Probar la inseguridad del cifrado WEP con IPW2200 | Algo de Linux

domingo, 1 de junio de 2008

Probar la inseguridad del cifrado WEP con IPW2200

Como el cifrado WEP está totalmente roto, no es recomendable usarlo. Pero, por lo que se ve, las compañías siguen poniendo WEP como cifrado de sus puntos de acceso. Podríamos considerarlo una medida de seguridad, porque menos es nada... Pero, con lo fácil que es obtener la clave WEP de un

Si queréis comprobarlo no tenéis más que montar un router wifi con una clave WEP y atacarlo con un ordenador con tarjera de red wifi.

¿Qué usar para atacar el router?
Por ejemplo, un portátil con una tarjeta wifi Intel IPW2200.

¿Por qué usar un portátil con una tarjeta IPW2200?
Porque con esta tarjeta podemos habilitar el interfaz de red virtual rtap0, que nos permitirá capturar el tráfico mientras inyectamos en eth0. También podríamos atacar con una máquina y capturar el tráfico con otra.

¿Qué software usar?
Lo más cómodo es usar la distro WifiSlax, que nos detecta y configura automáticamente la ipw2200. Podéis usarla desde el CD en modo live o instalarla en vuestro ordenador. Además, tiene mogollón de herramientas para comprobar la seguridad de nuestras redes, aunque para probar la inseguridad del cifrado web, tan sólo utilizaremos la suite aircrack.

¿Qué es aircrack ?
aircrack es una colección de herramientas para la auditoría de redes inalámbricas compuesta por los siguientes programas:
  • airodump: Para capturar paquetes 802.11
  • aireplay: Para la inyección de paquetes 802.11
  • aircrack: Recuperador de claves estáticas WEP y WPA-PSK
  • airdecap: Para desencriptar archivos de capturas WEP/WPA
En WifiSlax hay dos versiones: La suite antigua: aircrack y la nueva: aircrack-ng.

¿Qué tipo de ataque usamos?
El principal problema para obtener paquetes de un router es que no tenga clientes asociados.
He probado varios tipos de ataque, pero, como la mayoría de los routers no tienen clientes asociados porque la mayoría tiene un sólo cliente que se conecta vía ethernet, el ataque más efectivo es hacer una combinación de ataques 1 y 3:
  • El ataque 1 consiste en hacer una falsa asociación.
  • El ataque 3 consiste en reinyectar paquetes ARP.
El ataque 1 sería así:
#aireplay-ng -1 0 -e nombrewifiobjetivo -a macdelrouteratacado -h macdenuestratarjeta eth0

Lo que normalmente se suele hacer es falsear la dirección mac de nuestra tarjeta y en el parámetro -h poner la mac falseada.

He probado el ataque 1 con la ipw2200, pero siempre falla, así que, en lugar de hacerlo con aireplay, dejamos nuestra tarjeta en modo managed y hacemos una falsa asociación:

# iwconfig eth0 essid "nombrewifiobjetivo" key 1111111111

Una vez hecho lo anterior, arrancamos airodump-ng para capturar el tráfico del router (o punto de acceso) objetivo y guardarlo en un archivo:

# airodump-ng -c canalwifiobjetivo -b macwifiobjetivo -w ficherocaptura rtap0

Si os dáis cuenta, los ataques de asociación falsa y reinyección de ARP los hacemos en el interfaz real eth0 y las capturas de tráfico en el interfaz virtual rtap0.

Abrimos otra ventana de terminal y empezamos el ataque de reinyección ARP:

# aireplay-ng -3 -b macwifiobjetivo -h macdenuestratarjeta -i rtap0 eth0

Y listo. Ahora ya sólo nos queda esperar a que el router (o punto de acceso) nos tire algún paquete ARP que, con el ataque 3 se reinyectará automáticamente. En el momento que lo haya, veremos subir a toda pastilla el número de paquetes capturados.

Eso sí, a veces tenemos que tener paciencia y esperar 30 o 40 minutos, hasta que el router suelte un paquete ARP. Pero otras veces, en cuestión de pocos minutos, lo suelta.

Ahora es cuestión de esperar hasta tener unos 500.000 paquetes para sacar la clave WEP fácilmente con aircrack-ng. Claro, que si usamos aircrack-ptw (una nueva implementación del algoritmo) con unos 85.000 paquetes es posible obtenerla.

Ejecutar aircrack-ptw es tan sencillo como pasarle como parámetro el fichero de paquetes capturados:

# aircrack-ptw ficherocaptura.cap

En WifiSlax, si aircrack-ptw no consigue obtener la clave, nos preguntará si queremos intentarlo con aircrack.

Si queremos ejecutar aircrack-ng directamente, podemos hacerlo:

# aircrack-ng ficherocaptura.cap

Aircrack tiene muchas opciones. Recomiendo consultar la ayuda del mismo.

No hay comentarios: