En esta entrega voy a explicar que son los "Deauth attacks", además de como te puedes defender de ellos.
¿Que es un Deauth attack? o ataque de desauntentificación en cristiano, para entender que es, primero tenemos que entender el estandar que regula el modo de conexión de las redes wifi el IEEE 802.11.
Si estudiamos el estandar IEEE 802.11 vemos que el paquete de desauntentificación es un paquete legítimo que utiliza el Punto de Acceso en su funcionamiento normal. Este paquete lo que hace es que le dice al cliente que se desconecte del Punto de Acceso.
¿Y el Punto de Acceso para que utliza este paquete? os voy a poner un par de ejemplos para que sea fácilmente entendible, cuando un cliente esta gestionando la clave con el Punto de Acceso y este no tiene la clave correcta, el Punto de Acceso coge y le dice al cliente que la clave proporcionada es erronea y "desconectate", otro ejemplo, cuando tenemos en el router conectados a la vez el máximo de clientes soportados o que tiene configurados, al nuevo cliente que se intenta conectar le manda el paquete "deauth" para que no establezca conexión.
Una vez entendido el funcionamiento del paquete "deauth", procedemos a ver en que consiste el "Deauth Attack"
Este ataque consiste en hacerse pasar por el Punto de Acceso y mandar a un cliente o a todos los clientes paquetes de desauntentificación con el objetivo de que el cliente o clientes no se conecten con el AP ("Access Point").
El propósito de este ataque puede ser diverso, hacer un ataque de denegación de servicio, la realización del Evil Twin Attack (trataremos este ataque en un artículo específico), forzar la desconexión de un cliente para que en una posterior reconexión conseguir el handshake, etc
Las aplicaciones más conocidas que realizan estos ataques son aireplay de la suit aircrack y mdk3.
(http://s26.postimg.org/auwrlsa1l/aireplay.png)
Ahora si, ya tenemos claro en que consiste el ataque, Pues pasamos a la defensa.
Como hemos visto el atacante se hace pasar por nuestro AP por lo que para defendernos no nos queda otra que recurrir al estandar IEEE 802.11 y aprovecharnos de una característica definida en este, que claro no esta pensada para la defensa de este ataque, pero que nos viene al pelo, utilizaremos el "Roaming AP".
¿Que es el Roaming AP? el roaming AP es cuando tenemos una superficie muy grande a la que dar cobertura wifi y con un solo AP no tenemos bastantes, entonces cubrimos la superfice con tantos AP como necesitemos para asegurar el servicio, configurados todos con el mismo ESSID, el mismo tipo de cifrado y la misma clave, de tal manera que cuando el cliente se queda sin cobertura salta automáticamente al siguiente AP, siendo transparente para el usuario.
Ahora viene la madre del cordero, ¿como hacemos esto en nuestra casa? Hay una manera sencilla que casi todos los routers actuales permiten que es levantar un segundo AP con una interface virtual, esto tiene su peaje ya que el ancho de banda se reduce a la mitad, pero si alguien te esta haciendo la puñeta es una muy buena opción.
(http://s26.postimg.org/580eob7ix/router_interfaces_virtuales.png)
El que tengo ahora en casa permite hasta 4 interfaces, 1 principal y 3 virtuales
Por lo que configuramos el AP Primario con la interface principal y el Secundario con la interface virtual, con el mismo ESSID, mismo cifrado y misma clave, y así cuando te hagan un Deauth Attack el cliente saltará automáticamente de un AP al otro AP. También se puede poner distinto ESSID y distinta clave, pero el cliente tendrá que tener memorizados de antemano los dos AP.
Hay una manera que te permite no perder ni un mega de ancho de banda y es poner en cascada por cable a tu AP otro Punto de Acceso de esos viejos que tienes de cuando estabas con otra compañia, manteniendo la misma configuración que en el caso anterior, esto además te permite protegerte de ciertos ataques de jamming.
También podeis ver el video Evitar Deauth and Evil Twin Attacks (https://foro.seguridadwireless.net/general/evitar-deauth-and-evil-twin-attacks-(defenderte-de-linset)/msg336267/?topicseen#msg336267)
Fuente (http://warcry.ddns.jazztel.es/articulos-deauth-attack.html) yo ;D