Rogue AP - Securinets

Transcription

Rogue AP
MOUNIR BEN ZAIED (RT4)
EMNA BEL HADJ YEHYA (RT3)
MEHDI BEN HEMDENE (MPI)
ASMA BORGI (RT4)
Rogue AP |SECURILIGHT 2013
Table des matières
I.
Présentation de l’atelier .................................................................................. 2
1. Définition .................................................................................................... 2
2. Achitecture générale du réseau ............................................................... 2
3.
II.
Les différents types de Rogue AP ............................................................... 3
Les outils utilisés .............................................................................................. 4
1. Backtarck5 ................................................................................................... 4
2. Sergio-Proxy. ............................................................................................... 5
3. Airbase-ng. .................................................................................................. 5
4. SSLsrtip ........................................................................................................ 5
5. IPtables ....................................................................................................... 5
III.
Topologie de réseau ......................................................................................... 6
1. Structure réseau ............................................................................................. 6
2. Principe de fonctionnement ........................................................................... 7
IV.
Configauration et tests .................................................................................... 8
1.
Création de la Rogue AP. ............................................................................. 8
2. SSLstrip etredirection de page :Facebook et Yahoo . .................................... 9
a. Phase de démarrage SSLstrip. ............................................................ 9
b. Phase d’éxécution . .......................................................................... 10
3. Injection decode.......... ................................................................................ 13
a. Injection de code par javaScript. ...................................................... 13
b. Une redirection subtile vers une page de notre choix ..................... 14
c. L'Injection de http. ........................................................................... 15
V.
Détection de Rogue AP. .................................................................................. 17
VI.
Conclusion .....................................................................................................20
1
I. Présentation de l’atelier
1. Définition
Un rogue AP est un point d'accès Wi-Fi non-autorisé. Son but est de contourner les
vérifications de sécurité pour accéder à un réseau interne. Ce type de point d’accès est en
apparence innocent, mais qui est en réalité « piégé » pour attaquer les clients qui s’y
connectent : récupération de trafic, détournement vers des sites non-prévus, injection de
scripts ou de virus/trojans/malwares,… .Ce dernier ressemble à s’y méprendre à un hotspot
classique : il vous demande vos identifiants et mots de passe, possède une page d'ouverture
identique à celle d'un fournisseur classique, et vous permet bien évidemment de surfer
comme si de rien n'était.
2. Architecture générale du réseau
L’emplacement d’un point d’accès non autorisé dans un réseau donné est défini par la
figure ci-dessous :
2
- Une Rogue AP bien configurée permet de récupérer moultes informations (Clé WPA, WEP,
informations bancaires, adresse email). Phishing
ou Social-Engineering cependant ça
marche bien .
- Elle consiste en fait, à créer soi-même une Box, ressemblant en tous points à une Box
Victime.
- La Rogue AP est "comme" une NeufBox ou box d'autre marque, elle peut fournir des pages
WEB de configuration et/ou de login. Si elles sont bien réalisées, le client se sentira en
confiance et rentrera ce que vous voulez qu'il rentre.
3. Les différents types de rogue AP
On distingue diverses permutations et combinaisons :
- Combler les points d'accès (sur les sous-réseaux coïncidant avec ou différents de l'adresse
de l'interface filaire)
- Routeur (NAT) AP (avec et sans clonage MAC)
- AP avec des liaisons sans fil cryptés
- AP avec des liens ouverts sans fil
- AP mous (nativement configurés sur le client sans fil ou qui utiliser des périphériques
externes tels que les clés USB)
- AP sur différents VLAN dans le réseau local, y compris sans WiFi sous-réseaux
3
II. Les outils utilisés
Différents outils ont été utilisés pour configurer une rogue AP :
1. BackTrack5
Toutes les opérations sont destinées à un environnement BackTrack 5 peut être adapté
pour une distribution donnée. Le script automatique final est lui uniquement dédié à BT5.
BackTrack fournit aux utilisateurs un accès facile à une collection complète et large d'outils
liés à la sécurité, allant de scanners de ports de vérification de la sécurité. Soutien aux Live
CD et Live USB fonctionnalité permet aux utilisateurs de démarrer BackTrack directement à
partir de médias portables sans nécessiter l'installation, si une installation permanente sur le
disque dur et le réseau est également une option.
BackTrack comprend de nombreux outils de sécurité bien connues, y compris:

Metasploit pour l'intégration

Pilotes Wi-Fi supportant le mode moniteur et l'injection de paquets

Airbase-ng

Gerix Wifi Cracker

Nmap
4

Ettercap, , une collection d'outils de piratage, des add-ons et des scripts basé sur
Firefox
2. Sergio-proxy
Sergio-proxy est un proxy, à travers lequel est envoyé le trafic de la cible qui peut être
analysé et modifié.
L’injection peut se faire sous 2 formes : soit en utilisant un script JavaScript , soit en utilisant
un fichier HTML.
3. AirBase-ng
L'idée principale de cette implémentation est d'encourager les clients à s'associer avec le
faux PA,et non pas les empêcher d'accéder au vrai PA. Une interface tap (atX) est crée
quand
« aircrack-ng » est démarré. Elle peut être utilisée pour recevoir des paquets
décryptés ou envoyer des paquets cryptés. Comme le vrai client enverront probablement
des requêtes pour les réseaux communs/configurés, ces frames sont importantes pour lier
un client à notre faux PA. Dans ce cas, le PA répondra à n'importe quelle requête
d'interrogation avec une réponse d'interrogation propre, laquelle dira au client de
s'authentifier à la fausse BSSID airbase-ng. Ceci dit, ce mode peut perturber le bon
fonctionnement des PA sur le même canal.
4. Sslstrip
Cet outil fournit une démonstration des HTTPS décapage attaques. Il sera transparente
détourner le trafic HTTP sur un réseau, surveiller les liens HTTPS et redirections, puis mapper
ces liens en soit liens HTTP de ressemblance ou de liens HTTPS homographes-même. Il prend
également en charge les modes pour fournir un favicon qui ressemble à une icône de
verrouillage, l'abattage sélectif, et séance déni.
5. iptables
Le plus célèbre pare-feu utilisé sous Linux est « iptables ». Il permet d'établir un certain
nombre de règles pour indiquer par quels ports on peut se connecter à votre ordinateur,
mais aussi à quels ports vous avez le droit de vous connecter.
5
III. Topologie du réseau
Le point d'accès de Rogues peut être créé de deux façons :

Une installation d'un dispositif physique réel sur le réseau autorisé comme un point
d’accès Rogue. En outre, plus de sécurité sans fil, ce qui a à voir avec la violation de
la sécurité physique de réseau .

Création d'un point d'accès Rogue dans les logiciels et le combler avec les autorités
locales autorisées réseau « Réseau Ethernet » .
1. Structure réseau
Dans notre cas on a utilisé la deuxième solution pour créer un réseau .La figure cidessus représente la topologie de notre réseau :
Figure : topologie « rogue access point »
6
Cela permettra de pratiquement n'importe quel ordinateur portable fonctionnant sur le
réseau autorisé à fonctionner en tant que point d'accès Rogue.
2. Principe de fonctionnement :
Notre victime se retrouve sur un réseau effectivement connecté à l'internet, dans ce cas la
connexion est représentée par « internet », mais il se peut que l'attaquant ne laisse aucun
accès à l'internet pour se jouer de sa victime. Il se peut aussi que l'attaquant laisse la victime
accéder à l'internet de façon transparente, et sniffe toutes les données au passage. La
victime veut aller sur www.goolge.com et s'est retrouvé sur ce qui semblait être le portail
d'authentification du hotspot légitime, comment est-ce possible? Tout simplement parce
que le réseau abrite un serveur web hébergeant des pages trafiquées ressemblant à s'y
méprendre aux pages originales. Il est assez simple d'enregistrer des pages web et de les
modifier si l'on connait quelque peu le langage html. Il suffit alors de mettre ces fausses
pages sur le serveur web, et de rediriger la victime vers ce dernier. Sachez d'ailleurs qu'une
seule machine suffit pour l'attaque, le serveur web peut très bien être hébergé sous
Backtrack, voir même n'importe où sur le net. Le serveur web est représenté ici par une
autre machine pour clarifier les interactions au sein du réseau.
 La technique consiste à déconnecter la victime du Hotspot légitime pour qu'elle se
reconnecte à la Rogue AP contrôlée par le Pirate.
7
IV. Configuration des outils et tests
On part du principe qu’on utilise une machine qui dispose de deux interfaces réseau :

une interface sans-fil qui servira au partage de connexion ce sera (wlan1).

et une interface (filaire ou sans fil) qui sera connectée à Internet (ce sera (wlan0.)
Il y a une série d’éléments à mettre en place pour réaliser un partage de connexion :

le réseau wi-fi lui-même.

