A GNU FDL permite explicitamente a qualquer usuário do eBook sob ele licenciado: A GNU FDL permite explicitamente a qualquer usuário do eBook sob ele licenciado: 1.
1. CopCopiá-iá-lo lo litliteraeralmelmente nte e de dististriribuibuir er essassas s cópcópiasias, i, inclnclusiusive ve recrecebeebendondo compensação monetária por elas.
compensação monetária por elas. 2.
2. PerPermitmite ee exibxibi-li-las as pubpubliclicameamentente, di, disposponibnibiliilizanzando do uma uma cópcópia tia tranranspasparenrente dte doo eBook, acima mencionado.
eBook, acima mencionado. 3.
3. ProProíbe íbe que que se se utiutililizem zem meimeios os téctécnicnicos os parpara ia impempedir dir que que pespessoasoas qs que ue tentenhamham acesso a qualquer cópia do eBook, para que usufruam dos mesmos direitos do
acesso a qualquer cópia do eBook, para que usufruam dos mesmos direitos do leitor.
leitor. Versões mo
Versões modificadas ddificadas do eBooko eBook também podtambém podem ser inclem ser incluídas, desduídas, desde que o aute que o autor daor da modificação concorde em também licenciar a versão modificada pela GNU FDL. modificação concorde em também licenciar a versão modificada pela GNU FDL.
O copyleft, como um termo adicional à licença GNUFDL, visa garantir a quem O copyleft, como um termo adicional à licença GNUFDL, visa garantir a quem receba u
receba uma cópia ma cópia da obra da obra licenciadalicenciada as seguinas seguintes libertes liberdades:dades: 1
1.. A A llibibererddadade e papara ra uussar ar o o ttrarababallhoho,, 2
2.. A lA libibererddadade pe paara ra eesstutudadar o r o trtraababalhlho,o, 3.
3. A liA libeberdrdadade pae para cra copopiaiar e cr e comompapartrtililhahar o tr o trarababalhlho coo com os m os ououtrtrosos,, 4.
4. A liA libeberdrdadade pae para mra mododifificicar o ar o trtrababalalho e ho e tatambmbém pém parara dia diststriribubuir oir oss trabalhos modificados e derivados.
trabalhos modificados e derivados.
Distribuição Livre de Segurança número 1 em sua categoria, mais de 300 Distribuição Livre de Segurança número 1 em sua categoria, mais de 300
ferramentas, de acordo com o fluxo de trabalho de profissionais de segurança. ferramentas, de acordo com o fluxo de trabalho de profissionais de segurança. Nenhuma plataforma de análise oferece um nível equivalente de usabilidade com Nenhuma plataforma de análise oferece um nível equivalente de usabilidade com configuração automática e foco em testes de penetração.
configuração automática e foco em testes de penetração. Licença GNU Free
Licença GNU Free DocumentatiDocumentation Licenseon License
Licença Copyleft Licença Copyleft
GNU General Public License GNU General Public License
A GNU FDL permite explicitamente a qualquer usuário do eBook sob ele licenciado: A GNU FDL permite explicitamente a qualquer usuário do eBook sob ele licenciado: 1.
1. CopCopiá-iá-lo lo litliteraeralmelmente nte e de dististriribuibuir er essassas s cópcópiasias, i, inclnclusiusive ve recrecebeebendondo compensação monetária por elas.
compensação monetária por elas. 2.
2. PerPermitmite ee exibxibi-li-las as pubpubliclicameamentente, di, disposponibnibiliilizanzando do uma uma cópcópia tia tranranspasparenrente dte doo eBook, acima mencionado.
eBook, acima mencionado. 3.
3. ProProíbe íbe que que se se utiutililizem zem meimeios os téctécnicnicos os parpara ia impempedir dir que que pespessoasoas qs que ue tentenhamham acesso a qualquer cópia do eBook, para que usufruam dos mesmos direitos do
acesso a qualquer cópia do eBook, para que usufruam dos mesmos direitos do leitor.
leitor. Versões mo
Versões modificadas ddificadas do eBooko eBook também podtambém podem ser inclem ser incluídas, desduídas, desde que o aute que o autor daor da modificação concorde em também licenciar a versão modificada pela GNU FDL. modificação concorde em também licenciar a versão modificada pela GNU FDL.
O copyleft, como um termo adicional à licença GNUFDL, visa garantir a quem O copyleft, como um termo adicional à licença GNUFDL, visa garantir a quem receba u
receba uma cópia ma cópia da obra da obra licenciadalicenciada as seguinas seguintes libertes liberdades:dades: 1
1.. A A llibibererddadade e papara ra uussar ar o o ttrarababallhoho,, 2
2.. A lA libibererddadade pe paara ra eesstutudadar o r o trtraababalhlho,o, 3.
3. A liA libeberdrdadade pae para cra copopiaiar e cr e comompapartrtililhahar o tr o trarababalhlho coo com os m os ououtrtrosos,, 4.
4. A liA libeberdrdadade pae para mra mododifificicar o ar o trtrababalalho e ho e tatambmbém pém parara dia diststriribubuir oir oss trabalhos modificados e derivados.
trabalhos modificados e derivados.
Distribuição Livre de Segurança número 1 em sua categoria, mais de 300 Distribuição Livre de Segurança número 1 em sua categoria, mais de 300
ferramentas, de acordo com o fluxo de trabalho de profissionais de segurança. ferramentas, de acordo com o fluxo de trabalho de profissionais de segurança. Nenhuma plataforma de análise oferece um nível equivalente de usabilidade com Nenhuma plataforma de análise oferece um nível equivalente de usabilidade com configuração automática e foco em testes de penetração.
