Saltándonos el filtrado MAC

Una medida de protección empleada frecuentemente en las redes WiFi es el filtrado por dirección MAC. Esencialmente, el filtrado MAC consiste en establecer una lista blanca de direcciones MAC que pueden conectarse a la WiFi.

La funcionalidad de filtrado por dirección MAC impide la conexión de equipos, cuyas interfaz WiFi no tengan una dirección MAC que se encuentre en esta lista. Todos los que tenemos y administramos WiFis domésticas, cuando hemos implementado esta medida de seguridad, nos hemos dado cuenta de lo tedioso que es el mantenimiento. Cuando vienen amigos o familiares y te piden conectarse a la WiFi, es necesario dar de alta las correspondientes direcciones MAC.

Sin embargo, el filtrado MAC no proporciona una protección exhaustiva. Como veremos, es relativamente fácil saltárselo con las herramientas adecuadas.

En este caso, voy a usar el router D-Link y la WiFi HACKME_002. La configuración WiFi actual es:

Como vemos, el ESSID está oculto, no hay cifrado y el filtrado MAC está deshabilitado. Habilitamos el filtrado MAC añadiendo, como estación autorizada, la Raspberry:

Salvamos y aplicamos los cambios de configuración y rearrancamos el router. Como vemos, tenemos una única estación asociada que es la Raspberry.

Asumo que he obtenido (mediante los mecanismos ya contados en otros posts) el ESSID de la red (HACKME_002) y el canal de transmisión (9). En mi Kali, tengo configurada la interfaz wlan1 en modo monitor y la otra interfaz WiFi (wlan0) conectada a la WiFi doméstica:

Arranco Wireshark, pongo a capturar paquetes en la interfaz wlan1 e intento conectarme a la red HACKME_002 a través de la interfaz wlan0 de Kali. Despues de varios reintentos de conexión, la interfaz no logra conectarse:

En Wireshark vemos que Kali envía tramas de autenticación y el punto de acceso le devuelve tramas de error. Esta secuencia se reproduce a lo largo de varios intentos hasta que la interfaz wlan0 se vuelve a conectar a la red doméstica.

El filtrado MAC está impidiendo la conexión del equipo a la red. Para saltarnos el filtrado MAC lo que vamos a hacer es enmascarar la dirección MAC de la interfaz wlan0 de Kali con la dirección MAC de un equipo ya conectado a la red.

Para encontrar la dirección MAC de un equipo conectado a la red vamos a utilizar el comando airodump-ng:

El parámetro –c especifica el canal y el parámetro –bssid el BSSID del punto de acceso. Al cabo de un rato, cuando alguna estación empieza a transmitir obtenemos la información que necesitamos:

Ahora, usamos la utilidad macchanger para cambiar la dirección MAC de la interfaz wlan0. En primer lugar desactivamos la interfaz, lanzamos el enmascaramiento de MAC y volvemos a levantar la interfaz:

Una vez que tenemos enmascarada la dirección MAC procedemos a capturar paquetes con Wireshark y a intentar conectarnos a la WiFi:

Vemos que nos hemos conectado a la WiFi HACKME_002. Conseguido. En Wireshark se aprecian las tramas de autenticación:

Y el log del punto de acceso también muestra la asociación de la estación enmascarada:

Forzando la desconexión de los clientes WiFi

En el post anterior, vimos como podíamos forzar la desconexión de los clientes WiFi lanzando un broadcast de tramas de desconexión suplantando (spoofing) la dirección MAC del punto de acceso.

En este post vamos a ser más selectivos, vamos a hacer que se desconecte un cliente concreto (la Raspberry) de la red, mediante el envío de una trama de desconexión dirigida en concreto a ese cliente. Esto podría ser una forma de ataque de denegación de servicio, dirigido a ese cliente concreto.

En principio, lo que necesitaríamos conocer es:

• Dirección MAC del punto de acceso.
• Canal de conexión
• Dirección MAC del cliente al que queremos desconectar.

Las dos primeras, como hemos visto, son fáciles de obtener y la tercera la obtendremos escuchando la red WiFi. Por lo tanto, vamos a poner la interface en modo monitor e iniciar la captura con Wireshark. Generaremos tráfico desde la Raspberry para capturarlo:

Tras una breve captura vemos las tramas ICMP correspondientes al ping:

Averiguamos que la estación a la que queremos forzar la desconexión tiene como dirección IP la 192.168.200.129 y, como dirección MAC la siguiente: 00:0f:60:06:6d:d7.

Lo que tenemos que hacer ahora es lanzar la trama de desconexión a la dirección MAC de la estación a la que queremos desconectar:

Vemos en Wireshark, las tramas de desconexión:

Y las tramas DHCP y ARP lo que nos permite ver la dirección IP asignada a la estación atacada:

Destapando SSIDs (en el lado salvaje)

En el anterior post descubríamos los SSIDs ocultos escuchando paciente y silenciosamente las peticiones de conexión enviadas desde las estaciones a los puntos de acceso. La ventaja de este mecanismo es que trabajamos escuchando, sin hacernos presentes en el entorno. Sin embargo, no en todos los casos, se tiene el tiempo o, simplemente escuchando, no conseguimos nada.

