Instalación y conf iguración de Computadores y Perif éricos Escuela Técnica de Ingeniería Inf ormática de Gijón3º Ingeniería Técnica en Inf ormática de Sistemas

Seguridad en Redes 802.11xAutor: Manuel González Valiñas

Fecha: 5 de Mayo de 2006

ÍndiceObjetivosIntroducción y t ipologíaTopologíasMétodos de localización de redes wirelessModelo de capas 802.11

Capa f ísicaCapa de enlace

Tipos de autentif icaciónControl de accesoCif radoVulnerabilidades

PDFmyURL.com

RecomendacionesMonitorización y controlTipos de AtaquesSolucionesEjemplos prácticos de distintos ataques

Quien hay por ahí?Crackear clave WepDeautentif icaciónDesencriptación de paquetes de datos WEP arbitrarios sin conocer la claveAutentif icación f alsaTratando con WPA :)Ataque DOS a lo grandeA Romper Acl´s basados en MacEssid ocultos, quien se esconde?Ataque ARP poisoning, haciendo de jef eEAP-TLS teóricoAtaque "Man in the middle"Molestando---> Rogue APÉrase un Fake-Ap muy molesto :)

Breves Conceptos sobre chipset y conf iguracionesQosQos Instalación de NocatAuthConf igurando un servidor radiusAprendiendo a usar IpsecWireless ID´sWDSEnlaces y DocumentaciónRecomendaciones de CompostelaWirelessConclusiones

PDFmyURL.com

ObjetivosEl principal objetivo es conocer las distintas formas de proteger una red wireless, así comolos posibles ataques a los que podemos ser vulnerables, los ejemplos prácticos sobreformas de intrusión o los distintos ataques, tiene como principal interés, saber como nostenemos que proteger de los distintos ataques :)

Volver arriba

Introducción y tipologíaLa f amilia 802.11, hoy se encuentra compuesta por los siguientes estándares:• 802.11a: (5,1-5,2 Ghz, 5,2-5,3 Ghz, 5,7-5,8 GHz), 54 Mbps. OFDM• 802.11b: (2,4-2,485 GHz), 11 Mbps.• 802.11c: Def ine características de AP como Bridges.• 802.11d: Múltiples dominios reguladores (restricciones según países)• 802.11e : Calidad de servicio (QoS).• 802.11f : Protocolo de conexión entre puntos de acceso (AP), protocolo IAPP.• 802.11g: (2,4-2,485 GHz), 36 o 54 Mbps. OFDM• 802.11h: DFS: Dynamic Frequency Selection,compatibilidad con Hiperlan• 802.11i: Seguridad• 802.11j: Permitiría armonización entre IEEE (802.11), ETSI (HiperLAN2) y ARIB(HISWANa).

** 802.11m: Propuesto para mantenimiento de redes inalámbricas. De estas, las mas usadasson: 802.11b, 802.11g, 802.11a (Esta últ ima no está implementada en España, por culpa deciertas interf erencias con el ejército, dado que no acaba de estar libre)

Una iniciativa que se debe mencionar también es HiperLAN . Se trata de unaverdadera analogía inalámbrica para ATM, hoy día está en desuso.

Para acotar únicamente el tema de seguridad, se tratarán sólo 802.11a, b g y 802.11i.

Volver arriba

PDFmyURL.com

Topologías

Modo Ad-Hoc

Esta topología se caracteriza por que no hay Punto de Acceso (AP), las estaciones secomunican directamente entre si (peer- to-peer), de esta manera el área de cobertura estálimitada por el alcance de cada estación individual.

Modo Infraestructura

Como mínimo se dispone de un Punto de Acceso (AP), las estaciones wireless no sepueden comunicar directamente, todos los datos deben pasar a través del AP. Todas lasestaciones deben ser capaces de “ver” al AP.

PDFmyURL.com

Def iniciones Básicas :

Portal

Punto lógico desde el cual se conecta una red wireless con una no wireless.

STA

Cualquier disposit ivo que cumple con un nivel MAC conf orme a 802.11 y unnivel f ísico que posee una interf az wireless.

Managed

Cliente en una red tipo Inf raestructura.

Master

Capacidad de algunos interf aces wi- f i para hacer de AP.

Monitor

Capacidad para monitorizar canales.También conocido como; modo promiscuo

WDS

Wireless Distribution System: se usa habitualmente para enlaces punto a punto entre AP´s, PDFmyURL.com

los dos AP´S han de estar en el mismo Canal, no permite la conexión de STA´s , se sueleemplear para hacer repetidores o en enlaces largos, al principio existían cantidad deproblemas de compatibilidad a nivel WDS, entre las distintas marcas, dos marcas quesiempre f uncionaron a la perf ección son : Buf f alo y Linksys :)

Terminología Básica

WEP ( Wired Equivalet Privacy): Es un protocolo de encriptación a nivel 2 para redesWireless puede sWEP64 (40 bits reales) WEP128 (104 bits reales) y hasta 256 (208 bitsreales) que usan algunas marcas.

OSA (Open System Authentication) : Cualquiera puede f ormar parte de la red.

SKA (Shared Key Authentication)---> autentif icación por clave compartida.

ACL (Access Control List): es el método mediante el cual sólo se permite unirse a la reda aquellas direcciones MAC.

CNAC (Closed Network Access Control):, no permite el enlace si no se conoce el SSID.

SSID (Service Set Identif ier): cadena de 32 caracteres como máximo necesario conocerpara unir un cliente a la red.

Beacon Frames: paquetes que transmite un AP para anunciar su disponibilidad ycaracterísticas.

Volver arriba

Métodos de localización de redes wireless. PDFmyURL.com

El sistema conocido por todos, consiste en usar un sof tware tipo NetStumbler (windows),no es mala opción, con ello podemos hacer cosas como estas:

Indicador de nivel de señal/ruido..

PDFmyURL.com

Pero existen otras alternativas, un poco mas elegantes, veamos:

Es necesario disponer de un Gps, para la localización f ísica, esto todo lo haremos sobrelinux:)

Primero debemos instalar los dif erentes paquetes. Vamos a explicar la f orma de hacerlo endebian, aunque los pasos a seguir para conf igurar los mismos programas no dif ierenpracticamente nada en las dif erentes distribuciones.

Kismet es el programa que utilizaremos para localizar las redes wireless con nuestra tarjetade red. Es un programa basado en consola con muchísimas opciones.

Gpsdrive es la utilidad que nos mostrará sobre un mapa nuestra posición y la de las redes PDFmyURL.com

que encontremos, necesitando para esto un receptor GPS.

Festival es un sintetizador de voz, que utilizaremos para escuchar a viva voz de nuestroequipo las alertas de Kismet.

Instalamos entonces f estival, kismet y gpsdrive de la siguiente manera:

apt−get install kismet gpsdrive f estival f estvox−ellpc11k

Ahora vamos a conf igurar el archivo de conf iguración de kismet/etc/kismet/kismet.conf .

Este archivo puede variar mucho, dependiendo de como lo quiera personalizar cada uno.Simplemente indicar los pasos básicos a seguir para que f uncionen las opcionesmínimas.Activamos el soporte de GPS en el kismet.

# Do we have a GPS?gps=trueEsto lo ponemos para que Festival nos hable en castellano.# Does the server have speech?speech=true# Server's path to Festivalf estival=/usr/bin/f estival −−language spanish# How do we speak? Valid options:# speech Normal speech# nato NATO spellings (alpha, bravo, charlie)# spell Spell the letters out (aye, bee, sea)speech_type=speech

Y ahora le decimos las f rases que tiene que pronunciar cada vez que detecte una rednueva.speech_encrypted=Red detectada, %s, canal %c, Red encriptada.speech_unencrypted=Red detectada, %s, canal %c, Red abierta.

Con mysql, creamos la base de datos geoinf o y luego las tablas del archivo:

/usr/share/gpsdrive/create.sql$> mysqladmin create geoinf o$> mysql geoinf o </usr/share/gpsdrive/create.sql

Ya estamos listos para arrancar los dos programas a la vez. Lanzamos el gpsd desde elgpsdrive y arrancamos el kismet.

Desde este momento ya estamos localizando redes wireless a nuestro alrededor. Cualquierred que entre en nuestra cobertura lanzará un aviso hablado a través de nuestro kismet,indicándonos su nombre SSID, el canal en que opera y si esta abierto o encriptado. Unos

PDFmyURL.com

segundos después de ser localizado, sera visible en el mapa GPS:)

Volver arriba

Modelo de Capas 802.11

Capa Física.

La capa f ísica la componen dos subcapas:

- PLCP (Physical Layer Convergence Protocol): Se encarga de codif icación y modulación.

- PMD (Physical Medium Dependence): Es la que crea la interf az y controla la comunicaciónhacia la capa MAC (a través del SAP: Service Access Point)

Este nivel lo conf orman dos elementos principales:

- Radio: Recibe y genera la señal.- Antena: Existe una gran variedad, no lo vamos a tratar aquí, pues no tiene mucho que vercon la seguridad.

Cuando se habla de transmisión, se deben dif erenciar tres palabras:

- Modulación: Es el método de emplear una señal portadora y una moduladora (que daf orma a la anterior). Cada una de ellas puede ser analógica o digital, con lo cual se obtienencuatro posibles combinaciones de portadora y moduladora (AA – AD – DA y DD), con lascuales se conf orman todas las técnicas de modulación. WiFi en la mayoría de los casosemplea latécnica QAM (Modulación en cuadratura de Fases con más de un nivel de amplitud).

- Propagación: Es la f orma en la cual “van saliendo” las señales al aire. Aquí es donde

PDFmyURL.com

verdaderamente se aplican las técnicas de DHSS y FHSS. SS (Spread Spectrum) es latécnica de emplear muchas subportadoras de muy baja potencia con lo cual se “expande” elespectro útil.

- Codificación: Es la asociación de bit a cada “muestra” que se obtiene. WiFi en la mayoríade los casos emplea el código Barker.

La capa de enlace .

Capa MAC: Controla el f lujo de paquetes entre 2 o más puntos de una red . EmpleaCSMA/CA: Carrier Sense Multiple Access / Collision avoidance. Sus f unciones principalesson:

Exploración: Envío de Beacons que incluyen los SSID: Service Set identif iers Otambién llamados ESSID (Extended SSID), máximo 32 carateres.

Autentif icación: Proceso previo a la asociación. Existen dos tipos:

Autentif icación de sistema abierto: Obligatoria en 802.11, se realiza cuando elcliente envía una solicitud de autenticación con su SSID a un AP, el cualautorizará o no. Este método aunque es totalmente inseguro, no puede ser dejadode lado, pues uno de los puntos más f uertes de WiFi es la posibilidad deconectarse desde sit ios públicos anónimamente.

Autentif icación de clave compartida: Es el f undamento del protocolo WEP (hoytotalmente desacreditado), se trata de un envío de interrogatorio (desaf ío) porparte del AP al cliente.

Conceptos:

• Asociación: Este proceso es el que le dará acceso a la red y solo puede ser llevado acabo una vez autentif icado

• RTS/CTS: Funciona igual que en el puerto serie (RS-232), el aspecto másimportante es cuando existen “nodos ocultos”, pues a dif erencia de Ethernet, en estatopología SÍ pueden existir nodos que no se escuchen entre sí y que solo lleguenhasta el AP, (Ej: su potencia está limitada, posee un obstáculo entre ellos, etc), enestos casos se puede conf igurar el empleo de RTS/CTS. Otro empleo importante es

PDFmyURL.com

para designar el tamaño máximo de trama (en 802.11 Es: mínimo=256 ymáximo=2312 Bytes).

• Modo ahorro de energía : Cuando esta activado este modo, el cliente enviópreviamente al AP una trama indicando “que se irá a dormir”, El AP, coloca en subuf f er estos datos. Se debe tener en cuenta que por def ecto este modo suele estarinactivo (lo que se denomina Constant Awake Mode: CAM).

• Fragmentación: Es la capacidad que tiene un AP de dividir la inf ormación entramas más pequeñas.

Así mismo con la ayuda de un snif f er, podemos ver el f ormato de estas tramas:

Podemos ver las distintas capturas : ARP , beacom, DATA de WEP, Solicitud DNS, EAPRequest, NetBIOS, Probe request, Probe response.

Volver arriba

Tipos de autentificación, (El usuario es quien dice ser ?)

Sistema Abierto (OSA)

Open system authentication es el protocolo de autenticación por def ecto para 802.11b.Como su nombre indica, este método autentica a cualquier cliente que pide serautenticado. Es un proceso de autenticación NULO, las tramas se mandan en textoplano aunque esté activado el cif rado WEP.

Autentif icación por MAC

El AP comprueba la MAC del cliente antes de permitir el acceso. Las MAC puedenconf igurarse tanto tanto en el AP como en un ACS.

PDFmyURL.com

La dirección MAC de un cliente legítimo puede ser capturada por un atacante.Las tarjetas Orinoco (y todas las que tienen un chipset prism) permiten la modif icación desu MAC. Con este sistema se podría establecer un f iltro que obligase a utilizar encriptaciónen SSL o a nivel de aplicación (pop3s, imaps, SSH, HTTPS) y HTTP.

Autentif icación EAP

Protocolo extensible de autentif icación. Es un protocolo que sirve para adaptar a las redesinalámbricas protocolos ya establecidos y otros nuevos. EAP utiliza dos WEP comos clavesde sesión que las partes implicadas acuerdan durante la autentif icación y que se cambiacon una f recuencia que determina el administrador del AP. Un WEP es para el tráf icobroadcast y otro se establece para cada cliente de manera que los clientes no puedenescucharse mutuamente. Yo considero que este mecanismo es muy seguro. La polít ica def iltros para esta autentif icación podría ser completamente abierta.

EAP-MD5

Mediante EAP se autentif ica realizando un intercambio de claves "cif radas" por MD5. Elautentif icador puede ser nombre de usuario y contraseña o una dirección MAC. Linux yWinXP pueden asociarse por este método. Con WinXPSP1 desaparece la autentif icaciónEAP-MD5 que es sustituida por EAP-MS-CHAPv2 que f reeradius aún no soporta.

