15 agosto, 2018

Seguridad en redes Wifi: Fuerza bruta al sistema WPA (Wi-Fi Protected Access)

Actualmente ya hay suficiente información sobre este tipo de técnicas de ataque para compromenter al seguridad de redes WPA. Recientemente he tenido que realizar una auditoría a redes Wi-Fi y revisando entradas del blog aún no había comentado nada sobre esto por lo que a modo de guía comentaré el procedimiento habitual en una conocido y funcional ataque de deautenticación (Wi-Fi deauth attack) donde habrá que desconectar a un cliente previamente conectado a la red que vamos a realizar el ataque, capturar el WPA handshake y finalmente aplicar fuerza bruta al fichero de captura de tráfico .cap obtenido.

A día de hoy pocas redes inalámbricas están operando bajo el sistema de protección WEP (Wired Equivalent Privacy) o el estándar "IEEE 802.11" debido a las debilidades que este mecanismo de protección presenta. 

En la actualidad la mayoría ya están configuradas con WPA (Wi-Fi Protected Access) o el estándar "IEEE 802.11i" la cual mejora sustancialmente su seguridad respecto a WEB, aunque igualmente sigue siendo igual de susceptible a ataques de fuerza bruta y de ahí la importancia de proteger estas redes a través de una contraseña muy robusta y establecer el algoritmo de cifrado más robusto disponible como por ejemplo PSK y no la combinación de ambos (PSK-TKIP) ya que TKIP presenta principalmente la vulnerabilidad de ataques de recuperación de keystream al contrario que PSK.

En este escenario se ha utilizado un adaptador USB Alfa Network AWUS036NH como interface de red para la captura inalámbrica. Usaremos Aircrack-ng una suite de herramientas para la evaluación de seguridad en redes inalámbricas.

macchanger

MAC Changer nos permite la manipulación de las direcciones MAC de las interfaces de red. Nos podremos encontrar redes inalámbricas en las que están configuradas restricciones de conexión según la dirección MAC origen. Es decir, que solo una whitelist conocida de direcciones MAC se puedan conectar a ese AP (Access Point).

Vamos a ver que estas limitaciones no es una buena medida de seguridad. Ya que podremos suplantar o cambiar la MAC por otro de los dispositivos que ya esté previamente conectado y que podamos conocer su MAC simplemente analizando el tráfico estemos o no conectados al AP. 

El cambiar la dirección MAC (aunque sea a una aleatoria como veremos en este caso) de nuestra inferface evitará que dejemos rastros en los logs de conexión del AP de nuestra verdadera MAC.

ifconfig wlan0 down
macchanger -A wlan0
ifconfig wlan0 up

Figura 1: macchanger - cambiar dirección MAC en la interface de red de captura de tráfico.

Airmon-ng

Airmon-ng nos permite activar o desactivar el modo monitor de nuestra interface de red. En este caso tendremos que habilitar el modo monitor para nuestra interface de red wlan0 donde quedará establecida como wlan0mon.

  • Modo monitor: Este modo permite la captura de los paquetes de una red inalámbrica sin estar asociados o conectados a una red.
  • Modo promiscuo: Este modo permite la captura de los paquetes tanto en red cableada como inalámbrica que esté previamente conectado a una red.

airmon-ng start wlan0

Figura 2: Habilitar el modo monitor en la interface de red inalámbrica wlan0.

Airodump-ng

Airodump-ng se usa para capturar paquetes inalámbricos y es útil para ir acumulando vectores de inicialización IVs con el fin de intentar usarlos con Aircrack-ng y obtener la clave WEP o WPA. Puedes convertir archivos .cap / .dump a formato .ivs o juntarlos.

Como conceptos principales debemos saber que es un SSID y BSSID. 

  • SSID o ESSID (Service Set Identifier): Compuesto por un máximo de 32 octetos será el nombre que identifica la red inalámbrica.
  • BSSID (Basic Service Set Identifier): Será la dirección MAC del punto de acceso.
Si el SSID estuviese oculto en la red inalámbrica Airodump-ng intentará averiguarlo analizando los paquetes "probe responses" y "association requests" (son paquetes enviados desde un cliente al AP).

En este escenario nos enfocaremos en la red con ESSID "testing"
airodump-ng wlan0mon
Figura 3: Capturar tráfico y descubrir redes inalámbricas con Airodump-ng.
airodump-ng -c 8 –-bssid 72:B4:E6:CE:01:2D --write wpa2-salida-01 wlan0mon
-c: Número del canal de la red que aparece en la columna CH. En este caso es 8.
--bssid: Dirección MAC de la red objetivo. En este caso "testing" y el BSSID 72:B4:E6:CE:01:2D.
--write: Archivo de captura en la que se guardarán los paquetes. En este caso "wpa2-salida-01".
wlan0mon: Nombre de la interface inalámbrica.

Aireplay-ng

Aireplay-ng se usa para inyectar paquetes. Su función principal es generar tráfico para usarlo más tarde con aircrack-ng y poder crackear claves WEP y WPA-PSK. Hay varios ataques diferentes que se pueden utilizar para hacer deautenticaciones con el objetivo de capturar un handshake WPA, para realizar una falsa autenticación, un reenvio interactivo de un paquete, o una reinyección automática de un ARP-request. Con el programa packetforge-ng es posible crear paquetes "ARP request" de forma arbitraria.

En este escenario usaremos el tipo de ataque deautth que consiste en enviar paquetes de deautenticación a uno o más clientes que están actualmente asociados a un punto de acceso (este ataque es totalmente inútil si no existen clientes wireless asociados).

aireplay-ng -0 1 -a 72:B4:E6:CE:01:2D -c 70:3A:51:01:62:A3 wlan0mon

-0: Significa deautenticación.
1: Número de deautenticaciones a enviar (puedes enviar todas las que quieras), 0 significa enviarlas continuamente.
-a: Dirección MAC del punto de acceso (72:B4:E6:CE:01:2D).
-c: Dirección MAC del cliente previamente conectado a deautenticar (STATION: 70:3A:51:01:62:A3), si se omite o con el parámetro -e se especifica el SSID (nombre de la red) serán deautenticados todos los clientes.
wlan0mon: Nombre de la interface inalámbrica.

Figura 4: Ataque deauth para capturar el handshake con Aireplay-ng.

Aircrack-ng

Aircrack-ng será la herramienta principal para el descifrado de claves 802.11 WEP y 802.11i WPA/WPA2-PSK.

aircrack-ng -w /usr/share/wordlist/rockyou.txt wpa2-salida-01.cap

Con el parámetro -w indicaremos el diccionario (será uno de los diccionarios más utilizados y por defecto en máquinas Kali "rockyou.txt") que se utilizará para llevar a cabo el ataque de fuerza bruta y posteriormente indicamos el fichero .cap que se obtuvo con Aireplay-ng.

Figura 5: Usando Aircrack-ng para descifrar la clave de la red inalámbrica.

En este escenario de ejemplo para hacerlo más formativo y rápido se estableció una contraseña sencilla y común en prácticamente cualquier diccionario empleado para fuerza bruta. Se puede ver como se encontró con éxito la clave de la red inalámbrica en unos 5 segundos.

Figura 6: Descifrado con éxito y clave inalámbrica encontrada.

Más info sobre la suite de Aircrack-ng: https://www.aircrack-ng.org/doku.php?id=Main

Recomendaciones para mejorar la seguridad de redes inalámbricas

En escenarios empresariales existen muchos otros mecanismos e integraciones así como la posibilidad de añadir capas adicionales de seguridad perimetral, segmentación y monitoreo continuo de puntos de red inalámbricas.

Pero estas recomendaciones van más enfocadas a las redes domésticas de hogar para intentar proteger lo máximo posible dentro su limitado alcance tecnológico y de configuración.

1. Deshabilitar WPS (Wi-Fi Protected Setup)

Se trata de un mecanismo de seguridad wifi para conectar a un router con otro dispositivo a través de un WPS PIN (una clave de 8 dígitos) la cual se puede introducir manualmente o autenticarse automáticamente dependiendo el tipo de dispositivo. Esto es verdad que facilita la autenticación en una primera vez entre dispositivos a la red pero también es un punto muy débil de seguridad tenerlo habilitado existen multitud de herramientas para realizar fuerza bruta a este tipo de autenticaciones WPSPinGenerator, Wash, Reaver, Bullycioso, PixieWPS, entre las más conocidas.

2. Establecer una contraseña de autenticación robusta

En tecnologías inalámbricas Wifi es la medida principal de protección a día de hoy. Considero que es el punto más importante, en ataques WEP no es así, pero en WPA/2 independientemente de la técnica realizada finalmente todo se resume en capturar un handshake y aplicar fuerza bruta a través de diccionarios. Por lo que cambiar la contraseña por defecto a una contraseña lo suficientemente robusta y compleja (alfanumérica, signos, longitud mínima de 35 caracteres en el caso de WPA) es un básico a realizar para que sea difícilmente costoso o prácticamente imposible por cuestión de tiempo físico poder ser crackeada o descifrada.

3. Usar los sistemas y cifrados más robustos disponibles

Toda contraseña tiene que estar protegida por un buen cifrado. Será fundamental acompañar la contraseña compleja comentada anteriormente con el último sistema de autenticación disponible como puede ser WPA2 con cifrado PSK (AES). Sistemas WEP o cifrados TKIP ya han sido ampliamente vulnerados y no se consideran seguros.

4. Mantener actualizado el software del punto de acceso o enrutador

Recomendación de seguridad básica para cualquier tecnología o servicio. Intenta mantener actualizados todos tus dispositivos.

