Auditoria de redes inalmbricas

Administracin de Sistemas Informticos en Red

Juan Manuel Garca Mar

IES Conselleria (2011-2012)

Tabla de contenido
1. INTRODUCCIN ............................................................................................... 2 1.1 Qu es el WarDriving? ............................................................................... 2 1.2 Hardware ...................................................................................................... 2 1.2.1 Controladores y tarjetas ...................................................................... 2 1.2.2 Colocacin de la antena inambrica ................................................... 4 1.2.3 Receptores GPS ................................................................................. 4 1.3 Software ....................................................................................................... 7 1.3.1 Escaneado .......................................................................................... 7 1.3.2 Software de deteccin ........................................................................ 8 2. PUESTA EN MARCHA ...................................................................................... 9 2.1 Dispositivos .................................................................................................. 9 2.1.1 Porttil ................................................................................................ 9 2.1.2 Smartphones ...................................................................................... 9 2.2 Interconexin .............................................................................................. 10 2.3 Configuracin de GPSD ............................................................................. 13 2.4 Configuracin de Kismet ............................................................................. 14 2.5 Explicacin de la interfaz de usuario ........................................................... 19 2.5.1 Ventana principal .............................................................................. 20 2.5.2 Ventana de Estado ........................................................................... 21 2.5.3 Ventana de Informacin .................................................................... 21 3. ANLISIS DE DATOS Y CONCLUSIONES ..................................................... 23 3.1 Reunin de datos ....................................................................................... 23 3.2 Consultas ................................................................................................... 25 3.3 Estudio ................................................................................................ 30 3.4 Conclusin .................................................................................................. 32 BIBLIOGRAFA .................................................................................................... 33

Auditoria de redes inalmbricas 1. INTRODUCCIN

1.1 Qu es el WarDriving?

Juan Manuel Garca Mar

El objetivo del presente proyecto es la adquisicin, tratamiento, y estudio de las redes inalmbricas de la Urbanizacin Torre de Porta Coeli (Serra). Para ello realizaremos el escaneo utilizando el mtodo WarXing, que consiste en moverse por zonas urbanizadas con un equipo que captura redes inalmbricas. Existen varios tipos de WarXing que dependen de la manera de desplazarse. Cuando lo hacemos andando se llama WarWalking, cuando lo hacemos en barco es WarBoating y cuando es en avin WarFlying. El mtodo ms popular (y el que vamos a utilizar) es, sin embargo, WarDriving, el cual usa el coche como medio de transporte. Cuando, adems vamos a marcar la situacin donde se encuentran las redes, se llama WarChalking, slo que en vez de marcar un smbolo en el edificio anotaremos sus coordenadas GPS. El objetivo es realizar un estudio para averiguar la seguridad implantada a las redes inalmbricas de la zona. Las redes inalmbricas WLANs ofrecen un amplio abanico de ventajas frente a las redes cableadas, facilidad de instalacin, amplia cobertura, movilidad, etc... Sin embargo, estas caractersticas conllevan una desventaja importante en forma de problemas de seguridad.

1.2 Hardware
1.2.1 Controladores y tarjetas

La mayora de tarjetas inalmbricas que comparten un circuito integrado utilizan el mismo controlador. Atheros (AR5XXX, AR9XXX). Broadcom (familia B43XX). Intel Pro Wireless e Intel Wifi Link (Centrino) Ralink (RT2X00) Realtek (RTL8187) Estos son los controladores de Linux ms conocidos e importantes. La caracterstica ms importante del controlador que necesitamos es el soporte del modo monitor para realizar WarDriving, si quisiramos crackear una 2

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

red necesitaramos otra caracterstica, la inyeccin de paquetes. Finalmente nos hemos decantado por utilizar el chip Realtek RTL8187 integrado en la tarjeta USB ALFA AWUS036H.

Fabricante Modelo Modos Chip Compatibilidad bsica (monitor + inyeccin) de

Alfa AWUS306H 802.11b/g Realtek 8187 plataforma Linux(RTL8187), OSX (KisMAC)

Sensibilidad de recepcin: 1, 24, 54 -96, -80, -76 dBm Mbps, 802.11b/g Sensibilidad de transmisin: 1, 24, 54 30, 24, 24dBm Mbps, 802.11b/g Interfaz (host) Interfaz de antena Precio aprox. Mini USB 2.0 1 x SMA 40

Auditoria de redes inalmbricas

1.2.2 Colocacin de la antena inalmbrica

Juan Manuel Garca Mar

1.2.3 Receptores GPS

No es muy usual ver hoy en da a gente utilizando un receptor GPS, actualmente un chip GPS viene implementado en Smartphones, tablets, porttiles, etc... Pero hace no muchos aos, cuando los GPS estaban en su auge, se sac a la venta un tipo de receptor GPS, este no tenia pantalla, como mucho unos LEDs para comprobar su funcionamiento. Los podamos conectar con USB o por Bluetooth, inicialmente bamos a utilizar un modulo que tendra unos 4 aos.

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Este en especial tiene una conexin por Bluetooth y la batera se carga por el conector Mini USB. Uno de los problemas que surgieron al utilizar este mdulo fue que la conexin, al ser por Bluetooth, funciona dentro del espectro de los 2.4 GHz, esto poda interferir en la bsqueda de redes. Procedimos a conectar el GPS al porttil, utilizamos hcitool scan para localizar los dispositivos bluetooth cercanos y nos apuntamos la MAC.

Despus, con sdptool records [MAC] obtenamos ms informacin del dispositivo, lo ms importante aqu era el canal que utilizaba, y como podemos ver es el 1.

La asignacin del dispositivo a un puerto serie la hicimos manualmente, modificando el archivo rfcomm.conf.

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Como le asignamos el puerto serie rfcomm2, el comando para conectar con el GPS fue: root@bt~# rfcomm connect 2

Estando ya conectados, lo siguiente era comprobar los datos que recibamos del GPS haciendo cat a /dev/rfcomm2

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Los datos recibidos no eran legibles, llegamos a la conclusin de que el GPS no utilizaba el formato NMEA. El NMEA (National Marine Electronics Association) es un protocolo estndar utilizado para la transmisin de datos GPS. Finalmente se opt por utilizar el GPS de un Smartphone, un mdulo mas reciente y con mucha ms conectividad.

1.3 Software
1.3.1 Escaneado

Existen dos mtodos de bsqueda de redes, escaneado activo y escaneado pasivo. El escaneado activo enva paquetes de solicitud de rastreo, estos son usados por los clientes siempre que estn buscando una red. Mientras que el pasivo escanea las ondas de cualquier paquete en un determinado canal y analiza dichos paquetes para determinar qu clientes se comunican con qu puntos de acceso. Nosotros utilizaremos el modo monitor, equivalente al modo promiscuo en redes cableadas. Este pertenece al escaneado pasivo y su funcin es el anlisis de todos los paquetes que circulan por el aire ya que estos tienen la informacin del emisor, el receptor, el canal, tamao, etc...

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

1.3.2 Software de deteccin

Para la deteccin de paquetes utilizaremos Kismet. Kismet es un programa para GNU/Linux que permite detectar WLANs mediante la utilizacin tarjetas wireless en los estndares 802.11a, 802.11b, 802.11g y 802.11n. Este programa tiene varios usos, y entre ellos lo ms destacado es que podemos: Verificar que nuestra red est bien configurada y que nuestra tarjeta puede trabajar en modo monitor. Detectar todos los puntos de acceso de nuestro alrededor Listar los clientes asociados a esos AP.

La estructura de Kismet es la siguiente:

Vemos que hay dos partes claramente diferenciadas, estas sn: servidor_kismet: este es el corazn de Kismet, acta como demonio y se encarga de todas las tareas de sniffing. cliente_kismet: este permite seleccionar la direccin y el puerto donde estar el servidor_kismet (En nuestro caso localhost).

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Haremos uso tambin de GPSD para manejar las coordenadas GPS, esta aplicacin es un demonio que recibe datos de un receptor GPS y proporciona esa informacin a mltiples aplicaciones a la vez, ya sea Kismet, o cualquier navegador GPS. Utiliza una union con el puerto de transporte 2947. Como hemos dicho antes, utilizaremos un Smartphone como GPS necesitaremos una aplicacin que permita transportar los datos del GPS al porttil. Esta va a ser "BlueNMEA", una aplicacin creada por Max Kellermann que enva datos de localizacin por Bluetooth o por el puerto 4352 TCP en formato NMEA. Se encuentra disponible en la Play Store y es gratuito (https://play.google.com/store/apps/details?id=name.kellermann.max.bluenmea&hl =es)

2. PUESTA EN MARCHA
Para la realizacin de la prueba utilizaremos los siguientes dispositivos:

2.1 Dispositivos
2.1.1 Porttil

Modelo Fabricante Procesador Memoria RAM Capacidad de disco duro Conexin WLAN Conexion Ethernet Bluetooth

N150 Samsung Intel Atom N450 (1660 Mhz) 1 GB 250 GB Si Si, un puerto Bluetooth 3.0 de Alta Velocidad

Como sistema operativo utilizaremos la distribucin BackTrack 5 R2, ya que lleva instalados todos los programas que utilizaremos. 2.1.2 Smartphones

Modelo Fabricante Procesador Memoria RAM Memoria Interna

Conexin WLAN GPS Bluetooth Conectividad datos

Galaxy S II Samsung Exynos Cortex A9 dual-core 1.2 GHz 1 GB 16 GB Si Si Si Si

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Modelo Fabricante Procesador Memoria RAM Memoria Interna

Conexin WLAN GPS Bluetooth Conectividad datos

Wildfire HTC Qualcomm MSM 7225 528 MHz 384 MB 512 MB Si Si Si Si

En la versin 2.2 del sistema operativo de Google Android, se implement una utilidad a la que vamos a sacar provecho en este proyecto, esta es la posibilidad de convertir el Smartphone en un punto de acceso inalmbrico, el mvil actuar como si de un router inalmbrico se tratase, pudiendo cambiar el nombre de la ESSID y la posibilidad de implementar una seguridad (Abierta, WPA PSK, WPA2 PSK). La razn por la que hemos sealado las caractersticas de la HTC Wildfire, es que este Smartphone va a actuar de punto de acceso inalmbrico.

2.2 Interconexin
La conexin por bluetooth entre el Galaxy S II y el porttil, no siempre era satisfactoria, bien podra ser por los drivers de bluetooth del porttil o la falta de informacin para la conexin rfcomm (puerto serie) con un Smartphone, por ello optamos realizar una red inalmbrica para interconectar todos los dispositivos.

Para comenzar necesitamos crear el punto de acceso en la HTC Wildfire para poder enviar y recibir informacin entre el receptor GPS y el porttil.

10

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Se configura de la siguiente forma: Creamos un punto de acceso llamado "AndroidAP" (el nombre que le pone por defecto, y ya que no es muy importante lo dejamos as), la seguridad la vamos a dejar abierta para facilitar el acceso a la red en el caso de que haya que reiniciarla. Seguidamente, procedemos a conectar el receptor GPS (Samsung Galaxy S II) al punto de acceso, para ello hacemos un escaneo de las redes y seleccionamos la que emite el punto de acceso (AndroidAP) y puesto que no tiene seguridad la conexin se realiza rpidamente.

La conexin desde el porttil fue un poco ms complicada, puesto que al tener 2 tarjetas inalmbricas conectadas en el mismo equipo, Linux como muchos otros pueden conectarse a una red con varios dispositivos al mismo tiempo, en el momento que detecta una red que ya ha sido guardada se conecta automticamente con los dos dispositivos, este es el momento en el que se tiene que desconectar de la red a la interfaz que se iba a utilizar para capturar las redes y realizar el wardriving. Necesitamos tambin saber cul es la IP que el servidor DHCP de la HTC Wildfire concede al Galaxy S II para averiguar de donde se van a recibir los datos de coordenadas GPS, para ello y con el Galaxy S II conectado al punto de acceso averiguamos que direccin tena el dispositivo que iba a actuar de GPS, abriendo la informacin de la red inalmbrica, en nuestro caso la IP concedida es 192.168.43.78. Teniendo la IP del dispositivo procederemos a activar el mdulo GPS del smartphone y ejecutamos la aplicacin "BlueNMEA", como podemos apreciar la interfaz es muy simple, podemos elegir de donde queremos coger los datos de localizacin (GPS o red), nos muestra informacin de la conectividad incluyendo que ya est escuchando en el puerto 4352 TCP.

11

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Ya desde el porttil ejecutamos la orden telnet a la IP y puerto correspondiente para comprobar que todo funciona correctamente.

Como se ve en la captura, la orden a ejecutar es: root@bt:~# telnet [IP del dispositivo] [puerto a escuchar] root@bt:~# telnet 192.168.43.78 4352

12

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Con la conexin activa y el GPS recibiendo satlites ejecutamos una orden para coger los datos que se reciban del puerto TCP 4352 y volcarlos a un archivo temporal.

Con este comando toda la informacin que se reciba del puerto 4352 TCP de la direccin 192.168.43.78 se enviara a un archivo temporal (/tmp/gps).

2.3 Configuracin de GPSD

Para que el escner funcione correctamente, haremos uso de un programa llamado GPSD, este programa se conecta al dispositivo GPS y ofrece los datos a cualquier programa mediante una conexin TCP por el puerto 2947. No es necesario conectarlo al dispositivo GPS en si porque las lecturas GPS estn disponibles en el archivo /tmp/gps, asi que ejecutaremos el comando: root@bt:~# gpsd -n -N /tmp/gps

13

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

En esta orden vemos el parmetro -n que provoca la emisin de datos sin que ningn cliente est conectado para facilitar el acceso mas rpido a los satlites. y el parmetro -N, este est puesto para que no ejecute el programa en demonio, sino que se deja la terminal abierta por si en algn caso fallara nos entersemos enseguida.

2.4 Configuracin de Kismet

Para la captacin de redes utilizaremos Kismet, este se puede configurar en modo automtico en tiempo de ejecucin, puesto que no hemos encontrado mucha documentacin para modificar el fichero de configuracin de la ltima versin (/usr/local/etc/kismet.conf) dejaremos que el mismo programa nos vaya preguntando que interfaz queremos utilizar y las correspondientes opciones. En la terminal escribiremos kismet y le damos a Intro. Nos aparecer la siguiente ventana:

14

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Aqu nos est diciendo que estamos ejecutando Kismet desde el usuario root, no nos importa porque estamos utilizando backtrack, que por defecto el usuario es root, pulsaremos OK. Luego nos pide que si queremos ejecutar el servidor de kismet automticamente, pulsaremos Yes.

15

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Despues de arrancar el servidor la pantalla a mostrar ser la siguiente:

Pulsamos start y nos aparecer la consola del servidor de kismet.

16

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Analicemos algunas de las lneas mas importantes que estn visibles: INFO: Using GPSD server on localhost:2947 Antes hemos recalcado que el demonio GPSD utiliza el puerto de transporte 2947 para emitir los datos de las coordenadas, ahora es el mejor momento para ver como kismet tiene buena comunicacin con GPSD, ya que el automticamente detecta si GPSD est emitiendo datos. INFO: Opened pcapdump log file 'Kismet-20120519-11-29-50-1.pcapdump' INFO: Opened netxml log file 'Kismet-20120519-11-29-50-1.netxml' INFO: Opened nettxt log file 'Kismet-20120519-11-29-50-1.nettxt' INFO: Opened gpsxml log file 'Kismet-20120519-11-29-50-1.gpsxml' INFO: Opened alert log file 'Kismet-20120519-11-29-50-1.alert' .alert: Archivo de texto de registro para las alertas. Kismet enviar avisos sobre eventos particularmente interesantes, como la observacin de exploits del controlador desde Metasploit. .pgsxml: Registro GPS por paquete XML. .nettxt: Redes en formato de texto. Bueno para el estudio y la consideracin por parte de una persona. .netxml: Redes en formato XML. Bueno para el estudio y la consideracin por parte de una equipo. .pcapdump: Captura de archivos pcap del trfico oblservado. INFO: No packets source defined. YOU MUST ADD SOME using the kismet client, or by placing them in the kismet config file (usr/local/etc/kismet.conf) La consola del servidor Kismet nos dice tambin que no hay ninguna fuente de paquetes, esto es el adaptador que utilizaremos para capturar esos paquetes, nos pide que modifiquemos el archivo kismet.conf para definir el source pero como sabemos que nos lo pedir cerramos la consola colocando el cursor llamado [Close Console Window] y le damos a enter.

17

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Nos saldr la pantalla principal del Kismet pero con una ventana donde nos dice si queremos definir una fuente de captura, le decimos que s.

Debemos de tener claro cul es el nombre de la interfaz que va a capturar los paquetes, podemos diferenciarlo en ifconfig. En nuestro case es la interfaz wlan3 con el chip RTL8187, asi que pondremos los siguientes parmetros: Intf:[ interfaz de captura] wlan3 Name:[nombre que le queremos dar] alfa Opts: [el chip que tiene la tarjeta de captura] RTL8187 Finalmente le damos a Add y Kismet comenzar a capturar paquetes, obteniendo toda la informacin posible junto con las coordenadas GPS donde han sido localizadas.

18

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

2.5 Explicacin de la interfaz de usuario

La interfaz de Kismet consta de 3 pantallas. La ventana principal en la parte superior izquierda, aparecern las diversas redes que vayamos localizando. La ventana de estado situada a la derecha es donde se puede ver el conteo del tiempo transcurrido, las redes detectadas, los paquetes recibidos, la velocidad de captura y los paquetes filtrados. Y la ventana de informacin en la parte inferior, es donde se remarcan los ltimos eventos, como redes descubiertas, IP's, direcciones MAC, etc.

19

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

A continuacin, veamos las tres ventanas detalladamente: 2.5.1 Ventana principal La ventana central, est dividida en varias columnas, las cuales nos informarn segn vaya capturando redes de diversa informacin: Name: Essid o nombre de la red detectada. o Al lado de Name podemos encontrar un signo de exclamacin "!" un punto "." o simplemente nada "", esto nos indica el tiempo que ha pasado desde que se recibi un paquete en esa red: "!" Indica una actividad detectada en los ltimos 3 segundos. "." Indica una actividad detectada en los ltimos 6 segundos. "" No hay actividad.

o Los colores indican la encriptacin: El verde indica sin encriptacin. El amarillo encriptacin en WPA. El rojo encriptacin WEP.

Kismet puede detectar el nombre o ESSID de una red wireless que este oculta, siempre que haya clientes autentificados y asociados a la misma, en este caso el color del Essid o el nombre de la red ser visible en color azul, este color ser tambin usado cuando encontremos un dispositivo que no est conectado a ninguna.

20

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

En este caso la red llamada ""Autogroup probe" son dudas o peticiones no resueltas por el servidor de Kismet, este crea un grupo automtico donde deja esas peticiones perdidas. Columna T (Tipo): nos indica el modo de funcionamiento del dispositivo inalmbrico detectado. Ofrecer diferentes valores como: o "A" si es un punto de acceso. o "H" si esta en modo ad-hoc. o "G" si es un grupo de redes wireless. o "P" si es un dispositivo en modo Probe Request (Solicitud de Rastreo)(Tarjeta inalmbrica que no est conectada a ningn punto de acceso). Columna Ch: el canal en el que opera la red. o Si es un grupo de redes "G" aparece un guin "-". Columna Pkts: el nmero de paquetes capturados. o Size: nos indica el tamao de los paquetes capturados de cada red.

