OWISAM-DS-001

From OWISAM
Jump to: navigation, search

Pruebas de deautenticación (OWISAM-DS-001)

Descripción

Los frames de tipo Management conocidos como "Deathentication" y "Disassociation" pueden ser enviados en una red Wi-Fi suplantando la identidad de cualquier dispositivo sin necesidad de de estar asociado con el AP, por eso

En la "actualidad" no existe ningún mecanismo de seguridad que permita verificar la identidad del cliente que generó dichos frames. El envío de gran cantidad de este tipo de frames puede provocar una denegación de servicio contra los clientes de una red. Los ataques de deautenticación se utilizan comúnmente para llevar a cabo la interceptación de la negociación en el proceso de autenticación de un cliente (4 way handshake), facilitando ataques orientados a descifrar las credenciales del usuario, y por otro lado una denegación de servicio persistente, evitando que el cliente se pueda comunicar, mientras continúe el envío de estos paquetes.

La revisión técnica del estándar IEEE 802.11w presente en el estándar 802.11 - 2012 ofrece la protección de determinados frames de tipo Management mediante el envío cifrado de los mismos. De todas formas, este método, pese a estar ratificado, apenas ha sido implementado por los fabricantes.


Prueba

Se puede hacer uso de una herramienta como aireplay-ng para llevar a cabo este tipo de ataques mediante el envío de frames generados de forma automática.


Recomendaciones

Dada la implementación actual del estándar por parte de los dispositivos es muy difícil prevenir que esto suceda e incluso mitigarlo. Para la parte que corresponde al AP se pueden establecer un Wi-Fi IDS que alerte y prevenga cuándo se reciben varios de estos frames, evitando que el AP llegue a procesarlos. Por parte de los clientes actualmente no existe ningún método de protección. Se podría mitigar un ataque permanente cambiando la dirección MAC asociada al AP, siempre que los parámetros de configuración del mismo lo permitan.


Referencias