lunes, 24 de mayo de 2010

Punto de Acceso II

Como ya hablé en la parte I de esta serie de posts sobre los puntos de acceso de una forma muy básica os puedo hablar ahora... ¿Un poco de seguridad? Enga, un poco de seguridad.

Al tener una "antena" conectada a la red cableada, ésta enviará y recibirá datos desde la red y hacia la red. Actúa a modo de hub entre la parte cableada y la inalámbrica. Si no se aplica ningún tipo de seguridad, cualquier cosa que vaya y venga de la red, hacia la red, podrá ser capturada por cualquier dispositivo conectado a la misma. Y si no hay seguridad, cualquier dispositivo que lo desee, podrá conectarse a la misma.

En su momento, tiempo ha, se recomendaban una serie de pasos para reducir las amenazas. A día de hoy, sólo sirven para que el que quiera entrar de verdad pierda un poco más de tiempo, si es que se consigue que lo pierda.

Algunos pasos que se aconsejaban que se hicieran:
- Que no se emitiera el ESSID (o simplemnete SSID): Así, para conectarse a la red en cuestión había que saberse el nombre con el que se le solicitaría al SS.OO que la buscara y pidiera paso a la misma. Hoy en día, aunque se corte esa difusión, se puede saber el nombre a través de paquetes de datos que se estén transmitiendo, a través de los clientes asociados a esas redes, etc, etc. En resumen: se puede saber por los datos que van circulando por el aire sin necesidad de que sea el AP el que se anuncie.
- MAC ACLs: Es una lista de control de acceso a través de las direcciones MAC que queremos que puedan conectarse al AP. Éste se encargará de saber si la dirección MAC del dispositivo que se va a conectar está permitida o no. Pero, con un MAC spoofing te saltas esa restricción. MAC spoofing es la falsificación de la MAC. Se le dice al SS.OO que cambie la dirección MAC de la tarjeta, al menos a nivel lógico. Es decir: será el sistema operativo el que, cuando se vayan a enviar paquetes, en el campo MAC origen de la cabecera se envíe la dirección MAC especificada. Luego, se saltaría esa ACL sin problemas.
- DHCP: También se recomendaba quitar el DHCP. Con esto se evitaría que, de conseguir acceder a la wifi, no obtendría una dirección IP válida para poder trabajar en ella. Una vez más, no serviría de mucho porque, al estar dentro de la red, se puede usar un sniffer que permitiría saber con qué rangos se trabaja. Así, una vez se tiene el netid sólo hay que seleccionar una dirección IP válida para utilizar la red.

Como se puede apreciar, estos pasos podían frenar a muchas personas. Hoy en día, no es que sirvan de mucho. Pueden retrasar un poco (nada o casi nada) a un atacante en potencia. Pero bueno. Algo es algo.

¿Qué tenemos hoy en día? Hoy en día se pueden usar claves para autenticar / encriptar. (Dicho de una forma muy resumida). Los tipos de encriptación más conocidos son:
- WEP: Sí. La pongo aquí porque hay que mencionarla. Para el que no sepa de qué hablo: Poner WEP y no ponerla es quedarse (casi) igual. WEP procede de Wired Equivalent Protocol. Desde el AP se indica la clave que el resto de equipos tendrán que entregar para que éste les de paso. WEP, según la "versión" en la que nos encontremos pedirá una longitud determinada de clave u otra. Estas son:
- 64 bits: necesitará 10 caracteres en hexadecimal o 5 en ASCII.
- 128 bits: necesitará 26 caracteres en hexadecimal o 10 en ASCII.
- Otras versiones...
Esta es muy fácil de crackear. No voy a entrar en detalles. Sólo hay que saber que cuantos más paquetes tengamos, más fácil será sacar la clave. Las razones de por qué es así y cómo hacerlo no está relacionado con este post (¿lo estará con este blog?). Al aumentar la cantidad de caracteres necesarios para la clave de paso a la red, se necesitarán más paquetes para sacarla. Nada más.
- WPA /WPA2: Este sistema de encriptación funciona de forma distinta. WPA se diferncia del WPA2 en que el primero se sacó cuando todavía el estándar no estaba del todo completado. Podemos hablar de estos como si fuera uno sólo. El funcionamiento de cómo trabaja con la clave por debajo ha hecho que todavía no haya una forma viable de sacar la contraseña en poco tiempo.
Se puede configurar para que se encripte / auntentique de distintas formas:
  • Una clave como en WEP: Lo único que se puede hacer es obtener una serie de paquetes que se intercambian cliente y AP a la hora de conectarse. Ahí dentro estará la clave. Pero para sacarla, a día de hoy, hay que utilizar un diccionario de datos. Esta clave puede desde 8 hasta 63 caracteres en ASCII y hasta 64 en hexadecimal. 
  • RADIUS: Con un servidor RADIUS puedes hacer que la autenticación la realice este servidor. El AP enviará la solicitud de paso al servidor y éste será el que le diga al AP si tiene que dar paso al cliente potencial. Es más. se pueden usar incluso certificados digitales para autenticar a los clientes y los usuarios a través de estos. 
Como se puede ver, a la hora de usar WPA con una clave tal y como se hace con WEP es harto complicado sacar la clave ya que se necesita un diccionario para obtenerla. Y si se utiliza la máxima longitud, necesitaríamos una combinación con repetición de 16 elementos, repartidos en 64 posiciones. 

¿Qué más os puedo contar? Sí. Cuidado con los equipos que entregan los ISPs. Éstos suelen traer WEP. Y, además, las claves siguen un patrón según el nombre de la red (ESSID) y la dirección MAC. Hay que saber que existen programas que generan diccionarios de datos con las posibles claves que se pudieran estar utilizando. Sólo hay que trabajar con ese diccionario y algunos paquetes capturados para ver si está ahí dentro o no. Si está dentro, ya se puede acceder con una ínfima parte de los necesarios con otros métodos. 

El próximo día os cuento más cosas sobre los APs. Ya será algo más curioso. Y más de cacharrear

No hay comentarios:

Publicar un comentario