Seguridad en redes Wi-Fi, un punto de vista pŕactico Pablo Garaizar Sagarminaga [email_address]

Soluciones de seguridad WiFi Soluciones “antiguas”: Ocultar ESSID. Filtros por IP o por MAC. Cifrado, WEP: 64/128/256/512 bit. Autenticación, Shared Key Authentication: Misma clave que WEP.

Soluciones “antiguas”:

Ocultar ESSID.

Filtros por IP o por MAC.

Cifrado, WEP:

64/128/256/512 bit.

Autenticación, Shared Key Authentication:

Misma clave que WEP.

Soluciones de seguridad WiFi Soluciones “actuales”: Portales cautivos. WPA: WPA Personal: Pre-Shared Key. WPA Entreprise: WPA + RADIUS (802.1x) =~ 802.11i.

Soluciones “actuales”:

Portales cautivos.

WPA:

WPA Personal: Pre-Shared Key.

WPA Entreprise: WPA + RADIUS (802.1x) =~ 802.11i.

Ataques WiFi Descubrimiento del ESSID oculto. Suplantación de IP y MAC. Cracking WEP. Túneles en portales cautivos. Cracking WPA-PSK.

Descubrimiento del ESSID oculto.

Suplantación de IP y MAC.

Cracking WEP.

Túneles en portales cautivos.

Cracking WPA-PSK.

Descubrir ESSID Cliente conectando a una red WiFi: Beacon frames: descubrimiento pasivo. PROBE REQUEST / PROBE RESPONSE: descubrimiento activo.

Cliente conectando a una red WiFi:

Beacon frames: descubrimiento pasivo.

PROBE REQUEST / PROBE RESPONSE: descubrimiento activo.

Descubrir ESSID Si capturamos un PROBE REQUEST, sabremos el ESSID: Solamente se dan al conectar. Podemos desconectar a los clientes y ver si alguno reconecta :-) kickmac a la MAC del cliente. Ataque de desasociación con aireplay.

Si capturamos un PROBE REQUEST, sabremos el ESSID:

Solamente se dan al conectar.

Podemos desconectar a los clientes y ver si alguno reconecta :-)

kickmac a la MAC del cliente.

Ataque de desasociación con aireplay.

Filtros IP y MAC Ver la lista blanca de IPs y MACs es trivial si no hay cifrado: kismet. Si hay cifrado, ver cracking WEP/WPA. Cambiar la IP: ifconfig ath0 192.168.0.12 Cambiar la MAC: ifconfig ath0 hw ether 00:11:22:33:44:55 macchanger --mac 00:11:22:33:44:55 ath0

Ver la lista blanca de IPs y MACs es trivial si no hay cifrado: kismet.

Si hay cifrado, ver cracking WEP/WPA.

Cambiar la IP:

ifconfig ath0 192.168.0.12

Cambiar la MAC:

ifconfig ath0 hw ether 00:11:22:33:44:55

macchanger --mac 00:11:22:33:44:55 ath0

Cifrado WEP Encriptación basada en RC4. Utiliza claves de 64, 128 y 256 bits (en realidad 40, 104 o 232 bits: IV = 24 bits). La clave se puede generar a partir de una passphrase o ser introducida directamente por el usuario. La clave debe ser conocida por todos los clientes (secreto compartido).

Encriptación basada en RC4.

Utiliza claves de 64, 128 y 256 bits (en realidad 40, 104 o 232 bits: IV = 24 bits).

La clave se puede generar a partir de una passphrase o ser introducida directamente por el usuario.

La clave debe ser conocida por todos los clientes (secreto compartido).

Cifrado WEP CLAVE WEP 40,104,248 bits (IV) Vect. Inicialización 54 32 231 24 90 9 172 112 221 43 16 142 207 24 82 184 200 (...) 13 170 170 0 0 54 81 112 7 0 0 21 232 76 0 0 14 7 (...) 6 156 138 231 24 108 88 160 119 221 43 5 153 131 24 82 182 (...) 207 11 CLAVE RC4 State Array Key Stream IV WEP Packet Orig Packet 1 2 XOR ICV 0 1 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 (...) 255 2 54 32 231 24 90 9 172 112 221 43 16 142 207 24 82 184 200 1 (...) 143 13

Cracking WEP Múltiples escenarios: Red con mucho tráfico [1]. Red con poco tráfico [2]: reinyectar tráfico. goto [1]. Red sin tráfico [3]: autenticación falsa. goto [2].

Múltiples escenarios:

Red con mucho tráfico [1].

Red con poco tráfico [2]:

reinyectar tráfico.

goto [1].

Red sin tráfico [3]:

autenticación falsa.

goto [2].

Cracking WEP Red con mucho tráfico [1]: Identificar red (canal, BSSID, ESSID). Poner tarjeta en modo monitor. Capturar tráfico (> 150.000 Ivs). Romper cifrado: Ataques estadísticos. Ataques fuerza bruta / diccionario. ¿Cómo? kismet + airodump + aircrack.

Red con mucho tráfico [1]:

Identificar red (canal, BSSID, ESSID).

Poner tarjeta en modo monitor.

Capturar tráfico (> 150.000 Ivs).

Romper cifrado:

Ataques estadísticos.

Ataques fuerza bruta / diccionario.

¿Cómo?

kismet + airodump + aircrack.

Cracking WEP Red con poco tráfico [2]: Reinyectar tráfico: Capturar un paquete reinyectable, típicamente una petición ARP: Tamaño fijo (68 bytes). ToDS = 1. Probar a reinyectarlo muchas veces: ¿Cómo? airodump + aireplay.

Red con poco tráfico [2]:

Reinyectar tráfico:

Capturar un paquete reinyectable, típicamente una petición ARP:

Tamaño fijo (68 bytes).

ToDS = 1.

Probar a reinyectarlo muchas veces:

¿Cómo?

airodump + aireplay.

Cracking WEP Red sin tráfico [3]: Autenticación falsa: Hacer creer al AP que tiene un cliente conectado, a pesar de no ser cierto. El AP enviará tráfico al cliente falso. En ese tráfico puede haber tramas reinyectables. ¿Cómo? aireplay.

Red sin tráfico [3]:

Autenticación falsa:

Hacer creer al AP que tiene un cliente conectado, a pesar de no ser cierto.

El AP enviará tráfico al cliente falso.

En ese tráfico puede haber tramas reinyectables.

¿Cómo?

aireplay.

Cracking WEP Otros ataques WEP: chopchop: Conseguir generar el keystream para un IV dado. Reinyectar tráfico generado así. http://www.aircrack-ng.org/doku.php?id=chopchoptheory Ataque de fragmentación WEP: Averiguar el PRGA. Forzar a que WEP tenga que fragmentar los paquetes: paquetes cifrados con IVs diferentes: más material para el cracking estadístico.

Otros ataques WEP:

chopchop:

Conseguir generar el keystream para un IV dado.

Reinyectar tráfico generado así.

http://www.aircrack-ng.org/doku.php?id=chopchoptheory

Ataque de fragmentación WEP:

Averiguar el PRGA.

Forzar a que WEP tenga que fragmentar los paquetes: paquetes cifrados con IVs diferentes: más material para el cracking estadístico.

Cracking WEP Otros ataques WEP: wlandecrypter: Contraseñas prefijadas de routers WiFi de Imagenio y similares. ESSIDs WLAN_XX. Ataque de Klein contra WEP: ¡Consigue crackear WEP en 60 segundos! Ataque activo: Detectable por IDS. Necesidades de cómputo muy altas (2^20 RC4).

Otros ataques WEP:

wlandecrypter:

Contraseñas prefijadas de routers WiFi de Imagenio y similares.

ESSIDs WLAN_XX.

Ataque de Klein contra WEP:

¡Consigue crackear WEP en 60 segundos!

Ataque activo: Detectable por IDS.

Necesidades de cómputo muy altas (2^20 RC4).

Portales Cautivos Sistema de validación de clientes para nodos wireless. Según el tipo de usuario asigna ancho de banda y da acceso a servicios diferentes. Basado normalmente en “ tokens ” temporales gestionados por HTTP-SSL (443/TCP).

Sistema de validación de clientes para nodos wireless.

Según el tipo de usuario asigna ancho de banda y da acceso a servicios diferentes.

Basado normalmente en “ tokens ” temporales gestionados por HTTP-SSL (443/TCP).

Portales Cautivos Proceso de autenticación:

Proceso de autenticación:

Portales Cautivos Posibilidades de ataque: Comunicación no cifrada (por defecto): sniffing . Spoofing y hi-jacking mientras dura el token temporal. Túneles: DNS: nstx. ICMP: icmptx.

Posibilidades de ataque:

Comunicación no cifrada (por defecto): sniffing .

Spoofing y hi-jacking mientras dura el token temporal.

Túneles:

DNS: nstx.

ICMP: icmptx.

WPA Apareció como solución provisional a la aprobación final de 802.11i (WPA2). También conocido como WEP2. Distribución dinámica de claves: duración limitada (TKIP). IV más robusto: 48 bits, minimizando la reutilización de claves. Técnicas de integridad y autenticación: MIC o Michael

Apareció como solución provisional a la aprobación final de 802.11i (WPA2).