5. Apagar la red inalámbrica si no la usas

Alto ten sencillo como "Si no lo usas, desactívalo".

6. Recomendaciones de seguridad adicionales 

Ahora podría indicar una serie de recomendaciones adicionales que se pueden encontrar en la mayoría de webs cuando buscas sobre esto como puede ser: "cambia el nombre SSID del dispositivo, no permitas que el dispositivo inalámbrico indique su presencia (ocultar SSID), disponer de un whitelist de direcciones MAC permitidas para conectarse, etc.

Como ya hemos visto en este artículo mostrando un sencillo ataque deauth. Opciones como limitar a las MAC conocidas y ocultar el SSID es algo que no no resta seguridad pero tampoco nos aporta gran protección, ya que es fácil suplantar direcciones MAC (macchanger) y poder encontrar redes ocultas (airodump-ng). 

Saludos!

Autor: Adrián Lois

01 agosto, 2018

Crear un túnel SSH con PuTTY para escritorio remoto RDP - Local port forwarding

Un tunel SSH se utiliza principalmente para tunelizar tráfico sobre internet o sobre una red local de una manera segura. Podemos encapsular un tipo de protocolo sobre una conexión establecida SSH (Secure SHell).

Supongamos que nos queremos conectar a un servidor interno de una red local a través de Internet, pero el firewall de la compañía restringe las conexiones origen dirigidas a determinados puertos, entre ellos el 3389 (puerto por defecto usado para RDP), sin embargo si permite conexiones al puerto 22 (puerto por defecto para SSH). 

La compañía expone un único equipo accesible desde la WAN (Wide Area Network) de Internet. Por lo que tienen definada una regla en el firewall que hace port forwarding permitiendo las conexiones origen dirigidas al puerto 22 a través de la dirección IP pública se redirigen a una determina IP interna que pertenece a un servidor Linux, este será el servidor SSH que usaremos para hacer pivoting al servidor al que nos conectaremos por Escritorio remoto RDP por el puerto 3389. 

El equipo cliente definirá mediante una herramienta de terceros la configuración de tunel SSH y se conectará a la IP pública de la compañía por el puerto 22, una vez establecida la conexión al servidor SSH el cliente se conectará por Escritorio remoto a sí mismo (127.0.0.1 o localhost) por el puerto configurado en el tunel SSH, ese puerto redirigirá la conexión al servidor SSH que a su vez redirigirá a la IP interna del servidor que aceptará la conexión de Escritorio remoto.

En el siguiente squema se muestra un funcionamiento de ejemplo para establecer conexiones de Escritorio remoto sobre un tunneling SSH. Se encapsulará el protocolo RDP sobre un el protocolo SSH.

Figura 1: Esquema de conexión tunneling SSH para conectarse por Escritorio remoto (RDP).

Para establecer la configuración usaremos el cliente SSH PuTTY (podría ser otro que tenga la opción de poder configurar túneles SSH). Abrimos Putty y nos desplazamos a la sección: "Conecction > SSH > Tunnels".

Indicamos el puerto origen para nuestro equipo y el destino IP:PUERTO al que se redirigirá la conexión. En este caso el puerto 3333 sería el puerto origen local de la máquina cliente y redirigirá las peticiones a ese puerto al destino 10.0.0.12:3389 sería el servidor remoto al que nos conectaremos por Escritorio remoto.

Figura 2: Putty - Configurar conexión port forwarded tunelizada para usar con SSH.

En la sección "Session" especificamos el nombre o IP del que sería el servidor SSH remoto al que nos conectaremos inicialmente. (Para este ejemplo me he conectado a una IP local sería la miasma configuración para una IP Pública en Internet de un sitio remoto).

Figura 3: Putty - Conectarse al equipo servidor SSH.

Una vez nos conectamos a al servidor SSH remoto, en el equpo cliente abrimos una ventana de conexión de Escritorio remoto (Windows +R > mstsc) y nos conectamos como localhost:3333. Ese puerto reenviará la pentición al servidor SSH al que estamos conectados pivotando a través de este se establecerá la comunicación tunelizará de forma segura (previamente así lo habíamos definido -ver figura 2-) autenticándonos hacia el servidor destino que aceptará la conexión de Escritorio remoto.

Figura 4: Autenticación para Escritorio remoto usando un reenvío de puertos configurado para un tunel SSH.

Finalmente la conexión se estableció correctamente. En la siguiente captura de pantalla se puede ver como la conexión por Escritorio remoto se hizo a través de localhost:3333, en el servidor SSH se ve la redirección de puertos y en el eventlog de Putty el tunel SSH definido inicialmente. 

Las peticiones que vengan del puerto local 3333 las renviará al destino 10.0.0.12:3389 (IP del servidor al que nos conectaremos y puerto por defecto RDP).

Figura 5: Conexión de Escritorio remoto establecida usando un tunel SSH.

Saludos!

Autor: Adrián Lois