UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

Electrónica y Telecomunicaciones.
PRISCILA MALDONADO M,
COMUNICACIONES INALÁMBRICAS.

RESUMEN

El presente trabajo muestra la manera en la que se puede obtener la clave WEP y WPA
establecida en una red inalámbrica, con fines de aprendizaje, y determinación de
vulnerabilidades de este tipo de redes.

Consiste en capturar los datos que se están emitiendo por una red inalámbrica
mediante el software OS GNU/Linux BackTrack, mientras se realiza la captura de los
datos, se hace uso de otras herramientas del software para detectar los clientes
asociados al Access Point, desautentificarlos para que realicen una petición de
conexión, y a la vez clonar la MAC address del cliente detectado, o fijar una MAC
address falsa, para la recepción de paquetes, burlando al Access Point, para que asuma
que un cliente autentificado se intenta conectar, mientras se está realizando la
petición de conexión, el software permite inyectar paquetes de datos falsos para
acelerar el procedimiento de captura de IVs(Vectores de Inicialización), lo que permite
que la recepción de los paquetes enviados por el Access Point , donde se encuentra la
clave WEP encriptada se realice con mayor velocidad. Por último se ejecuta el
programa para la des-encriptación que dependiendo de los paquetes capturados nos
devolverá la clave de la red que intentamos hackear.

INTRODUCCION.

En este manual se explicará como crackear claves wep, wpa y wpa2, para ello se
utilizará backtrack 4 y la suite aircrack (la suite aircrack ya viene incorporada en
backtrack).

CONCEPTOS NECESARIOS

Modo Monitor (Modo Promiscuo)

Consiste en acceder a todo el tráfico que circula por la red, para lo cual podríamos
averiguar los parámetros necesarios para conectarnos a la red inalámbrica deseada.
Esto es poner la tarjeta en modo promiscuo, hacer y forzar que la tarjeta reciba todo el
tráfico aunque no vaya dirigido a ella.

BSSID (Basic Service Set Identifier)

Es una identidad de 48 bits utilizado para identificar un determinado BSS (Basic Service
Set) dentro de un espacio. En la infraestructura de redes SRS, el BSSID es la dirección
MAC (Medium Access Control) del Access Point.

IVs (Vector de Inicialización)

La clave WEP, la cual suele constar de un total de 64 o 128 bits. Un número
semialeatorio de 24 bits llamado IV, es parte de la clave, por lo que una clave de 64
bits tiene en realidad sólo 40 bits útiles, mientras que una de 128 bits contendrá 104.
Los IVs se encuentran en la cabecera de la trama.

Paquetes ARP (Address Resolution Protocol)

Son transmitidos a intervalos regulares tanto en redes alámbricas como inalámbricas, y
son fáciles de interceptar. Airplay escanea automáticamente un archivo .cap
capturado, extrae el presunto fragmento ARP, introduciéndolo de nuevo en la red.

WEP CRACK

Lo primero que tenemos que hacer es cambiar nuestra MAC esto se lo realiza
mediante

macchanger –M (mac) wlan0

Luego se procede a ver las características de la tarjeta de red. En nuestro caso wlan0,
con el comando
iwconfig wlan0

Se levanta la tarjeta mediante el comando.

ifconfig wlan0 up

Se escanea las redes y se verifica cuales tiene seguridad y qué tipo de seguridad tienen
para ello se requiere del comando
iwlist wlan0 scan
O bien podemos hacerlo utilizando airodump-ng, en la Shell se escribe el siguiente
comando:

airodump-ng wlan0

Se procede a realizar una autentificación falsa, creando el siguiente archivo, que lo

llamaremos wpa.conf, con el editor de consola vim, o bien se lo crea a partir de de
cualquier editor gráfico.
Luego de abierto el archivo se lo edita tanto con el SSID como en el BSSID.

Lo que tenemos que hacer es poner la tarjeta wireless en modo monitor, esto sirve
para poder sniffar los paquetes de la red wireless a la que tenemos pensado acceder, si
no se sabe el nombre de la interfaz se debe realizar primero ifconfig, este comando nos
servirá para poder saber cuáles son las interfaces que tenemos activas.
Para activar el modo monitor, para ello usaremos airmon-ng, abrimos una Shell y
escribimos el siguiente comando:
airmon-ng stop <interfaz>
Donde <interfaz> es el nombre de la interfaz de nuestra tarjeta wireless, el flag stop
sirve para “desactivar” la interfaz, para que posteriormente podamos ponerla en modo
monitor.

Ahora usaremos el siguiente comando para poner la tarjeta en modo monitor:

airmon-ng start <interfaz>
Donde <interfaz> es el nombre de la interfaz de nuestra tarjeta wireless, el flag start
sirve para poner la tarjeta en modo monitor.

Al utilizar el comando, airodump-ng wlan0, nos servirá para sacar los datos que
usaremos para a entrar en la red.

De esta Shell sacamos:

Mac: BSSID: 00:0C:42:26:EF:4F
Canal: CH: 1
NOMBRE: ESSID: NODO3

Ahora vamos a capturar los paquetes de la red que nos interesa, para ello usaremos
airodump-ng otra vez abrimos una Shell y escribimos el siguiente comando:

airodump-ng -c 6 --bssid 00:0C:42:26:EF:4F -w nodo3 mon0

Dentro de los flags usados:

-c es el canal de la red wireless, en este caso es el 1
--bssid es la dirección MAC del punto de acceso al que le queremos crackear la
clave en mi caso 00:0C:42:26:EF:4F (esto simplemente es un filtro para
capturar únicamente los paquetes de la dirección MAC indicada)
-w es el archivo donde se guardaran los paquetes que intercepta airodump-
ng.
mon0 es la interfaz de nuestra tarjeta

Ahora haremos una falsa autentificación, esto sirve para que el AP no rechace los
paquetes que inyectaremos posteriormente o sea para que el AP acepte nuestros
paquetes deberemos estar asociados a él, en caso de que conociésemos una dirección
MAC que esté asociada al AP pues podríamos usarla para inyectar paquetes, pero en
este caso no conocemos ninguna, así que usaremos la falsa autentificación.

wpa_suplicant –Dwext –iwlan0 –c/home/priscila/wpa.conf

Ya tenemos una dirección MAC asociada con el AP, ya podemos inyectar paquetes, lo
que haremos a continuación será utilizar aireplay-ng para capturar peticiones ARP y
volver a inyectarlas a la red, con esto generaremos paquetes que nos servirán para
poder hackear. En una Shell escribimos lo siguiente:

aireplay-ng -3 -b 00:0C:42:26:EF:4F -h 00:11:22:33:44:55 mon0

-3 este es el flag que usa aireplay para capturar y reenviar las peticiones ARP
-a es el BSSID del AP, la dirección MAC del punto de acceso
-h la dirección MAC que hemos asociado antes, o en caso de que sepamos alguna
que ya está asociada pues podemos usarla mon0 es la interfaz de nuestra
tarjeta.

Se puede ver que está inyectando los paquetes ya que el valor de la DATA ha
aumentado.
Como podemos observar tenemos suficientes paquetes ARP. Vamos a crackear la clave
WEP, para ello usaremos aircrack-ng abrimos una nueva Shell y escribimos el siguiente
comando:
aircrack-ng -z *.cap

-z es el flag que usa aircrack para activar un tipo de crackeo rápido.

*.cap la ruta donde tengamos el archivo de captura de airodump, en mi caso
el archivo esta en el directorio de mi usuario así que no hace falta que
ponga ruta, simplemente con *.cap para que abra todos los archivos con
extensión .cap

Tras esperar 33 segundos se obtiene la clave

La clave WEP
[10:20:70:50:30]
Tras seguir el mismo procedimiento para el nodo 1 se obtuvo en 1 minuto y 20
segundos

La clave WEP

[20:10:20:10:20]
WAP CRACK

Lo primero que tenemos que hacer es cambiar nuestra MAC esto se lo realiza
mediante

macchanger –M (mac) wlan0

Luego se procede a ver las características de la tarjeta de red. En nuestro caso wlan0,
con el comando
iwconfig wlan0

Se levanta la tarjeta mediante el comando.

ifconfig wlan0 up

Se escanea las redes y se verifica cuales tiene seguridad y qué tipo de seguridad tienen
para ello se requiere del comando
iwlist wlan0 scan
Ahora vamos a capturar los paquetes de la red que nos interesa, para ello usaremos
airodump-ng otra vez abrimos una Shell y escribimos el siguiente comando:

airodump-ng -c 6 --bssid 00:1B:D5:C8:F4:C0 -w UPSI mon0

El siguiente paso para hackear una red con seguridad WPA, es utilizar un diccionario el
cual se lo puede obtener a través de Internet, el diccionario que se consiguió se
denomina all.gz,
Como se encuentra este diccionario comprimido, se utiliza el siguiente comando el
cual nos permitirá crear un archivo para que lo lea el aircrack.

Como podemos observar en el escritorio se ha generado un archivo cuyo nombre es

dic.

Ya que tenemos el diccionario incorporado ahora procedemos a utilizar el aircrack.

aircrack-ng -w dic *.cap

-w es la ruta del diccionario que usaremos para crackear, en mi caso tengo el

diccionario en el directorio de mi usuario así que ya no me hace falta poner la
ruta, con el nombre basta.
*.cap la ruta donde tengamos el archivo de captura de airodump, en mi caso el
archivo esta en el directorio de mi usuario así que no hace falta que ponga
ruta, simplemente he puesto *.cap para que abra todos los archivos con
extensión .cap.

Si el airodump-ng no capturó el handshake se mostrara un mensaje diciendo que no se

ha capturado ningún handshake. Y debemos seguir capturando paquetes hasta
obtener un handshake.

Si el airodump-ng capturó el handshake empezará el hackeo.

