Saltar al contenido

Prevención de ataques de desautenticación

Después de de nuestra extensa recopilación de datos hemos podido resolver este atolladero que tienen muchos lectores. Te regalamos la respuesta y deseamos que resulte de gran apoyo.

Solución:

Siendo realistas, no puedes evitar que un malhechor envíe paquetes de desautenticación.

En su lugar, debe concentrarse en asegurarse de que es resistente a un ataque de muerte. Asegúrese de que su red esté configurada de manera que el ataque de deauth no permita que un atacante comprometa su red.

Para hacer eso, debe asegurarse de estar usando WPA2. Si está utilizando un pre-compartido key (una frase de contraseña), asegúrese de que la frase de contraseña sea muy larga y fuerte. Si aún no lo está, ¡cámbielo inmediatamente! Si no está utilizando WPA2, ¡arréglelo inmediatamente!

La razón principal por la que los delincuentes envían paquetes de desautorización es que esto les ayuda a ejecutar un ataque de diccionario contra su frase de contraseña. Si un malhechor captura una copia del apretón de manos inicial, puede probar varias conjeturas en su frase de contraseña y comprobar si son correctas. El envío de un paquete de deauth obliga al dispositivo de destino a desconectarse y volver a conectarse, lo que permite que un intruso capture una copia del protocolo de enlace inicial. Por lo tanto, la práctica estándar de muchos atacantes que podrían intentar atacar su red inalámbrica es enviar paquetes de deauth. Si ve muchos paquetes de deauth, es una señal de que alguien puede estar intentando atacar su red inalámbrica y adivinar su contraseña.

Una vez que el atacante ha enviado un paquete de deauth e interceptado el protocolo de enlace inicial, existen herramientas y servicios en línea que automatizan la tarea de intentar recuperar la frase de contraseña adivinando muchas posibilidades. (Ver, por ejemplo, CloudCracker para un ejemplo representativo.)

La defensa contra este tipo de ataque es asegurarse de que su frase de contraseña sea tan larga y segura que no se pueda adivinar. Si aún no es largo y fuerte, debe cambiarlo de inmediato, porque probablemente alguien esté tratando de adivinarlo mientras hablamos.

(La otra razón por la que un tipo malo puede enviar paquetes de desautorización es como una molestia. Sin embargo, como la mayoría de los usuarios probablemente ni siquiera se darán cuenta, no es una molestia muy efectiva).

Para obtener más información, consulte estos recursos:

  • ¿Cómo funciona la desautorización en aireplay-ng?

  • ¿Alguien puede obtener mi contraseña WPA2 con honeypots?

Cisco encabezó un método para detectar estos ataques e incluso proteger este tipo de ataque si está habilitado y el dispositivo cliente lo admite (compatibilidad mínima con CCXv5). La característica de Cisco se denomina “Protección de marco de administración” y los detalles completos se pueden encontrar en el sitio web de Cisco.

En esencia, el proceso agrega un valor hash a todos los marcos de administración que se envían.

Este proceso fue estandarizado con el IEEE 802.11w enmienda lanzada en 2009 y es compatible con la mayoría de las distribuciones modernas de Linux/BSD en el kernel. Windows 8 se introdujo con soporte 802.11w de manera predeterminada (lo que causó algunos problemas iniciales en algunos entornos). AFAIK, OS X todavía carece de soporte 802.11w.

Como referencia, 802.11w se incluyó en la versión de mantenimiento 802.11-2012 del estándar 802.11.


Alguien me dio un voto a favor que actualizó esta respuesta en mi mente y pensó que esto se debía a una actualización.

La Wi-Fi Alliance (WFA) ha hecho obligatorio el soporte de marcos de gestión protegidos (PMF) para aprobar las certificaciones 802.11ac o Passpoint (también conocido como HotSpot2.0). Esto ha impulsado significativamente el soporte para 802.11w e incluso puede encontrarlo en la mayoría de los dispositivos de consumo en la actualidad.

Desafortunadamente, Apple todavía parece ser el reticente. Permítanme comenzar diciendo que me sorprendió descubrir que Apple no ha certificado un solo dispositivo con la WFA desde principios de 2014. Sé que este es un proceso voluntario para los proveedores, pero no participar en el proceso de certificación parece una mala idea. para mí por un fabricante tan grande de dispositivos inalámbricos.

Si bien Apple agregó compatibilidad con 802.11w, todavía hay problemas. Es decir, me encontré con esta publicación a principios de este año que detalla los problemas con la conexión de Apple a una red con autenticación 802.11X y 802.11w requeridos. Las redes que usan un PSK (con 802.11w opcional o requerido) parecen funcionar como las redes 802.1X con 802.11w opcional.

Así que estamos llegando allí, pero todavía tenemos un camino por recorrer.

La única forma de prevenir un ataque de este tipo es bloquear la capacidad del atacante para enviar transmisiones inalámbricas que llegarán a sus usuarios legítimos. Esa no es una solución práctica por varias razones (pero puntos extra si puede convencer a sus trabajadores para que se sienten en una jaula de Faraday).

Esta página de blog aquí cita algunos de los estándares WiFi relevantes, más concretamente:

La desautenticación no es una solicitud; es una notificación. La desautenticación no podrá ser rechazada por ninguna de las partes.

Entonces, no, no hay una forma real de prevenir tal ataque.

Comentarios y calificaciones del post

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *