Wifi Curso PDF

Curso de Redes Inalmbricas
Curso de redes Inalmbricas

Zaragoza 27 de Marzo de 2010
Jos Antonio Valero Snchez
Ingeniero en Informtica
Analista del Servicio de Informtica de la UZ
javalero@unizar.es
Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Introduccin
Arquitectura
Conectividad
Nivel fsico
Diseo de redes inalmbricas
Puentes inalmbricos
Seguridad

Qu Es Una Red Inalmbrica?

RED: Unin de dos o ms computadoras,
computadoras mediante un medio
fsico,para crear una comunicacin entre ellos que les permita
compartir informacin y recursos.
Red inalmbrica: Subred de comunicacin con cobertura

geogrficalimitada, cuyo medio fsico de comunicacin es el
aire.
i
No pretende reemplazar una red cableada, slo la

complementa en situaciones donde es difcil realizar una
conexin.

Para Que Nos Sirve?

Expandir una red
Movilidad de equipos
Crear una nueva red
Instalacin de red en reas poco accesibles para
cablear
Colocacin de LAN temporal
Enlace entre edificios

Cundo surgen?
En 1985 Estados Unidos liber las bandas de
f
frecuencia
i Industrial,
I d t i l Cientfica
Ci tfi y Mdica
Mdi (ISM)
Estas bandas son:

902 - 928 MHz
2.4 - 2.4853 GHz
5.725 - 5.85 GHz

Comparacin tecnologas inalmbricas

Tipo de red WWAN WMAN WLAN WPAN
(Wide) (Metropolitan) (Local) (Personal)
Estndar GSM/GPRS/UM IEEE 802.16 IEEE 802.11 IEEE 802.15

TS
Certificacin WiMAX WiFi Bluetooth, ZigBee
Velocidad 9,6/170/2000 15-134 Mb/s 1-54 Mb/s Hasta 721 Kb/s

Kb/s
Frecuencia 0,9/1,8/2,1 GHz 2-66 GHz 2,4 y 5 GHz 2,4 GHz
Infrarrojos
Rango 35 Km 1 50 Km 30 - 150 m 10 m
Tcnica radio Varias Varias FHSS, DSSS, FHSS
OFDM
Itinerancia S S S No
(roaming) (802.16e)
Equivalente a: Conex. telef.
Conex telef ADSL CATV
ADSL, LAN Cables de
(mdem) conexin

Arquitectura de los estndares

IEEE 802
0: Seguridad
802.2: LLC (Logical Link Control) Subcapa

quitectura
LLC
802.10
802.1: Persspectiva y Arq
802.1: Puentes Transparentes

2.1: Gestin
Subcapa
MAC
(Media
Access
802
802.16 802.17 Control)

802.3: 802.5: 802.11: 802.12: 802.15: 802.20:
CSMA/CD Token WLAN Demand WPAN BBWA RPR MBWA
(Ethernet) Ring Priority
Capa
Fsica

Modelo de Referencia de 802.11
Subcapa LLC (802.2)
Subcapa MAC:
Capa de A
Acceso all medio
di (CSMA/CA)
enlace Acuses de recibo
Fragmentacin
Confidencialidad (WEP)
PLCP (Physical Layer Convergence Procedure)

Capa
fsica PMD ((Physical
y Media Dependent)
p )
Infrarrojos FHSS DSSS HR/DSSS OFDM DSSS-OFDM

802.11 802.11 802.11 802.11b 802.11a 802.11g

Certificacin Wi-Fi Alliance

La Wi-Fi (Wireless Fidelity) Alliance es un consorcio de
fabricantes de hard
hardwareare y soft
software
are ccuyo
o objeti
objetivo
o es promo
promover
er
el uso de tecnologa 802.11y velar por su interoperabilidad
Para ello la Wi-Fi alliance ha definido un proceso de
certificacin de forma que cualquier fabricante puede someter a
certificacin,
prueba sus productos y si la superan podr poner el sello
correspondiente
Los requisitos de certificacin de la Wi
Wi-Fi
Fi Alliance se basan en
la norma 802.11 pero no son equivalentes. Algunas
funcionalidades (opcionales) de 802.11 no se exigen en la
certificacin Wi-Fi y en algn caso se exigen funciones
adicionales sobre todo para garantizar aspectos de
adicionales,
interoperabilidad y seguridad

IIntroduccin
t d i
Arquitectura
q
Conectividad
Ni l f
Nivel fsico
i
Diseo
se o de redes
edes inalmbricas
a b cas
Puentes inalmbricos
Seguridad

Tipos de redes 802.11

Redes ad hoc: sin puntos de acceso (APs). Los ordenadores
se comunican directamente.
Redes de infraestructura: con al menos un AP. Pueden ser de
dos tipos:
BSS (Basic Service Set): la zona de cobertura que abarca
un AP. El AP puede o no estar conectado a una red
ESS (Extended Service Set): es un conjunto de dos o ms
BSS es decir dos o ms APs
BSS, APs, interconectados de alguna
manera a nivel 2. La red que interconecta los APs se
denomina el DS (Distribution System)
Los APs actan como puentes transparentes traductores
entre 802.11 y 802.x (normalmente x=3)

Red ad hoc (sin APs)

Canal 9
Para que los porttiles
puedan salir a Internet 147.156.2.2/24
este PC puede actuar de
router
147 156 2 1/24

147.156.2.1/24
Tarjeta PCI
147.156.1.15/24
147 156 2 3/24
147.156.2.3/24
Tarjeta PCMCIA
Las tramas se transmiten

Internet directamente de emisor a receptor. El
147.156.2.4/24 canal de radio se ha de configurar
manualmente en cada equipo
BSS ((Basic Service Set))
Canal 1
Las estaciones solo se
comunican a travs del AP,
no directamente
147.156.1.22/24 147.156.1.23/24
Punto
P t de
d
acceso (AP)
147.156.1.24/24
147.156.1.21/24 En el AP el canal se configura

manualmente. Las estaciones se
adaptan automticamente
147.156.1.1/24
rea de
cobertura
147.156.1.20/24 Internet 147 156 1 25/24

147.156.1.25/24

Un ESS formado por dos BSS
El DS (Distribution System) es el medio de comunicacin entre los AP.
Normalmente es Ethernet, pero puede ser cualquier medio. Debe haber
conectividad a nivel 2 entre los APs que forman el ESS
BSS 1
Canal 1 BSS 2
Canal 6
Sistema de
distribucin (DS)
Cada BSS (cada AP) tiene un rea de cobertura que es su celda

Internet inalmbrica. Si el usuario cambia de celda se conectar al nuevo
BSS.
Un ESS con DS sin cables
Canal 1 Canal 1
Repetidor
i l b i
inalmbrico
Internet

Otro ESS con DS sin cables
Canal 1 Canal 7
C
Canal
l 13
Puente
inalmbrico
Internet

Tipos de redes 802.11
DS
AP AP
ESS
STA STA
STA STA
Red de BSS
Infrastructura
STA
STA STA
STA: Station
AP: Access Point
Red Ad STA
DS: Distribution System IBSS
Hoc
BSS: Basic Service Set
ESS: Extended Service Set

Direcciones MAC de los AP
Un AP tiene normalmente dos direcciones MAC:
La de su interfaz en la red cableada ((DS)) normalmente Ethernet
La de su interfaz inalmbrica
La direccin MAC de la interfaz inalmbrica se utiliza como
identificador del BSS que corresponde a ese AP y se denomina el
BSSID (BSS Identifier). Este dato es fundamental para el
funcionamiento de una red 802.11
La direccin MAC de la interfaz ethernet no tiene inters para la
red inalmbrica y no aparece nunca en las tramas. Pero esta
direccin es la que normalmente se asocia con la direccin IP del
AP y ser por tanto la que aparecer en las tablas ARP
Si el AP tiene mas de una interfaz inalmbrica (por ejemplo un AP
de banda dual 802.11a/b) cada una tendr una direccin MAC
diferente En ese caso cada emisor de radio configura un BSS
diferente.
diferente y tendr por tanto un BSSID diferente, aunque
evidentemente sus reas de cobertura estarn fuertemente
solapadas
so apadas

Direcciones MAC en un AP de banda dual (802.11a/b)
Direccin de la
interfaz
Ethernet
(asociada con
la direccin IP)
BSSID para 802.11b
BSSID para 802.11a

Router inalmbrico
Este aparato contiene:

Un
Un router con dos interfaces
ethernet y funciones de NAT,
cortafuegos, etc.
Un switch ethernet con seis
puertos Interfaz 802.3 WAN
Un punto de acceso 802.11 MAC 00:0F:66:09:4E:10 Interfaz 802.11 LAN
MAC 00:0F:66:09:4E:11
Interfaces 802.3 LAN
MAC 00:0F:66:09:4E:0F
88.24.225.207 192.168.1.1 Este es el
BSSID
Internet
00:0F:66:09:4E:11
00:0F:66:09:4E:10
00:0F:66:09:4E:0F

Introduccin
Arquitectura
Conectividad
Nivel fsico
Puentes inalmbricos
Seguridad

Tipos
p de tramas 802.11
Tramas
T de
d gestin
ti
Tramas baliza (beacon)
Tramas de sonda peticin/respuesta
Tramas de autenticacin/deautenticacin
Tramas de asociacin/reasociacin/desasociacin
Tramas de control
Tramas RTS (Request To Send) y CTS (Clear To Send)
Tramas ACK (Acknowledgement,
(Acknowledgement acuse de recibo)
Tramas de datos (paquetes IP, ARP, ST, etc.)

Conectividad en redes 802.11

Cada red inalmbrica (ad hoc, BSS o ESS) se identifica por un
SSID (Service
(S i Set S t Identifier)
Id tifi ) que es una cadena
d de
d hasta
h t 32
caracteres alfanumricos
Cuando el SSID corresponde a un ESS a veces se denomina
ESSID (Extended
(E d d Service
S i Set S Identifier)
Id ifi )
No confundir el SSID (o ESSID) con el BSSID (la direccin MAC
de la interfaz inalmbrica de un AP). Un ESS tiene un SSID,
pero puede tener muchos BSSID
Cualquier estacin que pretenda participar en una red debe
configurarse
g con el SSID correcto
Pero Cmo averigua una estacin los SSID que estn
disponibles en un momento dado?

Conectividad en redes 802.11

Los APs difunden peridicamente unos mensajes broadcast
llamados beacon (baliza) en los que indican el SSID de la red
a la que pertenecen
pertenecen.
Tpicamente los beacon se envan 10 veces por segundo
Un AP puede configurarse para que no enve beacons, o para
que los enve ocultando su SSID
SSID. Esto se hace a veces como
medida de seguridad, pero los SSID no viajan encriptados por
lo que el SSID se puede averiguar capturando un mensaje de
otra estacin
Adems de esperar a recibir beacons las estaciones pueden
enviar mensajes probe request (sonda pregunta) buscando
APs. Un AP est obligado a responder con un probe response
si:
El probe request indicaba el SSID del AP
El probe request indicaba un SSID de 0 bytes (SSID broadcast)

Asociacin
Si una red inalmbrica, o sea un SSID, no tiene configurada
g
ninguna proteccin cualquier estacin puede conectarse a ella
asocindose a uno de sus APs (normalmente al que le enve
una seal ms intensa)
Cada AP de la red inalmbrica mantiene en todo momento una
relacin de las estaciones que tiene asociadas (identificadas
por sus direcciones MAC)
En redes inalmbricas la asociacin a un AP equivale a
conectarse por cable a un switch en una red ethernet
Cuando un AP recibe una trama del DS mira si el destino est
en su lista de MACs asociadas. Si lo est enva la trama por
ad o, si
radio, s noo la
a descarta.
desca a
El funcionamiento de un AP es similar al de un switch LAN,
salvo que el AP no inunda por la red inalmbrica las tramas que
le llegan por el DS con destino desconocido

Itinerancia ((Handoff o roaming)

g)
Una estacin no puede estar asociada a ms de un AP a la vez vez.

Si se aleja de un AP y se acerca a otro deber reasociarse, es
decir desasociarse del primer AP y asociarse al segundo
(suponiendo que ambos pertenecen al mismo ESS ESS, es decir
tienen el mismo SSID)
Si el proceso se realiza con suficiente rapidez es posible que no
se pierdan
i d paquetes.t El concepto
t dde rpido
id d
depende:
d
Del grado de solapamiento de las reas de cobertura de los dos
APs
De
D lla velocidad
l id d con que se est
t moviendo
i d lla estacin
t i

Autentificacin
Una red
U d iinalmbrica
l b i sini proteccin
t i esta
t muy expuesta
t a
ataques. Para evitarlos se debe utilizar algn protocolo de
proteccin, como WEP, WPA, etc.
Cuando se utiliza proteccin la red va a obligar a las estaciones
a autentificarse antes de asociarlas
La autentificacin se hace antes de asociarse y no se hace al
reasociarse.
Cuando una estacin cambia de AP dentro de un mismo SSID
solo tiene q que reasociarse,, no reautenticarse
La autentificacin se hace con un determinado SSID, la
asociacin con un determinado BSSID

Proceso de conexin de una estacin en

802 11
802.11
No Autenticado No Autenticado
No Asociado No Asociado
Autenticacin Deautenticacin
SSID: patata
Autenticado Autenticado
No Asociado No Asociado
Asociacin Deasociacin
Autenticado Reasociacin Autenticado Reasociacin Autenticado

Asociado Asociado Asociado
BSSID: 000B86A867C1 BSSID: 000B86A882E1 BSSID: 000B86A87781

Organizacin de una red 802.11

Normalmente los APs se conectan a conmutadores ethernet con
alimentacin integrada en el conector RJ45 (power over
Ethernet, 802.3af) para simplificar y abaratar la instalacin
Todos los AP de un mismo SSID se conectan a la misma VLAN
Un servidor DHCP se encarga de suministrar direcciones IP a
las estaciones cuando se conectan al SSID
A veces interesa ofrecer diferentes servicios en una misma red
g
inalmbrica. Para ello algunos APs ppermiten configurar
g ms de
un SSID simultneamente. Cada SSID puede tener diferentes
permisos, polticas de uso, etc.
Al tener cada AP ms de un SSID su conexin al DS debe
hacerse mediante un puerto trunk

SSID en la red de la UZ
Inicialmente:
Wiuz-1(Red abierta con nocat)
Wiuz-2 (802.1X)
Posteriormente:
Wiuz-1 Wiuz
Wiuz 2 Eduroam (802.1X
Wiuz-2 (802 1X EAP-TTLS
EAP TTLS /WPA/WPA2)

SSID en la red de la UZ
MAN Unizar
PacketShaper Cisco WLSE
Puntos de Acceso CISCO AIRONET 1100 SERIES

WIRELESS ACCESS POINT
WDS
Vlan 266
Vlan 896 (LOCAL) GESTION
Vlan 640 OPEN

SSID: wiuz
155 210 x y
155.210.x.y
802.1x
Gateway -NoCat Vlan 641 SSID
DHCP eduroam

Eduroam
Eduroam (educational roaming) es un servicio de
itinerancia para usuarios de las redes acadmicas
europeas
Se basa en el intercambio de credenciales
usuario/password entre servidores RADIUS de
diferentes instituciones de forma que se permita el
acceso transparente a recursos remotos
remotos, p
p. ej
ej. red
inalmbrica de otra organizacin.
Esta extendido por toda Europa y tambin por Japn
y Australia. Solo Canada en Amrica

Enlazar servidores
RADIUS y d delegar
l
on
.uk
autenticacin en el
lond
servidor origen del

i
un
@
@
usuario
un
ilo
nd
m .es on
.u
up k
@
Resto dominioss
Infraestructura
wireless no cambia

BSC UPO
CESCA US
CTTC EHU
ICFO RedIRIS
UAB UA
UdG UAH
UdL UAM
UPC UC3M
UPF UCLM
URL UCM
URV UIB
UVic UIMP
XTEC UJI
CSIC ULPGC
CTI UM
RECETGA UMH
CESGA UNAVARRA
UDC UNED
USC UNICAN
UVIGO UNILEON
RICA UNIOVI
CICA UNIRIOJA
UAL UNIZAR
UCA UPCT
UCO UPM
UGR UPV
UHU USAL
UMA UV
UVA
Introduccin
Arquitectura
Conectividad
Nivel fsico
Puentes inalmbricos
Seguridad

Modelo de Referencia de 802.11
Subcapa LLC (802.2)
Subcapa MAC:
Capa de A
Acceso all medio
di (CSMA/CA)
enlace Acuses de recibo
Fragmentacin
Confidencialidad (WEP)
PLCP (Physical Layer Convergence Procedure)

Capa
fsica PMD ((Physical
y Media Dependent)
p )
Infrarrojos FHSS DSSS HR/DSSS OFDM DSSS-OFDM

802.11 802.11 802.11 802.11b 802.11a 802.11g

Evolucin de 802.11
Fecha Estndar Velocidad Rendimiento Medio fsico Alcance Alcance
(Th
(Throughput)
h t) i t i
interior exterior
t i
1986 Propietario 860 Kb/s FHSS 900 MHz 20 m 100 m
1993 Propietario 2 Mb/s 0,9 Mb/s FHSS 2,4 GHz 20 m 100 m
1997 802.11 2 Mb/s 0,9 Mb/s Infrarrojos 20 m 100 m
(legacy) FHSS 2,4 GHz
DSSS 2,42 4 GHz
1999 802.11a 54 Mb/s 23 Mb/s OFDM 5,7 GHz 35 m 120 m
1999 802.11b 11 Mb/s 4,3 Mb/s DSSS 2,4 GHz 38 m 140 m
2003 802.11g 54 Mb/s 19 mb/s OFDM 2,4 GHz 38 m 140 m
6/2009 802.11n 248 Mb/s 74 Mb/s MIMO 2,4 GHz 70 m 250 m
(est.) y 5 GHz
6/2008 802.11y 54 Mb/s 23 Mb/s 3,7 GHz 50 m 5 Km
(est.)

Subcapa PLCP
Capa fsica. Capa
(Physical Layer Convergence Protocol)
fsica Subcapa PMD

S
Subcapa PLCP (Physical Medium Dependent)
La subcapa PLCP desempea las funciones que son comunes a todos

los medios de transmisin
La subcapa PLCP incorpora una cabecera que se antepone a la trama
MAC. La trama as construida es la que se transmite en el medio fsico
Las principales funciones que desempea la cabecera PLCP son:
Establecer la sincronizacin entre emisor y receptores a fin de que
interpreten correctamente el principio de cada bit y de la trama misma
Indicar la velocidad de transmisin utilizada
Dar tiempo
p a los receptores
p de elegir
g la mejor
j antena,, en caso de utilizar
antenas diversidad (lo vemos luego)

Espectro radioelctrico: regulacin

La zona del espectro electromagntico utilizada para emisiones de
radio se denomina espectro radioelctrico, y abarca desde 9 KHz hasta
300 GHz
A nivel mundial el espectro radioelctrico est regulado por la ITU-R,
es decir la ITU-R decide quien puede emitir en cada banda de
frecuencias, y bajo que condiciones
Para emitir en la mayora de las bandas se requiere autorizacin
(
(licencia)
)
La ITU-R divide el mundo en tres regiones:
Regin 1: EMEA (Europa. Medio Oriente y frica)
Regin 2: Amrica
Regin 3: Asia y Oceana
Cada regin una tiene una regulacin diferente. Adems muchos pases
imponen regulaciones adicionales propias.

Bandas ISM
La ITU-R ha previsto unas bandas, llamadas ISM (Industrial-
Scientific-Medical) en las que se puede emitir sin licencia
Algunos telfonos inalmbricos (los DECT no), algunos mandos
a distancia y los hornos de microondas hacen uso de las
bandas ISM. De esta forma no hay que pedir licencia al comprar
un horno de microondas
Las redes inalmbrica utilizan siempre
p bandas ISM,, p pues no
sera viable pedir licencia para cada red inalmbrica que se
quisiera instalar
La emisin en la banda ISM, aunque no est regulada debe
cumplir unas condiciones bastante estrictas en la potencia
mxima de emisin y el tipo de antena utilizado

Bandas ISM de la ITU-R

Banda Anchura Regin ITU-T Uso en WLAN
6,765 6,795 MHz 30 kHz Todas No
13,553 13,567 MHz 14 kHz Todas No
26,957 27,283 MHz 326 kHz Todas No
40,66 40,70 MHz 40 kHz Todas No
433.05 434,79 MHz 174 kHz 1 (EMEA) No
Telefona GSM 902 928 MHz 26 MHz 2 (Amrica) Sistemas propietarios antiguos
((solo en Amrica))
Hornos de 2,4 2,5 GHz 100 MHz Todas 802.11, 802.11b, 802.11 g
microondas
5,725 5,875 MHz 150 MHz Todas 802.11 a
24 24.25
24 25 GHz 250 MHz Todas No
61 61,5 GHz 500 MHz Todas No
122 123 GHz 1 GHz Todas No
244 246 GH
GHz 2 GH
GHz Todas No

Banda de 2,4
, GHz (802.11b/g)
( g)
E
Es la
l ms utilizada
tili d
La utilizan tres estndares:
802.11
802 11 (legacy): FHSS y DSSS: 1 y 2 Mb/s
802.11b: HR/DSSS: 5,5 y 11 Mb/s
802.11g: DSSS-OFDM: de 6 a 54 Mb/s
Cada estndar es compatible con los anteriores, es decir
un equipo 802.11g siempre puede interoperar con uno
802 11b y ambos con uno 802
802.11b 802.11
11 legacy

Estndares 802.11 a 2,4
, GHz
Radio Codificacin Potencia Velocidad 802.11 802.11b 802.11g
max. ((Mb/s)) legacy
g y
FHSS Barker 100 mW 1 X
2 X
DSSS B k
Barker 100 mW
W 1 X X X
2 X X X
DSSS CCK 100 mW 5,5 X X
11 X X
DSSS OFDM 30 mW 6 X
9 Opc
Opc.
12 X
18 Opc.
24 X
36 Opc.
48 Opc
Opc.
54 Opc.

Espectro disperso
Debido a su carcter no regulado las bandas ISM son un medio
hostil pues normalmente tienen un nivel de ruido elevado e
interferencias
p
Para superar esos inconvenientes lo mejor
j p posible se utilizan
tcnicas de espectro expandido o espectro disperso (spread
spectrum, SS). En redes inalmbricas se emplean dos tipos:
Por salto de frecuencia (Frequency Hopping, FHSS). Se empleaba
en las primeras redes 802
802.11,
11 hoy en da esta en desuso
desuso. Se sigue
empleando en 802.15 (Bluetooth)
Por secuencia directa (Direct Sequence, DSSS). Se emplea en
todas las redes 802.11 actuales

Espectro
p disperso
p p
por salto de
frecuencia (FHSS)
Inventado ppor la actriz austraca ((e ingeniero

g de
telecomunicaciones) Hedy Lamarr en 1941, como sistema de radio
para guiar los misiles de los aliados contra Hitler
El emisor y el receptor van cambiando continuamente de
f
frecuencia,
i siguiendo
i i d una secuencia i previamente
i t acordada
d d
Para emitir se emplea un canal estrecho y se concentra en l toda
la energa
E 802.11
En 802 11 se utilizan
tili 78 canales
l d de 1 Mhz
Mh y se cambia
bi d
de canall
cada 0,4 segundos. En Bluetooth se cambia ms a menudo
Puede haber diferentes emisores simultneos si usan distinta
secuencia o si usan la misma pero no van sincronizados

Espectro
p disperso
p p
por Secuencia Directa
(DSSS)
El emisor utiliza un canal muy ancho y enva la informacin
codificada con mucha redundancia. La energa emitida se reparte
en una banda ms ancha que en FHSS
Se confa en que el receptor sea capaz de descifrar la informacin,
aun en el caso de que se produzca alguna interferencia en alguna
frecuencia
El canal permanece constante todo el tiempo
En 802.11 se utilizan canales de 22 MHz
Puede haber diferentes emisores simultneos si usan canales
diferentes no solapados

Frequency Hopping vs Direct Sequence

2,4835 GHz C. 78 2,4835 GHz
C. 73 Canal 13
encia
ncia
C. 58
Frecuen
Frecue
C. 45
0,4 s Canal 7 Interferencia
Interferencia
C. 20
1 MHz C. 9 22 MHz Canal 1
2,4 GHz 2,4 GHz

Tiempo Tiempo
Frequency Hopping Direct Sequence
El emisor cambia de canal continuamente El canal es muy ancho; la seal contiene

(unas 50 veces por segundo) mucha informacin redundante
Cuando el canal coincide con la interferencia Aunque haya interferencia el receptor puede
la seal no se recibe;; la trama se retransmite extraer los datos de la seal
en el siguiente salto



1 MHz
100
cia (mW/Hz)
W/Hz)
otencia (mW
Potenc
22 MHz
Po
Frecuencia (MHz) Frecuencia (MHz)

Frequency Hopping Direct Sequence
Seal concentrada, gran intensidad Seal dispersa, baja intensidad

Elevada relacin S/R Reducida relacin S/R
rea bajo la curva: 100 mW rea bajo la curva: 100 mW
Ampliacin
Servicio de Informtica y Comunicaciones - Universidad Redes 7-49
de Zaragoza
FH permite mayor nmero de emisores simultneos y

soporta mejor la interferencia por multitrayectoria
(rebotes)
DS permite mayor capacidad (802.11b). La interferencia
multitrayectoria se resuelve con antenas diversidad
Hoy
H en d da FH no se utiliza
tili en 802
802.11,
11 solol en Bl
Bluetooth
t th
(802.15)

Interferencia debida a la multitrayectoria

Seales recibidas
Techo
Tiempo
Resultado combinado
Obstruccin
Tiempo
Suelo
Se produce interferencia debido a la diferencia de tiempo entre la seal que llega

directamente y la que llega reflejada por diversos obstculos.
La seal puede llegar a anularse por completo si el retraso de la onda reflejada coincide con
media longitud de onda. En estos casos un leve movimiento de la antena resuelve el
problema.
FHSS es ms resistente a la interferencia multitrayectoria que DSSS. Pero hoy en da este
problema se resuelve con antenas diversidad en DSSS
Longitud de onda a
2,4 GHz: 12,5 cm
Antenas diversidad
Se utilizan normalmente en los puntos de acceso para minimizar la

interferencia multitrayectoria. El proceso es el siguiente:
El equipo
i recibe
ib lla seal
l por llas d
dos antenas
t y compara, eligiendo
li i d
la que le da mejor calidad de seal. El proceso se realiza de forma
independiente para cada trama recibida, utilizando el prembulo
(128 bits en 2
2,44 GHz) para hacer la medida
Para emitir a una estacin se usa la antena que di mejor seal la
ltima vez que se recibi algo de ella
Si la emisin falla (no se recibe el ACK) cambia a la otra antena y
reintenta
Las dos antenas cubren la misma zona

Canales a 2
2,4
4 GHz (802.11b/g)
(802 11b/g)
Canal Frecuencia Regin o pas
central (MHz)
Amrica/China EMEA Japn Israel
1 2412 X X X -
2 2417 X X X -
3 2422 X X X X
4 2427 X X X X
5 2432 X X X X
6 2437 X X X X
7 2442 X X X X
8 2447 X X X X
9 2452 X X X X
10 2457 X X X -
11 2462 X X X -
12 2467 - X X -
13 2472 - X X -
14 2484 - - X -
Anchura de canal: 22 MHz EMEA: Europa, Medio Oriente y frica

Distribucin de canales 802.11b/g

Canal 1 2 3 4 5 6 7 8 9 10 11 12 13 14
4 8 12
3 7 11
2,4 GHz 2,5 GHz
2 6 10 14
1 5 9 13
1 5 9 13
Europa
u opa (canales
(ca a es 1 a 13)
3)
1 6 11
Amrica / China (canales 1 a 11)
1 6 11 14
Japn (canales 1 a 14)
3 9
Israel (canales 3 a 9)
22 MHz

Dominios regulatorios
United States, Canada, Mexico, America Samoa, Antigua and Barbuda, Argentina, Aruba, Ashmore and Cartier
Amrica Islands Australia
Islands, Australia, Bahamas
Bahamas, Baker Island
Island, Barbados
Barbados, Bermuda
Bermuda, Bolivia
Bolivia, Bouvet Island
Island, Brazil
Brazil, Cameroon
Cameroon, Central
African Republic, Chad, Chile, China, Christmas Island, Clipperton Island, Cocos Island, Colombia, Cook Island,
Coral Sea Islands, Costa Rica, Ecuador, El Salvador, Europa Island, Faroe Islands, Fiji, Glorioso Islands, Grenada,
Guadeloupe, Guam, Guatemala, Guyana, Haiti, Heard Island, Honduras, Hong Kong, Jamaica, Kingman Reef,
Malawi, Malaysia, Mali, Marshall Islands, Midway Islands, Navassa Island, New Caledonia, New Guinea, New
Zealand Nicaragua
Zealand, Nicaragua, Niger
Niger, Nigeria
Nigeria, Norfolk Island
Island, Northern Mariana Islands
Islands, Palau
Palau, Palmyra Atoll
Atoll, Panama
Panama, Papua
New Guinea, Paracel Islands, Paraguay, Peru, Phillippines, Pitcairn Islands, Puerto Rico, Russia, Saint Kitts and
Nevis, Saint Lucia, Saint Pierre and Miquelon, Saint Vincent and the Grenadines, Samoa, Saudi Arabia, Solomon
Islands, South Korea, Spratly Islands, Taiwan, Togo, Tonga, Trinidad and Tobago, Tromelin Island, Turks and
Caicos Islands, Uruguay, US Virgin Islands, Venezuela, Wake Island, Western Sahara
Af h i t
Afghanistan, Albania,
Alb i Al Algeria,
i AAndorra,
d A
Angola,
l AAngullia,
lli AArmenia,Austria,
i A ti A Azerbaijan,
b ij B
Bahrain,
h i B Bangladesh,
l d h
EMEA Bassas da India, Belarus,Belgium, Belize, Benin, Bhutan, Bosnia, Botswana, British Indian OceanTerritory, British
Virgin Islands, Brunei, Bulgaria, Burkina Faso, Burma,Burundi, Cambodia, Cape Verde, Cayman Islands, Comoros,
Cote dIvoire, Croatia, Cyprus, Czech Republic, Democratic Republic of the Congo, Denmark, Djibouti, Dominica,
Egypt, Equatorial Guinea, Eritrea, Estonia, Ethiopia, Falkland Islands, Finland, France, French Guiana, French
Pol nesia French So
Polynesia, Southern
thern and Antarctic Lands
Lands, Gabon
Gabon, Gambia
Gambia, Georgia
Georgia, German
Germany, Ghana
Ghana, Gilbraltar
Gilbraltar, Greece
Greece,
Greenland, Guernsey, Guinea, Guinea-Bissau, Hungary, Iceland, India, Indonesia, Ireland, Isle of Man, Israel, Italy,
Ivory Coast, Jan Mayan, Jarvis Island, Jersey, Johnston Atoll, Jordan, Juan de Nova Island, Kazakhstan, Kenya,
Kiribati, Kuwait, Kyrgyzstan, Laos, Latvia, Lebanon, Lesotho, Liberia, Liechtenstein, Lithuania, Luxembourg, Macau,
Macedonia, Madagascar, Maldives, Malta, Martinique, Mauritania, Mauritius, Mayotte, Micronesia, Moldova,
Monaco Mongolia
Monaco, Mongolia, Montserrat
Montserrat, Morocco
Morocco, Mozambique
Mozambique, Namibia
Namibia, Nauru
Nauru, Nepal
Nepal, Netherlands
Netherlands, Niue
Niue, Norway
Norway, Oman
Oman,
Pakistan, Poland, Portugal, Qatar, Republic of the Congo, Reunion, Romania, Rwanda, Saint Helena, San Marino,
Sao Tome and Principe, Senegal, Serbia, Seychelles, Sierra Leone, Singapore, Slovak Republic, Slovenia,
Somalia, South Africa, South Georgia, Spain, Sri Lanka, Sudan, Suriname, Svalbard, Swaziland, Sweden,
Switzerland, Syria, Tajikistan, Tanzania, Thailand, Tokelau, Tunisia, Turkey, Turkmenistan, Tuvalu, Uganda,
Ukraine United Arab Emirates
Ukraine, Emirates, United Kingdom,
Kingdom Uzbekistan,
Uzbekistan Vanuatu
Vanuatu, Vatican City
City, Vietnam
Vietnam, Wallis and Futuna
Futuna,
Yemen, Zaire, Zambia, Zimbabwe

Banda de 5 GHz (802.11a/h)
802.11a
802 11a utiliza la banda de 5 GHz
GHz, que permite canales de
mayor ancho de banda
La tcnica de radio es OFDM (Orthogonal Frequency Division
Multiplexing)
Velocidades como en 802.11g: 6, 9, 12, 18, 24, 36, 48 y 54
Mb/s (6, 12 y 24 son obligatorias)
Incompatible con 802802.11b/g.
11b/g La radio va a distinta frecuencia
En Europa la banda de 5 GHz se empez a usar ms tarde que
en Amrica, pues se exigi que incorporara mecanismos de
j
ajuste dinmico de la frecuencia y la p
potencia ((802.11h)) p
para
evitar interferencia con radares y otros aparatos

Canales 802.11a/h a 5 GHz
Canal Frecuencia central Regin ITU-R o pas
(MHz) Europa Amrica Japn Singapur Taiwan Asia
Anchura de canal: 36 5180 X X X X - -
20 MHz 40 5200 X X X X - -
44 5220 X X X X - -
Europa 48 5240 X X X - - -
Max. pot. 52 5260 X X X - - -
200 mW 56 5280 X X X - - -
60 5300 X X X - - -
64 5320 X X X - - -
100 5500 X - X - - -
104 5520 X - X - - -
108 5540 X - X - - -
112 5560 X - X - - -
Europa 116 5580 X - X - - -
120 5600 X - X - - -
Max pot.
Max. pot
124 5620 X - X - - -
1W
128 5640 X - X - - -
132 5660 X - X - - -
136 5680 X - X - - -
140 5700 X - X - - -
149 5745 - X X X X
153 5765 - X X X X
157 5785 - X X X X
161 5805 - X X X X
165 5825 - X X X -

Funcionamiento de OFDM
OFDM divide el canal en varias subportadoras o subcanales que envan los

datos en paralelo, modulados en una portadora analgica
Los subcanales son ortogonales entre s, con lo que se minimiza la
interferencia y se puede minimizar la separacin entre ellos
En 802.11a el canal se divide en 52 subcanales, cada uno de unos 300 KHz
de anchura
De los 52 subcanales 48 se usan para datos y 4 para correccin de errores

Funcionamiento de OFDM
Utilizando diferentes tipos de modulacin puede variarse el caudal por
subcanal y por tanto el caudal total
L modulaciones
Las d l i ms
eficientes
fi i (64QAM) necesitan
i un canall con mejorj
relacin seal/ruido
Modulacin Bits/smbolo Caudal por Velocidad
subcanal (Kb/s) (Mb/s)
BPSK 1 125 6
BPSK 1 187,5 9
QBPSK 2 250 12
QBPSK 2 375 18
16QAM 4 500 24
16QAM 4 750 36
64QAM 6 1000 48
64QAM 6 1125 54

Ventajas/inconvenientes de 5 GHz (802.11a/h) frente a

2,4 GHz (802.11b/g)
Ventajas:
En 5 GHz hay menos interferencias que en 2,4 GHz: Bluetooth,
hornos de microondas
microondas, mandos a distancia
distancia, etc
etc. En el futuro es
previsible que aparezcan ms equipos que utilicen la banda de 5
GHz y haya ms interferencia
En 5 GHz hay ms canales no solapados (19 frente a 4). Es ms
fcil evitar interferencias,
interferencias especialmente al disear una cobertura
celular
Inconvenientes de 5 GHz:
Menor alcance en APs (antenas omnidireccionales)
Mayor costo de los equipos emisores/receptores
Mayor consumo (menor duracin de las bateras)

Relacin velocidad/alcance
Las seales de 5 GHz

tienen menor alcance
que las de 2,4 GHz
30 60 90
Rango (metros)

Alcance relativo de 802
802.11a,
11a b y g
Broadband.com
(11 Mb/s) (54 Mb/s)
802.11a necesita mas APs para cubrir la misma rea

Rendimiento de WLANs
El rendimiento real mximo suele ser el 50-60% de la velocidad
nominal. Por ejemplo con 11 Mb/s se pueden obtener 6 Mb/s en
ell mejor
j dde llos casos.
El overhead se debe a:
Medio compartido half-duplex
Mensajes de ACK (uno por trama)
Protocolo MAC (colisiones, esperas aleatorias, intervalos
DIFS y SIFS entre tramas)
Transmisin del Prembulo PLCP
Mensajes RTS/CTS (si se usan)
Fragmentacin
g ((si se p
produce))

Rendimientos mximos esperados de redes 802.11 (en Mb/s)
Distancia (m) 802.11b 802.11a 802.11g 802.11g 802.11g

puro mixto con mixto con
CTS-to-self RTS/CTS
3 5,8 24,7 24,7 14,7 11,8
15 5,8 19,8 24,7 14,7 11,8
30 5,8 12,4 19,8 12,7 10,6
45 5,8 4,9 12,4 9,1 8,0
60 3,7 0 4,9 4,2 4,1
75 16
1,6 0 16
1,6 16
1,6 16
1,6
90 0,9 0 0,9 0,9 0,9

Introduccin
Arquitectura
Conectividad
Nivel fsico
Puentes inalmbricos
Seguridad

Antenas ms habituales
Antena dipolo omnidireccional Antena de parche para montaje
de 2,14 dBi de ganancia en pared interior o exterior (8,5 dBi)
Alcance: 3 Km a 2 Mb/s,, 1 Km a 11 Mb/s
Radiacin horizontal

Antenas
La ganancia de una antena es una medida relativa de la intensidad de
la seal emitida en comparacin con la intensidad con que emitira una
antena isotrpica
p a la misma distancia y con la misma p potencia de
emisin
Se suele expresar en dBi (decibel isotrpico). El dato se suele dar para
la direccin en la que la intensidad (y por tanto la ganancia) es mxima
Una antena isotrpica tiene una ganancia de 0 dBi en todas
direcciones. Su diagrama de radiacin tridimensional sera un baln de
ftbol
Los tipos de antenas utilizados en redes 802.11 son los siguientes:
g
Omnidireccionales, que transmiten en todas direcciones en el plano
horizontal (diagrama toroidal, como un donut). Son las de menor ganancia
(2-6 dBi dependiendo de lo aplastado que est el toro)
Antenas de parche
p ((6-10 dBi de g
ganancia))
Antenas yagi (13 dBi)
Antenas parablicas (20 dBi)
Las ms habituales son las omnidireccionales, seguidas de las tipo
parche Las yagi y parablicas se utilizan sobre todo en puentes
parche.
inalmbricos

Antenas de alta ganancia

Antena Yagi exterior (13,5 dBi) Antena Parablica exterior (20 dBi)
Alcance: 6 Km a 2 Mb/s, 2 Km a 11 Mb/s Alcance: 10 Km a 2 Mb/s, 5 Km a 11 Mb/s

Relacin antena-potencia
Relacin ganancia-potencia
Las normativas fijan una para 802.11b
potencia mxima de emisin y
una densidad de potencia Ganancia (dBi) Pot. Mx. (mW)
(potencia por unidad de
superficie). Por tanto con una 0 100
antena de mucha g ganancia es
preciso reducir la potencia 2,2 50
(esto no es controlado por los
equipos) 5,2 30
L llmites
Los it varan
segn ell 6 30
dominio regulatorio. Por
ejemplo en EMEA (Europa, 8,5 5
Medio Oriente y frica) los 12 5
lmites son los de la tabla
adjunta. 13,5 5
21 1


Para la ubicacin de los APs se ha de tomar en cuenta
l fforma del
la d l edificio
difi i o rea a cubrir,
b i ell grosor d
de llos
tabiques y forjados y su material
Si es posible conviene hacer pruebas preliminares
preliminares, y
replanteos en caso necesario
j
Se deben ajustar los canales de los APs y su p potencia
para minimizar interferencias entre ellos
Normalmente en interior se utilizan antenas
omnidireccionales y en e exterior
terior antenas de parche

LAN inalmbrica en un almacn (caso 1)
Tomas RJ45 (100BASE-TX) disponibles por todo el almacn para conexin de los AP
Antenas omnidireccionales de mstil de alta ganancia (5,2 dBi)
Canal 1 Canal 13 Canal 7
260 m
C
Canal
l7 C
Canal
l1 Canal 13
600 m
LAN inalmbrica en un almacn (caso 2)
Tomas RJ45 (100BASE-TX) disponibles slo en un lado del almacn
Antenas Yagi (13,5 dBi) y Dipolo diversidad(2,14 dBi)
Canal 1
Canal 13
Canal 7
260 m
Canal 13
Canal 7
Canal 1
600 m
LAN inalmbrica en un campus
p
Antenas dipolo diversidad (2,14dBi) en las aulas y de parche (8,5 dBi) montadas en
pared para el patio
Aula 1 Aula 2 Aula 3 Aula 4

Canal 6
Canal 11 Canal 1
Pasillo
260 m
Aula 5 Aula 6 Aula 7 Aula 8
Canal 6 Canal 11 Canal 1
Edificio Patio
600 m

Dependiendo de la estructura y forma del edificio normalmente en
802.11g cada AP puede dar cobertura a una superficie de 300 a
1000 m2
En algunos casos la seal puede atravesar 2-3 paredes, en otros
puede cubrir plantas contiguas
Si se instala una densidad de APs excesiva los equipos se
interfieren mutuamente. En esos casos es conveniente reducir la
potencia de cada AP
Si se prev un gran nmero de usuarios o se quiere dar gran
rendimiento
di i iinteresa que llas celdas
ld sean pequeas. EEntonces
interesa poner mas APs que los estrictamente necesarios con
potencia de emisin reducida (p. ej. en un gran saln de
conferencias)

Diseo del Edificio de Investigacin

1054 m2/AP
C5 C5
Quinta
C1 C1
Cuarta
C9 C9
Tercera
C5 C5
Segunda
C 13 C 13
Primera
C1 C1
Baja
j
C5 C5
Stano
Escalera Escalera Escalera Planta

Ascensores Ascensores Ascensores
Funciones adicionales
La red puede ofrecer tambin funciones adicionales

adicionales, por
ejemplo:
Monitorizacin: algunos APs no se usan para emitir sino para
recibir la seal de otros y comprobar que todo esta correcto
Localizacin: con equipos de localizacin especiales se puede
averiguar donde esta ubicada una estacin a partir de la seal que
emite a los APs prximos. Esto es especialmente til en hospitales,
por ejemplo
Para poder utilizar estas funciones es preciso instalar mayor
densidad de APs que los estrictamente necesarios para dar
cobertura a un edificio

Software para planificar despliegues
Ekahau site survey

Software para evaluar despliegues

Gestin de redes inalmbrica

APs FAT vs APs THIN
Existen
E i t bsicamente
b i t d dos modelos
d l d de gestin
ti dde redes
d iinalmbricas:
l b i
APs FAT (gordos): los APs pueden funcionar de forma autnoma,
cada uno contiene todo el software y configuracin.
APs THIN(
THIN(delgados):
delgados ): los APs no pueden funcionar solos solos, para ello
necesitan estar conectados a un equipo de control, que contiene la
configuracin y el software
En los sistemas THIN el equipo de control se encarga de ajustar en
cadad AP ell canall y lla potencia
t i iintentando
t t d minimizar
i i i iinterferencias.
t f i
Tambin se pueden detectar, e incluso neutralizar, APs piratas
(llamados rogue APs) que pueden estar interfiriendo con la red legal
o que pueden suponer un agujero de seguridad

APs FAT vs APs THIN
Los sistemas THIN son normalmente ms caros q que los FAT,, p

pero
ms cmodos de gestionar. Se utilizan sobre todo en redes grandes
(con muchos APs).
Los fabricantes actuales de THIN APs son:
Trapeze networks (www.trapezenetworks.com): vendido tambin
por 3Com
Aruba networks (www.arubanetworks.com): vendido tambin por
Al t l y N
Alcatel Nortel
t l
Cisco-Airspace (www.cisco.com): Cisco
Todos los sistemas de THIN Aps actuales son propietarios. El IETF
h creado
ha d ell grupo dde ttrabajo
b j CAPWAP (Control
(C t l and dP
Provisioning
i i i off
Wireless Access Points) con el objetivo de elaborar protocolos
estandarizados para la gestin de sistemas basados en APs THIN

Gestin de Puntos de Acceso en UZ

Cisco Wireless Lan Solution Engine (WLSE)
Usos WLSE:
IDS
Detector de fallos
Actualizacin del firmware
Generacin de reports
Configurar canales
Mapas de cobertura
Control de usuarios

IDS- ROGUE ACCESS POINT

DETECTOR DE FALLOS

GENERADOR DE MAPAS

Los Rogue APs son APs piratas que han

sido detectados por los APs legales
Estos seguramente son APs que tienen el

mismo canal y estn muy cerca entre s

Hardware Instalado en la UZ
Puntos de Acceso
66 Ci
Cisco 1100
360 Cisco 1131 (Activos 802.11b/g)
15 Cisco 1241 (Exteriores)
( )
4 Cisco 1300 (Enlace entre edificios)
Equipamiento de Gestin
3SServidores
id
1 appliance Cisco WLSE
p en modo WDS
9 Ap

Introduccin
Arquitectura
Conectividad
Nivel fsico
Puentes inalmbricos
Seguridad

Puentes inalmbricos entre LANs
Los sistemas de transmisin va radio de las LANs inalmbricas

pueden aprovecharse para unir LANs entre s
Esto permite en ocasiones un ahorro considerable de costos en
alquiler de circuitos telefnicos
Los dispositivos que se utilizan son puentes inalmbricos, parecidos a
los puntos de acceso
Como en este caso los puntos a unir no son mviles se pueden usar
antenas muy direccionales, con lo que el alcance puede ser
considerable
Un ppuente ppuede actuar al mismo tiempo
p de p punto de acceso
inalmbrico

Configuracin punto a punto
Hasta 10 Km
Visin directa
Cable coaxial de 50 de
baja atenuacin lo ms corto
posible (30 m max.)
Ethernet Ethernet
Restricciones ETSI: Ganancia mxima: 20 dBi (antena parablica)

Potencia mxima: 100 mW
(pero ambas cosas a la vez no estn permitidas)
Alcance mximo: 10 Km (visin directa)

Calculadora de alcances en funcin de potencias, ganancias, etc.:
http://www.cisco.com/en/US/products/hw/wireless/ps458/products_tech_note09186a008009459b.shtml

Configuracin multipunto Antena omnidireccional o de

parche ((o varias p
p parablicas))
Antena direccional
(parche, yagi o parablica)
Capacidad compartida por todos los enlaces

si se usa una sola antena y un solo emisor
de radio en la sede central.
Si se usan varias antenas y emisoras se
puede tener capacidad dedicada para cada
enlace.

Qu se entiende por visin directa?

No
N bbasta
t con ver lla otra
t antena,
t es preciso
i ttener una visin
i i h
holgada
l d
Se requiere una elipse libre de obstculos entre antenas. Esto se debe a la difraccin de la
seal de radio en los objetos prximos
La vegetacin puede crecer y obstaculizar la visin en alguna poca del ao
d + 2/2
d + /2
d
Primera zona Fresnel
Segunda zona Fresnel
Anchura zona Fresnel para 2,4 GHz:
Distancia 100 500 2 Km 10

m m Km
1 Zona Fresnel 3,5 m 8m 16 m 36 m
2 Zona Fresnel 5m 12 m 22 m 50 m

Tcnicas para aumentar el alcance
Canal 10 Canal 11
Edificio A Edificio B Edificio C
Hasta Hasta
10 Km 10 Km
Hasta 54 Mb/s dedicados (half-duplex) para cada enlace.

En B se puede usa
usar dos pue
puentes
tes o bien
b e uno
u o con
co dos etapas de radio
ad o
Edificio A Canal 10 Edificio B Canal 10 Edificio C
Hasta Hasta
10 Km 10 Km
Hasta 54 Mb/s
Mb/s, compartidos entre ambos enlaces
Posible problema de estacin oculta (entre A y C). Necesidad de utilizar mensajes RTS/CTS

Tcnicas para aumentar la capacidad

(agregacin de enlaces)
Canal 1
C
Canal
l7
Canal 13
Hasta 54 x 3 = 162 Mb/s
Imprescindible utilizar en este caso

canales no solapados
Introduccin
Arquitectura
Conectividad
Nivel fsico
Puentes inalmbricos
Seguridad

Hoy en da
da, las Wireless LAN se estn convirtiendo
poco a poco en parte esencial de las redes LAN
tradicionales:
Bajos
B j costes
t de
d iinstalacin
t l i
Disponibilidad
No requiere de software adicional
Movilidad
La implantacin se est realizando a mayor velocidad
en los entornos domsticos y PYMES frente a
grandes empresas
Este mercado est menos concienciado de los
problema de seguridad
El aire es un medio inseguro
Los estndares iniciales tienen muchos problemas de
seguridad

Desafios en una red wireless

Cualquiera dentro de un radio de 100 metros
puede ser un intruso potencial
Las acreditaciones del usuario se deben

poder intercambiar con seguridad
Debe ser capaz de asegurar la conexin con

la red de trabajo correcta
Los datos se deben poder transmitir con

seguridad a travs de la utilizacin
apropiada de llaves de encriptacin

Conceptos bsicos
ESSID: Extended Service Set Identifier

SSID: cadena de 32 caracteres como mximo que es necesario
conocer para unir un cliente a la red.
Beacon Frames: p paquetes
q q
que transmite un AP p
para anunciar su
disponibiidad y caractersticas.
WEP: Wired Equivalent Privacy, protocolo de encriptacin a nivel
2 para redes Wireless puede ser WEP64WEP64, WEP128 y hasta 256256.
OSA: Open System Authentication
SKA: Shared Key Authentication
ACL: Access Control List
List, mtodo mediante el cual slo se permite
unirse a la red a las direcciones MAC seleccionadas.

AMENAZAS DE LAS REDES WLAN (I)
Escuchas ilegales.
Acceso no autorizado.
Interferencias aleatorias e intencionadas.
Amenazas fsicas.

AMENAZAS DE LAS REDES WLAN (II)
E
Escuchas
h ilegales
il l
Un tercero no autorizado escucha ilegalmente las seales de radio
intercambiadas entre una estacin inalmbrica y un punto de acceso,
comprometiendo la confidencialidad de informacin.
La realizacin de escuchas ilegales es un ataque pasivo, dado que quin

est realizando una escucha ilegal puede escuchar un mensaje sin alterar
los datos, el emisor y el receptor deseado del mensaje pueden ni siquiera
darse cuenta de la intrusin,, evitando poder
p tomar medidas contra l.

AMENAZAS DE LAS REDES WLAN (III)

Acceso no autorizado
Un intruso se introduce en el sistema de una red WLAN disfrazado de un

usuario autorizado. Una vez dentro, el intruso puede violar la
confidencialidad e integridad del trfico de red
E
Esto constituye
i un ejemplo
j l dde ataque activo.
i
Una variante de los accesos no autorizados es el caso de los atacantes que

engaan a las estaciones inalmbricas instalando un punto de acceso ilegal
alternativo, capturando claves secretas y claves de inicio de sesin.
Posible solucin: Mecanismos de autenticacin q que aseguren

g q
que slo los
usuarios autorizados puedan acceder a la red y adems permitir a las
estaciones inalmbricas autenticar a los puntos de acceso sin revelar sus
claves secretas ni contraseas.

AMENAZAS DE LAS REDES WLAN (IV)
Interferencias aleatorias e intencionadas.
Las interferencias de radio pueden degradar seriamente el ancho de

banda (la tasa de transferencia de datos).
Estas interferencias, suponen un ataque de denegacin de

servicios (DoS).
En muchos casos, las interferencias son accidentales, pero tambin

la interferencia puede ser intencionada. Si un atacante dispone de
un transmisor
t i potente,
t t puede d generar una seal
ldde radio
di
suficientemente fuerte como para cancelar las seales ms dbiles,
interrumpiendo las comunicaciones.

AMENAZAS DE LAS REDES WLAN (V)
Amenazas fsicas
Una WLAN utiliza una serie de componentes fsicos,

incluyendo los puntos de acceso, cables, antenas,
adaptadores inalmbricos y software. Los daos sufridos
por cualquiera de estos componentes podran reducir la
intensidad de las seales
seales, limitar el rea de cobertura o
reducir el ancho de banda, poniendo en cuestin la
capacidad
p de los usuarios p
para acceder a los datos y a
los servicios de informacin.

Proteccin de redes Inalmbricas .
Tipo de redes Proteccin

Abiertas Ninguna
Filtrado MAC
Ocultar SSID
Portales Captivos
p
VPN
Cifradas WEP -40 bits
WEP 128 Bits
802.1X WEP
WPA-PSK
WPA Empresa
WPA-Empresa
WPA2-PSK
WPA2-Empresa

Redes Inalmbricas
REDES ABIERTAS
Open Autenticacin
Este tipo de autenticacin se basa en la encriptacin

posterior que se va a hacer de los datos enviados a
travs de la red inalmbrica.
inalmbrica
Aunque
u que un
u cliente
c e e pueda validarse
va da se contra
co a ele punto
pu o de
acceso, si no conoce las claves de encriptacin de los
datos no podr enviar informacin.
Sin embargo, si el administrador de la red no

configura encriptacin WEP (por defecto esta
d
desactivada),
i d ) cualquier
l i usuario i puede
d utilizar
ili la
l redd
wireless sin necesidad de suministrar cualquier tipo
de credencial.

REDES ABIERTAS
Open Autenticacin
Filtrado MAC NO SEGURO

-- Falsificacin de MAC (smac)
Ocultar SSID NO SEGURO
-- Se puede ver (kismet)
Portales Captivos NO SEGURO
-- Falsificacin de MAC (smac)
VPN SEGURO
Dependiendo del tunel por defecto seguro (MitM)

Validacin de estaciones basada en direccin MAC
El punto de acceso dispone de una lista de direcciones MAC de

clientes que pueden utilizar la red inalmbrica limitando de esta
manera la posibilidad de que se produzcan accesos no
autorizados a la red.
MAC-Spoofing: Un posible intruso, con un analizador de

protocolos captura direcciones MAC de clientes y configura su
protocolos,
propia tarjeta WLAN para que tenga una direccin MAC vlida.

Portal Captivo
Un portal captivo es un programa o mquina de una red
informtica qque vigila
g el trfico HTTP y fuerza a los usuarios a
pasar por una pgina especial si quieren navegar por Internet de
forma normal.
A veces esto se hace para pedir una autenticacin vlida
vlida, o para
informar de las condiciones de uso de un servicio wireless.
Un portal cautivo se instala en la puerta de enlace de la red,
puede ser un ordenador haciendo de router, o un router
hardware. El programa intercepta todo el trfico HTTP hasta que
el usuario se autentifica. El portal se encargar de hacer que esta
sesin caduque al cabo de un tiempo.
Tambin puede empezar a controlar el ancho de banda usado
por cada cliente.
cliente

Portal Captivo
p
Se usan sobre todo en redes inalmbricas abiertas, donde
i t
interesa mostrar
t un mensaje j d
de bi
bienvenida
id a llos usuarios
i y para
informar de las condiciones del acceso.
Nos p permite controlar la autenticacin de los usuarios as como
el tiempo de conexin.
http://es.wikipedia.org/wiki/Portal_cautivo
htt // iki di / iki/P t l ti
Nocat, Mikrotik, Pfsense, ZeroShell

Wiuz
Red abierta sin cifrar
Servidor NoCat
Fcil acceso y configuracin
Red con mayor nmero de usuarios
Si restricciones
Sin i i actuales
l

Red WIUZ
RADIUS LDAP
Gateway -NoCat
Cliente DHCP
CISCO AIRONET 1100 SERIES

Acceso al medio
(Sin encriptacin)
Solicitud parametros red (DHCP)
Dir.IP,mscara,gateway,
Dir IP mscara gateway Acceso bloqueado salvo:
servidores DNS, WINS - dns
- http redireccionado
Acceso a internet HTTP
Redireccin HTTP a portal
autenticacin ((HTTPS))
Usuario / password (HTTPS) Usuario/pass Usuario/pass
Ventana de autorizacin / renovacin Usuario OK Usuario OK
automtica GRUPO RADIUS GRUPO LDAP
Acceso a internet
Maquina autorizada

Redes Inalmbricas
REDES CIFRADAS
WEP -40 bits NO SEGURO

WEP 128 Bits NO SEGURO
802.1X WEP SEGURO con rotacin de claves
WPA PSK
WPA-PSK SEGURO dependiendo
d di d de d la
l clave
l
WPA-Empresa SEGURO
WPA2-PSK SEGURO dependiendo de la clave
WPA2 E
WPA2-Empresa SEGURO

Introduccin al WEP
Sistema de encriptacin
p estndar 802.11
Se implementa en la capa MAC
Soportada por la mayora de vendedores
Cifra los datos enviados a travs de las ondas
Utiliza el algoritmo de encriptacin RC4

Funcionamiento WEP
Concatena la llave simtrica compartida, de 40 104 bits, de la
estacin con un vector de inicializacin aleatorio (IV) de 24
Se ggenera un nmero p
pseudo-aleatrio,, de longitud
g igual
g al
payload (datos + CRC), y un valor de 32 bits para chequear la
integridad (ICV)
Esta llave y el ICV, junto con el payload (datos + CRC), se

combinan a travs de un proceso XOR que producir el texto
cifrado
La trama enviada incluye el texto cifrado, y el IV e ICV sin cifrar

Funcionamiento WEP
El ICV acta como checksum, ser utilizado por la
estacin receptora
p para recalcularlo y compararlo
p p con la
recibida
Si el ICV no concuerda con el ICV calculado, se

descarta la trama e incluso al emisor de la misma
El IV se utiliza para descifrar, junto con la llave

simtrica compartida,
p , los datos y el CRC de la trama

Debilidades WEP
Longitud del vector IV insuficiente (24 bits)
El IV se repetir cada cierto tiempo de

transmisin continua para paquetes
distintos, pudiendo averiguar la llave
compartida
Utilizacin de llaves estticas, el cambio de

llave se debe realizar manualmente
A pesar de todo, WEP ofrece un mnimo de

seguridad
Herramientas para crackear WEP

AirSnort
airCrack
Interceptando aproximadamente 100 Mb de trfico

pasamos a tener acceso a 1 Gb
3.000 llaves cada semana son dbiles
2.000 paquetes dbiles son suficientes

para adivinar
di i un passwordd
Ataques
q y vulnerabilidades
Ataques pasivos
Escuchas
Anlisis
s s de ttrfico
co
Ataques activos
Retransmisin de mensajes
Suplantacin de identidades
Denegacin de servicio
Modificacin de mensajes
j

Ataques y vulnerabilidades
El riesgo de utilizacin del keystream
Diccionarios de desencriptacin
Gestin de claves
Autenticacin de mensajes
Modificacin del mensaje

Inyeccin de mensajes
Desencriptacin de mensajes
Redireccin
R di i IP

Redes Inalmbricas
Wi-Fi Protected Access (WPA)
Disponible desde Abril de 2003

Comienzan certificaciones
Obligatorio desde Diciembre 2003
Es ms fuerte que WEP
Se puede actualizar por medio de firmware o software
tanto los PA como las tarjetas
j
Se aprovecha el hardware existente
Se basa en TKIP un protocolo temporal
Uso empresarial basado en 802.1x
WPA HOME: Uso casero basado en PSK (Pre Shared
Key). Tambin se lo llama WPA-PERSONAL

Wi-Fi
Wi Fi Protected Access (WPA)
El protocolo TKIP est compuesto por los siguientes elementos:

-Un cdigo de integracin de mensajes (MIC), encripta el checksum
incluyendo las direcciones fsicas (MAC) del origen y del destino y los
datos en texto claro de latrama 802.11. Esta medida protege contra los
ataques por falsificacin.
-Contramedidas p para reducir la p

probabilidad de q
que un atacante p
pueda
aprender o utilizar una determinada llave.
- Utilizacin de un IV (vector de inicializacin) de 48 bits llamado TSC

(TKIPSequence Counter) para protegerse contra ataques por
repeticin, descartando los paquetes recibidos fuera de orden.

Redes Inalmbricas
WPA Empresarial
Soporta 802.1x
Autenticacin mutua
EAP
Requiere hard cliente actualizado o WPA nativo
Requiere un suplicante que soporte WPA
AP WPA nativo o actualizado
Servidor autenticacin - RADIUS

Redes Inalmbricas
WPA2
Implementacin de 802.11i
802 11i de la WI-FI Alliance
Se requiere nuevos AP
Los PDAs antiguos tampoco sirven
Algunos clientes pueden servir
Septiembre 2004 Primeras Certificaciones
WPA y WPA2 son compatibles
Existe la
l opcin
de
d trabajar
b en modo
d mixto:WPA/WPA2
/ 2
Upgrade de WPA a WPA2:soft,hard
WPA2 Personal password
WPA2 Enterprise 802.1x y EAP
Basado en Algoritmo AES
WPA2 FIPS 140-2

Redes Inalmbricas

Qu es 802.1x
Provee un mtodo para la autenticacin y autorizacin de
conexiones a una RED INALMBRICA
Autenticacin basada en el usuario; puede usar credenciales tales

como contraseas
t o Certificados
C tifi d
Utiliza EAP (Extensible Authentication Protocol) entre la estacin

mvil y el punto de Acceso
Aprovechamiento
p de pprotocolos AAA tales como RADIUS p
para
centralizar autenticacin y autorizaciones

Seguridad 802.1x
Por qu RADIUS
La autenticacin se basa en el usuario, en vez de

basarse en el dispositivo
Elimina la necesidad de almacenar informacin de los

usuarios en cada access point de la RED, por tanto es
considerablemente ms fcil de administrar y configurar
RADIUS ya ha sido ampliamente difundido para otros

tipos de autenticacin en la red de trabajo

Seguridad 802.1x
Protocolo de Autenticacin Extensible (EAP)
Los tipos de autenticacin EAP proveen de

seguridad a las redes 802.1x
Protege las credenciales

Protege la seguridad de los datos
Tipos comunes de EAP

EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco
Wireless (LEAP), EAP-PEAP

Comparativa de protocolos EAP

EAP-TLS (Extensible Authentication Protocol with Transport Layer

Security),protocolo
y),p de autenticacin basado en certificados y soportado
p
por Windows XP.
Necesita la configuracin de la mquina para establecer el certificado e
indicar el servidor de autentificacin.
- PEAP (Protected Extensible Authetication Protocol), proporciona una
autentificacin basada en el password. En este caso, solamente el
servidor de autentificacin necesitara un certificado.
- EAP-TTLS (EAP with Tunneled Transport Layer Security), parecido al
PEAP, est implementado en algunos servidores Radius y en software
diseado para utilizarse en redes 802.11 (inalmbricas).
- LEAP (Li
(Lightweigh
ht i h EAP),
EAP) propiedad
i d d de
d Cisco
Ci y diseado
di d para ser
portable a travs de varias plataformas wireless. Basa su popularidad
por ser el primero y durante mucho tiempo el nico mecanismo de
autenticacin basado en password y proporcionar diferentes clientes
segn el sistema operativo.

Red Eduroam en Unizar
CISCO AIRONET 1100 SERIES


Redes Inalmbricas
Practica : WIFISLAX 3.1

Hacking wireless con la

suite Aircrack

SUITE AIRCRACK
Airmon: activar el modo monitor de las tarjetas
wireless
Airodump: captura de paquetes
Aireplay: inyeccin de paquetes
Ai
Aircrack:
k crackear
k claves
l WEP y WPA
WPA-PSK
PSK
Airdecap: descifrar archivos de capturas WEP/WPA
Packetforge: creacin de paquetes cifrados
Airtun: creacin de interfaces virtuales

Cada AP enva alrededor de 10 p paquetes

q llamados
beacon frames cada segundo. Estos beacon
frames contienen la siguiente informacin:
Nombre de la red (SSID/ESSID)
Cifrado empleado
Velocidades soportadas por el AP
Canal en que se encuentra la red
Esta informacin aparecer en la utilidad que use para
conectarse a la red. Se muestra cuando ordena a su
tarjeta que escanee o busque las redes que estn a
nuestro alcance con iwlist <interface> scan y tambin
cuando ejecutamos airodump-ng.
Cada AP y cada cliente tienen una direccin MAC
nica consistente en 6 pares de nmeros
hexadecimales, por ejemplo 00:01:23:4A:BC:DE.

El SSID (Service Set IDentifier) es un cdigo incluido en todos

los paquetes de una red inalmbrica para identificarlos como
parte de esa red.
El cdigo consiste en un mximo de 32 caracteres
alfanumricos. Todos los dispositivos inalmbricos que intentan
comunicarse entre s deben compartir el mismo SSID.
Existen algunas variantes principales del SSID
SSID, las redes en
infraestructura utilizan el trmino ESSID (E de extendido). Nos
podemos referir a cada uno de estos tipos como SSID en
trminos generales. A menudo al SSID se le conoce como
nombre de la red.
Uno de los mtodos ms bsicos de proteger una red
inalmbrica es desactivar el broadcast del SSID
SSID, ya que para el
usuario medio no aparecer como una red en uso. Sin embargo
no debera ser el nico mtodo de defensa para proteger una red
inalmbrica. Se deben utilizar tambin otros sistemas de cifrado
y autentificacin.

Para conectarnos a una red wireless, tenemos varias

posibilidades. En la mayora de los casos se usa un
sistema de autenticacin abierta (Open Authentication).
El cliente le pregunta al AP acerca de la autenticacin.
El AP contesta:
t t OK OK, estst autenticado.
t ti d
El cliente pregunta al AP sobre la asociacin
El AP contesta: OK, ests conectado.
P d
Podemos encontrar
t algn
l problema
bl cuando
d iintentamos
t t lla
conexin:
WPA/WPA2 est en uso, se necesita autenticacin. El
AP nos denegar la conexin en el segundo paso paso.
El punto de acceso tiene configurada una lista de
clientes permitidos (filtrado MAC/IP), y no permite
conectarse a nadie ms.
El punto de acceso usa autenticacin compartida
(Shared Key Authentication).

GESTIONAR LA CONEXIN WIFI: comandos bsicos
Para algunos comandos como iwconfig y iwlist es necesario tener

instaladas correctamente las linux
linux-wireless-extensions
wireless extensions
iwconfig : sin parmetros, nos dir las interfaces que tenemos
iwconfig [interface] [opcin]
[interface]: tipo eth0,
eth0 ath0
iwconfig ath0: Nos dar toda la informacin de la
configuracin de red inalmbrica (nombre de red,
canal nivel de seal
canal, seal, velocidad
velocidad, potencia
potencia,
encriptacin de wep, punto de acceso.
iwconfig --version: Nos dir la versin que
utilizamos
tili de
d las
l wireless-extensions
i l t i y lla
recomendada para nuestro interface inalmbrico.


[opcion]
[ i ]
essid: aadir nombre de la red.
mode monitor: permite esnifar trfico.
mode ad-hoc: conexin sin AP
mode manager: modo conexin infraestructura
channel: canal de escucha a emplear
freq: seleccionar una frecuencia determinada de
canal
rate:
t fijar
fij lla velocidad
l id d ddell AP
AP, ancho
h dde b
banda
d
frag: valor de fragmentacin
power period: tiempo de actividad para la tarjeta


[opcion]
[ i ]
freq: seleccionar una frecuencia determinada de canal
canal 1 = 2.412G canal 2 = 2.417G canal 3 = 2.422G
canal 13 = 2
2.472G
2G canal 14 1 =2 2.484G
8 G


Ejemplos
Ej l
iwconfig ath0 essid "Wireless 1
iwconfig ath0 mode monitor
iwconfig ath0 mode managed
iwconfig ath0 channel 6
iwconfig ath0 freq 2.412G
2 412G
iwconfig ath0 rate 11M
iwconfig ath0 rate auto
iwconfig ath0 power period 60
man iwconfigg
iwconfig --help

iwlist [interface] [opcin]

[opcion]
scan: muestra informacin de todas las redes
inalmbricas que nuestra tarjeta detecta. En modo monitor
dar cero resultados.
Hay herramientas que dan informacin en tiempo real: kismet.
Airodump en modo monitor puede hacer un barrido en
tiempo real de las redes prximas.
frecuency: mostrar los diferentes valores de frecuencia y
su correspondencia
p en el nmero de canal vlidos ppara
nuestra tarjeta as como la frecuencia y el canal en el que
se encuentra en esos momentos la tarjeta.
rate: Nos indica las velocidad de comunicacin que
nuestra tarjeta soporta as como la velocidad actual
(current bit rate)

iwlist [interface] [opcin]

Ejemplos
Ej l
iwlist ath0 scan
iwlist ath0 frecuency
iwlist ath0 rate
iwlist ath0 channel
man iwlist
iwlist help
lspci: hardware que reconoce nuestro equipo
l
lsmod:
d mdulos
d l iinstalados
t l d

DESCUBRIENDO REDES: SNIFFING
Lo primero que debemos hacer es buscar las redes que tenemos a

nuestro alrededor y decidir cual queremos atacar.
atacar La suite aircrack-
aircrack
ng incluye airodump-ng para esto, pero otros programas como
Kismet tambin se pueden usar.
Antes de empezar a usar estos programas, es necesario poner la
tarjeta wireless en lo que se llama modo monitor. El modo monitor
es un modo especial que permite que nuestra tarjeta escuche y
capture cada paquete wireless. Este modo monitor tambin permite
i
inyectar
t paquetest a una red.d
Para poner la tarjeta wireless en modo monitor:
iwconfig <interfaz> mode monitor
airmon-ng
i start
t t <interfaz>
i t f <canall (opcional)>
( i l)

DESCUBRIENDO REDES: airmon
Este script puede usarse para activar el modo monitor de las

t j t wireless.
tarjetas i l T
Tambien
bi puede
d usarse para parar llas
interfaces y salir del modo monitor. Si escribimos el
comando airmon-ng sin parmetros veremos el estado de
nuestras tarjetas
tarjetas.
airmon-ng <start|stop> <interface> [canal]
airmon-ng start wlan0
airmon-ng start wlan0 8
airmon-ng stop wlan0
airmon-ng
airmon ng


Salida de iwconfig
Si queremos usar ath0: airmon-ng stop ath0


Salida de iwconfig
Si queremos usar ath0

airmon-ng
i start
t t wifi0
ifi0


Salida de iwconfig
Si ath1/ath2/wifi0 estn funcionando en modo

managed, hay que pararlas primero con la opcin
stop.
stop

DESCUBRIENDO REDES: airodump
Airodump-ng se usa para capturar paquetes wireless

802.11 y es til para ir acumulando vectores de
inicializacin IVs con el fin de intentar usarlos con
aircrack-ng y obtener la clave WEP.
Si tenemos un receptor GPS conectado al ordenador,
airodump es capaz de mostrar las coordenadas de los
puntos de acceso que vaya encontrando
encontrando.
Antes de ejecutar airodump-ng, debemos haber usado
el script airmon-ng para conocer la lista de interfaces
wireless
i l d
detectadas.
d


Para buscar redes de forma sencilla:
airodump-ng <interfaz>
Airodump
odu p va a sa
saltando
a do de ca
canal
a een ca
canal
a y muestra
ues a todos
odos los
os
puntos de acceso de los que recibe beacons. El canal
actual se muestra en la parte superior izquierda de la
pantalla de airodump.
p p
Despus de muy poco tiempo algunos APs y algunos
clientes asociados aparecern en airodump.
Para continuar deberamos buscar una red con un cliente
conectado. Adems es preferible detectar encriptacin
WEP y recibir una seal fuerte. Quizs podamos orientar
nuestra antena para mejorar la seal. Con frecuencia unos
pocos centmetros provocan una diferencia sustancial en el
nivel de seal.

airodump-ng
airodump ng <opciones>
opciones <interface>
interface [,
[,<interface>,...]
interface ,...]

airodump-ng nos mostrar una lista de los puntos de

acceso detectados
detectados, y tambin una lista de los clientes
conectados stations

El bloque de datos superior muestra los

puntos de acceso encontrados:
El bloque de datos inferior muestra los

clientes:

BSSID: Direccin MAC del punto de acceso.

PWR: Nivel de seal. Cuanto mayor y sea el PWR ms cerca
estaremos del AP o del cliente. Si el PWR es -1, significa que el
driver no soporta la deteccin del nivel de seal. Si el PWR es -1
para algunos clientes es porque los paquetes proceden del AP
hacia el cliente pero las transmisiones del cliente se encuentran
fuera del rango de cobertura de nuestra tarjeta. Lo que significa que
slo escuchamos la mitad de la comunicacin.
RXQ: Calidad de recepcin calculada a travs del porcentaje de
paquetes (management y paquetes de datos) recibidos
correctamente en los ltimos 10 segundos.
Beacons: Nmero de paquetes beacons enviadas por el AP. Cada
punto de acceso enva alrededor de diez beacons por segundo
cuando el rate o velocidad es de 1M, (la ms baja) de tal forma que
se pueden recibir desde muy lejos.

# Data: Nmero de paquetes de datos capturados (si tiene

clave WEP, equivale tambin al nmero de IVs), incluyendo
paquetes de datos broadcast (dirigidos a todos los clientes).
#/s: Nmero de paquetes de datos capturados por segundo
calculando la media de los ltimos 10 segundos.
CH: Nmero de canal (obtenido de los paquetes anuncio o
beacons). Algunas veces se capturan paquetes de otros
canales, incluso si airodump-ng no est saltando de canal
en canal, debido a interferencias o solapamientos en la
seal.
MB: Velocidad mxima soportada
p p
por el AP. Si MB = 11, es
802.11b, si MB = 22 es 802.11b+ y velocidades mayores
son 802.11g. El punto (despus del 54) indica que esa red
soporta un prembulo corto o short preamble.


ENC: Algoritmo de encriptacin que se usausa.
OPN = no existe encriptacin (abierta)
WEP? = WEP u otra (no se han capturado suficientes
paquetes de datos para saber si es WEP o WPA/WPA2)
WEP (sin el interrogante) indica WEP esttica o
dinmica
WPA o WPA2 en el caso de que se use TKIP o CCMP.
CIPHER: Detector cipher. Puede ser CCMP, TKIP, WEP,
WEP40, o WEP104.
AUTH: El protocolo de autenticacin usado
usado. Puede ser MGT
MGT,
PSK (clave precompartida), o OPN (abierta).
ESSID: Tambin llamado SSID , que puede estar en blanco
si la ocultacin del SSID est activada en el AP
AP. En este
caso, airodump-ng intentar averiguar el SSID analizando
paquetes probe responses y association requests (son
paquetes enviados desde un cliente al AP)
AP).


STATION: Direccin MAC de cada cliente asociado
asociado. En la
captura de pantalla, vemos que se han detectado dos
clientes (00:09:5B:EB:C5:2B y 00:02:2D:C1:5D:1F).
Lost: El nmero de paquetes perdidos en los ltimos 10
segundos.
Packets: El nmero de paquetes de datos enviados por el
cliente.
cliente
Probes: Los ESSIDs a los cuales ha intentado conectarse el
cliente.
RXQ: Se calcula a partir de los paquetes de datos y management.
Supongamos que tienes 100% de RXQ y recibes 10 (o cualquier otra
cantidad) beacons por segundo. Ahora de repente el RXQ baja a 90, pero
todava capturas las mismas beacons. Esto significa que el AP est enviando
paquetes a un cliente pero no puedes escuchar o capturar los paquetes que
salen del cliente hacia el AP (necesitas acercarte ms al cliente). Otra
situacin puede ser, que tengas una tarjeta de 11MB (por ejemplo una
prism2.5) y estes cerca del AP. Pero el AP est configurado en modo
nicamente de 54MBit y tambien el RXQ disminuye, en este caso sabrs que
hay conectado al menos un cliente a 54MBit.

SNIFFING IVS
Cuando queremos centrarnos en una red en concreto no

necesitamos que airodump vaya saltando de canal en canal.
Por lo que vamos a poner la tarjeta a escuchar en ese nico
canal y guardar
g todos los datos en nuestro disco duro p para
usarlos mas adelante para obtener la clave wep:
airodump-ng -c 11 --bssid 00:01:02:03:04:05 -w <fichero>
<interfaz>
Con el parmetro -cc indicamos el nmero del canal y con el
parmetro -w el nombre del archivo en el que se guardarn
los datos. Con el parmetro --bssid indicamos la direccin
MAC del AP y limitamos la captura a ese AP.
Tambin se p puede aadir el pparmetro ivs, q que fuerza la
captura
t de
d llos IVs
IV con lo
l cuall ell archivo
hi ser ms
pequeo y
ocupar menos espacio de disco.
Para ser capaz de obtener la clave WEP necesitaremos
entre 250.000 y 500.000 diferentes vectores de inicializacin
(IV ) Cada
(IVs). C d paquete t de
d datos
d t contieneti un IV.
IV LLos IVs
IV
pueden repetirse, por lo que el nmero de diferentes IVs es
normalmente un poco menor que el nmero de paquetes de
datos capturados.

CRACKING LA PASSWORD CON AIRCRACK
Aircrack-ng es un programa crackeador de claves 802.11

WEP y WPA/WPA2-PSK.
WPA/WPA2 PSK Puede P d recuperar lla clavel WEP
una vez que se han capturado suficientes paquetes
encriptados.
E t programa de
Este d la
l suite
it aircrack-ng
i k ll
lleva a cabob varios
i
tipos de ataques para descubrir la clave WEP con pequeas
cantidades de paquetes capturados, combinando ataques
estadsticos con ataques
ataq es de fuerza
f er a br
bruta.
ta
Para crackear claves WPA/WPA2-PSK, es necesario usar
un diccionario de claves.

CRACKING LA PASSWORD CON AIRCRACK
Salida tpica de aircrack cuando termina
LEYENDA
1 = Keybyte, es decir el nmero de cada uno de los
bytes o caracteres de la clave.
2 = Profundidad de la actual bsqueda de la clave
3 = Byte o caracter que se est probando
4 = Votos o nmero de probabilidades de que sea
correcto
t ese byte
b t

CRACKING
Si hemos conseguido suficientes IVs en uno o mas

archivos, se puede probar a crackear la clave WEP:
aircrack-ng -b 00:01:02:03:04:05 fichero.cap
La MAC despus de la opcin -b b es el BSSID del AP
objetivo y fichero.cap es el nombre del archivo que
contiene los paquetes capturados. Se pueden usar
mltiples archivos, para ello se incluye el nombre
completo de todos ellos o se p puede
ede usar
sar el * como
comodn, por ejemplo: fichero*.cap.
Hay algunos APs que usan un algoritmo para no
generar IVs dbiles
dbiles. El resultado es que no podremos
conseguir ms que un nmero limitado de IVs
diferentes del AP o que necesitaremos millones (por
ejemplo 5 o 7 millones) para crackear la clave.

FUNCIONAMIENTO AIRCRACK
Mltiples tcnicas se combinan para el crackeo WEP:

Ataques FMS (Fluhrer, Mantin, Shamir): son tcnicas estadsticas
Ataques Korek: tambin tcnicas estadsticas
Fuerza bruta
Estadsticamente cada byte de la clave es tratado de
forma individual.
individual Usando matemticas la posibilidad
de que encuentres un byte determinado de la clave
crece algo ms de un 15% cuando se captura el
vector de inicializacin (IV) correcto para ese byte de
la clave. Esencialmente, ciertos IVs revelan algn
byte de la clave WEP.

Usando una serie de pruebas estadsticas llamadas
FMS y ataques Korek, se van acumulando
posibilidades o votos ((votes)) p
p para cada byte
y de la
clave WEP.
Cada ataque tiene un nmero diferente de votos
asociado con l
l, por lo que la probabilidad de cada
ataque vara matemticamente. Cuantos ms votos
tengamos de un byte o valor particular, mayor
probabilidad
b bilid d h
hay dde que sea ell correcto.
t
Para cada byte de la clave, la pantalla nos muestra el
carcter ms pprobable y el nmero de votos q que ha
acumulado. Aircrack-ng probar continuamente de la
ms probable a la menos probable para encontrar la
clave.

La aproximacin estadstica puede por si sola darnos la
clave WEP de la red. Pero la idea es que tambin podamos
complementarlo con la fuerza bruta para realizar el trabajo.
Aircrack-ng usa la fuerza bruta para determinar cuantas
claves se han de probar para intentar encontrar la clave
WEP.
Aqu es donde entra en juego el fudge factor. Bsicamente
el fudge factor le dice a aircrack-ng hasta donde probar
claves.
Si le decimos a aircrack-ng que use un fudge factor de 2,
dividir los votos del byte ms probable, y probar todas las
posibilidades con un nmero de votos de al menos la mitad
de los que tiene el carcter ms posible.
Cuanto mayor sea el fudge factor, ms posibilidades probar
aircrack-ngg aplicando
p fuerza bruta.

Cuanto mayor sea el fudge factor, el nmero de

claves a probar crecer tremendamente y mayor
ser el tiempo que se est ejecutando aircrack-
ng.
En cambio
cambio, cuantos ms paquetes de datos
tengamos, se minimizar la necesidad de aplicar
fuerza bruta a muchas claves, lo que hace que
no trabaje tanto tiempo la CPU y se reduce
mucho el tiempo necesario para encontrar la
clave.
clave

FUNCIONAMIENTO AIRCRACK: WPA

Las t
L tcnicas
i mencionadas
i d h hasta
t ahora
h no ffuncionan
i para
claves WPA/WPA2 pre-shared. La nica forma de crackear
estas claves pre-compartidas es a travs de un ataque de
diccionario Esta capacidad est tambin incluida en
diccionario.
aircrack-ng.
Con claves pre-compartidas, el cliente y el punto de acceso
establecen las claves que se van a usar en sus
comunicaciones al comienzo cuando el cliente se asocia por
primera vez con el punto de acceso. Hay cuatro paquetes
handshake
handshake entre el cliente y el punto de acceso
acceso.
Airodump-ng puede capturar estos cuatro paquetes
handshake. Y usando un diccionario con una lista de
palabras aircrack-ng
palabras, aircrack ng duplica los cuatro paquetes handshake
para mirar si hay alguna palabra en el diccionario que
coincida con el resultado de los cuatro paquetes handshake.

USO AIRCRACK
aircrack-ng [opciones] <archivo(s) de captura>
Se pueden especificar mltiples archivos de captura (incluso mezclando
formatos .cap y .ivs). Tambin se puede ejecutar airodump-ng y aircrack-ng al
mismo tiempo: aircrack-ng se actualizar de forma automtica cuando estn
disponibles nuevos IVs.

USO AIRCRACK

TEST DE INYECCIN: aircrack-ng v0.9 y superiores
La prueba bsica de inyeccin proporciona:

Lista de APs en el rea de difusin que responden a los
probes Calidad de la conexin medida mediante el envo de 30
paquetes de prueba, esto determina la capacidad de la tarjeta
para enviar con xito yy, a continuacin
continuacin, recibir una respuesta
respuesta.
El porcentaje de respuestas recibidas da una indicacin de la
calidad del enlace.
Se puede especificar el AP y la direccin MAC. Esto puede ser
usado para probar un AP con SSID oculto.
El programa inicialmente enva broadcasts para solicitar a cualquier
AP que responda con una descripcin de s mismo.
No todos los AP respondern a este tipo de solicitud. Si alguno
responde se mostrar un mensaje en pantalla indicando que la
tarjeta puede inyectar con xito hacia el AP.

