debinfor
Sistema Debian
Auditoría de redes con aircrack-ng
Aircrack-ng es una suite para auditoría de redes inalámbricas.
Una de las mejores suites que se han diseñado tanto para Windows como para Linux, para el análisis, estudio y desencriptación de claves ha sido la suite aircrack.
Pero a finales del año 2005, este proyecto se cerró y ha sido retomado por la suite aircrack-ng.
Aircrack-ng es capaz de decodificar las claves WEP y WPA-PSK una vez que ha capturado un número suficiente de paquetes de la red inalámbrica que use este tipo de codificación de contraseñas.
En el contexto de las redes inalámbricas, resulta muy valioso poder inyectar tramas mientras la tarjeta inalámbrica se encuentra en modo RFMON o modo monitor, ya que podemos lanzar cualquier trama que se nos ocurra al aire y observar sus resultados sin necesidad de estar autentificado en ninguna parte.
Para obtener la clave de una red inalámbrica necesitamos una buena cantidad de datos provenientes del router objetivo, para ello, necesitamos que haya un buen tráfico de datos, lo cual rara vez se da, por lo tanto procederemos nosotros a forzar dicho tráfico, usando el procedimiento de inyección de tramas.
Una vez tengamos estos datos, procederemos a analizarlos y optener la contraseña.
Para poder realizar todo esto, es necesario antes que nada, preparar nuestra máquina y eso va a depender de la tarjeta inalámbrica que tengamos instalada, que para el caso de este documento, va a ser una Intel PRO/Wireless 3945ABG usando el driver libre iwl3945.
Entrando en materia explicaré brevemente como funciona más o menos el procedimiento de descifrado de una clave WEP.
COMENZANDO
Primero hay que escanear las redes posibles a las que da alcance nuestra tarjeta inalámbrica en los diferentes canales. Para esto vamos a usar airodump-ng. (Paso 1)
Segundo, hay que obtener un conjunto de paquetes suficiente para proceder al descifrado de la clave (para una clave de 64 bits 250.000 paquetes aprox., 700.000 para una clave de 128 bits). Para esto usaremos también airodump-ng. (Paso 2)
Tercero, vamos a generar mas tráfico en la red objetivo, inyectanto. Aquí vamos a usar aireplay-ng. (Paso 3)
Cuarto, lanzar un ataque de autentificación falsa para conseguir mas velocidad en la recepción de paquetes. Aquí usaremos también aireplay-ng. (Paso 4)
Quinto, para tratar de ayudarnos aún mas, podemos usar el procedimiento de "desasociación de un cliente" que esté conectado al router objetivo y con esto forzar una nueva conexión para crear paquetes ARP. Aquí usaremos también aireplay-ng. (Paso 5)
Sexto y final, descifrar la clave WEP con los paquetes capturados. Para esto usaremos aircrack-ng. (Paso 6)
Que significan:
| Campo | Descripción |
|---|---|
| BSSID | Dirección MAC del Punto de Acceso. (AP o Access Point) |
| PWR | Nivel de señal reportado por la tarjeta. Su significado depende del controlador, pero conforme se acerca al
Punto de Acceso o a la Estación, la señal aumenta. Si PWR = -1 el controlador no soporta reportar el nivel de la señal. |
| Beacons | Número de paquetes-anuncio enviados por el AP. Cada Punto de Acceso envía unos 10 beacons por segundo a un ritmo (rate) mínimo (1M) por lo que normalmente pueden ser captados desde muy lejos. |
| #Data | Número de paquetes de datos capturados, (si es WEP sólo cuenta IVs), incluyendo paquetes de datos de difusión general. |
| CH | Número del canal, obtenido de los paquetes beacons. Algunas veces se capturan paquetes de datos de otros canales, aúnque no se esté alternando entre canales, debido a las interferencias de radiofrecuencia. |
| MB | Velocidad máxima soportada por el AP. Si MB = 11 entonces se trata de 802.11b. Si MB = 22 entonces es 802.11b+ y velocidades mayores son 802.11g. El punto después de 54 significa que "short preamble" está soportado. |
| ENC | Algoritmo de encriptación en uso. OPN = sin encriptación. WEP? = WEP o superior, no hay suficientes datos para distinguir entre WEP y WPA. WEP = Sin interrogación, indica WEP estática o dinámica y WPA = si TKIP o CCMP están presentes. |
| ESSID | Nombre de la red inalámbrica. También conocida como SSID, puede estar vacía si el ocultamiento de SSID está activo. En este caso, airodump tratará de recuperar el SSID de las respuestas a escaneos y las peticiones de asociación. |
| STATION | Dirección MAC de cada estación asociada al AP. |
Al final, después de tanta explicación...
MANOS A LA OBRA
Los pasos del 1 al 6 los haremos todos en forma secuencial, con una terminal para cada uno, para que queden trabajando todos a la vez.
Casi todas las terminales aceptan pestañas o solapas, así tendremos todo junto en un espacio de trabajo.
1 - Primero vemos que redes tenemos cerca, primera terminal:
# airodump-ng mon0
y lo dejamos funcionando, nos mostrará las redes que tenemos cerca y de donde elegiremos la que vamos a auditar.
2 - Capturamos los paquetes de esta red, segunda terminal:
Aqui nos conviene crear un directorio de trabajo donde tengamos bastante espacio, por ejemplo:
# mkdir /media/Archivo/wifi
# cd /media/Archivo/wifi
# airodump-ng --bssid MAC_AP_VICTIMA -b abg -w Fichero_CAB --channel Canal_wifi_victima Nuestra_interfaz_monitor
# airodump-ng --bssid XX:XX:XX:XX:XX:XX -b abg -w Xxxx_CAB --channel 1 mon0
3 - Ataque ARP.
El clásico ataque de reinyección de petición ARP es el mas efectivo para generar nuevos IVs y funciona de forma muy eficaz. Necesitas o bién la dirección MAC de un cliente asociado o bién la de un cliente falso del ataque (00:11:22:33:44:55). Puede que tengas que esperar un par de minutos o incluso más, hasta que aparezca una petición ARP. Este ataque fallará si no hay tráfico.
# aireplay-ng -3 -b MAC_ACCES_POINT -h NUESTRA_MAC interfaz
# aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h 00:11:22:33:44:55 mon0
4 - Asociación falsa
# aireplay-ng -1 10 -a MAC_AP_VICTIMA -e Nombre_Red_Wifi -h NUESTRA_MAC interfaz
# aireplay-ng -1 10 -a XX:XX:XX:XX:XX:XX -e "essid_victima" -h 00:11:22:33:44:55 mon0
5 - Desasociación de un cliente:
Si hay alguien conectado, podemos desconectarle, para forzar una nueva conexión y asi crear paquetes ARP.
# aireplay-ng -0 10 -a MAC_ACCES_POINT -c MAC_PC_VICTIMA mon0
6 - Cuando tenemos unos 5 o 10 mil paquetes DATA, ya podemos comenzar a probar si se puede crackear la clave WEP.
Este paso se puede hacer y tal vez sea mejor, a continuación del anterior, no es necesario tener una determinada cantidad de paquetes "data" capturados para iniciarlo, ya que si no puede descifrar la clave queda esperando una cantidad de captura mayor y sigue con este plan en forma automática hasta conseguir su objetivo.
# aircrack-ng Fichero_CAB
Los archivos generados por todo este procedimiento, se guardarán en el directorio actual de trabajo.