El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 06-12-2016 22:06:20

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,479

¿Por qué el cambio de MAC no sirve contra el bloqueo del WPS?

Cambio de MAC y bloqueo del WPS: Lo que hay que saber antes de probar ciertos scripts "mágicos"

AP_rate_limit_bSSID_3.jpg

Quien este libre de pecado que tire la primera piedra
¿Quien no ha probado cambiar su dirección mac para "saltarse" el AP rate limited detected que reaver devuelve en bucle cuando el WPS está bloqueado?
  Sería solo por probar...  big_smile
  Es un error pensar que puede ser efectivo.
   Creo que merece la pena ver esto en detalles visto que algunos scripts se fundan en esta idea.
Prometen anular la medida de seguridad del WPS engañando el router con un simple cambio de mac.
  No conseguirás nada con ellos.
  Vamos a ver el porqué en este tema.

Distinguir las etapas

Podemos dividir en tres etapas groseras una conexión mediante PIN WPS

  1. Asociar
      * Se hace en claro (sin cifrar) y empieza por un intercambio de paquetes PROBES.
      * Nos vale para todo: conexión OPEN, WEP, WPA o por WPS. Es un proceso común independiente del tipo de seguridad

  2. Autenticar
      * Esta fase se hace con cifrado, en le caso del WPS se hace con un juego de preguntas y respuestas llamadas "M1, M2.. hasta M8". Con el WPA se hace mediante el "4 way handshake". Sin entrar en detalles podemos considerar que un intercambio de mensajes Mx no es nada más en el fondo que un tipo de handshake.

  3. Conectar
      * Para estar debidamente conectados "del todo" necesitamos una dirección IP. De esto se encarga un servicio dhcp que ya no tiene que ver con el protocolo en si.

En resumen:
Tres etapas distintas gestionadas por servicios distintos.

  1. PROBES y otras tramas de asociación

  2. protocolo WPS

  3. protocolo DHCP

bloqueo MAC

  Una vez que tenemos esto claro el punto importante es entender que el eventual bloqueo de una dirección MAC se hace a nivel de la primera etapa: La asociación.

AP_rate_limit_bSSID_1.jpg

Wireless MAC Address Filtering - Authentication/Association @ stackexchange.com
  Ojo, veis que hay tramas de "auth" a dentro de la asociación pero no tienen que ver con la etapa dos que he llamado "autenticar", (es decir comprobar la coincidencia de las contraseñas empleadas; PIN o passphrase)
  El bloqueo por bSSID es un mecanismo simple que interviene desde los primeros paquetes: Los paquetes PROBES.
Es con el paquete PROBE que se conoce la MAC del cliente.
Si este bSSID sale en la lista negra el routeur deja de responder.
    Y el cliente no se puede asociar .
  El bloqueo de MAC se gestiona con un sistema de lista blanca o negra, es anterior al WPS. 
No es algo que se hace en fase comprobación de credenciales  (el handshake o los mensajes M del modo PIN del WPS)
Si se resuelve satisfactoriamente la asociación se pasa a la etapa siguiente.
   Recordad que el protocolo debe ser universal.
Modificar al vuelo la lista blacklist del filtrado mac es algo que depende de cada firmware.
  Un protocolo universal no puede basarse en esto.
  La medida de seguridad propia del WPS se debe hacer con, sobre y unicamente a nivel del WPS.

Bloqueo del WPS

  Es una mecánica muy simple (y sin fallos).
Se cuentan los PINes falsos y se desactiva el servicio cuando se llega a la tasa máxima autorizada.
El routeur modifica de hecho sus BEACON enseguida para anunciar que el servicio esta desactivado (para [email protected])

AP_rate_limit_bSSID_2.jpg

  Es "obligatorio"
Insisto en "bloqueado para [email protected]": Un cliente legitimo con mac conocida conectado a la red con la llave WPA no podrá intentar un solo PIN
   Por suerte, puedes hacer la prueba en tu casa, tu MAC tampoco pasa en lista negra cuando mandas unos cuantos PIN WPS falsos y activas el bloqueo del WPS: Puedes seguir conectando con tu llave WPA que sea el WPS activado, bloqueado, desactivado, mal configurado....
  En fin: Que lo tomes en un sentido u el otro ves que la mac no interviene...
  Verás también que cuando se activa el bloqueo del WPS sigues asociado y puedes asociarte una y otra vez.
Puedes incluso mandar unos PINes... pero las respuestas que recibirás no sirven: Ni te valen para un ataques pixiewps, el servicio esta bloqueado y no llegaras nunca al M8 no con PIN valido.   