TEST DE INYECCIN: aircrack-ng v0.9 y superiores
El test de inyeccin determina si nuestra tarjeta puede inyectar

trfico al AP
AP. La prueba se realiza verificando la respuesta del AP a
mensajes ICMP (ping). Tambin podemos emplear dos tarjetas
inalmbricas y realizar pruebas de inyeccin.
La prueba se realiza por defecto enviando paquetes en broadcast
pero se puede especificar una direccin MAC o essid.
aireplay-ng -9 -e teddy -a 00:14:6C:7E:40:80 -i <int1> <int2>
-9 test inyecccion.
y ((--test))
-e (SSID). Opcional
-a 00:14:6C:7E:40:80 MAC del AP (BSSID). Opcional
-i Para el caso de q que dispongamos
p g de dos interfaces
Si tengo dos ifs mostrar dos tests

TEST DE INYECCION
aireplay-ng -9 <interfaz>
The system responds:
16:29:41 wlan0 channel: 9
16:29:41 Trying broadcast probe requests...
16:29:41 Injection is working!
16:29:42 Found 5 APs
16:29:42 Trying directed probe requests...
16:29:42 00:09:5B:5C:CD:2A - channel: 11 - 'NETGEAR
16:29:48 0/30: 0%
16:29:48 00:14:BF:A8:65:AC - channel: 9 - 'title'
16:29:54 0/30: 0%
16:29:54 00:14:6C:7E:40:80 - channel: 9 - 'teddy'
16:29:55 Ping (min/avg/max): 2 2.763ms/4.190ms/8.159ms
763ms/4 190ms/8 159ms
16:29:55 27/30: 90%

TEST DE INYECCION
Respuesta
16:29:41
16 29 41 wlan0
l 0 channel:
h l 9
9: interfaz
i t f que se emplea l y en qu
canal
16:29:41 Injection is working!: Confirmacin de que la tarjeta
puede inyectar.
inyectar
16:29:42 Found 5 APs: APs encontrados en el broadcast.
16:29:42 00:09:5B:5C:CD:2A - channel: 11 - NETGEAR: AP
encontrado en un canal distinto
distinto, normal por los casos de solape
de frecuencias
16:29:55 Ping (min/avg/max): 2.763ms/4.190ms/8.159ms:
Respuesta del AP al ping
16:29:55 27/30: 90% for ssid: Respuesta del AP en el que
inyectamos

TEST DE INYECCION
aireplay-ng --test -e teddy -a 00:14:6C:7E:40:80 <interfaz>

11:01:06 ath0 channel: 9
11:01:06 Trying broadcast probe requests...
11:01:06 Injection is working!
11:01:07 Found 1 APs
11:01:07 Trying directed probe requests...
11:01:07 00:14:6C:7E:40:80 - channel: 9 - 'teddy'
11:01:07 Ping (min/avg/max):
2.763ms/4.190ms/8.159ms 11:01:07 30/30: 100%
Se confirma si la tarjeta
j inyecta
y en la red especificada
p

TEST DE INYECCION
Necesitamos disponer de dos tarjetas.
Escucha e inyeccin
aireplay-ng -9 -i <int1> <int2>

ATAQUES: AIREPLAY
Aireplay-ng se usa para inyectar paquetes.

Su funcin principal es generar trfico para usarlo ms tarde
con aircrack-ng y poder crackear claves WEP y WPA-PSK.
Existen varios ataques diferentes que se pueden utilizar
para hacer deautenticaciones con el objetivo de capturar un
handshake WPA, para realizar una falsa autenticacin, un
reenvo interactivo de un paquete, o una reinyeccin
automtica de un ARP-request.
Con el programa packetforge-ng es posible crear paquetes
ARP request de forma arbitraria.

ATAQUES: AIREPLAY
Actualmente se pueden realizar seis ataques diferentes:

Ataque 0: Deautenticacin
Ataque 1: Falsa autenticacin
Ataque
q 2: Seleccin interactiva del ppaquete
q a enviar
Ataque 3: Reinyeccin de una peticin ARP (ARP-request)
Ataque 4: Ataque chopchop
Ataque
Ataq e 5:
5 Ataque
Ataq e de Fragmentacin
Existe tambin la posibilidad de lanzar un test de inyeccin

conocido como ataque 9

ATAQUES: AIREPLAY
El uso de aireplay es el siguiente:

aireplay-ng <opciones> <interface>
P
Para todos
d llos ataques, excepto ell d
de deautenticacin
d i i y ell
de falsa autenticacin, se pueden usar una serie de filtros
para limitar los paquetes a emplear.
Opciones de filtro:
-b bssid : Direccin MAC del punto de acceso
-d dmac : Direccin MAC de destino
-s smac : Direccin MAC origen (source)
-m len : Longitud mnima del paquete
-nn len : Longitud mxima del paquete
-u type : frame control, type field

ATAQUES: AIREPLAY

Para todos los ataques, excepto el de deautenticacin y el
de falsa autenticacin,
autenticacin se pueden usar una serie de filtros
para limitar los paquetes a emplear.
Opciones de filtro:
-vv subt : frame control,
control subtype field
-t tods : frame control, To DS bit
-f fromds : frame control, From DS bit
-w iswep : frame control, WEP bit

ATAQUES: AIREPLAY
El uso de aireplay
p y es el siguiente:
g
Cuando reenviemos (inyectemos) paquetes, podremos
utilizar las siguientes opciones
opciones. No todas las opciones se
usan en cada ataque.
Opciones de inyeccin:
-x nbpps : nmero
de paquetes por segundo
-p fctrl : fijar palabra frame control (hexadecimal)
-a bssid : fijar
j direccin MAC del AP
-c dmac : fijar direccin MAC de destino
-h smac : fijar direccin MAC origen

ATAQUES: AIREPLAY

Opciones de inyeccin:
-e essid : ataque de falsa autenticacin: nombre del AP
-jj : ataque arp
arp-replay,
replay, inyectar paquetes FromDS
-g valor : cambiar tamao de buffer (default: 8)
-k IP : fijar IP de destino en fragmentos
-ll IP : fij IP d
fijar de origen
i en ffragmentos
t
-o npckts : nmero de paquetes por burst (-1)
-q sec : segundosg entre paquetes sigo
g aqu o keep-
alives (-1)
-y prga : keystream para autenticacin compartida

ATAQUES: AIREPLAY
Los ataques pueden obtener los paquetes para

reenviarlos de dos orgenes distintos.
El primero
i es un paquetet capturado
t d en ell mismo
i momento t
por la tarjeta wireless.
El segundo es de un archivo cap. El formato estndar cap
o Pcap
P (P k t CAPture,
(Packet CAPt estt relacionado
l i d con lla lib
librera

libpcap), es reconocido por la mayora de los programas
comerciales y open-source de captura de trfico wireless.
La capacidad de leer los archivos cap es una caracterstica
de aireplay-ng. Esto permite leer paquetes de otra sesin
anterior o que se puedan generar archivos pcap para
reenviarlos
i l ffcilmente.
il t

ATAQUES: AIREPLAY
Opciones de origen:
-i iface : capturar paquetes con esa interface
-r archivo : utilizar paquetes de ese archivo cap
Modos
M d d de ataque:
t
- -deauth [nmero]: deautenticar 1 o todos los clientes (-0)
- -fakeauth [[n repeticin]:
p ] falsa autenticacin con el AP (-1)
( )
- -interactive : seleccin interactiva del paquete a enviar (-2)
- -arpreplay : estandar reinyeccin ARP-request (-3)
- -chopchop
h h :d desencriptar
i t paquete t WEP/
WEP/chopchop
h h ((-4)4)
- -fragment : generar keystream vlido (-5)

AIREPLAY: deautenticacin
Este ataque enva paquetes de desasociacin a uno o

ms clientes que estn actualmente asociados a un
punto de acceso. Las razones por las que es til
desasociar clientes pueden ser:
Recuperar o desvelar un ESSID oculto. Este es un ESSID que no
es divulgado o anunciado por el AP.
Capturar handshakes WPA/WPA2 forzando a los clientes a
volverse a autenticar
Generar peticiones ARP (en Windows, algunas veces, los clientes
borran su ARP cache cuando son desconectados)
Este ataque es totalmente intil si no existen clientes
wireless asociados.

AIREPLAY: deautenticacin
aireplay ng -0
aireplay-ng 0 1 -a
a 00:14:6C:7E:40:80 -c
c 00:0F:B5:34:30:30 ath0
-0 significa deautenticacin
1 es el nmero de deautenticaciones a enviar donde 0 significa enviarlas
continuamente
-a 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso
-c 00:0F:B5:34:30:30 es la direccin MAC del cliente a deautenticar;; si
se omite sern deautenticados todos los clientes
ath0 es el nombre de la interface

Deautenticacin: DoS
Ataque DoS (Denegacin de Servicio)

Para lanzar un ataque
q DoS a clientes asociados a un p punto de
acceso (AP). Pongamos un BSSID (00:89:4F:D2:15:A3), un
cliente asociado con MAC (00:14:D8:7F:B1:96) y una tarjeta
cualquiera. El ataque sera as:
aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 -c 00:14:D8:7F:B1:96
eth1
Estamos creando un bucle infinito de paquetes de
deautenticacin, con lo que impediramos el cliente conectarse
al AP. Tambin podemos hacer un DoS generalizado, de tal
forma qque slo ataquemos
q al AP. Con esto impediramos
p la
conexin a todos los clientes que quisieran asociarse al AP.
aireplay-ng -0 0 -a 00:89:4F:D2:15:A3 eth1

Deautenticacin: captura del Handshake WPA/WPA2
Cada vez que un cliente se conecta a una red con cifrado WPA,
enva
un paquete-saludo,
t l d oHHandshake
d h k all AP all que se va a
conectar. Este saludo contiene la contrasea encriptada.
Para capturarlo, trataremos de desconectar al cliente y estar a
l escucha
la h para capturar
t ese H
Handshake.
d h k M Mas ttarde,
d
intentaramos crackear ese Handshake para obtener la
contrasea.
airmon-ng
i start ath0
h0
airodump-ng -c 6 --bssid 00:14:6C:7E:40:80 -w out ath0
(abrimos otra consola)
aireplay-ng -0 5 -a 00:14:6C:7E:40:80 -c 00:0F:B5:AB:CB:9D
ath0 (esperamos algunos segundos)
aircrack-ng -w /path/to/dictionary out.cap

Deautenticacin: captura del Handshake WPA/WPA2
La salida del comando anterior:

aireplay-ng
i l -0
0 5 -a 00:14:6C:7E:40:80
00 14 6C 7E 40 80 -c 00:0F:B5:AB:CB:9D
00 0F B5 AB CB 9D ath0
th0
12:55:56 Sending DeAuth to station -- STMAC: [00:0F:B5:AB:CB:9D]

12:55:58 Sending
g DeAuth to station -- STMAC: [[00:0F:B5:AB:CB:9D]]
http://www.cotse.com/tools/wordlists1.htm
http://www.cotse.com/tools/wordlists2.htm
p
http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/

Deautenticacin: generacin de peticiones arp
Muchas veces, al realizar el ataque3 de reenvo de paquetes

vemos que las
l peticiones
ti i ARP no arrancan, es ddecir,
i se quedan
d
a 0. Lo que tenemos que hacer entonces es generar peticiones
ARP.
P
Para provocar esa peticin
ti i ARP
ARP, h
haramos
un D
DoSS en una
consola a parte y esperaramos a que se generase la primera
peticin ARP. Una vez se hubiese generado la primera, iramos
a la consola q
que
e est reali
realizando
ando el ataq
ataquee DoS y p
pulsaramos
lsaramos
Ctrl+C para pararlo.
Ahora iramos a la consola que est realizando el ataque 3 y
veramos
como las
l peticiones
ti i ARP estnt subiendo.
bi d

Deautenticacin: generacin de peticiones arp
airmon-ng start wlan0

airodump ng -cc 6 -w
airodump-ng w out --bssid
bssid 00:13:10:30:24:9C wlan0
aireplay-ng -0 10 -a 00:13:10:30:24:9C wlan0
aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B wlan0
Despus de enviar los 10 paquetes de deautenticacin, comenzamos a

escuchar para obtener algn ARP requests con el ataque 3. La
opcin -h
h es obligatoria y tiene que ser la direccin MAC de un cliente
asociado.
Es ms efectivo atacar a un cliente determinado usando la opcin c en
el ataque de deautenticacin
Los paquetes de deautenticacin son enviados directamente desde el
PC a los clientes. Por lo que se debe comprobar que estamos
fsicamente cerca de los clientes para que les lleguen los paquetes que
enviamos desde nuestra tarjeta wireless.
wireless

AIREPLAY: autenticacin falsa
El ataque de falsa autenticacin permite realizar los dos tipos

de autenticacin WEP (abierta Open System y compartida
Shared Key) y asociarse con el punto de acceso (AP).
Es muy til cuando necesitamos una direccin MAC asociada
para usarla con alguno de los ataques de aireplay-ng y no hay
ningn cliente asociado.
Se debe tener en cuenta que el ataque de falsa autenticacin
NO genera ningn paquete ARP.
Es recomendable que cambiemos nuestra MAC
MAC. Esto se puede
hacer de varios modos.
macchanger: Men Wifislax HerramientasWireless
macchanger g
macchanger -m 00:11:22:33:44:55 interfaz
ifconfig interfaz down
ifconfig interfaz hw ether 00:11:22:33:44:55
ifconfig interfaz up

La sintaxis es la siguiente:
aireplay-ng -1 0 -e random -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0
-1 significa falsa autenticacin
0 tiempo de reasociacin en segundos
-e random es el nombre de la red wireless
-h 00:09:5B:EC:EE:F2 es la direccin MAC de nuestra tarjeta
ath0 es el nombre de la interface wireless
La falta de asociacin con el punto de acceso es la razn ms habitual por la
cual falla la inyeccin.

Este ataque no siempre es eficaz. Existen routers con los que no

funciona. De hecho hay routers que requieren autenticacin cada X
periodo de tiempo... el problema est en saber qu periodo de tiempo
es el que tienen configurado.
configurado Por normal general
general, son 30 segundos
segundos.
Para que este ataque funcione hay que tener activo el airodump-ng, ya
que es el encargado de la captura de paquetes y para que este ataque
se inicie necesitaremos un Beacon.
Tenemos que configurar la tarjeta para el mismo canal del AP.
Una buena idea es cambiar la direccin MAC de la tarjeta wireless por
la misma que usas en el parmetro -h
h en el caso de que sean
diferentes. Usando la misma, te aseguras que los ACKs se envan por
tu tarjeta.
Algunos
g p
puntos de acceso ignorarn
g direcciones MAC invlidas. Por lo
tanto asegrate de usar una direccin de un fabricante wireless vlido
cuando decidas cambiar la MAC. En otro caso los paquetes sern
ignorados.

Este ataque por si slo no consigue nada. Tenemos que combinarlo

con el ataque 3 o con el ataque 4.
CAUSAS DE UN POSIBLE FRACASO:
El router tiene filtrado de MACs.
Ests demasiado cerca o demasiado lejos del AP.
Tu controlador no est correctamente parcheado e instalado
La tarjeta no est configurada en el mismo canal que el AP.
Hemos introducido mal el BSSID o/y el ESSID.
Algunas veces nos d
Al desasociamos
i d
dell AP d
de fforma peridica.
idi Algunos
Al
puntos de acceso requieren que nos reasociemos cada 30 segundos, o
sino considera que el falso cliente se ha desconectado. En este caso,
es necesario fijar
j el p
periodo de re-asociacin:
aireplay-ng -1 30 -e random -a 00:13:10:30:24:9C
-h 00:11:22:33:44:55 ath0


Existe una variante del ataque de autenticacin falsa:

aireplay-ng -1 6000 -o 1 -q 10 -e random -a 00:14:6C:7E:40:80
-h 00:09:5B:EC:EE:F2 ath0
6000:Reautentifica cada 6000 segundos. El largo perodo tambin

provoca que se enven paquetes de sigo aqu o keep alive.
-o
o 1: Enviar slo un tipo de paquetes de cada vez. Por defecto est
fijado en mltiples y esto puede confundir a algunos APs.
-q 10:Enva paquetes de sigo aqu cada 10 segundos.

AIREPLAY: Reenvo interactivo de paquetes
Este ataque nos permite escoger el paquete a reenviar (inyectar),

puede obtener paquetes para inyectar de 2 formas
formas.
La primera es capturando paquetes con la tarjeta wireless.
La segunda es utilizando un archivo cap.
Un uso comn puede ser leer un archivo creado con packetforge
packetforge.
La sintaxis de este ataque:
aireplay-ng -2 <opciones de filtro> <opciones de reenvio>
-rr <nombre de archivo> <interface>
-2 significa ataque de reenvo interactivo
-r <nombre de archivo> se usa para especificar un archivo cap del que leer los
paquetes para inyectarlos (es opcional)
<interface> es la interface wireless, por ejemplo ath0

Uno de los modos de usar este ataque es haciendo una difusin de los
paquetes del AP y as generar nuevos vectores de inicializacin.
Para hacer esto pposible,, necesitaramos una direccin MAC especial,
p ,
una que englobara a todas las MAC's. Esta mac es la
FF:FF:FF:FF:FF:FF
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b 00:14:6C:7E:40:80 -
h 00:0F:B5:88:AC:82 ath0
-2 significa ataque de inyeccin interactivo
-p 0841 fija el Frame Control en el paquete para que parezca que est
siendo
i d enviadoi d d desde
d un cliente
li t wireless.
i l
-c FF:FF:FF:FF:FF:FF fija como direccin MAC de destino cualquiera
(broadcast). Esto es necesario para que el AP responda con otro
paquete
p q y as g
generar un nuevo IV.
-b 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso
(BSSID).
-h 00:0F:B5:88:AC:82 es la direccin MAC de los paquetes que se
estn transmitiendo
transmitiendo, que debe coincidir con la MAC de tu tarjeta
wireless.


Los IVs g
generados por segundo
g variarn dependiendo del tamao del
paquete que seleccionemos. Cuanto ms pequeo sea el tamao del
paquete, mayor ser la velocidad por segundo. Cuando lancemos el
programa, veremos algo como esto:

Respondiendo y los paquetes sern inyectados

Utili
Utilizando
d ell filt
filtro para iindicar
di ell ttamao
ddell paquete,
t podemos
d usar
manualmente el ataque 2 para reenviar peticiones ARP con
encriptacin WEP.
Las peticiones ARP o ARP ARP requests
requests tienen un tamao tpico de 68 (si
son de un cliente wireless) o 86 (si son de un cliente cableado) bytes:
aireplay-ng -2 -p 0841 -m 68 -n 86 -b 00:14:6C:7E:40:80
-c FF:FF:FF:FF:FF:FF -h 00:0F:B5:88:AC:82 ath0
-m 68 es la longitud mnima del paquete
-n 86 es la longitud mxima del paquete
-b 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso
(BSSID).
-h 00:0F:B5:88:AC:82 es la direccin MAC de los paquetes que se
estn transmitiendo, que debe coincidir con la MAC de tu tarjeta
wireless
wireless.

Una vez q
que inicias el comando vers algo
g como:
Contesta y si el paquete es de 68 o 86 bytes, en otro

caso escribe n. Ahora empezar a inyectar paquetes.

Como decamos antes, aireplay-ng se puede usar para reenviar

paquetes
t guardados
d d en un archivo
hi cap. D Date
t cuentat que
puedes leer en el ejemplo: Saving chosen packet in replay_src-
0303-124624.cap. Tambin se puede usar cualquier otro
archivo cap creado no slo con aireplay
aireplay-ng,
ng sino tambin con
airodump-ng, kismet, etc
aireplay-ng -2 -p 0841 -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 -r
replay src-0303-124624 cap ath0
replay_src-0303-124624.cap
Hay que tener en cuenta que los paquetes grandes producen menos
IVs por segundo.
El problema ms comn es que no ests asociado con el AP.
AP Incluso si
usas una direccin MAC de un cliente ya asociado con el AP o si usas
la falsa autenticacin.

AIREPLAY: Reenvo de ARP Request
El clsico ataque de reenvo de peticin ARP o ARP request es el

modo ms efectivo para generar nuevos IVs IVs.
El programa escucha hasta encontrar un paquete ARP y cuando lo
encuentra lo retransmite hacia el punto de acceso. Esto provoca que el
punto de acceso tenga que repetir el paquete ARP con un IV nuevo.
El programa retransmite el mismo paquete ARP una y otra vez. Pero,
cada paquete ARP repetido por el AP tiene un IV nuevo. Todos estos
nuevos IVs nos permitirn averiguar la clave WEP.
ARP es un protocolo de resolucin de direcciones: es un protocolo
TCP/IP usado para convertir una direccin IP en un direccin fsica. Un
cliente que desea obtener una direccin enva a todo el que le escuche
(broadcasts) una peticin ARP (ARP request) dentro de la red TCP/IP.
TCP/IP
El cliente de la red que tenga esa direccin que se pide contestar
diciendo cual es su direccin fsica.

aireplay-ng -3 -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 ath0

-3 significa reenvo estndar de peticin arp (arp request)
-b 00:13:10:30:24:9C es la direccin MAC del punto de acceso
-h 00:11:22:33:44:55 es la direccin MAC origen (de un cliente
asociado o de una falsa autenticacin)
Como hemos visto en el ataque anterior podemos reenviar una peticin

arp previa. Este es un caso especial del ataque de reenvio interactivo
de paquetes.
aireplay-ng -2 -r replay_arp-0219-115508.cap ath0
-2
2 significa seleccin interactiva del paquete
-r replay_arp-0219-115508.cap es el nombre del archivo con el ARP

Es necesario primero poner la tarjeta en modo monitor con airmon. No

se pueden inyectar paquetes si no estamos en modo monitor
monitor.
Para este ataque, necesitamos o bien la direccin MAC de un cliente
asociado, o una MAC falsa asociada con el ataque 1. La forma ms
fcil y ms rpida es utilizar la direccin MAC de un cliente asociado.
Esta se puede obtener con airodump-ng. La razn para usar una
direccin MAC asociada es que el punto de acceso slo aceptar y
contestar a los paquetes en los cuales la MAC que se los enva est

asociada.
i d
Puede que tengas que esperar un par de minutos, o incluso ms, hasta
que aparezca una peticin ARP; este ataque fallar si no hay trfico.
Introduce este comando:
aireplay-ng -3 -b 00:14:6c:7e:40:80 -h 00:0F:B5:88:AC:82 ath0

El segundo ejemplo lo haremos reutilizando la peticin ARP del ejemplo

anterior usando la opcin -r.
r Date cuenta que te dicen Saving
Saving ARP
requests in replay_arp-0219-123051.cap, es decir se estn gravando
las peticiones ARP en el archivo replay_arp-0219-123051.cap.
Por lo tanto no es necesario esperar por un nuevo ARP, podemos
simplemente reusar uno viejo con el parmetro -r:
Introduce este comando:
aireplay-ng
p y g -2 -r replay_arp-0219-123051.cap
p y_ p p ath0
Ahora, si aun no lo has hecho, inicia airodump-ng para capturar los IVs
que se estn generando. El nmero de paquetes de datos debera de
empezar a aumentar rpidamente.
Ayuda: para generar un paquete ARP y comenzar la inyeccin, puedes
hacer un ping en tu red a una IP.

PRGA: Pseudo Random Generation Algorithm
Un PRGA es texto plano + texto cifrado y es empleado para el cifrado

de un paquete
paquete.
Un ejemplo: 0011 (texto plano)+ 0110 (texto cifrado) = 0101 (PRGA)
Si conseguimos interceptar texto cifrado y sabemos cual es el texto
plano podemos averiguar el PRGA,
PRGA para una vez averiguado usarlo
para cifrar cualquier paquete y poder generar trfico a inyectar.
PAQUETE CIFRADO = IV + texto cifrado + PRGA
PRGA = 0000 0
0001 1
0010 2
0011 3
0100 4
0101 5
0110 6
0111 7
1000 8

AIREPLAY: CHOP CHOP (KOREK)
Este ataque, cuando es exitoso, puede desencriptar un paquete de

datos WEP sin necesidad de conocer la clave.
clave Incluso puede funcionar
con WEP dinmica.
Este ataque no recupera la clave WEP, nicamente revela el texto.
Algunos puntos de acceso no son vulnerables
vulnerables.
Algunos pueden en principio parecer vulnerables pero en realidad tiran
los paquetes menores de 60 bytes. Si el punto de acceso tira paquetes
menores de 42 bytes,
y , aireplay
p y intenta adivinar el resto de los datos,, tan
pronto como el encabezado (headers) sea predecible.
Si un paquete IP es capturado, automticamente comprueba el
checksum del encabezado para ver si es correcto, y despus trata de
adivinar
di i llas partes
t que lle ffaltan.
lt
Este ataque requiere como mnimo un paquete de datos WEP.

CHOP CHOP: pasos
Desencriptamos un paquetes
aireplay-ng
i l -4
4 ath0
th0
Esto puede que no funcione, ya que en muchos casos los puntos de
acceso no aceptan los paquetes de datos porque no saben que MAC
se los est enviando
enviando. En este caso tenemos que usar la direccin MAC
de un cliente conectado que si va a tener permiso para enviar paquetes
de datos dentro de la red
aireplay-ng
p y g -4 -h 00:09:5B:EB:C5:2B ath0
Vamos a echar un vistazo a la direccin IP
tcpdump -s 0 -n -e -r replay_dec-0627-022301.cap
reading g from file replay
p y_dec-0627-022301.cap,
p, link-type
yp [[...]]
IP 192.168.1.2 > 192.168.1.255: icmp 64: echo request seq 1

CHOP CHOP: pasos
Ahora, forjemos una peticin (ARP request). La IP de origen no importa

(192 168 1 100) pero la IP de destino (192
(192.168.1.100) (192.168.1.2)
168 1 2) debe responder a
las peticiones ARP (ARP requests). La direccin MAC de origen tiene
que ser la de un cliente asociado, en caso de que exista filtrado MAC.
packetforge
packetforge-ng
ng replay
replay_dec
dec-0627-022301.xor
0627 022301.xor 1 00:13:10:30:24:9C
00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap
Y reenviamos nuestra peticin ARP forjada
aireplay-ng
p y g -2 -r arp.cap
p p ath0

AIREPLAY: FRAGMENTACIN
Con este ataque, cuando tiene xito, podemos obtener 1500 bits de un
PRGA (pseudo random generation algorithm). El PRGA es una parte de
un paquete que est formada por texto plano y texto cifrado
cifrado.
Este ataque no recupera la clave WEP por si mismo, simplemente sirve
para conseguir el PRGA. Despus podemos usar el PRGA para generar
paquetes con packetforge
packetforge-ngng.
Se requiere al menos un paquete de datos recibido del punto de acceso
para poder iniciar el ataque.
Bsicamente,, el programa
p g obtiene una p
pequea
q cantidad de informacin
sobre la clave de un paquete e intenta enviar un ARP y/o paquetes LLC
al punto de acceso (AP).
Si el paquete es recibido y contestado por el AP de forma satisfactoria,
entonces se podr obtener un poco ms de informacin sobre la clave
de ese nuevo paquete enviado por el AP. Este ciclo se repite varias
veces hasta que obtenemos los 1500 bits del PRGA o algunas veces se
obtienen menos de 1500 bitsbits.

PRGA: Ataque de fragmentacin
PAQUETE CIFRADO = IV + texto cifrado + PRGA

El ataque
t lo
l que hhace en sii es capturar
t un paquete
t de
d la
l vctima,
ti que
debe estar cifrado mediante WEP, sino no vale.
Mediante este paquete se obtiene lo que se llama el Keystream, que es
lo mismo que decir el Ciphertext (texto cifrado)
cifrado).
Este Keystream tiene una longitud de 8 bytes (7 bytes + 1 de flag).
Una vez que tenemos el texto cifrado es fcil realizar el ataque,
recordemos que texto plano + texto cifrado = PRGA.
PRGA
Si creamos un texto plano y lo intentamos codificar, si el AP responde a
nuestro paquete indicar que se trata de un PRGA correcto y ya lo
tenemos.
Para forzar esta situacin trataremos de obtener el Keystream de dos
formas: 8 bytes y 408 bytes.

Generaremos el paquete nosotros mismos. Por si el AP rechaza los

paquetes se van utilizar 3 paquetes distintos para el ataque: LLCNULL,
paquetes, LLCNULL
ARP, y un paquete normal cifrado.
Veamos como esta la estructura interna de cada paquete:
PARA ATAQUE CON KEYSTREAM DE 8 BYTES:
LLCNULL ( 63 bytes + 8 keystream = 71 bytes )

ARP ( 60 bytes + 8 keystream = 68 bytes )
PAQUETE CIFRADO ( 66 bytes + 8 keystream = 74 bytes )
PARA ATAQUE CON KEYSTREAM DE 408 BYTES:
LLCNULL (448 bytes)

ARP (416 bytes)

Si al hacer el ataque, el AP responde es debido a que el PRGA que

hemos usado es el bueno sino el programa seguir probando con las
posibilidades restantes, como son slo 8 posibilidades en total este
ataque es muy rpido.
Una vez conseguido el PRGA vlido el programa crear el archivo XOR
de esta forma:
xor( keystream, iv , prga , 36) en el caso de 8 bytes
xor(( keystream,
y , iv , prga
p g , 432)) en el caso de 408 bytes
y

FRAGMENTACIN
aireplay-ng -5 -b 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D ath0

-5
5 significa
i ifi ataque
t d
de ffragmentacin
t i
-b 00:14:6C:7E:40:80 MAC del punto de acceso
-h 00:0F:B5:AB:CB:9D MAC origen de los paquetes a inyectar
ath0 interface
Opcionalmente, se pueden aplicar los siguientes filtros:
-b bssid : direccin MAC del punto de acceso
-d
d dmac
d : di
direccin
i MAC de
d destino
d ti
-s smac : direccin MAC origen
-m len : longitud mnima del paquete
-n
n len : longitud mxima del paquete


FRAGMENTACIN

O i
Opcionalmente,
l t se pueden
d aplicar
li llos siguientes
i i t filtfiltros:
-u type : frame control, tipo de campo
-v subt : frame control, subtipo de campo
-t tods : frame control, A DS bit
-f fromds : frame control, Desde DS bit
Opcionalmente, se pueden utilizar las siguientes opciones:
-k IP : fijar IP de destino - por defecto 255.255.255.255
-l IP : fijar IP de origen - por defecto 255.255.255.255

FRAGMENTACIN
La direccin MAC origen usada en el ataque debe ser la asociada con

el punto de acceso.
acceso Para ello
ello, se puede realizar una falsa autenticacin
o usar una direccin MAC de un cliente wireless ya conectado.
Para los drivers madwifi-ng (chipset Atheros), es necesario cambiar la
direccin MAC de la tarjeta por la direccin MAC que se usar para la
inyeccin, sino el ataque no funcionar.
Esencialmente se inicia el ataque con el siguiente comando y
seleccionamos el paquete con el que queremos probar:

FRAGMENTACIN

FRAGMENTACIN
El programa responde esto (o similar):
Has obtenido satisfactoriamente el PRGA que est

guardado en el archivo nombrado por el programa
(f
(fragment-0124-161129.xor).
t 0124 161129 ) Ah
Ahora puedes
d usar
packetforge-ng para generar uno o ms paquetes y
usarlos con alguno de los ataques de inyeccin.

AIRDECAP
Con airdecap-ng puedes desencriptar archivos capturados que tengan

encriptacin WEP/WPA/WPA2. Tambin puede ser usado para ver la
cabecera de una captura wireless sin encriptacin
encriptacin.
airdecap-ng [opciones] <archivo cap>
-l no elimina la cabecera de 802.11
-b
bbbssid
id direccin
di i MAC d dell punto
t dde acceso
-k pmk WPA/WPA2 Pairwise Master Key en hexadecimal
-e essid Nombre de la red
-p pass Clave
Cl WPA/WPA2
-w key Clave WEP en hexadecimal

AIRDECAP: ejemplos
El siguiente comando elimina las cabeceras wireless de una captura de

una red sin encriptacin:
airdecap-ng -b 00:09:5B:10:BC:5A red-abierta.cap
El siguiente comando desencripta un archivo con encriptacin WEP
usando la clave hexadecimal:
airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap
El siguiente comando desencripta un archivo con encriptacin
WPA/WPA2 usando la palabra o passphrase:
passphrase :
airdecap-ng -e 'the ssid' -p passphrase tkip.cap
Para ESSIDs que contengan espacios, escribe el ESSID entre comillas.

PACKETFORGE
El propsito de packetforge-ng es crear paquetes encriptados para

poder inyectarlos con posterioridad
posterioridad. Podemos crear varios tipos de
paquetes como arp requests, UDP, ICMP o paquetes hechos a la
medida. El uso ms comn es crear paquetes ARP requests para ser
inyectados.
Para crear un paquete encriptado, es necesario tener un archivo PRGA
(pseudo random genration algorithm). Este archivo lo usaremos para
encriptar el paquete que vamos a crear. Este archivo se obtiene con
aireplay-ng,
i l chopchop
h h o con ell ataque
t d
de ffragmentacin.
t i
packetforge-ng <modo> <opciones>

PACKETFORGE
packetforge-ng <modo> <opciones>

Opciones:
-p <frame ctrl> : Fijar palabra frame control (en hexadecimal)
-a <bssid> : seleccionar el punto de acceso por su MAC
-c <dmac> : seleccionar por la direccin MAC de destino
-h
h <smac> : seleccionar por la direccin MAC de origen
-j : seleccionar el bit FromDS
-o : borrar el bit ToDS
-e : deshabilitar la encriptacin
p WEP
-k <ip[:puerto]> : Fijar IP de destino [Puerto]
-l <ip[:puerto]> : Fijar IP de origen [Puerto]
-t ttl : Fijar hora
-w
w <archivo> : Guardar el paquete es este archivo cap

PACKETFORGE
Opciones de origen:
-r <archivo> : leer paquete de este archivo
-y <archivo> : leer PRGA de este archivo
Modos:
arp : Crear paquete ARP (-0)
udp : Crear paquete UDP (-1)
icmp : Crear paquete ICMP (-2)
custom : Crear paquete a la medida (-9)

PACKETFORGE
Hay que obtener un archivo xor (PRGA) con el ataque chop chop o con
el ataque de fragmentacin.
Despus usar un comando como el siguiente:
packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D
-k 192.168.1.100 -l 192.168.1.1 -y fragment-0124-161129.xor
-w arp-requestt
-0 indica que quieres generar un paquete arp request
-h
h 00:0F:B5:AB:CB:9D es la direccin MAC que quieres usar
-k 192.168.1.100 es la IP de destino. Por ejemplo en un paquete
arp es la frase Who has this IP
-l 192.168.1.1 es la IP de origen. Por ejemplo en un paquete arp
aparecer la frase Tell this IP
-y fragment-0124-161129.xor
-w arp-packet

PACKETFORGE
Asumiendo que ests experimentando con tu propio punto de acceso,

el paquete arp request generado con anterioridad puede
desencriptarse con la clave que ya conoces. Por lo que para mirar el
paquete que hemos creado podemos desencriptarlo:
Escribe airdecap-ng -w <clave> arp-request
El resultado es algo como esto:
Para ver el paquete que acabamos de desencriptar , escribimos

tcpdump -n -vvv -e -s0 -r arp-request-dec
El resultado ser similar a:

PACKETFORGE
Que es lo que esperbamos ver. Ahora podemos inyectar

este paquete arp
arp request
request con el siguiente comando:
aireplay-ng -2 -r arp-request ath0
El programa nos contestar:

PACKETFORGE
A la mayor parte de los puntos de acceso no les importa las IPs

que se usan en los paquetes arp request. En estos casos
podemos usar 255.255.255.255 tanto para la IP de origen como
para la IP de destino.
Un error muy comn que comete mucha gente es incluir las
opciones -j y/o -o creando paquetes invlidos.
Estas opciones ajustan las variables FromDS y ToDS en el
paquete que se ha generado. A menos que ests haciendo algo
especial y realmente sepas lo que ests haciendo; no uses
estas opciones. En general, no son necesarias.

AIRTUN
Airtun-ng sirve para crear interfaces virtuales denominadas

tunnel interface. Tiene bsicamente dos funciones:
Permite monitorizar todo el trfico encriptado con propsitos
wIDS (wireless Intrusion Detection System).
Inyectar
y de forma arbitraria trfico en una red.
Para perfeccionar la captura de paquetes wIDS, debes conocer
la clave de encriptacin y el bssid de la red a monitorizar.
Airtun-ngg desencripta
p todo el trfico de la red y lo ppasa al
sistema tradicional IDS usado por ejemplo por snort.
La inyeccin de trfico puede hacerse bidireccional si
conocemos la clave de encriptacin completa, y slo podr ser
unidireccional si tenemos un PRGA obtenido a travs de
chopchop o un ataque de fragmentacin.
Airtun-ng
Airtun ng solo funciona en sistemas operativos linux
linux.

AIRTUN
airtun-ng <opciones> <interface>

-xx nbpps : nmero mximo de paquetes por segundo (opcional)
-a bssid : Fijar direccin MAC del punto de acceso (obligatorio)
-i iface : capturar paquetes desde esta interface (opcional)
-y archivo:
hi lleer PRGA d
de este
t archivo
hi ((opcional
i l / titiene que usarse
al menos una de las dos opciones: -y o -w)
-w wepkey : usar esta clave WEP para encriptar los paquetes
(opcional / tiene que usarse al menos una de las dos opciones:
-y o -w)
-t tods : Enviar paquetes al AP (1) o al cliente (0) (opcional / por
defecto es 0)

AIRTUN: WIDS
El primer escenario es wIDS. Pon tu tarjeta wireless en modo

monitor y escribe el comando:
airtun-ng -a 00:14:6C:7E:40:80 -w 1234567890 ath0
Donde:
-a
a 00:14:6C:7E:40:80 es la direccin MAC del punto de acceso a
monitorear
-w 1234567890 es la clave de encriptacin
ath0 es la interface que tenemos en modo monitor
El sistema nos contestar:

AIRTUN: WIDS
Date cuenta que se ha creado la interface at0. Abre otra

consola o shell y puedes
p levantar esta interface p
para
poder usarla:
Ifconfig at0 up
Esta interface (at0) recibir una
na copia de cada paq
paquete
ete
wireless que circule por la red. Los paquetes sern
desencriptados con la clave que has proporcionado. En
este punto, puedes usar algn programa para esnifar y
analizar el trfico. Por ejemplo, tcpdump o snort.

AIRTUN: inyeccin WEP
El siguiente escenario es cuando quieres inyectar paquetes en

una red. Sigue
g los mismos pasos que en el primer escenario
excepto definir una direccin IP vlida para la red cuando
levantes la interface at0:
ifconfigg at0 192.168.1.83 netmask 255.255.255.0 up p
Puedes comprobarlo con el comando ifconfig at0 analizando
la salida.

AIRTUN: inyeccin WEP
En este punto puedes usar cualquier programa para enviar trfico a

travs de la interface at0 a cualquier cliente wireless
wireless. Por favor date
cuenta de que por defecto FromDS est seleccionado.
Lo que significa que los paquetes estn marcados para ir a los clientes
wireless. Si quieres que la comunicacin sea con el AP o con clientes
cableados, especifica la opcin -t 1 cuando inicies airtun-ng.
Las reglas normales para la inyeccin se aplican aqu tambin. Por
ejemplo, estar asociado con el AP, que la MAC de la tarjeta sea la
misma que utilizamos como origen de la inyeccin, etc.
Un uso interesante de este escenario es que permite usar una red con
encriptacin WEP utilizando un driver que soporte la inyeccin, pero no
esa encriptacin WEP; y hay que tener en cuenta que no todos los
drivers soportan claves wep de 256bit o de 512bit o WPA.

AIRTUN: inyeccin PRGA
El siguiente escenario es aquel caso en el que queremos inyectar

paquetes a la red pero no tenemos la clave WEP completa. Slo
tenemos el PRGA obtenido a travs de un ataque chopchop o de
fragmentacin.
En este caso slo podremos inyectar paquetes salientes o outbound.
No hay forma de desencriptar los paquetes entrantes (inbound) ya que
no conocemos la clave WEP.
Pon la tarjeta wireless en modo monitor y escribe:
airtun-ng g -a 00:14:6C:7E:40:80 -y y fragment-0124-153850.xor
g
ath0
Fijate en que el archivo PRGA se ha especificado utilizando la opcin -
y. El sistema responde (fijate en el estado no reception):

AIRTUN: inyeccin PRGA
A partir de aqu puedes definir una direccin IP vlida para la red y

levantar la interface at0:
ifconfig
if fi at0
t0 192
192.168.1.83
168 1 83 netmask
t k 255
255.255.255.0
255 255 0 up
Puedes comprobar esto escribiendo ifconfig at0. Ahora puedes usar
algn programa para enviar trfico a travs de la interface at0 a los
clientes wireless.
wireless

AIRTUN: doble AP
El siguiente escenario es conectarse a dos redes wireless al mismo

tiempo. Esto se hace simplemente iniciando airtun-ng dos veces,
especificando
ifi d la
l direccin
di i MAC o bbssid
id d
de cada
d una.
Si los dos APs estn en el mismo canal, esto debe funcionar a la
perfecccin. Si no comparten el mismo canal, puedes escuchar con
airodump ng en ambos canales (no de forma simultanea
airodump-ng simultanea, pero slo
saltando entre esos dos canales). Suponiendo que los dos APs a los
que nos queremos conectar estn en los canales 1 y 11, escribiramos:
airodump-ng
p g -c 1,11, ath0
Conseguiremos dos tunnel interfaces (at0 y at1), cada una para un
AP. Si no usan el mismo rango de IPs, las podremos usar al mismo
tiempo. En teora, se puede hacer esto incluso para ms que dos APs,
pero la calidad del enlace ser peor ya que habr que alternar entre 3 o
ms canales.

AIRTUN: doble AP
El siguiente escenario es conectarse a dos redes wireless al mismo

tiempo Esto se hace simplemente iniciando airtun
tiempo. airtun-ng
ng dos veces,
veces
especificando la direccin MAC o bssid de cada una.
Si los dos APs estn en el mismo canal, esto debe funcionar a la
perfecccin. Si no comparten el mismo canal, puedes escuchar con
airodump-ng en ambos canales (no de forma simultanea, pero slo
saltando entre esos dos canales). Suponiendo que los dos APs a los
que nos queremos conectar estn en los canales 1 y 11, escribiramos:
airodump-ng -c 1,11 ath0
Conseguiremos dos tunnel interfaces (at0 y at1), cada una para un
AP. Si no usan el mismo rango de IPs, las podremos usar al mismo
tiempo En teora,
tiempo. teora se puede hacer esto incluso para ms que dos APs
APs,
pero la calidad del enlace ser peor ya que habr que alternar entre 3 o
ms canales.

AIRTUN
El siguiente escenario consiste en copiar paquetes desde la interface

opcional.
opcional
El parmetro -i <interface wireless> es igual al parmetro -i de aireplay-
ng.
Se usa para especificar un origen distinto desde el que leer los paquetes
paquetes,
otra tarjeta diferente a la que usaremos para inyectar (ath0 en nuestro
ejemplo).
Un uso tpico
p es escuchar con una tarjeta
j con muy y buena sensibilidad en
una interface; e inyectar con otra tarjeta con gran potencia de
transmisin, que tienen mucha menos sensibilidad.

Fragmentacin: ventajas y desventajas
Ventajas:
Normalmente se obtiene un paquete entero de 1500 bytes xor. Esto
significa que podemos crear otro paquete de cualquier tamao. Incluso
en los casos que obtenemos un paquete de menos de 1500 bytes, ser
suficiente para crear ARP requests.
Puede funcionar en situaciones en las que chopchop no lo hace.
Es extremadamente rpido.
Inconvenientes:
Se puede necesitar ms informacin para ejecutarlo, (direccin IP).
N ttodos
No d los
l drivers
di de
d tarjeta
t j t lo
l soportan.
t Por
P ejemplo,
j l hoy
h en da,
d
Atheros no genera el paquete correcto a menos que cambiemos la
direccin MAC de nuestra tarjeta wireless a la misma mac que
queremos utilizar.
S necesita
Se it estar
t fsicamente
f i t cerca del
d l punto
t de
d acceso porque sii se
pierde algn paquete fallar el ataque.
El ataque fallar en los puntos de acceso que no manejan los paquetes
fragmentados de forma adecuada.

CHOP CHOP: ventajas y desventajas
Ventajas
Puede funcionar en algunos casos en los que no lo hace el
ataque de fragmentacin.
No se necesita conocer informacin acerca de ninguna IP.
Inconvenientes
No se puede usar contra todos los puntos de acceso.
El tamao mximo del xor en bits est limitado por la
longitud del paquete contra el que hagas el chopchop
chopchop. Aunque
en teora se pueden obtener 1500 bytes del xor stream, en la
prctica, raramente vers paquetes de 1500 bytes.
Mucho ms lento que el ataque de fragmentacin.

ATAQUE 4
Ataque de Korek
E t ataque
Este t no nos proporciona
i IV sino
IVs i que nos d da la
l
posibilidad de descifrar el contenido de un paquete (o lo
que es lo mismo, el Key Stream de cifrado).
No todos los puntos de acceso son vulnerables a este
ataque ya que este ataque necesita paquetes ms cortos
de 42 bytes y algunos AP rechazan paquetes menores a
60 bytes.

ATAQUE 5
Ataque de fragmentacin
Este ataque no proporciona la clave WEP, sino que nos
proporciona 1500 bytes de los cuales podemos extraer la
funcin de PRGA ((Pseud-Random Generation Algorithm),
g ),
y por tanto parte del Key Stream de cifrado.
Estos bytes nos servirn para generar paquetes vlidos
que pueden ser reinyectados para obtener IVIVss.

ANEXOS: airodump

ANEXOS: airodump

ANEXOS: aireplay
Ataque
Ataque 0: Deautenticacin
Ataque 1: Falsa autenticacin
Ataque 2: Seleccin interactiva del paquete a enviar
Ataque 3: Reinyeccin de una peticin ARP (ARP-request)
Ataque 4: Ataque chopchop
Ataque 5: Ataque de Fragmentacin

ANEXOS: aireplay
Opciones de filtro:
-b bssid : Direccin MAC del p punto de acceso
-d dmac : Direccin MAC de destino
-s smac : Direccin MAC origen (source)
-m len : Longitud
g mnima del p paquete
q
-n len : Longitud mxima del paquete
-u type : frame control, type field
-v subt : frame control, subtype field
-t tods : frame control, To DS bit
-f fromds : frame control, From DS bit

ANEXOS: aireplay
Opciones de inyecin:
-xx nbpps : nmero de paquetes por segundo
-p fctrl : fijar palabra frame control (hexadecimal)
-a bssid : fijar direccin MAC del AP
-c dmac : fijar direccin MAC de destino
-hh smac : fijfijar di
direccin
i MAC origen
i
-e essid : ataque de falsa autenticacin: nombre del AP
-j : ataque arp-replay: inyectar paquetes FromDS
-gg valor : cambiar tamao de buffer (default: 8)
-k IP : fijar IP de destino en fragmentos
-l IP : fijar IP de origen en fragmentos
-o npckts : nmero de paquetes por burst (-1)
-q sec : segundos d entret paquetes
t sigo
i aqu o keep-alives
k li ((-1)
1)
-y prga : keystream para autenticacin compartida (shared key)

ANEXOS: aireplay
Opciones de origen:
-ii iface : capturar paquetes con esa interface
-r archivo : utilizar paquetes de ese archivo cap
Modos de ataque:
--deauth [nmero]: deautenticar 1 o todos los clientes (-0)

--fakeauth
fakeauth [n
[n repeticin]: falsa autenticacin con el AP (-1)
( 1)
--interactive : seleccin interactiva del paquete a enviar (-2)
--arpreplay : estandard reinyeccin ARP-request (-3)
--chopchop
chopchop : desencriptar paquete WEP/chopchop (-4) ( 4)
--fragment : generar keystream vlido (-5)

ANEXOS: aircrack

Wifi Curso PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Wifi Curso PDF

Uploaded by

Copyright:

Available Formats

Curso de Redes Inalmbricas

Curso de redes Inalmbricas

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Qu Es Una Red Inalmbrica?

Red inalmbrica: Subred de comunicacin con cobertura

No pretende reemplazar una red cableada, slo la

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Para Que Nos Sirve?

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Estas bandas son:

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Comparacin tecnologas inalmbricas

Estndar GSM/GPRS/UM IEEE 802.16 IEEE 802.11 IEEE 802.15

Velocidad 9,6/170/2000 15-134 Mb/s 1-54 Mb/s Hasta 721 Kb/s

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Arquitectura de los estndares

802.2: LLC (Logical Link Control) Subcapa

802.1: Persspectiva y Arq

802.1: Puentes Transparentes

802.16 802.17 Control)

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Modelo de Referencia de 802.11

Subcapa LLC (802.2)

PLCP (Physical Layer Convergence Procedure)

Infrarrojos FHSS DSSS HR/DSSS OFDM DSSS-OFDM

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Certificacin Wi-Fi Alliance

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Tipos de redes 802.11

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Red ad hoc (sin APs)

147 156 2 1/24

Las tramas se transmiten

147.156.1.21/24 En el AP el canal se configura

147.156.1.20/24 Internet 147 156 1 25/24

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Cada BSS (cada AP) tiene un rea de cobertura que es su celda

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

BSSID para 802.11a

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Este aparato contiene:

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Conectividad en redes 802.11

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Conectividad en redes 802.11

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Itinerancia ((Handoff o roaming)

Una estacin no puede estar asociada a ms de un AP a la vez vez.

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Proceso de conexin de una estacin en

Autenticado Reasociacin Autenticado Reasociacin Autenticado

BSSID: 000B86A867C1 BSSID: 000B86A882E1 BSSID: 000B86A87781

Servicio de Informtica y Comunicaciones - Universidad de Zaragoza

Organizacin de una red 802.11