EAP-TLS

La autentif icación se realiza mutuamente mediante certif icados. Con este sistema tanto elACS como el cliente deben demostrar su identidad. Sólo WinXPSP1 soporta este método.WinXP lo hace def ectuosamente.

Esta conf iguración es para el AP "raíz". La red se extiende f ácilmente manteniendo estasconf iguraciones sin mas requerimientos que asociar correctamente los puntos de accesoque f uncionan como repetidores.

PEAP

Es un estándar del IETF basado en contraseña secreta. Requiere un certif icado en elservidor de autenticación. Este certif icado se envía al cliente, el cual genera una clave decif rado maestra y la devuelve cif rada utilizando la clave pública del servidor deautenticación. Una vez que ambos extremos conocen la clave maestra, se establece un

PDFmyURL.com

túnel entre ellos realizándose la autenticación del cliente a través de una contraseñasecreta.

Otro sistema muy útil

Podemos utilizar como sistema de autenticación, aunque no sea una autenticación real, elconocido port-knocking (apertura de puertos bajo demanda de petición.)Consiste en realizar intentos de conexión mediante una secuencia de acceso a puertospredef inidos para que el sistema reconozca tu identidad y de esta f orma active un perf ilde reglas al f irewall (iptables). De esta f orma se garantizan accesos restringidos aservicios de máquinas concreta:

Ssh, Vpns, etc

Una vez f inalizada la sesión es posible cerrar los puertos previamente utilizados medianteuna secuencia de terminación. El demonio del sistema encargado de esto es Knockd.�

Volver arriba

Control de acceso.

Es el proceso de conceder el permiso def init ivo. Incluso una vezautorizado, un usuario puede tener restringido el permiso a partes del recurso, o unnúmero de veces, o un intervalo de tiempo determinado. Con f recuencia se implementausando ACLs (Listas de Control de Acceso) o máscaras.

En una red un poco Extensa, la mejor solución es usar un servidor Radius, este estándarno f ue presentado para WiFi, sino para el acceso seguro PPP (en tecnologíasde cable).

La arquitectura 802.1x está compuesta por tres partes:

- Solicitante : Generalmente se trata del cliente WiFi

- Autentif icador: Suele ser el AP, que actúa como mero traspaso de datos y como bloqueo

PDFmyURL.com

hasta que se autoriza su acceso (importante esto últ imo).

- Servidor de autenticación: Suele ser un Servidor RADIUS (Remote Authentication Dial InUser Service) o Kerberos, que intercambiará el nombre y credencial de cada usuario. Masadelante se explica con bastante detalle como montar este servidor.

El almacenamiento de las mismas puede ser local o remoto en otro servidor de LDAP, debase de datos o directorio activo.

Otra de las grandes ventajas de emplear 802.1x es que el servidor de autenticación, permitetambién generar claves de cif rado OTP muy robustas, tema en particular que ya loposiciona como imprescindible en una red WiFi que se precie de segura.

Volver arriba

Cifrado

Aquí es donde el wireless dejó de ser creible para muchos, pues en un principio el cif radoque se usaba era WEP, hoy día muy conocido :)

WEP: Emplea el algoritmo de cif rado de f lujo RC4 , este algoritmo es una de las bases deRSA y cabe aclarar que es también empleado en el estándar SSL , Leido esto no se puededecir que Wep sea debil, dado que dicho algoritmo f unciona a la perf ección con SSL y RSA.Los problemas de WEP, no son por este algoritmo, sino porla debilidad de sus claves, tanto en 64, 128 (y hoy también 156) bits, de los cuales se debenexcluir los 24 del VI (Vector de inicialización).

TKIP: Una de las muchas evoluciones que experimentó Wep, esta si parece mas seria :)

Como mejoras destacables:

Combinación de clave por paquete : La clave de cif rado, se combina con la dirección MACy el número secuencial del paquete.

VI (Vector de inicialización) de 48 bits, dicen que con estó una clave se repetiría cada,aproximadamente 9.988 años, el que tenga paciencia :)

MIC : Se plantea para evitar los ataques inductivos o de hombre del medio. Las direcciones PDFmyURL.com

de envío y recepción además de otros datos, se integran a lacarga cif rada, si un paquete suf re cualquier cambio, deberá ser rechazado y genera unaalerta, que indica una posible f alsif icación del mismo.

** Tkip no está implementado en todos los productos wireless, si en aquellos de gamamedia- alta.

WPA: Está basado en la norma IEEE 802. 11i, originalmente es de microsof t, ya existe laversión 2 (con AES).

Lo robusto(conf iguración adecuada) del WPA es:

RADIUS provee la autentif icación.TKIP la privacidad.MIC la integridad.

Privacidad: AES.Autenticación: 802.1x

RSNA (RSN Association):Se trata de una serie de caracterísitcas nuevas que se suman aWEP y a la autenticación propuesta por 802.11, las mismas incluyen:• Mejora de los mecanismos de autenticación de los clientes.• Algoritmos de administración de claves.• Establecimiento de claves criptográf icas.• Ampliación de los mecanismos de encapsulamiento. Aquí es donde aparece CCMP ypermite el uso opcional de TKIP.

A nivel autentif icación:

Introduce como nuevos conceptos de autenticación PSK, EAP, sin especif icar ningúnmétodo de EAP en particular. Hace ref erencia en los distintos mecanismos que permitenautenticación entre DS, IBSS y ESS.

Confidencialidad:

Propone tres algoritmos criptográf icos para la protección de datos: WEP, TKIP y CCMP,este últ imo parece ser el que se usará en el 802.11i.

Autentif icación de origen de datos:

Def ine un mecanismo a través de CCMP o TKIP, para que cualquier estación que recibadatos de otra, pueda determinar f ehacientemente su origen, para evitar f alsif icación de

PDFmyURL.com

estaciones. Este mecanismo solo aplica a tramas unicast .

Nota: hemos conseguido establecer una WLAN con WPA utilizando FreeRADIUS y clientesWindowsXP y Linux con xsupplicant satisfactoriamente con varios puntos de acceso: D-Link900AP+, Linksys WRT54G y Cisco Aironet 1200+IOS.

VPNs

El túnel VPN acaba siempre en el servidor VPN, es decir, una puerta de enlace VPN. Elsistema VPN puede estar f ormado de distintas maneras:- Existen AP (Puntos de Acceso), que ya tienen integrado un servidor VPN. Laautentif icación se realiza, bien, consultando en una base de datos local del AP o conun servidor RADIUS externo. Un túnel VPN seguro acaba en un AP.- Otra posibilidad es el uso de un servidor VPN central. El servidor VPN puede ser undisposit ivo de Hardware o un ordenador en el que haya instalada una aplicación desof tware VPN. En la red LAN el túnel VPN va desde los clientes pasando por el APhasta el servidor VPN . Si existen ya servidores VPN para accesos RAS (Servicio deAcceso Remoto) ya pueden ser usados en las redes LAN inalámbricas.

Otra opción muy usada es utilizar VPNs directamente sobre la capa f ísica de WiFi. Estaalternativa no responde a ningún estándar de WiFi. Existen muchos tipos de VPNs, que nose mencionarán aquí, por no ser parte de WiFi, pero sí se debe aclarar que es una opciónmuy válida y de hecho se está implementado cada vez con mayor f recuencia en lasComunidades wireless.Ventajas de esto, es que permite usar distintos protocolos decif rado.

Tenemos multitud de alternativas en este campo :

OpenVPNvtundvpndFreeswa.CIPEIPSec (sin enrutamiento dinámico), más adelante hablaré de éste últ imo.

Volver arriba

Vulnerabilidades o pequeños despistes :)

PDFmyURL.com

Quizás la mas popular sea la def iciencia WEP, dicha vulnerabilidad consiste basicamente(Muy por encima):

Los CRCs son independientes de la llave utilizada

MIC Independiente de la llave , esto es ausencia de mecanismo de chequeo de integridaddel mensaje.Esta debilidad en la encriptación da lugar a que conocido el plaintext de un solopaquete encriptado con WEP sea posible inyectar paquetes a la red.

Tamaño de IV demasiado corto , El IV tiene 24 bits de longitud y viaja como texto plano.Un AP que opere con grandes volúmenes de tráf ico comenzará a repetir este IV a partir deaproximadamente 5 horas. Esta repetición hace que matemáticamente se pueda operar parapoder obtener el texto plano de mensajes con IV repetido (sin gran nivel de dif icultad). Elestándar especif ica que el cambio de IV es opcional, siendo un valor que empieza con ceroy se va incrementando en uno.

Reutilización de IV, se pueden hacer ataques "Estadísticos", ya que el vector deinicialización se repite f recuentemente, las nuevas corrección que se usarán en 802.11i estásubsanado.

Deficiencias en el método de autenticación Shared Key, nos enf rentamos a ataquespasivos.Si un atacante captura el segundo y tercer mensaje de administración en unaautenticación mutua. El segundo posee el desaf ío en texto plano y el tercero contiene elmensaje criptograf iado con la clave compartida. Con estos datos, posee todos loselementos para autenticarse con éxito sin conocer el secreto compartido (Con esto sólologra autenticarse, luego queda el acceso a la red).

Puntos ocultos, esto puede ser una vulnerabilidad, si no se localizan, af ortunadamente nopresenta un riesgo, pues existen muchas herramientas que permiten su detección.

Falsif icación de AP : Es muy simple colocar una AP que dif unda sus SSID, para permitir acualquiera que se conecte, si sobre el mismo se emplean técnicas de “Phishing”, se puedeinducir a creer que se está conectando a una red en concreto. Existen varios productos yadiseñados par f alsif icar AP, en la terminología WiFi se los suelen llamar “Rogue AP” o FakeAP”, el más común es un concocido srcipt en Perl denominado justamente “FakeAP”, queenvía Beacons con dif erentes ESSID y dif ernetes direcciones MAC con o sin empleo deWEP, este si que puede llegar a ser un verdadero suplicio:)

Debilidad en WPA, aunque parezca raro, tambien existen vulnerabilidades: Resulta que silas claves preestablecidas utilizadas en WPA utilizan palabras presentes en el diccionario yla longitud es inf erior a los 20 caracteres, el atacante sólo necesitará interceptar el tráf icoinicial de intercambio de claves. Sobre este tráf ico, realizando un ataque de diccionario, elatacante puede obtener la clave preestablecida, que es la inf ormación necesaria paraobtener acceso a la red. Esta debilidad se resuelve f acilmente, empleando claves largas :)

PDFmyURL.com

Pequeños despistes, como pequeños despistes, señalar basicamente lasconf iguraciones de f ábrica, esto solo lo hace la gente a nivel doméstico, pues no es muyserio, dado que de todos es sabido que direcciones ip usan determinadas marcas, por nodecir contraseñas, essid, etc. No cuesta nada personalizar un poco:)

Volver arriba

Recomendaciones

Una serie de recomendaciones mas o menos a tener en cuenta, según la importancia de lared:

Estudio de cobertura: Con el f in de radiar de una f orma mas restrictiva sobre lalocalización deseada.Esto solo aplicable en redes muy pequeñas o domésticas.

Mejorar la seguridad f ísica.

Cerrar puertos que no se emplean

Limitar el número de direcciones MAC que pueden acceder. Esta actividad se realiza pormedio de ACLs (Access List Control) en los AP, en las cuales se especif ica (a mano) lasdirecciones MAC de las tarjetas a las que se les permitirá el acceso, negando el mismo acualquiera que no f igure en ellas. Cabe aclarar que es tremendamente f ácil f alsif icar unadirección MAC (Ej: En Linux es simplemente el comando “if conf ig”).

Se podría cancelar la tramas Beacon en los AP, pero el nivel de seguridad no sería tampocobueno,pues cualquier sistema de escucha, por más que no capture la trama Beacon, alcapturar la trama PROVE REQUEST del cliente, o la trama PROVE RESPONSE del AP, enellas también viaja el ESSID:)

Implementar la autenticación de usuario: Mejorar los puntos de acceso para usar lasimplementaciones de las normas WPA y 802.11i.

Proteja la WLAN con la tecnología “VPN Ipsec” o tecnología “VPN clientless”: esta es laf orma más segura de prestar servicios de autenticación de usuario e integridad y

PDFmyURL.com

conf idencialidad de la inf ormación en una WLAN. La tecnología adicional VPN no dependedel punto de acceso o de la tarjeta LAN inalámbrica; por consiguiente, no se incurren encostos adicionales de hardware puesto que las normas de seguridad inalámbrica continúanevolucionando.Está es una solución muy apropiada para redes mas o menos grandes.

Uso de IDS (detectores de intrusos), desde el punto de vista de la auditoría,etc

Configuraciones iniciales de STA’s y AP’s: Evitando conf iguraciones estandar def abricante.

Polít ica de actualización de f irmwares, puede ser útil...

Uso de protocolos seguros en las comunicaciones: Ssh en lugar de Telnet, Smtps enlugar de Smtp,Pops en lugar de Pop,Imaps en lugar de Imap,Https en lugar de http (páginascon autenticación).

Análisis de solapamiento de redes, no vaya ser que el vecino sea muy descuidado :)

Volver arriba

Monitorización y control

A dif erencia de las redes Ethernet, aquí tendremos dos tipos:

Monitorización y control de red: Análisis de la cantidad de tráf ico, t ipo deprotocolos, direcciones origen/destino, etc.

Monitorización y control a nivel radio: Análisis del espectro radioeléctricoen el que se encuentren alojadas nuestras comunicaciones.

Utilizaremos analizadores específ icos de tráf ico tales como TCPDUMP, IPTRAF,ETHEREAL, etc. Este últ imo, bastante práctico, ya que reconoce el tráf ico generado en lasredes wireless dif erenciando entre diversos protocolos como puedan ser WEP, WPA, etc.

En sistemas Linux uno de los más recomendables es AIRTRAF, éste no sólo monitorizatráf ico sino que permite la selección de un punto de acceso especif ico sobre cualquier redwireless para su monitorización.

A nivel radio podemos usar herramientas específ icas en entornos wireless talescomo AirSnort, Netstumbler, Kismet, etc.

