1

Auditora Wireless:
WiFiSlax 2.0

Tecnologas de Red



Juan Esparza Torregrosa
Andrea Cascant Va
Diana Aparisi Martn
2

Contenido
Introduccin al mundo Wireless ..................................................................................................4
Qu es WLAN y WIFI? .............................................................................................................4
Cules son los estndares IEEE de 802.11? ............................................................................4
Conceptos bsicos ....................................................................................................................4
Punto de acceso (AP/PA): .....................................................................................................4
Clientes WiFi:........................................................................................................................4
SSID (Service Set Identification): ..........................................................................................5
Roaming: ..............................................................................................................................5
Beacon frames:.....................................................................................................................5
Seguridad en redes Wireless (1) ...............................................................................................5
Aspectos fundamentales en redes WiFi ...............................................................................5
WEP (Wired Equivalent Privacy) ...........................................................................................5
WPA (Wireless Protected Access) ........................................................................................6
EAP (Extensible Authentication Protocol) y 802.11i .............................................................6
Auditora Wireless: WiFiSlax 2.0 ...................................................................................................7
Qu es WiFiSlax? ....................................................................................................................7
Entorno, estructura y contenido de WifiSlax ............................................................................7
Soporte para los chipset de las tarjetas Wireless .................................................................7
Herramientas comunes que incorpora WiFiSlax (2) .............................................................8
Herramientas orientadas a la auditora Wireless .................................................................9
Ataques realizados con WiFiSlax 2.0 (3) .....................................................................................10
Cmo entrar a una red inalmbrica protegida con WEP?.....................................................11
1. Identificar y activar el interfaz de red que usaremos en el ataque .................................11
2. Identificar la red que va ser atacada y el canal en el que emite .....................................11
3. Conmutar el interfaz atacante a modo monitor .............................................................12
4. Capturar trfico de paquetes de la red atacada .............................................................13
5. Obtener la clave WEP de la red atacada ........................................................................14
Cmo entrar a una red inalmbrica protegida con WPA/PSK? .............................................16
1. Identificar y activar el interfaz de red que usaremos en el ataque .................................16
2. Identificar la red que va ser atacada y el canal en el que emite .....................................16
3. Conmutar el interfaz atacante a modo monitor .............................................................17
4. Capturar trfico de paquetes de la red atacada .............................................................18
5. Generar el Handshake necesario para realizar el ataque ............................................19
3

6. Obtener la clave WPA/PSK de la red atacada ................................................................20
Ataques sin xito realizados con WiFiSlax 2.0 ............................................................................24
Cmo entrar a una red inalmbrica protegida con WPA2/PSK? ...........................................24
Problemas surgidos: ...........................................................................................................25
Bibliografa .................................................................................................................................27


