bo el ataque Hir Hirte te en el mismo client cliente. e. 

Tiempo para la acción - cracking WEP con el ataque Hirte   1. 

Cr Crea ea r un punto d e acceso WEP exa ct ctamente amente como en el ataque Caffe Lat Latte te con el base aérea-ng  he rramienta. La única opción adic adicional ional es la -N opci ón en l ugar ugar de la -L opción de lan zar  el ataque Hir Hirte: te: 

[133] 

 

 Ataca r a los clientes 

2. 

3. 

4. 

Comienzo airodump-ng en una ven tana sep separada arada para capturar los paquete paquetess para el Wireless  Lab oratorio de Honeypot Honeypot:: 

 Airodump-ng Ahora s e iniciar  Airodump-ng iniciaráá el s eguim eguimiento iento de esta red y el almacenam almacenamiento iento de l os paque paquetes tes de  Hirte-01.cap archivo.  

Una vez qu e el cliente móvil se conec conecta ta a cabo Honeypot AP, el ataque Hirte es es  a utomáticamen utomáticamente te puesto en march marchaa por base aérea-ng: 

[134] 

 

Capítulo 6  

5. 

Comenzamos aircrack-ng como en el caso d el a taqu taquee Caffe Latte y, finalmente, el  cla ve sería roto, como se mu estra estra a co contin ntinuación: uación: 

¿Qué ha pasado?  He Hemos mos p uesto en marcha el a taque contr contraa un client clientee Hirte WEP WEP,, que fu e aisla aislado do y le jos de l a  au torizado torizadoss de la red. H emos emos roto la clave e xact xactamente amente ccomo omo e n el caso de u n ataque C Caf af fe Latte. 

práctica, ráctica, práctica, práctic práctica a  Tener un héroe ir - la p Le re come ndamos ndamos establec establecer er diferente diferentess claves WEP en el cliente y tratar de e ste ejercic ejercicio io  pa r de veces ganar confianza. Uste Usted el cliente parapara conseguir que funcione.   d puede notar que muchas veces hay qu e volver a conectar 

 AP-menos WPA-Personal gr grietas ietas   En u n cap ítulo anterior, hem hemos os visto cómo rom per WPA WPA/WPA2 /WPA2 PSK utilizando aircrack-ng. La  id ea básica er eraa l a captura de un saludo de cuatro vías WPA y lu ego lanzar un ataque ataque de d iccionar iccionario. io.  El mi llón de pregunt preguntas as del dó dólar lar es-¿sería posi posible ble para romper WPA-Person WPA-Personal al con s ólo el  cli ente? No hay punto de a cceso cceso!! 

[135] 

 

 Ataca r a los clientes 

Vam os a revis revisar ar el ejerc ejercicio icio WPA cr craa cking para refre refrescar scar nuestra memor memoria. ia. 

Para romper WPA, ne cesitamos cesitamos los siguiente siguientess cuatro parámetros de la Four-Way Ha ndshak ndshakee-  Nounce autenticador, Nounce suplicante, autenticador de MAC, MAC suplicante. Ahora, el  Lo i nte nteresan resante te es que no tenemos todas las de los cuatro paquetes en el ap retó retón n d e manos para extraer  es ta i nformación nformación.. Podemos obtener esta informac información, ión, ya sea con los cuatro paquetes, o paquetes de 1 y 2,  o s im plemen plemente te de paquetes 2 y 3 3..  Con e l fi n de romper WPA-P WPA-PSK, SK, que se a brir briráá un Ho ney neypot pot WPA-PSK y cua ndo el cliente  s e conecta con nosotros, sólo mensajes 1 y 2 l legará a través de mensajes mensajes.. Como n o sabemo sabemoss la  contra seña, no p ued uedee enviar mensaje 3. 3. Si n embargo, un mensaje y Mensaje 2 co contiene ntiene todos los  in formac formación ión necesar necesaria ia para iniciar el proceso de craqueo clav clave. e. 

[136] 

 

Capítulo 6  

Tiempo para la acción - AP-menos WPA cracking   1.

conf configurar igurar un Honeypot con el oratorio io inalámbr inalámbrica ica ESSID. La -Z 2 opción     Vam crea os unapunto de a cceso WPA-PSKWPA-PSK que utiliza TK TKIP: IP:Lab   orator

2. 

Ta mbién vamos a empezar airodump-ng para ca ptur pturar ar los p aqu aquetes etes de est e staa red : 

3. 

Ahora , cuando nu estro estro client clientee móvil se con ecta a este punto de a cceso cceso,, se i nicia el apretó apretón n d e manos  pe ro no es comp completa leta despué despuéss de Me Mensaje nsaje 2 como se in dicó a nter nteriormen iormente: te: 

[137] 

 

 Ataca r a los clientes 

4. 

Pero airodump-ng i nfo nforma rma que el apretón de manos ha sido captu capturado: rado: 

5. 

Se corre el airodump-ng l a captura captura de archiv archivos os a tra vés de aircrack-ng con el mismo  a rchivo d e diccion diccionario ario ccomo omo a ntes, ccon on el tiempo la frase de paso se rompe, como se muestr muestraa a continuación: 

¿Qué ha pasado?  He Hemos mos sid o cap capaces aces de romper la clav clavee WPA con s ólo el client cliente. e. Esto fue posi posible ble porque, inclu incluso so con  s ól o l os dos p rim rimero eross p aquetes aquetes,, tenemo te nemoss toda la i nfor nformación mación necesar necesaria ia para lanzar un ataqu ataquee de diccion diccionario ario  en el apretón apretón de mano manos. s. 

[138] 

 

Capítulo 6  

cracking  Tener un héroe ir - AP-menos WPA cracking Le re come ndamos ndamos establec establecer er diferente diferentess claves WEP en el cliente y tratar de e ste ejercic ejercicio io  pa r de veces para ganar confianza. Uste Usted d puede notar que muchas veces hay qu e volver a conectar  el cliente para conseguir que funcione. 

Pop Quiz - atacar a los clientes   1. ¿ Qué clave de ci frado puede Caffe Latte ataqu ataquee recuperarse?  a. Nin gu guno no  b. WEP  c.  WPA  d. WPA2  2. Un pun to d e acceso Honey Honeypot pot no norm rmalmente almente se utiliz utiliza: a:  a . Si n cifrado, autentic autenticac ación ión ab iert iertaa  b. S i n cifrado, autenticación autenticación compar compartida tida  c.  Encrip tació tación n WEP, Autenticac Autenticación ión abier abierta ta  d. Ni ngu na de las anterio anteriores res  3. ¿Cuá l de los siguient siguientes es ataques DoS?  a . Mis -Asocia -Asociación ción de ataque  b. D e- a uten utenticació ticación n ataqu ataques es  c.  Di s -Asociac -Asociación ión de ataqu ataques es  d. Ambos (b) y (c)  4. Un a taque de Caffe Latte requiere  a . Que e l cliente inalámb inalámbrico rico estar en el ra ngo de radio del pun punto to de acceso  b. Que el clien cliente te es una clave WEP en caché y s e almacen almacenaa  c.  Encrip tació tación n WEP con encript encriptación ación a 128 bit menos  d. Ambos (a) y (c (c)) 

[139] 

 

 Ataca r a los clientes 

Resumen  En e s te capítu capítulo, lo, hemo hemoss a pre prend ndido ido q ue incluso el client clientee i nalá nalámbric mbrico o es susceptible a l os ataqu ataques. es. Estos  s on l os siguient siguientes-Hon es-Honeypot eypot y otros Asoc Asociación iación de Mis-at Mis-ataques, aques, ataqu ataques es Caf fe Latte a  recup erar la clav clavee del clien cliente te i nal nalámbric ámbrico, o, De -Autentic -Autenticación ación y a taques d e Dis-Asocia Dis-Asociación ción  cau s ar una denegac denegación ión de servicio, ataque Hirte como una alternativ alternativaa a la recuperac recuperación ión de la cl ave WEP de un  de i tineranc tinerancia ia del cliente, y el agriet agrietamiento amiento por último último,, l a frase de contrase contraseña ña WPA-Perso WPA-Personal nal con sólo el cliente.  En e l s iguiente iguiente capítu capítulo, lo, va mos mos a utilizar todo todoss nuestros conocim conocimientos ientos hasta la fecha para l levar a cabo di versas avanzad avanzadaa  lo s ataques inalá inalámbric mbricos os tanto en e l lado d el cliente y la i nfrae nfraest structur ructura. a. Por l o tanto, rápidamen rápidamente te vuelta la página a la  s ig iguien uiente te capítulo! 

[140] 

 

7

 

Los ataques avanzados WLAN  "Conocer a tu e nemigo, que debe converti convertirse rse en su e nemigo nemigo." ."   Sun Tzu, El El Arte de llaa Guerra  Como pruebas bashacer, de pe penet netración, ración, es iimpo mportante ataques avanzad avanzado o   e el   hac kerprue podría p odría inclus incluso o si usted nortante puedeconocer verificarlos o demostrar que durante durant una prue prueba ba de penetrac penetración. ión. Este capítulo est estáá dedicado a la forma en que un ha cke ckerr podría realizar   ava nzadas de a taque taquess con acceso inalámbri inalámbrico co como punto de partida. 

En e s te capítulo, vamo vamoss a ver cómo podemo podemoss llevar a ca bo ataqu ataques es avanz avanzados ados con l o que tenemos  ap rendido hasta ahora. Principalmente mente se centrará en Man-in-the-middle (MITM) ataq ue, qu quee  requ i ere una cier cierta ta cantidad de habilidad y práctica para llevar a cabo con é xito. xito. Una ve vezz que hemos hecho  es to, vamos a usar este ataq ue MITM como base para realizar ataques más s ofisticad ofisticados os tales como  Escu chas ilegales y secuest secuestros ros de sesi sesión. ón.  Vam os a cubrir l os sig siguientes: uientes: 

 

Man-in-the-middle 

 

Escu chas inalámbric inalámbricaa me dian diante te MITM 

 

Secues Se cues tro de sesión con MITM 

? ? ?

Man-in-the-middle   Los a taques MITM s on probab probablemente lemente uno de los a taqu taques es más p oten otentes tes en un s ist istema ema WLAN. Hay  di ferentes config configurac uraciones iones que se p ueden utiliz utilizar ar para llevar a cabo el ataqu ataque. e. Va mos mos a utilizar la mayoría de los  una común-el atacan atacante te se conect conectaa a Intern Internet et a trav través és de u na LAN cablead cableadaa y la creac creación ión es  un p unto de acceso falso en s u tar tarjeta jeta de cliente. Este punto de acce acceso so difunde un SSID similar similar a u n local de  pun to d e a cceso en las inmediacio inmediaciones. nes. Un u suario pue puede de conectarse accid accident entalmente almente a este p un unto to d e acceso fal so (o pued puedee  s e ven o blig bligados ados a u tili tilizar zar la teoría de la s eñal de mayor resistencia que di scut scutimos imos en los ca pítu pítulos los anterior anteriores) es)  y pu ed e continuar a creer que él está conectado al punto de a cceso legítim legítimo. o. 

 

Los at aqu es avanzados avanzados WLAN 

El ata cant cantee puede reenviar el tráfico de forma transpar transparente ente a to todo doss l os usu usuarios arios a trav través és de In tern ternet et utilizan utilizando do el   pue nte se h a creado entre las i nter nterfaces faces alámb alámbricas ricas e inalám inalámbric bricas. as.  En e l ejercicio siguien siguiente te laboratorio laboratorio,, vamos a simula simularr el ataque. 

Tiempo para la acción - Man-in-the-middle   Si ga estas instrucc instrucciones iones para comenzar:  1. 

Para crea r el Ma n-in-th n-in-the-Mid e-Middle dle configurac configuración ión de a taque, primero c crea r un a cces cceso o suav suavee  punto llamado MITM en l a computador computadoraa po rtát rtátilil de hacker hackerss u tiliz tilizando ando base aérea-ng. Corremos Corremos eell comando   base aérea- ng - essid M MIT ITM-c M-c 11 mon0: 

2. 

Es i mportante señ señalar alar que base aérea-ng cua ndo ndo se e jecuta, crea una interfaz at0 (Punción  i nte nterfaz rfaz). ). Piense en esto como la inte interfaz rfaz de cable cableado ado del lado de nu es estro tro software de acc acceso eso basad basado o e n  punto MITM. 

[142] 

 

Capítulo 7  

3. 

Vam os a hora hora a crear un puente en la comput computado adora ra portátil portátil de h acker ackers, s, qu e consis consiste te en e l cable (eth0) Y  i nte nterfaz rfaz inalá inalámbric mbricaa ( at0). La s uce ucesión sión de comando comandoss qu e se utilizan para ello son-brctl  addbr MITM-puente,brctl addif MITM-bridge eth0,brctl brc tl addif MI MITM TM--   puente at0,ifc ifconfig onfig eth0 0.0.0.0 arriba, arriba, ifconf ig at0 0.0.0.0 0.0.0.0 hasta: 

4. 

Pode mos a sign signar ar una dirección IP p ar araa e ste puente y ccomp omp robar la co conect nectivid ividad ad con el  pue rta d e entr entrada. ada. Tenga e n cuent cuentaa que po dría h hacer acer lo mismo usando DHCP DHCP.. Podemos asignar  una dirección IP a la interfaz del puente ccon on el comandoco mando-ifconfig MITM-   puente hasta 192.168.0.199. Luego Lue go p odem odemos os intentar hacer ping a l a puerta de entrada192.168.0.1   pa ra asegurar que estamo estamoss conectado conectadoss con el resto d e la red: 

[143] 

 

Los at aqu es avanzados avanzados WLAN 

5. 

Vea mos ahora el reenvío IP een n el kkern ernel el para que e l enrutam enrutamiento iento y el reenvío de p aque aquetes tes  ys /net/ipv4/ip_forwar 4/ip_forward d:  pue de suceder el uso correcto de > echo 1 / proc/s ys/net/ipv

6. 

Ahora vamos a con ectar a un cliente inalá inalámbric mbrico o al p unto unto de accesoMITM. Automáticamente se  obte ner una dirección IP a tra vés de DHCP DHCP (el serv servii dor dor se e jecut jecutaa en la p uer uerta ta de a cceso por cable-side). El cli ente ente  má qu ina, en este ccaso aso re reccibe la dirección IP 192.168.0.197 . Nos puede hacer ping a la  pa rte ca blead bleadaa de puerta de enlace 192.168.0.1 pa ra veri ficar ficar la conectiv conectivii dad dad:: 

7. 

Vemo s qu e el huéspe huésped d responde a las solicitu solicitudes des de ping como se ha visto: 

[144] 

 

Capítulo 7  

8. 

Ta mbién puede vverificar erificar que el cliente está conect conectado ado al mirar a la base aérea-ng  termi nal de la m áqu áquina ina hacke hacker: r: 

9. 

Es i nteresant nteresantee s eñal eñalar ar aquí que debido a que todo el tráfico q ue se retran retransmit smitee desde el  i na lá lámbric mbricaa a l a conexió conexión n d e cable lado, tenemos un control completo sobre el tráfico. Podem Podemos os  verifi car esto a partir de Wire Wireshark shark y empezar a oler en el at0 interfaz: 

[145] 

 

Los at aqu es avanzados avanzados WLAN 

10 10.. 

Vam os a hora hora a hacer ping a la p uerta de enlace 192. 192.168 168.0.1 .0.1 desde l a máquin máquinaa cliente. Ahora podem podemos os ver  l os paquet paquetes es een n Wiresh Wireshark ark (apli (aplicar car un filtro de p resen resentació tación n d e ICM ICMP), P), a p esar de que l os paque paquetes tes  no es tán destinad destinadas as para nosot nosotros. ros. Este es eell poder del hombre en el me dio de ataque! 

¿Qué ha pasado?  He Hemos mos creado con é xito la instalac instalación iónade u nafalso red inalám inalámbri brica ca -in-the -in-the-mid -middle. dle. HicimosEsto esto asegu med iante la creación de un pu nto de cceso y puente conMan n uestr uestra a i nte nterf rfaz az Ethernet. aseguró ró que  cua l quier quier cliente inalámb inalámbrico rico de conexión al punto de a cceso falso que "perc "perciben" iben" que está conectado  a I nterne nte rnett a través de la LAN cableada. 

Tener un héroe Man -in-the-middle sobre wireless pura  hé roe ir - Man-in-the-middle En e l ejercicio anterio anterior, r, un puente de l a interfaz inalám inalámbrica brica con una re red d cableada. Como hemos señalad señalado o  an teriormen teriormente, te, esta es una de las arquitectu arquitecturas ras de co conex nexión ión posible para u n MITM. Hay otros  combi nacio naciones nes posibles. Muy i nter nteresante esante sería contar co con n dos i nter nterfaces faces inalá inalámbric mbricas, as,  crea un pu nto de a cceso falso y la o otra tra interfaz s e conect conectaa al a cces cceso o n o autor autorizado izado  pun to. Ambas i nter nterfaces faces son un p uen uente. te. Por lo tanto, cuand cuando o u n cliente inalám inalámbr brico ico se conect conectaa a nuestro acceso falso  pun to, s e conect conectaa al p unto de acceso autoriz autorizado ado a través de la máquina atacan atacante. te.  [146] 

 

Capítulo 7  

Ten ga en cuenta que esta configurac configuración ión se requiere el uso d e dos tarjetas de red inalám inalámbricas bricas en el  ata cante portátil portátil..  Comprobar s i se p uede realiz realizar ar es te ataque con la ta rjet rjetaa i ncorp ncorporado orado en su computad computadora ora portátil jun to con el   extern a. Esto debe ser un buen reto! 

Escuchas inalámbrica mediante MITM   En l a práctica anterio anterior, r, hemos aprendid aprendido o có cómo mo crear una configurac configuración ión para MITM. Ahora vvaa mos a ver  cómo ha cer espionaje inal inalámbric ámbrico o con esta configurac configuración. ión.  El la boratorio boratorio de todo gira en to torno rno al princip principio io de qu e todo el tráfico de l a víctima está encam encaminad inado o a tra vés  el a tacan tacante te de la com put putadora. adora. Así, el atacante puede inte interceptar rceptar todo el tráfico enviado ay de sde  la víct víctii ma de la máquin máquinaa de fo rma inalám inalámbric brica. a. 

Tiempo para la acción - escucha inalámbrica   Si ga estas instrucc instrucciones iones para comenzar:  1. 

Replicar Re plicar l a configur configuración ación complet completaa como en l a p ráctica anterio anterior. r. Encender Wiresh Wireshark. ark. Sería  i nte nteresan resante te notar qu e incluso la MI MITM-pu TM-puente ente aparece. Esta interfaz permiti permitirá rá  nos otros para mirar en el tráfico del puente, si queremos: queremos: 

[147] 

 

Los at aqu es avanzados avanzados WLAN 

2. 

In i cio de la inhalac inhalación ión de at0 in terf terfaz, az, de manera que p odamos odamos monit monitorear orear todo el trá fico fico y  reci bida por el cliente inalám inalámbrico: brico: 

3. 

En e l cliente i nal nalámbric ámbrico, o, abra cualquier pág página ina w web. eb. En mi caso caso,, el a cces cceso o inalámbrico  pun to ta mbién mbién está conectad conectado o a la re red d local y lo voy a a brir con la d irecc irección: ión:  http://192.168.0.1: 

[148] 

 

Capítulo 7  

4. 

In i ciar sesió sesión n con mi contrase contraseña ña y entrar en la i nter nterfaz faz de gest gestión. ión. 

[149] 

 

Los at aqu es avanzados avanzados WLAN 

5. 

En Wi reshark, debemos estar vvii endo un montón de activ actividades idades:: 

6. 

Esta blec blecer er un filtro para HTTP para ver sólo el tráfico de l a web: 

[150] 

 

Capítulo 7  

7. 

Nos puede l ocaliz ocalizar ar fácilm fácilmente ente la solicitud HTTP POST, que s e utiliza para enviar la contraseña  ha s ta el punto de acceso inalám inalámbric brico: o: 

8. 

El s i guiente guiente es un vistazo multiplican en el p aquete anterio anterior: r: 

[151] 

 

Los at aqu es avanzados avanzados WLAN 

9. 

La expa nsió nsión n de la ca bece becera ra HTTP, nos permite ver que en realidad la contraseñ contraseñaa qu e  en tró en el texto no fue en via viado do como es, p ero en ca mbio, mbio, un hash ha s ido enviado. Si  mi ra p aquete n º 64 en l a captura de pantal pantalla la anter anterior, ior, vemos que se s olic olicitó itó  para / Md5.js , Que nos hace sospechar que se trata de un hash md5 de la contras contraseña. eña. Es  i nte nteresan resante te notar que esta técnic técnicaa pu ede ser propen propenso so a un ataqu ataquee de re repetic petición, ión, si un  s a l de ci fr frado ado no s e utiliza so sobre bre una base por sesión en la creación de la matriz.  De ja mos como ejerc ejercicio icio para el usuario para conocer los detalles, detalles, ya q ue no es parte d e  de s eguridad in inalámbric alámbricaa y por l o tanto más allá del alcance de este l ibro ibro.. 

10 10.. 

Esto de mues muestra tra lo fácil que e s para controlar y es pia piarr el trá fico fico enviado por el cliente  dura nte un Ma n-In-th n-In-the-midd e-middle. le. 

¿Qué ha pasado?  La confi co nfi gurac guración ión que hemos creado MITM es ah ora lo que nos permite escuchar escuchar a escondid escondidas as een n redes in a lá lámbric mbricas as de la víct víctima ima  el tráfico sin que la víctima lo sepa. Esto es posib posible le porque en u n M MITM ITM todo el tráf ico es  trans mite mite a trav través és de la máqu máquina ina a tacante. Así, todo el trá fic fico o sin cifrar de la víctima se encuentr encuentraa disponible para   es pionaje para el atacante. atacante. 

para ra encontrar las búsqu búsq uedas de Tener un héroe ir - pa Google  

En el e l mun do de hoy, todo todoss nosotros nos gusta tener l o que buscamos buscamos en Go ogle ogle privado. El ttráfico ráfico en  De bús queda de Go Goog ogle le ees, s, por desgracia sobre el texto HTTP y s encilla, de forma predeterminad predeterminada. a.  ¿Pued es pensar en un filtro d e pantalla pantalla inteligen inteligente te se pu ede utilizar ccon on Wi reshar resharkk p ara ver todas las  Las bús quedas quedas de Google por la víc víctima? tima?

 

Secuestro de sesión sobre redes inalámbricas   Uno de l os otros ataque ataquess intere interesantes santes que podemos constr construir uir en la parte s uperior uperior de MITM es s es esión ión de la aplicación  s ecuestro. Durante un ataque MITM, los paquetes de la víctima son enviados enviados al atacan atacante. te. Ahora es el  ata cante la responsabilid dad ad de tran transmitir smitir esta a s u destino legítim legítimo o y e l relé de las respuest respuestas as  de l destino de la víct víctii ma. Una cosa intere interesante sante a d estacar estacar es que, durante este p roceso roceso  el a tacan tacante te puede modificar los datos en l os paquet paquetes es (si no cifrados y sunprotect sunprotected ed d e  manipulación). Esto significa que podría modificar, mangle, e incluso silenciosamente dejan caer paquetes.   En e l s iguiente iguiente ejemplo ejemplo,, vamos a ver D DNS NS hi jacking más inalá inalámbric mbrico o a través de la configuració configuración n de MITM. Entonces   us a ndo ndo D NS hij hijacking, acking, vamo vamoss a secue secuestrar strar la sesión del navegador de Google.com.  [152] 

 

Capítulo 7  

Tiempo para la acción - el secuestro de sesión sobre redes inalámbricas  1. 

Esta blec blecer er la prueb pruebaa e xacta xactamente mente com como o en el Man-in-the-Mid Man-in-the-Middle dle laborato laboratorio rio de a taqu taque. e. En e l de la ví víctima ctima qu e  en cen der el navegad navegador or y eell tipo de "g "google oogle.co .com". m". Vamos a u sar Wireshar Wiresharkk para controlar este  tráfi co. Su pantalla será similar a l o siguiente: siguiente: 

2. 

Apl i car un filtro par paraa Wireshar Wiresharkk D DNS NS y ccomo omo podemos ver, la víctima está hacien haciendo do DNS  l as s oli olicitudes citudes de "google. "google.com": com": 

[153] 

 

Los at aqu es avanzados avanzados WLAN 

3. 

Con e l fi n de secuestr secuestrar ar la sesión del navegado navegadorr que se necesit necesitaa para e nv nviar iar falsa falsass respuestas DNS  que resolver la dirección IP de "google.co "google.com" m" a la d irecc irección ión IP de la máquin máquinaa del h acke ackerr  192.168.0.199. 192.168.0 .199. La he rramienta que utilizaremos para esto se llama Dnsspoof y la sintax sintaxis is es  dnspoof-i-bridge MITM: 

4. 

Actual ice el navegado navegadorr de Wi ndows, ndows, y ahora, como podemo podemoss ver a través de Wireshark, tan pront pronto o  ya q ue l a víctima hace una p etición etición DNS para cualquier equipo (incluyendo (incluyendo google.c google.com), om), Dnsspoof   res ponde de nue nuevo: vo: 

[154] 

 

Capítulo 7  

5. 

En l a máquina de la víctima, se o bser bserva va un error que dice "Conex "Conexión ión rechazada". rechazada". Es  porq ue h emos hecho la direcció dirección n IP de ggoogle.co oogle.com m como 192.1 192.168.0 68.0.199 .199,, que es eell  má qu ina del hacker IP, pero no h ay serv servicio icio de escu cha en el pu erto 80: 

6. 

Vam os a ejecut ejecutar ar Apache en B ack ackTrack Track con el siguient siguientee comando apachet2ctl  comienzo: 

7. 

Ahora , un a vez que actualice el navegad navegador or de la víctima, víctima, que s on rrecibidos ecibidos con conFunciona Funciona  pá gina p or defecto de Apach Apache: e: 

[155] 

 

Los at aqu es avanzados avanzados WLAN 

8. 

Esta demostració demostración n muestra cómo es p osib osible le intercep interceptar tar los datos y en viar falsa  res puestas a robar las sesione sesioness de la víctima. 

¿Qué ha pasado?  Hi cimos u n ataque de secuest secuestro ro de la aplicac aplicación ión mediant mediantee un MITM Wi rele reless ss como la b ase. ¿Y qué pas ó  de trás d e las escenas? La configur configuración ación de MITM s e asegurar aseguraron on de q ue fueron capaces de ver todos los paque paquetes tes enviados   por l a víct víctii ma. Tan pronto como vvio io a un paquete de petición DNS proven proveniente iente de la víc víctima, tima, el Dnsspoof    progra ma que se e jecu jecuta ta en la co comput mputadora adora portát portátilil del atacante envía una respuest respuestaa DNS a l a víctima con el agresor  di rección IP de la máq máquin uinaa como la de google.com. Ordenador Orde nador po rtátil de l a víctima acepta esta respuesta y  el na veg vegador ador envía una solicit solicitud ud HTTP a l a direcc dirección ión d el escuch atacan atacante te en en e l puerto 8 80. 0. 80 de la del a tacan te  En l a primera parte del experim experimento, ento, no hubo un p roceso roIPceso escuchando ando el puerto má quina y po r lo ta nto Firefox respon respondió dió con un eerror. rror. Luego, una vvez ez que ha i nic niciado iado el s ervidor ervidor Apache  en l a máquin máquinaa del atacante en eell puerto 8 80 0 (puerto p or defecto defecto), ), el nave navegad gador or solicita rec recibió ibió una  res puesta de la máquina del a tac tacante ante con el e l valor p or defecto defectoFunciona Funciona página.  Este l abo aboratorio ratorio nos mues muestra tra que u na vvez ez qu e tenemo tenemoss el e l control total de las capas inferior inferiores es (nive (nivell 2 een n e ste caso), es  fá cil d e apropiar apropiarse se de las aplicacion aplicaciones es que s e ejecut ejecutan an en las capas superio superiores, res, tales como clientes DNS y los navegadores web. 

Tener un héroe ir - reto aplicación a plicación secuestro 

El s iguiente paso en el secuestr secuestro o d e sesión inalá inalámbric mbricaa mediante un MITM sería la de mo dif dificar icar los datos que se  trans mitida mitida por el cliente. Explor Exploraa el s oftw oftware are dispon disponible ible en l lamada lamada BackTrack BackTrackEttercap. Ettercap. Esto   ayud a r a cr crear ear d e búsqueda y ree mplazo mplazo de filtro filtross para eell tráfico de red.  En e s te reto, escribir un simple filtr filtro o p ara reemp reemplaz lazar ar todas las a paric paricion iones es de la "segur "seguridad" idad" en la re d  el tráfico a la "insegur "inseguridad idad". ". Inte I ntenta nta buscar en Google d e "seguridad" "seguridad" y comprobar si l os resu resultado ltadoss s e presentan a  "In s egurid eguridad" ad" en su lugar. 

Encontrar las configuraciones de seguridad en el cliente   En l os capítu capítulos los anterior anteriores, es, hemos visto cóm o crear honeypots para puntos de acceso a bier bierto, to, WEP  protegidos prote gidos y WPA, pero cuando estam estamos os en eell campo y ver s olicit olicitudes udes de sonda desde el cliente,  ¿cómo s abemo abemoss que la re red d SSID in vest vestigado igado pertenec pertenece. e.  Aunq ue e sto parece dif difícil ícil al princip principio, io, la solución a este p rob roblema lema es simple. Tenem Tenemos os que  crea r pu ntos de acceso a la publicid publicidad ad las con figu figuracio raciones nes de s egurid eguridad ad SSID mismo pero diferente  s im ulatan ulataneou eously. sly. Cuando u n client clientee bu sca sca l a itineran itinerancia cia de una re red, d, automát automáticament icamentee se  cone ctarse a uno de estos puntos de acceso basados en la configuración configuración de red a lmac lmacenad enadaa en e n él.  Así qu e el juego comie comience! nce! 

[156] 

 

Capítulo 7  

enumeración ación de los perfiles de seguridad Tiempo para la acción - la enumer inalámbrica   1. 

Vam os a supon suponer er que el cl ie iente nte inalám inalámbrico brico cuen cuenta ta con u na red redInalámbrica Inalámbrica de laboratorio l aboratorio configurado e n  y q ue s e a ct ctiva iva en vía solic solicitud itudes es de so nd ndaa para esta red, cuando no e stá stá conectado a  cua lquier punto de a cceso cceso.. Con el fin de encontr encontrar ar la config configurac uración ión d e seguridad seguridad d e esta red, que s e  ne cesidad de crear m últip últiples les puntos de acceso acceso.. Para n uestr uestraa discusió discusión, n, va mos mos a supon suponer er que la  pe rfil de cliente es o bien -una -una red abierta, protegid protegidaa con WEP, WPA-PSK o WPA2-P WPA2-PSK. SK.  Esto s ignif ignificaría icaría que tendríamo tendríamoss que crear c uatro puntos de acceso. Para hacer eesto, sto, prim primero ero se  crea r cuatro inter interfaces faces mon0 virtual virtualmon3 mon3 uti lilizando zando el airm airmon-ng on-ng start w lan0  coma ndo varias veces: 

[157] 

 

Los at aqu es avanzados avanzados WLAN 

2. 

Us ted podr podría ía ver todas las i nterf nterfaces aces de nu eva cr creación eación con el ifconfig-a  comando:  

3. 

Ahora vamos a crear en e l Abierto de AP APmon0: mon0: 

4. 

Vam os a crear el p unto de acceso protegid protegidaa por WEP en MON1: 

[158] 

 

Capítulo 7  

5. 

La AP WPA-PSK WPA-PSK se rá el mon2: 

6. 

WPA2-PSK WPA2-P SK AP es tará en mon3: 

7. 

Podemos correr airodump-ng en el mismo canal para asegurar que todos los cuatr cuatro o p untos de acceso  es tán funcion funcionando ando como se muestra: 

[159] 

 

Los at aqu es avanzados avanzados WLAN 

8. 

Ahora vamos a ca mbia mbiarr la conexión Wi-Fi, en el cliente itin itinerante. erante. En func función ión de la laSin Sin hilos  Laboratorio red a l a qu e habí habíaa con ectado ectado previamen previamente, te, se conectará a la s eg eguridad uridad  de configuración configuración.. En mi caso, se con ecta a la red WPA-PS WPA-PSK, K, como se mu es estra tra a co contin ntinuación. uación.

 

¿Qué ha pasado?  He Hemos mos creado Honeypot Honeypotss múltiples con e l mismo SSID pero diferente diferentess configur configuraciones aciones de segurid seguridad. ad.  De pe nd ndiendo iendo de la co configur nfiguración ación del cliente se almacenan en la Inalámbrica de laboratorio de red,  cone ctado a la adecuad adecuada. a.  Esta técnica puede ser útil como si u sted está hacien haciendo do una prueba de penetrac penetración, ión, que no  s ab em emos os que las configu configuracio raciones nes de s eguridad eguridad que el clien cliente te tiene e n su co comput mputadora adora portát portátil. il. Esto le permite encon tr trar ar el  una a dec decuad uadaa me dia diante nte el e stablecimie stablecimiento nto de u n ceb o para el cliente. Esta técnic técnicaa ta mbié mbién n s e denomina WiFishing. 

Tener un héroe ir - los clientes de cebo  

Cr Crea ea r di feren ferentes tes configurac configuracion iones es de segurid seguridad ad en el cliente para el mismo SSID y compruebe si su co conjunto njunto  de Hon eypot eypotss es capaz de d etect etectarlas. arlas.  Es i mportante tener en cuenta que mucho muchoss clientes Wi-Fi no p ued uedee s onda activa activa de las redes que  ha a lmacenad lmacenado o en s u perfil perfil.. Puede que no sea posible detect detectar ar estas redes con el  técni ca que hemos disc discutido utido aquí. 

Pop Quiz - Advanced ata ataques ques WLAN WLAN  1. En un a taque M MITM, ITM, que está en el medio?  a. El punto de a cce ccesso  b. El a tacant tacantee  c.  La víctima víctima   d. Ni ngu na de las anterio anteriores res  [160] 

 

Capítulo 7  

2. Dns spoo spoof: f:  a . Parodias peticiones DNS   b. Parod ias DNS respuest respuestas as  c.  Se d eb e ejecut ejecutar ar en el servidor DNS  d. Ne cesita e jecut jecutarse arse en el punto de acceso  3. Un a taque MI MITM TM inalám inalámbric bricaa pu ede ser orque orquestada: stada:  a . En todo s l os clien clientes tes inalám inalámbricos bricos a la vvez ez  b. Sól o un canal a la vvez ez  c.  En cua lquier SSID  d. Ambos (b) y (c)  4. La i nterfaz más ccercana ercana a la víctima en la configurac configuración ión de MITM es la siguiente:a.   At0  b. Eth0  c.  Br0  d. En0 

Resumen  En e s te capítu capítulo, lo, hemo hemoss a pre prend ndido ido cómo lleva r a ca bo ataques avanz avanzados ados mediante la tecnología inalámb inalámbrica rica como la base base..  He Hemos mos creado una configur configuración ación para un MI TM sobre redes inalámb inalámbricas ricas y lu ego se utiliz utilizaa para esp iar a la víctima  tráfico. A continuación, utiliza la misma configuración para secuestrar la capa de aplicación de la víctima (el tráfico web we b   pa specíf specífico) ico) con ataque de envenenam envenenamiento iento ade DNS. En ra e l ser s iguiente igueiente capítu capítulo, lo, uvanmos mo s a aprend aprender er cómo llevar cabo u na prueb pruebaa de penetrac penetración ión i nal nalámbric ámbricaa desde  la planific planificación, ación, el descubrim descubrimiento iento y el a taque a l a etapa de p resen resentació tación n d e infor informes. mes. También vvaa mos a tocar en lo s mejo mejores res  prá cticas para asegurar las WLAN. 

[161] 

 

8

 

 Atacar WPA-Enterprise WPA-Enterprise   y RADIUS  "Cuanto más grandes son, más fuerte caen."  

Dicho popula popularr  

WPA-Enterpri se ha tenido siemp siempre re un aaura ura de irrompible a su alreded alrededor. or. Más  los adm administra inistradores dores de red pensar en ella como una panacea para todos los inalámbricos inalámbricos  los probl problemas emas de segur seguridad. idad. En este capítulo, vamo vamoss a ve r que nada se podía  lejos de la realid realidad. ad. 

Aquí vamos a a pre prender nder cómo a tacar el WPA-Ent WPA-Enterpris erprisee utilizando difer diferentes entes h erram erramientas ientas y técnicas  di s ponible ponibless e n BackTrack BackTrack..  Vam os a cubrir lo siguien siguiente te en e l transc transcurso urso de este capítulo capítulo:: 

 

La crea ción de freerad freeradius-WPE ius-WPE 

 

Ataca r PEA PEAP P en clientes Window Windowss 

 

Ataca r EAP EAP-TTLS -TTLS 

 

Las mejores práctic prácticas as de s eguridad eguridad para empr empresas esas 

? ? ? ?

La creación de freeradius-WPE  Vam os a neces necesitar itar un s ervidor ervidor Radius para o rques rquestar tar a taques WPA-Enterpris WPA-Enterprise. e. El más utilizad utilizado o  s ervidor R Radiu adiuss fu ente ab abierta ierta FreeRADIUS. Sin embar embargo, go, s u creac creación ión es difícil y configurarlo  por ca da a taqu taquee puede ser ttedioso. edioso. 

 

 Ataca r WPA-Enterprise WPA-Enterprise y RADIUS 

Jos hua Wri ght, un investig investigador ador de seguridad bien conocid conocidos os creado un p arch archee para Freeradiu Freeradiuss qu e hace  que s ea más fácil de configurar y llevar a ca bo ataqu ataques. es. Este parche fue lanzado como el freerad freeradius-WPE ius-WPE  (Wi reless Pwnage Edition) Edition).. La buena noticia es que viene pre-in pre-instalado stalado ccon on BackTr BackTrack ack  y p or l o ta nto, no necesitamo necesitamoss hacer n ingun ingunaa i nstal nstalación ación..  Vam os a hora hora a prime primero ro de co nfig nfigur urar ar el serv servii dor dor Ra diu diuss en B ackTr ackTrack. ack. 

creación eación de la AP con freeradius-WPE freeradius-WPE  Tiempo para la acción - la cr Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

Cone cte uno d e los puertos LLAN Conecte AN del punto de acceso al puerto Ethernet Ethernet de su  má qu ina en funcionam funcionamiento iento BackTrac BackTrack. k. En nuestro ccaa so, la i nte nterf rfaz az e s eth1. Que a pare parezc zcaa l a interfaz  yo obte btener ner una dirección IP por DHCP funcionand funcionando o como se mu es estra tra en l a siguie siguiente nte pantal pantalla: la: 

2. 

In i cie sesió sesión n en el punto de acceso y definir el Modo de seguridad a WPA-Enterprise. A conti nuación nuación,, en  l a EAP (802.1x) se cción, cción, entr entree el Dirección IP del servidor RADIUS como 192.168.0.198. Este   es l a misma direcció dirección n IP a sign signada ada a nuestra in interfaz terfaz de cable en el paso 1 1.. La LaServidor Servidor RADIUS  Secretos compartidos sería prueba como s e muestr muestraa en e n la siguien siguiente te pantalla pantalla:: 

[164] 

 

Capítulo 8  

3. 

Usr sr / local / etc / raddb .  Ahora vamos a a brir una nu eva term terminal inal y vvaya aya al directorio/ U Aquí es donde todos l os freerad freeradius-WP ius-WPEE a rch rchivos ivos d e configur configuración ación son los s igu iguientes: ientes: 

[165] 

 

 Ataca r WPA-Enterprise WPA-Enterprise y RADIUS 

4. 

Abierto eap.conf , Usted en con contrará trará que la default_eap_type está establec establecido ido en PEA P. Vamos a   deja r esto como est está: á: 

5. 

Abierto clients.conf . Aquí es d onde se define la l is ista ta de permit permitidos idos de client clientes es que pu eden  cone ctar con n uestr uestro o servidor RADIUS. A medida que curi osamente osamente puede observ observar, ar, el secret secreto o para l os cli entes een n  el rang rango o de 192.168.0.0/16 por defecto prueba . Esto es e xactam xactamente ente lo q ue se utilizó en el paso 2. 

[166] 

 

Capítulo 8  

6. 

Ahora estamos listo listoss para comenzar el serv servii dor dor RADIUS con u n radiusd-s-X : 

7. 

Una vez q ue se e jecut jecutaa este, verá un m ontón de me nsa nsajes jes de d epur epuración ación en la p antalla antalla,, pero  fi nalmente, nal mente, el servidor se eestablecerá stablecerá para escuchar las solicitudes. ¡Impresionante! La con figur figuració ación n es  Ahora está listo para comenz comenzar ar l as sesio sesiones nes de laborator laboratorio io en este capítulo capítulo:: 

[167] 

 

 Ataca r WPA-Enterprise WPA-Enterprise y RADIUS 

¿Qué ha pasado?  He Hemos mos estable establecido cido con ééxito xito fr freeradiuseeradius-WPE. WPE. Vamos a utilizar esto en e l resto d e los eexpe xperimen rimentos tos  que haremos en este capítu capítulo. lo. 

Tener un héroe RADIUS  hé roe go - jugar con RADIUS Free radiusradius-WPE WPE tiene un mo montó ntón n d e opciones opciones.. Puede ser u na buena id ea para que s e familia familiarice rice con ellos.  Lo má s i mp mportante ortante eess tomar ti emp empo o p ar araa l a salid salidaa de l os archiv archivos os de con figu figuració ración n diferent diferentes es y la forma en que todos los  trabajar juntos. 

 Atacar PEAP   Protocolo de autenticación extensible protegido (PEAP (PEAP)) eess l a versión más po pular pular de la PEA en  us o. Es te es el me mecanis canismo mo EAP enviado enviadoss de fo rma rma nativa con W Wind indows. ows.  PEAP PEA P ti en e dos version versiones: es:  1. PEAPv0 con EAP-MSCHAPv2 (el más popular, ya que tiene soporte nativo en Windows)  2. PEAPv1 con EAP-GTC  PEAP uti liza ce PEAP certif rtificado icadoss d el lado d el servidor para la va lidac lidación ión del serv servii do dorr Radius. Casi to dos dos l os ataques contra   PEAP aprovechar errores de configuración en la validación de certificados.  En e l l abo aboratorio ratorio de al lado, vamos a ver cómo romp er PEA PEAP, P, cuando la validació validación n d e cert certificado ificadoss se a pag pagaa een n  el cliente. cliente. 

Tiempo para la acc acción ión - grietas PEAP  Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

Nos vuelva a comprob comprobar ar la eap.conf a rch rchivo ivo para asegurarse de q ue PEA PEAP P está habilitado:  

[168] 

 

Capítulo 8  

2. 

A conti nuac nuación, ión, reinicia reiniciarr el servidor de Radius con Radiusd-s-X: 

[169] 

 

 Ataca r WPA-Enterprise WPA-Enterprise y RADIUS 

3. 

Ha cemos el s egu eguimiento imiento del a rch rchivo ivo de re regist gistro ro cr creado eado por freeradius-WPE: 

4. 

Wi ndows tiene soporte nativo para PEAP PEAP.. Va mos a ggarant arantizar izar que l a verificac verificación ión de certificados hay hayaa  ha a pagad pagado: o: 

[170] 

 

Capítulo 8  

5. 

Sól o te nemo nemoss que conect conectar ar con el p unto de acceso accesoInalámbrica Inalámbrica de laboratorio de Win dow dowss para iniciar  PEAP de au tent tenticació icación: n: 

6. 

Una vez qu e el cliente se conecta al punt punto o de acceso, el cliente solicita solicita una unaNombre Nombre de usuario  /Contraseña. Usamos SecurityTube como el Nombre de usuario y abcdefghi como el Contraseña: 

[171] 

 

 Ataca r WPA-Enterprise WPA-Enterprise y RADIUS 

7. 

Ta n pro pronto nto como hacemos esto esto,, podemos ver el MSCHAP-v2 desafío-respuesta   a pa rece recen n en el archivo de registro: 

8. 

Ahora u samos Asleap para romper esta usando un a rch rchivo ivo de list listaa de contrase contraseñas ñas que contiene el  contraseña abcdefghi y somos so mos capaces de romper la clave! 

[172] 

 

Capítulo 8  

¿Qué ha pasado?  He Hemos mos creado nuestr nuestro o H oneyp oneypot ot con fre erad eradius-WP ius-WPE. E. El client clientee de la em pre presa sa está mal conf configurado igurado para  No uti lizar la va lidació lidación n de ce rtif rtificados icados con PEAP. Esto nos p erm ermite ite presentar nuestr nuestro o prop propio io cert certificado ificado falso para  el cliente, que lo acepta ccon on gusto. Una vez que esto sucede,MSCHAP-v2 la a uten utenticació ticación n i nte nterna rna  protocolo de patadas pulg A me did didaa que e l cliente utili utiliza za nuestro certific certificado ado falso p ara cifrar lo loss datos, qu e pueden fácilmente  pa ra re cuper cuperar ar las tupla tuplass nombre de usu usuario ario / d esafío esafío / respuesta.  MSCHAP-v2 es prop enso a ataques de diccion diccionario. ario. Utili Utilizamo zamoss As lea leap p a s uperar el reto / respuesta 

pa r, yyaa que p arece que se base en u na palabra palabra del diccio diccionario nario.. 

ataq taque ue a PEAP   Tener un héroe ir - variaciones de a PEAP pued pu ed e estar mal configurado de di diferentes ferentes maneras. Incluso con la validación de certificados está ha bilit bilitado, ado, si el   ad ministrad ministrador or n o me ncio nciona na l os servidor servidores es au tént ténticos icosConectar Conectar a estos servidores li sta, el  ata cante puede obtener un ccertificado ertificado rreal eal a otro dominio de ninguna de las certificac certificación ión de lista  au toridades toridades. . Es así. to seguir seguiría ía siendo aceptado por el cliente. Hay o otras tras varia variantes ntes de e ste  pos ible a taque   Vam os a animar al lector a eexplorar xplorar las difer diferentes entes posib posibilidad ilidades es en esta sección. 

 Atacar EAP-TTLS EAP-TT LS  En EAP-transporte de tún túnel el de Seguridad de la capa de (EAP-TTLS), el s ervidor ervidor se a uten utentica tica con  certificad o. El cliente lo desea, puede usar el cert certificado ificado tamb también. ién. D esafort esafortunadamen unadamente, te, esto n o tiene  s opo rte nat nativo ivo een n Windows y es necesar necesario io u til tilizar izar herramient herramientas as de tercero terceros. s.  Exis ten múltiples opcion opciones es d e i nter nterior ior protoco protocolo lo de au tent tentic icación ación que s e pueden u tilizar ccon on EAP-TTLS. La  má s común es el nuevo MSC MSCHAP-v2 HAP-v2..  Como Wi ndows no a dmit dmitee de fo rma nativ nativaa EAP-TTLS, vamos a u sar OS X en esta demostrac demostración. ión. 

[173] 

 

 Ataca r WPA-Enterprise WPA-Enterprise y RADIUS 

Tiempo para la acción - grietas EAP-TTLS   Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

EAP-TTLS ta mbién eess activado por defect EAP-TTLS defecto o en eap.conf . Vamos a iniciar eell s erv ervidor idor de Radius y  s upervisar el archivo de regist registro: ro: 

2. 

Pone mos en co contacto ntacto a los clientes e introducir las creden credenciales cialesSecurityTube SecurityTube como el Nombre de usuario y  demo12345 com como o el Contraseña: 

[174]

 

 

Capítulo 8  

3. 

De i nmediato, el MSCHAP-v2 de de safío / respuesta ap aparece arece en el a rch rchivo ivo de registro registro:: 

4. 

Una vez más e l uso Asleap para romper la contras contraseña eña utiliz utilizada. ada. Es importan importante te tener en cuenta que cualquier  l is ta de co contr ntraseñas aseñas que utilic utilice, e, debe conten contener er la contr contraseña aseña utilizad utilizadaa p or el u suario suario.. Para  pon en de manifiesto que si esto no es cierto, no vamos a ser capaces de romper la clave,  De l iber iberadamen adamente te hemos asegurad asegurado o de qu e la contraseñ contraseñaa no e stá stá een n la lis ta po porr defecto  en BackTrack BackTrack:: 

¿Qué ha pasado?  Cr Craa cki ng EAP-TTLS es casi idént idéntico ico al PEAP PEAP.. Una vez qu e el cliente acepta nuestr nuestro o ce rtif rtificado icado falso falso,,  ten emos el desafío MSCHAP-v MSCHAP-v2 2 / p ar respuesta. C Como omo MSC MSCHAP-v2 HAP-v2 es p rop ropenso enso al d iccio iccionario nario  lo s ataques ataques,, se u tiliza A Ass lea leap p para romper el p ar de desafío / respuesta, yyaa que parece que se base en una  di ccionar ccionario io d e palab palabras. ras. 

Tener un héroe ir - EAP-TTLS   Le a ni mam mamos os a probar los ataques, sim similar ilar a l o que h emos emos suger sugerido ido para PAEP contra  EAP-TTLS.  

[175]

 

 

 Ataca r WPA-Enterprise WPA-Enterprise y RADIUS 

Mejores prácticas de seguridad para empresas   He mos un montón de ataqu ataques es ccon tra WPA/WPA2, tanto personales como empresariales. Sobre Sobre la base de  nue straviesto xperienc xperiencia, ia, re comen comendamos damos lon o siguiente siguiente: :  1. 

Para au tón tónomos omos y empresas de ta maño maño m edian ediano, o, utilice WPA2-PSK con una fuerte contraseña.  Us ted tiene hasta 63 ccaa racte racteres res a s u disposic disposición ión.. Hacer uso de e lla lla.. 

2. 

Para las grandes empre empresas, sas, el uso WPA2-En WPA2-Enterpris terprisee con EAP-TLS. Este sistem sistemaa utiliza el cl iente y el  de l lado del serv servidor idor de ce rtificados rtificados para la a utent utenticació icación, n, y a ctu ctualmente almente es irrompib irrompible. le. 

3. 

Si us ted tiene que utilizar P PEAP EAP o EAP-TTLS con WPA2-Enter WPA2-Enterpr prise, ise, asegúrese de que  l a validació validación n de certific certificados ados está activado, las au toridad toridades es d e ce certif rtificació icación n derecha so son n elegido elegidos, s, el  Serv Se rvid id ore oress de radio que están autor autorizadas izadas se utilizan yy,, fi nalmen nalmente, te, cualquier ajust ajustee qu e permite a los usuarios  pa ra aceptar los nu evo evoss servidore servidoress Radius, certificados, o las autorid autoridades ades de certificac certificación ión s e apaga. 

ata car WPA-Enterprise WPA-Enterprise y RADIUS  Pop Quiz - atacar 1. Freeradius-WPE Fre eradius-WPE ees: s:  a . Servid or Rad Radius ius escrito desd desdee cero  b. Pa rche p ara el servidor FreeRA FreeRADIUS DIUS  c.  Los ba rcos rcos de fo rma rma pre predete determ rminad inadaa en en todos todo s los Linuxes   d. Ni ngu na de las anterio anteriores res  2. PEAP pu ed e ser atac atacado ado median mediante: te:  a . Cr Cred ed en ciales falsas  b. Certifi cado cadoss falsos  c.  Usando WPA-PSK  d. Toda s las anterio anteriores res  3. EAP-TLS uti liza:  a . Certi Certi ficado ficadoss de cliente  b. De l lado del servidor de certificado certificadoss  c.  (A) o (b)  d. Ambos (a) y ((b) b) 

[176]

 

 

Capítulo 8  

4. EAP-TTLS uti liza:  a . Certificados de cliente só sólo lo  b. De l lado del servidor de certificado certificadoss  c.  Auten ticació ticación n basad basadaa e n contraseñ contraseñaa  d. LEAP 

Resumen  1. En es te capítulo capítulo,, hemos visto la fo form rmaa een n que p odría odría comprom comprometer eter la seguridad de WPA-En terp terprise rise  de red q ue e jecute PE PEAP AP o EAP-TTLS, la autentic autenticación ación de dos más comunes  meca nismos util utilizado izadoss e n las e mpre mpresas. sas.  2. En el próximo capít capítulo, ulo, veremos cóm cómo o p oner oner todo l o que hemos a pre prend ndido ido a utilizar  dura nte una prueba de penetració penetración n real. 

[177]

 

 

9

 

  WLAN Penetración Penetrac ión  Prueba de la metodol metodología ogía  "La prueba está en el pudí n."  Dicho popula popularr   En los últi mos ocho capítu capítulos, los, hemos cubierto much mucho o terreno.   Ahora es el momento de poner todo lo que el apr aprendizaje endizaje a prueba! prueba!  

En e s te capítulo, vamo vamoss a apr aprender ender cómo llev llevaa r a cabo una prueb pruebaa de p enet enetración ración inalám inalámbrica brica con todos los conceptos  que he mo moss a pre prendido ndido.. Vamos a exp explorar lorar la red de u n cliente y luego sistemátic sistemáticame amente nte la conducta del  la pe netr netración ación de la pru eba en varias et apas apas.. 

Pruebas de penetración inalámbrica   Metodo logí logíaa de las pru ebas de penetració penetración n i nalá nalámbric mbricaa no e s d ife iferente rente de los ca bles un o del mundo. La  di ferencias rraa dican en l as técnicas actu actuales ales u tilizadas ilizadas para llevar a cabo a ct ctividades ividades en va rias fases. Aquellos  con a l guna exper experienc iencia ia een n las prueb pruebas as de p enet enetració ración n d e cable del mundo se sientan como en casa. Para l os  que no, n o se p reocupe, reocupe, usted vvaa a recoger esto muy rápido rápido!!  En té rmin os generale generales, s, podemos dividir un ejercicio ejercicio de p ruebas de p enetració enetración n i nal nalámbric ámbricaa en las siguient siguientes es fases:  1. La fa se de planific planificación ación  2. Fa s e de des descubrim cubrimiento iento  3. Fas e de at ataque aque  4. In formes fas fasee  Ahora vamos a e xam xaminar inar cada una de e stas fases por separad separado. o. 

 

Penetra ción WLAN Prueba de la m etodología etodología 

Planificación  En es e s ta fase, se entiende lo siguie siguiente: nte:  1. Alcance de la evaluación: El cli ente empleando empleando la prueba de intrusión s erá el  uno pa ra defin definir ir el alcance alcance de l a evaluac evaluación. ión. Por l o gener general, al, la s igu iguiente iente información información  se recog recoge: e:  ?

 

Ubi cación de la pru eba de penetrac penetración ión 

?

 

Área de cober cobertura tura total de l as inst instalacion alaciones es 

?

 

Núme ro a pr proximad oximado o de p unto de a cceso y clientes inalámb inalámbrico ricoss d espleg esplegados ados 

?

 

Las redes i nalá nalámbric mbricas as están i nclu ncluido idoss e n la e valu valuación? ación? 

?

 

En ca s o d e una p rue rueba ba completa del concept concepto o d e vulner vulnerabilid abilidad ad s e hace, o s i simple simpleme ment ntee  se r i nfor nform mado? 

2. Esfuerzo de estimación: Una vez qu e el ámbito está clar claro o q ue el probad probador or de p enet enetració ración n que tiene que ha cer un unaa  es fuerzo de estimación de toda la a ctiv ctividad idad.. Esto consistirá consistirá e n lo sig siguien uiente: te:  El núm ero de d ías dispo disponib nibles les para la p rueba de penetrac penetración ión  ?  ?

 

Núme ro de h oras oras de tra bajo que sean necesa necesarias rias par paraa eell trabajo 

 

La p rofun did didad ad del ensayo de penetración penetración sobre la b ase de los requisitos   3. Legalidad: Las pruebas de penetrac penetración ión son un asunto serio y l as cosas pueden salir muy mal een n  l os tiempo tiempos. s. Por lo tant tanto, o, es i mportante mportante ttener ener un acue acuerdo rdo de i ndemniz ndemnización ación en su lugar, lo que garanti garantiza za  que l a prueb pruebaa de i ntr ntrusión usión o de su empr empresa esa no s e hace responsa responsable ble de los daños producid producidos os  de es ta prueb prueba. a. También También,, a veces, los clientes pueden requerir que usted firme un unDe De no divulgación  Acuerdo (NDA) p ara garantizar que los datos que se re únen únen y l os resultado resultadoss de la  prue ba d e penetrac penetración ión son p riv rivado adoss y no puede s er revelad reveladaa a te tercer rceros. os. Además Además,,  de be estar conscie consciente nte de las l eye eyess loc lo cales que pudieran ser de a plic plicación ación los canales permitid permitidos os  y n i veles de p otencia otencia.. Es impor importante tante asegurar asegurarse se de q ue las leye leyess l ocales no se rompen durante el  l a p enetració enetración n de la p ru rueba. eba.  ?

Una vez qu e todas las anteriore anterioress está en su l ugar, estamo estamoss listos para ir! 

Descubrimiento  En e s ta fase, vamos a e xp xplorar lorar el espacio aéreo y de en con contrar trar difere diferentes ntes puntos de acceso y cli ente entess en  los alrededores.  Por lo ta nto, vamos a empezar! 

[180]

 

 

Capítulo 9  

Tiempo para la acción - el descubrimiento de los dispositivos inalámbricos  Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

Cr Crea ea r una interfaz interfaz en modo mo monito nitorr usando su tarjeta como se muestra en la sigu siguiente iente pantal pantalla: la: 

2. 

Uso airodump-ng pa ra inicia iniciarr la explor exploración ación del espacio aér aéreo. eo. Asegúrese de que canal de s alto  pa sa a travé travéss de ambo amboss el 802.11 b y g bandas : 

[181]

 

 

Penetra ción WLAN Prueba de la m etodología etodología 

3. 

Se mue ven alrede alrededor dor de las i nst nstalacion alaciones es para o bten btener er ma yor yor nú mero mero de clientes y pun tos de a cces o como como sea posib posible: le: 

4. 

Sol icitud del adminis administrador trador del sistem sistemaa de la e mpre mpresa sa u na list listaa de direcciones MA MAC C pa ra  todo s los puntos de acceso y ccll ientes inalámbr inalámbricos. icos. Esto nos ayudará en la siguiente fase: 

[182]

 

 

Capítulo 9  

¿Qué ha pasado?  Toma mos una explor exploración ación de toda la re d inalámb inalámbrica rica en la zona. Esto ya nos da una idea clar claraa  s obre l o que está en el aire. Este es eell punto de partid partidaa del e jercic jercicio. io. Ahor Ahoraa vamos a a nal nalizar izar esta  volca do y ha cer un ataqu ataquee penetrac penetración ión real en la fase de a taqu taque. e. 

 Ataque   Ahora qu e entend entendemos emos lo que e stá stá een n el espacio aéreo de la red autorizada, autorizada, tenemo tenemoss que romper  el problema en partes más pequeñas pequeñas..  En nu estra fase d e ataque, vamo vamoss a explor explorar ar lo siguiente: 

  ?  ?

 

?

?

Encontra r los punto puntoss de a cces cceso o  Cli ente para enco e ncontrar ntrar er errores rores de las asociaciones   Encontra r clientes no autoriz autorizados ados 

   

Las técnicas de encript encriptación ación  Entrar e n l a infraestr infraestruct uctura ura 

 

Comprome ter lo loss clientes 

? ?

Encontrar los puntos de acceso a cceso  El ad minis ministrador trador nos ha proporc proporcionado ionado la list listaa d e direcciones M MAC AC de los clientes autoriz autorizado adoss y  puntos de acce acceso: so:  Punto d e a cces cceso o au tor torizado: izado: 

 

ESSID: Inalámbrica de laboratorio  

 

Dirección MAC: 00:21:91: D2: 8E: 25 

 

De configuración: WPA-PSK 

? ? ?

Los clien tes auto autorizado rizados: s: 

 

?

Dirección MAC: 60: FB: 42: D5: E4: 01  

Ahora vamos a u tiliz tilizar ar esta lista para enco e ncontrar ntrar puntos de acceso en el sistema. sistema. 

[183]

 

 

Penetra ción WLAN Prueba de la m etodología etodología 

Tiempo para la acción - para encontrar puntos de acceso   Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

Hemos He mos volcado u na lista de todas las direcc direcciones iones M MAC AC en e l i nter nterrupto ruptorr de l a red de clientes. En el e l  cas o m ás común, el ca ble e inalámbric inalámbricas as d e i nter nterfaz faz las direccio direcciones nes MAC di fieren en 1.  Nos en con contramos tramos con la siguient siguientee lista d e direc direcciones ciones de los i nter nterrupto ruptores: res:00:21:91: D2: 8E: 8E: 26 y  Doce y veinticuatro: veintic uatro: B2: 24:7 E: E: BF que están cerca de los que vimo vimoss en eell aire. 

2. 

Esto s están ccerca erca de los pu ntos ntos de acceso como se muestra en la captura de pantalla: 

3. 

Esto nos lleva a la conclusió conclusión n d e que el punto de acceso con ESSIDNuevo NETGEAR  y l a dirección M MAC AC inalámbr inalámbrica ica Doce y veinticuatro: veintic uatro: B2: 24:7 E: E: SE y cab l eado eado del lad lado o de di recciones M MAC AC  Doce y veinticuatro: veintic uatro: B2: 24:7 E: E: BF es un disposit dispositivo ivo no a utoriz utorizado: ado: 

[184]

 

 

Capítulo 9  

4. 

Ahora usamos vario varioss comandos en el s witch de red para a veriguar veriguar qué lugar físico  pue rto al qu e está conectad conectado o a la red corpor corporativa, ativa, y retírela. 

¿Qué ha pasado?  He Hemos mos d etecta etectado do un punto de acceso no autoriz autorizados ados en la red mediante un simple juego de direcc direccio io nes MA MAC C  la técnica. Es de señalar que p odrí odríaa s er posible para vven en cer a este enfoqu enfoquee y por lo tanto, se tr traa ta de  no a toda prueba. Con el fin de d etect etectar ar puntos de a cces cceso o d e forma determin determinist ista, a, que tendrá q ue util utilizar izar  s is tem temas as i nal nalámbric ámbricos os de prevenció prevención n de intr intrusos, usos, que u til tilizan izan una va ried riedad ad de técnicas artesan artesanal ales es mediante el envío de   pa quetes para detectar punto puntoss de acceso. 

Encontrar clientes no autorizad autorizados os   Una de las p rinc rincipales ipales preocupac preocupaciones iones es u n cliente no autorizado se conecta a l a red corporativa. corporativa.  Esto s pueden haber sido traídos por los em plea Estos pleados dos o que alguien puede haber entr entrado ado en el  de l a red. En esta sección, vamo vamoss a ver cómo encontrar cliente clientess no a utoriz utorizado ados: s: 

[185] 

 

Penetra ción WLAN Prueba de la m etodología etodología 

Tiempo para la acción - los clientes no autorizados  Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

Nos fi jamo jamoss en la parte cliente de la airodump-ng de salida: salida: 

2. 

Pode mos ver cl aramen aramente te que un cl iente con la dirección M MAC AC se asocia con la autoriz autorización ación  pun to de a cceso cceso,, a pesar de que no es parte de la red corporativ corporativa: a: 

3. 

Esto claramente nos permite localiz localizar ar los clientes no autoriz autorizado adoss con ectad ectados os a l a red. 

¿Qué ha pasado?  Hemos utilizado airodump-ng para e ncontr ncontrar ar los cl iente ientess n o a utorizado utorizadoss conectados a acceso no au torizado torizado  pun tos. Esto apunta al hecho d e que sea un u suario autoriz autorizado ado utiliza un clien cliente te extranje extranjero ro o un  us uario no autorizado ha logr logrado ado acceder a la red red . 

Las técnicas té cnicas de encriptac encriptación ión   Ahora ech em emos os un vistazo a l a red autoriz autorizada ada y vver er s i podemos podemos romper la clave de re red d WPA. Nosotro Nosotross  ver que el ci fr frado ado de la red es WPA-PSK, esta es u na mal malaa s eñal en s í misma. Vamo Vamoss a tratar de una  ata que de d iccio iccionar nario io s enc encillo illo para comprob comprobar ar l a fortalez fortalezaa d e l a contraseña contraseña elegida. 

[186] 

 

Capítulo 9  

Tiempo para la acción - cracking WPA   Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

Inalám ámbrica brica de laborator io pun to de a cces Ahora vamos a ejecutar airodump-ng di rig rigidas idas a la Inal cceso o mediante el uso de un unaa  BSSI D filtro basado en: 

2. 

airodump-ng comi enza a re coger lo loss paq uete uetess y espera que el apretón de manos WPA: 

3. 

Afortuna dam damente ente,, hay un cliente conectado conectado y s e puede usar un ataqu ataquee de l a autent autenticació icación n d e  a cel erar erar las co cosas: sas: 

[187] 

 

Penetra ción WLAN Prueba de la m etodología etodología 

4. 

Ahora , he mos mos ca ptu pturado rado un a pr pretón etón de manos WPA: 

5. 

Comenzamos aircrack-ng para i niciar niciar un ataque de diccionario en el a pre pretón tón de manos: 

6. 

Como l a frase de paso ha s ido fácil, hemos sid sido o capaces de resolv resolverlo, erlo, es el uso del diccionario ccomo omo se muestr muestraa  en la sigu siguiente iente pantal pantalla: la: 

[188] 

 

Capítulo 9  

¿Qué ha pasado?  A pe sar de que WPA-PSK se puede hacer prácticam prácticamente ente irromp irrompible ible por la e lecc lección ión de un fuerte con tras traseña, eña,  lo s administ administrado radores res de esta red cometió el error fund fundamental amental de la elección de una forma fácil de  recorda r y uti lilizar zar contraseñ contraseña. a. Es to llev llevó ó al compromiso de la red u tilizando tilizando el sencillo  di ccionar ccionario io basado en a taqu taque. e. 

Comprometer Compromet er llos os clientes  En e s ta s ecció ección n vamos a e xp xplorar lorar si p odemos odemos obligar a u n cliente para asociarse con nosot nosotros. ros. Esto abrirá  nue vas oportunidad oportunidades es para comprometer la segurid seguridad ad del cliente. 

Tiempo para la acción - disminución de los clientes   Si ga las instrucc instrucciones iones para comenzar comenzar::  1. 

Vol vamos a la sección de clientes de la airodump-ng cap tura tura de pantal pantalla: la: 

2. 

Vemo s qu e el cliente autoriz autorizado ado tiene dos re redes des en su red preferid preferidaa  lista- Inal Inalámbrica ámbrica de laboratorio labor atorio y Vivek. Pri Pri mero va mos a cr crear ear un pu nto de a ccesoVivek us o  base aérea-ng: 

[189] 

 

Penetra ción WLAN Prueba de la m etodología etodología 

3. 

Vam os a hora hora a d esconect esconectar ar el cliente con fuerza de Inal Inalám ámbrica brica de laboratorio de fo rma ccon on tinu tinuaa  el en vío de la a utent utenticació icación n de los mensajes: 

4. 

El cli ente busc buscaa a hora hora los p untos untos de a cceso dispon disponibles ibles y se con ecta aVivek: 

[190] 

 

Capítulo 9  

¿Qué ha pasado?  Se uti lizó la lista de re redes des pref preferid eridas as del cliente y cr crea ea r un punto de acceso con el ho ney neypot pot  el mismo SSID. A continuació continuación, n, la fuer fuerza za d escon esconectad ectado o el cliente desde el punto de acceso autoriz autorizado. ado.  El cli ente entonc entonces es comenz comenzó ó a b uscar ttodos odos los puntos de acceso disponibles disponibles,, y se encontróVivek También s e  di s ponible ponible en l as inmediac inmediaciones. iones. Que luego se conecta a Vivek que es controlado por nosot nosotros. ros. 

La presentación de informes Ahora que hemos  encontrado todas estas vulnerabilidades de seguridad, tenemos que informar a  

la Empresa. Cada compañí compañíaa de pruebas de penetrac penetración ión que ti ene su estructur estructuraa propia expo si sición. ción.  Si n e mbargo mbargo,, debe contener como mín mínimo imo los siguientes dat datos: os:  1. Vulnerabilidad descripción  2. Gravedad  3. Los Lo s disp osi ositivos tivos afectad afectados os  4. Vul nerabili nerabilidad dad de tipo de so ft ftware ware / hardware / con figuració figuración n  5. Soluciones   6. Remediación  La e s tructu tructura ra anterior s e da suficie suficiente nte infor información mación a una re red d o de s egur eguridad idad  ad ministrad ministrador or de encontrar y el parche de la vulner vulnerabilid abilidad. ad. En e ste punto la p rueba rueba de i ntrusión ntrusión sólo puede  propo rcionar apoy apoyo o al a dministr dministrador ador para ayudarle a e nten ntender der las vulnerabilid vulnerabilidades, ades, y tal vez  propo ner las mejores prácticas par paraa asegurar su re red. d. 

Pop Quiz - pruebas pe netración inalámbrica inalámbrica  prueba s de penetración 1. Pod emos d etect etectar ar un p unt unto o d e acceso no autoriz autorizado ado usando?  a. D ireccion irecciones es IP  b. Di recciones M MAC AC  c.  A y b   d. Ni ngu na de las anterio anteriores res  2. Cl i ente mal asociació asociación n se p ued uedee preven pre venir ir  a . In tervención del us uar uario io antes de con ectar ectarse se a un pu nto de a cceso  b. Só lo mantener las redes autoriz autorizadas adas en la lista d e redes prefe preferidas ridas  c.  Util izando WPA2  d. No usa r WE WEP P 

[191] 

 

Penetra ción WLAN Prueba de la m etodología etodología 

3. En la fase de in form formación, ación, ¿cuál cr crees ees q ue decidió la i mpor mportanc tancia ia de la  l a vul nerabilid nerabilidad? ad?  a. Des cr cripc ipción ión  b. Gravedad  c.  Los di sposit spositivos ivos afectado afectadoss  d. Ambos (b) y (c)  4. En l os a taqu taques es de los clientes, la opción de base aérea-ng nos no s permite rresponder esponder a todos los clien clientes tes de sondeo?  a . -A   b. - Essid  c.  -P  d. -C 

Resumen  En e s te capítu capítulo, lo, hemo hemoss a pre prend ndido ido cómo lleva r a ca bo una prueba d e penetració penetración n inalám inalámbric bricaa u tiliz tilizando ando BackTrack.  De pe nd ndiendo iendo del tamaño de la red , la complej complejidad idad y el ti empo empo real puede ser muy  de gran tamaño tamaño.. He mos mos tomado una pequeña red para ilustrar las diversas fases fases y técnicas q ue  s e utiliza para ejecutar una prueba de penetrac penetración ión.. 

[192] 

 

Conclusión y camino por recorrer   "No sé lo que puede pare parecer cer que el mundo, pero a mí me parece que  han sido sólo como un niño jugando en la orilla del mar, y divirtiéndo divirtiéndome me en   de vez en el cuando enc enco ontrar guijarro más liso o por unadescubr conchairmás má s bonita   mientras gran océano de launverdad e staba todo descubrir antes quede yo.lo" normal,   Sir Isa ac New Newton ton  Ap pes es ar de que hemos llegado al final del libro, debemos est estar ar siempre dispues dispuestos tos a   apr aprender ender m más ás y seguir sie siendo ndo un e studiante studiante para siempre siempre!!  

Fi nalmente hemos llegad llegado o al f inal de este l ibr ibro, o, pero es de e sper sperar, ar, esto es s ólo el comien comienzo zo de s u  via je en seguridad Wi-Fi. En este cap ít ítulo, ulo, analiz analizaremos aremos los pasos a seguir en su cam camino ino de a pre prend ndizaje izaje  como un a prueba d e intrusión inalá inalámbric mbrica. a. 

Terminando   Ha s ido un vi aje eemo mocionant cionantee en e n los últimos 10 capítulo capítulos! s! Comenzamos con la creación de un laborato laboratorio rio básic básico o  pa ra Wi-Fi y terminó cono.la  realiz realización ación de ataques a PEA PEAP P y WPA-Enterprise. Definitiv Definitivamente amente hem hemos os  recorrid o un largo camin camino. Si n e mbargo mbargo,, el viaje no ha te rminado rminado aún, y honestamen honestamente te no puede term terminar. inar. Wi- Fi es la seguridad  un camp o en con stante stante evolució evolución n y l os nuevos ataques, ataques, herramientas y técnicas se están descubriendo, descubriendo,  revel ada, y se liber liberaa cada mes. Es im portan portante te mantener mantenerse se i nfor nformado mado y actualizado con el fin de  pa ra ser u n p robador robador de una bu ena penet penetració ración. n.  En e s te capítu capítulo, lo, ve verem remos os cómo configurar un laborator laboratorio io más avanzados, y nos p ondr ondremos emos en contacto a  vario s recursos que p ued uedee utilizar para mantener mantenerse se en e n contacto con los ú lt ltimos imos a con contecim tecimii entos en este campo. 

 

Conc lusi ón y camino por recorrer  

La construcción construcción de un av avanzado anzado laboratorio de Wi-Fi  El la boratorio boratorio que hemos cr creado eado para este l ibro es un barebone y es ideal par paraa empezar e mpezar en  el mun do de l a segurid seguridad ad inalámbr inalámbrica. ica. Sin e mbarg mbargo, o, se requer requeriría iría un l abo aboratorio ratorio más avanz avanzado, ado, si u sted pla planea nea  pa ra seguir una ca rre rrera ra en s egur eguridad idad Wi- Fi y prue bas de p enetrac enetración. ión.  Aquí h ay u n p ar de elemento elementoss a dicio dicionales nales que podr podrían ían consid considerar erar la compra de:  Las antenas direccionales:  Las a nten ntenas as direccion direccionales ales se p odrí odrían an u til tilizar izar para aumentar la señal y ayudar a det detectar ectar más redes Wi -Fi  de s de lejos. Esto puede ser útil cuando la prueba d e penetrac penetración ión consist consistee en una gran i nstal nstalación, ación, que  pod ría ser difícil de cubrir a p ie.  Ha y di ferentes ttipos ipos de a nten ntenas as adecu adecuadas adas para d iver iversos sos fines. Podría Podría valer la pena  ha cer una i nvestig nvestigación ación sobre este tema antes de hacer una compra. 

Wi-Fi puntos de acceso:  Pued e ser interesan interesante te para experim experimentar entar con d iferen iferentes tes punto puntoss de a cceso ccon on 802.1 802.11 1 a / b / g / n, y  as í s uce ucesiv sivaa mente, mente, ccomo omo uno nunca puede estar s eguro de l o que p ued uedee encontrar en el campo. Sin embargo, fundamentalmente  de s de la perspect perspectiva iva d e la au dito ditoría ría de las técnic técnicas as siguen s iend iendo o las mismas, en algunos casos ra ros, la  lo s fabric fabricantes antes pueden haber añadido a sus p arches de seguridad propias propias a l os proble problemas mas de combate. Puede se r que sea  es bueno ten er ex experienc periencia ia con un conjun conjunto to variado de puntos de acceso: 

[194] 

 

 Apéndi ce A 

Tarjetas Wi-Fi:  He Hemos mos u tili tilizado zado la tarjeta de Alfa para las s esiones esiones de n uestr uestro o laborat laboratorio orio a l o largo de este libro. Hay otros dispositivos USB-  y l as tarjetas basadas en i ntegr ntegrado ado en l as comput computadoras adoras portátileess que ta mbién pod podría ría s er utilizad utilizado o con los control ado adores res a decu decuado adoss p ara  In a lámb lámbrica rica con fines Pruebas de Pe Penetr netración. ación. Puede ser que sea u na buena idea para explorar algunos de estos  tarjetas tarje tas y controladores controladores.. Esto puede ser ú til cuando se enfrentan a una situació situación n en l a que  la tarjeta de Alfa falla y que por defecto a las ttarjetas arjetas incorpo incorporado rado o de otro tipo. 

[195] 

 

Conc lusi ón y camino por recorrer  

Smartphones y otros dispositivos Wi-Fi activado:  En e l mun omputadoras as p ort ortátiles átiles no son los ú nico nicoss d ispo ispositivo sitivoss Wi -Fi activad activado. o. Casi todos l os móviles   do actual, las ccomputador di s positivo positivo ttiene iene Wi- Fi incluid incluidos os en e l mismo, Smartp Smartphones, hones, tablet tabletas, as, eetc. tc. Puede ser que s ea una buena idea  compra r un a varied variedad ad d e estos dispositivos dispositivos y l os u tiliz ilizan an en los laborato laboratorio rios: s: 

Mantenerse al día   La s egurid eg uridad ad es u n campo muy rápido avanc avancee y us ted encontr encontrará ará que s i usted está fuer fueraa de co contacto, ntacto, inclu incluso so para un  pe ríodo corto d e un par d e meses, parte de sus con ocim ocimiento ientoss pu eden quedar obsoleto obsoletos. s. En o orde rden n  pa ra estar al día, se recomiend recomiendaa utilizar los siguientes medio medios: s:  Listas de correo:  http://www.securityfocus.com/tie ne v vaa rias listas de correo, que se ce ntran ntran

    grupo s d e discusión para los d ebate grupos ebatess técnico técnicos. s. Entre otros, le recomend recomendamos amos la s uscr uscripció ipción n de la [email protected] para mantenerse en contacto con las últimas actualizaciones  en e l campo campo..  Sitios web:  El s itio Aircrack-N Aircrack-NG G es el mejor rrecu ecu rso para mantene mantenerse rse actuali actualizado zado sobre las n uev uevas as herramientas herramientas de esta su ite. Cread Creado o  por Th omas d'Otrepp d'Otreppee a ka Mister_X eesta sta es p robable robablemente mente la mejor herram herramienta ienta que hay pa ra WLAN  hacking:  http://www.aircrack-ng.org 

[196] 

 

 Apéndi ce A 

Entre mi s favoritos es el sitio web d e Raúl Siles ", que contiene una lista detallada detallada de las h erramie erramientas ntas,,  docu mentos, artículos de investigac investigación, ión, material para conferencias, conferencias, y mucho más, todos ellos dedicado dedicadoss a la tecno inalámbric inalámbrica a  de se glogía urid uridad: ad:   http://www.raulsiles.com/resources/wifi.html

 

Bl og de Jo Joshua shua Wrigh Wright, t, aunque no muy actualiz actualizada ada regularm regularmente, ente, es el l ugar defin definitivo itivo de las últimas  en WPA-Enterprise ataq ataques: ues:  http://www.willhackforsushi.com/ 

Conferencias:  Confe rencias de hackers y d e segurid Conferencias seguridad, ad, como Defcon y B lackhat tener conversacio conversaciones nes excelent excelentes es y  tal leres cada año sobre diverso diversoss te mas en materia d e seguridad seguridad,, i nclu ncluida ida la s egur eguridad idad inalámbrica. La mayoría de estos   vide os de con versación versación y l os m ateriale aterialess del curso s e liberan gr graa tuitam tuitamente ente en l ínea. Sería buen bueno o q ue  s ig igaa los s iguientes iguientes confe conferencia rencias: s:  ?

  ? 

Defcon: http://www.defcon.org   Blackhat: http://www.blackhat.com 

BackTrack relacionados con:  Ba ckTrack eess una plataform plataformaa e n constante evoluc evolución. ión. Es importante asegur asegurarse arse de q ue su copia es  s iempre! mejor y má s Los sig siguien uientes tes sitios web son el p rim rimer er lugar de u na liber liberación ación  anuncios: 

 

Ba ckTrack sitio web: we b: http://www.backtrack-linux.org  

 

Offen sive Se cur curity: ity: http://www.offensive-security.com  

? ?

Conclusión  1. Es pe ro que hayan disfru disfrutado tado de este libro y lo s diferentes ejercicios en el mismo. Esperem Esperemos os que, p or ahora   de be ser capaz d e realiz realizar ar pruebas de penetrac penetración ión en l as redes inalámb inalámbricas ricas con facilid facilidad ad utilizan utilizando do  Ba ckTrack. Nuestro consejo final para u sted sería s ie iempre mpre u n estudia estudiante nte y s eguir apren aprendiendo diendo!!  Esto es l o que le mantendrá más agud agudo o que el resto de l a competen competencia cia..  2. Le de s ea eamos mos todo lo me mejor jor para una carr carrera era en las pruebas de p enet enetració ración n inalámb inalámbrica! rica! 

[197] 

 

B

 

Respuestas Pop Quiz  Capítulo 1, Wireless Laboratorio de   configuración Respuesta  Pregunta  1) 

Ejecute el comando ifconfig wlan0. En la salida, usted debe ver una band bandera era de "UP",   es to in indica dica qu quee la l a tarje tarjeta ta es funcio funcional. nal. 

2) 

Sólo se necesita un disco duro si se desea almacena almacenarr nada en los lo s reinic reinicios ios   como los valores de configu configuración ración o scripts. 

3) 

Muestra Muest ra la tabla ARP en el equipo local.  

4) 

Queremos Querem os us ar wpa_su wpa_supplicant pplicant..  

Capítulo 2, WLAN WLAN y sus inseguridades inherentes   Pregunta  1) 

Respuesta  b) los mar marcos cos de gestión con el sub-tipo de autentic autenticación ación sería responsable responsable de  WLAN de autenticación.  

2) 

b) El nombram nomb ramiento iento se inicia desde mo mon0 n0 a mo monX, nX, por l o que la segunda inte interfaz rfaz se MON1 MON1..  

3) 

Pa Para ra ello el lo tendre tendremos mos que utilizar la opción de que es el comp complemento lemento del filtro para  sele se leccionar ccionar to todos dos los marcos de Beacon Beacon.. Esta es una).  

 

Res Respuestas puestas Pop Quiz 

Capítulo 3, por encima de autenticación WLAN   Pregunta 

Respuesta 

1) 

d) Todo lo ant anterior erior tendrá el mismo efecto que el cliente se conecte de nuevo. 

2) 

b) La aut enticación ab abierta ierta no ofrece ninguna segurida seguridad d en absoluto.  a) Se deri d eri va de llaa ristra de los paqu paquetes etes y volver a utilizar para responder a las  próximo reto.  

3) 

Capítulo 4, defectos defe ctos WLAN WLAN cifrado   Pregunta 

Respuesta 

1) 

c) Los paq paquetes uetes AR ARP P cifrados se utilizan para un ataque de repetición. repetición.  

2) 

a) WEP puede p uede ser siempre roto, no import importaa lo q que ue la clave utilizada es el punto de aacce cceso so o   lo está ejecutando.  

3) 

b) WPA-PSK pue de ser violada si una débil contras contraseña eña que puede apare aparecer cer en una   diccionario es elegido. 

Capítulo 5, ataques a la infraestructura WLAN   Pregunta 

Respuesta 

1) 

a) AP no a utori zado zadoss no usan ningún tipo de cifrado.  

2) 

a) Si dos puntos d dee acc acceso eso tienen la misma dirección M MAC AC y el SSID, la diferenciac diferenciación ión   entre ent re eellos llos es una tar tarea ea difícil. 

3) 

a) Norma lmente, un ataque de denega denegación ción de hace bajar de la red y ha ce que sea inutilizabl inutilizable. e.  

4) 

a) AP no n o autori a utori zado zadoss ofrecen una entr entrada ada de p puer uerta ta trasera en la red au autoriz torizada. ada.  

[200] 

 

 Apéndi ce B 

Capítulo 6, atacando a tacando a los cli clientes entes   Pregunta 

Respuesta 

1) 

b) El ata a taque que Caffe Latte puede ayudar a recupe recuperar rar la clave WE WEP P e n el cli clien ente. te.  

2) 

a) Honeypo Ho neypots ts normalment normalmentee n no o utiliza utilizan n cifrado y la a ute utentica nticación ción abierta, para que  los cli entes pueden cconectars onectarsee a e llos con ffacilidad. acilidad. 

3) 

d) Tanto De-Aute De-Autentica nticación ción y Asociació Asociación n de Di s-son los ataques de denegac denegación ión de servicio.   b) Caffe Lat L atte te sólo se puede recupera recuperarr la clave si el cliente tiene la clave WEP para la   red a utorizada, en cach caché, é, y al ma macenad cenadaa en él.  

4) 

Capítulo 7, Advanced WLAN ataques   Pregunta  1 

Respuesta  b) En todos los ataque ataquess Man-in-the-mi Man-in-the-middle, ddle, siemp siempre re es el a taca tacante nte que está en el centro. 

2 

b) Dns spoof spo of parodias respuestas DNS para secuestr secuestrar ar s esio esiones. nes. 

3 

c) SSID no tie ne n ningú ingún n papel que desempeñ desempeñar ar en MITM MITMs. s.  

4 

a) a t0 e s l a parte cableada de dell punto de acceso basa basado do en software cread creado o por la base aérea de-  

ng. 

Capítulo 8, atacar ata car W WPA PA Enterprise y RA RADIUS DIUS  Pregunta 

Respuesta 

1) 

b) freerad free radius-WPE ius-WPE es un p par arche che escrito por Joshua Wright a la l a Freeradi Freeradius us originales 

2) 

servidor.  b) PEAP puede pue de ser aatacado tacado por tten ener er u un n client clientee i ngenuo ngenuo aceptar la falsa del lado del servidor   cert ificado expedido por el atacant atacante. e. 

3) 

d) EAP-TLS EAP-TLS uti liliza za ce rtificados rtificados de cliente y servidor. 

4) 

b) EAP-TTLS EAP-TTLS u util til iza en eell serv servidor idor de certifica certificados. dos.  

[201] 

 

Res Respuestas puestas Pop Quiz 

Capítulo 9, Metodología de pruebas inalámbrico penetrante   Pregunta 

Respuesta 

1) 

d) no e s trivi t rivi al para detectar puntos de acceso y el uso de enlace enlacess simples como IP   y MAC no func iona een n la mayoría de los cas casos. os.  

2) 

a) Si el usuario tie tiene ne que aprobar ccada ada punto de acceso antes de con conectarse ectarse a ella, entonces la mayoría mayoría de   mal as ociación ociación ataques podrían hab haberse erse evitado. 

3) 

d) Un defecto de fecto grave en un i ns nstrument trumento o importan importante te en la red sería el más   vulne rabilidad importante para solucio solucionarlo. narlo. 

4) 

c) El -P opci ón para llaa toma de llaa base aéreaaérea-ng ng responder a t odas las son sondas. das. 

[202] 

 

Índice  A  punto de acceso   alrededor de 8, 101   configurar 12-15   cuenta cuen tass por defecto, agrie agrietamiento tamiento de 102, 103  la c reación de 12 a 14  ta tarjet rjet a de red inalámb inalámbrica, rica, cone conexión xión a 18-22   cuentas  griet as, ataques de fuerza bruta utilizada 103  avanzada avanzadass Wi-Fi de l aboratorio  la construcción de 194  requisitos 194-196   avanzadas avanza das Wi -Fi de laboratori laboratorio, o, artíc ulos de  ant enas direccionale direccionaless 194  Smartphones 196  Wi-Fi puntos pu ntos de acceso 19 194 4  Tarjetas Wi-Fi 195  Wi-Fi a ctivado los dispos dispositivos itivos 196  base aérea-ng comando 108   aircrack-ng herramienta 74   Aircrack-ng sitio 133, 19640,   74  aireplay-ng herramienta airmon-ng herramienta 74   airodump-ng utilidad de 25, 59, 60, 74   Alfa AWUS036H tarjeta de 8   Alfa tarjeta de 195   Redes Alfa 8   Alfa tarjeta inalámbrica  la creación de 16 16,, 17  AP   crea ción, con freeradius-WP freeradius-WPEE 164-168  AP-menos WPA cracking c racking 137, 138 

aplicación aplicaci ón secuestro reto 1 156 56  Asleap 175   ase de ataque, pruebas de penetración inalámbrica  de 183 a 185 185   cli entes, ent es, ponien poniendo do en peligro 189-191  puntos de acceso, la búsqueda 184 184,, 185   los cli ent entes es no autori autorizados, zados, buscando 186  WPA, grietas grie tas 187-189  Autenti cador de di direc recciones ciones MAC (MAC del punto punto de acc acces eso) o)  83   Nounce autenticador (anunc (anuncian) ian) 83 

B  BackTrack  la instalación de 9.12  la ins talación talación,, en Virtual Box 12, 42  Servidor Servi dor de ra radio dio,, en la creación de 164  WLAN 141 ataques  BackTrack BackTra ck 5 8   Beacon frames 51   las me jores prácticas, WPA-E WPA-Enterprise nterprise 176  Blackhat  URL 197   De di fusión-de autenticación de paque paquetes tes 107  uerza bruta ataques  util izado, para las cuentas de 103 grietas 

C  Caffe Latte ataque   alre dedor de 11 111, 1, 124  la real iz izació ación n de 124 a 129 

 

salto de canal 111   clientes  comprometer 189-191 de-la autenticac autenticación ión de 129-133     configuración del punto de acceso 12-15  configuración, la l a tarjeta ina inalámbrica lámbrica 16, 17  conexión  es ta tablecer, blecer, en la configu configuración ración WE WEP P 22   Tramass de ccontrol Trama ontrol   visualización 33   Cowpatty 89  

D  ramas de datos  visi ón 3333-35 35  paquetes de datos  aná lisis de 40 

EAP-TTLS  alre dedor de 173  agri agrietamiento etamiento 174, 174, 175 EAP-Transport EAP-Tra nsport Layer Security   de túnel. Ver EAP-  TTLS  ESSID ESSID 18 183 3  Ettercap Etterca p 15 6   ataque gemelo malvado 107-111 

F  autenticaci ón fa falsa lsa  realizar, con WEP 82   cuatro vías apretón de manos 83   cuatro vías WPA handshake handshake 1 135 35   Freeradius 163  Freeradius-WPE  AP, con la l a creación de 164 a 168  la creación de 164 a 168 

oler 36-39  De-autenticación ataque 54, 104-107  De-paquetes de autentic autenticación ación 129   G  cuentas por defecto  griet as, e n 102 punto puntoss de acceso, 103  genpmk herramienta 90   regulación por defecto la configur configuración ación  Alfa tarj t arj eta, experime experimentando ntando 4545-47 47   Defcon  H  URL 197   Denegación de Servicio (DoS)  hackers  de 104 a 107 107   118 funciones   De-aute De-a utenti nticació cación n ataqu ataquee 104104-107 107  requisitos de hardwa hardware, re, para la instalación del labora laboratorio torio Dis -Asociación de ataques 107  móvil 8   DHCP demonio 114  SSID oculto  antenas direcciona direcc ionales les 1 194 94  cerca de 51   Dis-Asociación de ataque ataquess 107  descubrir 52-56   ase de descubrimiento, pruebas de penetración inalámbrica   ataque   Hirte 180   URL, de i nformación 13 133 3  WEP, quebrada que brada por 133-1 133-135 35  D-Link DIR-615 de acc es eso o modelo de punto 102  D-Link DIR-615 Wi reles relesss N Router 8, 12  Honeypot ataques 118, 124   DNS hijacking  Hydra 103   alre dedor de 152  de forma inalámbric inalámbrica, a, utilizando la configuració configuración n de MITM 153Yo  156  

E  eap.conf archivo 168  EAP-GTC 168   EAP-MSCHAPv2 168  

IEEE 802.11 73  comando ifconfig 17   instalación, BackTrack  de 11.9   en Virtua l Box 12  Instalación de BackTrack icon 11  la instalación de   BackTrack 12.09 

[204] 

 

  BackTra ck, en V Virt irtua uall Box 12  comando iwconfig 22, 96   iwlist wlan0 exploración comando 18

 

M  Dirección MAC 183  macchanger utilida utili dad d 59   macchnager utilida utili dad d 60   MAC filtros  alre dedor del 5 57 7  supera ndo ndo 57-60  MAC spoofing 108-111  196 listas de correo   la gestión de los marcos  visua lizac lización ión 32  Man-in-the-middle. Ver MITM  Comprobar la integridad i ntegridad del mensaje ((MIC) MIC) 84   Mis-Asociación de ataques  alre dedor 118-1 de 11 118 824    orquestar 118-124 MITM ataques  alre dedor de 14 141, 1, 142  sobree re des inalámbr sobr inalámbricas icas 146, 147  simulando 142-145   controlar l a interfaz de modo de  la c reación de 2 26 6 a 29   MSCHAP-v2 MSCHAP-v 2 173  múltiples múltipl es interface interfacess de monitor de modo  crear 29  

N  Acue rdo de no divulgaci divulgación ón (NDA) 180

O 

 