un serveur DHCP pour attribuer une IP aux clients (ainsi que les infos passerelle et DNS)

configurer la machine pour autoriser le transfert du trafic d’une interface à l’autre.
1. Création de la Rogue AP
Pour raison de facilité et rapidité d'exécution de l'attaque , on a réalisé un script qui
regroupe toutes les commandes nécessaires a la réalisation de notre "rogue access point"
puis le démarrage de « sslstip » el la configuration du « serveur dhcp ».
8
L’image cidessus représente le démarrage d’éxécution de notre script qui commence par
tuer tout le traffic prècedant qui a passeé par notre interface wlan0, ainsi que le debut de la
procédure de création du point d'acces.
On remarque la détection de « pc-Mondher » c'est le lap-top de la victime lors de son accès
à notre réseau par le rogue AP .
2. Sslstrip et Redirection de page pour Facebook & Yahoo
a. Phase de démarage de sslstrip
L’image ci-dessous présente la procédure de démarrage de l’ outil « sslstrip » celui-ci a un
rôle trés important qui se présente dans la redirection du traffic https vers un traffic http.
9
 Aprés demarage, on laisse sslstrip en fonction et on attend jusqu'a que l'utilisateur saisie
ses identificateurs :D
b. Phase d’éxécution
Après connexion au faux point d’accès, si l'utilisateur s'authentifie pour accéder à son
compte Facebook alors son mot de passe et son login seront enregistrés dans le fichier de
trace « password.txt ».
Test 1 : Pour un compte facebook
Lors de son accès au site officiel www .facebook.com l’internaute sera redirigé vers une
fausse page . On aura une redirection d’URL au niveau de page Facebook :
https://facebook.com
http:// www .facebook.com
Pour tester le bon fonctionnement de “sslstrip” on se connecte avec le mot de passe et l’email suivants :
-adresse e-mail: [email protected]
- mot de passe: « rogueaccesspoint »
10
 Un clic sur le bouton connexion nous permet de récupérer les informations de
l’internaute.
 On remarque que le fichier de trace « password .txt » enregistre les informations de
navigation , la commane « grep » nous permet de trouver les champs e-mail et password
dans le fichier .
Test 2 : Pour un compte Yahoo
Maintenant , on va tester avec la même manière la connexion à notre fake compte Outlook
.En accédant au site www.hotmail.com : avec le même principe on insère comme :
adresse mail= [email protected]
password= "rogueAP"
11
 Le contenu de fichier de trace « password.txt » montre l’apparition des champs qu'on a
inséré au niveau du site visité en haut de fichier: « login.live.com »
12
3. Injection de code
Outils utilisé : Sergio-proxy
L’injection peut se faire sous 2 formes : soit en utilisant un script JavaScript , soit en utilisant
un fichier HTML.
Scénario d’exécution :
D'abord on démarre le serveur web sur BackTrack5 :
/etc/init.d/apache2 Start
a. Injection avec un popup Javascript
C'est quoi un popup ?
Le mot popup peut être traduit par fenêtre surgissante. L'ouverture de cette fenêtre est
déclenchée par un événement fait par l'utilisateur (clic, ouverture de site, minuterie, ...).
On va créer un script popup.js sous /var/www/ qui contient tous les fichiers web :
13
Lorsque le client veut accéder à n'importe quel site, exemple www.youtube.com la fenêtre
suivante apparait :
b. Une redirection subtile vers une page de notre choix
Pour faire une redirection vers une page de notre choix on exécute le script suivant
/var/www/redirect.js
N’importe quel site visité par le client sera redirigé vers www. google.fr toutes les 3
secondes.
14
c. L’injection de http
Cette étape consiste à faire penser à la cible que c’est le site original qui a été défacé .
Pour effectuer ceci on crée un fichier /var/www/image.html
15
16
V. Détection de Rogue AP
Il est nécessaire de détecter un point d’accès non autorisé dans le réseau :

Le pare-feu peut protéger contre Rogue AP ?
Le Pare-feu fonctionne au trafic de point de transfert entre LAN et Internet il est donc
incapable de détecter Rogue AP. Ce dernier ne voit pas le trafic à travers Rogue AP.