4

Introduccin al mundo Wireless
Qu es WLAN y WIFI?
Wireless Lan puede definirse como a una red que cubre un entorno geogrfico
limitado, que tiene como medio de transmisin el aire y que tiene una velocidad de
transferencia mayor a 1mbps.
Wi-Fi es un conjunto de estndares para redes inalmbricas basados en las
especificaciones IEEE 802.11. Creado para ser utilizado en redes locales inalmbricas.
Cules son los estndares IEEE de 802.11?
802.11A (5,1-5,2 GHZ, 5,2-5,3 GHZ, 5,7-5,8 GHZ), 54 MBPS. OFDM: MULTIPLEXACIN POR
DIVISIN DE FRECUENCIAS ORTOGONAL
802.11B (2,4-2,485 GHZ), 11 MBPS.
802.11C DEFINE CARACTERSTICAS DE AP COMO BRIDGES.
802.11D MLTIPLES DOMINIOS REGULADORES (RESTRICCIONES DE PASES AL USO DE
DETERMINADAS FRECUENCIAS).
802.11E CALIDAD DE SERVICIO (QOS).
802.11F PROTOCOLO DE CONEXIN ENTRE PUNTOS DE ACCESO (AP), PROTOCOLO IAPP: INTER
ACCESS POINT PROTOCOL.
802.11G (2,4-2,485 GHZ), 36 O 54 MBPS. OFDM: MULTIPLEXACIN POR DIVISIN DE
FRECUENCIAS ORTOGONAL. APROBADO EN 2003 PARA DAR MAYOR VELOCIDAD CON
CIERTO GRADO DE COMPATIBILIDAD A EQUIPAMIENTO 802.11B.
802.11H DFS: DYNAMIC FREQUENCY SELECTION, HABILITA UNA CIERTA COEXISTENCIA CON
HIPERLAN Y REGULA TAMBIN LA POTENCIA DE DIFUSIN.
802.11I SEGURIDAD (APROBADA EN JULIO DE 2004).
802.11J PERMITIRA ARMONIZACIN ENTRE IEEE (802.11), ETSI (HIPERLAN2) Y ARIB
(HISWANA).
802.11M MANTENIMIENTO REDES WIRELESS.
Quizs el tema ms importante a destacar es la posibilidad de expansin de
802.11. El incremento constante de mayores velocidades, hace que los 11 Mbps de
802.11b, estn quedando pequeos. La migracin natural es hacia 802.11g, pues sigue
manteniendo la frecuencia de 2,4GHz, por lo tanto durante cualquier transicin en la
que deban convivir, ambos estndares lo permiten. En cambio si se comienzan a instalar
dispositivos 802.11a, los mismos no permiten ningn tipo de compatibilidad con 802.11b,
pues operan en la banda de 5 GHz.
Conceptos bsicos
Punto de acceso (AP/PA): Se trata de un dispositivo que ejerce bsicamente funciones de
Puente entre una red Ethernet cableada con una red WiFi sin cables.
Clientes WiFi: Equipos porttiles (PDAs, porttiles,..) con tarjetas WiFi (PCMCIA, USB o
MINI-PCI) y equipos sobremesa con tarjetas WiFi (PCI, USB o internas en placa).
5

SSID (Service Set Identification): Este identificador suele emplearse en las redes
Wireless creadas con Infraestructura. Se trata de un conjunto de Servicios que agrupan
todas las conexiones de los clientes en un slo canal.
Roaming: Propiedad de las redes WiFi por la los clientes pueden estar en movimiento a ir
cambiando de punto de acceso de acuerdo a la potencia de la seal.
Beacon frames: Los Puntos de Acceso mandan constantemente anuncios de la red, para
que los clientes mviles puedan detectar su presencia y conectarse a la red wireless. Estos
anuncios son conocidos como beacon frames, si esnifamos las tramas de una red
wireless podremos ver que normalmente el AP manda el ESSID de la red en los beacon
frames, aunque esto se puede deshabilitar por software en la mayora de los AP que se
comercializan actualmente.
Seguridad en redes Wireless (1)
Las redes inalmbricas requieren nuevos conceptos de seguridad que se obvian en
las redes cableadas.
Un intruso que busque acceso a una LAN cableada se enfrenta irremediablemente
con el problema del acceso fsico a la misma. En una WLAN el problema del intrusismo se
vuelve delicado. Es suficiente con permanecer en el rea de cobertura, que puede ser muy
extensa, para estar en contacto con la red local. Puede incluso estar en movimiento.
Esta nueva situacin obliga a la bsqueda de nuevas soluciones para garantizar la
seguridad de los usuarios.
Aspectos fundamentales en redes WiFi
Autenticidad y control de acceso: El usuario es quien dice ser.
Privacidad: La informacin no es legible por terceros.
Integridad: La informacin no puede ser alterada en trnsito.
WEP (Wired Equivalent Privacy)
Las redes Wireless son de por s ms inseguras que las redes con cables, ya que el
medio fsico utilizado para la transmisin de datos son las ondas electromagnticas. Para
proteger los datos que se envan a travs de las WLANs, el estndar 802.11b define el uso
del protocolo WEP, que intenta proveer de la seguridad de una red con cables a una red
Wireless, encriptando los datos que viajan sobre las ondas en las dos capas ms bajas del
modelo OSI (capa fsica y capa de enlace).
El protocolo WEP est basado en el algoritmo de encriptacin RC4, y utiliza claves
de 64bits o de 128bits. En realidad son de 40 y 104 bits, ya que los otros 24 bits van en el
paquete como Vector de Inicializacin (IV). Se utiliza un checksum para prevenir que se
inyecten paquetes spoofeados.
6