configuração automática e foco em testes de penetração. Licença GNU Free
Licença GNU Free DocumentatiDocumentation Licenseon License
Licença Copyleft Licença Copyleft
GNU General Public License GNU General Public License
Índice
Índice
Licença GNU Free Documentation License
Licença GNU Free Documentation License...2...2 Licença Copyleft
Licença Copyleft...2...2 GNU General Public License
GNU General Public License...2...2 Cap
Capítuítulo 1lo 1 –– ConConfigfigurauração dção do Labo Laboraoratótório drio de Tese Testestes...6...6 Instalação do BackTrack
Instalação do BackTrack...6...6 Configuração do router (AP)
Configuração do router (AP)...9...9 Ligar ao AP
Ligar ao AP...10...10 Sumário
Sumário... 1212 Ca
Capípítutulo 2lo 2 -- InInsesegugurarançnças eas em WLm WLANANss... 1313 Nota importante de escuta e injecção em WLAN
Nota importante de escuta e injecção em WLAN...16...16 Exercício
Exercício... 1616 Sumário
Sumário... 1616 Cap
Capítuítulo 3lo 3 –– UltUltraprapassassar Aar Auteutentinticaçcação Wão WLANLAN... 1717 Autenticação aberta Autenticação aberta... 1717 SSID oculta SSID oculta...17...17 Filtros MAC Filtros MAC...20...20 Shared Key Autentication (SKA)
Shared Key Autentication (SKA)... 2121 Exercício
Exercício... 2525 Sumário
Sumário... 2525 Cap
Capítuítulo lo 44 –– FalFalhas has na na encencripriptaçtação ão WLWLANAN...26...26 Encriptação WEP
Encriptação WEP...26...26 Encriptação WPA/WPA2
Encriptação WPA/WPA2... 3131 Acelerar a descodificação WPA/WPA2
Acelerar a descodificação WPA/WPA2...35...35 Decifrar pacotes WEP/WPA
Decifrar pacotes WEP/WPA...38...38 Ligar a redes WEP/WPA
Ligar a redes WEP/WPA... 3939 Exercício
Exercício... 4141 Sumário
Sumário... 4141 Cap
Capítuítulo 5lo 5 -- AtaAtaqueques a is a infnfra-ra-estestrutrutura ura WLAWLANN... 4242 Contas e credenciais pré-definidas
Contas e credenciais pré-definidas...42...42 Ataques
Ataques Denial Denial of of Service Service (DoS)(DoS)... 4242 AP Gémeo e MAC falsificado
AP Gémeo e MAC falsificado...44...44 Ponto de acesso não autorizado
Ponto de acesso não autorizado... 4747 Exercício
Sumário
Sumário... 4949 Ca
Capípítutulo lo 66 –– AtAtaqaqueues as ao co clilienentete... 5151 Ataque chamariz
Ataque chamariz...51...51 Ataque Caffe Latte
Ataque Caffe Latte... 5252 Ataques de Desautenticação e Dissociação
Ataques de Desautenticação e Dissociação... 5555 Ataque Hirte
Ataque Hirte...56...56 Sem AP decifrar WPA
Sem AP decifrar WPA... 5757 Sumário
Sumário... 5959 Ca
Capípítutulo 7lo 7 –– AvAvanançaçadodos ats ataqaque Wue WLALANN... 6060 Ataque Man-in-the-Middle
Ataque Man-in-the-Middle...60...60 Violação de confidencialidade Wireless com MITM
Violação de confidencialidade Wireless com MITM...62...62 Sequestro de sessão via Wireless
Sequestro de sessão via Wireless... 6464 Wi-F
Wi-Fishiishingng -- DescDescobriobrir cor confignfiguraçurações ões de sde seguregurança ança no cno clienlientete...66...66 Sumário
Sumário... 6868 Cap
Capítuítulo 8lo 8 –– AtaAtaque que a WPa WPA-A-EntEnterperprisrise e RAe e RADIUDIUSS... 6969 Configurar o servidor RADIUS
Configurar o servidor RADIUS... 6969 Atacar PEAP
Atacar PEAP...71...71 Atacar EAP-TTLS
Atacar EAP-TTLS...73...73 Boas práticas de segurança em Empresas
Boas práticas de segurança em Empresas...75...75 Sumário
Sumário... 7575 Cap
Capítuítulo 9lo 9 –– MetMetodoodologlogia de tia de testeste e pene e penetretraçãação WLAo WLANN...76...76 Teste de Penetração Wireless
Teste de Penetração Wireless... 7676 Planeamento Planeamento...76...76 Descoberta Descoberta...77...77 Ataque Ataque... 7878 Encontrar AP não-autorizado Encontrar AP não-autorizado... 7878 Encontrar clientes não-autorizados
Encontrar clientes não-autorizados...79...79 Decifrar a
Decifrar a encriptaçãoencriptação...80...80 Comprometer os clientes Comprometer os clientes...81...81 Relatório Relatório...82...82 Sumário Sumário... 8383 Anexo
Anexo A – Conclusão e caminho futuro A – Conclusão e caminho futuro ...84...84 Encerrando
Encerrando... 8484 Construir um laboratório Wi-Fi complexo
Construir um laboratório Wi-Fi complexo... 8484 Antenas
AP Wi-Fi... 85
Cartões Wi-Fi...85
Smartphones e outros dispositivos com Wi-Fi...85
Manter-se actualizado... 86
Listas de correio... 86
Websites... 86
Conferências...86
Relacionados com BackTrack ...86
De modo a garantir a eficácia dos testes presentes no eBook, num ambiente seguro e controlado, é necessário antes de seguir em frente:
1. Router com opção sem-fios.
2. PC 1, BackTrack 5 revision 3 (BACKTRACK), Live CD ou instalado no HDD. Pode fazer o download do site http://www.backtrack-linux.org/ . Será o nosso sistema de penetração.
3. PC 2, outro SO, é preferível Windows XP/ Vista/ 7/ 8. Será a cliente. 4. Tentar trocar o valor 0 por 0 ( zero) se o comando for fracassado. Vamos então começar!
Todos os programas funcionam a partir do CD, com a vantagem de não guardar registos. Para usufruir as capacidades do seu hardware aconselha-se a instalação no HDD.
Para instalar o BACKTRACK crie um CD iniciável com http://www.magiciso.com/ . Inicie o PC com o DVD ou USB introduzido. Seleccione
no menu:
o 1
o d
Laboratório de Testes
Instalação do BackTrack
Se iniciar com sucesso visualiza o ecrã BACKTRACK:
Iniciará o ambiente gráfico com startx . Verá o seguinte após o digitar:
Agora clique no ícone no canto superior esquerdo do PC, isto lançará o instalador BACKTRACK como mostrado em seguida:
A instalação é simples, semelhante à maioria dos sistemas Linux. Seleccione as opções apropriadas. Após conclusão da instalação, reinicie o PC e remova o DVD/USB.
Quando reiniciar, será preciso o nome de utilizador “ root ” e a senha “toor ”. Para alterar a senha escreva passwd .
Pode ler mais alternativas de instalação consultando o site http://www.backtrack-linux.org/wiki .
Para conseguir propor-se aos objectivos do eBook, primeiro iremos activar a placa Wi-Fi, o comando ifconfig wlan0 up iniciará a nossa placa. O BackTrack vem com estes recursos inactivos de raiz. Depois com ifconfig wlan0 verá o estado actual do equipamento:
Se no campo ler
caso é este o MAC, o seu poderá ser consultado no equipamento.
Iremos configurar o ponto de acesso (AP) mencionado anteriormente, para as nossas experiências.
1- Ligue o seu AP à alimentação e conecte-o ao PC com um cabo de rede numa das portas.
2 – Abra o seu navegador e escreva o IP do AP na barra de endereço, neste caso é 192.168.0.1, para saber o do seu AP abra o terminal e escreva route -n o Gateway é normalmente o endereço do AP. Após ligação verá uma janela semelhante a esta:
3 – A senha original está no seu manual. Se não souber qual é consulte http://www.routerpasswords.com/ . Explore as várias opções depois de aceder, antes de configurar a nova SSID ( Identificador da Rede sem-fios).
4 – Altere a para e a segurança para
no meu caso, o é
as alterações surtirem efeito.
5 – Grave as alterações no AP e reinicie, se necessário. Desligue o cabo de
rede e inicie o na lista de ambos computadores:
Hwaddr 00:c0:ca:3e:db:93, a activação teve êxito, neste
Configuração do router (AP)
SSID Wireless Lab Open Autentication,
Modo de Segurança None. Dependendo do AP poderá reiniciar para
O seu AP não tem autenticação, poderá ligar directamente com o
No escreva iwlist wlan0 scanning para visualizar os AP disponíveis. Poderá encontrar a Wireless Lab na lista, o campo ESSID contém o nome da rede:
Várias redes podem ter o mesmo SSID, verifique o MAC mencionado no campo Address . Agora escreva iwconfig wlan0 essid “Wireless Lab” e depois iwconfig wlan0 verifica o estado. Se a ligação foi êxito, poderá ver o MAC do AP no campo Access Point .
Ligar ao AP
Wicd.
Sabemos o IP do AP “192.168.0.1” do manual, que é o mesmo que em route -n para nos identificarmos com um IP na rede escreve ifconfig wlan0 192.168.0.2 netmask 255.255.255.0 up . Verificamos o sucesso com ifconfig wlan0 , como demonstrado:
Agora iremos verificar se temos ligação com o AP, escreva ping 192.168.0.1 e adicionalmente arp -a para verificar as respostas. Se o eco for recebido, obtivemos êxito.
Verificando a ligação, se acedermos ao AP leremos no log o MAC da placa de rede 00:c0:ca:3a:db:93 registado:
Neste capítulo definimos a instalação do Wireless Lab. Também aprendemos a: • Instalar o BackTrack no HDD
• Configurar o AP para a Internet
• Compreender vários comandos para configurar a placa wireless • Como verificar a ligação entre os clientes e o AP
É importante que você ganhe confiança em configurações do sistema, será realizado diversas vezes em capítulos seguintes.
O quadro responsável em autenticar os clientes em WLANs é “Management Frames” ou “MAC Header”, em português, quadro de gestão. Existem outros, foquemo-nos neste que será o mais importante neste capítulo por conterem as informações de autenticação. Depois vem o quadro da mensagem “Frame body” e quadro de controlo “FCS”.
