Buenos dias a la gente del foro.

Esta es la primera vez que escribo y lo hago para preguntarles unas cuestiones que no tengo clara.

Estamos probando con mi hermano y mi vecino la seguridad de la red y hemos logrado obtener la wep de manera facil usando el ataque 1+3 en la suite wifislax. La hemos obtenido en 15 minutos y con 50.000 ivs con lo cual hemos comprobado que no era muy buena...

El problema que al tratar de conectar a internet, ya sea desde windows o Linux no podemos. Hemos leidos todos los tutoriales que hay dondo vueltas y llegamos a la conclusion, de que tiene DHCP desabilitado, con lo cual, buscamos post al respecto....

Hemos conseguido capturar e interpretar datos con el ethereal y asi y todo no hemos logrado conectar espor eso que hare algunas preguntas para ver si me pueden echar una mano...

La primera duda se plantea con el ethereal ya que al abirir EL MISMO archivo de captura en 2 oportunidades distintas, nos tira, diferentes resultados.

Por ejemplo, aqui les dejo la captura de la primera pantalla del ethereal:


Hasta aqui, uno diria, bueno es facil...el gateway es 10.0.0.1 y las ips pueden ser 172.16.0.1 o bien 10.0.2.89


La confusion se da en que, al abrir unas horas mas tarde EL MISMO archivo de capturas, nos arroja otros datos un tanto distintos al que obtuvimos al principio, por ejemplo, ya en MAC SOURCE me da como resultado 172.16.0.1 y como posibles ips 172.16.0.1 o bien 10.0.2.89...



Mi duda radica en como se puede interpretar esto ya que el ethereal hace 2 diferentes lecturas del MISMO ARCHIVO y eso me confunde un poco....

Decidimos probar suerte con el primer rango de ips y colocamos los datos en windows

IP: 10.0.0.184
Puerta de enlace: 10.0.0.1



Abro, el Look@Lan, me dice que la lista de interface aparece vacia y que debo insetarla manualmente. Como Speed elijo Lan100mbit



y coloco como rango de ip las obtenidas al principio...desde 10.0.0.184 hasta 10.0.2.254



Luego acepto y hago lo propio en el Superscan 4.0...




Lo raro que luego de un buen rato de analisis (y como se muestra en la captura) NINGUNO DE LOS 2 me detecta ninguna IP, nisiquiera la mia...

Esto nos ha descolocado ya que no sabemos como seguir...tambien hemos echo lo propio con el rango de ips 172.16.0.xxx y nada.

Luego al tratar de conectar a la red xxxx, se queda esperando como si cargara pero nada...nisiquiera nos da un mensaje de error:



[

Con lo cual la unica duda que nos queda es si tiene filtrado de mac...

Si es asi, tenemos unas dudas al respecto...

1.- Que mac debemos clonar? La del AP o la de alguno de los clientes?

2.- Nuestro grupo de trabajo, debe tener el mismo nombre que el de la red?

3.- Hay alguna forma de obtener datos del AP, tales como modelo, fabricante? Ya que creemos que si en 20 minutos se pueden capturar datos de una clave cifrada y decodificarlos, tranquilamente debe haber alguna manera de obtener datos de ap, no?


Bueno esperamos no habernos excedido mucho pero tratamos de ser lo mas claros posibles y adjuntar ejemplos. Estamos a merced de ustedes a la espera de consejos.

La mac address que se debe clonar es la de los clientes. No sé si usas airdump, pero si es así, vuelvelo a ejecutar con la opción de filtrar solo ese access point y ver cuales clientes se conectan.

Por el resultado, creeria que la red es del tipo 172.16.0.0 con una mascara de 16 bits, es decir 255.255.0.0, y que el AP se conecta a otro dispositivo que tiene dirección interna del tipo 10.0.0.0

Una posibilidad es capturar todo el tráfico del intento de conexión con el AP y ver que pasa que tipos de paquetes se reciben.

Hola Alluz, muchas gracias por esponder....

efectivamente uso airodump para capturar, la sintaxis es la siguiente:

"airodump wlan0 cealcom5 10" (el 10 es el canal), me podrias decir tu, como seria la linea de comandos para filtrar, usando solo ese acces point?

Aqui en otra captura que he echo con airodump monitoreando y luego leidas con el wireshark me ha tirado este rango de ips...

Elijo por ejemplo, la ip 10.0.0.186 que es la que me aparece con wl wireshark, la configura en las propiedasdes de TCP/IP, YA ME CONECTA!!!!!



en la captura se ve, que estoy conectado a mi red y que he enviado y recibido paquetes, pero aun asi no tengo internet....

Eso se puede deber al filtrado MAC?

Si es asi, cuando voy haciendo las pruebas y clono la mac...Lo debo hacer antes de conectarme no? Y debo reiniciar la maquina para que los datos tengan efecto o con solo desabilitar y habilitar la red nuevamente sirve?

Saludos y gracias por su tiempo.

Utiliza SMAC para cambiar la MAC.

Pero ¿ya analizaste los paquetes cuando se realiza la conexión? ¿puedes hacer ping a la puerta de enlace o a otro host?
Para filtrar el bssid, utiliza la opción -b con la mac del access point.