CODSP Training Pentesting Inalambricas Clase 1

“Curso Hacking Ético y Defensa en Profundidad”
Modalidad E-learning
Entrenamiento para preparar y presentar la certificación

Certified Offensive and Defensive Security Professional
Docente: JUAN DAVID BERRIO
judabe2003@gmail.com
@dsteamseguridad
© www.dsteamseguridad.com
- Entrenamiento E-learning -
Hacking Ético “Módulos

Adicionales”
-Penetration Testing a redes
inalámbricas- Clase # 1
DOCENTE: Steven Zuluaga

Ingeniero pentester e instructor de dsteam
seguridad informática.
Entusiasta de la seguridad informática,
integrante del grupo de investigación de
seguridad informática trackmaze,programador,
autor de varios programas entre ellos pruebas
de concepto de "Recuperación de archivos
corruptos" y "Mensajero de windows 7”.
Conferencista en eventos de seguridad
informática, FLISOL, Barcamp SE, Campus
party. Nick en la red:
Estudioso de las redes, la seguridad y la kr1shn4murt1
programación, wargamer.
Temario
Clase 1: Como operan las redes inalámbricas y algunos
ataques:
 Comandos para configurar y manipular la tarjeta de red

 Conceptos básicos. (SSID, MAC, AP, antenas, canales, frecuencias,
Beacons, Frames entre otros)
 El Estándar 802.11(a/b/g/n)
 Modo de autenticación abierta–open system(sin autenticación)
 Tipos de protocólos y algoritmos de cifrado (WEP , WPA, WPA2)
 Activación de modo monitor en la tarjeta de red
 Sniffing de tráfico con airmon-ng
 Ataque de negación de servicio
 Ataque de falsa asociación
 Access point falso (Rogue AP)
Temario
Clase 2: Vulnerabilidades y ataques a redes inalámbricas y

hardening - Como protegerse de los ataques
Ataques y vulnerabilidades en redes inalámbricas:
 Continuacion de los ataques vistos en la clase # 1

 Impersonación o spoofing de una red autorizada - Ataque de
gemelo malvado (Evil twin)
 Cracking del algoritmo de cifrado WEP
 Cracking del algoritmo de cifrado WPA - Ataque por diccionario
 Explicación del concepto de ataque WPA sin diccionario
Temario
Hardening en redes inalámbricas, como protegernos de los ataques:
 Siempre cambiar configuraciones por defecto del AP

 Utilizar algoritmos de cifrado seguros
 Usar contraseñas seguras
 Deshabilitar SSID broadcast
 Actualización de Firmware de AP
 Contraseñas seguras de AP
HERRAMIENTAS USADAS POR EL DOCENTE:
Computador Portátil
Máquina virtual Kali Linux.
Se usará la suite aircrack-ng que viene incluida
en Backtrack y Kali Linux.
Tarjeta inalámbrica USB : para llevar a cabo las
prácticas de cracking del cifrado es necesario
usar una tarjeta inalámbrica cuyo chipset
soporte inyección y sniffing de paquetes, para
una lista de chipsets soportados visitar ésta
página: http://www.aircrack-
ng.org/doku.php?id=compatibility_drivers
Para replicar los ejercicios prácticos recomendamos la tarjeta TP-LINK
TL-WN700ND la cual tiene un valor aproximado de $ 60.000 pesos
colombianos con chipset Ralink RT3070 -- Inyecta sin problema
potencia de la señal 5 dbi -- Antena desmontable
http://www.tp-link.in/products/details/cat-4734_TL-WN7200ND.html
Un Access point: Cualquiera que soporte cifrado WEP/WPA/WPA2 éste

es para hacer la práctica en un ambiente totalmente controlado por
ustedes y en el cual estén autorizados a auditar la red.
Un dispositivo inalámbrico cliente: Un celular o un portátil el hará las

veces de víctima
Algunos comandos usados
Comando iwconfig
Descripción: Este comando nos sirve para conocer y configurar una

interfaz de red inalámbrica, a continuación una explicación de su uso.
iwconfig
Este comando sin parámetros nos muestra las interfaces de red
inalámbricas que hay en nuestro equipo.
iwconfig <interface>
Si se agrega la interface como parámetro la interfaz nos muestra las
características de esta.
iwconfig <interface> channel <canal>

Con estas opciones podemos definir el canal de la interfaz de red
iwconfig ath0 channel 6
iwconfig <interface> essid <essid> key <miclave>

Para asociarnos a una red especificando su essid
iwconfig <interface> freq <valorGhz>
iwconfig <interface> rate <valorvelocidad>
Modos de Operación de una Interfaz de Red Inalámbrica
mode monitor: iwconfig ath0 mode monitor

El modo monitor es cuando se habilita la interfaz de red en modo
promiscuo para sniffear todo lo que se transmite por el aire, las
señales de comunicación inalámbricas.
El modo monitor es de suma importancia ya que es por medio de este,

que podemos escuchar los paquetes de la(s) redes a auditar.
mode managed: iwconfig ath0 mode managed

Este modo es el modo por defecto de la interfaz inalámbrica, la cual
permite asociarnos e interactuar con una red inalámbrica.
mode ad-hoc: iwconfig ath0 mode ad-hoc

Se utiliza para crear una red inalámbrica sin la necesidad de tener un
punto de acceso. Es útil para conectar dos o más ordenadores entre sí.
Suite Aircrack-NG
Aircrack-NG es un conjunto de herramientas para auditar la seguridad

de una red inalámbrica las herramientas que la componen son:
Airodump Aireplay Aircrack Airdecap Airbase Airmon

Airdecloak Airdriver Airgraph Airolib Airoscript
Airserv Airtun
Nos centraremos en 4 herramientas de esta suite que son : Airmon,

