PDF de programación - PC Paso a Paso - 29

Nº 29 -- P.V.P. 4,5 EUROS
92000

8 4 1 4 0 9 0 2 0 2 7 5 6

Con la proliferación de las ofertas wireless, el número de redes de éste tipo va en aumento
día a día. Aunque poco a poco la gente va tomando conciencia de lo importante que es proteger
una red de éste tipo ( ¿verdad? ), veremos como hasta la más agresiva configuración de
seguridad (encriptación WEP de 128 bits, filtrado por dirección MAC, ESSID oculto y DHCP
deshabilitado) no supondrá obstáculo para un atacante con unos mínimos conocimientos. ¿Te
animas a acompañarme en este ataque? Sigue leyendo ;)

Tenemos indicios que nos llevan a sospechar de ciertas actividades ilegales en la gestión de empleados de la compañía
WADAL SL, pero carecemos de pruebas contundentes, su misión será obtener dichas pruebas mediante el filtrado del
tráfico de su red, pero no le será fácil.
El único medio de acceso a ésta red es por medio de un AP (punto de acceso inalámbrico) (802.11.bg) que da cobertura
en las inmediaciones del edificio de esta compañía y proporciona acceso a toda la red de la empresa.
Le detallo la información que nuestros técnicos han logrado obtener:
• El BSSID de la red es 00:12:34:56:78:90
• Encriptación WEP de 128 bits
• Filtrado por dirección MAC.
• ESSID oculto.

Dispone de un vehículo camuflado, un portátil con sistema operativo GNU/Linux y tarjeta inalámbrica con chipset
Prism2.
Mucha suerte en su misión

Antes de nada daré una breve explicación de los distintos
sistemas de seguridad a los que nos enfrentamos y algunos
conceptos previos.

BSSID: Es la dirección MAC del AP.

ESSID oculto: Para poder conectarnos a un punto de
acceso necesitamos conocer su ESSID o nombre, este

sistema de protección se basa en ocultar dicho nombre al
exterior de modo que sólo los clientes que lo conozcan
podrán conectarse.

Filtrado por MAC: La MAC (Media Access Control) es la
dirección física de una tarjeta de red, identifica de forma
única cada tarjeta de red de modo que nunca se fabricarán
dos tarjetas con una misma MAC. El filtrado por MAC se
basa en permitir o excluir determinadas MAC's impidiendo
o posibilitando la conexión.

3

Imagen 0

de esta forma podremos capturar
paquetes sin necesidad de estar
asociados a una red.

En la misión voy a utilizar Kismet (
http:// www.kismetwireless.net/ ), un
sniffer para redes wireless que nos
permitirá localizar el AP, además de

capturar y visualizar los paquetes. Sus
comandos/opciones son los siguientes:
(Imagen 0 )

Si Kismet no puede poner tu tarjeta
automáticamente en modo monitor
puedes hacerlo con las wireless-tools:

root@spirit:/#iwpriv <interfaz> monitor 1 1

ó bien:

root@spirit:/#iwconfig <interfaz> mode monitor

Nos desplazaremos por las inme-
diaciones del edificio hasta que Kismet
nos detecte paquetes provenientes de
la red de BSSID 00:12:34:56:78:90 y
de ESSID desconocido(Imagen 1).

En este caso he detectado 2 redes con
ESSID oculto, para ver el BSSID de la
red pulsamos 's' y escogemos el tipo de
ordenación de los nodos, en mi caso
escojo 'b'; una vez el nodo ha sido

Imagen 1

Imagen 2

D H C P d e s h a b i l i t a d o : E l D H C P
(Dynamic Host Configuration Protocol)
es un protocolo que permite al cliente
recibir por parte del servidor DHCP los
parámetros de configuración para
acceder a la red. Entre esos parámetros
se encuentran la IP , puerta de enlace,
etc..

Con DHCP deshabilitado, un atacante
que logre conectar con nuestro AP tendrá
que adivinar y configurar a mano dichos
parámetros para poder formar parte de
la red.

Encriptación WEP: (Wired Equivalency
Privacy ) es un sistema de cifrado
incluido en el protocolo 802.11 que
permite encriptar la información
transmitida mediante el algoritmo RC4,
utilizando claves de 64, 128 o 256 bits.

¿Por que chipset Prism2? Por su facilidad
para el modo master, con modo master
podremos convertir nuestra tarjeta
inalámbrica en un punto de acceso. En
el transcurso de la misión necesitaremos
emular un AP para llevar a cabo ciertos
ataques y facilitar el trabajo.

Para los que le suene a chino el término
wardriving, consiste básicamente en
salir a la caza de redes inalámbricas
provistos de un portátil/PDA con tarjeta
inalámbrica y usando el software
apropiado de detección. Según el medio
de transporte que se utilice surgen
términos como:

WarWalking: Andando.
WarFlying: En avión.
WarSkating: En patines. (¿os lo

imagináis? :-D)

WarDriving: En coche... etc

Vamos a hacer wardriving para localizar
la red de BSSID correspondiente a la
dada en el documento de la misión.

Una vez cerca del edificio WADAL SL,
ponemos nuestra tarjeta en modo
monitor y usamos un sniffer adecuado
para redes 802.11. Es imprescindible el
modo monitor o RFMON para la misión,

4

marcado con otro color pulsamos la
tecla 'i' , que nos mostrará información
acerca de esta red (Imagen 2).

Nos fijamos en el BSSID y comprobamos
que es el correcto; hemos localizado la
red.

Durante el proceso de conexión entre
un cliente y un punto de acceso ocurren
los siguientes pasos:

El cliente emite una trama PROVE
REQUEST que contiene el ESSID
al que desea conectarse.

El AP responde si el ESSID

coincide con el suyo.

El cliente y el AP intercambian
tramas de autentificación y
asociación.

Capturando estos paquetes podremos
ver el ESSID.

Tenemos dos opciones, o bien esperar
a que algún cliente se conecte para
capturar las tramas o realizar un ataque
para forzar a clientes conectados la rea-
sociación con el AP.

Una forma de realizar este último ataque
es hacernos pasar por el AP (clonando
su MAC) y emitir tramas DIASSOC a la
dirección de broadcast (FF:FF:FF:
FF:FF:FF) o a algún cliente específico
de modo que logremos engañar al cliente
y ésta vuelva a asociarse para así poder
capturar las tramas.

Por suerte, existen herramientas que
automatizan este proceso:
deauth , utilidad del proyecto void11.

Listado 1

root@spirit:/home/CrashCool/he2# ./essid_jack
Essid Jack: Proof of concept so people will stop calling an ssid a password.

Usage: ./essid_jack -b <bssid> [ -d <destination mac> ] [ -c <channel number> ] [ -i <interface name> ]
-b: bssid, the mac address of the access point (e.g. 00:de:ad:be:ef:00)
-d: destination mac address, defaults to broadcast address.
-c: channel number (1-14) that the access point is on, defaults to current.
-i: the name of the AirJack interface to use (defaults to aj0).

root@spirit:/home/CrashCool/he2# ./essid_jack -b 00:12:34:56:78:90 -c 5
Got it, the essid is (escape characters are c style):
“W4d41B3RT0-007“

Imagen 3

Imagen 4

http://www.wlsec.net/void11/

el nombre del ESSID. (Imagen 3)

essid_jack , utilidad del proyecto
A i r - j a c k h t t p : / / s o u r c e f o r g e .
net/projects/airjack/

Para la misión vamos a utilizar
essid_jack, su uso es el siguiente:
(listado 1)

Primer paso logrado, ya tenemos el
nombre del ESSID, “W4d41B3RT0-007”.
Si nos fijamos en la ventana de Kismet
podremos ver cómo ha capturados las
tramas de reasociación mostrándonos

Las redes con ESSID oculto a las que
Kismet haya logrado capturar su ESSID
se mostrarán con un tono azulado.

Antes de nada veamos el formato de un
paquete de datos capturado con Kismet
y analizado con ethereal (http://www.
ethereal.com/) (Imagen 4)

Podemos ver que en el protocolo IEE
802.11 se incluyen los campos:

Destination address: A quien va des-
tinado el paquete.

Source address: De donde proviene el
paquete.

Vamos a analizar los datos que hemos
capturado, para ello localizamos los
archivos de log que ha generado Kismet,

5

n o r m a l m e n t e s e e n c u e n t ra n e n
/var/log/kismet, allí encontraremos logs
con este forma

Kismet-[mes]-[día]-[año]-[sesión].[formato]

Una vez abierto ordenamos los paquetes
por el campo Info, localizamos los del
t i p o D a t a y s e l e c c i o n a m o s u n o
cualquiera.(Imagen 6)

/var/log/kismet/Kismet-May-17-2005-1.csv
/var/log/kismet/Kismet-May-17-2005-1.dump
/var/log/kismet/Kismet-May-17-2005-1.network
/var/log/kismet/Kismet-May-17-2005-1.xml

Este paquete proviene del gateway de
la red (00:12:34:56:78:91) y va dirigido
a un cliente válido (00:c5:c5:f3:f3:00),
por lo cual ya tenemos un MAC válida.

root@spirit:/# ifconfig wlan0 hw ether
00:c5:c5:f3:f3:00

Si con las wireless-tools no puedes
cambiarla puedes probar con el
programa macchanger.

Entre los formatos generados se
encuentran .csv , .dump , .network,
.xml . El formato .dump es la captura
en bruto o raw dump de todos los
paquetes, es un formato totalmente
compatible con ethereal o tcpdump.

Abrimos con ethereal el .dump corres-
pondiente a la sesión y visualizamos los
paquetes de datos:(Imagen 5)

CrashCool@spirit:/$ ethereal /var/log/kismet/
Kismet-May-17-2005-1.dump

Imagen 5

K i s m e t c a p t u r a M A C ' s v á l i d a s
a u t o m á t i c a m e n t e , p a r a v e r l a s
capturadas seleccionamos el nodo en
concreto (para ello primero tenemos
que ordenarlos pulsando la tecla 's' y
escogiendo uno de los modos que se
nos presentan) y luego pulsamos la tecla
'c'.

A continuación clonaremos nuestra MAC
por la del cliente válido, saltándonos de
ese modo el filtrado por MAC:

Imagen 6

6

WEP (Wired Equivalent Privacy), nace
con el fin de proporcionar a las redes
wireless una seguridad equivalente a
una red cableada. Utiliza el algoritmo
RC4 y usa claves de 64, 128 y 256 bits
que a efectos prácticos son de 40, 104
, 232 bits respectivamente, los 24 bits
restantes son usados para el vector de
inicialización ó IV.

El vector de inicialización es pseudo
aleatorio en cada paquete y su fin es
combinarlo con la clave fija de modo
que el cifrado sea diferente y a un
atacante le sea mas difícil deducir la
clave.

Por lo tanto el emisor como el receptor
deben conocer la clave fija y el vector
de inicialización (IV) para poder
cifrar