WPA2 peut-il nous protéger contre Rogue Ap ?
Non, Vous pouvez appliquer des contrôles de sécurité telles que WPA2 uniquement sur AP
que vous gérez, à savoir, vos points d'accès autorisés. Rogue AP n'est pas votre gérés AP .En
fait, la plupart des points d'accès Rogue trouvé dans le domaine installé par utilisateurs naïfs
ont soit une Liaison sans fil OUVERT (hors de la boîte par défaut) ou lien sans fil WEP (
déterministe crackable ).
Alors ,pour empêcher l'installation de points d'accès non autorisés, les entreprises peuvent
installer des systèmes de prévention des intrusions sans fil pour surveiller le spectre
radioélectrique pour les points d'accès non autorisés.
La présence d'un grand nombre de points d'accès sans fil peut être détectée dans l'espace
aérien d'un établissement d'entreprise typique. Il s'agit notamment des points d'accès gérés
dans le réseau ainsi que les points d'accès sécurisés dans le quartier.
17
Un système de prévention des intrusions sans fil facilite le travail de vérification de ces
points d'accès sur une base continue pour savoir si il y a des points d'accès non autorisés
entre eux.
Afin de détecter les points d'accès non autorisés, deux conditions doivent être testés:
-si le point d'accès est dans la liste des points d'accès gérés
-si oui ou non il est connecté au réseau sécurisé
La première des deux conditions ci-dessus est facile à essai - comparer l'adresse MAC sans fil
(aussi appelé BSSID) du point d'accès à la liste de BSSID du point d'accès géré. Cependant, les
tests automatisés de la deuxième condition peut devenir difficile à la lumière des facteurs
suivants:
-nécessité de couvrir différents types de dispositifs de points d'accès tels que les relais, NAT
(routeur), les liaisons sans fil non cryptés, des liaisons sans fil cryptés, les différents types de
relations entre les adresses filaires et sans fil MAC des points d'accès, points d'accès et doux,
- la nécessité de déterminer le point d'accès connectivité avec le temps de réponse
acceptable dans les grands réseaux,
- l'obligation d'éviter les faux positifs et négatifs
Faux positif (crier au loup) se produit lorsque le système de prévention des intrusions sans fil
détecte un point d'accès ne sont pas connectés au réseau sécurisé comme voyous filaire.
Faux positifs fréquents entraînent un gaspillage de la bande passante administratif
passé en les chassant. Possibilité de faux positifs crée également obstacle à permettre le
blocage automatique des coquins câblés en raison de la crainte de blocage sympathique
point d'accès de quartier.
Faux négatif se produit lorsque le système de prévention des intrusions sans fil ne parvient
pas à détecter un point d'accès effectivement connecté au réseau sécurisé comme voyous
filaire. Les faux négatifs se traduisent par des trous de sécurité.
Si un point d'accès non autorisé se trouve connecté au réseau sécurisé, il est le point d'accès
non autorisé du premier type (aussi appelé «voyous filaire").
18
D'autre part, si le point d'accès non autorisé ne se trouve pas connecté au réseau sécurisé, il
est un des points d'accès extérieurs. Parmi les points d'accès externes, le cas échéant se
trouve être le risque malicieux ou potentiel (par exemple, dont les paramètres peuvent
attirer ou ont déjà attiré réseau sécurisé clients sans fil), il est marqué comme point de la
seconde espèce, qui est souvent appelé un accès indésirable "jumeau maléfique ".
 Soyez donc prudent lors de l'utilisation d'un Hotspot Wifi. Le seul moyen de détecter une
fausse AP est de prendre le temps de bien contrôler le certificat utilisé.
19
VI. Conclusion
Il est simple de créer une Rogue Ap et la configuré afin de réaliser des attaques sur des
réseaux WIFI internet et faire un détournement vers des sites non prévus .
C’est pourquoi les entreprises doivent avoir conscience de la vulnérabilité des WIFI et
prendre les mesures pour se protéger contre les éventuelles attaques ainsi que la
majorité des utilisateurs doivent se rendre compte des risques qu’ils prennent en se
connectant à des réseaux qu’ils ne connaissent pas.
« La sécurité est un compromis avant tout. Étant donné
Que l’on doit laisser passer des flux, on laisse
automatiquement passer des attaques. »
20

Rogue AP - Securinets

Transcription

Documents pareils

rogue waves

Imprimer la fiche

Définir la page d`accueil de son navigateur Le

X-MEN : DAYS OF FUTURE PAST The Rogue Cut

les rogue traders

Omonville La Rogue 2009

Impossible n`est pas A400M

Place au théâtre !

Les ragots se cachent pour pourrir.