Airodump-ng, Aircrack-ng y Aireplay-ng, con estas 3 herramientas
podemos monitorear, inyectar tráfico en las redes inalámbricas para
recuperar las contraseñas de dichas redes.
Activando modo Monitor – Airmon-ng
Esta herramienta sirve para habilitar el modo monitor de nuestra

tarjeta de red para escuchar el trafico de la red o redes que estén a
nuestro alcance.
Sintaxis : Airmon-ng start <interface>
Para desactivar el modo monitor usamos :

Sintaxis : airmon-ng stop <interface>
airodump-ng
Con esta herramienta

podemos sniffear las
comunicaciones
inalámbricas ,
permitiéndonos guardar
un archivo .cap de dicho
sniffing para
posteriormente analizar
dicho archivo y obtener la
clave.
airodump-ng
Para guardar los paquetes sniffeados se usan las siguiente opciones

-w : nos permite guardar a un archivo la captura
--bssid : Indicamos la BSSID a realizar el sniffing
-c : indicamos el canal donde se encuentra la red
mon0 : nuestra interfaz en modo monitor
Descubrimiento de AP (Redes
inalámbricas) y Sniffing de
Trafico
Para el descubrimiento de AP
utilizaremos airodump-ng el
cual nos mostrara todas las
redes inalámbricas que esten
haciendo broadcast , los
ESSID’s ocultos aparecen como
<length: 0>
Captura de Tráfico con wireshark
Como operan las redes inalámbricas

SSID: (Service Set IDentifier) es un nombre incluido en todos los
paquetes de una red inalámbrica (Wi-Fi) para identificarlos como parte
de esa red. El código consiste en un máximo de 32 caracteres que la
mayoría de las veces son alfanuméricos (aunque el estándar no lo
especifíca, así que puede consistir en cualquier carácter). Todos los
dispositivos inalámbricos que intentan comunicarse entre sí deben
compartir el mismo SSID.
Existen algunas variantes principales del SSID. Las redes ad-hoc, que
consisten en máquinas cliente sin un punto de acceso, utilizan el BSSID
(Basic Service Set IDentifier); mientras que en las redes en
infraestructura que incorporan un punto de acceso, se utiliza el ESSID
(Extended Service Set IDentifier). Nos podemos referir a cada uno de
estos tipos como SSID en términos generales. A menudo al SSID se le
conoce como nombre de la red. © www.dsteamseguridad.com
Dicho SSID se configura en el Access point como nombre de red y

dicho Access point difunde éste SSID abiertamente para indicar que
está presente y los clientes puedan conectarse a él si cumplen con los
requisitos de validación solicitados
Uno de los métodos más básicos para proteger una
red inalámbrica es desactivar la difusión (broadcast)
del SSID, ya que para el usuario medio no aparecerá
como una red en uso. Sin embargo, no debería ser
el único método de defensa para proteger una red
inalámbrica. Se deben utilizar también otros
sistemas de cifrado y autentificación.
MAC: En las redes de computadoras, la dirección MAC (siglas en inglés

de media access control; en español "control de acceso al medio") es
un identificador de 48 bits (6 bloques hexadecimales) que
corresponde de forma única a una tarjeta o dispositivo de red. Se
conoce también como dirección física, y es única para cada dispositivo.
Está determinada y configurada por el IEEE (los últimos 24 bits) y el
fabricante (los primeros 24 bits) utilizando el organizationally unique
identifier. La mayoría de los protocolos que trabajan en la capa 2 del
modelo OSI usan una de las tres numeraciones manejadas por el IEEE:
MAC-48, EUI-48, y EUI-64, las cuales han sido diseñadas para ser
identificadores globalmente únicos. No todos los protocolos de
comunicación usan direcciones MAC, y no todos los protocolos
requieren identificadores globalmente únicos.
Las direcciones MAC son únicas a nivel mundial, puesto que son
escritas directamente, en forma binaria, en el hardware en su
momento de fabricación. Debido a esto, las direcciones MAC son a
veces llamadas burned-in addresses, en inglés.
Si nos fijamos en la definición como cada bloque hexadecimal son 8
dígitos binarios (bits), tendríamos:
6 * 8 = 48 bits únicos
En la mayoría de los casos no es necesario conocer la dirección MAC,
ni para montar una red doméstica, ni para configurar la conexión a
internet, usándose esta sólo a niveles internos de la red. Sin embargo,
es posible añadir un control de hardware en un conmutador o un
punto de acceso inalámbrico, para permitir sólo a unas MAC concretas
el acceso a la red.
En este caso, deberá saberse la MAC de los dispositivos para añadirlos

a la lista. Dicho medio de seguridad se puede considerar un refuerzo
de otros sistemas de seguridad, ya que teóricamente se trata de una
dirección única y permanente, aunque en todos los sistemas
operativos hay métodos que permiten a las tarjetas de red
identificarse con direcciones MAC distintas de la real.
La dirección MAC es utilizada en varias tecnologías entre las que se
incluyen:
Ethernet
802.3 CSMA/CD
802.5 o redes en anillo a 4 Mbps o 16 Mbps
802.11 redes inalámbricas (Wi-Fi).
Asynchronous Transfer Mode
MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la

información libre de errores entre dos máquinas conectadas
directamente. Para ello se generan tramas, pequeños bloques de
información que contienen en su cabecera las direcciones MAC
correspondiente al emisor y receptor de la información.
Ejemplo de una dirección MAC: B8-70-F4-12-5B-C6