Autenticación abierta  alre dedor de 60  sin pasar por 6060-62 62 

P  paquete   inyecci ón de 40, 41  paquete de inyección de 8   la detec ción de paquetes 8   Clave por parejas transitoria (PTK) 83 

Contraseña de clave c lave Basa Basado do función de deriva derivación ción de  (PBKDF2) 83   PEAP al rededor de 168, 193    ata que, el cliente de Windows 168-173  grietas 168-173  versiones de 168  PEAPv0 168   PEAPv1 168   ase de planificación, pruebas de penetración inalámbrica   alre dedor de 180  es fuerzo de estimac estimación ión de 180  legal ida idad d 180   al can cance ce de l a eva evaluación luación 180  Lista de re des preferidas ((PNL) PNL) 118   Probe Re quest 119 paquet paquetes es  modo promiscuo 25  Protocol o de aute autenticac nticación ión exte extensible nsible proteg protegido. ido.  Ver PEAP 

R  Electromagnéticos en el rango de frecu frecuencia. encia. Ver RF rango  Servidor Radius  alre dedor de 163  crea ción, en BackT BackTrack rack 164  dominios reguladores  exploración de de 4 8  información de fas fase, e, prueba pruebass de penetrac penetración ión inalámbrica  191   RF rango de 15, 39   Rogue punto de acceso  alre dedor de 112  la creación de 11 112 2  buscar 184, 185  Punto de acceso dudoso desaf desafío ío 1 15  route-n de comandos 13 

S  configuraciones de seguridad, en el c liente  De-autenticació De-a utenticación n a taqu taquee 157-16 157-160 0  Modo de seguridad de configur configuración ación 14   Actualizaciones Actuali zaciones de seguridad  alre dedor de 196  Aircrack-NG sitio 196  197 c onferencia onferenciass   196 listas de correo  

[205] 

 

Autenti cación de cl clave ave comp compartida artida  alre dedor del 62 

Protec ción de Acceso a Internet W WiFi iFi v2. Ver WPAv2   WiFishing 160  

nteatacando de Window Windows sin pasar por 62-70 PEAP, en s168-173   Autenti cación de cl clave ave   comp compartida artida técnic técnicaa de bypas bypasss 82   Clie   Wired Equivalent Priva P rivacy. cy. Ver WEP  Teléfonos inteligent intel igentes es 8, 196   requisitos de softw software, are, para la instalación del laboratorio móvil 8   de red inalámbrica  arjeta SSID 51   configuración de 16, 17  Suplicante dirección MAC (Wi-Fi cliente MAC) 83  de conex co nexión, ión, al punto de acceso 1818-22 22  Nounce solici solicitant tante e (SN (SNounce ounce)) 83   la creación de 1 15 5 a 17   los dispositivos inalámbric os  descubrir 181-1 181-183 83  Escuchas inalá inalámbrica mbrica 14 7-152  T  configuración inalámbr inalámbrica ica de l aborator aboratorio io   requisitos de hardware 8   8 tabletas, 196   requis requ is itos de software 8  Tcpdump 25   paquetes inalámbricos  TKIP 82   oler 29-31   Tshark 25   pruebas de pe netración inalámbr inalámbrica ica   shark utilidad 94   aproximadamente 7, 179  fase de ataque 183 183-18 -185 5  fas e de descubrimie descubrimiento nto 180-1 180-183 83  U  fases de 179 179  la planificación de fase de 180   los cli entes no autorizados  información de fase 191  busca r 185, 186  Inalámbrica Pwnage Edition. Editi on. Ver WPE  Wireshark 25, 52, 119  V  Internet inalámbr inalámbrico ico 101   WLAN ataques   Virtual Box  alre dedor de 14 141 1  BackTra ck, la insta instalación lación el 12 de   MITM ataques 141   URL 12   configura ciones de seguridad seguridad,, e ncontrando ncontrando en el c liente 156  se cuestro de sesión, más de 1 52 inalámbric inalámbricaa  es cucha i nalámbr nalámbrica, ica, con 147 MITM  W  WLAN marcos  WEP  alre dedor de 24  alre dedor de 73, 133  Alfa tarj t arjeta, eta, experimen experimentando tando con 4242-44 44  grietas 74-11 74-115 5  Tramas de contr control ol 25  formac ión d de e grietas, co con ns el Hirte 133133-135 135  debi lilidades dades cript criptográfica ográficas 74ataque   WEP de configuración   conexió cone xión, n, estable estableciendo ciendo en 22   WEP  fals a a utenti utenticació cación, n, actuand actuando o con 82  Encriptación WEP de 74  WEP de la red  la cone xión a 96   WEP de paquetes  desci frad frado o de 94, 95  Wi-Fi puntos de acce so 194  Ta Tarjetas rjetas Wi-Fi 19 5   Wi-Fi Prote cted Access Access.. Ver WPA  

datos de cuadros rossniff   ing 36-39  paquet pa quetes es25 decuad datos, sniffing dife diferent rentes es disposi dispositivos, tivos, la búsqued búsquedaa de d e 32  marco ma rco de c ontro ontroll de campo de 24  la gestión de 25 cuadros  moni tor de modo de interf interfaz, az, la creación de 26 a 29   múltiples canales, oliendo 44  múltipl múl tipl es interfaces de mod modo o de con control, trol, la creac creación ión de 29   paquete, la inyección de 40, 41  revisar 24 

[206] 

 

 tipo de ca mpo mpo 25  paq paquet uetes es inalámbri inalámbricos, cos, olfateand olfateando o 29-31 

WPA2 133   WPA-Enterprise  

alremejores dedor de 16 163 3   176   Infraestructura WLAN las prácticas alre dedor de 10 101 1    WPA handshake   punto de a cceso MAC spoofing 107107-111 111  la captura de 188  Caffe Latt L att e ataque, la re realización alización de 124 a 129  WPA de la red   De-aute De-a utentica nticación ción ataques 129-13 129-133 3  cuenta cuen tass por d defec efecto, to, agrietam agrietamiento iento de punto de acceso 102,la   conexión a 97, 98  WPA paquete   103   desci frad frado o de 94, 95  Dis -Asociación ataques 12 129-133 9-133  WPA-PSK  at ataqu aquee gemelo malvado 107-1 107-111 11  agrietamiento 136  Honeypot ataques 118, 124  WPA-PSK Honeypot   Mis-Asoc iación de a taque, taque, la orquest orquestación ación de 118-124  la creación de 1 137 37  Rogue punto pun to de acceso 112-115  WPA-PSK débil c ontraseña ontraseña  WEP, grietas 112-115  grietas 85-88  WEP, que bra brada da por ataqu ataquee Hirte 133-135  Wpa_supplic Wpa_s upplic ant 97   WLAN inyecc ión de 42   WPA v1 82   WLAN  WPAv2 73   cerca de 23, 51  WPA/WPA2 PSK  Dene gación de Servicio (DoS) 10 104-107 4-107  alre dedor de dell 83 por  SSID oculto, ocul to, descubrir 5252-56 56  formac ión d dee grietas, ace acelerando lerando de 8 9 a 94   MAC filtros, filt ros, venciendo 5757-60 60  WPE 164   La aut autenticación enticación abierta, por encima de 6060-62 62  Autenticación Autent icación d dee clave comp compartida, artida, por encima de 62-70  WLAN sniffing 42   WPA   alrededor de 73, 82, 133   agrietamiento 136, 187-189  X  Operación XOR 62  

[207] 

 

Gracias por comp comprar rar  

BackTrack 5 Princi Pr incipiante piante inalámbr inalámbrica ica Prueba Pruebas s de P Penetraci enetración ón de Guía    Acerca de Packt Publishi Publishing ng    phpMyAdmin Admin para la efe ctiva  Packt, q ue se pronuncia 'llen 'lleno', o', publicó su p rim rimer er libro "Masterin "Masteringg phpMy MySQL Gestión " en a bril de 200 2004 4 y, pos terio teriorment rmente, e, continuó a esp ecia ecializar lizarse se e n la pu blic blicación ación de  muy cen trado e n los libros de te cno cnologías logías específic específicas as y s olucion oluciones. es. 

Nue s tro tross libros y pu blicac blicacion iones es de compartir las ex experienc periencias ias de s us compañe compañeros ros de l os profesi profesional onales es de TI en la adaptación de  y l a pe rson rsonalizac alización ión de l os sistem sistemas as d e hoy en día, las aplicacio aplicaciones nes y marcos. Nu es estra tra solució solución n basada en los libr libros os  le da rá eell conocimie conocimiento nto y el poder para personali personalizar zar el s oftw oftware are y las te cnologí cnologías as que e stá stá  uti lizando para hacer el trabajo. Libro Libross de Pa ckt son más e specí specífic ficos os y menos gen eral erales es que l as TI libros  que ha vi sto en el pasad pasado. o. Nuestro modelo de negoc negocios ios único nos p ermite tr traer aer más centrad centrado o  in formac formación, ión, que le d an más de lo que usted necesita sab saber, er, y men os de lo qu e no.  Packt e s una eempre mpresa sa modern moderna, a, sin embargo, la p ublic ublicación ación única, que se centra en la producció producción n d e calidad calidad,,  vangu ardia de l os libro libross p ara las co comunid munidades ades de d esarr esarrollado olladores, res, admin administrad istradores ores,, y no vatos por i gual. Para  obte ner más inform información, ación, visite nuestr nuestro o s it itio io web: www.packtpub.com.  

 Acerca de Open Source Packt  En 2010, Packt h a lanzado dos nuevas marc marcas, as, Fuente abier abierta ta y Packt Packt Empresa, con el f in de  pa ra co continuar ntinuar su enfoque en la e specialiización. zación. Este libro es parte d e la marca Packt Open Sour Source, ce,  el hogar ho gar de los libros publicad publicados os en eell softw software are construid construido o en torno a licenc licencias ias de có código digo abie abierto, rto, y que o ofrece frece  in formac formación ión a nadie de l os desarr desarrollador olladores es avanzad avanzados os para l os diseñ diseñadores adores web een n ciernes. El Abierto  Marca f ue nte tamb también ién un espacio abierto Packt eesquem squemaa de re galí galías as de o rigen, por l o que Packt da una regalí regalíaa  a cad a proyecto de código abie abierto rto de software que un libro se vende. 

Escribir para Packt  Da mos la bienven bienvenida ida a todas las consultas de personas que están i nter nteresadas esadas en la a utorí utoría. a. Propuestas de libros  de be n ser enviados a a uth uthor@pack or@packtpub. tpub.com. com. Si s u idea del libro s e encuent encuentra ra todavía en una e tapa temp temprana rana y qu e   qui siera habla hablarr de e llo antes de es crib cribir ir una propuesta de libro formal, en contacto contacto con nosotros, uno de nuestros   Noistores óles o estamos buscan buscando a los aseutores publicado publicados, s, sioucon stedusted. tiene fuer fuertes tes habilidad habilidades es técnic técnicas, as, pero no por ed tor de la pu esta es ta en do marcha pondrá en contact contacto escrito 

experiencia, nuestros editores con experiencia puede ayudarle a desarrollar una carrera como escritor, o s im plemen plemente te obte obtener ner  una recompensa adicio adicional nal por su e xpe xperien riencia. cia. 

 

 

BackTrack 4: Asegurar la seguridad de Penetración  Pruebas  ISBN: 978-1-849513-94-4Paperback: 392 páginas   Dom i na el arte de las pruebas de penetrac penetración ión con BackTrack  1.  

Aprende r el a rte de negro negro,, con las pruebas de penetrac penetración ión en   ampliliaa cobertur amp coberturaa de distribu distribución ción de LLinu inuxx BackTrack 

2.  

Explora las ideas y llaa impo importancia rtancia de l as pruebas pruebas de su  los si stemas cor corporativos porativos de la re d antes de que los piratas informáticos huelga 

3.  

Compre nder elpor espectro de prácticas prácticas deiguración s egur eguridad idady   herra mientas su uso ejemplar, conf configuración beneficios 

4.  

Ilus trado con ejemplos prácticos, prácticos, paso a   ins trucciones detalla detalladas das y consejos útiles para cubr cubrir ir el best-  de s u cl ase, herramient herramientas as de evaluaci evaluación ón de l a segurid seguridad ad  

pfSense 2 Cookbo Cookbook  ok   ISBN: 978-1-849514-86-6 

Pap erback: 25 252 2 pá gin ginas as 

Una prá ctic ctica, a, i mpulsa mpulsada da por e jemplo guía para configur configurar ar i nclu ncluso so  l a s ca ract racterí erísticas sticas más avanzad avanzadas as d e pfSense 2.0  1.  

Aprovechar Aprovech ar el po poder der de llaa funcionalidad funcionalidad básica de pfSense 

2.  

Métase Méta se  debaj debajo o de la capucha par paraa ver cómo se lleva a cabo pfSense bal anceo de car carga ga y conm conmutación utación por error  Ejempl os detallados de las iinterf nterfaces, aces, las rreglas eglas del cortafu cortafuegos, egos, NAT  redi rección de pu puert ertos, os, servicios VPN VPN,, y mucho, mucho,  más!  Lle no de ilustra ilustraciones, ciones, diagra diagramas mas y consejos para hacer  la mayo r parte de cualquier impleme implementaci ntación ón de pfSense con clara  pas o a paso las in inst struccion rucciones es para relevantes y pr prác ácticos ticos   ejemplos  

3.  

4.