Agora iremos escutar os quadros da Wi-Fi utilizando o Para criarmos um modo monitor na placa de rede wlan0 escrevemos o comando airmon-ng start wlan0 que cria o modo monitor mon0 , verifica-se uma nova interface com airmon-ng .
Definimos o canal do modo monitor mon0 com iwconfig mon0 channel 11 , o nosso laboratório está a transmitir no canal 11, visto nas propriedades da rede no
o
s m
Wireshark.
Ligamos o Wireless Lab e iniciamos o
clicamos em e seleccionamos a interface mon0 , a escuta iniciará automaticamente no Wireless Lab .
No filtro:
!(wlan.fc.type_subtype==0x08)
Seleccionando qualquer pacote na janela superior ele será mostrado na janela do meio. Vários filtros podem ser utilizados em simultâneo, clique com o botão direito do rato sobre o conteúdo e seleccione
Para acelerarmos a captura de pacotes no
rede com aireplay-ng -9 -e “Wireless Lab” -a MAC:AP mon0 .
Wireshark. Quando estiver activo
Capture → Interfaces
Wireshark, para visualizarmos todos os pacotes não-avisos escrevemos o
Apply as filter → Selected.
O PC cliente servirá também para criar pacotes, poderá aceder ao AP, neste caso http://192.168.0.1/ . Isto gerará pacotes de dados que o
capturará.
Nota importante de escuta e injecção em WLAN
As ligações Wi-Fi transmitem-se por frequência, note que nem sempre conseguimos transmitir em todas, poderemos não operar em
verificarmos as capacidades da nossa interface escrevemos no iwconfig wlan0 . Podemos observar na seguinte figura que a nossa interface trabalha nas bandas e
Tente criar vários modos monitor, com apenas uma placa Wi-Fi. Em redes sobrepovoadas, tente isolar os clientes com filtros no
Uma das ferramentas interessantes no é "Follow a Stream", tente utilizá-la numa transferência de dados.
Várias placas Wi-Fi permitem escutar vários canais em simultâneo.
Neste capítulo verificámos vários protocolos WLAN. Sem encriptação é fácil visualizar os dados escutados no ar. Note-se que pode existir protecção utilizando encriptação para os manter confidenciais. Leremos sobre isto mais adiante. O modo monitor escuta todo o espaço em redor.
Pacotes de dados sem encriptação podem também ser modificados e reenviados de volta à rede. Se o pacote está encriptado, podemos continuar a reenviar o pacote como está, visto as WLAN não terem protecção anti reenvio.
802.11a/n. Para Terminal . Exercício Wireshark. Wireshark Sumário
Em segurança informática Autenticação Aberta designa que não existe mecanismo de segurança. Não é requerida chave para ligar e os dados transaccionados não estão criptografados.
Com o nosso utilizando Autenticação Aberta podemos encontrar a rede com iwlist wlan0 scanning e ligar ao AP com o comando iwconfig wlan0 essid “Wireless Lab” e verificar o êxito da ligação ao AP:
Note que não teve de fornecer qualquer nome-de-utilizador/senha/senha-frase para aceder ao AP através de Autenticação Aberta.
Alguns AP utilizam filtragem por MAC ou têm SSID oculta, no entanto transmitem a sua BSSID nos quadros de aviso, para que os clientes se possam ligar.
Iniciamos o Wireshark no modo monitor Mon0. Configure depois o para não transmitir a SSID, no meu caso selecciono a opção
ap tu o
Ul ap ss r te ti aç
WLAN
Autenticação aberta Wireless Lab SSID oculta Wireless Lab Invisible.Se olhar para o rastro do verá que a SSID do desapareceu dos quadros de aviso.
Para descobri-los no teremos de esperar que um cliente se ligue, revelando a presença da rede.
Wireshark Wireless Lab
Alternativamente, poderá usar aireplay- ng para enviar pacotes de desautenticação a todos os clientes do com aireplay-ng -0 5 -a MAC:AP mon0 . O -0 escolhe o modo de desautenticação e 5 é o número de pacotes de desautenticação que envia, -a especifica o MAC do alvo AP, detectado pelo
Wireless Lab
Configuremos o nosso AP para usar filtro MAC e depois adicionamos o MAC:cliente do nosso PC cliente. A página do meu router aparece assim:
Se tentarmos ligar com um PC que não esteja na lista seremos recusados.
Obtemos o MAC dos clientes ligados ao AP com airodump-ng -c 11 -a –bssid MAC:AP mon0 , 11 é o canal e MAC:AP é o MAC do obtidos nas propriedades da rede no ou através de iwlist wlan0 scanning . O resultado do airodump-ng :
Depois de obter o MAC:clientes na coluna (60:FB:42:D5:E4:01) terão de desactivar a placa de rede ifconfig wlan0 down. Alteramos seguidamente o MAC do nosso PC para um da rede com macchanger -m MAC:Cliente wlan0, depois trará a placa de rede ao activo ifconfig wlan0 up , que funciona até reiniciar o PC.
Filtros MAC
Wireless Lab, ambos
Wicd
Shared Key Authentication utiliza senha WEP para autenticar o cliente. A troca de informações está ilustrada a seguir (fonte: http://www.netgear.com/ ):
Teremos de configurar ASK na nossa rede Wireless Lab. No meu caso alterei o para e a Autenticação para
Shared Key Autentication (SKA)
Para ligarmos a uma rede com autenticação WEP-SKA (Shared Key Autentication) temos de monitorizar o AP iwconfig wlan0 essid “Wireless Lab”. A monitorização terá de ser gravada num ficheiro airodump-ng mon0 -c 11 –bssid MAC:AP -w Keystream , em que Keystream será o nome do ficheiro contende os dados gravados em root transmitidos pelo PC cliente.
Podemos então forçar os clientes a religar ao AP enviando um pacote Broadcast de desautenticação aireplay-ng -0 5 -a MAC:AP mon0 . Para recolhermos os dados necessários para decifrar a senha SKA-WEP. Se a escuta WEP-SKA for
bem-sucedida a coluna mostrará após escuta do comando anterior.
A captura keystream está guardada em root e terá por sufixo o MAC do AP.
Após verificação iludimos a autenticação utilizando aireplay-ng -1 -e “Wireless Lab” -y Keystream-01-00-21-D2-8E-25.xor -a MAC:AP -h aa:aa:aa:aa:aa:aa mon0 que validará a senha obtida no Keystream. Escrevendo aireplay-ng verifica-se o estado da autenticação.
A senha obtida poderá ser também usada em
Para seguirmos o percurso da autenticação WPA-SKA no escrevemos o
AUTH SKA
Wicd.
filtro wlan0.addr==aa:aa:aa:aa:aa:aa no terá de estar activo durante todo o processo se quiser visualizar os pacotes.
O AP registará no Log o MAC:BACKTRACK5 aa:aa:aa:aa:aa:aa após a autenticação.
Tente enviar pacotes de desautenticação a clientes específicos.
Tente criar um DoS escrevendo um simples comando no aireplay-ng para enviar centenas de ligações a MAC aleatórios de modo automatizado.
Neste capítulo, aprendemos o seguinte sobre autenticação WLAN:
• SSID ocultas revelam alguma dificuldade em aceder, mas são relativamente fáceis de bater.
• Filtragem MAC não garantem segurança porque os MAC:clientes são recolhidos no ar em pacotes sem encriptação.
• Autenticação Aberta não garante nenhuma segurança.
• Shared Key Authentication tem algumas artimanhas para a bater, recolhendo dados num ficheiro é possível ser decifrada.
Exercício
Vamos primeiro configurar o nosso AP para WEP:
No meu AP altero o para
senha. Utilizarei uma senha WEP de 128 bit, valor hex e a senha você pode escolher outra:
ap tu o
Fa as na en ip aç o AN
Encriptação WEP
Wireless Lab
Security Mode WEP. Preciso também definir uma
Depois de aplicar as alterações, o AP deverá oferecer encriptação WEP. Vamos configurar o PC do invasor.
