Captura de tráfico de WLAN

La captura de paquetes de Wi-Fi te permite ver detalles e interacciones que, de otro modo, se enmascaran antes de llegar al software que se ejecuta en un dispositivo, lo que hace que estas capturas sean una herramienta importante para algunos tipos de errores.

Los pasos principales son los siguientes:

  1. Busca el canal correcto para rastrear.
  2. Captura el tráfico.
  3. Comparte la captura y un hash de tu contraseña de WLAN.

1. Determina el canal y el ancho correctos

Las redes WLAN funcionan en los siguientes dispositivos:

  • un canal, al que se suele hacer referencia con un número. De 1 a 13 para canales de 2.4 GHz y de 36 a 200 para canales de 5 GHz
  • con un ancho específico (20 MHz, 40 MHz, 80 MHz o 160 MHz)

Por lo general, cada punto de acceso (por ejemplo, router o nodo de malla) de tu red tiene un canal de 2.4 GHz y uno de 5 GHz únicos, y debes encontrar a cuál está conectado el dispositivo. Tienes las siguientes opciones:

Usa el panel de control del router

Si usas Nest WiFi, omite esta opción, ya que la información no se expone.

La mayoría de los routers tienen una lista de los dispositivos conectados y el canal y la anchura que usan.

  1. Consulta esta guía para encontrar la dirección IP de tu router.
  2. Ve a la dirección del router en tu navegador web, por ejemplo, http://192.168.1.1.
  3. Accede. ¿No sabes cuál es tu contraseña? Busca una etiqueta en el router o usa Contraseñas de routers.

  4. Busca una página que se llame "clientes" o "dispositivos conectados". Por ejemplo, la página de un router Netgear podría verse como la siguiente, o bien para dispositivos Eero.

    Vista del cliente de Netgear

  5. Es posible que debas buscar en otro lugar de la configuración para asignar la información del paso 4 a un canal y un ancho de banda específicos. Por ejemplo, un router Netgear:

    Vista de canales de Netgear

Usa tu Mac, si ya está conectada al mismo canal

Mantén presionada la tecla Option en el teclado y, luego, haz clic en el ícono de WLAN que se encuentra en la esquina superior derecha de la barra de estado de tu Mac. Deberías ver el menú WLAN normal con algunas opciones y más información. Observa los elementos de menú no disponibles y busca el que menciona Canal:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN de Mac

No se puede encontrar el canal ni el ancho

Si los otros métodos no funcionan, puedes probar lo siguiente:

  1. Haz una lista de todos los canales que usan tus AP (por lo general, 2 para cada AP o punto de malla).

    a. Recomendado: Con un teléfono Android, puedes usar una app como Wifiman o Aruba Utilities.

    a. En una Mac, puedes usar /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s para mostrar una lista de opciones.

  2. Realiza una captura breve (incluso 15 segundos son suficientes) en cada uno de esos canales con las instrucciones que se indican a continuación.

  3. Instala Wireshark (para obtener asistencia, consulta Instala Wireshark).

  4. Abre cada una de las capturas con Wireshark, aplica un filtro de visualización de wlan.addr == YOUR_DEVICE'S_MAC y comprueba si aparecen paquetes.

2. Inicia la captura

Importante: Captura del protocolo de enlace de 4 vías

Si la seguridad está activada para Wi-Fi, debes conocer las claves de encriptación para desencriptar los paquetes capturados. Las claves de encriptación se derivan de un protocolo de enlace de 4 vías que se produce cuando el dispositivo se conecta a la red y son únicas para cada conexión entre un dispositivo y el AP.

Por lo tanto, DEBES capturar el protocolo de enlace de 4 vías para desencriptar las cargas útiles de Wi-Fi. Si el dispositivo ya está conectado a la red cuando inicias la captura, desconecta y vuelve a conectar el dispositivo (o reinícialo) una vez que comience el espionaje.