También conocido como WEP2.

Distribución dinámica de claves:

duración limitada (TKIP).

IV más robusto:

48 bits, minimizando la reutilización de claves.

Técnicas de integridad y autenticación:

MIC o Michael

WPA Mejoras en: Cifrado: TKIP: Temporal Key Interchange Protocol: Cifrado de datos. MIC: Integridad de los datos. Autenticación: 802.1X: Control de Acceso por puerto. Solo permite tráfico EAP hasta la autenticación.

Mejoras en:

Cifrado:

TKIP: Temporal Key Interchange Protocol:

Cifrado de datos.

MIC:

Integridad de los datos.

Autenticación:

802.1X:

Control de Acceso por puerto.

Solo permite tráfico EAP hasta la autenticación.

WPA TKIP (Temporal Key Integrity Protocol) Sigue empleando RC4, pero sin compartir la clave entre todos los clientes. Cambio de clave cada 10.000 paquetes aproximadamente. Solamente requiere una actualización de firmware. ¡Solución temporal! Hasta la llegada de 802.11i.

TKIP (Temporal Key Integrity Protocol)

Sigue empleando RC4, pero sin compartir la clave entre todos los clientes.

Cambio de clave cada 10.000 paquetes aproximadamente.

Solamente requiere una actualización de firmware.

¡Solución temporal! Hasta la llegada de 802.11i.

WPA TKIP, Mejoras: Enhanced IV (EIV): Incremento de 32 bits en el IV, dejando un byte (dummybyte) para evitar IVs débiles (48 bits de IV). TKIP Secuence Counter (TSC): El IV como número de secuencia. Si un IV ha sido recibido previamente, se descarta. Evita reply-attacks.

TKIP, Mejoras:

Enhanced IV (EIV):

Incremento de 32 bits en el IV, dejando un byte (dummybyte) para evitar IVs débiles (48 bits de IV).

TKIP Secuence Counter (TSC):

El IV como número de secuencia.

Si un IV ha sido recibido previamente, se descarta.

Evita reply-attacks.

WPA TKIP, Enhanced IV (EIV):

TKIP, Enhanced IV (EIV):

WPA Implementación: Empresas: WPA-Enterprise. Servidor RADIUS. Usuarios Domésticos: WPA-Personal. También conocido como WPA-PSK (Pre-Shared Key): Clave inicial compartida para autenticación (PSK).

Implementación:

Empresas: WPA-Enterprise.

Servidor RADIUS.

Usuarios Domésticos: WPA-Personal.

También conocido como WPA-PSK (Pre-Shared Key): Clave inicial compartida para autenticación (PSK).

WPA Debilidades: El sistema utilizado por WPA para el intercambio de información utilizada para la generación de claves es débil. Claves preestablecidas “inseguras” (WPA-PSK): Sujetas a ataques de diccionario: cowpatty wpa_crack No es necesario captura de gran cantidad de tráfico: solo capturamos el intercambio de claves.

Debilidades:

El sistema utilizado por WPA para el intercambio de información utilizada para la generación de claves es débil.

Claves preestablecidas “inseguras” (WPA-PSK):

Sujetas a ataques de diccionario:

cowpatty

wpa_crack

No es necesario captura de gran cantidad de tráfico: solo capturamos el intercambio de claves.

Cracking WPA-PSK Captura del desafío-respuesta WPA inicial (sonce, nonce). coWPAtty: Cracking en tiempo real: Costoso computacionalmente. Cracking con PMKs pregeneradas: genpmk: Coste computacional reutilizable. Es preciso conocer de antemano el ESSID.

Captura del desafío-respuesta WPA inicial (sonce, nonce).

coWPAtty:

Cracking en tiempo real:

Costoso computacionalmente.

Cracking con PMKs pregeneradas: genpmk:

Coste computacional reutilizable.

Es preciso conocer de antemano el ESSID.

Referencias Presentaciones y trabajos de elhacker.net, Topo[LB], EwS, Irontec, PoF, Dmescal, Tony F. Díaz, Santiago Estepa y Arturo Martínez, Ricardo Galli, Cisco Networks, Lucent, Avaya, Intel. Pablo Garaizar Sagarminaga, 2007, CC by-sa 3.0.

Presentaciones y trabajos de elhacker.net, Topo[LB], EwS, Irontec, PoF, Dmescal, Tony F. Díaz, Santiago Estepa y Arturo Martínez, Ricardo Galli, Cisco Networks, Lucent, Avaya, Intel.

Pablo Garaizar Sagarminaga, 2007, CC by-sa 3.0.