LiveCD WifiWay

Practica 6.7 (unidad 6): Wep

Para capturar y desencriptar una clave WEP he usado el LiveCD WifiWay  que está pensado para hacer auditorias Wireless y determinar si nuestra red es segura o no, así podremos tomar medidas y proteger nuestra red wifi de miradas ajenas.

La imagen ISO de ese LiveCD nos la podemos descargar desde la web www.seguridadwireless.net que está repleta de manuales y ayudas. Esta distribución viene totalmente equipada con programas para poder inyectar tráfico, absorber paquetes, desencriptar claves y prácticamente todo lo que podamos necesitar para auditar redes wifi.

Para evitar tener que ejecutar el programa Live desde la unidad CD realizando el boot desde la misma utilizamos el programa virtual Clone Drive y ejecutamos la Iso desde esta unidad virtual, como se puede apreciar en la siguiente imagen.

  

Una vez instalada la distribución ejecutamos la aplicación Minidwep-gtk, que nos ayudara a desencriptar en este caso la clave wep.

 Para detectar las redes o realizar el escaneo pulsamos el botón Scan  y nos aparecerá una lista de redes inalámbricas que capta nuestra tarjeta de red. Deberíamos de fijarnos principalmente entre otros atributos en el tipo de encriptación que en este caso elegiremos wep.

A continuación seleccionamos la red de la que queremos descifrar su contraseña y procedemos a darle a lunch.

Uno de los scripts que incorpora ejecuta todas las aplicaciones necesarias para la captura, suplantación y tratamiento de paquetes ofreciéndonos finalmente la clave correctamente desencriptada. Este script viene instalado por defecto y se llama airoway.sh

En nuestro caso solo tendremos que esperar alrededor de 3 minutos para que una vez realizada de forma automática una serie de acciones para la recogida masiva de paquetes nos mostrara una ventana que contiene un resumen de las acciones realizadas así como la clave descifrada en código ASCII.

Como recomendación deberemos de utilizar una configuración de nivel de seguridad más alto, es decir otro tipo de encriptación que no sea wep, si no WPA2-PSK, por ejemplo,  mucho más difícil de desencriptar.

Configuración AP seguro

Práctica 6.10 (unidad 6): Configuración AP seguro

http://tp-link.com/simlator/TL.WA501G/user Rpm/index.htm

-Deshabilitar el envío del nombre de la red SSI.

 

-Modificar el nombre de usuario y su contraseña por defecto de administrador:

 

-Deshabilitar el servidor DHCP y reasignación de direcciones IP estáticas en una red diferente a la por defecto (normalmente 192.168.0.0 o 192.168.1.0), estamos suponiendo que el punto de acceso no realiza enrutado por lo que no es la puerta de enlace de nuestra red. IP de configuración del AP 192.168.25.151, la puerta de enlace deberá configurarse de forma independiente.

 

 

 

 

 

-Filtrado de MAC: añadiremos las MAC de los dispositivos (previamente inspeccionaremos la MAC en las tarjetas de red inalámbricas) que queremos permitir (privilege=allow) el acceso a la red.

 

-Actualización del firmware: es posible descargar de la web del fabricante un archivo, o incluso probar algún software alternativo como Opewrt, DDWRT o Tomato. Se recomienda siempre realizar previamente una copia de seguridad del firmware actual.

 

Wi-Fi Protected Access

Práctica 6.8 (unidad 6): WPA

Wi-Fi Protected Access, llamado también WPA (en español «Acceso Wi-Fi protegido») es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP).1 Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por la Wi-Fi Alliance («Alianza Wi-Fi»).

WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave precompartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.

Un inconveniente encontrado en la característica agregada al Wi-Fi llamada Wi-Fi Protected Setup (también bajo el nombre de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2.

http://cz.tp-link.com/simulator/TLWA501G/userRpm/index.htm

1.    Vemos en su sección Security Settings cómo es posible deshabilitar la seguridad, o elegir entre WEP, WAP/WAP2-PSK es decir con clave precompartida, en las que será posible indicar una clave de cifrado.

Entre las opciones WEP, podemos seleccionar el método de autenticación: Automático, sistema abierto o shared key.

En las opciones WPA encontramos tanto par la configuración personal como Enterprise, podemos seleccionar la versión WPA o WPA2, y el algoritmo de cifrado TKIP o AES, así como el tiempo de actualización dinámica de la clave (group key update period).

Para el caso de WPA con autenticación mediante servidor Radius podremos indicarle la IP de la máquina y el puerto del servicio de autenticación.

1.    Configuración de la tarjeta de red:

SERVIDOR DE AUTENTICACIÓN RADIUS.

Practica 6.9.UNIDAD 6: SERVIDOR DE AUTENTICACIÓN RADIUS.

1. En primer lugar descargue el archivo FreeRADIUS.net-1.1.7-r0.0.2.exe desde la web oficial del FreeRadius www.freeradius.net de forma gratuita.

2. Una vez descargado procedo a instalar el software.

3. Una vez finalizado el proceso de instalación es necesario modificar algunas opciones de los archivos de configuración. Estos archivos están en el directorio: /etc/raddb

Los archivos de configuración más importantes son:

Clients.conf: en este archivo se guarda un listado de las máquinas que pueden actuar como clientes del servidor RADIUS.

Users: en este archivo se almacenan una serie de entradas, cada una de las cuales se corresponde a un usuario , y donde se especifican una serie de parámetros para cada uno de ellos.

Radius.conf: en él se configuran las opciones del propio servidor RADIUS, tales como el método de cifrado.

El archivo que van a modificar es el users. En dicho archivo se incluyen todos los usuarios que pueden acceder al servidor RADIUS (a excepción de los usuarios con cuentas locales en la máquina donde se ejecuta el servidor), pudiendo especificarse multitud de parámetros para cada uno de ellos (tipo de autenticación, tipo de servicio, clave, etc.).

4. Configure el archivo clients con las siguientes entradas:

Editamos la dirección Ip de nuestro AP 192.168.0.50 que será el autentificador, usando una máscara de subred de 32 bits.En secret utilizamos una clave compartida entre RADIUS y nuestro AP, utilizamos 123456789, y en shortname utilizamos miap.

 

5. Configuramos el archivo users con las siguientes entradas:

Configuramos users para tres usuarios, para ello copiamos 3 veces la línea testuser, es decir la copiamos tantas veces como clientes o usuarios vallamos a tener .En nuestro caso los denominamos usuario1,2,y 3, con sus respectivas contraseñas (red1, red2,red3,por ejemplo).

6. Una vez instalado RADIUS vamos a configurar el cliente EAP.

Configuramos los parámetros de red.

A continuación entramo en el AP a trves del explorer encribiendo en el navegador la dirección de nuestro AP 192.168.1.50

En primer lugar tendremos que configurar la LAN, para lo cual introducimos los siguientes parámetros: Dirección IP, mascar de subred y puerta de enlace que será 192.168.0.1

Tendremos que espera la cuenta atrás para su configuración.

 

Ahora ya podremos configurar nuestra red wifi. Para ello pulsamos en Wireless e introducimos los parámetros; SSID:CLANAR, elegimos el canal 6 y como meto de autentificación WPA-EAP. Debemos de introducir la direccion de nuestro AP.

Introducimos la clave que teníamos para RADIUS que era 123456789 y activamos el Super G Mode Turbo para que vaya más rápido. Esperamos que se configure y abrimos nuestro servidor RADIUS.

Simplemente lo abrimos y dejamos que se configure.

 

MAC spoofing o falsificación de la dirección MAC de una tarjeta de red.

Ejercicio 8 (unidad 6): MAC spoofing o falsificación de la dirección MAC de una tarjeta de red.