Captura en Mac

Mantén presionada la tecla Option del teclado, haz clic en el ícono de WLAN y, luego, selecciona "Open Wireless Diagnostics…":

Captura de WLAN en Mac

En la barra de menú de Wireless Diagnostics, selecciona Window > Sniffer:

Sniffer de WLAN para Mac

Establece el canal y el ancho en los valores que recuperaste antes (el ejemplo de la captura de pantalla es para el canal 60 y el ancho de 40 MHz):

Ancho y canal de WLAN de Mac

Presiona Start y, luego, ingresa tu contraseña. Ahora, intenta reproducir el problema. Asegúrate de capturar el protocolo de enlace de 4 vías de una conexión, como se indica en Captura el protocolo de enlace de 4 vías.

Cuando termines, presiona Stop. Se puede encontrar un nuevo archivo *.pcap en /var/tmp, que contiene todo el tráfico. Un ejemplo de nombre de archivo es (null)_ch100_2018-11-06_10.52.01.pcap.

Captura en Linux

  1. Desactiva el Wi-Fi. Para ello, sigue estos pasos:

    • Con la GUI (recomendado)
    • Usar la CLI de Network Manager para indicarle que deje de administrar la interfaz WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Si usas un administrador de red alternativo, haz los ajustes necesarios.

  2. Guarda esta secuencia de comandos. Reemplaza <wlan-ifname> por el nombre de la interfaz Wi-Fi. En este documento, se supone que el nombre de la secuencia de comandos es setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Ejecuta la secuencia de comandos anterior y pasa el canal y el ancho de banda más alto para el espionaje, por ejemplo, el canal 153 con un ancho de banda de 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Abre Wireshark y ahora deberías poder capturar paquetes en la interfaz wlan.

3. Cómo compartir la captura

  1. Usa el Generador de PSK (clave sin procesar) de WPA para generar un hash de tu contraseña. Esto te permite desencriptar la captura sin conocer tu contraseña de texto simple.

  2. También debes compartir el PSK generado para que otras personas puedan desencriptar la captura.

Apéndice

Instala Wireshark

Puedes instalar Wireshark con apt install wireshark en Linux o descargarlo en línea desde el sitio web de Wireshark.

Configura Wireshark para desencriptar el tráfico

Esto no es necesario para compartir tus archivos de captura. Solo hazlo si quieres examinar el tráfico desencriptado en Wireshark.

Con la seguridad WPA2 en Wi-Fi, WPA2-PSK no se usa directamente para la encriptación y la desencriptación del tráfico. Se usa en un protocolo de enlace de 4 vías, que debes capturar para desencriptar los paquetes. Sin embargo, si todo lo que intentas capturar son problemas para conectarse a Wi-Fi o interrupciones en la conectividad, que se pueden obtener de los cuadros de administración de Wi-Fi, no es necesario capturar el protocolo de enlace de 4 vías. En cualquier caso, no está de más capturarlo.

Abre Wireshark y la página Preferences (menú Wireshark > Preferences o **Cmd + , **).

  1. Busca la sección "IEEE 802.11" en la categoría "Protocolos" y asegúrate de que la opción "Habilitar la desencriptación" esté marcada:

    Preferencias de Wireshark para Mac

  2. Haz clic en el botón Editar junto a la etiqueta Llaves de desencriptación.

  3. Haz clic en el botón "+" en la esquina inferior izquierda y selecciona la opción "wpa-pwd".

    WPA y contraseña de Wireshark para Mac

  4. Haz clic en la columna de clave de la fila recién creada (junto a la cadena wpa-pwd) y escribe el PSK y el SSID de WPA2 en el formato <password>:<ssid>. Por ejemplo, si el nombre de tu red era MyHomeNetwork y tu PSK de WPA2 era myp4ssword, escribe myp4ssword:MyHomeNetwork.

    SSID de Wireshark para Mac

  5. Haz clic en Aceptar para confirmar.

Para obtener más información, consulta la guía oficial de Wireshark (con capturas de pantalla) en How to Decrypt 802.11.

Si usas tshark, pasa los siguientes argumentos:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Cómo colorear los datos 802.11 de Wireshark

Hay un perfil de color 802.11 útil en metageek.com: perfil de configuración de Wireshark.