Estoy indefenso ante un niño con retroceso que usa repetidamente aireplay-ng para autenticar a usuarios legítimos en mi red de trabajo de Wifi.
Capturé y analicé el tráfico de la red en mi red de trabajo de Wifi, y noté una cantidad notable de paquetes de 802.11 deauth. Me doy cuenta de que puede que no sea posible atraparlo, o incluso saber de dónde vino el ataque. Solo quiero saber: ¿hay alguna forma de prevenir un ataque de este tipo?
Siendo realistas, no puedes evitar que un tipo malo envíe paquetes de autenticación de autenticación.
En su lugar, deberías enfocarte en asegurarte de que eres resistente a un ataque de belleza. Asegúrese de que su red esté configurada de manera que el ataque de Deauth no permita que un atacante ponga en peligro su red.
Para hacer eso, debes asegurarte de estar usando WPA2. Si está utilizando una clave precompartida (una frase de contraseña), asegúrese de que la frase de contraseña sea muy larga y sólida. ¡Si no lo está ya, cámbielo inmediatamente! Si no está utilizando WPA2, corríjalo inmediatamente.
La razón principal por la que los chicos malos envían paquetes deauth es que esto les ayuda a ejecutar un ataque de diccionario contra su frase de contraseña. Si un tipo malo captura una copia del saludo inicial, pueden probar varias conjeturas en su frase de contraseña y verificar si son correctas. El envío de un paquete deauth obliga al dispositivo de destino a desconectarse y volver a conectarse, lo que permite que un interceptor oculto capture una copia del saludo inicial. Por lo tanto, la práctica estándar de muchos atacantes que podrían intentar atacar su red inalámbrica es enviar paquetes de belleza. Si está viendo muchos paquetes deauth, es una señal de que alguien podría estar intentando atacar su red inalámbrica y adivinar su frase de contraseña.
Una vez que el atacante ha enviado un paquete completo y ha interceptado el protocolo inicial, existen herramientas y servicios en línea que automatizan la tarea de intentar recuperar la frase de contraseña, adivinando muchas posibilidades. (Consulte, por ejemplo, CloudCracker para ver un ejemplo representativo.)
La defensa contra este tipo de ataque es asegurarse de que su frase de contraseña sea tan larga y fuerte que no pueda ser adivinada. Si aún no es largo y fuerte, necesita cambiarlo de inmediato, porque probablemente alguien esté tratando de adivinarlo mientras hablamos.
(La otra razón por la que un chico malo podría enviar paquetes de belleza es como una molestia. Sin embargo, como la mayoría de los usuarios probablemente ni se darán cuenta, no es una molestia muy efectiva).
Para obtener más información, consulte estos recursos:
Cisco encabezó un método para detectar estos ataques e incluso proteger este tipo de ataque si está habilitado y el dispositivo cliente lo admite (soporte mínimo de CCXv5). La función de Cisco se llama "Protección del marco de administración" y los detalles completos pueden ser encontrado en el sitio web de Cisco .
En esencia, el proceso agrega un valor de hash a todos los marcos de administración que se envían.
Este proceso se estandarizó con la enmienda IEEE 802.11w publicada en 2009, y es compatible con la mayoría de las distribuciones modernas de Linux / BSD en el kernel. Windows 8 se introdujo con el soporte 802.11w por defecto (lo que causó algunos problemas iniciales en algunos entornos). AFAIK, OS X aún carece de soporte 802.11w.
Para referencia, 802.11w se incorporó en la versión de mantenimiento 802.11-2012 del estándar 802.11.
Alguien me dio un voto positivo que actualizaba esta respuesta en mi mente y pensaba que era una actualización.
La Alianza Wi-Fi (WFA) ha hecho que el soporte de Marcos de administración protegidos (PMF) sea obligatorio para pasar las certificaciones 802.11ac o Passpoint (también conocido como HotSpot2.0). Esto ha impulsado significativamente el soporte para 802.11w e incluso puede encontrarlo en la mayoría de los dispositivos de consumo hoy en día.
Desafortunadamente, Apple todavía parece ser la reserva. Permítanme comenzar diciendo que me sorprendió descubrir que Apple no ha certificado un solo dispositivo con la WFA desde principios de 2014 . Sé que este es un proceso voluntario para los proveedores, pero no participar en el proceso de certificación me parece una mala idea para un fabricante tan grande de dispositivos inalámbricos.
Si bien Apple ha agregado el soporte 802.11w, todavía hay problemas. A saber, me encontré con esta publicación a principios de este año, se detallan los problemas con la conexión de Apple a una red con autenticación 802.11X y 802.11w requerido. Las redes que usan un PSK (con 802.11w opcional o requerido) parecen funcionar igual que las redes 802.1X con 802.11w opcional.
Así que estamos llegando, pero aún nos queda camino por recorrer.
La única forma de evitar este tipo de ataque es bloquear la capacidad del atacante para enviar transmisiones inalámbricas que llegarán a sus usuarios legítimos. Esa no es una solución práctica por varias razones (pero puntos adicionales si puede convencer a sus trabajadores para que se sienten en una Jaula de Faraday ).
Esta página del blog aquí cita algunos de los estándares WiFi relevantes , más concretamente:
La autenticación no es una solicitud; Es una notificación. La denegación de autenticación no será rechazada por ninguna de las partes.
Entonces, no, no hay una manera real de prevenir un ataque de este tipo.
El estándar 802.11 actual define los tipos de "marco" para su uso en la administración y control de enlaces inalámbricos. IEEE 802.11w es el estándar de marcos de administración protegidos para la familia de estándares IEEE 802.11. TGw está trabajando para mejorar la capa de control de acceso al medio IEEE 802.11. El objetivo de esto es aumentar la seguridad al proporcionar la confidencialidad de los datos de los marcos de administración, los mecanismos que permiten la integridad de los datos, la autenticidad del origen de los datos y la protección de la reproducción.
== > enlace
parece protección contra deauth y la reproducción ya está en el kernel bsd / linux:
El estándar 802.11w se implementa en Linux y BSD como parte de la base del código del controlador 80211mac que utilizan varias interfaces de controlador inalámbrico, es decir, ath9k. La función se habilita fácilmente en la mayoría de los kernels recientes y sistemas operativos Linux utilizando estas combinaciones. Openwrt, en particular, proporciona un cambio fácil como parte de la distribución base.
Si es posible, haz que todos se conecten a una red cableada durante una semana y apaga tu wifi. Después de una semana, vuelva a encenderlo y esperamos que el atacante se haya rendido para entonces. También trataría de incluir en la lista blanca a todos en su red para que solo esas IP puedan conectarse. Si sospechas que van a seguir atacándote, independientemente del esfuerzo que les cause, entonces estoy de acuerdo con Terry, ponte en contacto con la policía local y deja que lo manejen.
Lea otras preguntas en las etiquetas authentication wifi