PDFmyURL.com

Como medida de seguridad y herramienta de monitorización y control adicional, a parte delos f irewalls respectivos de una red ethernet tradicional, se recomienda la utilización de unf irewall en el punto de comunicación con la red wireless, con su correspondiente IDS para lamonitorización del tráf ico generado.Entre la diversas herramientas podemos destacar para entornos Linux:

SNORT+Parche actualización wireless: Tradicional IDS de redes ethernet con unmódulo de ampliación para redes wireless ya disponible.

AirShang: 802.11 IDS que basa su monitorización en direcciones MAC. No muy bueno.

Widz: 802.11 IDS que en su ult ima versión es capaz de detectar AP’s f alsos,Monkey-Jacks, Flouds entre otros e incorpora una “Mac Black-List” es uno de losmas completos ya que no basa su f uncionamiento solo en las direcciones MAC.

Wids: 802.11 IDS no implementa todas las opciones de Widz pero es unaalternativa muy f iable.

Igualmente podemos usar IDS comerciales $$ como Airdefense .

Volver arriba

Tipos de Ataques.

Como no empezamos con los ataques al WEP:

Ataque de fuerza bruta : Este ataque, aunque f unciona, dado a las limitaciones de WEP(indicadas anteriormente), no se suele hacer dado que tardaríamos unos 3 meses enobtener la clave con un ordenador mas o menos potente.

Ataque con diccionario: Igual que el anterior, pero mas rápido, gracias a la utilización dediccionarios :)

Ataque Inductivo Arbaugh: Se basa en explotar la vulnerabilidad de MIC independiente de

PDFmyURL.com

la llave aprovechando también la redundancia de inf ormación producida por el CRC.ELf uncionamiento visto muy por encima trata mas o menos el que sigue:

Para realizar el ataque hay que conocer parte del plaintext que viaja encriptado en unatrama, que podemos obtener por ejemplo identif icando mensajes “DHCPDISCOVER”de los que conocemos que la cabecera IP tendrá como origen 0.0.0.0 y como destino255.255.255.255 y t ienen longitud f ija. Una vez identif icada la trama con el mensaje“DHCPDISCOVER” realizamos una XOR del plaintext conocido con el cyphertext quehemos recibido, obteniendo así 24 bytes del keystream para el IV concreto del paquete. Losiguiente será modif icar el paquete, pero de f orma engañosa, es decir, debemos meterlo enun arp o un ping, para así obtener respuesta, Una vez lanzado, si tenemos respuesta,Bingo!, era el últ imo byte del vector, en caso contrario tendremos que probar con los 255posibilidades restantes, modif icando el últ imo byte :(

El atacante tiene que volver a generar un paquete del cual se le devuelva una respuesta,(lo mejor es enviar broadcast pings, así recibimos múltiples respuestas por cada paqueteque enviamos). El atacante conoce el plaintext de la respuesta y el que responde cada vezenviará el paquete con un IV dif erente, así es posible construir una tabla de keystreamscompletos para cada IV que el atacante puede utilizar para descif rar el tráf ico encriptadocon WEP en tiempo real.Decir que tendríamos que capturar, teoricamente unos 24GB :)

Debilidades en el algoritmo key RC4 :Esto es el f uncionamiento de programas comoairsnort o wepcrack, El f uncionamiento, es realmente complicado, así que nos quedamoscon que es una de las f ormas mas rápidas para obtener la WEP.

Ataques a ACL’s basados en MAC : Para llevar a cabo el ataque basta con esnif ar duranteun momento el tráf ico y f ijarnos en la MAC de cualquiera de los clientes, sólo hace f alta quenos pongamos su misma MAC y ya habremos saltado la restricción.Hay que tener en cuentaque si hay dos máquinas en la red con la misma direcciónMAC podemos tener problemas, aunque generalmente en las redes wireless esto nosuele ser un problema muy grave ya que el Punto de Acceso no puede distinguir queverdaderamente hay dos máquinas con la misma MAC. De todas f ormas, si queremospodemos “anular” a la máquina que le hemos “robado” la dirección MAC. Para haceresto, debemos implementar un ataque de Denegación de Servicio.

Ataque de Denegación de Servicio (DoS) : Para realizar este ataque basta con esnif ardurante un momento la red y ver cual es la dirección MAC del Punto de Acceso. Una vezconocemos su MAC, nos la ponemos y actuamos como si f uéramos nosotros mismos el AP.Lo único que tenemos que hacer para denegarle el servicio a un cliente es mandarlecontinuamente notif icaciones (management f rames) de desasociación o desautenticación.Si en lugar de a un solo cliente queremos denegar el servicio a todos los clientes de laWLAN, mandamos estas tramas a la dirección MAC de broadcast.Para esto tenemosherramientas como wlan- jack o dassoc (desarrollada por @stake), ambas de linux.

PDFmyURL.com

ESSID ocultados : Aunque no es meramente un ataque, veamos como podemos descubridAP´S ocultos:

AL estar oculto, signif ica que el AP no emite beacom, por tanto no sabemos el essid,eneste caso, para descubrir el ESSID deberíamos esnif ar y esperar a que un cliente seconectara, y veríamos el ESSID en la trama PROVE REQUEST del cliente (en el casode que no se manden BEACON FRAMES), o en la trama PROVE RESPONSE del AP.Pero también podemos “provocar” la desconexión de un cliente, utilizando el mismométodo que en el ataque DoS, pero mandando sólo una trama de desasociación o dedesautentif icación en lugar de mandarlas repetidamente, es decir, nos ponemos ladirección f ísica del AP y mandamos una trama DEAUTH o DISASSOC a la direcciónMAC del cliente (o a la de broadcast), entonces el cliente intentará volver a asociarse oautentif icarse, con lo que podremos ver el ESSID en los management f rames. Para este f inpodemos usar una herramienta muy popular como es essid- jack, tambien para linux.

Ataque Man in the middle :Tambien conocido como "Mono en medio", consiste enconvencer al cliente (la víctima) de que el host que hay en el medio (el atacante) es el AP, yhacer lo contrario con el AP, es decir, hacerle creer al AP que el atacante es el cliente.

Para realizar este ataque, primero debemos esnif ar para obtener:- El ESSID de la red (si esta ocultado, usaremos el método anterior)- La dirección MAC del AP- La dirección MAC de la victima

Una vez conocemos estos datos, utilizamos el mismo método que en el ataque DoS,para desautentif icar a la víctima del AP real, es decir, el atacante spoof ea su MAChaciéndose pasar por el AP y manda tramas DEAUTH a la victima. La tarjeta wi- f i de lavictima empezará entonces a escanear canales en busca de un AP para poderseautenticar, y ahí es donde entra en juego el atacante.El atacante hace creer a la victima que él es el AP real, utilizando la misma MAC y elmismo ESSID que el AP al que la victima estaba autenticada anteriormente, perooperando por un canal distinto. Para realizar esto la tarjeta wi- f i del atacante debe estar enmodo master, mas adelante veremos que tarjetas pueden estarlo y como hacerlo:)

Por otra parte, el atacante debe asociarse con el AP real, utilizando la dirección MAC dela víctima.De esta manera hemos conseguido insertar al atacante entre la victima y el AP,veamos como quedaría la WLAN después de realizar el ataque.

Quedaría por tanto así:

PDFmyURL.com

Es muy f ácil implementar este tipo de ataques utilizando el driver air- jack con laherramienta monkey- jack.

Ataque ARP Poisoning : El ARP cache poisoning es un ataque que sólo se puede llevar acabo cuando el atacante está conectado a la misma LAN lógica que las victimas, limitandosu ef ectividad a redes conectadas con switches (aunque curiosamente, no todos), hubs ybridges, pero no routers. La mayoría de los Puntos de Acceso 802.11b,g actúan comobridges transparentes de capa 2, lo que permite que los paquetes ARP pasen de la redwireless hacia la LAN donde está conectado el AP y viceversa. Esto permite que se ejecutenataques de ARP cache poisoning contra sistemas que están situados detrás del Punto deAcceso, como por ejemplo servidores conectados a un switch en una LAN a los que sepueda acceder a través de la WLAN.

No hace f alta comentar las posibles soluciones a este ataque, se ven evidentes?

Veamos un ejemplo:

PDFmyURL.com

El servidor PC 1 se comunica con PC 3 a través del switch, si un atacante desde laWLAN envenena la tabla de ARP’s de PC 1 y de PC 3 podrá realizar un ataque del t ipo"Mono en medio"(visto anteriormente) situándose entre los dos hosts de la red con cables.

Una vez realizado el ataque, veríamos algo así:

PDFmyURL.com

El atacante manda paquetes ARP REPLY a PC 2 diciendo que la dirección IP de PC 1 la t ienela MAC del atacante, de esta manera consigue “envenenar” la caché de ARP’s dePC 2. Luego realiza la misma operación atacando a PC 1 y haciéndole creer que la direcciónIP de PC 2 la t iene también su propia MAC. Por como f unciona el ARP, ambos pc´sactualizaran sus caches de acuerdo con la inf ormación inyectada, en este caso por elindividuo piratilla.Como el switch y el AP f orman parte del mismo dominio de broadcast, los paquetesARP pasan de la red wireless a la red con cables sin ningún problema. Para realizar elataque ARP Poisoning, existen múltiples herramientas , ya que este ataque no es específ icode las redes wireless, la más f amosa es el snif f erEttercap (lo hace todo solo:).Podríamos f renar este ataque creando dos VLAN’s en elswitch, una para la boca a la que está conectado el AP y la otra para el resto de máquinas.Otra f orma de f renarlo sería utilizando tablas de ARP estáticas (La solución mas rápida).

PDFmyURL.com

**Existen más tipos de ataques que no se comentan aquí, dado que el principio def uncionamiento está basado en los detallados anteriormente.

Volver arriba

Buscando soluciones.....

Vamos a intentar buscar soluciones a cada uno de estos ataques.

La mejor solución a los ataques del WEP, aunque suene algo ..., es NO Usarlo :), existenmás y mejores protocolos que lo pueden sustituir.

Para evitar los ataques de ACL’s basados en MAC , nuevamente lo mas f ácil es noautentif icar a los usuarios con este método, se puede optar por alguno de los comentadosanteriormente.

Los ataques Dos, son bastante mas dif ícil de evitar, puesto que si se trata de un ataqueDOS a nivel de radio, la única solución es cambiar el canal de trabajo, o lacalizar el AP´s quenos está f astidiando, pero no podemos prevenirlo, Los de tipo Dos de toda la vida, algo sepuede hacer, basicamente con reglas, IDS,etc.

Una solución para los ataques "Man in the middle", dado la característica principal de esteataque, el ARP, no hay una f orma segura al 100% , se pueden emplear monitores ARP, comoArp watch, para intentar localizar operaciones inusules; Igualmente podemos usarIDS(sistemas detectores de intrusos), como snort:). Lo mejor sería emplear solucionescriptográf icas que permitan evitar modif icaciones en el arp, pero no siempre es f actible,como método un tanto paranoico, apuntar a que existen diversas empresas quecomercializan hardware de monitorización ARP.

Estos ataques, son los peores a la hora de prevenir y por si f uera poco, existen multitud deataques que se basan en este, por ejemplo : dnsspof f ing, etc.

Volver arriba

PDFmyURL.com

Manos a la obra.

Vamos a ver unos ejemplos prácticos de los ataques comentados anteriormente .

1.activamos en modo monitor :

# airmon.sh start ath0Interf ace Chipset Driverath0 Atheros madwif i (monitor mode enabled)

**Veremos mas adelante las necesidades y conf iguraciones.

2. Descubrimos algún vecino:)

# airodump ath0 wep-crk 0BSSID PWR Beacons # Data CH MB ENC ESSID00:13:10:1F:9A:72 62 305 16 1 48 WEP ComposBSSID STATION PWR Packets ESSID00:13:10:1F:9A:72 00:0C:F1:19:77:5C 56 1 Compos

Volver arriba

3.- Crackeando una WEP

Es recomendable tener una partición en FAT32 (Por ser legible con Windows y Linux, ¡quiensabe!) para guardar todos los datos que obtengamos, de unos 3 a 3.5 Gb.

Se ha usado una ZCOM XI-325HP+ .

Preparación de nuestra interfaz WiFi:

(1) Abrimos una consola y escribimos: airmon.sh para detectar las los nombres de lasinterf aces WiFi de las cuales disponemos.

(2) Selecionamos con la que queremos trabajar y escribimos: airmon.sh startnombredelinterf az , nos volverá a aparecer la pantalla que nos apareció en (1) pero éstavez al lado del interf az que seleccionamos nos aparece (modo monitor activado).

PDFmyURL.com

Utilizando Airodump:

(3) Abrimos la consola y nos colocamos en el directorio donde queramos que se guarde lainf ormación.

(4) Escribimos en la consola: airodump nombredelinterf az nombref icherodesalida 0 1 , Elprimer 0 es para escanear en todos los canales, para uno determinado se pone el númerodel canal determinado; el 1 es para crear un f ichero específ ico y con la inf ormación justapara obtener la clave WEP (se puede omitir el 1).Cuanto mas paquetes IVs=DATA tengamos mejor.En cuanto empiecen a llenarse los IVs =DATA en el campo ENC nos dirá el t ipo de red quees: WEP, WPA, OPN.Para detener la captura y guardar pulsamos Ctrl+C.

Inyectamos paquetes para acelerar el tráfico y estimular el envío de IVs con Aireplay:

FAKE AUTENTIFICATIONIntentamos hacer una autentif icación f alsa haciéndonos pasar por 11:22:33:44:55:66 ésto lohacemos cuando no hay clientes asociados al equipo.

Abrimos otra consola en la misma ventana y mismo directorio que donde ejecutamosairodump. Los parámetros son: aireplay -1 0 -e Essid -a -b (Bssid del AP ) -h ( Bssid de laestación)( interf az ) ejemplo: aireplay -1 0 -e Essid Objetivo –a Bssid Objetivo -b BssidObjetivo -h 11:22:33:44:55:66 ath0.

Algunos puntos de acceso requieren de reautenticación cada 30 segundos, si no nuestrocliente f also será considerado desconectado. En este caso utiliza el retardo de re-asociación periódica: aireplay -1 30 -e "el ssid" -a 00:13:10:30:24:9C -h 11:22:33:44:55:66ath0

Advertencia: Si sólo coges las beacon f rames porque no hay tráf ico, es decir con elairodump no detectas nada asociado a tu punto de acceso objetivo y tampoco cogesningún IVs, puedes empezar a olvidarte de desencriptar:)

Si todo ha salido bien aparecerá el mensaje : successsf ul :- ;.Si ha salido mal te da pistas (y el problema sea la MAC seguramente pero eso con elEthereal se arregla), tendrías que cambiar la 11:22:33:44:55:66 por una válida.El (-1 0) indica que es una ataque por f ake autentif ication.Si no te has asociado no podrás acelerar el proceso y para pasar al paso siguiente(AIRCRACK) debes esperar mas tiempo a que crezcan los paquetes buenos.

INYECCIÓN DE PAQUETES PDFmyURL.com

INYECCIÓN DE PAQUETESSi nos ha f allado el punto (5) pero con airodump ves que hay clientes asociados al punto deacceso, después de "-h" pones la dirección MAC del cliente asociado (recuerda que si nohay tráf ico estas perdido).

(6) Mismo comando que para el (5) pero con excepciones:ejemplo: aireplay - 3 – b Bssid Objetivo -h 11:22:33:44:55:66 ath0 x 600nombref ichero_de_salida.capHay que añadir el parámetro – x ordenado, de un valor que se corresponde al total depaquetes por segundo que el aireplay vaya a injectar. Aquí 600. Ponga más o menossiguiendo si la potencia (f uerza) de la señal del AP es más o menos f uerte.

Verás como los IVs=DATA y ARP van subiendo, como máximo aireplay guarda a 1024 tiposde ARP.

Utilizando Aircrack

Ten en cuenta que cuanto mas tráf ico tenga la red mejor, es mas como has podidocomprobar con aireplay lo que se genera es tráf ico.

(7) Abre otra consola en la misma ventana y colocate en el mismo directorio donde hiciste lodel airodump y lo de aireplay.El comando es el siguiente: aircrack - x - 0 - f 3 nombref icherodesalida.cap , el aircrackpuede usar *.cap y *.ivs, el parámtero – x obia los dos últ imos bits al aplicar f uerza brutapara ser mas rápido.Seleccionas el número de la red a desencriptar pulsar intro y comienza la búsqueda, cuandoacabe si la ha encontrado aparecerá en rojo en hexadecimal y si no te dice porqué hapodido f allar, durante este proceso airodump continúa añadiendo paquete que aircrack usa,si no has conseguido la clave deja corriendo airodump y ejecuta un par de veces masaireplay.

Si tenemos varios archivos generados por el aireplay hacemos lo siguiente: aircrack -x -0nombrearchivosalidaaireplay1.cap nombrearchivosalidaaireplay2.cap y así sucesivamente

Utilizando el Ethereal

Por si la red tiene desactivado el dhcp y t iene activo un f iltrado de MAC.En la inmensa mayoría se trata de 192.168.1.xxxDe todas f ormas estos son los pasos a seguir:(8) Abrimos el Ethereal. Edit -> Pref erences -> protocols -> IEEE802.11Metemos en WEP key #1: La clave obtenida y seleccionas la pestaña: Assume packets haveFCS. OK.

PDFmyURL.com

(9) Vamos a Capture -> OptionsEscogemos la interf az (ath0).Seleccionamos el compartimiento (captura paquetes in promiscuous modo).Seleccionamos el compartimiento (enable network name resolución).

(10) Para f ijarnos sólo a los que interesan aplicamos un f iltro en el compartimiento (f ilter).Un f iltro de tipo (wlan.bssid == bssid del ap) ** (TCP)

Tan solo 12 minutos y bingo !

Para ver como se explota esta vulnerabilidad con un pentest(Auditor), pincha Aquí.

Por aquí otra con más salero :)

Volver arriba

Deautentificación, haciendo enemigos:)

Este ataque puede ser usado para recuperar un SSID oculto (por ejemplo, uno que no seabroadcast), capturar un WPA o f orzar una Denegación del Servicio. El objetivo del ataque esf orzar al cliente a reautentif icarse, lo que unido a la f alta de autentif icación hace posible

PDFmyURL.com

que el atacante consiga hacer spoof de las direcciones MAC.

Un cliente wireless puede ser deautentif icado usando el siguiente comando, que hace quese envíen paquetes de deautenticación desde el BSSID al cliente MAC haciendo spoof ingdel BSSID:

# aireplay -0 5-a 00:13:10:1F:9A:72-c 00:0C:F1:19:77:5Cath0

Se puede lograr una deautentif icación masiva, aunque no siempre es f iable, haciendo que elatacante esté haciendo spoof ing constante del BSSID y reenviando el paquete dedeautentif icación a la dirección broadcast:

# aireplay -0 0-a 00:13:10:1F:9A:72ath0

Volver arriba

Como Desencriptamos paquetes de datos WEP sin conocer la clave:

Este ataque está basado en la herramienta llamada chopchop, que puede desencriptarpaquetes encriptados con WEP sin conocer la clave. El chequeo de integridad implementadoen el protocolo WEP permite que el atacante pueda modif icar tanto un paquete encriptadocomo su correspondienteCRC.

Veamos como podemos llevar a la práctica esto :

# aireplay -4 -h 00:0C:F1:19:77:5C ath0Read 413 packets...Size: 124, FromDS: 0, ToDS: 1 (WEP)BSSID = 00:13:10:1F:9A:72Dest. MAC = 00:13:10:1F:9A:70

PDFmyURL.com

Source MAC = 00:0C:F1:19:77:5C0x0000: 0841 d500 0013 101f 9a72 000c f 119 775c .A.......r....w\0x0010: 0013 101f 9a70 c040 c3ec e100 b1e1 062c .....p.@.......,0x0020: 5cf 9 2783 0c89 68a0 23f 5 0b47 5abd 5b76 \.'...h.#..GZ.[v0x0030: 0078 91c8 adf e bf 30 d98c 1668 56bf 536c .x.....0...hV.Sl0x0040: 7046 5f d2 d44b c6a0 a3e2 6ae1 3477 74b4 pF_..K....j.4wt.0x0050: f b13 c1ad b8b8 e735 239a 55c2 ea9f 5be6 .......5#.U...[.0x0060: 862b 3ec1 5b1a a1a7 223b 0844 37d1 e6e1 .+>.[...";.D7...0x0070: 3b88 c5b1 0843 0289 1bf f 5160 ;....C....Q`Use this packet ? ySaving chosen packet in replay_src-0916-113713.capOf f set 123 ( 0% done) | xor = 07 | pt = 67 | 373 f rames written in 1120msOf f set 122 ( 1% done) | xor = 7D | pt = 2C | 671 f rames written in 2013ms(...)Of f set 35 (97% done) | xor = 83 | pt = 00 | 691 f rames written in 2072msOf f set 34 (98% done) | xor = 2F | pt = 08 | 692 f rames written in 2076msSaving plaintext in replay_dec-0916-114019.capSaving keystream in replay_dec-0916-114019.xorCompleted in 183s (0.47 bytes/s)

La tarjeta wireless debe estar situada en modo monitor, en el canal adecuado. Aireplaypedirá al atacante que acepte los paquetes encriptados (como vemos arriba). Se crean dosf icheros pcap: uno para los paquetes desencriptados, y otro para su f lujo de datoscorrespondiente. El archivo resultante puede ser legible usando tcpdump, como sigue:

Leyendo el f ichero ...

# tcpdump -s 0 -n -e -r replay_dec-0916-114019.capreading f rom f ile replay_dec-0916-114019.cap, link-type IEEE802_11 (802.11)11:40:19.642112 BSSID:00:13:10:1f :9a:72SA:00:0c:f 1:19:77:5c DA:00:13:10:1f :9a:70LLC, dsap SNAP (0xaa), ssap SNAP (0xaa), cmd 0x03: oui Ethernet (0x000000),ethertype IPv4 (0x0800): 192.168.2.103 > 192.168.2.254:ICMP echo request, id 23046, seq 1, length 64

Una vez capturado el f lujo de clave, es posible imitar cualquier paquete.Aquí tenemos una petición ARP enviada desde 192.168.2.123 (00:0C:F1:19:77:5C) a192.168.2.103:

# arpf orge \

PDFmyURL.com

replay_dec-0916-114019.xor \1 \00:13:10:1F:9A:72 \00:0C:F1:19:77:5C \192.168.2.123 \192.168.2.103 \f orge-arp.cap

Finalmente aireplay se usa para volver a ejecutar este paquete:

Ejecutanto el paquete falso:)

# aireplay -2 -r f orge-arp.cap ath0Size: 68, FromDS: 0, ToDS: 1 (WEP)BSSID = 00:13:10:1F:9A:72Dest. MAC = FF:FF:FF:FF:FF:FFSource MAC = 00:0C:F1:19:77:5C0x0000: 0841 0201 0013 101f 9a72 000c f 119 775c .A.......r....w\0x0010: f f f f f f f f f f f f 8001 c3ec e100 b1e1 062c ...............,0x0020: 5cf 9 2785 4988 60f 4 25f 1 4b46 1ab0 199c \.'.I.̀ .%.KF....0x0030: b78c 5307 6f 2d bdce d18c 8d33 cc11 510a ..S.o-.....3..Q.0x0040: 49b7 52da I.R.Use this packet ? ySaving chosen packet in replay_src-0916-124231.capYou must also start airodump to capture replies.Sent 1029 packets...

Volver arriba

Autentificación Falsa, Disfrazandonos:)

El método de crackeado de la clave WEP descrito anteriormente requiere un cliente ,asociado con el punto de acceso para asegurarse de que el punto de acceso no rechacelos paquetes por una dirección de destino no asociada. Si se utiliza autentif icación abierta,cualquier cliente podrá ser autentif icado y asociado con el punto de acceso, pero el puntode acceso rechazará los paquetes no encriptados con la clave WEP correcta. UtilizamosAireplay para imitar una petición de autentif icación y asociación para el SSID Compos(BSSID: 00:13:10:1F:9A:72) con la dirección MAC f alseada 0:1:2:3:4:5.

# aireplay -1 0 -e Compos-a 00:13:10:1F:9A:72 -h 0:1:2:3:4:5 ath018:30:00 Sending Authentication Request18:30:00 Authentication successf ul

PDFmyURL.com

18:30:00 Sending Association Request18:30:00 Association successf ul

Volver arriba

Metiendo mano a WPA.

Ninguna de las vulnerabilidades es peligrosa si se siguen unas mínimas recomendacionesde seguridad. La vulnerabilidad más práctica es el ataque contra la clave PSK de WPA/WPA2.La PSK proporciona una alternativa a la generación de 802.1X usando un servidor deautentif icación, pero queda en evidencia que es mejor solución emplear un servidor radius.

Vamos a ver quien hay ....

# airodump ath0 wpa-crk 0BSSID PWR Beacons # Data CH MB ENC ESSID00:13:10:1F:9A:72 56 112 16 1 48 WPA ComposBSSID STATION PWR Packets ESSID00:13:10:1F:9A:72 00:0C:F1:19:77:5C 34 1 Compos

Debemos entonces deautentif icar los clientes

Así f orzándolos a iniciar un nuevo proceso de autenticación y permitiéndonos capturar losmensajes llamados 4-Way Handshake. Aireplay se usa para este ataque, y deautentif icará alcliente deseado con la BSSID especif icada enviándole una petición de desautentif icaciónf alsa:

# aireplay -0 1 -a <BSSID>-c <client_mac> ath0

Lanzamos un ataque de diccionario

$ aircrack -a 2 -w some_dictionnary_f ile -0 wpa-psk.capOpening wpa-psk.capRead 541 packets.BSSID ESSID Encryption00:13:10:1F:9A:72 Compos WPA

Vemos como una clave WPA débil ha sido encontrada .

PDFmyURL.com

Otro t ipo de ataque a WPA

Esta vulnerabilidad, quizas sea la más importante en WPA.

La otra debilidad WPA es una posibilidad de Negación del Serviciodurante el 4-Way Handshake.El primer mensaje del 4-Way Handshake no está autentif icado,y cada cliente tiene que guardar cada primer mensaje hasta que reciban un tercer mensajeválido (f irmado), dejando al cliente potencialmente vulnerable. Haciendo un spoof ing delprimer mensaje enviado por el punto de acceso, un atacante podría realizar un ataque DoS.

Veamos un ejemplo de conf iguración del archivo Wpa_supplicant para WPA2:

ap_scan=1 # Analiza f recuencias de Radio y selecciona punto § de acceso apropiadonetwork={ # Primera red inalámbricassid="some_ssid" # SSID de la redscan_ssid=1 # Envía petición de prueba para encontrar SSID ocultosproto=RSN # RSN para WPA2/IEEE 802.11i

PDFmyURL.com

key_mgmt=WPA-PSK # Autenticación de la clave pre-compartidapairwise=CCMP # Protocolo CCMP(encriptación AES)psk=1232813c587da145ce647f d43e5908abb45as4a1258f d5e410385ab4e5f 435ac}

El lugar por def ecto de la conf iguración de wpa_supplicant es /etc/wpa_supplicant.conf

El daemon wpa_supplicant debería primero lanzarse con privilegiosde root en modo debug (opción -dd), con el controlador adecuado (en nuestro ejemplo es -D madwif i para soportar el chipset Atheros), el nombre de la interf az (opción - i, en nuestrocaso ath0) y la ruta del f ichero de conf iguración (opción -c):

# wpa_supplicant-D madWi-Fi-dd -c /etc/wpa_supplicant.conf- i ath0

Pese a esto, WPA2 es bastante seguro, y seguramente será empleado como estandardef init ivo en el 802.11i.

Si quieres ver como se hace un ataque WPA con un pentest(distro linux especializada nwireless), pincha Aquí .

Volver arriba

Ataque DOS a lo Bestia.Que hacer con ->

Para realizar una denegación de servicio de radio, existen basicamente dos drivers:

wlan- jack y Dassoc

PDFmyURL.com

El primero pertenece a la colección de programas de air- jack. Sirve para las tarjetas Prism II(HFA384x), y es posible cambiar la dirección Mac, así como hacer FakeAP, que es lo quevamos a ver a continuación:

Interf az del programilla:)

Comprobamos con AiroPeek lo que se está cociendo --->

Podemos observar claramente lo siguiente:

PDFmyURL.com

Vamos a ver, solo por curiosidad, como es una trama de desasociación:

Antes del ataque, estábamos conectados, pasando en rato:

PDFmyURL.com

Ejecutamos el ataque y !!

PDFmyURL.com

sin comentarios:)

Volver arriba

Ataque DOS Mas Elegante.

Podemos usar esta misma técnica para realizar un ataque de tipo "Man in the middle",veamos pues:

PDFmyURL.com

Volver arriba

Rompiendo ACL´S Basados en Mac

Primero cambiaremos la Mac de nuestra tarjeta por una que esté en dicha lista del AP, luegohechamos al replicante y listo.

Empezamos capturando tráf ico en modo promiscuo con Ethereal :

Para ello conf iguramos minimamente el ethereal, basicamente ponemos un f iltro "arp".

PDFmyURL.com

Aquí vemos la captura de las peticiones Arp:

PDFmyURL.com

Para conseguir la Mac de un modo f ácil, basta con hacer un ping a la dirección elegida,luego un arp-a, cambiamos y listo:

veamos que Dirección f ísica tiene el 172.26.0.100 :

PDFmyURL.com

La dirección Mac la podemos cambiar f acilmente con algún sof tware tipo etherchange,etc:esto en linux se haría de f orma nativa :)

No necesitamos "tirar" al replicante, dado que el AP, no detecta que hay dos clientes con lamisma Mac, aun así si lo queremos hacer, solo tendríamos que desasociarlo del AP.Para ello

PDFmyURL.com

podemos usar mismamente un programa de linux como Void11:)

Que más podemos hacer con Void--->Aquí

Volver arriba

Descubriendo Essid Ocultos

Para este f in, emplearemos essid- jack, como solución más rápida, aunque tambien sepuede hacer con un simple snif f er, t ipo Ethereal, eso si con un poco mas de paciencia:)

En realidad con el snif f er, deberíamos capturar las tramas PROVE REQUEST, pero hecomprobado personalmente, que capturando con el f iltro que sigue, va como la seda:

PDFmyURL.com

Podemos apreciar en la misma imagen, que el ethereal tambien contiene f iltros para elvector de inicializacion , etc.

Una solución más rápida, consiste en usar Essid-Jack :

Como podemos apreciar a continuación, el Essid salta a la vista:)

PDFmyURL.com

Volver arriba

Arp Poisoning, haciendo de jefe

Este tipo de ataque es muy común, es por ello que exiten muchas versiones dif erentes delmismo, un ataque típico consiste en hacer lo siguiente:

Usamos para ello otra herramienta de air-Jack, en concreto el Kracker- Jack.

Este ataque incluso puede f uncionar si tenemos implementada un VPN con Ipsec, de f ormapoco ortodoxa.

Este ataque no lo llevaremos a la práctica, por ser bastante más complicado, pues requieredeterminados elementos hardware, si vamos a ver a continuación un ataque bastantecurioso.

Volver arriba

Ataque teórico a EAP-TLS

PDFmyURL.com

Requiere la posesión de certif icados por parte del cliente y del servidor de autentif icación,el proceso de autentif icación comienza con el envío de su identif icación (nombre deusuario) por parte del solicitante hacia el servidor, tras esto es servidor envía su certif icadoal solicitante, tras validarlo, responde con el suyo propio.Si el certif icado del usuario esválido, el servidor responde con el nombre de usuario antes enviado y se comienza lageneración de la clave de cif rado, la cual es enviada al AP por el servidor, comienza así lacomunicación segura:)

Estructura de dicha red.

En la f ase de indentif icación, el cliente envía el mensaje sin cif rar, permitiendo a un posibleatacante, usar un snif f er y capturar la identidad del que trata de conectarse.

De la misma f orma el envío de la aceptación de la conexión se realiza sin cif rar, con lo quepodemos reenviar este tráf ico, causando así un ataque DOS.

PDFmyURL.com

Volver arriba

Molestando con Rogue AP

Este tipo de "ataque", aunque realmente no es un ataque, consiste en colocar un AP bajonuestro control, cerca de las instalaciones de la victima, de f orma que los cliente asociadosa éste se conecten a nuestro AP, en lugar del que debería ser, debido a la mayor señal denuestro Ap.

Una ilustración para entenderlo mejor:)

Una vez conseguida la asociación al rogue AP, el atacante puede provocar un ataque DOs,robar datos, etc.

Se suele emplear esta ataque para: crear puertas traseras, espiar, etc

Para montar un Rogue AP, podemos usar un AP modif icado, o simplemente nuestro portátil,para ello necesitamos que la tarjeta soporte modo master, dado que tiene que poderf uncionar como AP, usaremos la herramienta airsnaf,pues ella sola lo automatiza todo,sino, tendríamos que poner el portátil para que f uncionase como servidor http, servidorDNS, servidor dhcp y conf igurar un portal cautivo, pero airsnaf lo hace todo y mas:)

Una vez el usuario introduce la contraseña en el portal cautivo, el atacante ya la t iene en supoder.El usuario no se da cuenta, puesto que se modif ica previamente la apariencia delportal cautivo, para que sea igual a la legítima.

PDFmyURL.com

Este método tiene muchas vertientes, se usa el f amoso Radius-Radius, basicamente, seañade un servidor radius.

Volver arriba

Érase un Fake-AP .........

Si existe gente, y apropósito, existe!!, que tenga ganas de tocar los...., pueden hacernostemplar con Fake-Ap, veamos como va esto.

Apreciamos la pantalla principal.

PDFmyURL.com

En f uncionamiento.......................

Vemos el resultado........................

PDFmyURL.com

La verdad es que no tiene mucho mas que comentar :(

Volver arriba

Breves conceptos sobre chipset y configuraciones

Chipset:

Las tarjetas Wi-Fi utilizan un chipset u otro según f abricante. Es posible que el mismof abricante comercialice tarjetas con chipsets distintos, para hacernos una ideaestos son los chipsets más comunes:

• Hermes (Lucent)– Lucent / Agere / Orinoco

• Orinoco, Avaya, Compaq, Lucent

• Prism 2 / 2.5 / 3 (Intersil)

• D-Link, Linksys, Netgear, SMC, USR, Conceptronic

Nota: El f irmware tiene propiedades de AP, por tanto es posible conf igurar latarjeta para que trabaje como si f uera un Punto de Acceso (modo Master).

• Airo (Aironet)– Cisco

• TI ACX100 (Texas Instruments)– 3Com / USR, D-Link, Wisecom, Eusso, Linksys (WAP11 v2.2)

Modos: Los modos más comunes que aceptan las tarjetas wi- f i son Ad-Hoc, Managed,Master, y monitor.

• Ad-Hoc: conectar dos PC’s sin AP

• Managed: Tarjeta asociada con un AP

• Master: La tarjeta trabaja como un AP , se necesita el hostAP y *SÓLO FUNCIONA CONCHIPSET PRISM*

PDFmyURL.com

• Monitor: Permite capturar paquetes sin asociarse a un AP o a una red ad-hoc.– Monitoriza un canal especif ico sin transmitir paquetes– No es lo mismo que el modo promiscuo

Chipset PRISM: Sin problemasChipset Orinoco: Parche http://airsnort.shmoo.com/orinocoinf o.html

Nota: Es importante darse cuenta, de que las tarjetas que traen los portatil integrada,normalmente BG2200, BG2100,ABG2915 (En toshiba sobre todo), estas tarjetas no pueden(de momento), inyectar paquetes, con lo que tienes ciertas limitaciones, Igualmente noadmiten Mod Master, etc.

Volver arriba

QOS (Calidad de Servicio), El que no tenga prisa, que espere.

Aunque no tienes mucho que ver con la seguridad, si voy a hablar un poco de QOS, porquemerece la pena:)

Consiste en un conjunto de técnicas utilizadas para aumentar la ef icienciade las comunicaciones.Es bastante molesto cuando en una red , la gente utiliza programasp2p,etc, entonces todo se relentiza :(

Entre las dif erentes técnicas conocidas de QoS destacan por su simplicidady ef iciencia los “Traf f ic Shapper” y la utilización de proxys (Squid) paradif erentes tipos de servicios.

NocatAuth: es muy restrictivo, dif erencia basicamente 4 tipos de usuarios: propietario,usuarios con Login, invitados, sin login.

Como práctica, mas adelante implementaremos un un NocatAuth bajo linux.

Volver arriba

Instalación NocatAuth Gracias a OlotWireless.

En primer lugar debemos tener claro que es lo que vamos a hacer y para que sirve. Un"gateway" se ut iliza para "dejar pasar" a t ravés de nuest ra máquina o servidor adeterminados usuarios de nuest ra red local hacia internet o hacia ot ra subred.

PDFmyURL.com

Lo que vamos a intentar resolver, es el problema de que la gente p2p sature la conexión ainternet, para ello, podremos asignar prioridades, y hacer una lista negra de usuariossaturadores:)

Graf icamente es algo así.

Empezamos instalando una distro de linux, aquí usaremos el Fedora Core, una vezinstalado, conf iguramos la red, esto es:

PDFmyURL.com

Es importante activar la opcion de "Act ivar el disposit ivo cuando el ordenador se inicie "para que cuando reiniciemos nuestro PC active directamente la tarjeta de Red (posteriormenteharemos lo propio con eth1). Configuramos ahora la tarjeta con una IP libre del mismo rango quela LAN de nuestro router ADSL, la submascara y la puerta de enlace (generalmente la IP denuest ro router). Aunque en nuestro router tengamos habilitado el DHCP no es aconsejableusarlo ya que necesitamos usar siempre una misma IP .

Vamos ahora a configurar el servidor de DNS y el nombre del host.

PDFmyURL.com

En nuestro caso, en la imagen utilizamos la IP del propio router como servidor de DNS pero solopor conveniencia de nuestra configuracion ya que disponemos de otros servicios ubicados ennuestra subred.

Configuramos ahora eth1 con la IP con la que queramos trabajar.Es importante NO DEFINIR lapuerta de enlace.

PDFmyURL.com

Estamos ya en disposicion de comprobar si disponemos de conexion a internet. Tras reiniciarnuestro PC para asegurarnos que los cambios han surgido efecto, Comprobamos.....

PDFmyURL.com

Una vez asegurada la conexion a internet y definida cual es la tarjeta eth0. Podemos ya conectarel cable de nuestra red interna (Punto de Acceso) a la tarjeta libre, en este caso eth1 y reiniciarnuestro ordenador.

El siguiente paso va a ser configurar y poner en marcha un servidor DHCP para que nuestroservidor "gateway" proporcione los datos de conexión (IP,Mascara de Red,Puerta deenlace,Servidor DNS etc...) necesarios para nuestros "clientes" de forma automatica. Para ello loprimero que deberemos hacer sera ir a buscar el fichero de ejemplo de configuracióndhcpd.conf .sample en /usr/share/doc/dhcp-3.1.0.1/ .

Una vez localizado, lo pegamos en /etc/

posteriormente lo editamos :

PDFmyURL.com

PDFmyURL.com

Cambiando IP y mascara.....

PDFmyURL.com

Ahora le definimos el nombre de dominio que utilizamos en nuestro servidor y la IP del servidorde DNS.

PDFmyURL.com

El siguiente paso consiste en establecer el rango de IP que nuestro servidor "ofrecera" a nuestrosclientes. En este caso cualquier IP entre 10.34 .122.201 y 10.34 .122.254 .

PDFmyURL.com

Y ahora una opción muy interesante en el caso de que queramos dar IP "fijas" a determinadosclientes. Con lo configurado hasta ahora nuestro servidor "ofrece" IP aleatorias a nuestros"clientes" y que, al cabo de determinado tiempo de inactividad quedan "liberadas" y pueden serusadas por otro cliente. En esta opción podemos determinar que, basandonos en la MAC delcliente en cuestion, los clientes que aparezcan en esa lista tengan SIEMPRE la misma IP. Con locual podemos establecer determinados servicios "estables" en distintas máquinas dentro de

PDFmyURL.com

nuestra red interna como veremos en capitulos posteriores.Decir que este método no es muyseguro, pero...

Una vez modif icado , guardamos y vamos a activar el servicio en Inicio/Conf iguracionesdel Sistema/Conf iguraciones del Servidor/Servicios

Activamos el servidor DHCP. PDFmyURL.com

Si no nos ha dado ningun error tenemos ya funcionando nuestro servidor DHCP. Para verificarlobastara con que desde un ordenador "cliente" intentemos la conexion "Automatica" con nuestroPunto de Acceso y observemos si nos ha asignado la IP, Puerta de enlace, Mascara de Red,Servidor DNS etc... correspondientes. Algo parecido a esto:

PDFmyURL.com

Nota: la imagen es meramente orientativa

Una vez realizada la prueba, vamos de nuevo a Inicio/Conf iguraciones delSistema/Conf iguraciones del Servidor/Servicios y activamos (si es que no lo estan ya) lossiguientes:

ht tpd : El servidor web Apache

PDFmyURL.com

iptables: Tablas de enrutamiento de IP

mysqld : Servidor MySQL

Una vez activados guardamos la configuración y, desde nuestro ordenador cliente, vamos acomprobar si funciona el servidor Web (httpd). Los servicios de IPtables y MySQL losverificaremos posteriormente ya que, de momento, no son imprescindibles para lo que nosinteresa hacer en este momento.

Abrimos pues la ventana de nuestro navegador en nuestro ordenador cliente y en la barra denavegacion escribimos:

ht tp://10.34 .122.1

y nos aparcera algo parecido a esto:

Por tanto, Todo correcto:)

Vamos ahora a configurar nuestro puente de red. Hasta aquí hemos configurado la parte básicade lo que va a ser nuestro "gateway" y ahora vamos ya a empezar la parte "importante", es decir,la parte que nos permitirá que nuestros "clientes" pasen a través de nuestra máquina y que es

PDFmyURL.com

esencial para que luego, al instalar NoCatAuth nos funcione todo correctamente.

Lo primero que vamos a hacer va a ser decirle a nuestra máquina que cualquier pet ición quellegue a eth1 de nuest ra máquina la enrute hacia eth0.

Para ello vamos a /etc/rc.d/ y en el fichero rc.local añadimos la linea siguiente:

iptables - t nat -A POSTROUTING -o eth0 - j MASQUERADE

PDFmyURL.com

Guardamosy seguimos.Ahora en /etc/ buscamos sysct l.conf y modificamos la siguiente linea:

net .ipv4 _ipforward = 0 por net .ipv4 _ipforward = 1

PDFmyURL.com

A continuación en /etc/ buscamos named.conf e incluimos la siguiente linea en el final de larama Opt ions para que quede mas o menos asi:

opt ions{

//otras lineas y opciones//

forward only;

forwarders{195.235.113.3; 195.235.96.90;};

};

en este caso corresponden a las IP de los servidores de DNS de Telefónica, aunque ahí podeisponer las IP de los servidores de DNS que vayais a usar.

PDFmyURL.com

Vamos ahora a deshabilitar todas las opciones de seguridad. NoCatAuth nos proporcionara lasque necesitamos.

Ir a Inicio/Conf iguraciones del sistema/Nivel de Seguridad

PDFmyURL.com

Ahora paso IMPORTANTE en /etc/sysconf ig/ borrar los ficheros de configuracion iptables ,iptables.save y iptables-conf ig .

El siguiente paso deberemos de hacerlo desde una ventana del Terminal para limpiar ycomprobar que nuestro IPtables esta "limpio". Abrir una ventana del Terminal yendo aInicio/Herramientas del sistema/Terminal y ejecutar:

/etc/init .d/iptables restart

Os dira algo parecido a esto:

PDFmyURL.com

Comprobar si la tabla de IP esta ya limpia escribiendo en la misma ventana del terminal:

iptables -L -n

deberia de aparecer algo parecido a esto:

Con esto nos aseguramos que tenemos nuestra tabla de IP "limpia" para que, cuandoposteriormente reiniciemos nuestro ordenador, aplique solamente el contenido definido paranuestro puente de red, es decir, la linea iptables - t nat -A POSTROUTING -o eth0 - jMASQUERADE que hemos definido en /etc/rc.d/rc.local .

La cosa va de Paquetes:)

Vamos ahora a comprobar si tenemos instalados los paquetes DBI, Perl y GnuPGP . En caso deno tenerlos los instalamos . Para saberlo utilizaremos el comando "locate" desde la ventana delterminal haciendo, por ejemplo, locate DBI. Si es la primera vez que lo usamos nos pedira quecreemos la base de datos de todos los paquetes que tengamos en nuestra máquina. Esto sehace tecleando: locate -u .Esto tardara unos 5 minutos en hacerlo pero habra valido la pena yaque posteriormente nos ahorrara mucho tiempo en localizar paquetes en nuestra máquina.

PDFmyURL.com

Una vez que tengamos esto instalado, para hacer funcionar correctamente nuestro NocatAuthbásico necesitaremos instalar 2 paquetes adicionales de Perl que no vienen habitualmente en lasinstalaciones de Fedora : Digest ::MD5 y Net ::Netmask

Para instalar el paquete Net ::Netmask podemos hacerlo de forma facil utilizando el yum laherramienta de instalacion y actualizacion de paquetes que usa Fedora. Bastara con escribir enuna ventana del terminal: yum install perl-Net -Netmask y el paquete se instalaraautomaticamente:)

Para instalar el paquete Digest ::MD5 tendremos que hacerlo desde CPAN que es, de hecho, laherramienta de Perl para la instalacion de nuevos paquetes de Perl.

Para ello, desde la ventana del terminal tecleamos:

perl -MCPAN -e 'install Digest ::MD5'

Esto, al ser la primera vez que se usa, tendremos que conf igurarlo, se hace largo :(

Una vez instalados y configurados los anteriores pasos ya tenemos instalado todo lo necesario aexcepción de NoCatAuth y estamos ya en disposicion de reiniciar el ordenador y comprobar sidesde el Punto de Acceso tenemos conexión a Internet a través del puente de red que hemosinstalado entre las dos tarjetas.

Comprobamos pues.......

PDFmyURL.com

Todo ----->OK

Nos bajamos la ultima version de NocatAuth desdehttp://nocat.net/downloads/NoCatAuth/NoCatAuth-nightly.tgz y lo instalamos.

Debemos editar el fichero detect- fw.sh y cambiar en la linea 12 "Linux 2.4" por "Linux 2.6", a noser que ya tengas la 2.6.

PDFmyURL.com

así....

PDFmyURL.com

Una vez modificada la linea, guardamos el fichero y volvemos al directorio principal deNoCatAuth-night ly

Ahora debemos ir a /usr/local/ y crear una carpeta con el nombre nocat.Una vez hecho estoestamos ya en disposicion de iniciar la instalacion propiamente dicha de nuestro NoCatAuth. Paraello ejecutaremos desde la ventana del Terminal (siempre desde /root /NoCatAut -night ly) :

PDFmyURL.com

make PREFIX=/usr/local/nocat /gw gateway

Ahora repetimos tecleando:

make PREFIX=/usr/local/nocat /authserv authserv

Ahora vamos a borrar t rustedkeys.gpg , que es la key que lleva por defecto NoCatAuth, de/usr/local/nocat /authserv/pgp/ y de /usr/local/nocat /gw/pgp/

Apropósito :) ahora crearemos nuestra key personalizada. Para ello desde /root/NoCatAuth-nigtly/teclearemos:

make PREFIX=/usr/local/nocat /authserv pgpkey

Nos preguntara que tipo de key queremos. Elegimos la primera opcion: DSA i ElGamal, Eltamaño de la Key, mismamente el valor por defecto.Confirmamos y ahora nos preguntara por lavalidez de la key, le marcamos 0 (cero), es decir, que no caduque.Nos pregunta por el nombre yapellidos. Aqui podeis poner cualquier cosa ya que solo hara con este dato y los dos siguientesuna combinacion para generar la key.

Lo siguiente que nos pregunta es la direccion de correo. Lo mismo que antes...cualquiera sirve.

Ahora nos pide un comentario. Al igual que en los dos casos anteriores podeis poner lo que osplazca.

Una vez le dais al enter os preguntara si estais de acuerdo con los datos de entrada. Aqui es unpoco lioso el responder, asi que debeis de teclear:

ixO

Le dais a enter y el programa se tomara su tiempo para generar vuestra key.Finalmente ya teneisla nueva key en /usr/local/nocat /authserv/

Ahora vamos a copiar vuestra key y colocarla en /usr/local/nocat /gw/pgp/ y en/usr/local/nocat /authserv/pgp/ sustituyendo a la de origen que hemos borrado previamente.

Una vez copiada en las carpetas correspondientes vamos a darles los permisos para queposteriormente el servidor Apache pueda acceder a ella para verificar la autenticidad de lasconexiones. Esto podemos hacerlo de dos formas. Desde la ventana del Terminal tecleando:

chown -R apache:apache /usr/local/nocat /authserv/pgp

chown -R apache:apache /usr/local/nocat /gw/pgp

Procedemos a configurar nuestro querido NoCatAuth....

PDFmyURL.com

Para ello vamos a crear nuestra base de datos mysql donde quedaran registrados todos losdatos y permisos de nuestros usuarios.

Abrimos la ventana del Terminal y nos ubicamos en /root /NoCatAuth-nigthly tecleando cd/root /NoCatAuth-night ly

Una vez en el directorio lo primero que vamos a hacer va a ser crear un password para accedera mysqladmin que es el encargado de crear las bases de datos en mysql . De esta forma,aunque en principio os parezca un engorro, os asegurais de que nadie os pueda modificarvuestras bases de datos. Asi pues tecleamos:

mysqladmin password f ifafa

una vez creado tecleamos:

mysqladmin create nocat -p

nos pedira el password que hayamos configurado en el paso anterior.Se lo damos y ahoratecleamos:

mysql nocat <etc/nocat .schema -p

nuevamente nos pedira el password. Una vez se lo demos veremos como es copiada laestructura de la base de datos de NoCatAuth en la base de datos mysql.

PDFmyURL.com

Ahora tecleamos:

mysql -u root -p

para entrar en la base de datos :

grant all on nocat .* to nocat@localhost ident if ied by 'nocatauth';

Permitimos el aceso al usuario nocat de nuestra máquina (localhost) siempre y cuando seidentifique como nocatauth. Este parámetro puede ser cambiado (y de hecho es aconsejablehacerlo) y tiene su origen en la configuración que haremos posteriormente al nocat .conf o ficherode configuracion de NoCatAuth.

PDFmyURL.com

Finalmente podemos ya salir de mysql no sin antes cancelar los privilegios en mysqladmintecleando:

f lush privileges;

PDFmyURL.com

y finalizamos saliendo de MySQL con:

quit

PDFmyURL.com

Vamos ahora a comprobar que realmente funciona:)

Para ello accederemos a nuestra base de datos tecleando desde el terminal:

mysql -u nocat -pnocatauth

PDFmyURL.com

Una vez dentro de MySQL entramos en la base de datos de nocat con:

use nocat ;

y una vez dentro le pedimos que nos muestre las tablas creadas a partir de nocat.schema

show tables;

PDFmyURL.com

Nos sale algo como esto:

PDFmyURL.com

Salimos y continuamos la conf iguración.

Vamos ahora a configurar propiamente NoCatAuth en base a la configuración que queramos dar anuestro "gateway". Para ello iremos a Inicio y desde ahi a /usr/local/nocat /authserv .Vamos aeditar este fichero.

PDFmyURL.com

Lo primero que vamos a cambiar es la url de la página por defecto a donde nuestro nuestroNoCatAuth va a redirigir a los usuarios que intenten acceder a los servicios (p. ej internet) denuestra red.

Lo siguiente a definir es la IP del "gateway" de nuestra red externa, es decir, la parte que sera"inaccesible" desde la red local a menos que los usuarios de la red local se autentifiquen.Añadiremos también (aunque no es esencial) el rango.

PDFmyURL.com

El siguiente paso sera verificar la base de datos definida. Debe de ser DBI

y, seguidamente verificar el nombre de la base de datos, el usuario y el password que dimosanteriormente al crear la base de datos MySQL, en este caso nocatauth . Por eso oscomentabamos la necesidad de cambiarlo ya que, de lo contrario, cualquiera puede deducir quetengais el password :)

PDFmyURL.com

Finalmente solo nos queda, si así lo queremos, traducir las frases de respuesta automática alcastellano o al idioma que queramos.

A continuación vamos a modificar el nocat .conf de /usr/local/nocat /gw . Igual que hicimosanteriormente nos vamos a la ubicacion desde Inicio /usr/local/nocat /gw

Editamos por tanto el nombre que le queramos dar al "Gateway", lo siguiente sera el modo enque queramos que trabaje nuestro Gateway. En principio vamos a configurarlo como "Passive" .

PDFmyURL.com

Editamos ahora la IP interna del servidor, es decir la IP correspondiente a la tarjeta de red denuestra red interna (eth1):

Lo siguiente va a ser definirle que tarjeta va a realizar las funciones de red interna y cual las dered externa. De hecho podriamos omitir la configuracion para que la detectara automaticamentepero, en la práctica, sobretodo en máquinas algo antiguas, la detección automática da algunos

PDFmyURL.com

problemas y ralentiza el arranque de nuestro sistema. Asi pues, para no dejar nada al azar, lasdefinimos nosotros:

PDFmyURL.com

ahora toca definir el rango de nuestra red local:

PDFmyURL.com

El siguiente paso sera definir la IP de nuestro servidor de DNS. En nuestro caso utilizamos elservidor DNS de nuestro router pero, posteriormente, si habilitamos el servidor de DNS interno denuestra maquina (la que sea) deberemos definir la IP interna de nuestro servidor, en nuestroejemplo 10.34.122.1

PDFmyURL.com

Ahora definiremos los puertos que queramos habilitar a nuestros usuarios. En nuestro ejemplo lo"cerramos" todo excepto los puertos 22, 80 y 443.

PDFmyURL.com

Si quisieramos hacerlo al revés, es decir, permitir "todo" menos los puertos que definamosdeberiamos descomentar la siguiente linea. Pero ojo , solo podemos ut ilizar una de lasopciones, es decir, si habilitamos "dejar pasar todo menos..." debemos desabilitar la lineaanterior "cortar todo menos..."

PDFmyURL.com

Una vez aquí guardamos nuestro nocat .conf

Vamos ahora a configurar el servidor Apache para que redirija las llamadas entrantes hacianuestro "gateway".El fichero de configuración, ht tpd.conf , lo encontraremos en /etc/ht tpd/conf .

PDFmyURL.com

Lo siguiente a configurar es la direccion de correo del administrador.

Ahora definimos la IP de la tarjeta de red interna.

PDFmyURL.com

Seguidamente definimos el path de "DocumentRoot".

PDFmyURL.com

siguiente paso definir nuevamente el mismo path para DocumentRoot para fijarlo como principal.

PDFmyURL.com

El siguiente paso consiste en comentar la linea referente al path del ScriptAlias que por defectoApache ubica en /var/www/cgi-bin/ puesto que posteriormente le definiremos que vaya a buscarloa las carpetas de NoCatAuth.

PDFmyURL.com

Le definimos ahora donde debe ir a buscar el cgi-bin dentro de nocat. En nuestro caso el pathsera /usr/local/nocat /authserv/cgi-bin

PDFmyURL.com

Una vez modificadas las lineas indicadas podemos ya guardar el httpd.conf .

Vamos ahora a modificar el fichero de configuracion de seguridad SSL para que nos permita elacceso al certificado que nos proporcionara el https. Para ello nos ubicamos en/etc/ht tpd/conf .d/

Lo editamos como siempre y le indicamos el path de nuestro cgi-bin, en este caso tal y como PDFmyURL.com

hicimos antes en el ht tpd.conf en /usr/local/nocat /authserv/cgi-bin

Guardamos el ssl.conf y apache conf igurado.

PDFmyURL.com

Arrancando NoCatAuth

Vamos ahora a configurar lo que sera el arranque automatico de NoCatAuth cuando reiniciemosnuestro servidor. Para ello nos situaremos en /root /NoCatAuth-nigthly/etc

Copiamos el fichero nocat .rc y lo "pegamos" en /etc/rc.d/

Ahora lo editamos para señalarle el path donde esta el ejecutable de NoCatAuth

PDFmyURL.com

Ahora vamos a editar el fichero de arranque rc.local que, si recordais, es el último fichero que"lee" Fedora una vez cargada la configuracion propia .Aquí comentaremos o borraremos la lineaque habiamos puesto anteriormente para comprobar el funcionamiento del "puente" entre las dostarjetas de red.

PDFmyURL.com

Y ahora incluimos una linea para que ejecute el fichero rc.nocat y arranque NoCatAuth

PDFmyURL.com

Guardamos y ya estamos en disposicion de reiniciar nuestro servidor y comprobar que nuestro"gateway" funcione correctamente.

Vamos ahora a comprobar si realmente lo hemos hecho todo bien y nuestro "gateway" funciona.Tras reiniciar nuestro servidor es interesante observar el arranque del mismo en modo terminal enlugar de en modo gráfico. esto nos servira para que, en caso de algun error, podamos intuir pordonde van los "tiros" y donde ubicar el posible error.

PDFmyURL.com

Nos aseguramos de que arranca sin darnos ningún tipo de error y podemos ya ir a nuestro"portatil" o PC remoto e intentar la conexión. Asociamos nuestra maquina al SSID de nuestro AP yverificamos que nuestro servidor nos da la IP correspondiente al rango que hayamos definido enel dhcpd.conf .

Ahora abrimos nuestro navegador con nuestra página favorita. Lo primero que debe aparecernospara constatar que vamos por el buen camino es el "Certificado"

Aceptamos pulsando sobre "Si"

Lo siguiente que nos debe aparecer es una ventana pidiendonos el "login" y el "password"

PDFmyURL.com

Vamos por el buen camino!. Ahora nos registraremos clicando sobre el "Register here"

PDFmyURL.com

Rellenamos los campos E-mail con nuestra dirección de correo electrónico (este sera luego ellogin para autentificarnos), el campo Nombre y los campos Password y Password Again (6caracteres o mas)... el resto de campos, si quereis, podeis dejarlos en blanco

PDFmyURL.com

Una vez rellenados los campos le damos a "Register" y os aparecera algo parecido a esto.

PDFmyURL.com

Pasados unos segundos os devolverá a la página de inicio para que os autentifiqueis. Rellenaislos campos con los datos con los que os habeis registrado anteriormente...

PDFmyURL.com

Y se os abrira en primer lugar una ventana "miniatura" que sera vuestro "tiquet" de conexión. Esdecir, mientras mantengais esta ventana abierta (o minimizada) seguireis estando autentificadostodo el tiempo que querais (recordad que hemos configurado nuestro "gateway" en modo"Passive"). Si, por contra, la cerrais, al cabo de un tiempo "x" ,definido en los ficheros deconfiguracion (en este caso 2700 segundos), os cortara el acceso y debereis volver aautentificaros si deseais seguir utilizando los "servicios" de la red externa. Posteriormente, cuandoveamos los distintos tipos de configuración, desarrollaremos todas las posibilidades del sistema.

PDFmyURL.com

Casi simultaneamente a la apertura de la ventana anterior se nos abrira una pagina parecida aesta anunciandonos que se nos redirigira a nuestro destino en 5 segundos...

y lo mas importante :)

PDFmyURL.com

Y seguimos con la conf iguración.

Antes de seguir hacia adelante con las configuraciones de NoCatAuth para vuestro gatewayvamos a hacer un alto en el camino para presentaros a un amigo que os va a ser de sumautilidad a la hora de administrar vuestro servidor. Webmin es una herramienta muy útil para estosmenesteres y que trabaja sobre un entorno Web con paquetes para la gran mayoría deaplicaciones usadas habitualmente, con lo que nos sera mucho mas amigable nuestra relacioncon Linux. De ahí que antes de seguir con NoCatAuth hemos querido hacer esta "casi" obligadaparada e instalar Webmin en nuestro servidor.

PDFmyURL.com

Una vez instalado, y aprovechando para instalar notcat(el módulo).Vamos a acceder porprimera vez a Webmin. Para ello abrimos nuestro navegador y tecleamos http://localhost:10000 ,es decir, accedemos a Webmin a traves del puerto 10000

Inmediatamente nos aparecera una ventana similar a esta:

Introducimos el login del administrador, es decir "root" y el password habitual

PDFmyURL.com

y le damos a "Login". Nos preguntara si queremos que Linux recuerde el "password" las proximasveces que accedamos.. por seguridad es recomendable decirle que NO

Y ya finalmente nos aparece por primera vez el menu de entrada de Webmin.Amor a primeravista:)

PDFmyURL.com

Realmente, aunque nosotros nos limitaremos a su utilidad con NoCatAuth y a poco mas seguroque en el futuro os sera una herramienta indispensable para administrar cualquier maquina bajoLinux.

Vamos ahora a cambiarle el idioma clicando en "Change Language and Theme" y nos aparecela ventana de configuración:

PDFmyURL.com

Escogemos nuestro idioma y aceptamos:

Vamos ahora a instalar el modulo de Nocat que nos hemos bajado previamente.Para ello vamosa "Configuracion de Webmin"

PDFmyURL.com

y desde aqui a "Modulos de Webmin"

PDFmyURL.com

Escogemos la ubicacion donde previamente hemos guardado nuestro modulo de Nocat

PDFmyURL.com

y lo instalamos

PDFmyURL.com

Comprobamos ahora que la instalacion ha funcionado clicando en el icono "Servidores"...

PDFmyURL.com

y vemos que, efectivamente, nuestro modulo "NoCat Authentication Gateway" esta ahi. Ahoraclicamos sobre el icono del NoCat..

PDFmyURL.com

y observamos que nos dice que parece que NoCat no esta instalado. No os preocupeis. Esto esporque el modulo de NoCat esta diseñado por defecto para una instalacion distinta a la quehemos realizado nosotros por motivos de seguridad. Asi pues vamos a cambiar la configuracionpara que Webmin "encuentre" nuestro NoCat. Clicamos sobre la pestaña "Conf iguración delModulo"

PDFmyURL.com

y vereis que los "path" que os aparecen son distintos a los que tenemos nosotros, asi que bastaraque los cambieis y los dejeis como los que aparecen en la imagen superior y le deis a "Salvar".En este momento os aparecera ya la ventana de control de NoCat

PDFmyURL.com

Le damos un "vistazo" a NoCat Users y vemos como aparecen los usuarios que hemos"registrado" anteriormente probando nuestro NoCatAuth.Y además tedremos la posibilidad deañadir usuarios manualmente clicando sobre "Add User".

PDFmyURL.com

IMPORTANTE!!. De momento, excepto entrar o borrar nuevos usuarios no toqueis ningun otroparametro de configuracion desde Webmin ya que nos falta aun cambiar algunos permisos yconfiguraciones para que podamos controlar absolutamente todas las configuraciones deNoCatAuth desde aqui. En el caso de querer cacharrear por vuestra cuenta y riesgo esaconsejable realizar una copia de seguridad previa de los ficheros nocat .conf ubicados en/usr/local/nocat /gw y de /usr/local/nocat /authserv para , en caso de problemas, volver a laconfiguración original.

Volvemos al "Indice del Modulo"

PDFmyURL.com

y clicamos sobre "Gateway Configuration".

PDFmyURL.com

o sobre "Authentication Service Configuration"

PDFmyURL.com

y nos daremos cuenta que, mas adelante, podremos configurar comodamente cualquierparametro de NoCatAuth. De todas formas y esto es importante, de momento, excepto ent rarusuarios manualmente, no hagais nada desde aqui puesto que es necesario cambiar aunalgunos permisos y funciones de NoCatAuth antes de meterse a modificar otros campos, so penade que querais que NoCatAuth deje de funcionar. Para los mas inquietos (que los hay) esrecomendable antes de tocar nada desde aqui y meterse a experimentar hacer una copia deseguridad de los ficheros nocat .conf que hay en /usr/local/nocat /gw y de/usr/local/nocat /authserv para , en caso de problemas, volver a la configuración original.

Aunque un poco tedioso, el proceso es bastante lógico.Ya tenemos nuest ro NotCatAuth.

PDFmyURL.com

Volver arriba

Configurando un servidor Radius

Intetamos hacer algo como lo que sigue:

La idea general es la autentif icación de usuarios Wireless usando Windows XP contra unservidor IAS como RADIUS.

La instalación conlleva varias etapas, como instalar el servicio de IAS en un servidorWindows 2000/2003 Server (Controlador de dominio), conf igurar el/los AP que en nuestrocaso será un Cisco serie 1200 para que interactue con el servidor RADIUS, y laconf iguración del cliente windows XP para que f uncione con el protocolo WPA (EAP-TLS)

El protococolo EAP-TLS f unciona con certif icado que se deben instalar tanto en el servidorRADIUS (IAS) como en los clientes XP. Por ende necesitamos tener un CA que nosproporcione el ceritf icado.

PDFmyURL.com

En nuestro caso instalaremos un servidor CA y un IAS de Microsof t.

Tendremos que conf igurar los puntos de Acceso para que f uncionen con Radius, dado queserá este últ imo el que se encargará de la autentif icación, igualmente existen otrassoluciones integradas, pero aquí partimos de la idea de que poseemos un servidor Radius.

La conf iguración basicamente se encuentra en los siguientes puntos:

radiusd.conf -Archivo general de conf iguración de FreeRADIUS.

Eap.conf–Archivo de conf iguración de las directivas EAP a utilizar.

Clients.conf– Descripción y credenciales de los dif erentes disposit ivos que consultan alRADIUS.

Users –Archivo donde se especif ican las credenciales de losusuarios de la red. Se usa este archivo si no existe otro para almacenar los usuarios.

Secret - es usada para cif rar la comunicación entre el clienteRADIUS (AP) y el servidor RADIUS .

Igualmente Veremos los certif icados:

CA.root – Creación de la CA.

CA.server– Creación de certif icados para el servidor (f qdn).

CA.client– Creación de certif icados para cada usuario. Noconf undir con clients.conf de RADIUS.

xpextensions – OID para EAP-TLS.

Empecemos la conf iguración:

Instalamos el certif icado.

PDFmyURL.com

Se agrega el componente de Certif icate Services

PDFmyURL.com

Importante: EL CA luego de ser instalado no puede ser retirado

Al ser el 1º CA en el dominio, nos da la opcion de ser un Enterprise Root CA.

PDFmyURL.com

PDFmyURL.com

Le damos un nombre .....

PDFmyURL.com

A partir de aqui, Next,next, f inish:)--->Instalado

Para la instalación del servicio de internet authentication services (IAS) se debe hacerdesde el Agregar o quitar programas En la seccion de los componentes de Windows.

PDFmyURL.com

PDFmyURL.com

Igualmente Ok,Next,Next, Finish:)

Veamos que más necesitamos..............

Una vez instalado el IAS, lo debemos conf igurar para que establezca la comunicación conlos AP´s. Pero existe un paso adicional donde debemos bajar el certif icado digital desde elCA .El certif icado se baja desde el servidor CA, hasta el equipo donde tenemos instalado elservicio IAS, de la siguiente manera.

PDFmyURL.com

PDFmyURL.com

La instalación del certif icado en el Servidor IAS solo se hace una vez, después en cadacliente XP se debe repetir el mismo proceso de instalación del certif icado

PDFmyURL.com

PDFmyURL.com

Instalado:)

Una vez instalado el certif icado digital en el servidore IAS, ahora lo conf iguramos para queinteractue con los AP´s, que en nuestro caso son Cisco, serie 1200.

Dentro de Herraminetas Administrativas en el panel de control, está el snap InternetAuthentication Services que debes abrir y conf igurar lo siguiente.

Conf igurar un nuevo cliente, debes hacerlo para todos los AP´s de la red.

El protocolo ha de ser Radius:

PDFmyURL.com

La dirección IP, es la que corresponde al punto de Acceso en cuestión:

PDFmyURL.com

Una vez conf igurados todos los AP´s. Agregamos un New Remote Access Policy.

PDFmyURL.com

Se abre un asistente para la conf iguración de la polít ica de acceso remoto

PDFmyURL.com

Añadimos, en nuestro caso, NAS-Port-Type

PDFmyURL.com

Dentro de NAS-Port-Type se elige Wireless-IEEE 802.11

PDFmyURL.com

Generamos los permisos de acceso

Usamos Edit Prof ile , llegados aquí debemos tener algo como esto:

PDFmyURL.com

Vamos a conf igure....

Certif icado que debe aparece al hacer click en "Conf igure". Si no aparece esta pantallitaquiere decir que no está instalado el certif icado o que está mal instalado

PDFmyURL.com

Todo Correcto, al f inal debe quedar como en la f igura. El orden de las polít icas deben ser 1para "Remote Access Policy " .

LLegados a este punto, pasamos a la conf iguración del Punto de Acceso:

Teniendo instalado el Servidor IAS y conf igurado cada uno de los clientes Access Point,estamos listos para conf igurar los Access Point 1200. Cada Access Point debe apuntar a laIP del Servidor IAS, para enviar los requerimientos de Authentication al servicio de RADIUS.

La conf iguración del AP puede hacerse tanto del browser o por linea de comandos (o CLI).En este caso lo haremos por CLI como sigue:

PDFmyURL.com

Esto continua, es bastante largo, pero lo cortamos por aquí:)

Luego de tener los AP conf igurados, ahora podemos conf igurar los equipos XP o windows2000 . Para la conf iguración EAP-TLS debemos bajar el mismo certif icado que bajamos al

PDFmyURL.com

Servidor IAS a cada uno de los clientes XP. La f orma en que se hace es igual.

Con el certif icado ya instalado en el cliente, debemos conf igurar el ssid que se conf iguró enlos AP, en nuestro caso "myssid" .

Conf iguramos el "myssid" haciendo click en "Conf igure"

PDFmyURL.com

El Essid debe ser el mismo que el del AP, la autentif icación es WPa y la encriptación Tkip:

PDFmyURL.com

Hace click en Propiedades y marca el certif icado digital que bajaste del Servidor de CA

PDFmyURL.com

Tenemos todo listo, solo queda probar que f unciona nuestro radius.

