lunes, 26 de mayo de 2008

Auditoria Wireless- PASOS


Vamos a iniciarnos en la auditoria WIRELESS


1.- Antecedentes.

Como casi todo en la vida cuando nos iniciamos
por primera vez en una nueva actividad sea profesional o por pura
afición, siempre tenemos la incertidumbre si estamos haciendo los pasos
adecuados. La mejor forma de aceptar nuevos retos tanto en nuestra vida
profesional como social y profesional es teniendo en cuenta estos
puntos:

1.- Estar completamente relajado y estructurar los pasos a seguir.
2.- Perder el miedo a hacer el ridículo.
3.- Leer, preguntar y sobre todo escuchar.
3.- No ser vanidosos, y reconocer nuestras limitaciones
4.-
Y sobre todo no pensar que porque ya hemos sido capaz de recuperar la
clave de nuestra propia red wireless, creer que nos pueden llamar
“Hacker wireless”.
5.- Y el mas importante de todo usar el buscador favorito de cada uno.
2.- Datos de partida.

Partimos desde cero, y por lo tanto estamos ante nuestra propia instalación
wireless que supuestamente nos ha configurado y instalado el personal
técnico de la empresa de servicios que hayamos contratado.Aunque seria recomendable instalarlo nosotros mismos , es mas confortable.

Se supone que estamos tranquilamente navegando con nuestro portátil mientras estamos entado en el sofá de casa y nuestro router inalámbrico esta en otra parte de la casa. Estamos visitando una de la miles de nuestras paginas favoritas y de repente observamos que se ha perdido la conexión o que el rendimiento ha bajado considerablemente. Posiblemente solo
haya sido un problema de interferencias generado por el ascensor del edificio o por las palomitas que alguien ha introducido en su súper microondas de 3Kw, pero quizás ese no haya sido el único problema como a muchos nos ha pasado.

En ese momento decidimos adentrarnos en la auditoria wireless para determinar las causas del problema que esta aconteciendo.

O
quizás simplemente estemos navegando y entremos en este portal y en ese momento nos percatamos que las redes wireless son inseguras, y queremos ser conscientes realmente de la privacidad de nuestra conexión.

Hoy en día permanecer oculto en la navegación Internet es posible pero pensar que casi todos nuestros movimientos están controlados. Nuestro proveedor de servicios mantiene registros que permiten conocer que acciones hemos estado realizando en Internet. Y dicho ISP tiene
nuestros datos completos de quienes somos. Lo que esta claro que existe una política de privacidad y esos datos son estrictamente guardados y no podrán se accesibles a nadie sino es debido a que haya alguna orden judicial.

Pero, ¿como estamos seguros que el vecino que cada mañana nos muestra su sonrisa amable y nos da los buenos días, no tiene acceso de forma inalámbrica a los importantes documentos de nuestro ordenador? O quizás este a centenares de metros de nuestra instalación. La forma
de determinar si estamos ante un posible acceso no autorizado es muy fácil de descubrir.

3.- Análisis de red

La aplicación mas sencilla para detectar si tenemos intrusos en nuestra red es el LookLan. También se puede usar el Advanced IP Scanner. Ambos programa estan en la plataforma de windows en Análisis de red.

Con un simple escáner del mismo rango de red de nuestra instalación, podemos determinar los equipos que hay conectados.En el ejemplos vemos que solo hay 2 dispositivos. La dirección 192.168.1.1 corresponde al punto de acceso y la dirección 192.168.1.34 corresponde al equipo cliente.

Si observáramos alguna otra dirección y nuestra instalación solo esta basada en un router y un ordenador es sinónimo de que tenemos intrusos en nuestra red.Observando las propiedades de
conexión de cada equipo podemos saber que dirección IP tiene cada uno,por lo tanto si en nuestra instalación hay mas de un cliente este deberá verse.Tener en cuenta que posiblemente tengamos una parte ethernet o algún equipo con varias tarjetas wireless y cada una con una
dirección IP distinta. Pues bien todas quedaran reflejadas en esta pantalla.

Este análisis forma parte de la auditoria wireless y es lo primero que siempre debe de hacerse. Hay varios programas pero este es el mas sencillo de utilizar.

También podemos observar la información que pueda quedar registrada en nuestro punto de acceso.

A modo de curiosidad les planteo la posibilidad de realizar un test de conexión a Internet. Como pueden observar que los resultados no se adecuan a las redes ethernet, y si el valor es muy bajo, posiblemente no estén quitando ancho de banda.

4.- Modo monitor

Esta es la parte mas importante para poder analizar el nivel de seguridad de nuestras instalaciones.

Si tenemos varias tarjetas quizás no sea necesario el adquirir una nueva,pero obviamente si solo tenemos una instalación con un punto de acceso y un solo equipo cliente con una tarjeta, obviamente será necesario la compra de otra tarjeta. Esto no es cierto del todo ya que también es
posible la comprobación de acceso al punto de acceso sin ningún cliente asociado, ya que al fin y al cabo los accesos no autorizados se producen principalmente al punto de acceso. Existen análisis donde no es necesario que haya un cliente, pero pensar que un posible atacante lo hará con mas efectividad cuando haya un cliente conectado, por lo tanto es mejor comprobar la seguridad con una nueva tarjeta, ya que si aseguran su instalación mientras haya una conexión entre punto de
acceso y cliente, les puedo garantizar que si el nivel se seguridad es máximo, aun lo será mas en el caso de que no haya clientes, por lo tanto realizar la auditoria con una tarjeta nueva o diferente a la usada en el proceso normal de conexión o navegación.

Los accesos no autorizados consiste en determinar que clave se este usando tanto en encriptación WEP como WPA.

Obviamente si no Usan ningún tipo de encriptación, ya les digo que no hace falta que sigan leyendo esta post, ya que seguramente estan expuestos a un 100% de posibilidades a que tengan personas no autorizadas en su conexión. Y solo ha sido necesario usar un par de veces el botón del ratón.

Queda perfectamente manifestado en el propio rastreador del Windows XP como “Red inalámbrica no segura”.

Si no sabén como configurar una red inalámbrica en windows les invito a hacer lo siguiente**:

Configuración en Windows de inalámbricas con encriptación WEP 64 y 128 bits
Configuración en Windows de redes inalámbricas (wireless) con encriptación WPA
Si no saben como instalar los driver necesarios previo paso a la configuración de los drivers en windows para modo monitor vayan a :
¿Como instalar drivers para las tarjetas inalámbricas (wifi) en Windows?
Instalación de drivers específicos en Windows para funcionamiento en modo monitor o simplemente llamenme , en toda la rep.dom.

Para iniciarse en la recuperación de claves y elegir una tarjeta wireless debemos elegir un modelo que se adapte al interfaz que tengamos en nuestro equipo. Ejemplos de interfaz son tarjetas USB, PCMCIA y PCI.

Si es un PC de sobremesa elegiremos un tarjeta PCI.
Si es un portátil elegimos una tarjeta PCMCIA o USB
Si tenemos varios equipos y uno de ellos es un portátil quizás ya lleve incorporado una mini tarjeta wireless, y quizás nos pueda funcionar.

EL siguiente aspecto a tener en cuenta es el tipo de chipset que lleva la tarjeta y que pueda mediante los drivers adecuados y el sistema operativo elegido permitir que la tarjeta entre en modo monitor.

Modo monitor quiere decir que la tarjeta pude permanecer a la escucha capturando todo tipo de trafico dentro de su rango de cobertura. Esta captura es muy importante ya que es la premisa para poder iniciar una recuperación de claves.

Elegido el modelo debemos de instalar los drivers correspondientes para nuestro modelo tanto sea en windows como en linux. La suerte de linux es que quizás los drivers ya vengan de
serie con la distribución elegida.

Como casi todo el mundo usa windows, he preparado un manual de instalación de driver para modo monitor.

Instalación de drivers específicos en Windows para funcionamiento en modo monitor
Pero si usan linux también pueden ver diferentes ejemplos para los chipset más destacados en:

Biblia de seguridad

Así como una guía de comandos básicos: Comandos linux

5.- Elección de tarjeta

El tipo de interfase (PCI - PCMCIA - USB) vendrá determinado por nuestro equipo base y la elección final de la tarjeta vendrá determinado por el sistema operativo usado para la auditoria wireless.

Tienén una lista de tarjetas con todas la características posibles para la auditoria en
Listado de tarjetas inalámbricas muy útiles para adentrarse con mas acierto en la auditoria wireless

Y si tienen problemas de cobertura con todo tipo de tarjetas les recomiendo:**

¿Necesitas y quieres aumentar la cobertura de tus tarjetas wireless
Como ven hay un abanico bastante amplio de soluciones para nuestras necesidades, pero mantener siempre este tipo de análisis y de correcta elección:
Si nuestro sistema operativo preferido es windows:
Nunca usar un chipset de Ralink, y tampoco Prism 2/3. Prism Gt quizás si pueda ser valido, pero tiene que ser Full Mac y a día de hoy es difícil hacerse con una tarjeta de este tipo, ya que las han cambiado por las Soft Mac.

El mejor chipset es Atheros, pero las nuevas revisiones de este chipset son completamente incompatibles con ciertos drivers y programas para windows.

En ese caso hay alternativas que podemos analizar en**:
Configuración de las nuevas atheros para entrar en modo monitor en Windows Inyección de trafico con Windows (manual único en castellano)
También puede valer con chipset de Realtek. O incluso Agere, Hermes y Broadcom.

La versión comercial para las Ralink esta todavía por probar por mi parte.

Si nuestro sistema preferido es linux:

El abanico de posibilidades ya cambia, es decir aumenta. Se mantiene algunos de los chipset anteriormente citados y se le añaden las famosas centrino IPW2200 (muy buena sensibilidad) y los chipset de Ralink entre otros.

Sin embargo configurar los drivers nativos para linux para las Broadcom es una tarea mas que difícil que no recomiendo a día de hoy. Es curioso este chipset porque en windows parece funcionar perfectamente. Pero no todas sino unos modelos en concreto. Las que
aceptan el siguiente driver: Driver Broadcom para windows.

Descartar siempre para ambos sistemas operativos una tarjeta USB con chipset Atheros. Si tiene que ser USB recomiendo que sea solo a través de linux y con el chipset de Ralink. En este caso el modulo del driver se denomina RT2570.

La inyección de trafico consiste en acelerar la captura para la recuperación de claves tanto encriptación WEP como WPA.

No hay comentarios:

Búsqueda personalizada