Como obtener la dirección MAC de una interfaz:
En Windows se digita en cmd la orden: “ipconfig /all” allí aparece en el
campo de dirección física, también se puede usar la orden: “getmac”
En Linux se digita en terminal la orden: “ifconfig” esto muestra
información de las interfaces de red disponibles. En el campo de
hardware address aparece la MAC de cada tarjeta de red presente.
Modelo OSI
Paquetes Ethernet(Cableados) comparados con 802.11(Inalámbricos)
Aunque la dirección MAC de una interfaz es única y se asigna a cada

interfaz en el momento de fabricarse, ésta puede ser cambiada
mediante software dicha técnica se llama MAC spoofing
Para cambiar la mac de la tarjeta de red en kali linux ejecutar lo
siguiente en terminal: ifconfig eth0 down luego macchanger –m
00:11:22:33:44:55 eth0 , luego ifconfig eth0 up
ACCESS POINT: Un punto de acceso inalámbrico (WAP o AP por sus

siglas en inglés: Wireless Access Point) en redes de computadoras es
un dispositivo que interconecta dispositivos de comunicación
alámbrica para formar una red inalámbrica. Normalmente un WAP
también puede conectarse a una red cableada, y puede transmitir
datos entre los dispositivos conectados a la red cableada y los
dispositivos inalámbricos. Muchos WAPs
pueden conectarse entre sí para formar una
red aún mayor, permitiendo realizar
"roaming". Por otro lado, una red donde los
dispositivos cliente se administran a sí mismos
—sin la necesidad de un punto de acceso—
se convierten en una red ad-hoc.
Al fortalecer la interoperabilidad entre los servidores y los puntos de

acceso, se puede lograr mejoras en el servicio que ofrecen, por
ejemplo, la respuesta dinámica ante cambios en la red y ajustes de la
configuración de los dispositivos. Los AP son el enlace entre las redes
cableadas y las inalámbricas. El uso de varios puntos de acceso
permite el servicio de roaming. El surgimiento de estos dispositivos ha
permitido el ahorro de nuevos cableados de red. Un AP con el
estándar IEEE 802.11b tiene un radio de 100 m aproximadamente.
Son los encargados de crear la red, están siempre a la espera de

nuevos clientes a quienes prestar los servicios. El punto de acceso
recibe la información, la almacena y la transmite entre la WLAN
(Wireless LAN) y la LAN cableada.
Un único punto de acceso puede soportar un pequeño grupo de

usuarios y puede funcionar en un rango de al menos treinta metros y
hasta varios cientos. Este o su antena normalmente se colocan en un
lugar alto pero podría colocarse en cualquier lugar en que se obtenga
la cobertura de radio deseada.
El usuario final accede a la red WLAN a través de adaptadores situados
en sus equipos (ordenador, tableta, smartphone, smart TV...). Estos
proporcionan una interfaz entre el sistema de operación de red del
cliente (NOS: Network Operating System) y las ondas, mediante una
antena inalámbrica.
ANTENA: Una antena es un dispositivo (conductor metálico) diseñado

con el objetivo de emitir o recibir ondas electromagnéticas hacia el
espacio libre. Una antena transmisora transforma voltajes en ondas
electromagnéticas, y una receptora realiza la función inversa.
Existe una gran diversidad de tipos de antenas. En unos casos deben
expandir en lo posible la potencia radiada, es decir, no deben ser
directas (ejemplo: una emisora de radio comercial o una estación base
de teléfonos móviles), otras veces deben serlo para canalizar la
potencia en una dirección y no interferir a otros servicios (antenas
entre estaciones de radioenlaces). También es una antena la que está
integrada en la computadora portátil para conectarse a las redes Wi-Fi.
Ejemplo: antenas direccionales, antenas omnidireccionales

Las características de las antenas dependen de la relación entre sus

dimensiones y la longitud de onda de la señal de radiofrecuencia
transmitida o recibida. Si las dimensiones de la antena son mucho más
pequeñas que la longitud de onda las antenas se denominan
elementales, si tienen dimensiones del orden de media longitud de
onda se llaman resonantes, y si su tamaño es mucho mayor que la
longitud de onda son directivas.
CANALES: Cuando se definió el standard IEEE 802.11 (el que regula las
redes locales inalámbricas), se especificó también los tres rangos de
frecuencia disponibles para los dispositivos que desearan emitir de
esta forma: 2.4 GHz, 3.6 GHz y 5 GHz. La mayoría de dispositivos
actuales operan, por defecto, en la franja de frecuencias cercana a 2.4
GHz, por lo que es en la que ©vamos a centrarnos en el curso.
www.dsteamseguridad.com
Cada rango de frecuencias fue subdividido, a su vez, en multitud de

canales.
Para 2.4 GHz, estamos hablando de 14 canales, separados por 5 MHz.
Eso sí, cada país y zona geográfica aplica sus propias restricciones al
número de canales disponibles. Por ejemplo, en Norteamérica tan sólo
se utilizan los 11 primeros, mientras que en Europa disponemos de 13.
El problema de esta distribución es que cada canal necesita 22MHz de
ancho de banda para operar, y como se puede apreciar en la figura
esto produce un solapamiento de varios canales contiguos.
Aquí aparece un concepto importante a tener en cuenta: el
solapamiento. Como puede observarse en el gráfico ,el canal 1 se
superpone con los canales 2, 3, 4 y 5, y por tanto los dispositivos que
emitan en ese rango de frecuencias pueden generar interferencias. Lo
mismo ocurre con el canal 6 y los canales 7, 8, 9 y 10.
Parece lógico pensar entonces que, si nuestra conexión Wi-Fi no va

todo lo bien que debería, podría intentarse mejorar la red cambiando
el canal a otro menos usado entre los puntos de acceso cercanos y que
no se superponga con ellos.
FRECUENCIA: Según el rango de frecuencias utilizado para transmitir,

el medio de transmisión pueden ser las ondas de radio, las microondas
terrestres o por satélite, y los infrarrojos, por ejemplo. Dependiendo
del medio, la red inalámbrica tendrá unas características u otras:
Ondas de radio: las ondas electromagnéticas son omnidireccionales,
así que no son necesarias las antenas parabólicas. La transmisión no es
sensible a las atenuaciones producidas por la lluvia ya que se opera en
frecuencias no demasiado elevadas. En este rango se encuentran las
bandas desde la ELF que va de 3 a 30 Hz, hasta la banda UHF que va de
los 300 a los 3000 MHz, es decir, comprende el espectro radioeléctrico
de 30 - 3000000000 Hz.
Microondas terrestres: se utilizan antenas parabólicas con un