Para monitorizar pacotes WLAN criamos o modo monitor com o comando airmon-ng start wlan0 .
A localização dos AP ao alcance poderá ser feita com o programa ou com airodump-ng mon0 .
Neste exercício, a análise dos dados criptografados recolhidos com o airodump-ng terão de ser guardados no ficheiro “ airodump- ng –bssid MAC:AP –channel 11 –write WEPCrackingDemo mon0 para apenas ver os dados da rede com este MAC.
Wicd
O será o nome do ficheiro, exibido em com ls .
Vamos então ligar o cliente à rede, com a chave WEP abcdefabcdefabcdefabcdef12 após ligação, veremos um ecrã semelhante ao seguinte:
Aconselha-se a monitorizar os dados na rede com o
verifiquem poucos pacotes na escuta injectamos mais, com um protocolo usado para
encontrar um endereço ou o comando aireplay-ng
-3 -b MAC:AP -h MAC:Cliente mon0 fará esta replicação. São mais importantes as religações criadas por aireplay-ng -o 5 -a MAC:AP mon0 .
Depressa o aireplay-ng replicará os pacotes ARP na rede:
Neste momento o airodump-ng começará a registar muitos pacotes de dados. Todos gravados no ficheiro iniciado anteriormente:
WEPCrackingDemo root
Wireshark, caso se
Address Resolution Protocol ARP,
Vamos agora iniciar a parte de descodificação! Uma senha pode ser testada com o comando aircrack-ng WEPCrackingDemo-01.cap que utilizará os dados recolhidos para o ficheiro e detecta semelhanças. Em pode verificar o nome do ficheiro com ls .
Como pode ver na imagem seguinte, o aircrack-ng é activado e começa a verificar os pacotes WEP para decifrar a senha:
Quanto maior o número de dados escutados maior a fiabilidade da desencriptação, se não houver dados suficientes a resolução pausa e reinicia quando haja mais valores:
Se tivermos pacotes de dados suficientes, o Aircrack-ng será capaz de descodificar a senha. Quando acontecer, ele mostrará no terminal a seguinte mensagem:
O processo é longo e
Os passos para testar redes Wi-Fi com senha WPA/WPA2 são diferentes ao teste de um AP com Encriptação WEP. Em WPA o ataque será realizado com um dicionário, quanto melhor for o dicionário maiores serão as possibilidades de descobrir a senha.
Vamos configurar o AP para utilizar a senha-frase WPA-PSK
vulnerável a um ataque com dicionário. No meu caso será parecido com o seguinte:
usa muitos recursos, se o PC reiniciar é devido a
sobreaquecimento.
Encriptação WPA/WPA2
De modo a guardarmos os dados no ficheiro, utilizamos o comando airodump-ng –bssid MAC:AP –channel 1 –write WPACrackingDemo mon0 , o ficheiro terá como prefixo
Os pacotes obtidos serão visualizados em nº no
WPACrackingDemo, poderemos ver os dados MAC do AP e canal com o Wicd.
Para maior qualidade dos pacotes, poderemos forçar a religar os clientes ao AP com o comando aireplay-ng –deauth 5 -a MAC:AP mon0 .
A verificação de escuta com dados de autenticação é verificada no terminal airodump-ng com o valor no canto superior direito, ou no
abrindo o ficheiro visualiza-se o protocolo “ autenticação dos clientes.
Podemos parar agora a captura do autenticação que têm
WPAHandshake Wireshark,
“.cap” EAPOL key” utilizado na
Wireshark. Veremos os pacotes de
O vem com dicionário WPA-PSK utilizado no aircrack-ng , encontra-se com o comando ls /pentest/passwords/wordlists/darkc0de.lst com o nome
Começamos a descodificação com o comando aircrack-ng WPACrackingDemo-1.cap -w /pentest/passwords/wordlists/darkc0de.lst .
O aircrack-ng irá testar várias vezes para tentar descobrir a senha WPA-PSK. A opção -w irá adicionar ao dicionário possíveis senhas.
A descodificação depende do dicionário, se a chave estiver presente será exibida no aircrack-ng .
BACKTRACK5 darkc0de.lst.
A descodificação WPA/WPA2 é bastante demorada. O cálculo do tamanho da senha-frase (PMK) ajuda-nos a reduzir o nº de tentativas, usa poucos recursos, revela-se vantajoso se efectuado antes da descodificação. Neste caso utilizaremos a senha-frase
O cálculo é iniciado com genpmk -f
/pentest/passwords/wordlists/darkc0de.lst -d PMK-Wireless-Lab -s “Wireless
Lab”, cria o ficheiro em
utilizador pretenda. O -s serve para designar o AP a escutar, no meu caso é
multiprocessadores, utiliza as mesmas acções que o
com pyrit -r WPACrackingDemo2-01.cap -i PMK-Wireless-Lab attack_cowpatty . Acelerar a descodificação WPA/WPA2
skysign.
PMK-Wireless-Lab root, poderá ter o nome que o
Wireless Lab.
Pyrit, uma outra ferramenta que foi desenvolvida para PC com
Após o cálculo com ou para decifrar a senha WPA, por ser mais rápida que a cowpatty -d PMK- Wireless-Lab -s “Wireless Lab” -r WPACrackingDemo2-01.cap . Demora ≃7.18 segundos para decifrar a senha.
Pyrit Genpmk, vamos utilizar o Cowpatty
Outra opção é utilizar o aircrack com a ferramenta airolib-ng , desenvolvida para a finalidade PMK, com o comando airolib-ng PMK-Aircrack –import cowpatty PMK-Wireless-Lab , que importa o controlo cowpatty.
E agiliza o aircrack-ng quando chamado com aircrack-ng -r PMK-Aircrack WPACrackingDemo2-01.cap .
A captura anterior efectuada pode ser decifrada com a ferramenta Airdecap-ng pode chamá-la com o comando airdecap-ng -w abcdefabcdefabcdefabcdef12 WEPCrackingDemo-01.cap , note a senha obtida anteriormente com aircrack-ng WEPCrackingDemo-01.cap é utilizada.
A descodificação será guardada no ficheiros WEPCrackingDemo-01-dec.cap. Para visualizar os 10 pacotes iniciais decifrados pode utilizar o tshark -r WEPCrackingDemo-01-dec.cap -c 10 .
Decifrar pacotes WEP/WPA
De modo a ligarmos a uma rede Wi-Fi WEP utilizamos a senha obtida anteriormente com aircrack-ng e o nome da rede, iwconfig wlan0 essid “Wireless Lab” key abcdefabcdefabcdefabcdef12 , o êxito da ligação verifica-se com iwconfig wlan0 . A senha WEP pode também ser utilizada no programa
A ligação a redes Wi-Fi WPA é mais complexa. Obriga-nos a criar um ficheiro com o chamado para cada rede WPA, no meu caso
será:
Ligar a redes WEP/WPA
Wicd.
O ficheiro será gravado com a extensão e é utilizado com o comando wpa_supplicant -Dwext -iwlan0 -c wpa-supp.conf uma mensagem com “Connection … completed “ será mostrada:
Para ambas as ligações verificamos se o PC equipado com o BackTrack 5 teve êxito na ligação poderemos utilizar dhclient3 wlan0 que permite ler o DHCP (Dynamic Host Configuration Protocol) Protocolo de configuração de convidado dinâmico utilizado em transmissões com o AP. O comando route -n verifica todos os pontos de passagem desde o BackTrack 5 e o ISP (Internet Service Provider).
Uma outra ferramenta semelhante a aircrack-ng é Cowpatty , tente decifrar uma senha WPA-PSK com um ataque dicionário.
Neste capítulo, aprendemos o seguinte sobre encriptação WLAN:
• WEP é insegura e não interessa que senha seja, com suficiente dados é sempre possível decifrar a WEP.
