02 junio 2012

Cheat Sheet auditoría Wireless

Muy buenas lectores/as de Security by default!

Este artículo es para presentar un cheat sheet que he realizado recopilando las opciones más usadas en un auditoría wireless. En esta primera versión  de documento se detallan dos tipos de ataques, además de los usos de algunas de las herramientas usadas en la suite aircrack-ng.

Cuando nos enfrentamos a una auditoría wireless, hay varios aspectos a tener cuenta, por ejemplo, tipo de cifrado que auditaremos, el tipo de hardware que emplearemos (chipset, antenas).
Una vez que tenemos el hardware necesario, comenzamos

Identificando el tipo de cifrado

En una auditoría nos podemos encontrar distintos tipos de cifrado a atacar, los cifrados son, WEP, WPA, WPA2, además de configuraciones como Radius.
La suite aircrack-ng es usada para auditar este tipo de infraestructuras, entre sus herramientas se encuentra airodump-ng que nos ayudará a identificar el tipo de cifrado que emiten los puntos de acceso. Pero antes necesitaremos poner la antena en modo monitor, para poder capturar los paquetes, para ello usaremos airmon-ng. Además nos sirve para recoger los paquetes que emite, de manera que los podremos usar para obtener la clave más tarde

Atacando al punto de acceso

En el segundo paso, después de tener localizado el punto de acceso a auditar, abarcaremos dos tipos de escenario, que son los que tenemos representados en el cheat sheet: ataque a redes con cifrado WEP y WPA/WPA2.

En las redes con cifrado WEP, los pasos a seguir dependen del ataque usado. En el caso de usar el típico ataque por inyección:
  • Realizamos la autenticación fake contra el punto de acceso objetivo, con aireplay-ng
  • Lanzamos el ataque de inyección contra el punto de acceso, también usando la misma herramienta que en el punto anterior.
Obtenemos la clave con aircrack-ng
Otro de los ataques disponibles es el ataque Chop Chop. Este ataque tiene como objetivo construir  un paquete ARP válido para la red objetivo a auditar. Los pasos consisten en:
  • Realizamos la autenticación falsa contra el punto de acceso con aireplay-ng
  • Lanzamos ataque Chop Chop, recogemos una cantidad suficiente de paquete para, que podamos extraer la IP usada en la red con tcpdump y con packetforge-ng crear el paquete ARP válido.
  • Inyectar con aireplay-ng el paquete ARP creado.
  • Usar aircrack-ng para obtener la clave de cifrado
En el caso de las redes con cifrado WPA y WPA2, el proceso es distinto. Ya no tenemos que obtener multitud de paquetes para extraer la clave usada si no, que, necesitaremos obtener el handshake y por fuerza bruta obtener la clave de cifrado usada.
Para WPA y WPA2, abordaremos uno de los ataques:
  • Capturaremos los paquetes de la red con airodump-ng.
  • Lanzaremos un paquete con aireplay-ng para que un cliente se desconecte.
  • Una vez capturado el handshake, que es capturado cuando el cliente se vuelve a conectar usamos aircrack-ng y un diccionario para realizar un ataque por fuerza bruta.
Obteniendo la clave de cifrado

Una vez que, en el caso de las redes de cifrado WEP, tengamos multitud de paquetes y, en el caso de las redes WPA y WPA2, tengamos el handshake, se podrá obtener la clave de cifrado usada.
Para el caso de las redes con cifrado WEP, se puede lanzar aircrack-ng directamente sobre el paquete generado por airodump-ng, si tenemos la cantidad necesaria, acabaremos extrayendo la clave.
Para las redes WPA y WPA2, una vez que hemos obtenido el handshake, usaremos un diccionario y será cuestión de que la clave usada se encuentre en ese diccionario. También se pueden usar herramientas como John the Ripper para ir probando de extraer la clave.

Como comentaba al inicio de este artículo, he reunido en el cheat sheet las opciones usadas en una auditoría wireless.

El cheat sheet se irá actualizando trayendo diversos escenarios wireless auditar y otras utilidades.




Contribución por Marc Rivero López

4 comments :

Aetsu dijo...

Bastante completo, lleva todo lo basico.
Tambien podrias añadir el ataque de desasociacion para wpa y los ataques a wps con reaver.

Guest dijo...

Buen artículo. Me ha gustado.

Carlosgomes dijo...

Muy bueno y util

Jesús cea dijo...

Te has olvidado de los ataque WPS contra redes WPA/WPA2.