FACULDADE DE TECNOLOGIA IBRATEC - UNIBRATEC CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES BRUNO RAPHAEL DO VALLE XAVIER CARLOS EDUARDO SANTOS DE MENEZES RODRIGO TORRES DE FARIAS

(1)

BRUNO RAPHAEL DO VALLE XAVIER CARLOS EDUARDO SANTOS DE MENEZES

RODRIGO TORRES DE FARIAS

ESTUDO DE PENTEST EM REDES WI-FI:

IDENTIFICANDO, EXPLORANDO, CORRIGINDO E MITIGANDO

VULNERABILIDADES

(2)

ESTUDO DE PENTEST EM REDES WI-FI:

IDENTIFICANDO, EXPLORANDO, CORRIGINDO E MITIGANDO

VULNERABILIDADES

Trabalho de conclusão de curso apresentado ao Curso de Tecnologia de Redes de Computadores, para obtenção do título acadêmico de graduação em

Redes de Computadores, da

UNIBRATEC, sob a orientação dos Professores Dailson de Oliveira Fernandes, Marcos Antonio Alves Gondim e Kelmo Siqueira dos Anjos.

.

Orientadores: Prof. Marcos Antônio Alves Gondim, Prof. Dailson de Oliveira Fernandes e Prof. Kelmo Siqueira dos Anjos.

(3)

ESTUDO DE PENTEST EM REDES WI-FI:

IDENTIFICANDO, EXPLORANDO, CORRIGINDO E MITIGANDO

VULNERABILIDADES

Trabalho de conclusão de curso apresentado ao Curso de Tecnologia de Redes de Computadores, para obtenção do título acadêmico de graduação em

Redes de Computadores, da

UNIBRATEC, sob a orientação dos Professores Dailson de Oliveira Fernandes, Kelmo Siqueira dos Anjose Marcos Antonio Alves Gondim.

Aprovado em:______/_______/_________

BANCA EXAMINADORA

__________________________________ Guilherme Melo

Membro 1

___________________________________ Kelmo Siqueira dos Anjos

Membro 2

___________________________________ Paulo André Perris

(4)

BRUNO RAPHAEL DO VALLE XAVIER

Primeiramente gostaria de agradecer a Deus, o autor e consumador da minha fé, por mais essa conquista alcançada. Sem ele eu não teria condições de fazer esse trabalho, pois a minha inteligência vem dele. Agradeço aos meus pais, José Severino Xavier Neto e Ester Alves do Valle Xavier que acreditaram em mim, e me apoiaram. Agradeço a minha amada esposa Elaine Lima Araújo Xavier, por todo o companheirismo, paciência e cuidado comigo durante a escrita deste trabalho. Aos mestres: Marcos Gondim, Dailson Fernandes, Kelmo Siqueira e Marcio Nogueira, muito obrigado por todo o suporte que nos foi dado, sem a ajuda de vocês, não seria possível a realização deste trabalho. Agradeço aos meus amigos de trabalho, Carlos Eduardo e Rodrigo Torres, por toda a paciência e por acreditar que seria possível realizar a escrita deste trabalho.

CARLOS EDUARDO SANTOS DE MENEZES

(5)

orientadores Marcos Gondim , Dailson Fernandes que acreditaram no tema proposto e foram essencial em todo trabalho, e Kelmo dos Anjos um ser humano incrível que Deus colocou no nosso caminho.

RODRIGO TORRES DE FARIAS

(6)

"Se você acredita que a tecnologia pode resolver seus problemas de segurança, então você não conhece os problemas e muito menos a tecnologia”.

(7)

Identificando, Explorando, Corrigindo E Mitigando Falhas. 2015. Trabalho de Conclusão de Curso (Graduação em Tecnologia em Redes de Computadores) -

Faculdade de Tecnologia Ibratec. Recife-PE, 2015.

RESUMO

O trabalho tem como objetivo mostrar, através de técnicas de pentest específicas para redes wifi, as possíveis falhas que podem ser exploradas em ambientes que fazem uso deste tipo de tecnologia, fazendo uma análise das vulnerabilidades encontradas através do uso de ferramentas Open-source. Com base nos resultados encontrados, elaborar e implantar planos de ações que possam corrigir e/ou mintigar as falhas encontradas.

Palavras-chave: Pentest, wifi, segurança da informação, Wids, FreeRadius.

(8)

Identificando, Explorando, Corrigindo E Mitigando Falhas. 2015. Trabalho de Conclusão de Curso (Graduação em Tecnologia em Redes de Computadores) -

Faculdade de Tecnologia Ibratec. Recife-PE, 2015.

ABSTRACT

The work aims to show, through experiments, the possible failures that are found (exploited) in wireless network environments, making an analysis of the

vulnerabilities found through the use of open-source tools. Based on the results, design and implement action plans that can correct and / or mitigate the

shortcomings found.

(9)

Figura 1 - Canais Wi-Fi ... 23

Figura 2 – Canais 5 GHz ... 24

Figura 3 – Frames probe response e probe resquest ... 26

Figura 4 - Comunicação Ad-Hoc ... 28

Figura 5 _– Modo de Operação BSS ... 29

Figura 6 - Modo de Operação ESS ... 29

Figura 7– Processo de associação ... 32

Figura 8 - Vetor de inicialização WEP ... 35

Figura 9 – Cenário vulnerável ... 45

Figura 10 _– Configuração SSID ... 46

Figura 11 - Configuração da senha WPA-PSK... 46

Figura 12 – Verificando as interfaces de redes ... 47

Figura 13 - Verificando detalhes da interface Wlan0 ... 48

Figura 14 - Verificando e matando os processos ... 49

Figura 15 - Interface em modo Monitor ... 49

Figura 16 - Iniciando o airodump-ng ... 50

Figura 17 - Informações da rede Alvo ... 50

Figura 18 - Airodump-ng com o MAC do AP filtrado. ... 51

Figura 19 – Airodump-ng com MAC selecionado WPA-PSK ... 52

Figura 20 - Teste de injeção de pacotes ... 53

Figura 21 - Salvando a captura do WPA-PSK ... 53

Figura 22 - Airodump-ng com MAC filtrado ... 54

Figura 23 - Ataque de desautenticação ... 54

Figura 24 - Ataque de desautenticação ilimitado ... 55

Figura 25 - Handshake WPA-PSK capturado... 55

Figura 26 - Criação do wordlist ... 56

Figura 27 - Listando os arquivos e executando o aircrack-ng para quebra da chave WPA-PSK ... 56

Figura 28 - Resultado da quebra da chave WPA-PSK ... 57

Figura 29 - Configuração da senha WPA2-PSK ... 57

Figura 30 - Salvando a captura do WPA2-PSK ... 58

Figura 31 - Airodump-ng com MAC filtrado selecionando WPA2-PSK ... 58

Figura 32 - Ataque de desautenticação WPA2-PSK ... 59

Figura 33 - Handshake WPA2-PSK capturado ... 59

Figura 34 - Listando os arquivos e executando o aircrack-ng para quebra da chave WPA2-PSK ... 60

Figura 35 - Ataque de dicionário com aircrack-ng ... 60

Figura 36 - Chave WPA2-PSK quebrada ... 60

(10)

Figura 40 – Ataque em funcionamento ... 63

Figura 41 – Ap travado causando indisponibilidade ... 64

Figura 42 – SSID oculto ... 65

Figura 43 _– Identificando SSID oculto ... 65

Figura 44 - Desativando interface de rede ... 65

Figura 45 – Clone de endereço MAC ... 66

Figura 46 – Cenário Evil Twin ... 67

Figura 47 – Redes preferenciais dos clientes com airodump-ng ... 68

Figura 48 - Redes preferenciais dos clientes com iDiot.py ... 68

Figura 49 – Criando um fake Ap com o airbase-ng ... 69

Figura 50 - Verificando as interfaces ... 69

Figura 51 - Configuração da Bridge ... 70

Figura 52 – Fake AP criado. ... 70

Figura 53 – Cliente conectado no fake AP ... 71

Figura 54 - Dispositivo da vitima conectado ... 71

Figura 55 – Cenário proposto ... 72

Figura 56 - Monitoramento da rede Wifi com o Kismet ... 73

Figura 57 - Kismet identificando um AP falso ... 74

Figura 58 - Arquivo de log do Kismet ... 74

Figura 59 - Realizando ataque de DOS ... 74

Figura 60 – Monitoração de uma ataque de DoS ... 75

Figura 61 - Clone de MAC e SSID com airbase-ng ... 75

Figura 62 - Monitoração do clone do MAC address ... 75

Figura 63 – Configuração do freeradius no AP ... 76

Figura 64 - Arquivo de configuração dos usuários ... 76

Figura 65 - Arquivo de configuração do freeradius. ... 77

Figura 66 - Tela de autenticação na rede “LAB-PWIFI” ... 77

Figura 67 - Conexão bem sucedida à rede LAB-PWIFI ... 78

Figura 68 - MAC dos clientes autenticados e o tipo de autenticação utilizada ... 78

Figura 69 _– Configurando o ambiente WEP ... 84

Figura 70 - Airodump-ng em funcionamento ... 84

Figura 71 – Redirecionando a captura de vetores para um arquivo ... 85

Figura 72 – Endereço MAC do AP filtrado e os clientes conectados ... 85

Figura 73 - Quebra de Chave WEP com Aircrack-ng ... 86

Figura 74 _– Chave WEP quebrada ... 86

(11)

(12)

Tabela 1 – Detalhamento dos canais Wi-Fi ... 23

(13)

AES Advanced Encryption Standard

AP Access Point

BSS Basic Service Set

BSSID Basic Service Set Indentification

CSMA/CA Carrier Sense Multiple Access Colision Avoidance DoS Denial of Service

DSS Distribution System Service

ESS Extended Service Set

GTK Group Transient Key

IEEE Institute of Eletrical and Eletronics Engineers IV Initialization Vector

IBSS Independent Basic Service Set

LDAP Lightweight Directory Access Protocol MSDU Mac Service Data Unit

MAC Media Access Control

OSA Open System Authentication

PSK Pre-Shared Key

PMK Pairwise Master Key PTK Pairwise Transient Key

PBKDF2 Password-Based Key Derivation Function 2 RADIUS Remote Authentication Dial-In User Services

SS Station Service

SSID Service Set Indetifier SKA Shared Key Authentication TKIP Temporal Key Integrity Protocol WEP Wired Equivalency Privacy WI-FI Wireless Fidelity

WPA WI-FI Protect Access

(14)

1. INTRODUÇÃO ...16

2. JUSTIFICATIVA ...17

3. OBJETIVOS ...18

3.1 OBJETIVO GERAL ...18

3.2 OBJETIVOS ESPECÍFICOS ...18

4. DESENVOLVIMENTO ...19

4.1 IEEE 802.11 ...19

4.2 CSMA/CA ...21

4.3 ENDEREÇAMENTO MAC. ...22

4.4 FREQUÊNCIA E CANAIS DE COMUNICAÇÃO ...22

4.4.1 FAIXA DE 2.4 GHZ ...22

4.4.2 FAIXA DE 5 GHZ ...24

4.5 FRAME BEACON ...25

4.6 FRAME PROBE REQUEST E PROBE RESPONSE ...26

4.7 MEIO COMPARTILHADO ...27

4.8 MODOS DE OPERAÇÕES DE REDES WI-FI ...27

4.8.1 IBSS (AD-HOC) ...27

4.8.2 BSS ...28

4.8.3ESS ...29

4.9 SSID E BSSID ...30

4.9.1 SSID ...30

4.9.2 BSSID ...30

4.10 FRAMES DE CONTROLE: AUTENTICAÇÃO E ASSOCIAÇÃO ...30

4.10.1 AUTENTICAÇÃO ...31

4.10.2 ASSOCIAÇÃO ...31

4.10.3 ESTADOS DA AUTENTICAÇÃO E ASSOCIAÇÃO ...31

4.11 SERVIÇOS WI-FI ...32

4.11.1 SS (SERVIÇO DE ESTAÇÃO) ...33

4.11.2 DSS (SERVIÇO DE DISTRIBUIÇÃO DE SISTEMAS) ...33

4.12 PROTOCOLOS DE SEGURANÇA E AUTENTICAÇÃO WI-FI ...34

4.12.1 PROTOCOLO WEP ...34

4.12.2 FUNCIONAMENTO DO PROTOCOLO WEP ...34

4.13 WPA ...35

4.13.1 FUNCIONAMENTO DO PROTOCOLO WPA ...36

4.13.2 WPA2 ...36

4.14 FOUR WAY HANDSAHKE (HANDSHAKE DE 4 VIAS) ...37

4.15 SEGURANÇA DA INFORMAÇÃO ...38

4.16 PENTEST ...38

(15)

4.18.1 VULNERABILIDADES...41

4.18.2 VULNERABILIDADE WEP ...41

4.18.3 VULNERABILIDADE NO WPA ...41

4.18.4 VULNERABILIDADE NO WPS ...42

4.19 AMEAÇAS ...42

4.20 RISCOS ...42

4.21 LABORATORIOS DE PENTEST ...43

4.21.1 INFRAESTRUTURA DO LABORATÓRIO ...43

4.21.1.2 HARDWARE ...43

4.21.1.3 SISTEMA OPERACIONAL E SOFTWARES UTILIZADOS: ...43

4.22 CENÁRIO ...44

4.23 REALIZANDO OS ATAQUES ...45

4.23.1 ATAQUE WPA-PSK ...46

4.23.2 ATAQUE WPA2-PSK ...57

4.24 ATAQUE DE WPS ...61

4.25 DESCOBERTA DE SSID OCULTOS E CLONE DE ENDEREÇO MAC ...64

4.26 ATAQUE DE EVIL TWIN ...66

4.26.1 IDENTIFICANDO OS ALVOS ...67

4.27 PROTEÇÃO...72

4.27.1 WIRELESS IDS ...73

4.27.2 KISMET...73

4.27.3 FREERADIUS ...76

4.28 CENÁRIO VULNERÁVEL VS CENÁRIO PROTEGIDO ...78

5. CONCLUSÃO E CONSIDERAÇÕES FINAIS ...79

(16)

1. INTRODUÇÃO

Com o crescimento do uso de dispositivos móveis como notebooks, tablets e smartphones e a necessidade de mobilidade faz com que a utilização das redes sem fio se tornem cada vez mais indispensáveis, devido a sua a praticidade na hora da implantação e a facilidade de conexão e uso. Em corporações, onde o uso de estruturas de redes Ethernet era predominante, hoje também é disponibilizada uma infraestrutura WLAN (RUFINO, 2015).

Hoje em lugares como shoppings, bares, aeroportos e faculdades são cada vez mais comuns o acesso à internet, através de redes sem fio, devido a grande popularização das redes wifi. De acordo com um estudo recente, realizado pela IDC Brasil, mostra que as empresas investiram mais de US$ 20 milhões de dólares na aquisição de Access points (IDC BRASIL, 2015).

No entanto, a oferta de serviço de redes wifi, pode oferecer um grande perigo para os usuários, pois, pessoas mal-intencionadas podem se aproveitar dos recursos da rede para tentar burlar os mecanismos de segurança implementados e assim capturar os dados trafegados para fins ilícitos.

O maior desafio a ser enfrentado, com o uso de redes sem fio, é garantir que os seus usuários possam utilizar a infraestrutura de rede wlan, com segurança. O uso de mecanismos de segurança como, criptografia WPA, WPA2, por si só não garantem que os dados estejam seguros. É necessária uma política de segurança bem estruturada e mecanismos capazes de identificar ataques e tomar medidas para que esses ataques não sejam concluídos

(17)

2. JUSTIFICATIVA

Com o crescente uso das redes WI-FI, várias possibilidades de crimes que compromete a segurança da informação tendem a crescer. Espionagem industrial é apenas um dos crimes relacionados a segurança da informação. Em redes sem fio o sinal do Access Point está sempre disponível, para quem está dentro ou fora do ambiente no qual o AP se encontra, Com isso um cracker pode utilizar suas técnicas de exploração nessas redes.

(18)

3. OBJETIVOS

3.1 OBJETIVO GERAL

Realizar um estudo de Pentest em redes Wireless Fidelity (WI-FI), possibilitando identificar e explorar as vulnerbilidades nos mecanismo de segurança em redes sem fio, além de mostrar ataques mais sofisticados e propor soluções para corrigir e mitigar esses riscos.

3.2 OBJETIVOS ESPECÍFICOS

 Identificar e explorar as vulnerabilidades em: WI-FI Protect Access Pre-Shared Key (WPA-PSK, WPA2-PSK), ataques de EvilTwin, Denial of Service (DoS), WI-FI Protect Setup (WPS) e o ataque de Wired Equivalency Privacy (WEP) que será demonstrado no Apêndice A, através de técnicas de Pentest;

 Corrigir e mitigar as vulnerbilidades encontradas em redes WI-FI com soluções de WIDS, servidor de autenticação e boas práticas de segurança da informação;

 Mostrar um comparativo de uma rede com e sem as soluções de segurança.

(19)

4. DESENVOLVIMENTO

Para o CERT.BR (2012) o conceito de WiFi é: _“WI-FI (Wireless Fidelity) é um tipo de rede local que utiliza sinais de rádio para comunicação.”

4.1 IEEE 802.11

Segundo Rufino (2015), o IEEE foi o responsável pela criação das especificações que definem o padrão de uso das redes sem fio, denominado de 802.11, conhecido também como Wifi. Após o lançamento do padrão 802.11, outros subpadrões foram desenvolvidos a fim de trazer novas melhorias ao padrão existente. Os principais padrões desenvolvidos foram:

 802.11b: Foi o primeiro subpadrão estabelecido pela IEEE, operando na faixa de frequência de 2.4 GHz com uma taxa de transmissão de 11 Mbps, limitada a 32 clientes conectados simultâneamente.

 80211a: Sendo disponibilizado após o padrão 802.11b, foi desenvolvido com o objetivo de resolver os problemas encontrados nos padrões que o antecederam, o subpadrão 802.11a tem como principal característica o aumento da sua velocidade, chegando ao máximo de 54 Mpbs. A quantidade de equipamentos que operam na faixa de 5 GHZ é menor, acarretando uma menor ocorrência de interferências eletromagnéticas devido a equipamentos operando no mesmo canal. Contudo, está mais sujeito ao processo de degeneração do sinal devido a faixa de frequência utilizada que acarreta em uma diminuição do seu alcance. Além disso, o número de clientes conectados simultaneamente foi aumentado para 64.

(20)

 802.11i: Este padrão foi desenvolvido, com o objetivo de resolver os problemas de segurança encontrados no protocolo WEP. A maneira encontrada foi a implementação do processo de autenticação, baseado no protocolo RADIUS. Os protocolos de rede RSN e WPA foram inseridos neste padrão, com a finalidade de fornecer mais robustez às soluções de segurança oferecidas pelo padrão WEP. Os protocolos WEP, WPA e RADIUS serão vistos posteriormente nos tópicos 4.12 e 4.13.1 respectivamente.

 802.11n: Este padrão opera na faixa de frequência de 2.4 GHz e 5 GHz, possibilitando velocidades até 500 Mbps. Este padrão é compatível com os padrões 802.11a,802.11b e 802.11g utilizados atualmente.

 802.11ac: Este padrão possibilita uma velocidade muito maior em relação aos outros padrões chegando a 1.3 Gbps, velocidade alcançada quando operando na faixa de frequência de 5GHz. Alguns equipamentos permitem a compatibilidade com o padrão 802.11n.

 802.1x: Este padrão foi desenhado com o objetivo de estabelecer um padrão de autenticação baseado no protocolo RADIUS. Devido a sua flexibilidade, é possível utilizar a base de dados dos usuários, seja de um banco de dados comum ou LDAP. Para que esta infraestrutura possa funcionar corretamente, os elementos – o Access Point, o servidor RADIUS e a base de dados dos usuários – devem estar no mesmo seguimento de rede. Antes de a estação cliente ter acesso aos recursos da rede, o processo de autenticação é realizado primeiro. O funcionamento do processo de autenticação acontece da seguinte forma:

o A estação cliente solicita ao access point, a autenticação;

(21)

o Caso essas credenciais estejam na basa de dados, o AP permite a autenticação, caso contrário, será negada.

O método de autenticação utilizado pelo padrão 802.1x é o EAP. As formas de autenticação suportadas pelo EAP são: usuário e senha, senhas descartáveis (One Time Password) e algoritimos unidirecionais (hash).

4.2 CSMA/CA

Conforme NASCIMENTO (2012) O protocolo CSMA/CA, veio para resolver o problema que se tinha nas redes Wlan com relação a colisões de pacotes, onde a colisão ocorria no momento em que os hosts, que compõe uma rede Wlan, transmitiam informações no mesmo canal de frequência.

O CSMA/CA é um protocolo que tem por objetivo evitar colisões durante a transmissão dos dados das estações em redes sem fio. Quando os clientes WI-FI vão transmitir informações, eles informam que irão transmitir informações e o período de tempo que a transmissão levará com isso as colisões são evitadas.

Segundo Bulhman H, Cabianca L (2006) escrevem em seu artigo, o CSMA/CA (Carrier Sense Multiple Access - Collision Avoidance) é um protocolo de acesso à rede, que tem por objetivo evitar colisões durante a transmissão dos dados de uma estação.

(22)

4.3 ENDEREÇAMENTO MAC.

Segundo RUFINO (2015), o endereço MAC é um número único que identifica um dispositivo, tanto em redes Ethernet, como em redes Wireless. Esse número é definido pelo fabricante e controlado pelo IEEE e atribuído a interface física de rede. Cada dispositivo em uma rede de computadores deverá ter um endereço MAC único para possibilitar a comunicação entre eles. Sendo possível, em uma rede Wifi, restringir o acesso através do uso de uma ACL, configurada no AP, que contém os endereços MAC dos dispositivos que serão conectados à rede, consistindo em uma das maneires encontradas para que usuários não autorizados não tenham acesso à rede. Contudo, com as novas versões dos sistemas operacionais e uso da virtualização é possível alterar o endereço MAC da interface de rede física.

4.4 FREQUÊNCIA E CANAIS DE COMUNICAÇÃO

4.4.1 FAIXA DE 2.4 GHZ

Conforme Jardim (2007) Devido aos limites na faixa 900 MHz, foi desenvolvido pelo IEEE o padrão 802.11b, baseado no modelo OSI e sua operação na faixa de 2.4GHz. Também foi inserido o Direct Sequence no lugar do Frequency Hopping, que fez com que as taxas de dados tivessem um aumento de até 11Mbit/s, e em média os valores reais chegam de 4 a 6Mbit/s durante o tráfego de informações dos usuários em ambientes indoor e menores taxas para ambientes outdoor (4 Mbit/s).

(23)

Existem faixas que não possuem aceitação por alguns países, gerando assim uma limitação no uso dos equipamentos a nível mundial, é o caso da faixa 2400 até 2483.5 GHz. A Inglaterra e a França são exemplos, observando que na França a regulamentação visa a liberação usual do Bluetooth que opera em potencias mais baixas. Na Inglaterra é voltado para sistemas PWLANs, equipamentos voltados para área de escritórios, privados ou de uso residencial não precisam ser licenciados, já os usados para serviços públicos devem obrigatoriamente possuir licenças para poder operar. A Figura 1 mostra os canais e as frequências utilizadas por cada canal.

Figura 1 - Canais Wi-Fi

Fonte: Adaptado da Wikipedia (2015)

A Tabela 1 mostra os valores das frequências de inicio, central e fim que operam nos canais.

Tabela 1– Detalhamento dos canais _Wi-Fi

Fonte: COCATECH (2013)

(24)

GHz são inclusas em uma determinada classe de frequências denominada ISM, que seriam frequências que não possuem licenciamento, em outras palavras: Seriam livres para outras tecnologias, desde que respeitem os limites que foram impostos pelo país. O padrão em 2.4 GHz mais usual em tecnologia wi-fi, utiliza 11 canais de 22 MHz cada um, e variam de 2401 MHz a 2473 MHz.

4.4.2 FAIXA DE 5 GHZ

A faixa 5GHZ possui uma maior largura de banda, permitindo uma melhor condição para taxas e transmissões com variações de 20 até 54Mbit/s, agregado com um número maior de usuários e ainda minimizando problemas associados a interferências e qualidade do serviço (QoS), comparado com as faixas de 900Mhz e 2.4 GHz. Seu problema é a grande divisão de diversos padrões e faixas em diversas regiões. Algo importante é que no World Radio Communication Conference 2003 – WRC2003, um evento que busca equilibrar as frequências a nível global. Onde foi decidido que para a Europa os 3 blocos vão ser considerados padrão mundial, com algumas observações : A faixa que vaia de 5150 a 5350 MHz estão disponíveis para Indoor e a 5470 até 5725 MHz será usadas tanto para indoor ou outdoor. A Figura 2 e a Tabela 2 mostram os canais da faixa de frequência de 5 GHz.

Figura 2 – Canais 5 GHz

(25)

Tabela 2 – Configuração de canais

Fonte: TELECO (2013)

4.5 FRAME BEACON

Em Rufino (2015) ele descreve que, o Beacon é um frame de sinalização que os Access Points enviam para os clientes WI-FI, informando que o mesmo se encontra presente, possibilitando aos dispositivos móveis iniciar o processo de autenticação e associação ao mesmo.

Concentradores enviam sinais informando sobre sua existência, para que clientes que estejam procurando por uma rede percebem sua presença e estabeleçam corretamente conexão com um determinado concentrador. Essas informações são conhecidas como Beacon frames, sinais enviados gratuitamente pelos concentradores para orientar os clientes. Entretanto

essas características podem não existir em alguns ambientes, já que a inibição de envio desses sinais é facilmente configurável nos concentradores atuais, a despeito de essa ação, em alguns casos comprometer a facilidade de uso e retardara obtenção da conexão em determinados ambientes. (RUFINO, 2015)

(26)

Quadro 1 – Informações contidas no frame beacon

Fonte: CWNA Official Study Guide (2014)

4.6 FRAME PROBE REQUEST E PROBE RESPONSE

Conforme JARDIM (2007) quando uma estação cliente realiza um scanning a procura de uma rede, esta estação envia um frame denominado probe request. Este frame contém o SSID da rede procurada. Se o AP possuir o SSID solicitado, ele envia uma resposta com o frame probe response. Caso exista mais de um AP, só o que possui o SSID solicitado faz o envio do pobre response. Nos casos em que SSID é de broadcast onde indica a busca por qualquer rede, será enviado um probe request, e todos os APs farão o envio do pobre response. A Figura 3 mostra o funcionamento dos frames probe request e probe response.

Figura 3 – Frames probe response e probe resquest

(27)

4.7 MEIO COMPARTILHADO

Para RUFINO (2015) como o meio é compartilhado na comunicação WI-FI a banda é dividida pelos clientes da rede que estejam conectadas a ela, já que estão na mesma célula e estão visíveis, ou seja, fazem parte da mesma rede.

Devido a abrangência do sinal e a facilidade de acesso a essa rede, redes Wifi tornam-se mais vulneráveis do que na rede ethernet, onde o individuo precisa estar conectado de alguma forma na rede física. Já nas redes sem fio o sinal chegará até ao atacante caso ele esteja próximo a área de cobertura do sinal ou até mesmo distante, tendo em vista que o atacante poderá possuir antenas sofisticadas de longo alcance, acarretando no ataque de Evil Twin, que veremos no decorrer desse trabalho, sobrepondo o sinal legitimo.

4.8 MODOS DE OPERAÇÕES DE REDES WI-FI

“O padrão IEEE 802.11 define dois modos de operações para redes WI-FI. Ambos fazem o uso do BSS, mas usam diferentes tecnologias de redes. São eles o modo Ad-Hoc e Infraestrutura”. ASSUNÇÃO (2013).

Para ASSUNÇÃO (2013) no modo infraestrutura existem dois subtopicos, que são: BSS e ESS. Veremos a seguir como os dispositivos se comunicam através dos modos de operação

4.8.1 IBSS (AD-HOC)

(28)

Figura 4 - Comunicação Ad-Hoc

Fonte: JARDIM (2007)

A configuração é feita diretamente no dispositivo wireless, utilizando uma placa de rede sem fio, onde é criada uma rede com SSID e uma senha para os outros dispositivos se autenticarem, podendo assim compartilhar arquivos, e são limitados por poucos metros de distância.

4.8.2 BSS

(29)

Figura 5 – Modo de Operação BSS

Fonte: JARDIM (2007)

4.8.3 ESS

Conhecido como modo de infraestrutura extendido, este padrão é composto por dois ou mais Access Points, proporcionando a escalabilidade da rede, além de maior disponibilidade de sinal e potência, devido ao aumento da célula do Access Point. A Figura 6 demonstra o modo de operação ESS.

Figura 6 - Modo de Operação ESS

(30)

Diferente dos modos de operações descritos anteriormente, o ESS oferece o serviço de roaming, onde os APs formam uma única rede, com isso a mobilidade se torna acessível, onde os dispositivos clientes, além de se comunicar e compartilhar arquivos, impressoras e etc. podem se mover sem perder a comunicação com a rede Wifi. O processo de migrar de um AP para outro (de uma mesma rede), ocorre com o pedido de associação e reassociação que veremos no decorrer desse trabalho.

4.9 SSID E BSSID

4.9.1 SSID

De acordo com JARDIM (2007), o SSID é um nome utilizado para identificar redes wifi. Ele possui um valor único, alfanumérico e possui a característica de ser case sensitive. O seu comprimento pode variar entre 2 e 32 caracteres. Os frames beacon, probe request e response realizam o envio do SSID.

4.9.2 BSSID

Segundo COLEMAN D. , WESTCOTT D. o BSSID é o endereço MAC da interface de rede do AP.

4.10 FRAMES DE CONTROLE: AUTENTICAÇÃO E ASSOCIAÇÃO

(31)

4.10.1 AUTENTICAÇÃO

Este processo tem inicio quando o Access Points faz uma verificação nas estações wireless clientes, quando eles tentam se conectar ao AP. Neste processo, o concentrador checa a integridade da estação cliente e não realiza nenhuma conexão. A solicitação que a estação cliente fez ao AP pode ser aceita ou rejeitada, com base nos critérios definidos pelo administrador da rede. A estação cliente receberá um frame de reposta contendo a decisão tomada pelo AP.

4.10.2 ASSOCIAÇÃO

O processo de associação começa após o Access Point realizar a autenticação da estação cliente. A associação é a permissão dada pelo AP à estação cliente, para que ela possa transmitir dados através do AP em que está conectado. Essa permissão é dada pelo AP, enviando um frame de resposta, quando o cliente envia um pedido de associação. Devido ao fato do AP e a estação cliente trocarem informações e funcionalidades durante o processo de associação, o AP faz o uso dessas informações para divulgar para outros APs da rede as informações referente à estação cliente ao qual está conectado. A Figura 7 mostra o processo de associação entre o AP e a estação cliente.

4.10.3 ESTADOS DA AUTENTICAÇÃO E ASSOCIAÇÃO

O processo de autenticação e associação possui três fases

Não autenticado e não associado _– nesta primeira fase, a estação wireless encontra-se desconectada da rede e não é capaz de trafegar frames pelo AP.

(32)

Autenticado e associado _– Na última fase do processo, como o cliente já está associado, ele é capaz de trafegar dados através do AP, ou seja, ele encontra-se conectado a rede.

Figura 7– Processo de associação

Fonte: Jardim (2007)

4.11 SERVIÇOS WI-FI

Para ASSUNÇÃO (2013) As redes WI-FI utilizam serviços, os clientes precisam se autenticar, desautenticar, associar, dessassociar e reassociar em uma ESS. Assim como o processo de integração e distribuição de MSDUs nos AP, tudo isso tem que estar de forma segura e criptografada para garantir a privacidade das mensagens trafegadas.

(33)

4.11.1 SS (SERVIÇO DE ESTAÇÃO)

Todas as estações wireless devem implementar a realização dos quatros serviços definidos pela IEEE.

 Privacidade: Uma estação sem fio deve ser capaz de criptografar frames para proteger o conteúdo da mensagem de forma que somente o destinatário possa ler.

 Entrega de MSDUs: Um MSDU é um quadro de dados que precisa ser transmitido ao destino correto;

 Autenticação: Uma estação wireless precisa ser identificada antes de acessar os serviços de rede. Esse processo é chamado de autenticação, e é necessário para que a estação possa alcançar o estado de associação;  Desautenticação: Esse serviço anula uma autenticação existente.

(ASSUNÇÃO, 2013)

4.11.2 DSS (SERVIÇO DE DISTRIBUIÇÃO DE SISTEMAS)

Uma estação wireless que funcione como um Ap deve implementar os cincos serviços de Sistemas de distribuição.

 Associação: Estabelece um mapeamento entre o o Access Point e estações após uma autenticação mútua entre os dispositivos. Uma estação só pode se associar a uma AP de cada vez. Esse serviço é sempre iniciado pela estação sem fio, por exemplo, um PC, e quando bem-sucedido habilita ao acesso ao DSS;

 Desassociação: Anula uma associação atual;

 Reassociação: Ess serviço move uma associação atual de um Access Point para outro AP;

(34)

 Integração: Esse serviço manipula a entrega de MSDUs entre sistema de distribuição e uma rede cabeada. Basicamente essa é a função de bridge entre a rede sem fio e cabeada. (ASSUNÇÃO, 2013)

4.12 PROTOCOLOS DE SEGURANÇA E AUTENTICAÇÃO WI-FI

Em RUFINO (2015) os protocolos de segurança para redes wifi têm por objetivo adicionar a funcionalidade de criptografia para as informações trafegadas nas redes sem fio e a autenticação, onde é utilizada uma palavra chave (senha) para poder ter acesso aos recursos da rede.

Atualmente existem três protocolos de segurança para redes wifi, são eles: WEP, WPA E WPA2 deifnidos da seguinte forma:

4.12.1 PROTOCOLO WEP

WEP é um protocolo, que tem por característica, fazer o uso algoritimos simétricos para encriptar e decriptrar às mensagens trafegadas pela rede. Para isso, uma chave secreta é compartilhada entre os clientes wireless e o AP.

4.12.2 FUNCIONAMENTO DO PROTOCOLO WEP

Segundo ASSUNÇÃO (2013), o algoritimo de criptografia utilizado pelo WEP é o RC4. Este algoritimo permite que as chaves de criptografia tenham tamanhos de 40 ou 104 bits.

(35)

do Vetor de Inicialização, que possui um tamanho de 24 bits, e a chave secreta. No entanto, a forma encontrada para que esse pacote seja descriptografado pelo AP, é trafegar o Vetor de Inicialização em texto plano (RUFINO, 2015).

Em Assunção (2013) existem dois tipos de autenticação WEP: SKA e OSA.

 SKA: A autenticação SKA utiliza uma senha para se autenticar na rede Wlan, a chave é compartilhada e armazenada nos clientes Wifi, sendo assim, só possível se autenticar e associar à rede Wifi quem souber a senha.

 OSA: A autenticação OSA é aberta, ou seja, não é necessário o uso de uma senha para se autenticar e associar à rede.

Figura 8 - Vetor de inicialização WEP

Fonte: CWNA Official Study Guide (2014)

4.13 WPA

(36)

4.13.1 FUNCIONAMENTO DO PROTOCOLO WPA

Segundo RUFINO (2015), com o objetivo de substituir o protocolo WEP, o WPA tem como foco a cifragem dos dados trafegados, oferecendo a privacidade das informações e também a autenticação do usuário. Para que isso seja possível o protocolo conta com os padrões 802.1x e o EAP.

Em seu artigo FILHO (2014), descreve que existem dois métodos de autenticação disponíveis no protocolo WPA. Para pequenas empresas e em ambientes domésticos, que não possuem um servidor de autenticação o WPA disponibiliza o método WPA-PSK (Pré-Shared Key). Neste método uma chave pré-compartilhada é criada nos concentradores e somente quem conhece essa chave, tem acesso à rede.

Em ambientes coorporativos, que dispõe de um servidor de autenticação, é utilizado o Remote Authentication dial-in User Service (Radius). Este servidor fica localizado na parte cabeada da rede e o concentrador wireless (roteador) é utilizado como autenticador, fazendo o papel de intermediador entre as estações e o servidor. O processo de autenticação é feito pelo protocolo EAP (Extensible Authentication Protocol). Este protocolo é o responsável pela comunicação entre o dispositivo, o concentrador wireless e o servidor Radius.

4.13.2 WPA2

(37)

“Com a homologação do padrão 802.11, o protocolo CCMP, juntou-se aos já conhecido WEP e TKIP, só que, diferente destes, usa o algoritimo AES para cifrar os dados na forma de blocos de (128 bits), e não mais byte a byte...” ( RUFINO, 2015)

Em Diogenes (2013) ele descreve que o algoritimo de criptografia AES pode ser utilizado com chaves de 128,192 e 256 bits para criptografia.

Para RUFINO (2015) o WPA2 trouxe consigo um mecanismo de autenticação conhecido como EAP, esse protocolo traz a robustez de utilizar servidores de autenticação.

Os mecanismos de autenticação propõem um ambiente mais seguro, pois diferente do comum, como apenas inserir a senha para acesso as redes sem fio, “O que diferencia os métodos são os tipos de credenciais suportadas (certificados digitais, tokens, usuários/senha e etc.” (ASSUNÇÃO, 2013)

4.14 FOUR WAY HANDSAHKE (HANDSHAKE DE 4 VIAS)

Conforme WEIDMAN (2014) este é o processo em que a estação cliente e o access point, criam um canal de comunicação e realizam a troca das chaves de criptografia que serão utilizadas para a comunicação. Na primeira etapa do processo de conexão entre o AP e a estação cliente, é gerada uma chave estática chamada PMK. O PMK é gerado a partir das seguintes informações:

 Chave secreta (PSK);  O SSID do AP;  O tamanho do SSID;

 Quantidade de iterações de hashing (4096);

 O tamanho resultante em bits (256) da chave compartilhada (PMK).

(38)

4.15 SEGURANÇA DA INFORMAÇÃO

“A segurança da informação é a pratica de assegurar que os recursos que geram, armazenam ou proliferam as informações sejam protegidos contra quebra da confidencialidade, comprometimento da intergridade e contra a indisponibilidade de acesso a tais recursos” (DIOGENES, 2013).

Confidencialidade, Integridade e Disponibilidade é a base que formam o conceito de segurança da informação. Se algum desses três pilares forem comprometidos o conceito de segurança da informação deixa de existir.

Em DIOGENES (2013) Confidencialidade, Integridade e Disponibilidade são descrito das seguintes formas:

 Confidencialidade: A confidencialidade tem por objetivo evitar que informações privilegiadas ou sensíveis sejam acessadas por pessoas ou grupos que não tenham autorização para acessar a mesma.

 Integridade: Garantir que a mensagem enviada será a mesma recebida, ou seja, durante o seu trajeto caso ocorra da mensagem ser interceptada e alterada houve um comprometimento da mensagem e a sua integridade já não é mais integra.

 Disponibilidade: Trata-se dos recursos a informações disponíveis, seja o sistema, servidores de arquivos e etc, não havendo essa disponibilidade esse pilar da segurança encontra-se comprometido.

4.16 PENTEST

O pentest é o processo que tem como objetivo identificar e explorar as vulnerabilidades encontradas, a fim de mensurar os danos que um atacante poderá causar e que tipo de informações ele irá obter ao realizar uma exploração bem sucedida contra um alvo.

(39)

teste de invasão os pentesters não só identificam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após a exploração bem-sucedida das falhas. (WEIDMAN G. 2014)

O profissional responsável por realizar esse tipo de trabalho é chamado de Pentester ou Ethical Hacker. Ele é capaz de realizar um trabalho minucioso, avaliando da forma mais completa possível, todas as possíveis vulnerabilidades encontradas passíveis de exploração. Em conjunto com esse profissional, também trabalha uma equipe de segurança da informação, responsável por corrigir e mitigar falhas. O pentest, não é uma solução definitiva e sim um ciclo contínuo, pois, todos os dias surgem novas vulnerabilidades e formas de como explorá-las.

4.16.1 TIPOS DE PENTEST

Segundo ENGEBRETSON P. (2014), existem formas diferentes de realizar um pentest tendo em vista que eles não têm o mesmo objetivo ou não são realizados da mesma maneira.

 White Box: Este tipo de teste é executado da forma mais completa e abrangente possível, pois tem como objetivo avaliar, de forma minuciosa, o ambiente alvo a ser testado. O pentester não tem a necessidade de ser discreto, pois o seu foco está em buscar vulnerabilidades. Por outro lado, esta forma de realizar o pentest traz algumas desvantagens como: não ser possível estudar técnicas mais modernas utilizadas pelos atacantes e também não é possível saber como a equipe de resposta de incidentes poderá se comportar mediante a um ataque.

(40)

forma e as técnicas utilizadas pelo atacante e também é possível testar a capacidade da equipe de resposta de incidentes em identificar e reagir a um ataque.

4.17 ETAPAS DO PENTEST

Segundo MACLURE S., SCAMBREY J., KURTZ G. (2014) para que um pentest possa ser bem sucedido, existem algumas etapas que devem ser executadas. Caso contrário, o pentest poderá não ter o resultado desejado.

 Levantamento de Informações (Footprint): também conhecido como “reconhecimento”, esta é a primeira etapa do pentest, que tem como objetivo obter o máximo de informações possíveis do alvo sem que seja enviado um único pacote sequer, entendendo como ele se comporta com o mundo externo, ou seja, fora do ambiente que se deseja atacar. Esta etapa é uma das mais importantes do processo, pois ela nos tras uma visão do cenário a ser testado.

 Varredura (Scanning): nesta segunda etapa, serão utilizadas técnicas para descobrir quais as portas estão abertas e os serviços que estão sendo executados, quais os tipos de sistemas operacionais estão sendo utilizados nos servidores, e descobrir quais são as vulnerabilidades existentes no alvo.

 Exploração: após a descoberta das portas abertas, dos serviços que estão em execução na rede, quais os tipos de sistemas operacionais que estão em uso e as vulnerabilidades encontradas, a exploração é o processo da obtenção do controle sobre os sistemas.

(41)

4.18 VULNERABILIDES, RISCOS E AMEAÇAS EM REDES WI-FI.

4.18.1 VULNERABILIDADES

As vulnerabilidades são falhas que são encontradas ou associadas a um alvo em análise. “Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar e uma violação de segurança.” (CERT.BR, 2012).

4.18.2 VULNERABILIDADE WEP

Em ASSUNÇÃO (2013) o protocolo se tornou inviável para os dias atuais, pelo fato onde a mesma chave que se autentica é a que criptografa, ou seja, ele não provê um protocolo para criptografia e outro para autenticação como é o caso do WPA. A chave WEP é compartilhada e armazenada nos clientes da rede.

O vetor de inicialização utiliza apenas 24 bits, e é enviado em texto claro para os clientes, em virtude do tamanho do vetor ser pequeno durante várias horas ele é repetido, onde a captura de uma quantidade de IVs, o atacante de posse desses Ivs, pode descobrir a senha WEP através de ataques de dicionário.

4.18.3 VULNERABILIDADE NO WPA

(42)

4.18.4 VULNERABILIDADE NO WPS

“O WPS (WI-FI PROTECT SETUP) foi projetado para permitir que os usuários conectassem seus dispositivos às redes seguras usando um PIN de oito dígitos, em vez de usar uma frase-senha potencialmente longa e complicada.” (WEIDMAN, 2014, p.433).

Para RUFINO (2015), diversos ambientes deixam esse metodo de segurança habilitado, onde não se precisa de nenhum tipo de autenticação, pois de posse do PIN ele já realiza essa autenticação para configurar de forma rápida repetidores WI-FI e adicionar clientes à rede, o ataque ocorre com a descoberta de redes que possuem o WPS habilitado, e assim que descoberto o atacante utiliza ataque de força bruta para saber a senha da rede sem fio.

4.19 AMEAÇAS

“Possibilidade de um agente (ou fonte de ameaça) explorar acidentalmente ou propositalmente uma vulnerabilidade especifica” (SUFFERT, 2011)

AP’s com configurações padrão, Rogue AP (Access Point não autorizados) insiders (Funcionarios insatisfeitos) e WI-FI aberto são algumas das ameaças que podem comprometer toda a segurança da informação.

4.20 RISCOS

“Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto _{para a organização” (SUFFERT,}2011).

(43)

4.21 LABORATORIOS DE PENTEST

A seguir serão descritos os testes de laboratório realizados com as ferramentas de pentest utilizadas para explorar as vulnerabilidades presentes na infraestrutura de Wifi.

4.21.1 INFRAESTRUTURA DO LABORATÓRIO

4.21.1.2 HARDWARE

 1 Computador;

 2 Notebooks;

 1 Adaptador WI-FI usd TPLINK TL-WN821N;

 1 Access Point TPLINK TL-WR741ND.

4.21.1.3 SISTEMA OPERACIONAL E SOFTWARES UTILIZADOS:

Para os Laboratórios de Pentest foi utilizada a distribuição Kali Linux, que consiste em uma distribuição derivada do Debian, sucessora do Backtrack, com diversas ferramentas de pentest para ambientes WI-FI, Ethernet, aplicações WEB e forense computacional. A versão do Kali utilizada foi a 2.0.

Conforme ASSUNÇÃO (2013) define, as ferramentas para ataques em redes WI-FI das seguintes formas:

(44)

 Airodump-ng: responsável por coleta de informações como BSSID, ESSID, canal e frequência, além demonstrar os clientes conectados em todos os APs;

 Airbase-ng: tem por finalidade criar AP’s falsos, para que possam ser utilizados em ataques como Evil-Twin, que o foco são os clientes que fazem parte de uma rede WIFI;

 Aireplay-ng: uma ferramenta bem versatil, que possibilita ataques como desautenticação, injeção de pacotes nos concentradores para capturar o handshake para quebra de WPA com o auxilio de outras ferramentas para ataque de dicionário;

 Aircrack-ng: utiliza ataque de dicionário para quebra de chaves WEP E WPA;

 Wash: software que detecta quais concentradores possuem o WPS habilitado;

 Reaver: ferramenta que realiza força bruta em concentradores com WPS habilitado, onde é focado em descobrir a senha da rede sem fio atraves do PIN de acesso que é disponibilizado pelo WPS.

4.22 CENÁRIO

O cenário montado para a realização dos testes foi organizado da seguinte forma:

 Um AP com o SSID: “LAB-PWIFI”;

 Três clientes conectados a este AP;

 Um atacante utilizando o Kali-Linux como ferramenta de ataque.

(45)

Figura 9 – Cenário vulnerável

Fonte: Próprios Autores

4.23 REALIZANDO OS ATAQUES

Devido à quebra do protocolo WEP ser bem comum, o ataque em WEP estará descrito no Apêndice A, pois focaremos em ataques mais sofisticados como WPA-PSK, WPS.

Antes de dar início aos testes, é necessário o entendimento dos modos de operação nas interfaces de rede utilizadas nos ataques realizados à rede Wifi: o modo monitor e o modo promiscuo.

(46)

O airodump-ng e o Kismet são aguns dos exemplos de ferramentas que são utilizadas em modo monitor.

4.23.1 ATAQUE WPA-PSK

Será mostrada a quebra de chave com criptografia WPA-PSK, através da captura de um processo de handshake com o ataque de desautenticação, utilização de uma wordlist para ser utilizado com o Aircrack-ng para um dicionário de senhas.

Inicialmente, o AP utilizado no teste deverá ser preparado configurando o SSID e a criptografia que será utilizada (Figuras 10 e 11).

Figura 10 – Configuração SSID

Figura 11 - Configuração da senha WPA-PSK

(47)

O Acess Point foi configurando com SSID LAB-PWIFI e a senha de acesso a rede com o nome password utilizando a criptografia WPA-PSK.

Para que o pentest em redes WI-FI funcione é necessário que a placa ou adaptador de rede sem fio suporte o modo monitor.

Na Figura 12, foi utilizado o comando “ifconfig” para verificar a existência de três interfaces de rede, são elas:

 A placa de rede Ethernet “eth0”, que está inserida na rede 192.168.200.0/24;

 A interface loopback “lo”;

 _{O adaptador USB sem fio “wlan0”.}

Figura 12 – Verificando as interfaces de redes

Em seguida foi verificado se o adaptador Wifi “wlan0”, suporta o modo monitor.

(48)

Figura 13 - Verificando detalhes da interface Wlan0

Nota-se quem em “Mode” (Figura 14) a interface “wlan0” se encontra no modo de gerenciamento (“Managed”), sendo necessário que a interface esteja no modo monitor para a realização do pentest.

Para que colocar a interface “wlan0” em modo monitor deve ser verificado se existe algum processo em execução, pois podem impedir que a placa de rede sem fio passe para o modo monitor. Caso seja identificado algum processo nessa situação, tais processos devem ser encerrados. Após essas ações, será possível através da ferramenta airmon-ng colocar a interface wlan0 em modo monitor.

(49)

Figura 14 - Verificando e matando os processos

Com os processos finalizadosé possível colocar a interface “wlan0” em modo monitor, através do comando “airmon-ng start wlan0”, que será utilizado para esse fim. Em seguida verificamos novamente o status da interface com o comando “iwconfig”. (Figura15).

Figura 15 - Interface em modo Monitor

(50)

identificado a interface monitor, em geral, é criado uma interface virtual com o nome de “mon0”, nessa versão do kali Linux 2.0 a interface ficou com o nome “wlan0mon”, e em “Mode” verificamos o status de “Monitor”, a interface wireless já se encontra em modo de monitoramento sendo possível utilizar outros programas que dependem dessa interface no modo monitor.

O próximo programa a ser executado é o airodump-ng, com ele é possível obter informações mais detalhadas do AP alvo, de acordo com a Figura 16.

Figura 16 - Iniciando o airodump-ng

O comando “airodump-ng wlan0mon” inicia o programa do “airodump-ng” para obter informações dos AP's próximos ao equipamento de pentest (Figura 17) e o AP alvo que será utilizado nos testes (SSID “LAB-PWIFI”):

Figura 17 - Informações da rede Alvo

(51)

Conforme Assunção (2013) ele descreve essas informações reportada pelo airodump-ng das seguintes formas:

 BSSID: nessa sessão encontramos todos os endereços Mac dos AP;

 PWR: informações sobre a potência do sinal do AP;

 Beacons: quantidade de frames beacons (frame de sinalização que os Aps enviam);

 Data: quantidade de dados capturados;

 #/s: pacotes por segundos;

 CH: numero do canal em que os AP’s se encontram;

 MB: taxa de transmissão do AP;

 ENC: criptografia utilizada, seja open de aberto, WEP,WPA e WPA2;

 CIPHER: algoritimo de cifragem;

 AUTH: tipo de autenticação;

 ESSID: nome da rede que identifica o AP

 STATION: endereço MAC, dos clientes WI-FI conectados nos Aps;

 Rate: taxa de transmissão entre AP e cliente;

 Lost: quantidade de pacotes perdidos;

 Frames: frames enviados pelas estações;

 Probes: os probe são informações que os clientes pesquisam pelas redes preferenciais que ele conhece no qual tenta se autenticar. (ASSUNÇÃO, 2013)

A ferramenta “airodump-ng” permite realizar um filtro de informações, que no caso foi especificado o Mac do AP (Figura 18).

Figura 18 - Airodump-ng com o MAC do AP filtrado.

(52)

possível visualizar o resultado da ferramenta _“airmon-ng” com o endereço MAC especifico e os MACs dos clientes conectados.

Figura 19 – Airodump-ng com MAC selecionado WPA-PSK

Para começar o processo de quebra de chave WPA-PSK, será necessário injetar pacotes no AP alvo para capturar o processo de handshake e utilizar o arquivo de dicionário com o _“aircrack-ng”.

A injeção de pacote é conhecida como o ataque de desautenticação, onde todos os clientes que estiverem conectados na rede WI-FI serão desautenticados, e forçando a autenticação novamente dos clientes. Provocando indisponibilidade na rede, esse ataque é também caracterizado como um ataque de DoS (negação de serviço) em redes sem fio.

Antes de iniciar a injeção de pacotes, a placa ou adaptador sem fio deverá ser testada para certificar-se que ela tem suporte para a injeção de pacotes, com a ferramenta “aireplay-ng”.

(53)

Figura 20 - Teste de injeção de pacotes

A informação destacada _“Injectionis is working”, confirma que a injeção de pacote funciona no adaptador W-FI.

Em seguida, deve ser capturado o processo de handshake com a ferramenta “airodump-ng” que ficará registrado em um arquivo específico (Figura 21).

Figura 21 - Salvando a captura do WPA-PSK

O que diferencia esse comando do “airodump-ng” dos comandos anteriores é que é preciso especificar o canal com a opção “–c”, e a opção “–w” que indica o caminho a ser salvo em “/root/Documentos/captura-wpa”.

(54)

Figura 22 - Airodump-ng com MAC filtrado

Agora será realizado o ataque de desautenticação com o intuito de causar indisponibilidade na rede e forçar a geração de pacotes para capturar o processo de handshake (Figura 23).

Figura 23 - Ataque de desautenticação

(55)

utilizados uma quantidade de pacotes ilimitada (Figura 24), ocasionando um ataque de DoS que só terá término quando o atacante encerrar a execução do comando. Ou seja, quando o atacante conseguir capturar o handshake.

Figura 24 - Ataque de desautenticação ilimitado

Na figura 25 é possível ver que o handshake foi capturado através do comando “airodump” e salvo em /root/Documentos/captura-wpa.

Figura 25 - Handshake WPA-PSK capturado

Para fins didáticos será utilizada uma wordlist com palavras chaves para facilitar o tempo da quebra da senha WPA-PSK. Entretanto o uso de rainbow table é o ideal para o ataque de dicionário utilizando o aircrack-ng.

(56)

As Figuras 26, 27 e 28, demonstram o processo que vai, desde a criação da wordlist até a quebra da senha WPA-PSK.

Para a criação da wordlist foi digitado o seguinte comando: “vim wordlist.txt” dentro da pasta /root/Documentos/. Com o arquivo aberto foram inseridas várias palavras chaves.

Figura 26 - Criação do wordlist

No diretório /root/Documentos/ se encontra o arquivo “captura-wpa-01.cap”, esse arquivo e a wordlist.txt criada anteriormente serão utilizados pela ferramenta aircrack-ng, através do comando: “aircrack-ng captura-wpa-01.cap -w wordlist.txt” (Figuras 27 e 28).

Figura 27 - Listando os arquivos e executando o aircrack-ng para quebra da chave WPA-PSK

(57)

Figura 28 - Resultado da quebra da chave WPA-PSK

4.23.2 ATAQUE WPA2-PSK

O processo de quebra do WPA2-PSK é idêntico ao do WPA-PSK, seria redundante repetir todo o processo com o mesmo fim, então serão adicionadas apenas as figuras que diferenciam o WPA-PSK do WPA2-PSK.

Na Figura 29, é possível visualizar a configuração do WPA2-PSK no AP de teste.

Figura 29 - Configuração da senha WPA2-PSK

(58)

Em seguida, a ferramenta _“airodump-ng” foi iniciada para captura do processo de handshake do WPA2, salvando as informações no arquivo /root/Documentos/captura-wpa2 (Figura 30 e 31).

Figura 30 - Salvando a captura do WPA2-PSK

A seguir, será realizado o ataque de desautenticação do WPA2-PSK que é o mesmo realizado no WPA-PSK (Figura 32 e 33). A verificação se encontra no diretório /root/Documentos na Figura 34. E por fim o ataque de dicionário com “aircrack-ng” utilizando o wordlist (Figuras 35 e 36).

Figura 31 - Airodump-ng com MAC filtrado selecionando WPA2-PSK

(59)

Figura 32 - Ataque de desautenticação WPA2-PSK

Fonte Próprios Autores

Figura 33 - Handshake WPA2-PSK capturado

(60)

Figura 34 - Listando os arquivos e executando o aircrack-ng para quebra da chave WPA2-PSK

Figura 35. Realizando ataque dicionário com aircrack-ng

Figura 35 - Ataque de dicionário com aircrack-ng

Chave WPA quebrada. Figura 36.

Figura 36 - Chave WPA2-PSK quebrada

(61)

4.24 ATAQUE DE WPS

Como foi mencionado no item 4.19.4 o WPS utiliza uma numeração de 08 digitos conhecidos como PIN. Este número tem o objetivo de realizar uma autenticação rápida ao access point sem a necessidade de saber a senha, sendo o PIN uma maneira de realizar a autenticação nas redes Wifi.

O access point, utilizado nos testes, possui um botão para habilitar WPS. Nos AP’s do fabricante TPLINK esse botão tem o nome de QSS (Quick Setup Secure) e pode ser habilitado e desabilitado, através do botão QSS ou na tela de configuração como mostra a Figura 37.

Figura 37 – Configuração do WPS

Será demostrado o ataque de força bruta no WPS para descobrir a senha da rede sem fio.

(62)

Figura 38– Ferramenta Wash em funcionamento

Os campos são descritos das seguintes formas:

 BSSIS/SSID: identifica o endereço Mac e o nome da rede sem fio;

 Channel: Canal em que o Ap se encontra;

 RSSI: Potência do Ap;

 WPS Version: Versão do WPS;

 WPS Locked: Informa se WPS está ou não bloqueado.

O Ataque de força bruta é realizado com a ferramenta “reaver”, a Figura 39 mostra o resultado.

Os parâmetros do “reaver” executam as seguintes ações:

 “-c”: indica o canal que o AP trabalha;

 “-a”: modo automático, ou seja, ele identifica o fabricante como mostra a (Figura 41) e utiliza o ataque já com PIN conhecido do fabricante;

 _“-b_”: indica o BSSID do AP;

(63)

Figura 39- Reaver em funcionamento com ataque de força bruta

A (Figura 40) o “reaver” detecta o fabricante, o modelo do AP (TPLINK), e a duração prevista para a quebra do WPS.

Figura 40 – Ataque em funcionamento

(64)

limitado as tentativas de descoberta de PIN ou simp_{lesmente está sobrecarregado”} (ASSUNÇÃO, 2013). O resultado do ataque é mostrado na Figura 41.

Figura 41 – Ap travado causando indisponibilidade

Não foi possível descobrir a senha do AP através desse ataque, devido ao fato do AP apresentar uma indisponibilidade devido ao travamento causado pelo ataque.

4.25 DESCOBERTA DE SSID OCULTOS E CLONE DE ENDEREÇO MAC

(65)

Figura 42 – SSID oculto

Figura 43 – Identificando SSID oculto

Fonte; Próprios Autores

Com o SSID descoberto a próxima etapa a ser realizada é a clonagem do endereço MAC de um cliente legítimo. A rede alvo pode ter o recurso de filtro MAC, mas para isso, é necessário desativar a interface de rede Wifi, (Figura 44) e realizar o clone do BSSID (Figura 45).

Figura 44 - Desativando interface de rede

(66)

Figura 45 – Clone de endereço MAC

A Figura 45 mostra a execução do programa “macchanger” que é utilizado para realizar o clone de endereço MAC. A opção _“–m_” indica o BSSID do cliente alvo. A interface de rede wireless wlan0 recebeu o seguinte endereço “34:fc:ef:d1:2e:b1”. O comando “ifconfig wlan0 up”, inicia a interface que se encontrava com o status _“down”.

4.26 ATAQUE DE EVIL TWIN

Antes de entender e demonstrar como é feito o ataque aos clientes Wifi, é necessário entender sobre redes preferenciais.

Conforme RUFINO (2015) Todos dispositivos quando se conectam em uma rede sem fio e suas configurações são armazenadas ela se torna uma rede preferencial, a prova disso e quando ao chegar em um determinado local que foi realizado esse acesso sem fio, os dispositivos automaticamente se conectam na rede que se tornou preferencial.

Quando as interfaces sem fio de clientes Wifi se encontram habilitadas, são utilizados os pacotes Probe Request, para verificar se suas redes preferenciais se encontram disponíveis para poder se autenticar e se associar a determinada rede.

(67)

Para Assunção (2013) o Evil twin é um ataque em que um access point falso simula um AP real com o intuito de atacar os clientes Wifi.

Para que este ataque possa ser realizado, foi configurado um AP falso com o SSID “Macedo” que faz parte de uma das redes preferenciais de que o dispositivo “F8:F1:B6:A4:D4:4A" já tinha se autenticado anteriormente. Para os testes, o AP foi configurado com a rede “aberta”. A Figura 46 tras uma ilustração de como é um cenário para a realização de ataque Evil Twin.

Figura 46 – Cenário Evil Twin

4.26.1 IDENTIFICANDO OS ALVOS

(68)

Figura 47 – Redes preferenciais dos clientes com airodump-ng

Figura 48 - Redes preferenciais dos clientes com iDiot.py

No exemplo das Figuras 47 e 48 é possível visualizar as informações referêntas às redes preferenciais.

Na Figura 48 mostra a execução do programa “iDiot.py”, onde: na coluna da esquerda é possível visualizar o endereço MAC do dispositivo e na coluna da direita, as redes preferenciais acessadas.

(69)

Figura 49 – Criando um fake Ap com o airbase-ng

Esse método possui melhor praticidade para o ataque, pois sem realizar uma bridge entre as interfaces, seria necessário configurar o serviço de DHCP, DNS e Firewall. A figura 50 mostra a interface “at0” e o endereço IP da interface “eth0” 192.168.100.100/24 que fará a bridge com a at0.

Figura 50 - Verificando as interfaces

(70)

que ela possui endereço um IP. Diferentemente da interface _“at0_” que não necessita de endereço IP.

Figura 51 - Configuração da Bridge

A Figura 52 mostra a rede “Macedo” criada, a verificação é realizada com o “airodump-ng”.

Figura 52 – Fake AP criado.

Finalizado o processo de criação da bridge para disponibilizar internet para a vítima, o próximo passo é realizar a desautenticação da rede no qual o cliente se encontra conectado. Caso o processo de autenticação do cliente ao fake AP demorar, basta realizar o ataque de desautenticação no AP em que o cliente esteja conectado, e assim ele migrará para a rede falsa.

(71)

Através deste ataque o atacante pode capturar o tráfego de rede da vitima como: senhas de e-mail, contas em redes sociais.

Figura 53 – Cliente conectado no fake AP

Figura 54 - Dispositivo da vitima conectado

(72)

4.27 PROTEÇÃO

Será utilizado um servidor de autenticação Freeradius, e um Wireless IDS para mitigar os ataques apresentados, ambos utilizam a distribuição Debian na versão sete, aliado de boas práticas de segurança da informação. A Figura 55 ilustra o cenário proposto para mitigar os ataques apresentados anteriormente.

Figura 55 – Cenário proposto

(73)

4.27.1 WIRELESS IDS

Segundo Boob, Jadhav (2010) descrevem em seu artigo que um Wireless IDS é:

Um Sistema de Detecção de Intrusão (IDS) é uma ferramenta de software ou hardware usado para detectar o acesso não autorizado de um sistema de computadores ou rede. Um IDS wireless executa essa mesma tarefa exclusivamente para a rede sem fio. Estes sistemas monitoraram o tráfego da rede procurando e realizando o log das ameaças e alertam as pessoas responsáveis para responder às ameaças.

4.27.2 KISMET

O Kismet é um sistema de detecção de intrusão, ou sniffer, de rede sem fio para os padrões 802.11 da camada 2 do modelo OSI. Durante os testes realizados, foi utilizada a ferramenta Kismet para realizar a monitoração da rede wifi. Na Figura 56, está a tela do Kismet, fazendo a monitoração da rede Wifi de testes.

Figura 56 - Monitoramento da rede Wifi com o Kismet

(74)

Figura 57 - Kismet identificando um AP falso

Após a identificação do AP falso, o Kismet gerou um alerta informando que um dispositivo não autorizado foi identificado. No alerta é possível identificar o endereço MAC do AP falso, como mostra a figura 58:

Figura 58 - Arquivo de log do Kismet

O ataque de DoS, realizado pelo atacente na (Figura 59). Esse ataque tem como objetivo mostrar que foi possível monitorar um ataque de negação de serviço (DoS) (Figura 60).

Figura 59 - Realizando ataque de DOS

(75)

Figura 60 – Monitoração de uma ataque de DoS

A Figura 61 mostra a realização de um ataque de MAC Spoofing, ou seja, um AP falso clonando o endereço MAC e o SSID do AP legítimo. O objetivo deste ataque foi mostrar que foi possível monitorar um ataque MAC Spoofing.

Os parâmetros do programa “airbase-ng” utilizados para este ataque são:

 “–e”: indica o SSID da rede alvo;

 “-a”: indica o mac do AP legitimo;

 “-z 2” informa que é utilizado WPA-PSK;

 _“–v” indica o modo detalhado.

Figura 61 - Clone de MAC e SSID com airbase-ng

A Figura 62 o Kismet reportando o ataque de Mac Spoofing.

Figura 62 - Monitoração do clone do MAC address