Ctrlk
Xtormin GithubLinkedIn

Conceptos generales

Esquemas de red Wi-Fi

Red doméstica
Red corporativa

Estándar IEEE 802.11

El estándar IEEE 802.11 define cómo se empaqueta y transmite la información en redes inalámbricas. Estas unidades de datos se llaman tramas. Comprenderlas es crucial, ya que muchos ataques (como la deautenticación) se basan en crear y falsificar estas tramas para manipular la red.

Todas las comunicaciones 802.11 se basan en una estructura fundamental: la trama MAC. Esta estructura actúa como un contenedor que transporta la información necesaria para que los datos lleguen a su destino.

Campos de tramas MAC

Una trama MAC típica consta de los siguientes campos clave:

Campo
Descripción

Frame Control

Contiene metadatos vitales: tipo y subtipo de trama, versión del protocolo, y flags que indican la dirección del tráfico (hacia/desde el sistema de distribución), si está fragmentado, etc.

Duration/ID

Indica el tiempo que el medio inalámbrico estará ocupado transmitiendo la trama y su acuse de recibo (ACK), ayudando a evitar colisiones.

Direcciones (1-4)

Especifican las direcciones MAC involucradas. Su significado varía según el tipo de trama, pero suelen incluir la MAC del transmisor, receptor, el BSSID del Punto de Acceso (AP), etc.

Sequence Control

Un número de secuencia para ordenar las tramas y detectar duplicados.

Data (Payload)

El contenido real que se está transmitiendo (datos del usuario, información de gestión, etc.).

CRC (FCS)

Frame Check Sequence. Una suma de comprobación de 32 bits para verificar que la trama no se haya corrompido durante el viaje.

Tipos de tramas

Las tramas 802.11 se dividen en tres categorías principales según su función:

  1. Management (Tipo 00): Son los "jefes" de la red. Gestionan la conexión, autenticación y asociación entre clientes y APs. Son nuestro principal foco en pentesting.

  2. Control (Tipo 01): Son los "policías de tráfico". Ayudan a la entrega de las tramas de datos, asegurando el medio (RTS/CTS) y confirmando la recepción (ACK).

  3. Data (Tipo 10): Son los "transportistas". Llevan los datos reales de las aplicaciones de los usuarios.

Para las pruebas de penetración de Wi-Fi, nos centramos principalmente en los marcos de gestión, ya que controlan la vida de la conexión. Analicemos los subtipos más relevantes y sus funciones.

Si buscamos filtrarlos en Wireshark, especificaríamos el tipo general 00 seguido del subtipo específico.

El punto de acceso utiliza principalmente las tramas de baliza ("faros") para comunicar su presencia. Son el "latido" de la red. Incluyen información crítica como el SSID (nombre de la red), los cifrados compatibles, los tipos de autenticación y las velocidades de datos admitidas.

Este proceso permite a los clientes descubrir puntos de acceso cercanos de forma activa.

  • Probe Request: Independientemente de si una red está oculta o no, un cliente envía una solicitud de sondeo (a veces buscando un SSID específico).

  • Probe Response: El punto de acceso responde con información sobre sí mismo para que el cliente pueda decidir si conectarse.

Son los primeros pasos formales para unirse a la red. El cliente envía una solicitud al AP para iniciar el proceso. Estas tramas se utilizan principalmente para identificar al cliente ante el punto de acceso (en sistemas abiertos, es un mero trámite antes de la asociación).

Tras el proceso de autenticación inicial, el cliente envía una solicitud de asociación para unirse a la red lógica. El AP responde con una respuesta de asociación indicando si el cliente puede asociarse o no. Una vez asociado, el cliente es parte de la red.

Estas son las tramas de "ruptura". Se envían para terminar la conexión entre el AP y el cliente.

  • Son críticas para los pentesters: contienen un código de motivo (reason code) que indica por qué se desconecta al cliente.

  • Uso ofensivo: Falsificamos estas tramas para realizar ataques de denegación de servicio (DoS) y para forzar la desconexión de clientes, obligándolos a reconectarse y así capturar el handshake de seguridad (como el WPA2 de 4 vías).

Ciclo de común de conexión

Ahora que hemos revisado las piezas, veamos cómo encajan. El ciclo de conexión típico (centrándonos en una autenticación WPA2 básica) sigue esta secuencia:

  1. Descubrimiento pasivo/activo: El cliente escucha Beacon Frames o envía Probe Requests y recibe Probe Responses.

  2. Autenticación 802.11: Intercambio de Authentication Request y Response.

  3. Asociación: Intercambio de Association Request y Response.

  4. Autenticación de Seguridad (Handshake): Si la red es segura (WPA/WPA2), aquí ocurre el intercambio de claves (EAPOL Handshake).

  5. Conexión establecida: Transferencia de datos.

  6. Terminación: Envío de Disassociation o Deauthentication.

Tabla del protocolo Wi-Fi IEEE 802.1

Protocolo / Banda
Frecuencia
Ancho del canal

802.11ax

2,4 o 5 GHz

20, 40, 80, 160 MHz

802.11ac wave2

5 GHz

20, 40, 80, 160 MHz

802.11ac wave1

5 GHz

20, 40, 80 MHz

802.11n

2,4 o 5 GHz

20, 40 MHz

802.11g

2,4 GHz

20 MHz

802.11a

5 GHz

20 MHz

802.11b

2,4 GHz

20 MHz

Tradicional 802.11

2,4 GHz

20 MHz

Seguridad en redes inalámbricas

Las redes inalámbricas pueden contar con diferentes tipos de seguridad, ante los cuales, variarán los ataques a realizar.

  • WPS.

  • WEP.

  • WPA.

  • WPA2/WPA3 Personal.

  • WPA2/WPA3 Enterprise.

AnteriorHerramientasSiguienteComandos esenciales

Última actualización