El objetivo de este post es presentar un método alternativo más rápido que consiste en inyectar paquetes de desconexión en la red para forzar la reconexión de los equipos al punto de acceso y, por lo tanto, forzar el revelado del SSID. La desventaja de este método es que puede hacer patente nuestra presencia a mecanismos de detección de intrusiones en la red inalámbrica.

Como puntos de partida, asumimos que conocemos la dirección MAC del punto de acceso y el canal empleado. Ya, en posts anteriores, vimos como obtenerlos (iwlist, iwconfig, etc.) por lo que no voy a volver a describirlo.

Para empezar, ponemos la interfaz wlan1 en modo monitor y la sintonizamos al canal del punto de acceso.

Para inyectar las tramas de desconexión, vamos a usar la herramienta aireplay-ng del conjunto de herramientas aircrack-ng. Arrancamos, en primer lugar Wireshark y lo ponemos a capturar paquetes. Desde una terminal, lanzamos el comando necesario para inyectar las tramas de desconexión:

Destripando el comando anterior:

• La opción 0 indica que se trata de un ataque de desconexión forzada.
• El número 5 es el número de tramas de desconexión lanzadas.
• El parámetro –a establece la dirección MAC del punto de acceso a la que vamos a hacer spoofing.
• El flag ignore-negative-one sirve para ignorar el error en caso de que no pueda determinarse el canal de la interfaz.
• Por último se pasa la interfaz empleada para la inyección.

Poniendo el filtro adecuado en Wireshark, podemos ver las tramas de broadcast de desconexión enviadas:

Y, cambiando el filtro de nuevo para ver todas las tramas (que no sean tramas faro) emitidas o recibidas por nuestro punto de acceso, podemos ver como nuestra Raspberry se desconecta y vuelve a conectarse revelándonos el ESSID en la petición de conexión.

Simple y eficaz.

Destapando SSIDs

Las redes WiFi son inseguras por naturaleza, el medio de transmisión es abierto y accesible. A lo largo del tiempo se han ido implementando mecanismos de seguridad para proteger la información intercambiada sobre estas redes. Algunos de estos mecanismos no han sido efectivos.

Un ejemplo de una medida ineficaz, desde el punto de vista de la seguridad es ocultar el SSID de la red. Esta técnica consiste en ofuscar el SSID de forma que el punto de acceso no lo emita en claro (ejemplo claro de seguridad por oscuridad). Sin embargo, todas las estaciones que se conectan a la red deben conocerlo para poder conectarse. Ocultar el SSID es una medida orientada no a proteger sino a ocultar.

En la configuración por defecto de los puntos de acceso WiFi, éstos retransmiten el SSID en sus tramas de faro (beacon). Sin embargo, el punto de acceso se puede configurar para que no retransmita el SSID en claro. De esta forma, sólo los clientes que conozcan el SSID podrán conectarse a la red. Ocultar el SSID, como veremos, es un mecanismo de protección muy débil y no debe considerarse, bajo ningún concepto, como una medida de seguridad. Descubrir el SSID es relativamente fácil.

Con Wireshark podemos ver el SSID emitido en las tramas faro de los puntos de acceso (asumiendo que tenemos nuestra interfaz en modo captura). El SSID aparece en texto plano en el cuerpo de la trama:

La estructura de las tramas faro es como sigue:

Los dos primeros bytes del SSID son la longitud (¿?) (0x000a == 10) del SSID y, a continuación, aparece el propio SSID (HACKME_001).

Vamos a ocultar el SSID de nuestra red y vamos a ver cómo podemos obtener esta información. Para deshabilitar la emisión del SSID, entramos en la administración del punto de acceso y activamos la opción correspondiente. En cada equipo puede ser distinto:

Ponemos la interfaz en modo captura y lanzamos de nuevo Wireshark:

Vemos que, en lugar de los caracteres del SSID aparecen nulos (0x00) pero, aparentemente, la longitud del SSID (10) es la del SSID oculto.

Para descubrir el SSID oculto, lo único que tenemos que hacer es escuchar de forma pasiva y esperar a que se conecte un cliente legítimo a la red. La conexión del cliente generará dos tramas (probe request, probe response) de las que podemos sacar la información que nos falta.

Por ir paso a paso:

1. Obtenemos información de la WLAN a la que nos queremos conectar (comando iwlist).

Con el comando iwlist obtenemos la dirección MAC (nos va a servir para filtrar en Wireshark) y el canal.

2. Ponemos la interfaz en modo monitor:

3. Configuramos la interfaz para que escuche en el canal 9.

4. Lanzamos Wireshark y esperamos a que se conecte un cliente (Raspberry) quedándonos con las tramas Probe Request y Probe Response:

Éste es el filtro aplicado:

Ésta es la información de la trama Probe Request con el SSID:

Y ésta es la información de la trama Probe Response, asimismo con el SSID oculto:

Bueno, ya hemos visto cómo averiguar el SSID oculto.

Esnifando tramas 802.11

Con el entorno ya montado, lo primero que voy a hacer va a ser capturar información de las tramas 802.11 que circulan en el espacio radioléctrico de mi casa. Por supuesto, me voy a limitar a mis propios puntos de acceso (redes WLAN domésticas y la WLAN de lab) ya que, de otra forma, estaría incurriendo en una ilegalidad flagrante. Espero que si alguien lee esto, sea consciente de la responsabilidad que adquiere al montar un entorno como éste.

Por otra parte, dado que voy a estar jugando con estos temas un tiempo he decidido substituir la interfaz USB Belkin Wireless G F5D7050 por una más moderna Alfa AWUS036H con antena de 5dBi:

Una vez conectada y realizada la configuración básica de red con la interfaz instalada como wlan1, tenemos lo siguiente:

Voy a probar las capacidades de escaneo de la nueva interfaz mediante el comando iwlist. Lo que veo es que capta muchas redes WiFi próximas:

Por último, antes de meternos en mayores profundidades, conviene recordar los detalles de las tramas 802.11 que vamos a capturar. El estándar 802.11 define tres tipos de tramas (más detalles aquí):

a) Tramas de gestión

Se encargan de la gestión de la comunicación entre los puntos de acceso y los clientes. Existen distintos tipos de tramas para controlar aspectos tales como la autenticación, las solicitudes de asociación y desasociación de puntos de acceso, tramas de faro (beacon) de los puntos de acceso, etc. En estas es en las que vamos a estar, en general, más interesados para la penetración en la red.

b) Tramas de control

Se encargan de asegurar el intercambio apropiado de datos entre los clientes y los puntos de acceso, permitiendo arbitrar el acceso al medio compartido.

c) Tramas de datos

Son las que transportan los datos intercambiados por los clientes.

La estructura de campos de las tramas 802.11 se presenta en la siguiente imagen:

Para empezar a capturar tramas, vamos a poner la interface (wlan1) en modo monitor. Para ello vamos a utilizar el script airmon-ng de la suite de herramientas aircrack-ng. En, primer lugar, vamos a comprobar si la interfaz que vamos a utilizar para captura es visible para airmon-ng ejecutando el script sin argumentos:

Vemos que aparece la interfaz wlan1, vamos a ponerla en modo monitor. Para ello, lanzamos el comando airmon-ng start wlan1:

El script crea una nueva interface en modo monitor (wlan1mon), esto se puede ver volviendo a ejecutar el script airmon-ng sin argumentos y, por supuesto, mediante el comando iwconfig.

Bien, ya tenemos la interface configurada en modo monitor, ahora, lo que tenemos que hacer es empezar a capturar los paquetes para analizarlos.

Para hacer la captura voy a utilizar el archiconocido programa Wireshark. Lanzamos desde la línea de comandos la ejecución del programa en segundo plano (wireshark &) y nos aparece la ventana principal del programa:

Seleccionamos la interface a través de la que se van a capturar los paquetes (wlan1mon) y pulsamos la aleta de tiburón azul de la parte superior izquierda para empezar la captura:

En pocos momentos, se puede capturar una gran cantidad de paquetes, sobre todo si hay distintas WLAN y éstas tienen una gran cantidad de tráfico. Vamos a emplear la funcionalidad de filtrado de Wireshark para ver sólo los paquetes de nuestro punto de acceso (BSSID = 00:11:50:86:64:ab):

Ahora vamos a ver sólo las tramas de gestión. Las tramas de gestión tienen el subcampo campo ‘type’ del campo Frame Control (fc) a 0:

Modificando el filtro podemos ir viendo los distintos tipos de tramas.

Ahora vamos a iniciar el ejercicio de capturar las tramas de la WLAN lab. Voy a asumir que, lo único que conozco es el SSID de la red (que es “HACKME_001”). Para capturar las tramas de esa WLAN necesito dos cosas:

• El BSSID de la red (dirección MAC del punto de acceso).
• El canal radio que emplea.

Lo primero que hago es poner la tarjeta en modo monitor:

A continuación lanzo el comando airodump-ng wlan1mon para ver las redes que detecta mi tarjeta y obtener la información precisa de la red cuyas tramas quiero capturar:

De la salida del comando puedo obtener el BSSID y el canal (9 en mi caso). Ahora sintonizo la monitorización a ese canal:

Lanzo una serie de pings desde la raspberry para generar tráfico en la red y lanzo Wireshark:

Ahora puedo ver las tramas que el punto de acceso devuelve a otros clientes de la red (en este caso la Raspberry) puedo obtener información interesante como las direcciones IP y direcciones MAC de los clientes y todo esto de forma silenciosa, sin hacer notar mi presencia. Esto era fácil porque el punto de acceso está completamente abierto y no emplea cifrado.

Empleando a fondo las capacidades de Wireshark, podríamos reconstruir conversaciones TCP y capturar información relevante intercambiada.