2.5.2 Ventana de Estado

Situada en la parte inferior de la pantalla, muestra informacin sobre las redes y clientes que va encontrando y otras alertas, as como del estado de la batera. 2.5.3 Ventana de Informacin

Es la que est en el lado derecho y muestra: El nmero total de redes encontradas (Networks) El nmero total de paquetes capturados (Packets) En nmero de paquetes capturados por segundo (Pkts/s) El tiempo que Kismet lleva ejecutndose (Elapsed) 21

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Las razones por las que hemos realizado el recorrido en una urbanizacin, es que el lmite de velocidad es bajo, por lo cual nos facilita que la captura de redes sea ms segura, debido a que tenemos una interfaz en el techo del vehculo lo cual, sera peligroso dicha realizacin en la ciudad. Este ha sido el recorrido que hemos realizado:

Se recorrieron 16,68 Km en total, la duracin fue de 1 hora, 22 minutos y 38 segundos. Estas capturas pertenecen a la aplicacin de Android My Tracks originalmente est orientada a deportes, pero nos ayud mucho a medir la distancia que se recorri para realizar la captura. (https://play.google.com/store/apps/details?id=com.google.android.maps.mytracks &hl=es)

22

Auditoria de redes inalmbricas 3. ANLISIS DE DATOS Y CONCLUSIONES

Juan Manuel Garca Mar

La mejor forma de analizar los datos que ha recogido kismet es leer directamente los ficheros de registro donde se guarda la informacin de las redes inalmbricas. En nuestro caso las capturas han sido varias porque hemos tenido un problema con el salto de canales.

En la ventana de estado podemos observar un error, este es debido a que la interfaz que est buscando redes se ha conectado al punto de acceso que estbamos utilizando (AndroidAP) ya que el sistema operativo tiene guardado y automatizado el acceso. El resultado es el mismo, no importa cuntas capturas se hagan ni si un punto de acceso aparece dos veces.

3.1 Reunin de datos

En primer lugar debemos aadir toda la informacin de los puntos de acceso que hemos capturado a una base de datos. Para ello utilizaremos el script GisKismet. Giskismet nos permite volcar el contenido de los archivos *.netxml a una base de datos SQLite. Para ello nos situaremos en la carpeta donde se encuentran las capturas y escribiremos el siguiente comando: root@bt:~# giskismet -x nombredelarchivo.netxml

23

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Automticamente el script iniciara y comprobar uno a uno si los puntos de acceso estn guardados en la base de datos, si no existe aadir el AP y toda la informacin relacionada con l, y si existe saltar al siguiente.

Como vemos en la siguiente captura, hemos realizado giskismet con otro archivo netxml y podemos observar como hay 4 puntos de acceso que ya existian en la base de datos y no los aade.

24

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

3.2 Consultas

Ahora hay dos caminos posibles por realizar, uno es ms vistoso y con el otro se puede realizar un estudio a fondo. Giskismet tiene la posibilidad de convertir en un archivo *.kml de Google Earth nuestra base de datos, para as visualizar las redes en un mapa del mismo programa. El comando a introducir para crear ese archivo es el siguiente: giskismet -q "select * from wireless" -o nombrequequeramos.kml el parmetro -q indica una bsqueda sql, la sentencia "select * from wireless" significa que seleccione todo de la base de datos wireless (nombre por defecto), o indica la salida de un archivo y seguidamente escribiremos el nombre deseado sin olvidar la extensin. El resultado es un archivo KML que se abre con Google Earth:

25

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

En este mapa podemos observar una especie de dianas, cada una corresponde con un AP, el cdigo de colores es simple, el rojo significa que no tiene seguridad, el color naranja indica la utilizacin de seguridad WEP, el amarillo WPA y el verde WPA2. Si pulsamos a una red veremos informacin asociada a ella:

26

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Esta ha sido la parte ms grfica, podemos modificar el contenido del mapa creando otro archivo de salida pero cambiando la bsqueda SQL, en vez de "select *from wireless" se podria escribir "select * from wireless where encryption="None"" y ahora nos creara un mapa solo con las redes carentes de seguridad. Ahora nos dispondremos a realizar consultas SQL con un visor de SQLite, SQLITEBROWSER. Disponemos de una base de datos llamada wireless.dbl, cuyo contenido es la informacin recibida por nuestra tarjeta inalmbrica y analizada por Kismet. Su estructura es la siguiente:
CREATE TABLE clients ( cid INTEGER PRIMARY KEY AUTOINCREMENT, nid INTEGER NULL, mac text default NULL, manuf text default NULL, iptype text default NULL, ip text default NULL); CREATE TABLE wireless ( Id INTEGER PRIMARY KEY AUTOINCREMENT, NetworkID INTEGER NULL, NetType text default NULL, ESSID text default NULL, BSSID text default NULL, Manuf text default NULL, Info text default NULL, Channel INTEGER NULL, Cloaked text default NULL, Encryption text default NULL, Decrypted text default NULL, MaxRate INTEGER NULL, MaxSeenRate INTEGER NULL, Beacon INTEGER NULL, LLC INTEGER NULL, Data INTEGER NULL, Crypt INTEGER NULL, Weak INTEGER NULL, Total INTEGER NULL, Carrier text default NULL, Encoding text default NULL, FirstTime text default NULL, LastTime text default NULL, BestQuality INTEGER NULL, BestSignal INTEGER NULL, BestNoise INTEGER NULL, GPSMinLat float NULL, GPSMinLon float NULL, GPSMinAlt float NULL, GPSMinSpd float NULL, GPSMaxLat float NULL, GPSMaxLon float NULL, GPSMaxAlt float NULL, GPSMaxSpd float NULL, GPSBestLat float NULL, GPSBestLon float NULL, GPSBestAlt float NULL, DataSize INTEGER NULL, IPType text default NULL, IP text default NULL);

27

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Aqui un ejemplo de la tabla wireless en SQLiteBrowser:

Y la tabla clientes:

28

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Para averiguar el nmero de redes que hay escribiremos en "Execute SQL" la siguiente sentencia: SELECT COUNT(*) FROM WIRELESS Hemos obtenido un total de 209 redes pero adems podemos averiguar el nmero de redes que tienen seguridad WEP: SELECT COUNT(*) FROM WIRELESS WHERE ENCRYPTION="WEP" Tambin no permite ver los clientes que haban conectados en el momento de la captura a una red determinada, por ejemplo una llamada "WLAN_20" carente de seguridad. Necesitaremos saber el campo NetworkID de esa red, para ello escribiremos: SELECT NetworkID from wireless where ESSID=" WLAN_20"

El resultado es 68, con este nmero haremos una bsqueda en la tabla clientes, para que nos muestre los clientes conectados a esa red: SELECT * from clients where nid="68"

29

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Podemos observar que nos aparecen tres filas de datos, podramos decir que son los clientes conectados pero en esa lista aparece tambin el BSSID que es la primera fila. Estos han sido algunos ejemplos de consultas que se pueden hacer con la base de datos creada por giskismet, pasemos al estudio.

3.3 Estudio

En primer lugar hicimos una bsqueda de los tipos de seguridad que existen en la zona, para ello escribimos lo siguiente:

SELECT DISTINCT ENCRYPTION FROM WIRELESS

WPA2 WPA WPA2/TKIP

Estos fueron los resultados, podemos ver a la derecha una equivalencia a unos nombre no tan tcnicos. Ahora podemos hacer otras consultas para averiguar cuantas redes hay con que seguridad:

30

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

SELECT COUNT(*) FROM WIRELESS WHERE ENCRYPTION="None" SELECT COUNT(*) FROM WIRELESS WHERE ENCRYPTION="WEP" SELECT COUNT(*) FROM WIRELESS WHERE ENCRYPTION="WPA+PSK WPA+AES-CCM" SELECT COUNT(*) FROM WIRELESS WHERE ENCRYPTION="WPA+TKIP WPA+PSK" SELECT COUNT(*) FROM WIRELESS WHERE ENCRYPTION="WPA+TKIP WPA+PSK WPA+AES-CCM"

Los resultados podemos observarlos en esta grfica:

None 28 36 101 32 WPA+TKIP WPA+PSK WPA+PSK WPA+AES-CCM 12 WEP

WPA+TKIP WPA+PSK WPA+AES-CCM

En esta grfica podemos observar la cantidad de redes que hay de cada seguridad, observamos que un 48,3% de las redes estn protegidos por el tipo WEP, un 5% carece de seguridad, un 17% tiene asignada una seguridad WEP y el resto poseen la seguridad conocida como WPA2. Revisando la lista de redes podemos observar que hay 31 redes que tienen cuyos ESSID son diferentes al que traen por defecto (nombres de personas, INTERNET, portacoeli, modificacin del nombre por defecto, etc...). Movistar, por defecto, entrega a los clientes el router con el nombre por defecto WLAN_** WLAN_****.

31

Auditoria de redes inalmbricas

Juan Manuel Garca Mar

Buscamos en la base de datos con la siguiente consulta: SELECT count(*) from wireless where ESSID like "WLAN_%" El resultado es de 124 redes de Movistar, de las cuales podemos observar que la mayoria estan por defecto con seguridad WEP: SELECT count (*) from wireless where ESSID LIKE "WLAN_%" and Encryption="WEP" El resultado es de 89 redes.

3.4 Conclusin
La seguridad de las redes inalmbricas de esta urbanizacin es muy baja, las pruebas son que en el ao 2012 an existen redes sin seguridad, abiertas a todo aquel que busque una red inalmbrica para conectarse a internet. El mayor peligro lo tienen las 101 redes que hay protegidas por WEP, actualmente este tipo de seguridad es como dejar un candado cerrado con la llave puesta, cualquiera que indague y conozca alguna suite de "in"seguridad inalmbrica un poco puede localizar la clave de estas. El sistema WEP, traducido como privacidad equivalente al cableado, debera de dejar de ponerse como opcin a asegurar el acceso a la conexin ya que esta anticuado. Existen 96 redes que utilizan un sistema creado para suplir los agujeros que posea WEP, este es WPA, que al utilizar claves ms largas dificulta un ataque por fuerza bruta. De esas 96 redes, 60 utilizan WPA2. Existen aplicaciones que utilizan diccionarios que a su vez se basan en la MAC del router que emite y su ESSID, con slo esos dos datos pueden averiguar la contrasea. La solucin a este tipo de problema es cambiar el ESSID de la red, con este cambio ser imposible averiguar la contrasea por el mtodo del diccionario. En definitiva poco mas de los habitantes de esta urbanizacin estn expuestos a compartir su internet sin su consentimiento.

32

Auditoria de redes inalmbricas BIBLIOGRAFA

Juan Manuel Garca Mar

http://www.maestrosdelweb.com/principiantes/evolucion-de-las-redesinalambricas/ http://www.saulo.net/pub/inv/SegWiFi-art.htm http://www.smart-gsm.com/moviles/htc-wildfire http://www.smart-gsm.com/moviles/samsung-galaxy-s-2-i9100 http://www.interportatil.com/portatil_N150-JP02_3102 http://en.wikipedia.org/wiki/Gpsd http://es.scribd.com/doc/44930813/AUDITORIA Hacking Wireless 2.0 (Johnny Cache, Joshua Wright y Vincent Liu) Ed. Anaya http://www.irongeek.com/i.php?page=backtrack-r1-man-pages/giskismetp http://www.kismetwireless.net/documentation.shtml http://www.emetreinta.es/2009/02/11/diferencias-entre-encriptacion-wep-wpa-ywpa2/

33