Seguridad inalámbrica: análisis de tráfico
Un proceso de análisis de tráfico inalámbrico puede ser muy útil en investigaciones forenses o durante la resolución de problemas y, por supuesto, esta es una excelente forma de autoaprendizaje (solo para aprender cómo las aplicaciones y los protocolos se comunican entre sí). Para que el análisis de tráfico sea posible, primero, este tráfico debe recopilarse de alguna manera y este proceso se conoce como rastreo de tráfico. Las herramientas más utilizadas para la detección de tráfico son Kismet y Wireshark. Ambos programas proporcionan una versión para entornos Windows y Linux.
Con el fin de realizar pruebas de penetración y piratería de redes inalámbricas, el tipo de datos que es valioso recopilar son BSSID, WEP IV, TKIP IV, CCMP IV, EAP 4-way handshake exchange, wireless beacon frames, MAC addresses of communicating parties, etc. Hay mucho más disponible para usted en el vertedero del tráfico inalámbrico. La mayor parte de la información que obtendría se utilizaría en todos los ataques presentados en el último capítulo. Podrían usarse (por ejemplo) como entrada para ataques de fuerza bruta fuera de línea, con el fin de romper los modelos de cifrado y autenticación utilizados en la implementación de WLAN.
El uso de Wireshark tanto en Windows como en Linux es muy intuitivo: ambos entornos proporcionan una GUI que se ve igual para ambos sistemas. Cuando se inicia el programa, solo necesita indicar la interfaz física, que se usaría para el rastreo de tráfico (puede seleccionar cualquier interfaz, ya sea cableada o inalámbrica), y luego proceder con el rastreo de tráfico. En la siguiente captura de pantalla se muestra un ejemplo de paquetes inalámbricos recopilados por una tarjeta inalámbrica.
El diseño de la salida es siempre el mismo - yendo desde arriba, tienes -
Filter Field- Wireshark está equipado con una muy buena herramienta de filtrado que permite limitar la salida de tráfico en tiempo real. Es extremadamente útil cuando necesita extraer flujos particulares (entre direcciones MAC particulares o entre direcciones IP particulares) de cientos de paquetes que vienen cada segundo de todos los clientes inalámbricos de los alrededores.
Traffic Output- En esta sección, puede ver todos los paquetes que aparecen, que fueron rastreados en la interfaz inalámbrica, uno por uno. En esta parte del resultado, puede ver solo un resumen básico de las características del tráfico como:SRC/DST MAC Addresses, Protocol (Wi-Fi 802.11 in this case) y una breve información sobre un paquete.
Decoded Parameters of the Data- Esta sección enumera todos los campos existentes en un marco (todos los encabezados + datos). Usando un volcado de ejemplo, podemos ver que algún conjunto de información está en forma de datos ilegibles (probablemente cifrados), y en el encabezado 802.11 puede encontrar información CCMP (confirma que el tráfico está cifrado AES), por lo que debe ser WPA2 Red Wi Fi.
Hex Dump- El Hex Dump es exactamente la misma información que tiene arriba en "parámetros decodificados de los datos" pero en formato hexadecimal. La razón de esto es que, la representación hexadecimal es la forma original en que se ve el paquete, pero Wireshark tiene miles de "plantillas de tráfico", que se utilizan para asignar valores HEX específicos a un campo de protocolo conocido. Por ejemplo, en un encabezado 802.11 los bytes de 5 a 11 son siempre la fuente de una dirección MAC de la trama inalámbrica, utilizando el mismo mapeo de patrones, Wireshark (y otros rastreadores) pueden reconstruir y decodificar estática (y bien conocida) campos de protocolo.
Puede guardar todos sus volcados de tráfico utilizando el método común .pcap formato que luego podría usarse como entrada para, por ejemplo, scripts de Python que realizan algunas operaciones avanzadas en el tráfico recopilado (por ejemplo, descifrar los modelos de cifrado).
La otra herramienta que debes conocer es Kismet. Tan pronto como inicie su herramienta Kismet y especifique elmon0 interfaz, enumerará todos los SSID detectados en su entorno.
Durante el tiempo que se ejecuta Kismet, todos los paquetes inalámbricos se recopilan y almacenan en el .pcaparchivos. Cuando sale de un programa, recibe un mensaje que indica que todos los volcados de paquetes inalámbricos se han guardado y puede acceder a ellos después.
En el ejemplo presentado arriba, todos los volcados de paquetes se han almacenado en archivos binarios (no están en un formato legible, cuando abre esos archivos con "más" o "vi" o "nano", etc.).
Para abrirlos correctamente, debes usar Wireshark (¡de nuevo!).