Luego escogemos la opción 1 ya que como observamos tenemos las capturas de
paquetes de tres redes en el mismo directorio por lo cual debemos especificar. Luego
de algún tiempo, el mismo que dependerá del tamaño del diccionario y del lugar
propio donde se encuentre la clave dentro del mismo.

Una vez obtenida la clave de la red podemos ya ingresar.

Obteniendo Información de la Red

Se hará uso de la herramienta NMAP la cual es un escaneador muy poderoso

disponible para UNIX y Windows. Permite hacer rastreo de puertos y evaluar la
seguridad, así como para descubrir servicios presentes en la red informática.
Con el siguiente comando se puede obtener las direcciones IP de las máquinas que
están actualmente conectadas a la red, así como sus direcciones MAC y su tipo de
tarjeta de red, como se aprecia en la imagen hay 17 host conectados a la red.

Como se puede ver, al seleccionar una IP al azar y al hacerle un PING podemos ver que
este host responde a nuestras peticiones.

Con esta herramienta se podría seleccionar un objetivo si se deseara realizar un ataque

de intrusión o explotación de vulnerabilidades en algún host terminal.
Una prueba de ello sería el ping de la muerte que en estos tiempos ya es poco efectivo
pero es un buen ejemplo de cómo se realizaría, con un script bash con lo siguiente.

Con ello se podría obtener una denegación de servicios del equipo atacado el cual se lo
reconoce por la IP que se encuentra dentro del script.

Otra herramienta que se utilizó es Nessus, esta nos permite escanear la red y ver que
vulnerabilidades tiene cada uno de los host dentro de esta.

Primero debemos realizar una conexión al servidor de Nessus en nuestra maquina

local para ver los resultados del escaneo de la red.
Aquí se presenta el escaneo de la red.

Finalmente se presenta una lista de los resultados, aquí se puede ver las
vulnerabilidades de cada uno de los Host.
CONCLUSIONES

De acuerdo a las pruebas realizadas podemos concluir que con este

procedimiento fue relativamente fácil vulnerar el cifrado WEP de una red
inalámbrica, ya que para descifrar este tipo de claves no es necesario capturar
grandes cantidades de IVs(vectores de inicialización), quedando demostrado
que si en una red inalámbrica se tiene este tipo de seguridad no se puede
garantizar que esté totalmente protegida.

En definitiva la encriptación WEP es fácilmente vulnerable, por lo que se

recomienda utilizar otro tipo de encriptación ya que de no ser así las redes
inalámbricas pueden ser violadas teniendo conocimiento de redes y las
herramientas indicadas.

Es recomendable que en una red que presente seguridad tipo WEP o WPA se
encuentre tráfico ya que mediante la captura de los respectivos paquetes
podemos descifrar la clave.

Si bien es cierto la seguridad tipo WPA es mejor que la seguridad tipo WEP ya
que toma en cuenta muchos más parámetros.

Si bien es cierto los equipos actuales soportan encriptación WPA y WPA/2, que
son un tipo de encriptación dinámica y mucho más seguras que WEP. Existe la
posibilidad de hackear redes que tengan este tipo de seguridad aunque se
requiere mayor tiempo debido a que se requiere la captura de un mayor
número de paquetes.

En la seguridad tipo WPA a diferencia de la WEP se necesita la utilización de un

diccionario, el mismo que nos servirá para comparar la clave de la red
contenida en los paquetes y así poder obtener la clave, es decir al contar con el
diccionario podemos hackear la red de manera más rápida que sin contar con la
ayuda del mismo
PALABRAS CLAVES

Aircrack-ng

Aircrack-ng es un programa crackeador de claves WEP y WPA/WPA2-PSK. Aircrack-ng

puede recuperar la clave WEP una vez que se han capturado suficientes paquetes
encriptados con airodump-ng. Este programa de la suite aircrack-ng lleva a cabo varios
tipos de ataques para descubrir la clave WEP con pequeñas cantidades de paquetes
capturados, combinando ataques estadísticos con ataques de fuerza bruta. Para
crackear claves WPA/WPA2-PSK, es necesario usar un diccionario.

Airmon-ng

Este script puede usarse para activar el modo monitor de las tarjetas wireless. También
puede usarse para parar las interfaces y salir del modo monitor. Si escribimos el
comando airmon-ng sin parámetros veremos el estado de nuestras tarjetas. Para
confirmar que la tarjeta está en modo monitor, se debe escribir “iwconfig”. De este
modo se verá el nombre de la interface y si está activado el modo “monitor”.

Airodump-ng

Airodump-ng se usa para capturar paquetes wireless y es útil para ir acumulando

vectores de inicialización (IVs) con el fin de intentar usarlos con aircrack-ng y obtener
la clave WEP.

Aireplay-ng

Aireplay-ng se usa para inyectar paquetes. Su función principal es generar tráfico para
usarlo más tarde con aircrack-ng y poder crackear claves WEP y WPA. Hay varios
ataques diferentes que se pueden utilizar para hacer desautenticaciones con el
objetivo de capturar un handshake WPA, para realizar una falsa autenticación, un
reenvío interactivo de un paquete, o una reinyección automática de un ARP-request.