[GUÍA] Auditoría wireless con KisMac

Bueno, puesto que parece que muchos estamos interesados en realizar auditoría con nuestros Macs he pensado en escribir esta modesta guía para que sirva de referencia a los que quieran adentrarse en este mundillo. Mucho de lo que escribo está basado en experiencia propia, pero también hay términos técnicos cuyo significado he aprendido en diferentes foros, como los de KisMac o aircrak. Los errores son exclusivamente míos y pido perdón por ellos ya que no soy ni mucho menos un experto.

Recordad que auditar redes ajenas sin autorización es ILEGAL y que además no se permite en este foro. Todo lo que se explica en este tutorial es con el ánimo de probar la seguridad de nuestras redes o de aquellas en las que nos hayan autorizado a operar.

He realizado un screencast completo en alta calidad sobre como auditar una red con seguridad WEP y extraer la clave ASCII (la red es del despacho de mi padre, en concreto). Lo podéis descargar aquí y verlo mientras leéis las instrucciones que siguen.

Para la auditoría necesitaremos:

· KisMac (última build: 319)
· Una tarjeta de red que inyecte paquetes
· Redes inalámbricas con actividad cerca
· Cerveza

Sobre la tarjeta wireless se han dicho incontables cosas. Cada uno tiene la que prefiere. Yo, en mi eterna subjetividad, puedo recomendar la que uso desde hace casi un año que me ha dado excelentes resultados. Se trata de la Edimax EW-7318 USg, un stick USB con chipset Ralink rt73 y conector de antena SMA. Estas tres características son importantes; al ser USB es muy cómodo de llevar y la compatibilidad está asegurada, el conector para la antena es un punto importante en caso que queramos auditar en edificios de hormigón con cobertura reducida o a largas distancias, ya que nos permitirá mucha flexibilidad a la hora de buscar antenas más o menos potentes según el uso que le demos en cada momento. Pero hablemos del chipset.

(ACTUALIZACIÓN: A fecha 31-1-2010 no está comprobado que las nuevas remesas de la Edimax lleven el chipset Ralink, las que tienen el FCC ID: NDD957318S607 está confirmado que funcionan; este ID se mira detrás del dispositivo, por lo que puede ser buena idea comprobarlo antes de comprarlo.)

El chipset es el corazón de la tarjeta; es el elemento que determinará el fracaso o el éxito de nuestras pruebas. Tarjetas de marcas diferentes suelen llevar el mismo chipset, por lo que la elección se reduce a un puñado de fabricantes. Por compatibilidad, calidad, experiencia personal y recomendación de infinidad de foros y expertos yo recomiendo los chipsets de Ralink, sobretodo los rt2550 y rt73 y, particularmente, este último. Si elegimos una tarjeta con este chipset nos aseguramos la compatibilidad con MacOSX, con KisMac y con las suites de auditoría de Linux más habituales (Wifislax, etc...) en caso que deseemos tirar de línea de comandos. También es perfectamente compatible con VMWare y Parallels por si quisiéramos utilizar herramientas virtualizadas (aircrack, kismet...)

Una vez tengamos los materiales llega el momento de instalar KisMac, simplemente con arrastrar a "Aplicaciones" lo tendremos funcionando, ahora sólo queda conectar la tarjeta y arrancar el programa.

Al iniciar KisMac por primera vez deberemos seleccionar el driver que queremos utilizar; para ello vamos al menú KisMac>Preferencias>Driver y elegimos de la lista el driver que se identifique con el chipset de nuestra tarjeta. Una vez seleccionado activamos la opción de "use as primary device" para que active la inyección de paquetes (no todas las tarjetas pueden inyectar, por eso recomiendo la Edimax) y seleccionamos los canales que queremos que utilice (del 1 al 11 en EEUU y del 1 al 13 en Europa). Lo mejor es seleccionarlos todos para que no queden dudas. Si queremos tunear un poco más, la opción "Hopping frecuency" nos permite determinar el tiempo que tardará en saltar entre canales cuando estemos escaneando el espectro completo. El tiempo por defecto es de 1/4 de segundo.

Una vez tenemos el driver seleccionado es el momento de escanear. Para ello pulsamos sobre "Start", abajo a la derecha, y veremos como el programa comienza a encontrar redes cercanas a nosotros. En este momento veremos un resumen de la información de cada red: Canal, SSID, BSSID, señal máxima y media, tipo, encriptación, paquetes... Los apartados más importantes son "Señal", "Encriptación" y "Paquetes". A más señal mejor trabajará la tarjeta y más paquetes podrá captar, a más paquetes captados más fácil será extraer la clave, y cuanto más simple sea la encriptación menos tiempo necesitaremos para auditar la seguridad. En esta guía nos basamos en la auditoría a redes WEP, que son las más comunes.

Una vez tengamos la certeza de que no nos queda ninguna red por descubrir seleccionaremos aquella que vayamos a auditar, que será la que nos hayan autorizado a hacerlo. Picamos doble click sobre ella y pasamos a una pantalla con información mucho más detallada.

Aquí nos interesan básicamente cinco cosas:

· SSID
· Canal principal
· Paquetes
· IV's
· Paquetes de inyección

En este punto, como nos vamos a centrar en una sola red, desactivaremos la alternación de canales y procederemos a fijar la tarjeta de red en un solo canal. Para ello nos fijaremos en el número del canal principal de la red que vayamos a auditar y lo fijaremos en la tarjeta en el menú "Channel". Veremos como la señal permanece constante (antes bajaba a cero al abandonar el canal de la red) y como los paquetes, IV's y paquetes de inyección comienzan a aumentar a un ritmo suave.

Una vez hayamos comprobado que el SSID se corresponde con el de la red que tenemos permiso para auditar procederemos con los ataques. Si el SSID estuviera oculto realizaremos un ataque de Desautenticación (Network>Deauthenticate) para revelar el SSID. En caso de equivocarnos de red desconectaremos ya que si no estaríamos incurriendo en delito.

Si la red que estamos auditando no tuviera el SSID oculto realizaríamos igualmente un ataque de Desautenticación para revelar los dispositivos conectados al punto de acceso. Este ataque interrumpe la conexión de los dispositivos enlazados con la base con objeto de que, al reconectarse automáticamente, podamos capturar más paquetes con información.

Tras esto, realizaremos un ataque de inundación de autenticación (Network>Authentication Flood) para inundar el punto de acceso de peticiones de conexión y poder capturar paquetes de inyección, que nos servirán posteriormente para conseguir IV's.

Una vez que tengamos los suficiente paquetes de inyección procederemos a realizar una reinyección de paquetes (Network>Reinject Packets) con el fin de capturar IV's, que se utilizan para extraer la clave de red. El tema de cuántos paquetes de inyección necesitamos tiene tela. KisMac utiliza un máximo de 100, y cada paquete es diferente de otro. Hay paquetes de inyección maravillosos con mucha información y hay otros que no valen para nada. Yo recomiendo tener al menos 10 antes de empezar a reinyectar, pero cada red es un mundo y hay que ir probando.

Cuando lo veamos adecuado realizaremos una reinyección de paquetes y observaremos como el número de IV's comienza a crecer vertiginosamente. Este número es el que al final resulta definitivo para extraer la clave de red. Dependiendo de la complejidad de la misma pueden hacer falta hasta un millón de IV's para extraerla, aunque normalmente con 400.000 tendremos suficientes. Yo suelo empezar a probar a partir de 80.000 y normalmente con 200.000 ya tengo suficientes para conseguir la clave. En cualquier caso, cuando creamos que tenemos suficientes será el momento de realizar un weak Scheduling Atack para obtener la clave. Podría ocurrir que KisMac decida que los paquetes de inyección no son válidos y su número baje a cero. En este caso tendremos que volver a empezar con los ataques de desautenticación e inundación para capturar algunos válidos. Es importante recordar que la red auditada debe estar generando suficiente tráfico para que podamos capturar algo; la situación ideal es que haya cinco clientes descargando continuamente o viendo vídeos de youtube, pero en la vida real el tráfico no es tan intenso, con lo que el tiempo para conseguir los paquetes varía. Desde luego, si no hay nadie navegando no podremos hacer nada y deberemos abortar misión.

Cuando tengamos suficientes IV's pasaremos a realizar el ataque final desde Network>Crack>Weak Scheduling Attack. Aquí tendremos la opción de atacar redes de 40 bits, de 104 bits o ambas. A menos que conozcamos el tipo de seguridad de cada red seleccionaremos ambas (both) para no perder tiempo. Tras unos momentos, si todo ha salido bien, KisMac nos anunciará mediante un cuadro desplegable que el ataque ha resultado un éxito y que la clave de red ha sido extraida. No obstante, la clave que necesitamos para conectarnos al punto de acceso no es la del cuadro desplegable, si no la llamada Clave ASCII que aparece en el panel de la izquierda.

Hay otros modos de atacar redes (con diccionario y mediante fuerza bruta) pero esta manera explicada es la más común. Próximamente, si tengo tiempo, explicaré estos métodos así como la forma de auditar seguridad WPA.

Un saludo!!!