2 nov 2013

Hacking Wi-Fi - Parte II - Conexión entre cliente y AP en red abierta y cabeceras WLAN

Vamos a ver el proceso conexión entre un cliente y un punto de acceso que no tiene contraseña. Lo primero que haremos será crear una red Wi-Fi sin contraseña, es decir, todo el tráfico que haya en la red irá sin cifrar y podremos verlo para analizar el intercambio de paquetes entre el cliente y el punto de acceso. Esto lo explicaré en los próximos post que serán ya todos prácticos, este será el último teórico. Recomiendo ir leyendo los artículos anteriores para poder comprender mejor los contenidos, puesto que habrá cosas que me salte por haberlas explicado en el anterior articulo por no repetirme.

Para que esta prueba funcione correctamente tendremos que configurar nuestra tarjeta de red en el mismo canal que el punto de acceso al que se conectará un cliente para capturar ese proceso de conexión. Para ver en que canal está el punto de acceso utilizaremos Airodump-NG (para que funcione habrá que poner nuestra tarjeta en modo monitor, mon0). En este caso haremos la prueba con la red WLAN_27E7. A continuación tendremos que poner nuestra interfaz mon0 (modo monitor) en el mismo canal. También habrá que cambiar de canal la interfaz de red sobre la que se ha creado la interfaz en modo monitor, es decir, la wlan0.

# airodump-ng mon0

Con la herramienta iwconfig, invocándola sin argumentos podemos ver en que frecuencia está trabajando nuestra tarjeta, y si miramos en la tabla que relaciona frecuencias con canales podremos ver a que canal corresponde. De esta manera podremos comprobar que hemos hecho el cambio de canal correctamente.

Una vez hecho esto nos vamos a Wireshark y seleccionamos la interfaz mon0 para capturar. Ahora utilizaremos un filtro de visualización para que solo nos muestre los paquetes que nos interesen y poder hacer el análisis sin tanto paquete que nos moleste. Primero mostraremos los paquetes que contengan la dirección MAC del punto de acceso. La MAC del AP la podemos obtener de la herramienta Airodump-NG que acabamos de utilizar. Pondremos un segundo filtro que indique que los paquetes tengan también la dirección MAC del cliente. De esta forma podremos ver de una forma clara el intercambio de paquetes que ocurre entre cliente y AP, ya que solo se mostrará por pantalla el tráfico entre estos dos.

Filtro: (wlan.addr == <mac_AP>) && (wlan.addr == <mac_Cliente>)

Ahora conectaremos un dispositivo a esa red y veremos que ocurre.

No aparece en la imagen, pero el primer paquete que envía el cliente es un Probe Request al Broadcast indicando a sus dispositivos de alrededor de su presencia para que a su vez, estos dispositivos de alrededor envíen Probe Responses indicando de su existencia para que el cliente pueda elegir a que AP quiere conectarse. El cliente también podría enviar un probe request preguntando si hay en la zona un ESSID en específico, pero esto ya depende de la implementación de cada sistema operativo en particular, ya que como veremos más adelante esto no es una práctica muy segura y los SO modernos están dejando de hacerlo. De todos modos veremos la forma de explotar esto ya que todavía hay muchos dispositivos que sí que lo hacen.

Lo siguiente en lo que nos tenemos que fijar es en el paquete Authentication, que será un paquete de tipo request con el objetivo de solicitar autenticarse al AP. Como es abierta la red, el punto de acceso responderá un paquete de tipo response dando el visto bueno. Una vez este proceso se ha realizado con éxito, se procederá a la asociación, para que puedan intercambiar tráfico. El cliente mandará un paquete tipo request de asociación, y el AP contestará con un response de asociación.

Resumen (STA es el cliente y AP STA es el AP):

Ahora vamos a ver por encima las cabeceras de los paquetes WLAN. Seleccionamos en el Wireshark un paquete, el Beacon Frame por ejemplo. Miramos en la ventana de en medio y vamos a ir analizando las cabeceras. La primera cabecera llamada Frame nos dará información sobre cuando se ha capturado ese paquete.

La segunda llamada Radiotap, nos da la potencia de la señal y la frecuencia en la que estaba el paquete entre otras cosas. Pero estas dos cabeceras no son propias del protocolo WLAN. La siguiente cabecera IEEE 802.11 nos dará la información de las direcciones MAC y el tipo de paquete. Y la siguiente pestaña ya será el contenido del paquete, IEEE 802.11 wireless.

Artículo cortesía de: Roberto (Highsec) 

 

No hay comentarios:

Publicar un comentario