• WPA/WPA2 é criptograficamente indecifrável actualmente, no entanto, sob especiais circunstâncias, quando é escolhida uma senha fraca em WPA/WPA2-PSK, é possível decifrar a senha em ataque com dicionário.
Exercício
Neste capítulo iremos atacar o coração de infra-estruturas WLAN, Pontos de Acesso (AP)! Iremos focar-nos em como penetrar em redes autorizadas utilizando vários novos vectores de ataque, iludir clientes autorizados a ligarem-se a nós.
As credenciais de acesso ao router são gerais a todos os dispositivos novos, pelo que devem ser alteradas para maior segurança. Estas podem ser
consultadas em http://www.defaultpasswords.in/ ou
/pentest/passwords/wordlists/routerFactoryKey.lst encontrará as senhas pré-definidas que podem ser utilizadas para aceder ao Painel de Controlo do router.
Também pode ser utilizada a ferramenta disponível no que serve de autenticação por força-bruta.
Vamos configurar o router para Autenticação Aberta e sem encriptação. Isto fará o ler os pacotes facilmente.
ap tu o
At ues a in a- tr tu
WLAN
Contas e credenciais pré-definidas
Hydra BackTrack 5
Ataques Denial of Service (DoS)
Para verificarmos as ligações entre o AP e os clientes utilizamos airodump- ng –bssid MAC:AP --channel 11 mon0 , as informações como bssid e outras podem ser encontradas em
Com o a registar os dados, enviamos desautenticação a um cliente específico com aireplay-ng --deauth 1 -a MAC:AP -h MAC:origem -c MAC:cliente mon0 . Para enviar uma desautenticação a todos os clientes omitimos na expressão -c MAC:cliente , note que o MAC:origem pode ser o MAC:AP que servirá para identificar o destino.
Wicd.
Quando enviada a desautenticação ao cliente, ele tentará religar automaticamente ao AP.
A desautenticação tem de ser ponderada para obtermos DoS, é um ataque fácil e muito devastador no mundo real.
A escolha do AP para ligação é feita pela força de sinal, pode ser confirmada quando temos vários transmissores com o mesmo BSSID, sendo feita automaticamente a ligação do cliente.
Visualizamos as redes Wi-Fi ao alcance com airodump-ng mon0 , bem mais poderoso que o
AP Gémeo e MAC falsificado
Escolhemos uma rede que tenha clientes ligados. Pode criar um AP Gémeo (APG) do com a mesma ESSID mas diferentes BSSID e MAC com o comando airbase-ng -a aa:aa:aa:aa:aa:aa --essid “Wireless Lab” -c 11 mon0 , a janela airbase-ng mostrará todas as comunicações com o gémeo.
Poderá filtrar os AP alvo com o comando airodump-ng --channel 11 mon0 , em que --channel 11 é o canal do nosso alvo e do novo AP que terá o MAC=aa:aa:aa:aa:aa:aa.
A janela airodump-ng mostrará os clientes ligados, a janela airbase-ng mostrará o estado dos pacotes recebidos pelo AP:Gémeo.
Para que clientes se liguem ao gémeo enviamos o pedido de desautenticação aireplay-ng –deauth 5 -a MAC:AP mon0.
Vamos proceder a uma cópia íntegra do AP alvo, BSSID e MAC podem ser vistos na janela airodump-ng ou com o
Para criação do gémeo utilizamos airbase-ng -a MAC:AP –essid “Wireless Lab” -c 11 mon0.
Se verificarmos no airodump-ng só encontraremos 1 AP, pelo que não se poderão diferenciar visualmente, note que é a força do sinal que permite ao cliente escolher o nosso AP e está directamente relacionado com a distância do nosso PC ao do cliente.
Um ponto de acesso não autorizado é um dispositivo ligado a uma rede segura, normalmente com autenticação aberta e sem encriptação. Podem ser utilizados aparelhos físicos ou programas em ponte.
Neste exercício criamos o nosso AP não autorizado por programas, sem qualquer adição de aparelhos. Para tal, 1º utiliza airbase-ng com o ESSID
através do comando airbase-ng –essid Rogue -c 11 mon0 .
Agora teremos de criar uma ponte entre a nossa Ethernet que está ligada ao nosso PC. Chamamos-lhe Wi-Fi-Bridge e utilizamos o comando brctl addbr Wi-Fi- bridge .
Ponto de acesso não autorizado
Ligamos a ponte e o AP criado com brctl addif Wi-Fi-Bridge eth0 e em seguida brctl addif Wi-Fi-Bridge at0 . Note que se a sua ligação ao AP for Wireless deverá alterar eth0 → wlan0 .
Para activarmos as interfaces criadas utilizamos ifconfig eth 0.0.0.0 up e depois ifconfig ath 0.0.0.0 up .
A ligação está visível agora os clientes, mas teremos de activar as regras TCP/IP com o comando echo 1 > /proc/sys/net/ipv4/ip_forward .
Fantástico! Está feito. A 1ª ligação do cliente ao AP Gémeo será vista como a seguinte:
Rogue
Podemos ver a utilização da rede no PC:cliente que recebe o endereço IP do DHCP através do AP Rogue não autorizado.
Agora podemos aceder a qualquer cliente na rede autorizada, utilizando o AP virtual Rogue. Um exemplo da comunicação com a rede fidedigna é fazer um ping ao router ping 192.168.1.1 .
Uma outra ferramenta de Bruteforce disponível no BackTrack é a ferramenta para autenticação HTTP.
Tente enviar ataques de dissociação contra o AP para todos os clientes. Veja se consegue criar um AP Gémeo que utiliza WPA/WPA2 e tente que se pareça com um AP legítimo ao alcance.
Neste capítulo, comprometemos a segurança de infra-estruturas Wireless LAN exploradas com as seguintes maneiras:
Exercício
Hydra
• Comprometendo contas pré-definidas e credenciais nos AP • Ataques Denial of Service
• AP Gémeo e MAC falsificado
Na maioria dos casos, os auditores têm em maior atenção as infra-estruturas WLAN e não verificam os clientes. É interessante notar que um invasor pode ganhar acesso à rede se comprometer um cliente Wi-Fi.
Neste capítulo, vamos focar-nos nos clientes ligados ou não-associados.
Quando um PC é iniciado pesquisa por redes a que se ligou antes. Essas redes são guardadas em Lista de Redes Preferidas (PNL) nos SO Windows.
Um invasor pode criar um AP Gémeo que se revela muito útil em centros comerciais, cafés, aeroportos e universidades. Servem para monitorização com o
ou para criar ficheiros de dados com airodump-ng .
Vamos iniciar o airodump-ng mon0 e verificarmos os clientes com pesquisa Wi-Fi (probe) do Wireless Lab no meu caso tem também a rede Vivek como mostrado em seguida:
Com o em acção aplicamos o filtro Probe Requests para análise da ESSID que estamos a utilizar. No meu caso será wlan.fc.type_subtype==0x04 && wlan.sa==60:FB:42:D5:E4:01 . Mostrará apenas os pacotes da SSID Wireless Lab.
o 6
s o
Ataque chamariz
Wireshark
Vamos iniciar o AP Gémeo para a rede Wireless Lab com o comando airbase-ng –essid “Wireless Lab” -c 3 mon0 , em pouco tempo podem ver no airbase-ng os clientes não associados.
Se o AP fidedigno estiver ligado, podemos enviar uma mensagem de desautenticação broadcast com aireplay-ng –deauth 1 -a MAC:AP para quebrar as ligações entre este e os clientes.
Pela teoria da força do sinal, os clientes vão ligar-se ao AP ou AP Gémeo que tenha melhor sinal.
O ataque Caffe Latte permite ao analista recuperar a senha WEP utilizando um cliente isolado.
Vamos configurar o AP legítimo Wireless Lab com a chave ABCDEFABCDEFABCDEFABCDEF12 em HEX:
Ligamos o nosso cliente e verificamos a área com airodump-ng mon0. Vamos desactivar o AP legítimo, note-se que o cliente está dissociado e procura a rede WEP Wireless Lab.
Utilizando o airbase-ng criamos o AP Gémeo, com ESSID Wireless Lab e outros parâmetros. Assim que o cliente se liga ao AP Gémeo, airbase-ng começa o ataque Caffe Latte, que dependerá dos dados obtidos:
Vamos reiniciar o airodump-ng para colectar apenas os pacotes do AP Gémeo, como fizemos anteriormente no caso de descodificação WEP, utilizando os parâmetros digitados no airbase-ng com o comando airodump-ng –bssid MAC:APG – channel 3 –write WEPCrackingAPgemeo mon0 .
Após aparecer na coluna no airodump-ng iniciamos o aircrack-ng para decifrar o processo. O comando será aircrack-ng WEPCrackingAPgemeo.cap . Assim que tenhamos recolhido suficientes dados, o aircrack-ng começará a decifragem.
Conseguimos decifrar a senha com apenas o cliente e o analista. Este é o poder do ataque Caffe Latte.
Podemos acelerar o processo de descodificação com replicação ARP utilizando aireplay-ng -3 -b MAC:AP -h MAC:cliente mon0 , -3 é a opção de replicação ARP. É sempre útil utilizar o para analisar e seguir o tráfego da rede Wi-Fi.
Já enviámos ataques de desautenticação no contexto dos AP. Neste capítulo, vamos explorar o mesmo no contexto do cliente, vamos enviar pacotes de desautenticação apenas ao cliente para quebrar a ligação estabelecida com o AP.
Vamos então ligar o AP fidedigno Wireless Lab de novo, em WEP para provar que mesmo codificado é possível atacar a ligação entre o cliente e AP.
Verificamos se o AP está activo e o cliente ligado com airodump-ng mon0 .
Vamos agora iniciar o aireplay-ng e localizar a ligação entre o cliente e o AP.
Wireshark
Com o ligado, reiniciamos o cliente e verificamos os pacotes da ligação ao AP.
Com encriptação WEP é possível desligar o cliente, o mesmo se passa com encriptação WPA/WPA2. Deste modo conseguimos forçar um cliente específico a religar, enviando as credenciais de autenticação.
Vimos já como o ataque Caffe Latte funciona. O ataque Hirte estende o ataque Caffe Latte utilizando técnicas de fragmentação e permite utilizar qualquer pacote, com apenas um cliente não-associado.
Temos de criar o AP Gémeo encriptado com WEP exactamente como no ataque Caffe Latte, utilizando a ferramenta airbase-ng . A opção adicional -N em vez de -L permite lançar o ataque Hirte.
Iniciamos o airodump-ng numa janela separada para capturar pacotes do AP Gémeo Wireless Lab no ficheiro Hirte-01.cap .
Wireshark
Assim que o cliente ligar ao AP Gémeo, o ataque Hirte é automaticamente iniciado pelo airbase-ng .
Iniciamos o aircrack-ng como no caso do Caffe Latte e como demonstrado a senha será decifrada.
É possível decifrar uma senha WPA apenas com um cliente e sem AP, visto que a chave encriptada é enviada pelo cliente com o MAC:cliente e a PSK.
No entanto é necessário criar o AP Gémeo para captar as informações, com a ESSID Wireless Lab. A opção -z 2 cria um AP Gémeo que utiliza encriptação TKIP. Assim que o cliente liga veremos os detalhes:
Vamos também iniciar o airodump-ng para capturar os pacotes da rede virtual, que reportará o handshake no canto superior direito da janela.
Iniciamos o aircrack-ng que utilizará o ficheiro criado pelo airodump-ng com o mesmo dicionário anteriormente utilizado.
Neste capítulo, aprendemos que também os clientes Wi-Fi são susceptíveis de ataques. Incluindo os ataques Chamariz, o Caffe Latte, a Desautenticação e Dissociação cria um DoS, o ataque Hirte como alternativa WEP com apenas o cliente.
Os ataques Man-In-The-Middle (MITM) são provavelmente dos mais potentes ataques num sistema WLAN. O analista pode reencaminhar o tráfego pela Internet utilizando uma ponte entre os dispositivos eth ↔ wlan, lendo todos os pacotes.
Ligados à rede ethernet LAN e criamos um AP Gémeo (APG) na placa wlan. Este AP fornece semelhante ESSID que um router ao alcance, podendo um utilizador ligar-se à nossa rede, com a teoria da força de sinal discutida anteriormente.
Para elaborarmos um ataque MITM, vamos criar o APG chamado mitm no computador do analista utilizando airbase-ng . Nós escrevemos o comando airbase- ng –essid mitm -c 11 mon0 .
Note que o airbase-ng irá criar a interface at0 , vista com ifconfig at0 . Para criarmos a ponte entre estas duas interfaces eth0 ↔ at0, teremos de estar ligados à rede LAN e escrevemos a seguinte sequência de comandos:
brctl addbr mitm-bridge
brctl addif mitm-bridge eth0 brctl addif mitm-bridge at0 ifconfig eth0 0.0.0.0 up ifconfig at0 0.0.0.0 up
o 7
Podemos definir um IP à ponte com o comando ifconfig mitm-bride 192,168,0,199 up e verificamos o estado da ligação com ping IP:Gateway, em que IP:Gateway é visto na janela com arp -a .
Para que a transmissão de dados seja feita é preciso activar o reencaminhamento das ligações IP entre os dispositivos escrevendo echo > 1 /proc/sys/net/ipv4/ip_forward
Vamos então ligar o cliente ao AP mitm e verificamos a ligação com ping 192,168,0,1 ou ipconfig na consola do cliente.
A janela airbase-ng mostra também se o cliente está ligado à rede mitm .
O reencaminhamento da eth0 para at0 pode ser visto com o se escutarmos o dispositivo at0 . Mesmo os pacotes não destinados a nós podem ser visualizados. Este é o poder do ataque
Tente criar uma ponte utilizando duas placas Wi-Fi, evitando a ligação eth0. Recorde a teoria da força do sinal.
No analista, vamos replicar todas as configurações do laboratório anterior.
Ligamos depois o mitm-bridge é mostrado,
iniciamos a escuta de at0 de modo a ler todo o tráfego do cliente.
Wireshark Man-in-the-Middle!
Violação de confidencialidade Wireless com MITM
No cliente abrimos qualquer página Internet para criar dados. No meu caso, o AP está ligado via LAN e eu acedo-lhe utilizando http://192.168.0.1/ . Entro com a minha senha e acedo à consola de gestão.
No podemos ver bastante actividade. Aplicamos o filtro HTTP para restringirmos o tráfego Internet. Podemos facilmente localizar os pedidos de início de sessão, que foram utilizados para enviar nomes de utilizador e senhas.
#
Expandindo o cabeçalho HTTP , podemos ver que a senha escrita foi codificada com /md5.js que criou a hash.
Diferentes configurações do router permitem diferentes codificações. Esta é uma violação de confidencialidade do tráfego Wi-Fi, enviado pelo cliente durante um ataque Man-in-the-Middle.
Durante um ataque MITM, o reencaminhamento da informação é feito pelo analista. Pode ler e modificar os dados se descodificados.
Neste exemplo vamos sequestrar a sessão do navegador para Google.
Vamos criar uma rede MITM igual à anterior e iniciamos o no cliente abrimos o navegador em Google. Aplicamos no o filtro DNS para vermos os pedidos a Google.
Sequestro de sessão via Wireless
Wireshark,
Para sequestrar a sessão temos de enviar falsas respostas DNS, do cliente para o analista, com a ferramenta DnsSpoof escrevendo dnsspoof -1 mitm-bridge
Actualizando o navegador do cliente podemos ver no e no a replicação do ataque.
Com o serviço de escuta na porta 80 desligado, o cliente lerá o erro Connection refused . Vamos iniciar o com o comando apachet2ctl start .