¿Es posible realizar MAC spoofing o falsificación de la dirección MAC de una tarjeta de red? Busca cómo se realiza para sistemas GNU/Linux y Windows y pruébalo.

http://es.wikipedia.org

MAC spoofing es una técnica para cambiar la dirección MAC de un dispositivo de red. La dirección MAC está codificada en una tarjeta de red y no se puede cambiar. Sin embargo, existen herramientas que pueden hacer al sistema operativo creer que el NIC tiene la dirección MAC de la elección de un usuario. El proceso de enmascaramiento de una dirección MAC se conoce como suplantación de dirección MAC (MAC spoofing). En esencia, esta técnica implica el cambio de identidad de una computadora por cualquier razón.

Cómo cambiar la MAC de una tarjeta de red en el Sistema operativo Windows Vista Ultimate 64 bits.

http://www.redeszone.net/seguridad-informatica/cambiar-mac-de-la-tarjeta-de-red-en-windows/

El programa utilizado es el etherchange y es totalmente compatible con este SO. Lo podéis descargar de aquí:

• Descarga Etherchange Gratis

Lo primero que debemos hacer antes de cambiar la MAC es desconectarnos de la red a la que estemos conectados, si no estamos conectados pues perfecto.

Ejecutamos el programa (en Windows Vista, clic derecho “Ejecutar como administrador”).

Nos saldrá una pantalla así:

Pasos:

Primero nos preguntan el adaptador a elegir, elegimos el nuestro.

A continuación nos preguntan qué queremos hacer, para cambiar la MAC seleccionamos la opción número 1.

Y por último ponemos la MAC que queramos, pulsamos intro y se nos cerrará, debemos ponerla sin los dos puntos (Sonrisa ni guiones ni nada, sólo números.

Ahora debemos quitar la tarjeta de red del ordenador (desconectarla) y volverla a conectar.

Si es una tarjeta PCI con reiniciar el ordenador valdría.

Al volver a conectarla, nos vamos a Inicio/ejecutar/cmd y ponemos:

ipconfig/all y aparecerá la nueva MAC Address .

Cómo cambiar la MAC de una tarjeta de red en Linux con ifconfig

http://www.redeszone.net/2014/06/13/como-cambiar-la-mac-de-una-tarjeta-de-red-en-linux-con-ifconfig/

 

Cambiar la MAC de una tarjeta de red nos permite navegar por internet de forma anónima ya que el tráfico quedará asociado únicamente a la MAC nueva en vez de a la original de la misma. Este cambio, aparte de para aumentar nuestra privacidad en la red, también es útil para acceder a determinados servicios que únicamente permiten el tráfico a determinadas direcciones MAC.

Ya que la dirección MAC está en el hardware de la tarjeta de red no puede ser modificada fácilmente de manera permanente, sin embargo, en los sistemas operativos modernos sí que se puede modificar a nivel de software para filtrar todo el tráfico que se genere con ella.

Los usuarios de sistemas operativos basados en Linux, por ejemplo, Ubuntu, podemos cambiar la dirección MAC de nuestra tarjeta de red fácilmente desde un terminal utilizando el comando ifconfig, comando utilizado para realizar todo tipo de acciones relacionadas con la gestión y administración de redes en el sistema operativo.

Lo primero que debemos hacer es consultar la MAC actual de nuestra tarjeta de red. Para ello abriremos un terminal o un TTY en nuestro sistema y teclearemos:

• ifconfig -a | grep direcciónHW

En caso de tener el sistema operativo en inglés el comando que debemos introducir es:

• ifconfig -a | grep HWaddr

Si los 2 anteriores fallan siempre podemos recurrir simplemente a ifconfig -a que nos devolverá todos los resultados relacionados con las tarjetas de red (IP, DNS, Máscara de subred, MAC, etc).

Una vez conocemos la dirección MAC actual de nuestra tarjeta debemos realizar las siguientes configuraciones:

Deshabilitar la tarjeta de red a la que vamos a cambiar la dirección MAC:

• ifconfig eth0 down

Cambiamos la MAC de dicha tarjeta por la que queramos (cambiando 00:00:00:00:00:00 por la MAC en cuestión que queramos establecer).

• ifconfig eth0 hw ether 00:00:00:00:00:00

Volvemos a arrancar de nuevo la tarjeta de red:

• ifconfig eth0 up

Si volvemos a utilizar el comando ifconfig -a | grep direcciónHW para consultar la MAC actual veremos que en esta ocasión nos mostrará la nueva MAC que hemos introducido en los pasos anteriores. Todo el tráfico que generemos a partir de ahora con esa tarjeta en Linux se identificará con dicha dirección física, sin embargo, los cambios únicamente afectan temporalmente a nivel de software por lo que si reiniciamos el ordenador, cambiamos de sistema operativo, formateamos o realizamos cualquier otra acción volveremos a utilizar la MAC original del dispositivo.

Antes de cambiar la dirección MAC de una tarjeta de red debemos comprobar que ningún otro dispositivo en la misma red está utilizándola y asegurarnos de que las leyes de nuestro país no prohíben explícitamente este cambio de dirección física de las tarjetas de red.

 

Pintura antiwifi de EM-SEC

Ejercicio 5 (unidad 6): Pintura antiwifi de EM-SEC

https://mastecno.wordpress.com/2007/03/27/pintura-anti-wi-fi/

Pintura anti Wi-Fi-27 03 2007

La empresa EM-SEC Technologies (especializada en proyectos gubernamentales y militares) ha lanzado al mercado una pintura con la que asegura se bloquea la señal Wi-Fi a través de ella. El invento cuenta con el aval de la Agencia de Seguridad Nacional de EEUU (NSA)

La pintura bloquea las señales que entran o salen de una habitación, pero permite que haya comunicación dentro de ella.

Esta pintura permitiría entonces “blindar” oficinas, cines, museos o cualquier sitio en el que no se quiera usar el móvil o que te espíen la red wireless.

El problema radica en que seguramente también bloquee las comunicaciones a través de teléfonos móviles.

Test de velocidad de acceso a internet.

Ejercicio 2 (unidad 6):      test de velocidad de acceso a internet.

A continuación se lista una serie de enlaces que permiten realizar un test de la velocidad de acceso a Internet, de modo que un resultado muy inferior al contratado podría ser un síntoma de tener ocupantes no deseados en nuestra máquina. ¿Son las velocidades de subida y bajada las esperadas?.

 

http://www.adsl4ever.com/test/

http://www.testdevelocidad.es/

http://www.internautas.org/testvelocidad

http://wwwadslayuda.com/test-de-velocida/

http://www.testdevelocidad.es/operadores/jazztel/

http://velocimetro.mundo-r.com/velocimetro/es/calculo_velocidad

Puertos de comunicaciones.

Ejercicio 1 (unidad 6): Puertos de comunicaciones.

 

http://www.outpost-es.com/support_faq_kb/1000146.html (Desde el 2005 y la última actualización es del 2007).

 

Desde el punto de vista de la seguridad, los puertos TCP y UDP en su sistema se dividen en diversos grupos de acuerdo con las probabilidades de que un agresor los utilice para acceder al sistema. 

Los intentos para acceder a los puertos que se asignan a servicios vulnerables, como DCOM o RPC, deben considerarse una indicación seria de que los mismos están siendo investigados de manera maliciosa. 

Los puertos vulnerables se dividen en dos grupos:

• Puertos de sistema

Son vulnerables porque, a menudo, se abren para servicios del sistema con una gran frecuencia.

Puertos TCP

21-23, 79, 80, 110, 113, 119, 143, 443, 1002, 1720, 5000, 8080.

Puertos UDP

1900

Utilizados tanto en TCP como UDP

0, 25, 135, 137, 139, 389, 445, 1024-1050.

