Registre la contraseña/clave incorrecta utilizada para intentar conectarse a la red hostapd

tag-icon tag-icon wireless-networking hostapd
Registre la contraseña/clave incorrecta utilizada para intentar conectarse a la red hostapd

He estado alojando una WPA2red hostapden mi equipo Linux y me gustaría registrar las claves incorrectas utilizadas en los intentos fallidos de conexión. Si mi comprensión es correcta, la contraseña real no se transmite, solo el PSK de 64 bytes, que es todo lo que necesito. Entonces, ¿cómo puedo configurar hostapdpara registrar los intentos fallidos de conexión junto con las claves utilizadas en ellos?

Respuesta1

Como ya mencionó Spiff, ni la contraseña ni la clave maestra PMK por pares de 256 bits (derivada de la contraseña y el SSID) se intercambian entre la estación y el punto de acceso durante el protocolo de enlace de 4 vías.

Se pueden encontrar detalles sobre el protocolo de enlace de 4 vías, por ejemploaquíoaquí.

En el caso que estás describiendo (donde se utiliza una contraseña incorrecta), solo se intercambian los dos primeros mensajes:

  • Enmensaje 1el AP envía un nonce (Na) a la estación.
  • La estación utiliza este nonce (Na), su propio nonce (Ns), su propia dirección MAC, las direcciones MAC del AP y la PMK para construir un código de integridad de mensaje (MIC).
  • Enmensaje 2Luego, la estación envía su nonce (N) y el MIC al AP.
  • El punto de acceso ahora utiliza su nonce (Na), el nonce de la estación (Ns), su propia dirección MAC, las direcciones MAC de la estación y el PMK para reconstruir el MIC recibido de la estación y verificar con esto que el PMK utilizado por la estación era correcto. En el caso de que la estación utilice un PMK incorrecto, el AP no puede verificar el MIC enviado por la estación en el mensaje 2. Por lo tanto, el AP detiene el protocolo de enlace y no envía el mensaje 3 del protocolo de enlace.

Hasta donde yo sé, en el área de usuario no tienes acceso al contenido de los marcos de administración de EAPOL que se intercambian durante el protocolo de enlace a través de una interfaz expuesta por hostapd.

Por lo tanto, su mejor opción para averiguar qué contraseña se intentó sería capturar el protocolo de enlace WPA2 (marcos EAPOL) con una tarjeta WiFi configurada en modo monitor. Cuando tenga los dos primeros fotogramas del protocolo de enlace de 4 vías en su captura, tendrá toda la información necesaria para, en principio, recuperar la contraseña que utilizó la estación, es decir,

  • Nonce Na
  • Nonce Ns
  • dirección MAC de la estación
  • dirección MAC del AP
  • micrófono

Puedes utilizar una herramienta comoaircrack-ngpara recuperar la contraseña mediante un ataque de fuerza bruta o de diccionario en el protocolo de enlace WPA2 parcial capturado.

Respuesta2

No, el PSK no se transmite. Sería un protocolo de seguridad horrible si así fuera. Todo el mundo estaría falsificando SSID cercanos sólo para que los clientes revelen sus contraseñas.

No hay manera de hacer lo que buscas. Si lo hubiera, WPA2 habría sido reemplazado hace mucho tiempo.

información relacionada