Captura de tráfico de WLAN

La captura de paquetes de Wi-Fi te permite ver los detalles y las interacciones que, de otro modo, se enmascaran antes de que alcancen el software que se está ejecutando en un dispositivo, lo que hace que estas capturas sean una herramienta importante para algunos tipos de errores.

Los pasos principales son los siguientes:

  1. Encuentra el canal adecuado para disfrutar.
  2. Capta el tráfico.
  3. Comparte la captura y un hash de tu contraseña de WLAN.

1. Determinar el canal y el ancho correctos

Las redes WLAN funcionan en:

  • un canal, al que se suele denominar con un número. De 1 a 13 se usa para canales de 2.4 GHz y de 36 a 200 para canales de 5 GHz
  • con un ancho específico (20 MHz, 40 MHz, 80 MHz o 160 MHz)

Por lo general, cada punto de acceso (por ejemplo, router o nodo de malla) de tu red tiene un canal único de 2.4 GHz y un canal de 5 GHz, y debes saber a cuál está conectado el dispositivo. Tienes las siguientes opciones:

Usa el panel de control del router

Si usas Nest WiFi, omite esta opción, ya que la información no se expone.

La mayoría de los routers tienen una lista de dispositivos conectados y el canal y el ancho que usan.

  1. Encuentra la dirección IP de tu router con esta guía.
  2. Ve a la dirección del router en tu navegador web, por ejemplo, http://192.168.1.1.
  3. Accede. ¿No sabes tu contraseña? Busca una etiqueta en tu router o usa contraseñas de router.

  4. Busca una página que tenga un nombre similar a "clientes" o "dispositivos conectados". Por ejemplo, una página de un router de Netgear podría tener el siguiente aspecto o para dispositivos Eero.

    Vista del cliente de Netgear

  5. Es posible que debas buscar en otra parte de la configuración para asignar la información del paso 4 a un canal y ancho de banda en particular. Por ejemplo, en el caso de un router Netgear:

    Vista de canales de Netgear

Usa tu Mac si ya está conectada al mismo canal.

Mantén presionada la opción Opción en el teclado y, luego, haz clic en el ícono de WLAN en la esquina superior derecha de la barra de estado de tu Mac. Deberías ver el menú de WLAN normal con algunas opciones más e información. Revisa los elementos de menú no disponibles y busca el que menciona Canal:

`Channel 60 (DFS, 5GHz, 40MHz)`

WLAN de Mac

No se puede encontrar el canal ni el ancho

Si los otros métodos no funcionan, puedes intentar lo siguiente:

  1. Enumera todos los canales que usan tus PA (por lo general, 2 para cada PA o punto de malla).

    a. Recomendación: Con un teléfono Android, puedes usar una app como Wifiman o Aruba Utilities.

    a. En una Mac, puedes usar /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s para enumerar opciones.

  2. Realiza una captura breve (incluso 15 segundos es suficiente) en cada uno de esos canales. Para ello, sigue las instrucciones que se indican a continuación.

  3. Instala Wireshark (para obtener asistencia, consulta Cómo instalar Wireshark).

  4. Abre cada una de las capturas con Wireshark, aplica un filtro de visualización de wlan.addr == YOUR_DEVICE'S_MAC y observa si aparece algún paquete.

2. Inicia la captura

Importante: Captura el protocolo de enlace de 4 vías

Si la seguridad está activada para Wi-Fi, debes conocer las claves de encriptación a fin de desencriptar los paquetes capturados. Las claves de encriptación se derivan de un protocolo de enlace de 4 vías que se produce cuando el dispositivo se conecta a la red y son únicas para cada conexión entre un dispositivo y el AP.

Por este motivo, DEBES capturar el protocolo de enlace de 4 vías para desencriptar las cargas útiles de Wi-Fi. Si el dispositivo ya está conectado a la red cuando comiences la captura, desconéctalo y vuelve a conectarlo (o reinícialo) una vez que comience el análisis.

Capturar en Mac

Mientras mantienes presionada la tecla Opción en el teclado, haz clic en el ícono de WLAN y selecciona "Abrir diagnóstico inalámbrico...":

Captura de WLAN para Mac

En la barra de menú Wireless Diagnostics, selecciona Window > Sniffer:

Sniffer de Mac WLAN

Configura el canal y el ancho según los valores que recuperaste antes (el ejemplo de la captura de pantalla es para Canal 60 y Ancho 40 MHz):

Canal y ancho de WLAN de Mac

Presiona Start y, luego, ingresa tu contraseña. Ahora, intenta reproducir el problema. Asegúrate de capturar el protocolo de enlace de 4 vías desde una conexión, como se indica en Captura el protocolo de enlace de 4 vías.

Cuando termines, presiona Stop. Puedes encontrar un nuevo archivo *.pcap en /var/tmp, que contiene todo el tráfico. Un nombre de archivo de ejemplo es (null)_ch100_2018-11-06_10.52.01.pcap.

Capturar en Linux

  1. Desactiva el Wi-Fi. Esto se puede hacer de la siguiente manera:

    • Uso de la GUI (recomendado)
    • Se está usando la CLI de Network Manager para indicarle que deje de administrar la interfaz WLAN: sudo nmcli dev set <wlan-ifname> managed on
    • Si usas un administrador de red alternativo, haz los ajustes necesarios.

  2. Guarda esta secuencia de comandos. Reemplaza <wlan-ifname> por el nombre de tu interfaz Wi-Fi. En este documento, se supone que el nombre de la secuencia de comandos es setup-wifi-capture.

    #!/usr/bin/env bash
sudo ifconfig <wlan-ifname>  down
sudo rfkill unblock wifi
sudo iwconfig <wlan-ifname>  mode monitor
sudo ifconfig <wlan-ifname>  up
sudo iw dev <wlan-ifname> set channel $@

  3. Ejecuta la secuencia de comandos anterior y pasa el canal y el ancho de banda más alto para realizar análisis, por ejemplo, el canal 153 con un ancho de banda de 80 MHz:

    ./setup-wifi-capture chan 153 80 MHz

  4. Abre Wireshark. Ahora deberías poder capturar paquetes en la interfaz wlan.

3. Compartir la captura

  1. Usa el generador de claves sin procesar (WPA PSK) para generar un hash de tu contraseña. Esto te permite desencriptar la captura sin conocer tu contraseña de texto sin formato.

  2. También debes compartir la PSK generada para que otros puedan desencriptar la captura.

Apéndice

Instala Wireshark

Puedes instalar Wireshark con apt install Wireshark en Linux o descargarlo en línea desde el sitio web de Wireshark.

Configura Wireshark para desencriptar tráfico

Esto no es necesario para compartir tus archivos de captura. Solo hazlo si deseas examinar el tráfico desencriptado en Wireshark.

Con la seguridad WPA2 en Wi-Fi, la WPA2-PSK no se usa directamente para encriptar y desencriptar el tráfico. Se utiliza en un protocolo de enlace de 4 vías, que necesitas capturar para desencriptar paquetes. Sin embargo, si lo único que intentas capturar son problemas de conexión a Wi-Fi o caídas en la conectividad, que pueden obtenerse de los marcos de administración de Wi-Fi, no es necesario que captures el protocolo de enlace en 4 direcciones. En cualquier caso, no está de más capturarlo de todos modos.

Abre Wireshark y la página Preferencias (menú de Wireshark > Preferencias o **Cmd + , **).

  1. Busca la sección “IEEE 802.11” en la categoría “Protocolos” y asegúrate de que la opción “Habilitar desencriptación” esté marcada:

    Preferencias de Mac Wireshark

  2. Haz clic en el botón Editar junto a la etiqueta Claves de desencriptación.

  3. Haz clic en el botón “+” en la esquina inferior izquierda y selecciona la opción “wpa-pwd”.

    WPA y contraseña de Mac Wireshark

  4. Haz clic en la columna de claves de la fila recién creada (junto a la cadena wpa-pwd) y escribe la PSK de WPA2 y el SSID con el formato <password>:<ssid>. Por ejemplo, si el nombre de tu red era MyHomeNetwork y la PSK de WPA2 era myp4ssword, escribe myp4ssword:MyHomeNetwork.

    SSID de Wireshark para Mac

  5. Haz clic en Aceptar para confirmar.

Para obtener más información, consulta la guía oficial de Wireshark (con capturas de pantalla) en Cómo desencriptar 802.11.

Si usas tshark, pasa los siguientes argumentos:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

Datos de Wireshark 802.11 de Colorize

Hay un útil perfil de color 802.11 ubicado en metageek.com: Wireshark Configuration Profile.