En este escenario se tenía al AP “Laboratorio Wi-Fi” y a un cliente que realizó la conexión al mismo. El atacante mediante diversos ataques de DoS al cliente ocasiona que este pierda la conexión y en uno de los ataques se conecta incluso, a un AP falso (figura 3.6).
CAPÍTULO 3. HERRAMIENTAS DE PENTESTING EN ESCENARIOS DE ATAQUES: COMPROBACIÓN DE SU EFECTIVIDAD Y MITIGACIÓN DE VULNERABILIDADES
Aireplay-ng, Airbase-ng y Mdk3
AP falso AP
SSID: “Laboratorio Wi-Fi” Modo de operación: 802.11b/g Canal/frecuencia: 6/2,437 GHz IP: 192.168.195.11 MAC: 00:14:6C:6F:3A:71 Autenticación: Abierta Cifrado: Ninguno Cliente Legítimo IP: 192.168.195.150 MAC: 00:18:ad:66:5f:ef SO: Windows 7 Atacante IP: 192.168.195.12 MAC: 00:18:4d:66:6d:4b SO: Linux Ataques
1. Ataque DoS mediante la deautenticación sostenida de los clientes
2. Ataque evil twin
3. Emisión de ruido RF
Herramientas empleadas por el atacante
Figura 3.6 Escenario No. 6: Ataques a la infraestructura de las redes Wi-Fi (DoS)
Ataque DoS mediante la deautenticación sostenida de los clientes
Para la realización de este ataque se configura la red Laboratorio Wi-Fi para utilizar la autenticación abierta y sin cifrado. Esto permite ver los paquetes con Wireshark. Se conecta un cliente de Windows con el AP y se muestra la conexión en la pantalla de Airodump-ng [70].
En la máquina atacante, se inicia un ataque dirigido de deautenticación mediante el comando aireplay-ng --deauth 1 -a 00:14:6C:6F:3A:71 -h 00:14:6C:6F:3A:71 -c 00:18:ad:66:5f:ef mon0. La opción –deauth (-0) indica un ataque de deautenticación de cliente, 1 es el número de paquetes que se mandan a la tarjeta asociada con el fin de conseguir que se caiga de la red (número de deautenticaciones), -a selecciona la MAC del AP objetivo y la opción -c significa que el ataque está dirigido a la estación con dirección MAC 00:18:ad:66:5f:ef. De esta manera, el cliente es desconectado del AP, lo que se puede verificar en la misma pantalla de airodump-ng; y además en Wireshark, donde se ven los paquetes de deautenticación [70].
CAPÍTULO 3. HERRAMIENTAS DE PENTESTING EN ESCENARIOS DE ATAQUES: COMPROBACIÓN DE SU EFECTIVIDAD Y MITIGACIÓN DE VULNERABILIDADES
Se puede hacer el mismo ataque mediante el envío de paquetes de difusión de deautenticación (broadcast deauthentication packet) hacia el AP. Esto tendrá el efecto de desconectar a todos los clientes conectados, lo que se logra con la ejecución de aireplay-ng --deauth 1 -a 00:14:6C:6F:3A:71 -h 00:14:6C:6F:3A:71 mon0 [70].
Es importante tener en cuenta que tan pronto como los clientes se desconectan, intentan volver a conectarse de nuevo al AP y, por lo tanto, el ataque de deautenticación tiene que llevarse a cabo de manera sostenida para tener un efecto de ataque de denegación de servicio completo [70].
Ataque evil twin
Se usa Airodump-ng primeramente para localizar el ESSID que se desea emular en el evil twin, mediante airodump-ng --bssid 00:14:6C:6F:3A:71 mon0. Luego, se conecta un cliente inalámbrico al AP. Se utiliza esta información y se crea un nuevo AP con el mismo ESSID, pero diferente dirección MAC, con el comando airbase-ng -a aa:aa:aa:aa:aa:aa --essid “Laboratorio Wi-Fi” -c 6 mon0. La opción -a indica la dirección MAC del AP falso, --essid es el ESSID del nuevo AP y -c indica el canal. También se tiene la opción de falsificar la dirección MAC del AP mediante airbase-ng -a 00:14:6C:6F:3A:71 --essid “Laboratorio Wi-Fi” -c 6 mon0. Incluso airodump-ng es incapaz de diferenciar que en realidad hay dos APs físicos en el mismo canal [70].
Se comprueba la creación de este nuevo AP para lo cual se ejecuta airodump-ng -c 6 wlan2. Se envían tramas de deautenticación de difusión mediante aireplay-ng -0 0 -a 00:14:6C:6F:3A:71 mon0, por lo que el cliente se desconecta inmediatamente y trata de volver a conectar. La opción de -0 indica la elección de un ataque de deautenticación para todas las estaciones conectadas a ese AP, ya que se omite la opción -c, 0 son los paquetes a mandar al cliente objetivo (no pararán de lanzarse paquetes hasta que se interrumpa la ejecución del programa (CTRL + C en la shell o cerrando la terminal) y -a es la dirección MAC del AP.
Entonces se observa en Airodump-ng como los paquetes perdidos (Lost) empiezan a subir hasta que el cliente se desconecta del AP. Cuanto más se acerca el evil twin a este cliente, la fuerza de señal es más alta y el cliente se conecta a este AP duplicado malicioso [70].
CAPÍTULO 3. HERRAMIENTAS DE PENTESTING EN ESCENARIOS DE ATAQUES: COMPROBACIÓN DE SU EFECTIVIDAD Y MITIGACIÓN DE VULNERABILIDADES
Emisión de ruido RF
Para la puesta en práctica de este ataque se comenzó mostrando todas las señales Wi-Fi disponibles en el área, mediante el comando airodump-ng mon0 y se evidenció que no hay ningún cliente asociado al AP (Anexo 76). A continuación se llevó a cabo el ataque, el cual consistió en la difusión constante de tramas beacons de supuestos APs con nombres aleatorios. El comando para dicho ataque fue mdk3 mon0 b apfalsos.txt -c 6, la opción b indicó el tipo de ataque que fue APs falsos y -c el canal (Anexo 77). Al agregarse el modificador -f permitió indicar el archivo .txt con los nombres de AP's que se querían mostrar y con -n se ajustó al mismo SSID del AP legítimo (Anexos 78 y 79). Una vez que el cliente intentó conectarse a una red inalámbrica le apareció una enorme lista de APs disponibles; pero solo uno era el legítimo, creándole una gran confusión (Anexo 80, 81 y 82) [116].
3.3.7 Escenario No. 7: Ataque avanzado “Hombre en el medio” (“Man in the