diámetro aproximado de unos tres metros. Tienen una cobertura de
kilómetros, pero con el inconveniente de que el emisor y el receptor
deben estar perfectamente alineados. Por eso, se acostumbran a
utilizar en enlaces punto a punto en distancias cortas. En este caso, la
atenuación producida por la lluvia es más importante ya que se opera
a una frecuencia más elevada. Las microondas comprenden las
frecuencias desde 1 hasta 300 GHz.
Microondas por satélite: se hacen enlaces entre dos o más estaciones

terrestres que se denominan estaciones base. El satélite recibe la
señal (denominada señal ascendente) en una banda de frecuencia, la
amplifica y la retransmite en otra banda (señal descendente). Cada
satélite opera en unas bandas concretas.
Las fronteras frecuenciales de las microondas, tanto terrestres como

por satélite, con los infrarrojos y las ondas de radio de alta frecuencia
se mezclan bastante, así que pueden haber interferencias con las
comunicaciones en determinadas frecuencias.
Infrarrojos: se enlazan transmisores y receptores que modulan la luz

infrarroja no coherente. Deben estar alineados directamente o con
una reflexión en una superficie. No pueden atravesar las paredes. Los
infrarrojos van desde 300 GHz hasta 384 THz.
FRAMES: Los marcos (frames) WLAN

En este taller se revisan algunos aspectos de seguridad de las redes
inalámbricas, para entender a fondo como sucede la comunicación
entre la red inalámbrica se debe tener un conocimiento básico del
protocolo y las cabeceras de los paquetes.
Vamos ahora a revisar rápidamente algunos conceptos básicos de las
WLAN que la mayoría de ustedes ya conocen. En WLAN, la
comunicación ocurre mediante tramas. En la diapositiva siguiente
vemos la estructura de cabecera de un marco:
Comparación de la estructura de cabecera de un marco 802.3

Ethernet
Trama WLAN
El campo "Frame Control" en sí tiene una estructura más compleja:
El campo type define el tipo de marco WLAN, que tiene tres

posibilidades:
1. Marcos de administración: Los marcos de administración son
responsables de mantener
la comunicación entre los puntos de acceso y clientes inalámbricos.
Los marcos de administración pueden tener los siguientes subtipos:
Authentication - Autenticación
De-authentication -Desautenticación o finalización de la
conexión
Association Request -Solicitud de asociación
Association Response - Respuesta de Asociación
Reassociation Request - Solicitud de reasociación
Reassociation Response - Respuesta de reasociación
Disassociation - Desasociación
Beacon - Beacon
Probe Request - Solicitud de exploración
Probe Response - Respuesta de exploración
2. Marcos de control: las tramas de control son responsables de

garantizar un intercambio adecuado de datos entre el punto de acceso
y los clientes inalámbricos. Los marcos de control pueden tener los
siguientes subtipos:
Request to Send (RTS) - Solicitud de envío

Clear to Send (CTS) - Libre para enviar
Acknowledgement (ACK) - Confirmación
3. Marcos de datos: Las tramas de datos transportan los datos reales

enviados en la red inalámbrica. No hay sub-tipos de marcos de datos.
BEACONS: marco beacon es uno de los marcos de administración en

redes inalambricas WLAN basadas en IEEE 802.11. Los Beacon frames
contienen toda la información sobre la red inalámbrica y son
transmitidos periódicamente para anunciar la presencia de la red
WLAN. La infrastructura con la que el Punto de Acceso (a partir de
ahora AP, Access Point) envía mediante el servicio de transmisión BBS,
al menos el utilizado en la red 802.11 BSS. Ésta generación de IBBS es
repartida por las estaciones de puntos de acceso.
Un Beacon frame consiste de una cabecera MAC adress,un cuerpo y

un FCS(frame check sequence). Algunos de los campos, por lo general
los más relevantes son el Timestamp o hora con la que las estaciones
se sincronizan, el Beacon Interval o interválo entre transmisiones, el
tiempo en el que un nodo (AP o dispositivo Ad-Hoc, como un
smartphone por ejemplo) debe enviar un Beacon es llamado TBTT,
Target Beacon Transmission Time y se expresa en unidades de tiempo,
por lo general de 100 TU.
La capacidad de información es de 16bits y contiene información

sobre la red inalámbrica. Las conexiones AdHoc son movilizan dentro
de este marco.
Además de esta información detalla descripciones como:

SSID
Rangos soportados
Frequency-hopping (FH)
Direct-Sequence (DS)
Contention-Free (CF)
IBSS
Mapa de indicación de trafico (TIM)
STANDARD 802.11 - IEEE 802.11
El IEEE (Institute of Electrical and Electronics Engineers) Instituto de

Ingenieros Eléctricos y Electrónicos. Estos son un grupo de científicos y
estudiantes que en conjunto son una autoridad líder en el
aeroespacio, las telecomunicaciones, la ingeniería biomédica, energía
eléctrica, etc., El IEEE está compuesto por más de 365.000 miembros
en todo el mundo.
El IEEE se formó en 1963 por la fusión de:

- AIEE - el Instituto Americano de Ingenieros Eléctricos, que fue
responsable de las comunicaciones cableadas, sistemas de luz y de
energía.
-IRE, el Instituto de Ingenieros de Radio, responsable de las

comunicaciones inalámbricas.
Comités
El IEEE se divide en diferentes comités. El comité "802" desarrolla los

estándares de red de área local y los estándares de red de área
metropolitana. Los estándares más conocidos
incluyen Ethernet, Token Ring, LAN inalámbrico, LANS de puente y
LANS de puentes virtuales.
Las especificaciones IEEE designan las dos capas OSI más bajas que
contienen la "capa física" y la "capa de enlace".
La "capa de enlace" se subdivide en 2 sub-capas llamado "control de

enlace lógico"(LLC) y "Media Access Control" (Control de acceso a
medios - MAC).
Listado de los diferentes

comités:
IEEE 802.11
El IEEE 802.11 es un conjunto de estándares desarrollado por el grupo