Se actualizarmos de novo o navegador do cliente, veremos que o erro desapareceu. Está agora activa a replicação de respostas ao cliente.
Com a ferramenta disponível no
os dados. Por exemplo, uma pesquisa por Segurança → Insegurança .
Wireshark DnsSpoof
Apache
A criação do AP Gémeo com diferentes seguranças permite-nos saber as configurações do cliente na PNL, que será idêntica à do AP fidedigno com os probe requests por Wireless Lab .
Autenticação Aberta, WEP, WPA ou WPA-2, são 4 tipos de configuração.
Neste caso teríamos de criar 4 dispositivos virtuais, de mon0 a mon3 utilizando airmon-ng múltiplas vezes, com preferência no mesmo canal. Pode ver os dispositivos criados com ifconfig -a.
Vamos então criar o APG com Autenticação Aberta em mon0
O APG WEP será activado em mon1
Criemos o APG WPA-PSK em mon2
E o APG WPA2-PSK em mon3
Podemos verificar os 4 AP Gémeos com airodump-ng -c 3 na consola.
Vamos ligar o cliente Wi-Fi. Dependendo da configuração do Wireless Lab presente na PNL este liga-se ao APG correspondente, no meu caso será WPA-PSK.
Neste capítulo aprendemos vários ataques avançados. Criámos um MITM que viola a confidencialidade Wi-Fi. A mesma configuração foi utilizada para sequestrar a sessão do navegador com duplicação de DNS.
WPA-Enterprise sempre foi definida pelos administradores de redes como inviolável. Neste capítulo veremos que está longe de ser verdade.
Vamos explorar as vulnerabilidades das redes Wi-Fi WPE com diferentes ferramentas disponíveis no
Precisamos de um servidor Radius para desenvolver ataques WAP-Enterprise. A opção mais barata é o software gratuito FreeRadius-WPE (Wireless Pwnage Edition), já instalada no BackTrack, não precisando de modificações.
Para configurar o servidor Radius no BackTrack, vamos ligar a LAN via ethernet no PC auditor e após ligados à rede verificamos o IP via DHCP.
Acedemos à configuração do AP e mudamos o para
introduzimos o como
eth1 visualizado anteriormente. O deverá ser test como senha.
o
e a
e
RADIUS
BackTrack.
Configurar o servidor RADIUS
Modo de Segurança WPA-Enterprise. Na opção EAP(802.11x) IP do servidor Radius
192.168.0.198, este é o IP da Servidor Radius
Vamos abrir o terminal e aceder à directoria /usr/local/etc/raddb onde estão os ficheiros de configuração do
Em a predefinição de default_eap_type é peap . Abrimos
e verificamos que os acessos permitidos para clientes são 192.168.0.0/16 com a senha test , exactamente o que definimos no AP fidedigno.
FreeRadius-WPE.
Vamos agora iniciar o servidor Radius com radiusd -s -X algumas mensagens de depuração serão exibidas antes do servidor ficar à escuta. A configuração está completa!
é a versão mais popular da EAP. Nativo nos SO Windows, tem duas versões, PEAPv0 com EAP-MSCHAPv2 e PEAPv1 com EAP-GTC. Ambos utilizam certificados de autenticação.
Vamos verificar o ficheiro para ver se PEAP está activada. Atacar PEAP
Protected Extensible Authentication Protocol (PEAP)
Reiniciamos o servidor Radius com Radius -s -X e monitorizamos os registos criados pelo servidor FreeRadius-WEP no ficheiro com tail /usr/local/var/log/radius/freeradius-server-wpe.log -n 0 -f :
O Windows
tem suporte
Agora temos de ligar o cliente ao AP Wireless Lab para iniciar o processo de autenticação. Quando o cliente tenta ligar ao AP utilizaremos o nome
e a senha
Vamos utilizar a ferramenta para decifrar a senha registada num ataque de dicionário.
Em
certificado durante a autenticação. O mais vulgar é
suporte nativo para EAP-TTLS, utilizaremos o SO-X nesta demonstração. O EAP-TTLS está activo por predefinição em
Radius e monitorizamos o registo.
SecurityTube abcdefghi. O registo grava o acesso do cliente.
Asleap
Atacar EAP-TTLS
EAP-Tunneled Transport Layer Security EAP-TTLS), o servidor utiliza um
MSCHAP-v2. O Windows não tem
Ligamos o cliente e introduzimos as credenciais, nome e senha
Vamos utilizar novamente a ferramenta para decifrar a senha utilizada. É importante que a senha da rede esteja na lista utilizada, é um ataque por dicionário.
SecurityTube demo12345. Imediatamente a resposta MSCHAP-v2 aparece no registo.
Baseados na nossa experiência em ataques a WPA/WPA2-PSK/EAP, recomendamos o seguinte:
• Para redes com tamanho médio, utilize WPA-PSK com forte senha. Tem mais de 63 caracteres à disposição. Use-os!
• Para redes maiores, utilize WPA2-Enterprise com EAP-TTLS. Com utilização de certificados no cliente e servidor durante a autenticação. Hoje em dia são inquebráveis!
• Se usar PEAP ou EAP-TTLS em WPA2-Enterprise, assegure-se que a validação de certificados está activa, as autoridades de certificação estão definidas, os servidores Radius estão autorizados e os clientes não podem alterar as opções mencionadas.
Neste capítulo vimos como comprometer a segurança de WPA-Enterprise com PEAP ou EAP-TTLS, os métodos mais comuns utilizados em empresas.
Boas práticas de segurança em Empresas
Neste capítulo, aprenderemos como realizar um teste de penetração WLAN utilizando todos os conceitos que já aprendemos. Exploraremos a rede de clientes decomposta em várias etapas.
Para maior facilidade, as técnicas devem ser distribuídas em várias fases. Entre as quais:
• Planeamento • Descoberta • Ataque • Relatório
Vamos abordá-las em separado mais atentamente.
Nesta fase iremos calcular: 1.
transmissão, número aproximado de AP e clientes. 2.
de homens e precisão do teste. 3.
analista não seja responsável se o teste criar erros. Alguns dados recolhidos terão de ser mantidos confidenciais. Normas dos canais e potência de transmissão terão de ser respeitados.
Esta é a etapa teórica, vamos ao teste!
o
a e
e
penetração WLAN
Teste de Penetração Wireless
Planeamento
Objectos da apreciação, em que é útil saber a localização, área de
Estimativ do esforç , contabilizando o número de dias disponíveis, número
Nesta fase, vamos procurar na zona AP e clientes. Criamos o dispositivo monitor Wi-Fi:
Com o airodump-ng procuramos na zona, nas normas b/g :
A deslocação do analista no terreno é importante para encontrar o máximo de clientes e AP. Saber a lista de endereços MAC que acedem à rede é importante, o gestor poderá ajudar o analista.
Assim temos uma ideia clara da zona.
Após é mais fácil dividir o problema em pontos menores. Exploremos o seguinte:
• Encontrar AP não autorizado
• Encontrar clientes não-associados • Encontrar clientes não-autorizados • Decifrar a encriptação
• Aceder à infra-estrutura • Comprometer os clientes
O administrador disponibilizando a lista dos MAC:AP e MAC:clientes autorizados:
AP autorizados: Ataque
delimitarmos a zona (DMZ)
• 00:21:91:D2:8E:25
• WPA-PSK
Clientes autorizados:
• 60:FB:42:D5:E4:01
Utilizaremos esta lista para descobrir AP não-autorizados no sistema.
Quando a rede utiliza switches, o MAC:switch do MAC:AP difere em 1. Na lista seguinte, os MAC 00:21:91:D2:8E:26 e 00:24:B2:24:7E:BF são de switches com ligação eth ↔ Wi-Fi, o dispositivo com ESSID New NETGEAR é um AP não-autorizado. Com pacotes trabalhados no ou sistemas de prevenção de intrusão (IPS) wireless podemos descobri-los.
Clientes não-autorizados, podem ser empregados ou alguém que acedeu à rede. Para os descobrirmos, vejamos o registo do airodump-ng . Podemos ler o MAC:cliente associado à rede fidedigna, mesmo sem ser parte da rede empresarial.
A listagem do gestor claramente nos permite localizar os clientes não-autorizados.
MAC:
Configuração:
MAC:
Wireshark
Vamos tentar decifrar a senha WPA-PSK do AP, tentamos um simples ataque com dicionário para verificar a força da senha.
Iniciamos o airodump-ng focado no AP Wireless Lab com o filtro BSSID.
O airodump-ng regista os pacotes e espera pelo WPA-handshake .
Com clientes ligados à rede podemos utilizar um ataque de desautenticação e acelerar o processo.
Agora, capturámos o WPA-handshake : Decifrar a encriptação
Iniciamos o aircrack-ng para começar o ataque com dicionário ao handshake :
Neste caso a senha era fácil, conseguiu ser decifrada com uso do dicionário:
Vamos analisar o airodump-ng : Comprometer os clientes
Vemos que o cliente tem duas redes na lista PNL,
Vemos que o cliente tem duas redes na lista PNL, Wireless Lab Wireless Lab ee Vivek Vivek .. Vamos criar o APG
Vamos criar o APG Vivek Vivek com ocom o airbase-ng airbase-ng ::
Desligamos o cliente à força do AP
Desligamos o cliente à força do AP Wireless Lab Wireless Lab com contínuos pacotes decom contínuos pacotes de desautenticação:
desautenticação:
O cliente irá procurar por redes disponíveis e ligar-se à
O cliente irá procurar por redes disponíveis e ligar-se à Vivek Vivek , controlada, controlada por nós:
por nós:
Depois de detectadas todas as vulnerabilidades, é preciso criar o relatório Depois de detectadas todas as vulnerabilidades, é preciso criar o relatório para a Empresa. Deverá conter os seguintes detalhes:
para a Empresa. Deverá conter os seguintes detalhes: Relatório
•• Descrição da vulnerabilidadeDescrição da vulnerabilidade •• SeveridadeSeveridade
•• Dispositivos afectadosDispositivos afectados
•• Tipo Tipo de de vulnvulneraberabilidilidadeade –– softsoftwareware, ha, hardwardware, re, confconfiguriguraçãoação •• Soluções alternativasSoluções alternativas
•• CorrecçãoCorrecção
A estrutura precedente terá suficiente informação para o administrador de A estrutura precedente terá suficiente informação para o administrador de segurança encontrar e corrigir a vulnerabilidade. Neste momento o analista segurança encontrar e corrigir a vulnerabilidade. Neste momento o analista apenas poderá aconselhar o administrador a perceber a vulnerabilidade, propondo apenas poderá aconselhar o administrador a perceber a vulnerabilidade, propondo soluções.
soluções.
Nest
Neste cae capítupítulo,lo, apreaprendemndemos a os a realrealizar izar um teum teste dste de pene penetraetração Wção Wi-Fii-Fi utilizando o BackTrack.
utilizando o BackTrack.
Dependendo do tamanho da rede, a complexidade poderá tornar a tarefa Dependendo do tamanho da rede, a complexidade poderá tornar a tarefa demorada. Nós analisámos pequenas redes para ilustrar as várias fases e técnicas demorada. Nós analisámos pequenas redes para ilustrar as várias fases e técnicas que sã
que são utilio utilizadazadas num tess num teste dete de penepenetraçtração.ão. Sumário
Chegámos ao fim do livro, que é apenas um começo na carreira de segurança Chegámos ao fim do livro, que é apenas um começo na carreira de segurança Wi-Fi. Neste capítulo, exploraremos os próximos passos na aprendizagem de Wi-Fi. Neste capítulo, exploraremos os próximos passos na aprendizagem de anal
analistaista, um l, um lab coab complemplexo e váxo e vários rios outroutros reos recurscursos pos paraara nos mnos manteantermosrmos actualizados nesta área.
actualizados nesta área.
Foi
Foi uma uma jornada ejornada excitante nos xcitante nos 10 10 capítulos anteriores! capítulos anteriores! Começámos com Começámos com oo desenvolvi
desenvolvimento de um mento de um lab básico para Wi-Fi lab básico para Wi-Fi e terminámos realizando ataques PEAPe terminámos realizando ataques PEAP e WPA-Enterprise. É definitivamente um longo caminho, que poderá até nunca e WPA-Enterprise. É definitivamente um longo caminho, que poderá até nunca acabar na área de Analista IT.
acabar na área de Analista IT.
O lab que criámos para os testes neste livro tem as fundações necessárias O lab que criámos para os testes neste livro tem as fundações necessárias para se começar no mundo da segurança Wi-Fi. No entanto, pode querer um lab mais para se começar no mundo da segurança Wi-Fi. No entanto, pode querer um lab mais comp
complexo plexo para exara expandpandir as sir as suas cuas compeompetênctências. ias. Aqui eAqui estãostão algualguns objns objectoectoss adic
adicionaionais quis que poe podemdem consconsideriderar.ar.
Antenas direccionais podem ser utilizadas para amplificar o sinal e Antenas direccionais podem ser utilizadas para amplificar o sinal e detectar
detectar mais remais redes Wi-Fides Wi-Fi. Aument. Aumentando a ando a facilidade facilidade do analdo analista semista sem ter de ter de sese mover no terreno. Há vários tipos de antenas, convém investigar antes de mover no terreno. Há vários tipos de antenas, convém investigar antes de realizar uma compra.
realizar uma compra.
Anexo
Anexo
Encerrando Encerrando
Construir um laboratório Wi-Fi complexo Construir um laboratório Wi-Fi complexo
Antenas Direccionais Antenas Direccionais
Pode ser interessante experimentar o AP com normas 802.11 a/b/g/n, as Pode ser interessante experimentar o AP com normas 802.11 a/b/g/n, as técnicas serão as mesmas.
técnicas serão as mesmas.
Durante este livro, utilizámos o dispositivo Wi-Fi embutido no PC. Há Durante este livro, utilizámos o dispositivo Wi-Fi embutido no PC. Há dispositivos USB que também podem ser úteis, principalmente se a placa interna dispositivos USB que também podem ser úteis, principalmente se a placa interna falhar.
falhar.
Hoj
Hoje em die em dia há mua há muitoitos diss dispospositiitivos cvos com Wiom Wi-Fi-Fi –– SmaSmartprtphonhones,es, TabTabletlet, etc, etc. O. O uso deles no lab poderá ser proveitoso para ver o modo de funcionamento.
uso deles no lab poderá ser proveitoso para ver o modo de funcionamento. AP Wi-Fi
AP Wi-Fi
Cartões Wi-Fi Cartões Wi-Fi
Smartphones e outros dispositivos com Wi-Fi Smartphones e outros dispositivos com Wi-Fi
A segurança é muito rápida, alguns problemas são resolvidos em períodos curtos, meses ou semanas, tornando o conhecimento obsoleto.
É importante mantermo-nos actualizados, por exemplo::
http://www.securityfocus.com/ tem muitos debates, nos quais recomendo a subscrição de Wifisec@securityfocus.com
O site Aircrack-NG é o melhor recurso de actualizações em análise WLAN (http://www.aircrack-ng.org/ ).
Talvez goste também de http://www.raulsiles.com/ , com várias ferramentas e documentos de investigação Wi-Fi, este site pessoal é muito completo.
Outro blog, regularmente actualizado em ataques WPA-Enterprise é http://www.willhackforsushi.com/
Empresas de análise e segurança como Defcon ou Blackhat oferecem palestras anuais com vários tópicos de segurança TI. A maioria dos vídeos e documentos estão online::
• http://www.defco n.org/ • http://www.blackha t.com/
A plataforma BackTrack está em constante evolução. É importante que a sua Manter-se actualizado Listas de correio Websites Conferências Defcon: Blackhat:
