=-[ 0x02 ]-==================================================================
=-[ NetSearch Ezine #8 ]-====================================================
=-[ Breves sobre Wireless 802.11 ]-==========================================
=-[ por MegadetH ]-==========================================================




- Introduccion
- Arquitectura Basica 
- DSSS
- Seguridad (AKA "el rollo")
- Despedida



* Introduccion:

No voy a extenderme mucho en este arti, con el objetivo de que pueda llegar a
tiempo para su publicacion en el NS #8, y la verdad es que el tema puede
llegar a ser tan extenso como para varios libros.

Evidentemente el objetivo de las redes inalambricas es quitarse de encima el
engorroso cableado estructurado, o incluso ser un complemento a redes
cableadas tradicionales. Larga es su corta historia, asi como sus avances y
tambien sus diferentes ramas (nos centramos en el 802.11 dejando por ahora de
lado otras tecnologias como IR, microondas, HiperLAN, WirelessFiber, LMDS,
MMDS, etc.). No voy a entrar en relatar toda la historia, iremos al grano.

Nuestra querida 802.11 opera (como otras muchas, vease p.e. bluetooth) en la
banda (sin necesidad de licencia) de los 2,4 GHz. Esta banda fue dejada de
lado en principio para las emisiones de RF de motores, electrodomesticos,
etc., de ahi que sea "libre", aunque limitada en potencia. [ Hay otra banda,
la de los 5,8 GHz, que daria mayor ancho de banda ,aunque en Europa sera
dificil que se use para esto, creo que actualmente es de uso militar.. ].  Y
como es posible que en esta banda con tanto movimiento y ruido sea posible
comunicarse??? La respuesta es : Spread Spectrum.. pero no nos precipitemos..



* Arquitectura basica:

La estructura fundamental de una red inalambrica es un BSS (basic service
set) que contiene un AP (Access Point) y varios nodos equipados con tarjetas
de red inalambricas. Naturalmente la arquitectura de estos equipos es de lo
mas normal: antenas, transreceivers, electronica (osciladores,mezcladores..
etc etc). Todos los equipos usan el AP como bridge central para reenviar las
seales. /* (Curiosidad: el hecho de llevar dos antenas no es por el hecho de
que use una para enviar y otra para recibir, sino por el rollo de la
diversidad de las seales. Os suena lo de las imagenes fantasmas que a veces
se ven en la tele..bueno si quereis saber del tema mail me.) */

El 802.11x como habeis podido adivinar esta basado en el 802.3 (ethernet
normal) pero con algunas diferencias en las capas fisicas (PHY) y de acceso
(MAC) /* Si quereis el esquema del 802.11 y/o del 802.3 mail me (|Q| no te
rias....xD). */

A partir del esquema basico podemos aadir (a modo de celdas en la telefonia
movil) mas access points que entre ellos se encargan de entenderse (802.11F
Inter Access Point Protocol). De cara a integrarlas en las redes cableadas o
a cubrir mayor distancia (dos edificios cercanos p.e.) podemos aadir
elementos como el workgroup bridge, antenas exteriores..etc etc. Cabe
mencionar que se puede (debe?) aadir un servidor de AAA externo tipo RADIUS
o TACACS (Cisco actualmente solo soporta RADIUS, ver Arquitectura RSN).

La modulacion usada funcionando en 11 es CCK (complementary code key) /* Mas
sobre esto mail me */ junto con DSSS (Direct Sequency Spread Spectrum) del
cual hablaremos un poco mas tarde. Los access points se anuncian al mundo
exterior junto con el SSID (Service Set identifiers) del cual tambien
hablaremos mas tarde.



* DSSS:

Direct Sequence Spread Spectrum, es la tecnica usada por el estandar 802.11,
junto con la modulacion CCK /* Mas sobre modulaciones mail me */. La version
de DSSS usada por el 802.11 es similar a la usada por CDMA, es decir la seal
se modula 2 veces. La DSSS tiene lugar antes de la normal, DSSS aade (a
groso modo) "direcciones de destino" multiplicando la seal por otra de mayor
frecuencia conocida como PN (Pseudo random Noise). Para el de-spreading la
seal se multiplica exactamente por el mismo PN.

En CDMA cada receptor usa un PN diferente asi que todos pueden retransmitir a
la vez. Aqui todos usan el mismo PN, con lo cual evidentemente no todos
pueden retransmitir a la vez, esto es CSMA/CA (esto ya os suena mas eh?).
Bueno, pues esto ya es de la familia de protocolos usados por Ethernet, salvo
que aqui es collision avoidance en lugar de collision detection.

/* El tema del SS DSSS FHSS etc. es complejo, para mas info mail me */



* Seguridad:

Mecanismos de seguridad actuales:

- SSID (Service Set Identifiers): Esto simplemente es una especie de ID por
nombre de una serie de equipos en el mismo sistema. Esto es mas a nivel
organizativo, porque el mismo AP lo anuncia por broadcast alegremente.

- WEP (Wired Equivalent Privacy): Esto forma parte del estandard 802.11. Usa
un algoritmo de encriptacion simetrica que puede ser de hasta 128 bits. Las
keys se pueden usar de dos maneras, o bien de 1 a 4 para todos (con lo cual a
mas hosts, mas conocidas son) o bien con el uso de unicasts con lo que solo
son compartidas por 2 hosts. Los mecanismos de autentificacion tambien son
dos:

. Open key: Esto permite el proceso de autentificacion en texto plano y
permite a cualquier host asociarse al AP aun cuando su key sea incorrecta
(esto es lo que viene por defecto y que la mayoria de ..ejem suelen dejar).

. Shared key: El AP manda un paquete de desafio al host y este debe responder
con la llave correcta,muchos AP tienen tb una tabla de direcciones MAC que
deben corresponder con los hosts a su vez.

- RSN (Robust Security Network): Mecanismos de reciente adopcion. Como parte
de ellos tenemos:

. EAP (Extensible Authentication Protocol): Se usa para la autentificacion
contra un RADIUS. Usease el cliente usa EAP contra el AP, que a su vez lo usa
contra el RADIUS. Este asigna una llave al cliente que se almacena en el AP
(a groso modo). Este metodo yo no lo he visto fisicamente montado aun ....
xDD ,aunque he leido que es posible realizar un ataque tipo hijacking contra
el......(para el proximo NS investigare sobre el tema...).


OKa como podemos pillar una wireless?. Bueno evidentemente necesitamos una
tarjeta wireless estandard 802.11 e incluso podemos asistirnos de una antena
(del bote de pringles olvidaros, ya que no es sorprendente que pueda captar
seales siendo de metal, y (que me corrijan los telecos) siendo proporcional
a la longitud de onda que a su vez es inversamente proporcional a la
frecuencia. Es decir, a mayor frecuencia antena mas pequea. Aunque tambien
depende de la potencia a irradiar, de si es direccional u omnidireccional
etc. Lo que quiero decir es que el idiota que descubrio lo del bote no ha
descubierto nada que no se sepa hace bastantes aos ya. Ademas me gustaria
ver el bote conectado a algo....xDDDDD.

Bueno seguimos que ya me desvio...... a esto los yankees askerosos lo suelen
llamar algo como "wardriving", ya que es analogo al ya obsoleto wardialing, y
los medios usados eran la colocacion de una antena en el coche conectada a la
tarjeta wireless de un portatil y a dar vueltas por ahi......xDDDD. Esto es
muy de pelicula, pero yo con la simple antena de la wireless card en el
exterior de un edificio me he aadido a la red sin problemas, ya que el Cisco
Aironet mismo alcanza sin problemas sobre los 50 mts si no hay obstaculos
importantes.

Hay un software que puede ayudar en este paso, se trata del "Wallenreiter"  
que busca APs y despues hace un mapeo completo de la red con toda la
informacion (SSID,MAC,WEP....etc). Esta hecho en Perl y se basa en el modulo
Net::Pcap (cpan). Funciona de muerte con las tarjetas de Cisco (www.remote-
exploit.org)

Para BSD tenemos las Airtools
(http://www.dachb0den.com/projects/bsd-airtools.html) que ademas incluyen un
WEP cracker. Estas yo no las he probado, ya que no tengo BSD en el portatil,
pero estaran a la altura del AirSnort que comentamos despues. Ahora si hay
suerte (como en el caso que relataba arriba) el WEP esta configurado como
"open key" o sin configurar, con lo cual ya estamos agregados sin problemas a
la red, ya que el SSID es trivial. Podemos tener el problema del filtrado por
MACs.. Bien aqui podemos usar cualquier sniffer o analizador de redes
(TCPDump,IPTraf....) para ver el trafico de las estaciones que intentan
autentificarse contra el AP, y despues cambiar nuestra MAC address a voluntad
o incluso podemos divertirnos haciendo ARP poisoning.

El problema viene con la historieta del WEP. OKa en contra del WEP hay que
tener en cuenta que muchos fabricantes ni siquiera lo implementaban hasta
hace bien poco, y que algunos todavia siguen con los efectos de las
restricciones de USA en el tema de la exportacion de productos
criptograficos, y usan keys de 40 bits. Siempre se ha dicho que aun en 128
bits el WEP no era seguro. Documentos de gente de la universidad de Berkeley
o Mariland denunciaban que la implementacion (key reuse and weak message
authentication) como explico arriba no era nada seguro.

Hasta aqui los ataques estaban basados en la implementacion,pero un poco
despues Fluhrer Mantin, y Shamir encontraban varias vulnerabilidades en el
algoritmo RC4 y disearon un ataque que permitia a un oyente pasivo
simplemente recogiendo suficientes frames encriptados con llaves debiles,
obtener una llave valida.  El documento "rc4_ksaproc" relata tales
vulnerabilidades (ahora no me acuerdo de donde lo baje, pero vamos, si lo
poneis aunke sea en el yahoo os salen 10mil webs). La explicacion podria ser
muy larga tambien, ya que se deberia comprender el funcionamiento del
algoritmo rc4 y su aplicacion en el WEP. A groso modo os puedo explicar que
usa un vector de iniciacion (IV) de 24 bits,que se concatena con una llave
secreta compartida de 40 o 104 bits para crear una llave de 64 o 128 bits. El
IV es generado por muchas tarjetas con un contador o con algun tipo de prgn,
despues se encripta el "payload" junto con un checksum de 32 bits y se manda
con el IV en texto plano. El receptor concatena el IV con la llave secreta
compartida y desencripta los datos, si el cheksum es bueno ya esta listo.

Ataques: Fuerza Bruta, FMS, KSA Aditional flags, First Byte, Second Byte,
Aditional bytes.......



*Despedida:

Estos ataques junto con algo de codigo y la explicacion de la RNS y sus
posibles ataques da para otro articulo completo, asi que lo vamos a dejar
para el numero que viene ..........

Mientras tanto podeis ir leyendo el documento de Shamir y CIA y los docs del
AirSnort (airsnort.shmoo.com). El AirSnort es un programilla que tambien es
completo, es decir, se puede realizar la deteccion, el mapeo y petar el WEP.  
Se basa en ataques que os comentare en el numero que viene.............  
ademas los probare directamente sobre una red con un AP Cisco si
puedo.........

Otros Links:

http://standards.ieee.org/wireless/ 
http://cvs.sourceforge.net/cgi-bin/viewcvs.cgi/*checkout*/airo-linux/airo-linux
http://www.linux-wlan.org/

Saludetes


MegadetH



0x00