11 (LAN inalámbrica) de trabajo del commite IEEE 802 .Para más
información acerca de IEEE 802.11 visitar la página:
http://en.wikipedia.org/wiki/802.11
En el grupo de trabajo
IEEE 802.11 existen los
siguientes estándares IEEE
y enmiendas:
Nota: 802.11, 802.11F y 802.11T son estándares. Todos los demás son
enmiendas. La tabla anterior muestra una visión general de las
diferentes normas y modificaciones - las principales que hay que
recordar son:
802.11a, 802.11b, 802.11g, 802.11n
Modos de operacion inalámbrica
Hay 2 modos principales de operacion inalámbrica:

Infraestructura
Ad Hoc
En ambas modalidades se requiere un SSID (Service Set Identifier) -

identificador de conjunto de servicios para la verificación de la red. En
el modo de infraestructura el SSID se establece configurándolo en el
punto de acceso (AP) y en el modo ad hoc, Es fijado por la estación
(STA) la cual es la que crea la red.
El SSID se transmite en beacon frames, unas 10 veces por segundo por
el AP.
El SSID es también anunciado por el cliente cuando se conecta a una

red inalámbrica. Estas características básicas son usadas por los
sniffers inalámbricos para identificar los nombres de red y reunir otra
información interesante.
Modo infraestructura
En el modo de infraestructura, hay al menos un punto de acceso y una

estación que juntos forman un basic Service Set (BSS) – Conjunto de
servicio básico.
El AP por lo general está conectado a una red cableada que se llama
un sistema de distribución (DS).
Un Extended Service Set (ESS) es un conjunto de dos o más puntos de

acceso inalámbricos conectados con el mismo cable.
Red Ad hoc
Una red ad hoc (también llamado un conjunto de servicios básicos

independientes - IBSS) se compone de al menos 2 STA’s
comunicándose sin un punto de acceso. Este modo también se
denomina " modo punto a punto." Una de las estaciones tiene algunas
de las responsabilidades de un punto de acceso, tales como:
Beaconing
Autenticación de nuevos clientes que se unan a la red
En el modo Adhoc el STA no retransmite paquetes a otros nodos como
un AP.
Métodos de autenticación y algoritmos de cifrado de redes

inalámbricas
La mayoría de las redes inalámbricas utilizan algún tipo de

configuración de seguridad. Estas configuraciones de seguridad
definen la autentificación (el modo en que el dispositivo en sí se
identifica en la red) y la encripción (el modo en que los datos se cifran
a medida que se envían por la red). Si no especifíca correctamente
estas opciones cuando esté configurando su dispositivo inalámbrico ,
no podrá conectar con la red inalámbrica. Por lo tanto, debe
emplearse cuidado cuando se configuren estas opciones. Consulte la
siguiente información para ver los métodos de autentificación y
encripción que admite su dispositivo inalámbrico
Métodos de autentificación
Sistema abierto
Se permite el acceso a la red a dispositivos inalámbricos sin ninguna
autentificación.
Clave compartida
Todos los dispositivos que acceden a la red inalámbrica comparten una
clave predeterminada secreta.
WPA-PSK/WPA2-PSK
Activa una clave precompartida de acceso protegido Wi-Fi (WPA

PSK/WPA2-PSK), que permite a l cliente inalámbrico asociarse con
puntos de acceso utilizando el cifrado TKIP para WPA o AES para WPA-
PSK y WPA2-PSK (WPA-Personal).
Métodos de cifrado
El cifrado se utiliza para asegurar los datos que se envían por la red
inalámbrica, tipos de cifrado
Ninguna
No se utiliza ningún método de cifrado.
WEP
Al utilizar WEP (Privacidad equivalente a cableado), los datos se
transmiten y se reciben con una clave segura.
TKIP (Protocolo de integridad de clave temporal) proporciona una

clave por paquete que mezcla una comprobación de integridad de
mensajes y un mecanismo que vuelve a crear claves.
AES (Advanced Encryption Standard) es un potente estándar de

encripción autorizado por Wi-Fi.
Clave de red
Existen algunas reglas para cada método de seguridad:
Sistema abierto/Clave compartida con WEP
Esta clave consiste en un valor de 64 bits o 128 bits que debe
introducirse en formato ASCII o HEXADECIMAL.
ASCII de 64 (40) bits:

Utiliza 5 caracteres de texto: por ej., “WLLAN” (distingue entre
mayúsculas y minúsculas).
Hexadecimal de 64 (40) bits:
Utiliza 10 dígitos de datos hexadecimales: por ej., “71f2234aba”.
ASCII de 128 (104) bits:

Utiliza 13 caracteres de texto: por ej., “Wirelesscomms” (distingue
entre mayúsculas y minúsculas).
Hexadecimal de 128 (104) bits:

Utiliza 26 dígitos de datos hexadecimales: por ej.,
“71f2234ab56cd709e5412aa2ba”.
WPA-PSK/WPA2 PSK y TKIP o AES
Utiliza una clave precompartida (PSK) que tiene más de 7 caracteres y

menos de 64 caracteres de longitud.
Actualmente existen tres tipos de cifrado de red inalámbrica: Acceso
protegido Wi-Fi (WPA y WPA2), Privacidad equivalente por cable
(WEP) y 802.1x. Los dos primeros se describen más detalladamente en
las secciones siguientes. El cifrado 802.1x se usa normalmente para
redes empresariales y no se tratará aquí.
Acceso protegido Wi-Fi (WPA y WPA2)