Volver arriba

IPSEC, nuestro cerrojoIPSec , a dif erencia de las soluciones anteriores, representa un estándar. El protocolo

PDFmyURL.com

consta de dos partes, una parte se encarga de la codif icación de los datos y la otra partede asegurar su integridad y autenticidad. El primer componente de la IPSec es ESP (Cargade Seguridad Encapsulada) que se encarga de la codif icación, para la que se puedenemplear distintos procedimientos de encriptación. El segundo componente se denomina AH(Cabecera de autentif icación) que impide la manipulación de los datos.El protocolo IKE (Intercambio de claves de internet) no es un componente de las IPSec; sinembargo, está estrechamente vinculado a él, es el encargado de la gestión de claves.

Es una opción muy implementada en wireless, dado que también se puede conf igurar paraconectar una red completa (tal como una LAN o una WAN) a una red remota a través de unaconexión red-a-red. Una conexión de red-a-red requiere la conf iguración de enrutadoresIPsec en cada lado de las redes conectantes para procesar y enrutar la inf ormación def orma transparente desde un nodo en una LAN a otro nodo en una LAN remota. Veamosuna f igura:

Se llama a menudo conexión en tunel Con IP-SEC.

El diagrama muestra dos LANs separadas por la Internet. Estas LANs utilizan enrutadoresIPsec para autentif icar e iniciar una conexión usando un túnel seguro a través de la Internet.Los paquetes que son interceptados en tránsito requerirán un descif rado de f uerza brutapara poder descif rar el código protegiendo los paquetes entre las LANs. El proceso decomunicación desde un nodo en el intervalo IP 192.168.1.0/24 al otro en 192.168.2.0/24 escompletamente transparente a los nodos puesto que el procesamiento,encriptación/descif rado y el enrutamiento de los paquetes IPsec es manejadocompletamente por el enrutador IPsec.

La inf ormación necesaria para la conexión red-a-red incluye:

Las direcciones IP accesibles externamente de los enrutadores IPsec dedicados

PDFmyURL.com

Los intervalos de direcciones de red de las LAN/WAN servidas por los enrutadoresIPsec (tales como 192.168.0.0/24 o 10.0.1.0/24)

Las direcciones IP de los disposit ivos de puertas de enlace que enrutan los datosdesde un nodo de la red a la Internet.

Un nombre único para identif icar la conexión IPsec y distinguirla de los otrosdisposit ivos o conexiones (por ejemplo, ipsec0 )

Una llave encriptada f ija o una generada automáticamente por racoon

Una llave pre-compartida que inicia la conexión e intercambia las llaves deencriptación durante la sesión

Por ejemplo, suponga una LAN A (lana.example.com) y una LAN B (lanb.example.com) quedesean conectarse entre ellas a través de un túnel IPsec. La dirección de red para la LAN Aestán en el intervalo 192.168.1.0/24, mientras que LAN B utiliza el intervalo 192.168.2.0/24.La dirección IP de la puerta de enlace es 192.168.1.254 para la LAN A y 192.168.2.254 para laLAN B. Los enrutadores IPsec están separados de cada puerta de enlace de las LANs yutilizan dos disposit ivos de redes: eth0 está asignado a una dirección IP estática accesibleexternamente la cual accesa a Internet, mientras que eth1 actúa como un punto deenrutamiento para procesar y transmitir paquetes LAN desde un nodo de la red a los nodosde redes remotos.

La conexión IPsec entre cada red utiliza una llave pre-compartida con el valor der3dh4tl1nux , y los administradores de A y B acuerdan dejar que genere automáticamente ycomparta una llave de autentif icación entre cada enrutador IPsec. El administrador de la LANA decide nombrar la conexión IPsec ipsec0 , mientras que el administrador de la LAN B llamaa su conexión IPsec ipsec1 .

Lo siguiente son los contenidos del archivo if cf g para una conexión IPsec de red-a-red parala LAN A. El nombre único para identif icar la conexión en este ejemplo es ipsec1 , por lo queel archivo resultante es llamado /etc/sysconf ig/network-scripts/if cf g- ipsec.

Los parámetros son estos:

TYPE=IPSEC

PDFmyURL.com

ONBOOT=yes

IKE_METHOD=PSK

SRCGW=192.168.1.254

DSTGW=192.168.2.254

SRCNET=192.168.1.0/24

DSTNET=192.168.2.0/24

DST= X.X.X.X

La conexión se conf igura para iniciarse en el arranque ( ONBOOT=yes ) y utiliza un métodode autentif icación de llave pre-compartida ( IKE_METHOD=PSK ). El administrador para laLAN A ingresa la puerta de enlace destino, la cual es la puerta de enlace para la LAN B (DSTGW=192.168.2.254 ) así como también la puerta de enlace f uente, la cual es la direcciónIP de la puerta de enlace para la LAN A ( SRCGW=192.168.1.254 ). El administrador luegointroduce la red destino, la cual es el intervalo de red para la LAN B (DSTNET=192.168.2.0/24 ) así como también la red f uente ( SRCNET=192.168.1.0/24 ).Finalmente, el administrador ingresa la dirección IP destino, la cual es la dirección IPaccesible externamente para la LAN B ( X.X.X.X ).

Lo siguiente es el contenido del archivo de la llave pre-compartida llamado/etc/sysconf ig/network-scripts/keys- ipsec X (donde X es 0 para la LAN A y 1 para la LAN B)que ambas redes utilizan para autenticarse mutuamente. Los contenidos de este archivodeberían ser idénticos y solamente el usuario root debería tener acceso a leer o escribir eneste archivo.

IKE_PSK=r3dh4tl1nux

Igualmente solo el Root puede cambiar chmod 600 /etc/sysconf ig/network-scripts/keys-ipsec1.

Lo siguiente son los contenidos del archivo de conf iguración /etc/racoon/racoon.conf parala conexión IPsec. Observe que la línea include al f inal del archivo es generadoautomáticamente y solamente aparece si el tunel IPsec se está ejecutando.

A continuación se muestra el archivo específ ico para la conexión a la red remota. El archivoes llamado X.X.X.X .conf (reemplace X.X.X.X con la dirección IP del enrutador IPsecremoto). Observe que este archivo es generado automáticamente una vez que el túnelIPsec es activado y no se debería modif icar directamente. Veamos el archivo

Antes de iniciar la conexión IPsec, se debería activar el reenvío IP en el kernel. Como usuario PDFmyURL.com

root en el intérprete de comandos, activamos el reenvío IP.

Modif ique /etc/sysctl.conf y conf igure net.ipv4.ip_f orward a 1 .

Ejecute el comando siguiente para activar el cambio: sysctl -p /etc/sysctl.conf

Para iniciar la conexión IPsec, reinicie los enrutadores IPsec o ejecute el comando siguienteen cada enrutador como usuario root: /sbin/if up ipsec0

Las conexiones son activadas y ambas LAN A y LAN B son capaces de comunicarse entreellas. Los enrutadores se crean automáticamente a través del script de inicialización que sellama ejecutando if up en la conexión IPsec. Para mostrar una lista de rutas para la red,ejecute el comando siguiente: /sbin/ip route list

Para evaluar la conexión IPsec, ejecute la utilidad tcpdump en el disposit ivo enrutableexternamente (eth0 en este ejemplo) para así ver los paquetes de red que están siendotransmitidos entre los hosts (o redes) y verif icar que están encriptados a través de IPsec.Por ejemplo, para verif icar la conectividad IPsec de la LAN A, escriba lo siguiente:

tcpdump -n - i eth0 host lana.example.com

El paquete debería incluir una cabecera AH y se deberían mostrar como paquetes ESP. ESPsignif ica que están encriptados. Por ejemplo (las barras oblícuas denotan la continuación deuna línea):

12:24:26.155529 lanb.example.com > lana.example.com: AH(spi=0x021c9834,seq=0x358): \lanb.example.com > lana.example.com: ESP(spi=0x00c887ad,seq=0x358) (DF) \ (ipip-proto-4)

Muy por encima, esta sería la conf iguración de IpSec:)

Volver arriba

Wireless ID´s , El perro Guardián

Una f orma un tanto paranoica, de dotar a nuestra red de un nivel de seguridad, más o PDFmyURL.com

menos elevado, consiste en usar ID´s (Sistemas detectores de intrusos) , como pueden serel snort de toda la vida, pero orientados al wireless, esto en la práctica solo se usa enpuntos de Acceso que lo permiten, es decir AP´s que lo t ienen integrado, como ref erencia,aunque algo carillo, cabe destacar ServiTux , un punto de acceso desarrolladointegramente bajo linux, permite: Qos, balanceo de carga, Soporta ADSL, Cable-Modem,LMDS, Satélite, Frame Relay y como no Posee IDS, una buena compra:)

Con el uso de ID,s, es muy f ácil acabar con ataques del t ipo Rogue AP,etc.

Existen Múltiples alternativas a la hora de implementar un IDS, cabe destacar AirMagnet yairdef ense, por se los más conocidos.

En la imagen, el analizador de paquetes:)

PDFmyURL.com

Por aquí vemos la interf az de conf iguración, todo lo relativo a polit icas de seguridad.

Ejemplo de alguna de las alertas que nos puede dar:

Alguien se quiere disf razar!!

PDFmyURL.com

Tambien si nos espian....

Igualmente nos avisan a donde sea.

Como vemos, bastante útil, pero esto solo se implementa en redes con datos importantes,es absurdo implementarlo en una red con dos puntos de acceso en la que el atacante solopuede conectarse a internet:)

PDFmyURL.com

Volver arriba

WDS [Wireless Distribution System]

El WDS se usa habitualmente para enlazar dos puntos de acceso, punto a punto, es decir,sin que ningún cliente pueda usar dicha conexión, se suele emplear para hacerrepetidores,etc

Ambos AP´s deben estar en el mismo canal, entra en juego el solapamiento.......Esto creoque ya se dijo :)

Vamos a ver unos conceptos un poco más avanzados.

Drivers soportados por WDS

HostAP: Es el driver mas conocido por ser el primero que se desarrollo para poner lastarjetas en modo master

HermesAP: Este driver no se puede utilizar con una simple orinoco (se ha hecho ingenieríainversa) para que f uera legal habría que utilizar la tarjeta interna de algún AP comercial deLucent, entonces tendríamos licencia del driver.

PrimsGT: Poco usado

Etc.

Lo Bueno del WDS -->Dif ícil de rastrear al trabajar con 4 direcciones Mac .

PDFmyURL.com

Lo malo - - -> Porque se anuncia todo a toda la red y posible Denegación de servicio sobreun canal (se tira nube WDS entera).

Sobre una misma máquina montar 3 tarjetas Wireless en modo master en 3 canalesdistintos, (más de tres generan ruido entre ellas) sobre estas 3 tarjetas se montan túnelesWDS a nivel interno.

Los benef icios de esto son: Alta Disponibilidad, Mas usuarios sobre un punto de acceso,Balanceo de carga sobre el punto de acceso, esta últ ima, especialmente interesante:)

Esto es lo que se pretende.Con esto obtendríamos:

Dificultad a la hora de realizar una denegación. Para conseguir una DoS tendríamos quehacer un ataque distribuido a nivel radio.El seguimiento de las tramas de red capturando tráf ico conlleva un análisis muycomplejo llegando incluso a bloquear las herramientas de captura (usando este sistemaAirTraf resistió tan solo 2 minutos!!).Balanceo de carga entre nodos, posible gracias al cambio de canales en los túneles WDSentre nodos.

Parece que WDS, sirve para algo más que usar modo cliente en plan chapuza:)

Volver arriba

Enlaces y documentación PDFmyURL.com

CompostelaWirelessCarballoWirelessArteixoWirelessMadridWirelessCanariasWirelessAcoruñaWirelessAirdef enseAir-JackMataroWirelessBlyxRemoteExploitOlotWirelessAlf ha How to FreeRadius Wif isaf e EspanaINsecurehackinthebox

Agradecimientos personales a:

Daniel Martínez PoncePau Oliva ForaAlejando Corlett i EstradaAdministrador CompostelaWireless

Volver arriba

Recomendaciones de CompostelaWireless

Estas pueden ser unas buenas medidas para uso doméstico, y que no deberían serprácticas recomendadas para los negocios (se debería poner algo más seguro).

• Seguridad de la Red. Pon tu punto de acceso en una subred separada f ísicamente si esposible, con un f irewall separando los usuarios Wíreless y los internos. • Cambia los parámetros por defecto en tu AP . Parámetros por def ecto (SSID, passwordadmin., canal) son bien conocidos incluso como parte de algunas herramientas de ataqueWLAN. • Usa WPA2 con clave “fuerte”. WPA2 es una mejora def init iva sobre WEP y WPA

PDFmyURL.com

suministrando seguridad inalámbrica. Siendo precavidos incluso puedes hacer un servidorRadius y autentif acarte contra él. • Actualiza tu f irmware . Esto es de ayuda si tu AP o cliente no soporta actualmente WPA.Muchos f abricantes tienen f irmwares más recientes para productos 802.11g que añadensoporte WPA2. Tu también puedes encontrar esto para 802.11b, pero no es tan común. • Apaga la WLAN cuando no esté en uso. La manera f ácil sería poniendo un temporizadoral AP pero a lo mejor en un apagado se te va la conf iguración.

Importante destacar que son recomendaciones para uso doméstico , para implementar unared corporativa, se podrían usar alguna de las medidas vistas en este documento.

Volver arriba

Conclusiones Y Desenlace.

Las redes wireless, están ya muy desarrolladas e implementadas, es por ello que en brevecon 802.11i, disf rutaremos de una mayor seguridad, sin que para ello sean necesarios unosconocimientos técnicos apropiados, aun así; Nada es seguro al 100%, este documentotiene como f in, mostrar las distintas conf iguraciones que podemos realizar según nuestrasnecesidades, igualmente conocer los ataques que se usan comunmente en las redesinalámbricas, enf ocados desde ambos puntos de vista:)

Se autoriza la copia o distribución por cualquier medio, siempre que se cumpla la licenciaestablecida.

Para cualquier sugerencia o comentario, pentronic@gmail.com

Volver arriba

Esta obra está baixo unha licenza de Creative Commons

PDFmyURL.com

PDFmyURL.com