• Puertos troyanos

Como su nombre lo indica, son aquellos especialmente utilizados por troyanos para acceder al ordenador de forma ilegítima. Recomendamos prestar especial atención a los siguientes puertos:

Puertos TCP

21, 23, 25, 80, 113, 137, 139, 555, 666, 1001, 1025, 1026, 1028, 1243, 2000, 5000, 6667, 6670, 6711, 6776, 6969, 7000, 8080, 12345, 12346, 21554, 22222, 27374, 29559

Utilizados tanto en TCP como UDP

31337, 31338

Outpost permite crear una lista de puertos sobre los cuales se prestará especial atención al controlar el tráfico de red.

¿Tienes cerrados los puertos empleados frecuentemente por el malware? Si

 

¿Es tu conexión a Internet directa, o mediante un router?. Es mediante router.

 

¿Para qué sirven los puertos 23, 135 ,443? ¿Son seguros?

Puerto/protocolo	Descripción
23/tcp	Telenet: Prótocolo usado para comunicación manejo remoto de equipo, inseguro.
135/tcp	Emap: Puerto 135 lo comparten el DCOM, programador de tareas y MSDTC, si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes. Poco seguro
443/tcp	Https/Ssl: usado para la transferencia segura de páginas web.

SSH

Práctica 6.4 (unidad 6): SSH

SSH es un protocolo que permite acceder a máquinas remotas y ejecutar comandos a través de una red, mediante una comunicación segura cifrada a través del puerto 22. Permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves mediante certificados para no escribir contraseñas al conectar a los dispositivos y transferencias de datos de aplicaciones por un canal seguro tunelizado de forma sencilla.

En este caso práctico instalaremos un servidor SSH en Gnu/Linux y desde Windows.

1.    Para la instalación del servidor SSH en Gnu/Linux abriremos la consola y escribiremos lo siguiente: sudo apt-get install aptitude

Una vez instalado el servidor, ya podemos acceder desde cualquier máquina de la LAN o de fuera de ella.

1.    Para conectarnos al servidor de ssh que hemos instalado anteriormente, cogemos una máquina cliente GNU/Linux distinta a la máquina en la que está corriendo el servidor de ssh, pero en red con ella.

Realizaremos dicha operación mediante el siguiente comando: ssh dirección _ip (si está dentro de la misma red del servidor) o ssh nombre_de_dominio (si está en una red diferente a la del servidor).

Al iniciar la conexión nos pedirá la contraseña de un usuario válido en el servidor remoto.

Si la autenticación de la contraseña es correcta, ya podemos realizar cualquier acción en la máquina remota a través de la consola. Podemos apreciar que el nombre de la maquina cliente que aparece en el prompt ha cambiado por el nombre de la máquina servidora remota.

Una vez conectado, podremos ejecutar comando como por ejemplo: listar los archivos que hay dentro del directorio “home” de la máquina remota:

Finalizadas las acciones tendremos que desconectarnos del servidor ssh mediante la siguiente orden: Exit. Al ejecutar dicha orden veremos cómo nos da una confirmación en la que nos dice que la conexión con la ip remota ha sido cerrada:

2.    Si queremos realizar la conexión mediante un cliente bajo sistema operativo Windows, emplearemos el software específico Putty. Es un cliente SSH y telnet, de código abierto, podremos interactuar con la consola de Linux sin necesidad de estar en un máquina cliente con Linux.

http://www.putty.org/

Una vez instalado la configuración de la aplicación es sencilla. En la parte superior de la misma tenemos el campo “Host name (or ip address)” en el que tenemos que introducir el nombre de la máquina remota o bien su dirección IP. Tras introducirlo pulsaremos en “Open”.

 

Acto seguido, nos aparecerá una nueva ventana simulando una ventana de una consola de comandos. Introduciremos el usuario de la máquina remota y su contraseña respectiva. Tras introducir los datos de usuario nos aparecerá una confirmación de la conexión al servidor ssh, pudiendo de este modo ejecutar comandos remotamente.