WPA y WPA2 requieren que los usuarios proporcionen una clave de
seguridad para conectarse. Una vez que se ha validado la clave, se
cifran todos los datos intercambiados entre el equipo o dispositivo y el
punto de acceso.
Existen dos tipos de autenticación WPA: WPA y WPA2. Si es posible,
use WPA2 porque es el más seguro. Prácticamente todos los
adaptadores inalámbricos nuevos son compatibles con WPA y WPA2,
pero otros más antiguos no. En WPA-Personal y WPA2-Personal, cada
usuario recibe la misma frase de contraseña. Éste es el modo
recomendado para las redes domésticas. WPA-Enterprise y WPA2-
Enterprise se han diseñado para su uso con un servidor de
autenticación 802.1x, que distribuye claves diferentes a cada usuario.
Esto modo se usa principalmente en redes de trabajo.
Privacidad equivalente por cable (WEP)
WEP es un método de seguridad de red antiguo que todavía está

disponible para dispositivos antiguos, pero que ya no se recomienda
usar. Cuando se habilita WEP, se configura una clave de seguridad de
red. Esta clave cifra la información que un equipo envía a otro a través
de la red. Sin embargo, la seguridad WEP es relativamente fácil de
vulnerar.
Hay dos tipos de WEP: La autenticación de sistema abierto y la

autenticación de clave compartida. Ninguna de las dos es muy segura,
pero la autenticación de clave compartida es la menos segura.
Para la mayoría de equipos inalámbricos y puntos de acceso

inalámbricos, la clave de autenticación de clave compartida es la
misma que la clave de cifrado WEP estática; es decir, la clave se usa
para proteger la red.
Un usuario malintencionado que capture los mensajes para una

autenticación de clave compartida satisfactoria puede usar
herramientas de análisis para determinar la autenticación de clave
compartida y, a continuación, determinar la clave de cifrado WEP
estática. Tras determinar la clave de cifrado WEP, el usuario
malintencionado tendrá acceso total a la red. Por este motivo, esta
versión de Windows no admite la configuración automática de una red
mediante la autenticación de clave compartida WEP.
Nota: No es recomendable usar Privacidad equivalente por cable

(WEP) como el método de seguridad inalámbrica. Acceso protegido
Wi-Fi (WPA o WPA2) es más seguro. Si prueba WPA o WPA2 y no
funcionan, se recomienda actualizar el adaptador de red a uno que
sea compatible con WPA o WPA2. Todos los dispositivos de red, los
equipos, los enrutadores y los puntos de acceso también deben
admitir WPA o WPA2.
ATAQUES INICIALES, EN OCASIONES USADOS COMO AUXILIARES EN

EL PROCESO DE CRACKING
Denegación de servicio DOS – Ataques de des-autenticación
Ataque de falsa autenticación. – Asociación al dispositivo
Access Point Falso – Rogue AP.
Ataques de denegación de servicio (DoS – Denial Of Service attacks)

Las redes inalámbricas son propensas a los ataques de denegación de
servicio (DoS) que usando diversas técnicas, incluyendo pero no
limitándose a:
De-Authentication attack
Dis-Association attack
CTS-RTS attack
Signal interference or spectrum jamming attack
En el ámbito de éste taller, vamos a discutir los ataques de Des-

autenticación en la infraestructura LAN inalámbrica mediante la
siguiente práctica:
1. Vamos a configurar el Access point para usar la autenticación WPA2:
2. Vamos a conectar un cliente Windows al punto de acceso.

Podremos ver la conexión en la pantalla de airodump-ng, en la
columna STATION aparece la MAC del cliente:
Si se ha hecho algún ataque antes desactivar el modo monitor y
volverlo a iniciar digitar : airmon-ng stop wlan5 ahora nuevamente
activar el modo monitor airmon-ng start wlan5
Luego airmon-ng stop mon0 y airmon-ng stop mon1 , al verificar con

airmon-ng ya no aparecen interfaces mon activadas
Activamos nuevamente el modo monitor airmon-ng start wlan5
Si nos encontramos con un mensaje similar a éste se pueden ejecutar

éstos dos comandos: airmon-ng check y airmon-ng check kill para
verificar y finalizar los procesos que pueden interferir
Usamos airodum-ng mon0 para detectar el cliente víctima al cual le

vamos a lanzar el ataque de des-autenticación , necesitamos el bssid
del AP al igual que el canal y la MAC del cliente
Hemos detectado que la MAC del cliente que queremos atacar es:
F0:E7:7E:81:78:8A el ESSID del AP al que está conectado es
DSTEAMSEGURIDAD.COM el BSSID de dicho AP es 00:26:44:B1:DF:65
y está trasmitiendo en el canal 6, con éstos datos podemos armar
nuestro ataque , primero corremos nuevamente airodump en el canal
6
3. Ahora en la máquina atacante, corramos un ataque de Des-
Autenticación dirigido
en contra del cliente:
airodump-ng -c 6 mon0 así nos muestra datos solamente del canal 6 y
prepara la interfaz mon0 para el ataque a ese canal.
aireplay-ng --deauth 50 -a 00:26:44:B1:DF:65 -h 00:26:44:B1:DF:65 -c F0:E7:7E:81:78:8A

mon0
En caso de mostrar error, agregar el parámetro --ignore-negative-one
Aunque es posible que el equipo todavía se muestre en la pantalla

de airodump si verificamos la conexión físicamente en el mismo
podemos ver que pierde totalmente la conexión al AP aún usando
cifrado WPA y WPA2, el parámetro 50 que proporcionamos es el
número de paquetes a enviar, si se usa el número 0 el ataque sigue
indefinidamente causando una negación de servicio, si no se
especifíca la MAC del cliente con la opción –c , la negación de
servicio afecta a todas las estaciones lo cual inutilizaría la red
inalámbrica
5. Si se usa Wireshark para ver el tráfico, notaremos un montón de paquetes de Des-

Autenticacion que hemos enviado en el aire a través de la interfaz mon0:, la victima era un
celular Samsung conectado a la red inalámbrica pero el ataque aplica a cualquier tipo
dedispositivo.
6. Podemos hacer el mismo ataque enviando un paquete Broadcast

de De-Authentication en
nombre del punto de acceso a toda la red inalámbrica. Esto tendrá el
efecto de desconectar todos los clientes conectados:
Hemos enviado con éxito los marcos de Des-autenticación tanto para

el Access point como para el cliente. Este ha resultado la desconexión
y una pérdida completa de comunicación entre ellos, para éste tipo de
ataque no necesitamos en ningún momento tener la contraseña de la
red para autenticarnos.
También hemos enviado paquetes Broadcast de Des-autenticación,
que se asegurarán de que ningún cliente en los alrededores se pueda
conectar correctamente al access point.
Es importante tener en cuenta que tan pronto como el cliente se
desconecta éste tratará de conectarse de nuevo al access point, y por
lo tanto el ataque de Des-autenticación tiene que ser llevado a cabo
de manera sostenida para tener un efecto completo de negación de
servicio.
Este es uno de los ataques más fáciles de llevar a cabo, pero tiene el
efecto más devastador. Éste podría ser utilizado fácilmente en el
mundo real para hacer inutilizable una red inalámbrica.
ATAQUE DE FALSA AUTENTICACIÓN
Éste tipo de ataque funciona tanto para WEP sistema abierto (open
system)como para WEP clave compartida (SKA sharek Key
Authentication)
Aunque no es estrictamente necesario es recomendable empezar cada
tipo de ataque con un anterior ataque de falsa autenticación para
tener comunicación más fluida con el AP.
Iniciaremos poniendo nuestra tarjeta en modo monitor

airmon-ng start wlan5 , si sabemos el canal de la víctima lo podemos
incluir de una vez
airmon-ng start wlan5 10 – Donde 10 es el número del canal por
donde transmite el AP a atacar
La tarjeta queda en modo monitor usando la interfaz virtual mon0

airodump-ng -c 10 --bssid 00:26:44:B1:DF:65 -w wep1 mon0 – se
específíca –c canal –w guarder a archive con el nombre wep1 y mon0
será la interfaz que sniffeará.
Nos autenticamos para poder enviar paquetes al AP, si no estamos

autenticados el AP rechazará nuestro tráfico.
aireplay-ng -1 0 -e DSTEAMSEGURIDAD.COM -a 00:26:44:B1:DF:65 -h

A0-F3-C1-23-5D-43 mon0
siendo -1 el tipo de ataque –fakeauth –e el essid –a la MaC del AP –h

nuestra propia MAC y mon0 la interfaz con la cual se atacará
Podemos ver en la salida de pantalla que la asociación fue exitosa

En la pantalla que teníamos corriendo de airodump-ng podemos ver
nuestra MAC como conectada al AP en la columna STATION.
Si en algún caso el ataque no tiene éxito puede haber una restricción

de direcciones MAC en el AP. En éste caso se sniffea primero el AP, se
observa que cliente tiene conectados y se hace spoofing de la
dirección MAC de uno de los clientes para lograr una conexión
exitosa.
ACCESS POINT FALSO – ROGUE ACCESS POINT
Un access point falso o ROGUE AP es un access point no autorizado

conectado a la red autorizada.
Típicamente, este punto de acceso se puede utilizar como una puerta
trasera (backdoor) por un atacante, lo cual le permitirá eludir todos los
controles de seguridad de la red
Esto significaría que el cortafuegos, los sistemas de prevención de

intrusos, y así sucesivamente, que custodian la frontera de una red no
podrían hacer mucho para impedir que el atacante acceda a la red.
En el caso más común, un access point falso se configurará con modo

de autenticación abierta y sin cifrado. El Access point falso se puede
crear de dos formas:
1. Instalación de un dispositivo físico real en la red autorizada como

access point falso.Ésta forma más que tratarse de seguridad
inalámbrica, tiene que ver con la violación de la seguridad física de las
instalaciones donde se encuentra la red autorizada.
CREACIÓN DEL ACCESS POINT

FALSO MEDIANTE SOFTWARE
Siga estas instrucciones para
comenzar:
Antes de iniciar Cualquier
ataque
Se verifica mediante el
comando ifconfig -a las
interfaces de red detectadas
por el sistema, wlan0 será la
interna del portátil y wlan1 la
USB que tenemos para
inyectar, en éste caso es
wlan5.
Se verifica si está encendida o apagada con el comando iwconfig

wlan5
En caso de estar apagada se digita iwconfig wlan5 txpower auto y

luego verificamos nuevamente que haya encendido con con iwconfig
wlan5 , ahora el campo de txpower es igual a 20 que es la potencia de
la señal del ainterfaz inalámbrica.
Se pone la tarjeta en modo monitor con el comando: airmon-ng start

wlan5 allí vemos que se activa como una nueva interfaz del sistema
mon0
Lo podemos verificar también con ifconfig -a:
Ahora vamos a cambiar la mac de la tarjeta de red antes de realizar

cualquier ataque, esto con el fin de evitar dejar cualquier rastro de
nuestra MAC real, para hacerlo digitamos lo siguiente:
ifconfig mon0 down para desactivar la interfaz creada mon0
Digitamos el comando macchanger -m 00:11:22:33:44:55 mon0

, con esto se cambia la mac real por una falsa
Se activa nuevamente la interfaz con ifconfig mon0 up
Ya estamos listos para realizar los diversos tipos de ataques:
1. Primero vamos a configurar nuestro Access point falso usando

airbase-ng y darle el ESSID Rogue:
airbase-ng --essid internetGratis -c 11 mon0
Se activa nuevamente la interfaz con ifconfig mon0 up
Si conectamos algún cliente inalámbrico al rogue AP aparecerá en

pantalla de ésta manera y mostrando la palabra unencrypted ya que
actualmente el software airbase-ng no soporta cifrado.
Se activa nuevamente la interfaz con ifconfig mon0 up.

Si conectamos algún cliente inalámbrico al rogue AP aparecerá en
pantalla de ésta manera y mostrando la palabra unencrypted ya que
actualmente el software airbase-ng no soporta cifrado.
Práctica adicional al procedimiento anterior, para esto se requiere que

la interfaz ethernet esté conectada a un access point controlado por el
atacante.
LABORATORIO ADICIONAL REQUIERE AP FISICO CONECTADO A ETH0

2. Ahora queremos crear un puente entre la interfaz Ethernet que
hace parte de la
red autorizada y nuestra interfaz de Access point falso. Para ello, en
primer lugar
crearemos una interfaz de puente y la nombraremos de W ifi-Bridge:
brctl addbr Wifi-Bridge
3. A continuación, se añade tanto la interfaz Ethernet y la interfaz

virtual at0 creada por
airbase-ng a este puente:
brctl addif Wifi-Bridge eth0
brctl addif Wifi-Bridge at0
4. Luego activaremos éstas interfaces para subir el puente:

ifconfig eth0 0.0.0.0 up
ifconfig at0 0.0.0.0 up
5. Ahora habilitaremos el redireccionamiento IP en el kernel para

asegurar que los paquetes están siendo redireccionados:
echo 1 > /proc/sys/net/ipv4/ip_forward
6. le proporcionamos una ip al puente que creamos y los activamos

ifconfig Wifi-Bridge 192.168.1.53 up
7. Ahora cualquier cliente inalámbrico que se conecte a nuestro

Access point falso tendrá acceso completo a la red autorizada
usando el "Wifi-Bridge" puente inalámbrico- a-cable que acabamos
de construir. Podemos comprobar esto conectando un cliente al
Access point falso.
En pantalla vemos que se ha conectado un cliente y podemos

visualizar su MAC
Una vez conectado, si está

usando Windows 7, la pantalla
podría ser como la siguiente:
7. Nos daremos cuenta de que recibe una dirección IP desde el

demonio DHCP que corre en la LAN autorizada:
8. Ahora podemos acceder a cualquier host de la red cableada desde

éste cliente inalámbrico mediante este Access point falso. A
continuación podemos hacer ping a la puerta de enlace de la red
cableada:
¿Qué logramos?
Hemos creado un punto de acceso falso y lo hemos usado para
puentear todo el tráfico de la LAN autorizada de través de la red
inalámbrica. Como se puede ver, se trata de una amenaza muy seria a
la seguridad por que cualquiera puede ingresar a la red cableada
usando éste puente.

CODSP Training Pentesting Inalambricas Clase 1

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

CODSP Training Pentesting Inalambricas Clase 1

Încărcat de

Drepturi de autor:

Formate disponibile

“Curso Hacking Ético y Defensa en Profundidad”

Entrenamiento para preparar y presentar la certificación

Hacking Ético “Módulos

DOCENTE: Steven Zuluaga

 Comandos para configurar y manipular la tarjeta de red

Clase 2: Vulnerabilidades y ataques a redes inalámbricas y

Ataques y vulnerabilidades en redes inalámbricas:

 Continuacion de los ataques vistos en la clase # 1

Hardening en redes inalámbricas, como protegernos de los ataques:

 Siempre cambiar configuraciones por defecto del AP

HERRAMIENTAS USADAS POR EL DOCENTE:

Un Access point: Cualquiera que soporte cifrado WEP/WPA/WPA2 éste

Un dispositivo inalámbrico cliente: Un celular o un portátil el hará las

Algunos comandos usados

Descripción: Este comando nos sirve para conocer y configurar una

iwconfig <interface> channel <canal>

iwconfig <interface> essid <essid> key <miclave>

iwconfig <interface> freq <valorGhz>

iwconfig <interface> rate <valorvelocidad>

Modos de Operación de una Interfaz de Red Inalámbrica

mode monitor: iwconfig ath0 mode monitor

El modo monitor es de suma importancia ya que es por medio de este,

mode managed: iwconfig ath0 mode managed

mode ad-hoc: iwconfig ath0 mode ad-hoc

Aircrack-NG es un conjunto de herramientas para auditar la seguridad

Airodump Aireplay Aircrack Airdecap Airbase Airmon

Nos centraremos en 4 herramientas de esta suite que son : Airmon,

Activando modo Monitor – Airmon-ng

Esta herramienta sirve para habilitar el modo monitor de nuestra

Sintaxis : Airmon-ng start <interface>

Para desactivar el modo monitor usamos :

Con esta herramienta

Para guardar los paquetes sniffeados se usan las siguiente opciones

Captura de Tráfico con wireshark

Como operan las redes inalámbricas

Dicho SSID se configura en el Access point como nombre de red y

MAC: En las redes de computadoras, la dirección MAC (siglas en inglés

En este caso, deberá saberse la MAC de los dispositivos para añadirlos

MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la

Ejemplo de una dirección MAC: B8-70-F4-12-5B-C6

Paquetes Ethernet(Cableados) comparados con 802.11(Inalámbricos)

Aunque la dirección MAC de una interfaz es única y se asigna a cada

ACCESS POINT: Un punto de acceso inalámbrico (WAP o AP por sus

Al fortalecer la interoperabilidad entre los servidores y los puntos de

Son los encargados de crear la red, están siempre a la espera de

Un único punto de acceso puede soportar un pequeño grupo de

ANTENA: Una antena es un dispositivo (conductor metálico) diseñado

Ejemplo: antenas direccionales, antenas omnidireccionales

Las características de las antenas dependen de la relación entre sus

Cada rango de frecuencias fue subdividido, a su vez, en multitud de

Parece lógico pensar entonces que, si nuestra conexión Wi-Fi no va

FRECUENCIA: Según el rango de frecuencias utilizado para transmitir,

Microondas terrestres: se utilizan antenas parabólicas con un

Microondas por satélite: se hacen enlaces entre dos o más estaciones

Las fronteras frecuenciales de las microondas, tanto terrestres como

Infrarrojos: se enlazan transmisores y receptores que modulan la luz

FRAMES: Los marcos (frames) WLAN

Comparación de la estructura de cabecera de un marco 802.3

El campo "Frame Control" en sí tiene una estructura más compleja:

El campo type define el tipo de marco WLAN, que tiene tres

2. Marcos de control: las tramas de control son responsables de

Request to Send (RTS) - Solicitud de envío

3. Marcos de datos: Las tramas de datos transportan los datos reales

BEACONS: marco beacon es uno de los marcos de administración en