   Para concluir se puede decir el bloqueo del WPS es la cosa más simple del mundo: Se determina un numero máximo de intentos y se determina un tiempo de bloqueo del servicio.
  Se puede parrar indefinidamente después un solo intento invalido como se pude parrar diez minutos cada diez intentos.
   ¡Sorpresa! big_smile
  Todo se hace independientemente de la dirección mac del enrolle
   Con lo cuál, desde una perspectiva "ofensiva", cambiar de mac con reaver no sirve de nada (excepto si el administrador de la red ha puesto nuestra MAC en la lista negra).
    No sirve para engañar el router
Que sea para "no bloquearlo" (cambiar de PIN a cada intento) o "saltarse el bloqueo" (una vez bloqueado se bloquea para [email protected] durante le intervalo de tiempo programado en el firmware)
     

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 07-12-2016 15:09:55

Betis-Jesus
Very Important Usuario

Registrado: 29-03-2015
Mensajes: 534
Página Web

Re: ¿Por qué el cambio de MAC no sirve contra el bloqueo del WPS?

en alguno encenario si sirve cambiar la mac, por ejemplo alguno router tp-link te suele bloquear de por vida por medio de la mac. los cual puede servir
aunque hoy en dia los que se hacer es bloquear el wps para todos el mundo cuando alguien hacer un ataque a wps si es fallido bloquear el wps para todos los usuario indepediente si es legitimo o no.

quiza por esto suele ponerle un limite de bloquear por el problema precisamente de bloquear a un usuario legitimo de hay el tiempo de levanta el bloqueo.
aunque cada ver se esta imponiendo mas en los route wps button que es la mejor opcion y evitar el bloqueo a usuario legitimos.


viver y ser libre

Desconectado

#3 07-12-2016 15:54:10

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,479

Re: ¿Por qué el cambio de MAC no sirve contra el bloqueo del WPS?

El escenario en el cual sirve cambiar de mac es si el bSSID ha sido puesto en lista negra por el administrador (a mano o mediante un script  IDS+contra medida)
Pero esto no tiene que ver con el bloqueo del WPS, es a parte.
El bloqueo del WPS es simple... 0 o 1.
  Abierto o cerrado.
Si se bloquea el WPS es siempre para todas las macs, cuál sea el router... Dicho de otro modo cambiar tu mac no te servirá a mandar un PIN una vez que el WPS está bloqueado.
Tendrás que esperar a que se levante el bloqueo del WPS
  Tampoco te servirá cambiar de mac a cada intento para no activar el bloqueo. Se activa con la cuenta de intentos fallidos.
  En el caso que indicas (que desconozco) tendrás que esperar a que se levante el bloqueo y además deberás cambiar de mac porque se ha puesto automáticamente en lista negra y no puedes asociarte, 
Pero es un bloqueo mac: no te asocias ni para WPS, ni para WPA y solo tienes que poner otra mac...
  Son dos mecanismos independientes.
   
Por lo del limite de tiempo lo han dejado (la wifi-alliance) así (configuración sobre dos factores) dejando a cada fabricante la elección de activar lo o no.
  Advierten de que sería mejor ponerlo, pero no dan ninguna directiva concreta y es opcional.
  Intuyen que no es muy fiable, por esto lo han puesto, pero no se dan cuenta de lo jodido que está el asunto...

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Pie de página

Información del usuario

Ultimo usuario registrado: moro20
Usuarios registrados conectados: 0
Invitados conectados: 10

Estadisticas de los foros

Número total de usuarios registrados: 1,234
Número total de temas: 1,205
Número total de mensajes: 12,414

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21