Sniffing-MitM-ARP Spoofing-Pharming

Práctica 6.1 (unidad 6):  Sniffing-MitM-ARP Spoofing-Pharming

Monitorización del tráfico de red: Aspecto fundamental para analizar qué está sucediendo en la misma, y poder tomar precauciones y medidas de seguridad.

        Herramientas como Wireshark, NMAP o Caín &Abel permiten realizar una monitorización de qué equipos se encuentran conectados en una red y qué puertos y aplicaciones utilizan.

Empleamos una herramienta para sistemas Windows denominada Caín & Abel, aunque para GNU/Linux podemos emplear Ettercap que posee similares presentaciones.

http://cain-and-abel.softonic.com/

Caín & Abel: en primer lugar seleccionaremos la pestaña superior Sniffer y la inferior Hosts. Pulsaremos sobre el botón superior de sniffing, escaneará nuestra red local y nos dará información (IP y Mac) de qué equipos se encuentran en red con nuestro equipo.

ARP POISONING: También conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante monitorizar paquetes de datos en la LAN (red de área local), incluso modificar el tráfico.

El principio de ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a los quipos de la LAN. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo, como por ejemplo la puerta de enlace predeterminada (gateway). De esta forma cualquier tráfico dirigido a la dirección IP de ese equipo suplantado (por ejemplo el gateway), será enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico a el equipo real (ataque pasivo  o escucha, empleado en el MITM) o modificar los datos antes de reenviarlos (ataque activo).

Para realizar un ataque ARP Poisoning o de envenenamiento ARP, seleccionamos la pestaña inferior APR, y pulsaremos el botón superior +. Seleccionaremos de  los equipos de nuestra LAN, por qué equipo queremos hacernos pasar (columna izquierda) y en qué equipos queremos infectar su tabla ARP (columna derecha) con una entrada de nuestra MAC asociada a la IP del equipo a suplantar.

Mediante esta técnica es posible monitorizar el trádico que va dirigido al router y rastrear protocolos no seguros como FTP, HTTP, POP, SMTP, Telnet o FTP, y de esta forma obtener credenciales.

PHARMING: Es posible realizar una inserción en las tablas locales de nombre de dominio, posibilitando un redireccionamiento a una IP con un web falsa. Seleccionando la pestaña inferior APR, y la opción ARP-DNS podemos crear entradas de nombres de dominio con IP falsas.

Vemos como después de realizar DNS Spoofing, en uno de los equipos afectados, al hacer ping a google nos envía a una dirección IP falsa.

Las falsificaciones de sitios web donde se hacen uso de credenciales mediante formularios, ponen en peligro nuestras contraseñas y por tanto la privacidad e integridad de nuestro datos.

Recomendaciones:

·       Para evitar este tipo de ataques se recomienda entre otras acciones, el uso de tablas ARP estáticas, o al menos, entradas estáticas como la que da acceso a la puerta de enlace, ya que la mayoría del tráfico pasa a través de esta IP. Se puede realizar mediante el comando: arp-a.

·       Redes grandes con gran cantidad de administración: no es una buena solución, realizar esta configuración a mano. Para esos casos lo mejor es monitorizar los intentos de modificación de tablas ARP, por ejemplo mediante software específico de detección de intrusos (IDS) como SNORT, o específicos de intentos de duplicados ARP: bajo GNU/Linux Arpwatch o en Windows DecaffeinatID o realizar una monitorización específica mediante Wiresshark que es capaz de detectar intendos de duplicadps ARP.

·       DNS Spoofing: debemos tener especial precaución con las falsificaciones de sitios web, comprobando en los sitios web que enviamos credenciales (mail, redes sociales, banca, comercio online, etc) que emplean protocolos seguros, como HTTPS, certificado digital que permita ver su autenticidad, y otros aspecto como la veracidad de su URL, o que nunca nos pedirán por otras vías de comunicación (teléfono o mail) el envió de dichas credenciales.