WPA (Wireless Protected Access)
Estndar desarrollado por WiFi alliance para ser el sustituto del WEP. Est
incorporado en la definicin 802.11i de IEEE. Ha sido diseado para que sea compatible
con la mayor cantidad de dispositivos Wireless del mercado. Las diferencias con respecto
a WEP son:
Utilizacin de claves dinmicas en vez de estticas.
Distribucin automtica de claves en vez de manual.
Cada usuario tiene su clave en vez de ser compartidas.
EAP (Extensible Authentication Protocol) y 802.11i
Es un protocolo que sirve para adaptar a las redes inalmbricas protocolos ya
establecidos y otros nuevos. Este sistema requiere siempre un Servidor de Autenticacin.
EAP utiliza dos WEP como claves de sesin que las partes implicadas acuerdan
durante la autentificacin y que se cambia con una frecuencia que determina el
administrador del AP.
Un WEP es para el trfico broadcast y otro se establece para cada cliente de
manera que los clientes no pueden escucharse mutuamente.

Ilustracin 1

7

Auditora Wireless: WiFiSlax 2.0
Qu es WiFiSlax?
Wifislax est basado principalmente en SLAX (basado en la distribucin Slackware
Linux). Incorpora reconocimiento de muchas de las tarjetas inalmbricas (wireless) del
mercado cumpliendo as el objetivo final de tener una herramienta de seguridad orientada
al trabajo de la auditoria inalmbrica.
En estos momentos no hay en Internet ninguna live CD que est integrada con los
drivers de las famosa ipw2200, los rt73 de las nuevas tarjeta USB con chipset ralink, y las
nuevas PCI con el chipset rt61. Y no solo se ocupa del simple anlisis pasivo a travs del
modo monitor con cualquier sniffer sino que adems WifiSlax est dotada de los parches
necesarios para la aceleracin de trfico.
En lo que respecta a las aplicaciones, esta distribucin incorpora ciertas
herramientas especficas para la auditoria wireless, y en la medida que ha sido posible, se
han intentado traducido al espaol, como por ejemplo el airoscript. As como una serie de
lanzadores grficos par facilitar el digamos estrs que muchos detractores de Linux
siempre han manifestado, que corresponde al exceso uso del teclado para muchas
herramientas, aunque no olvidar que dichos lanzadores solo aglutinan una nfima parte de
las posibilidades de desarrollo con el trabajo con comandos bsicos.
Entorno, estructura y contenido de WifiSlax
WifiSlax tiene la misma estructura que cualquier distribucin de Linux existente,
con la nica diferencia de poseer una serie de interfaces grficos con correspondencia a
cada uno de los drivers de tarjetas Wireless ms famosos del mercado.
Estos lanzadores grficos son adaptaciones de famosas herramientas de auditora
Wireless, centrndonos en la tecnologa Bluetooth y WiFi.
Soporte para los chipset de las tarjetas Wireless

Drivers
Linux
Pism54
Madwifi-
ng
Wlan-ng
HostAP
Ralink
RT2570
RT2500
RT73
RT61
Zydas
ZD1201
ZD1211
rw
ZD1211b
Intel pro
Wireless
IPW2100
IPW2200
IPW3945
Realtek
RTL8180
RTL8185
RTL8187
8

Herramientas comunes que incorpora WiFiSlax (2)
WiFiSlax incorpora una serie de herramientas comunes que podemos encontrar en
otras distribuciones de Linux, en la Ilustracin 2 se muestra el men principal de la
distribucin:

Ilustracin 2
El men Wifislax contiene las herramientas que luego analizaremos para realizar
la auditora Wireless.
El men Internet contiene herramientas como Navegadores de Internet
(Konqueror y Firefox), programas de Mensajera Instantnea (Skype, XChat IRC, Kopete),
utilidades de Conexin Remota (Remote Desktop, VNC y VPN) y por ltimo podemos
encontrar Tor Controller (Tork).
Tork es un programa mediante el cual vamos a poder navegar annimamente a
travs de internet y mantener a salvo nuestra privacidad en la navegacin gracias a la
conexin a diferentes servidores proxy. La principal ventaja del uso de Tork es la
aceptable velocidad con la que navegamos por internet.

Ilustracin 3
9

En el men Multimedia encontraremos los tpicos programas de reproduccin y
grabacin de audio, y un til Visor y Lector de PDF.
En el men Sistema, la herramienta Info Center nos permite editar cualquier
parmetro hardware de nuestro PC. Adems tambin se incluye un til visor de procesos
llamado Performance Monitor.
Por ltimo el men Configuracin nos ofrece la utilidad Configuracin del panel
que permite definir la interfaz grfica de nuestro escritorio. La herramienta Centro de
Control sirve para definir cualquier parmetro del sistema operativo (como passwords,
administracin elctrica , etc.)
Herramientas orientadas a la auditora Wireless
La distribucin Wifislax presenta una serie de utilidades para la auditora Wireless,
en este grfico se sealan las ms importantes:

C
o
r
t
e
s

a

d
e

B
a
c
k
t
r
a
c
k

&

S
l
a
xMisc
Reversing
Services
Forensics
Database
Cisco
Bluetooth
802.11
Tunneling
Sniffers
Spoofing
Fuzzers
PasswordAttacks
Enumeration
Exploit
Scanners
H
e
r
r
a
m
i
e
n
t
a
s

W
i
r
e
l
e
s
s
Wifislax wireless
Wireless Lan Manager
Asistente Wireless
Monitorizacin
Wireless (Kismet)
Interfaces Wireless
reconocidas
Script Auditora
Wireless (Airoscript)
Cambiar MAC
(Macchanger)
PCMCIA predefinidas
S
u
i
t
e

A
c
t
u
a
l
Esniffer Redes
Wireless (Airodump-
ng)
Habilitacin modo
monitor (Airmon-ng)
Tratamiento de datos
Wireless (Airdecap-ng)
Anlisis claves
Wireless (Aircrack-ng)
Inyeccin de trfico
Wireless (Aireplay-ng)
10

Ataques realizados con WiFiSlax 2.0 (3)
Por lo que respecta al material hardware utilizado para este ataque fue una tarjeta
Wireless con el chipset Ralink RT2500.
Las herramientas utilizadas en el ataque fueron las siguientes:
Aircrack-ng Herramienta para crackear por fuerza bruta o por diccionario claves
WEP o WPA.
Airdecap-ng
Herramienta para desencriptar archivos .cap que contienen informacin
de la red atacada.
Aireplay-ng
Herramienta para inyectar trfico en la red y conseguir paquetes con
datos ms rpidamente.
Airmong-ng
Herramienta para poner una tarjeta en modo promiscuo o modo
monitor.
Airodump-ng
Herramienta que captura el trfico de la red atacada y guarda toda la
captura en un archivo .cap
Kismet
Herramienta que recopila todas las utilidades de las herramientas
citadas anteriormente.
Podramos considerar que el entorno de la red a la que procedemos atacar, est
distribuida de la siguiente manera, donde RT2500 es el equipo atacante, y WLAN_E5 es el
SSID de la red atacada.
WLAN_E5
00:60:B3:**:**:**
RT2500

Ilustracin 4
11

Cmo entrar a una red inalmbrica protegida con WEP?
1. Identificar y activar el interfaz de red que usaremos en el ataque
Antes de comenzar con todos los pasos de nuestro ataque, debemos configurar la
interfaz de red con la que atacaremos, para ello vamos a comprobar que est activa en el
sistema mediante el comando iwconfig, y seguidamente habilitaremos dicho interfaz si
est inactivo con el comando ifconfig ra0 up.

Ilustracin 5
2. Identificar la red que va ser atacada y el canal en el que emite
En primer lugar vamos a identificar la red que va a ser atacada, para
posteriormente analizar su SSID, MAC, y canal en el que est emitiendo. Estos tres factores
van a ser las bases de nuestro ataque.
Para identificarlos vamos a utilizar la herramienta Kismet (Men WiFiSlax
Herramientas Wireless Monitorizacin wireless (Kismet))

Ilustracin 6
12

Debemos indicarle el Dispositivo (seleccionaremos el interfaz de red por el que se
va a realizar el ataque) que en nuestro caso va a ser ra0. Indicaremos el driver que utiliza
el interfaz seleccionado (en nuestro caso RT2500). Y para finalizar indicamos un nombre
para el interfaz.

Ilustracin 7
Como podemos observar el SSID de la red que va a ser atacada es WLAN_E5,
donde Ch es el canal en el que est emitiendo (en nuestro caso el 9).
3. Conmutar el interfaz atacante a modo monitor
Para activar el modo monitor de nuestra tarjeta vamos a utilizar la herramienta
Airmong-ng (Men WiFiSlax Suite Actual Habilitacin en modo monitor (Airmon-
ng))

Ilustracin 8
13

En el lanzador grfico de esta herramienta el nico parmetro que debemos
seleccionar es Dispositivo donde elegiremos el interfaz de red de nuestra tarjeta.
4. Capturar trfico de paquetes de la red atacada
Este punto de nuestro ataque es el ms importante, ya que ahora es cuando vamos
a recopilar los paquetes necesarios para obtener la clave WEP. Para ello vamos a utilizar
la herramienta Airodump-ng (Men WiFiSlax Suite Actual Esniffer redes wireless
(Airdump-ng))

Ilustracin 9
En el lanzador grfico solo tendremos que indicarle el nombre del fichero que se va
a crear con todas las capturas.
Pero debido a que este mtodo sondea todos los canales por los que puede estar
emitiendo la red atacada, hemos preferido en nuestro ataque utilizar el airodump a travs
de la consola, ya que nos ofrece la posibilidad de indicarle como parmetro el canal que
queremos que realice la captura. Para ello debemos teclear en la consola:
# airodump-ng c 9 w captura ra0
Donde c corresponde al canal, -w corresponde a que escriba en el fichero
captura, y ra0 corresponde a la interfaz de la tarjeta wireless. Esta instruccin nos
mostrar la informacin de la Ilustracin 10.
Nos interesan los campos BSSID, # Data, ENC, ESSID; estos campos nos indican la
direccin MAC del AP, el numero de IVs que han sido capturados, el metodo de
encriptacin y el ESSID del AP respectivamente.
Tericamente, necesitamos 500.000 paquetes para poder romper una clave WEP
de 64 bits y 1.000.000 para romper una de 128 bits, aunque pueden ser menos.
14


Ilustracin 10
5. Obtener la clave WEP de la red atacada
Para concluir nuestro ataque, vamos a obtener la clave WEP a travs de los
paquetes capturados. Para ello vamos a utilizar la herramienta Aircrack-ng (Men
WiFiSlax Suite Actual Anlisis de claves wireless (Aircrack-ng))

Ilustracin 11
En el lanzador grfico solo tendremos que indicarle el nombre del fichero que va a
utilizarse para encontrar la clave WEP.
15

Pero debido a que este mtodo no recibe el nmero de bits que puede utilizar la
clave WEP (64 o 128), hemos preferido en nuestro ataque utilizar el aircrack-ng a travs
de la consola, ya que nos ofrece la posibilidad de indicarle como parmetro la cantidad de
bits de la clave. Para ello debemos teclear en la consola:
# aircrack-ng n 64 captura.cap
Donde n corresponde al numero de bits, captura es el fichero con los paquetes
snifados.

Ilustracin 12
Como podemos observar en la Ilustracin 12 el resultado del anlisis de la clave
WEP ha sido errneo, el motivo de ello es porque el nmero de bits que estamos indicando
en la instruccin anterior no es el correcto. En estos casos deberemos realizar el anlisis
con una cantidad de 128 bits, para ello utilizamos la siguiente instruccin:
# aircrack-ng n 128 captura.cap

Ilustracin 13
16

El resultado del proceso de anlisis es la clave de la red atacada, que es:
Z001349816E5.
Cmo entrar a una red inalmbrica protegida con WPA/PSK?
1. Identificar y activar el interfaz de red que usaremos en el ataque
Antes de comenzar con todos los pasos de nuestro ataque, debemos configurar la
interfaz de red con la que atacaremos, para ello vamos a comprobar que est activa en el
sistema mediante el comando iwconfig, y seguidamente habilitaremos dicho interfaz si
est inactivo con el comando ifconfig ra0 up.

Ilustracin 14
2. Identificar la red que va ser atacada y el canal en el que emite
En primer lugar vamos a identificar la red que va a ser atacada, para
posteriormente analizar su SSID, MAC, y canal en el que est emitiendo. Estos tres factores
van a ser las bases de nuestro ataque.
Para identificarlos vamos a utilizar la herramienta Kismet (Men WiFiSlax
Herramientas Wireless Monitorizacin wireless (Kismet))

Ilustracin 15
17

Debemos indicarle el Dispositivo (seleccionaremos el interfaz de red por el que se
va a realizar el ataque) que en nuestro caso va a ser ra0. Indicaremos el driver que utiliza
el interfaz seleccionado (en nuestro caso RT2500). Y para finalizar indicamos un nombre
para el interfaz.

Ilustracin 16
Como podemos observar el SSID de la red que va a ser atacada es WLAN_E5,
donde Ch es el canal en el que est emitiendo (en nuestro caso el 9).
3. Conmutar el interfaz atacante a modo monitor
Para activar el modo monitor de nuestra tarjeta vamos a utilizar la herramienta
Airmong-ng (Men WiFiSlax Suite Actual Habilitacin en modo monitor (Airmon-
ng))

Ilustracin 17
18

En el lanzador grfico de esta herramienta el nico parmetro que debemos
seleccionar es Dispositivo donde elegiremos el interfaz de red de nuestra tarjeta.
4. Capturar trfico de paquetes de la red atacada
Este punto de nuestro ataque es el ms importante, ya que ahora es cuando vamos
a recopilar los paquetes necesarios para obtener la clave WEP. Para ello vamos a utilizar
la herramienta Airodump-ng (Men WiFiSlax Suite Actual Esniffer redes wireless
(Airdump-ng))
En el lanzador grfico solo tendremos que indicarle el nombre del fichero que se va
a crear con todas las capturas.
Pero debido a que este mtodo sondea todos los canales por los que puede estar
emitiendo la red atacada, hemos preferido en nuestro ataque utilizar el airodump a travs
de la consola, ya que nos ofrece la posibilidad de indicarle como parmetro el canal que
queremos que realice la captura. Para ello debemos teclear en la consola:
# airodump-ng c 9 w captura ra0
Donde c corresponde al canal, -w corresponde a que escriba en el fichero
captura, y ra0 corresponde a la interfaz de la tarjeta wireless. Esta instruccin nos
mostrar la informacin de la Ilustracin 10.
Nos interesan los campos BSSID, # Data, ENC, ESSID; estos campos nos indican la
direccin MAC del AP, el numero de IVs que han sido capturados, el metodo de
encriptacin y el ESSID del AP respectivamente.
Tericamente, necesitamos 500.000 paquetes para poder romper una clave
WPA/PSK aunque lo recomendable es 1.000.000 de paquetes capturados.

Ilustracin 18
19

5. Generar el Handshake necesario para realizar el ataque
Qu es un Handshake?
Para llevar a cabo este tipo de ataque WPA/PSK necesitamos capturar el
handshake (negociacin) que se produce cuando un cliente se autentica con un punto de
acceso.
Mtodo 1: Esperar a que se produzca
Tericamente Airodump-ng nos muestra las MACs de los clientes que se
autentifiquen en el AP atacado. Este hecho conlleva que el nuevo cliente haya introducido
la clave WPA si realmente est generando trfico en la red, por lo tanto se haya producido
el handshake; con lo cual generar altas probabilidades de encontrar el handshake
mediante la utilizacin de Aircrack-ng, como podemos ver esta imagen:

Ilustracin 19
Si con este mtodo no hubiramos capturado y detectado el handshake,
deberamos generarlo de forma manual; a continuacin veremos como hacerlo.
Mtodo 2: Generar el handshake manualmente
La forma de generar el handshake manualmente es utilizando la herramienta
Aireplay-ng, mediante el comando:

aireplay-ng -0 5 -a MAC_AP -c MAC_CLIENTE ra0
-0 Fuerza a aireplay a generar 5 peticiones de Deautenticacin
Este mtodo es probablemente el ms til para recuperar un ESSID oculto as
como para capturar el handshake.
20

Habr que tener cuidado en no dejar el dispositivo cliente inoperativo, que es lo
ms normal en este tipo de ataques.
El efecto que se produce en el dispositivo cliente es inmediato, tal y como se puede
apreciar.

Ilustracin 20
6. Obtener la clave WPA/PSK de la red atacada
Mtodo 1: Utilizando Aircrack-ng
Para concluir nuestro ataque, vamos a obtener la clave WPA a travs de los
paquetes capturados. Para ello vamos a utilizar la herramienta Aircrack-ng (Men
WiFiSlax Suite Actual Anlisis de claves wireless (Aircrack-ng))
Hay que tener en cuenta que con un solo handshake es suficiente y que hay que
compararlo con un diccionario, es decir, por fuerza bruta. Teniendo en cuenta estos dos
factores depender de la calidad de nuestro diccionario el xito ante este tipo de ataque,
que en definitiva tiene un gran porcentaje de suerte.
Un diccionario es un fichero de texto que contiene combinaciones de caracteres. A
travs del mtodo de ataque de fuerza bruta, aircrack-ng compara dichos caracteres con
posibles claves WPA. Podemos encontrar diversos diccionarios en la web:
www.sourceforge.net
Ya que con la herramienta grfica no es posible indicar ningn parmetro (como
puede ser el diccionario, el SSID del AP atacado, etc.), optamos por utilizar el comando
mediante la terminal:
# aircrack-ng a 2 e WLAN_E5 w dict.txt captura-01.cap

Ilustracin 21
21

Donde a indicamos el tipo de ataque (1WEP, 2 WPA), -e corresponde al
ESSID del AP atacado y con -w indicamos el path del diccionario.
El resultado del proceso de anlisis es la clave de la red atacada, que es:
estoesunaprueba.
Mtodo 2: Utilizando Cowpatty y Genpmk
En el mtodo anterior vimos como se poda romper el protocolo WPA con clave
precompartida PSK (TKIP), a travs de un ataque de fuerza bruta.
Una vez obtenida la clave del protocolo WPA-PSK(TKIP) obtuvimos las siguientes
conclusiones
Tiempo: ms de 5 horas
Rate: 172 palabras/segundo
El tiempo que se tarda en completar un fichero de ms de 4 millones de entradas,
que no es mucho, es excesivo y es debido al rate o nmero de palabras verificadas por
segundo.
Para acelerar este proceso es necesario precalcular el PMK, para ello podemos
utilizar la utilidad genpmk de Cowpatty.
Cowpatty es una herramienta especfica para la ruptura del protocolo WPA-PSK
(TKIP) .
El problema al que nos enfrentamos a la hora de atacar el protocolo WPA con
diccionarios de texto plano es que, como se pudo observar, es un proceso exageradamente
lento. Algunos pensarn que un ataque offline de ms 5 horas es muy poco, pero teniendo
en cuenta que el diccionario era de apenas 4 millones de entradas cambia un poco la
perspectiva.
El PMK esta compuesto por una serie de valores o atributos donde el SSID y la
longitud del mismo entre otros son siempre los mismos para un mismo dispositivo.
Siendo esto as podremos precalcular un hash PMK donde solo se compare el valor
cambiante, es decir, la clave.
Este mtodo no esta exento de problemas ya que, es necesario generar el fichero
de hash para cada ESSID, siendo imposible la reutilizacin del mismo.
Por ello, la generacin de un fichero de hash para un ESSID no genrico o por
defecto es ms larga y costosa que el propio ataque a travs de un diccionario de texto
plano.
Probablemente nunca podremos recopilar todos los ESSID por defecto y menos
an generarlos con un diccionario de ms de 50 millones de entradas, tardaramos un
tiempo excesivo. De ah la importancia de compartir este tipo de ficheros.

22

1. Generar el fichero de hash con Genpmk
A continuacin mostraremos como generar los ficheros de hash y hacer uso de los
mismos. En nuestro caso, precalcularemos el PMK para cada una de las entradas del
diccionario con el ESSID WLAN_E5.
# genpmk f dict.txt d HASH_CP s WLAN_E5
Donde f corresponde al diccionario, -d es el nombre del fichero de hash que se
generar, y -s es el Essid. Esta instruccin es la mostrada en la Ilustracin 10.

Ilustracin 22
2. Obtener la clave WPA/PSK con Cowpatty
# cowpatty -r pskcrack-01.cap d HASH_CP s WLAN_E5
Donde r corresponde al fichero *.cap compuesto de las capturas realizadas con
airodump-ng, -d es el nombre del fichero de hash que se ha generado con genpmk, y -s
es el Essid. Esta instruccin nos mostrar la informacin de la Ilustracin 10.

Ilustracin 23
23

El resultado del proceso de anlisis es la clave de la red atacada, que es:
estoesunaprueba.
Como se puede observar ha testeado 29754 claves en 664,41 segundos, muy por
debajo de las ms de 5 horas de la vez anterior.

24

Ataques sin xito realizados con WiFiSlax 2.0
Cmo entrar a una red inalmbrica protegida con WPA2/PSK?
Por lo que respecta al material hardware utilizado para este ataque fue una tarjeta
Wireless con el chipset Ralink RT2500 y otra dos con el chipset Texas Instruments AX100.
El router utilizado fue un LinkSys WRT-54G con una actualizacin del firmware dd-wrt. Se
utilizaron varios de los equipos del laboratorio para intentar generar trfico.
Las herramientas utilizadas en el ataque fueron las siguientes:
Airmong-ng Herramienta para poner una tarjeta en modo promiscuo o modo
monitor.
Airodump-ng
Herramienta que captura el trfico de la red atacada y guarda toda la
captura en un archivo .cap
Kismet
Herramienta que recopila todas las utilidades de las herramientas
citadas anteriormente.
Podramos considerar que el entorno de la red a la que procedemos atacar, est
distribuida de la siguiente manera, donde Texas Instruments AX100 es el equipo atacante,
y dd-wrt es el SSID de la red atacada.
dd-wrt
Texas Instruments AX100
Texas Instruments AX100

Ilustracin 24
25

Problemas surgidos:
Incompatibilidad software con WPA2:
El SP2 tambin incluye soporte para el Acceso protegido Wi-Fi (Wi-Fi Protected
Access 2, o WPA2). El WPA2 cumple el estndar FIPS (Federal Information Processing
Standard) 140-2 norteamericano, y mejora la seguridad Wi-Fi aadiendo soporte para
encriptacin AES (Advanced Encryption Standard) y autentificacin 802.1x. El soporte
para WPA2 se instala por defecto, en caso contrario podemos encontrar el paquete de
instalacin (KB893357) en la web de soporte de Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=66
2bb74d-e7c1-48d6-95ee-1459234f4483


Ilustracin 25
Incompatibilidad hardware con WPA2:
El router utilizado en este ltimo ataque no contaba con proteccin WPA2, por este
motivo se actualiz el firmware a un firmware libre para diversos routers inalmbricos o
WIFI, el DD-WRT. Es muy comn observarlo en equipos Linksys WRT54G (el utilizado en
nuestro caso). Ejecuta un reducido sistema operativo basado en Linux. Est licenciado bajo
la GNU General Public License versin 2.


26

Aparte de otras caractersticas que no se encuentran en el firmware original de
Linksys, DD-WRT incluye el demonio de la red de juego Kai, IPv6, Sistema de Distribucin
Inalmbrico (WDS), RADIUS, controles avanzados de calidad de servicio (QoS) para la
asignacin de ancho de banda y control de potencia (con un ajuste posible de hasta
251mW, mucho mayor que la potencia por defecto del router).
Conclusin final:
Tras solucionar las incompatibilidades descritas anteriormente, el ataque result
fallido debido a condiciones poco ptimas en los equipos del laboratorio.




27

Bibliografa
1. Fora, Pau Oliva. (In)seguridad en redes 802.11b. [En lnea] Marzo de 2003.
http://pof.eslack.org/wireless/.
2. Linux, Fent. http://www.fentlinux.com. [En lnea]
3. AyzaX. http://www.icenetx.net/. [En lnea]
4. Lehembre, Guillaume. Seguridad WI-FI: WEP, WPA, WPA2. 2006.
5. SourceForge. Source Forge. [En lnea] www.sourceforge.net.