На доработке Аудит Wi-Fi сетей.
СТАТЬЯ В ДОРАБОТКЕ.
Здравствуйте многоуважаемые форумчане и гости форума. В данной статье я бы хотел рассказать о технологии которая использует стандарт IEEE 802.11, о том как можно получить к ней доступ в обход защитных технологий, какие могут быть от этого последствия и как максимально обезопасить свою wifi сеть.
Дисклеймер
Я, автор данной статьи, никого не призываю к противозаконной деятельности, так как она противозаконна(логично? да).
Вся предоставленная информация представлена для познания стандарта IEEE 802.11.
- WEP
- WPA
- WPA2
- WPA3
- WPS PIN
- Идентификация в браузере.
— Wired Equivalent Privacy (WEP) — алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. (немного вики вам).
В целом в вики написаны векторы атак. К моему сожаления показать я не могу, т.к. мой маршрутизатор и телефон не поддерживают WEP (настолько он устарел).
Поэтому вот пару ссылочек как такое крякать
— (Wi-Fi Protected Access), WPA2 и WPA3 — программы сертификации устройств беспроводной связи, разработанные объединением Wi-Fi Alliance для защиты беспроводной Wi-Fi-сети. Технология WPA первой версии пришла на замену технологии WEP. Плюсами WPA являются усиленная безопасность данных и ужесточённый контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на аппаратном, так и на программном уровнях.
WPA2
WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и призван заменить WPA. В нём реализовано CCMP и шифрование AES, за счёт чего WPA2 стал более защищённым, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных устройств Wi-Fi.
WPA3
В начале 2018 года международный альянс Wi-Fi Alliance анонсировал новейший протокол беспроводной безопасности — WPA3. Основными дополнениями, реализованными в этом протоколе, станут: встроенная защита от брутфорс-атак; индивидуальное шифрование данных для усиления конфиденциальности пользователей в открытых сетях Wi-Fi; упрощенная настройка IoT-устройств; усовершенствованный криптографический стандарт для сетей Wi-Fi — «192-разрядный пакет безопасности».
Хоть данная информация и не сложно гуглиться, пускай она тут присутствует.
— (защищённая установка), WPS — стандарт (и одноимённый протокол) полуавтоматического создания беспроводной сети Wi-Fi, созданный Wi-Fi Alliance. Официально запущен 8 января 2007 года.
Целью протокола WPS является упрощение процесса настройки беспроводной сети, поэтому изначально он назывался Wi-Fi Simple Config. Протокол призван оказать помощь пользователям, которые не обладают широкими знаниями о безопасности в беспроводных сетях, и как следствие, имеют сложности при осуществлении настроек. WPS автоматически обозначает имя сети и задаёт шифрование для
от несанкционированного доступа в сеть, при этом нет необходимости вручную задавать все параметры.
Есть два типа WPS: WPS с пин-кодом из 8 цифр, на клиенте нужно ввести тот же код, что и на точке доступа; и кнопка WPS — нужно нажать кнопку на точке доступа и на клиенте с интервалом меньше двух минут, тогда они соединятся друг с другом.
В роутерах компании TP-Link эта функция раньше называлась QSS (Quick Security Setup) и выполняет аналогичные функции.
Идентификация в браузере(на вики не нашёл поэтому своими словами). Мы смотрим рекламу и на наш BSSID привязывается ip минут на 5 или сколько-то там, когда заканчивается wifi от нас уходит.
Я думаю с теорией можно закончить и приступить к практике, ну как практика (я показываю — вы читаете)
Первое что нам предстоит сделать, это узнать наш беспроводной интерфейс.
ip l . У меня 3 интерфейса.
lo (loopback device) – это виртуальный интерфейс. Он используется для отладки сетевых программ и запуска серверных приложений на локальной машине. С этим интерфейсом всегда связан адрес 127.0.0.1.
eno0 или eth0 – интерфейс, связанный с сетевой картой, работающей через Ethernet (по кабелю).
wlan0 или wlo0 – интерфейс, связанный с сетевой картой, работающей через wifi.
Если бы сетевых карт было несколько, то 0 был бы 1 и т.д., то что у меня с 1 не имеет значения.
Команды systemctl отключают сервисы, которые скорее всего будут мешать сет. карте находиться в режиме монитора.
airmon-ng start wlo1 переводит карту в режим монитора. Режим монитора — это режим при котором сет. карта ловит все пакеты передающиеся беспроводным подключением, даже те которые не предназначены нам.
Теперь нам надо начать сканирование местности. Команда airodump-ng wlo1 , wlo1 — это наш интерфейс в режиме монитора.
У airodump-ng есть большое множество ключей для фильтрации и т.п., вот некоторые из них.(что бы посмотреть все ключи airodump-ng —help )
--write : сохраняет в файл -w : тоже что и --write --update : время обновления в секундах -r : Чтение пакетов из файла --wps : Показывает информацию о wps (если есть) --output-format : Оставляет только в формате: pcap, ivs, csv, gps, kismet, netxml, logcsv (Если не указать зн. то сохранит во всех форматах) Filter options: --bssid : фильтрует по BSSID --essid : фильтрует по ESSID --channel : сканирует только указанный канал
BSSID - MAC-адрес точки доступа PWR - Уровень сигнала. Чем число выше, тем сигнал хуже. Если PWR=-1 то возможно точка доступа уже вне зоны доступа, а airodump перехватил хотя бы 1 пакет. RXQ - Измеряется процентом пакетов, успешно принятых за последние 10 секунд. Beacons - Количество пакетов объявлений, отправленных точкой доступа. #Data - Количество захваченных пакетов данных (если WEP, уникальное количество IV), включая широковещательные пакеты данных. #/s - Количество пакетов данных в секунду. Измеряется за последние 10 секунд. CH - Канал на котором расположена точка доступа. MB - Максимальная скорость, поддерживаемая точкой доступа. Если MB = 11, это 802.11b, если MB = 22, это 802.11b +, а до 54 - 802.11g. Все, что выше, - это 802.11n или 802.11ac. Точка (после 54 выше) указывает на то, что поддерживается короткая преамбула. Отображается буква “e” после значения скорости в МБ, если в сети включен QoS. ENC - Используемый алгоритм шифрования. OPN = нет шифрования, “WEP?” = WEP или выше (недостаточно данных для выбора между WEP и WPA /WPA2), WEP (без вопросительного знака) указывает на статический или динамический WEP, а также WPA, WPA2 или WPA3, если присутствует TKIP или CCMP (WPA3 с TKIP позволяет использовать WPA или WPA2 ассоциации, чистый WPA3 допускает только CCMP). Это для оппортунистического беспроводного шифрования, также известного как Enhanced Open. CIPHER - Обнаружен шифр. Один из CCMP, WRAP, TKIP, WEP, WEP40 или WEP104. AUTH - Используемый протокол аутентификации. Один из MGT (WPA/WPA2 с использованием отдельного сервера аутентификации), SKA (общий ключ для WEP), PSK (предварительно общий ключ для WPA/WPA2) или OPEN (открыть для WEP). ESSID - Показывает имя беспроводной сети. Так называемый “SSID”, который может быть пустым, если активировано скрытие SSID. В этом случае airodump-ng попытается восстановить SSID из ответов зонда и запросов на ассоциацию. STATION - MAC-адрес каждой связанной станции или станций, ищущих точку доступа для подключения. Клиенты, которые в данный момент не связаны с точкой доступа, имеют BSSID “(not associated)”. Rate - скорость приема станции, за которой следует скорость передачи. Отображается буква “e” после каждого тарифа, если в сети включен QoS. Lost - Количество пакетов данных, потерянных за последние 10 секунд, Frames - Количество пакетов данных, отправленных клиентом. Notes - Дополнительную информацию о клиенте, такую как захваченный EAPOL или PMKID. Probes - Зондирует идентификаторы, проверенные клиентом. Это сети, к которым клиент пытается подключиться, если он в данный момент не подключен.
Это мы узнали. Время сканировать одну точку доступа, и та которую я буду взламывать называется kop.
Команда, которой я воспользуюсь выглядит так airodump-ng —bssid xx:xx:xx:xx:24:24 —channel 11 -w hack —output-format pcap wlo1 .
В данном случае я взламываю точку доступа посредством перехвата хендшейка. Сам хендшейк представляет из себя 3 пакета, которых достаточно для взлома пароля.
Пакет 1: Обращение клиента к маршрутизатору;
Пакет 2: Запрос маршрутизатором пароля;
Пакет 3: Отправка пароля маршрутизатору.
И если пароль валидный пользователь подключается к сети.
Чтобы перехватить хендшейк нужно подождать, пока клиент подключиться к точке доступа. Но это может быть достаточно долгий процесс, поэтому мы реализуем отключение клиента сами.
Для этого существует инструмент aireplay-ng. Сразу хочется сказать, что для разных типов атак могут использоваться разные ключи. Так например для атаки деаунтефикации место ключа -b будет ключ -a. Ключи и виды атак вы можете посмотреть командой aireplay-ng —help .
Для отключения клиента используем команду aireplay-ng —deauth 20 -a xx:xx:xx:xx:24:24 -c xx:xx:xx:xx:5C:AB wlo1
В случае атаки деаунтификации вот несколько ключей.
-x nbpps : количество пакетов в секунду -p fctrl : установить управляющее слово кадра (шестнадцатеричное) -a bssid : установка MAC-адреса точки доступа -c dmac : установить MAC-адрес назначения -h smac : установить MAC-адрес источника -g value : изменение размера кольцевого буфера (по умолчанию: 8)
Можем заметить WPA handshake xx:xx:xx:xx:24:24, а это означает, что можно прекращать мониторить wifi и преступать к перебору паролей.
Но перед этим следует очистить хендшейк утилитой wpaclean, т.к. на протяжении той же минуты у меня захватилось около 8000 пакетов, а как я сказал ранее для хендшейка нужно три пакета.
Cинтаксис команды таков wpaclean new_file.cap old_file.cap .
Далее приступаем к брутфорсу посредством aircrack-ng. aircrack-ng —help для просмотра справки.
По сути брутфорс это использования либо словаря, либо по маске. Я буду по словарю ибо по маске aircrack-ng не умеет.
итоговая команда будет выглядеть aircrack-ng cleanhack-01.cap -w /root/SecLists/Passwords/WiFi-WPA/probable-v2-wpa-top4800.txt (ключ -w задаёт путь к словарю). Если в словаре есть пароль, вы увидите такой вывод: