Sécurité sans fil - Guide rapide
Dans ce didacticiel, vous serez emmené dans un voyage à travers différentes méthodes de communication sans fil. Vous apprendrezWireless Local Area Network(WLAN) comme la plupart d'entre nous le savent, puis approfondissez les aspects pratiques de la sécurité sans fil. Vous serez étonné de voir à quel point il est facile de collecter de nombreuses informations sensibles sur le réseau sans fil et les données qui le traversent, en utilisant des outils de base facilement disponibles pour quiconque sait comment l'utiliser.
Avant d'aller plus loin dans le "hacking"côté de la communication sans fil, vous devrez passer par une pléthore de concepts théoriques et de schémas de fonctionnement normal du système sans fil. Néanmoins, le contenu théorique sera réduit au strict minimum tout au long de ce didacticiel - c'est le côté pratique des choses qui est la partie la plus encourageante et la plus agréable pour tout le monde!
Lorsque nous pensons à la communication sans fil, nous imaginons des systèmes connectés à des antennes qui parlent ensemble par voie aérienne en utilisant des ondes radio invisibles à l'œil humain. Honnêtement parlant, c'est parfaitement une vraie définition, mais pour casser des choses (ou plutôt vous préférez le mot «hack»), vous devez apprendre comment tous ces concepts et architectures fonctionnent ensemble.
Terminologies sans fil
Tout d'abord, passons en revue les termes de base liés à la communication sans fil. Progressivement, nous entrerons dans des choses plus avancées tout au long de cette voie ensemble.
Communication sans fil
La communication sans fil fait référence à tout type d'échange de données entre les parties effectué sans fil (par voie hertzienne). Cette définition est extrêmement large, car elle peut correspondre à de nombreux types de technologies sans fil, comme -
- Communication réseau Wi-Fi
- Communication Bluetooth
- Communication par satellite
- Communication mobile
Toutes les technologies mentionnées ci-dessus utilisent une architecture de communication différente, mais elles partagent toutes la même capacité «Wireless Medium».
Wifi
Wireless Fidelity(Wi-Fi) fait référence au réseau local sans fil, comme nous les connaissons tous. C'est basé surIEEE 802.11la norme. Le Wi-Fi est un type de réseau sans fil que vous rencontrez presque partout, à votre domicile, sur votre lieu de travail, dans les hôtels, les restaurants et même dans les taxis, les trains ou les avions. Ces normes de communication 802.11 fonctionnent sur2.4 GHz or 5 GHz ISM radio bands.
Ces appareils sont facilement disponibles dans les magasins compatibles avec la norme Wi-Fi, ils ont l'image suivante visible sur l'appareil lui-même. Je parie que vous l'avez vu des centaines de fois dans divers magasins ou autres lieux publics!
En raison du fait que les réseaux sans fil basés sur 802.11 sont si largement utilisés dans tous les types d'environnements - ils sont également le sujet le plus important pour diverses recherches sur la sécurité dans d'autres normes 802.11.
Clients sans fil
Les clients sans fil sont considérés comme des périphériques terminaux avec une carte sans fil ou un adaptateur sans fil installé. Maintenant, en ce 21ème siècle, ces appareils peuvent être presque n'importe quoi -
Modern Smartphones- Ce sont l'un des appareils sans fil les plus universellement utilisés que vous voyez sur le marché. Ils prennent en charge plusieurs normes sans fil sur un seul boîtier, par exemple Bluetooth, Wi-Fi, GSM.
Laptops - C'est un type d'appareil que nous utilisons tous tous les jours!
Smartwatch- Un exemple de smartwatch basé sur Sony est montré ici. Il peut se synchroniser avec votre smartphone via un Bluetooth.
Smart-home Equipment - Avec les progrès actuels de la technologie, les équipements de maison intelligente pourraient être par exemple un congélateur que vous pouvez contrôler via Wi-Fi ou un contrôleur de température.
La liste des appareils clients possibles s'allonge chaque jour. Cela semble un peu effrayant que tous ces appareils / utilitaires que nous utilisons quotidiennement puissent être contrôlés si facilement via un réseau sans fil. Mais en même temps, rappelez-vous que toutes les communications transitant par un support sans fil peuvent être interceptées par quiconque se tient juste au bon endroit au bon moment.
Le point d'accès (AP) est le nœud central des implémentations sans fil 802.11. Il s'agit de l'interface entre les réseaux filaire et sans fil, à laquelle tous les clients sans fil s'associent et échangent des données.
Pour un environnement domestique, vous avez le plus souvent un routeur, un commutateur et un point d'accès intégrés dans un seul boîtier, ce qui le rend vraiment utilisable à cette fin.
Station d'émetteur-récepteur de base
Base Transceiver Station (BTS) est l'équivalent d'un point d'accès du monde 802.11, mais utilisé par les opérateurs mobiles pour fournir une couverture de signal, ex. 3G, GSM etc ...
Note - Le contenu de ce didacticiel se concentre sur le réseau sans fil 802.11, par conséquent, toute information supplémentaire sur BTS et la communication mobile plus en détail ne sera pas incluse.
Contrôleur sans fil (WLC)
Dans la mise en œuvre sans fil d'entreprise, le nombre de points d'accès est souvent compté en centaines ou en milliers d'unités. Il ne serait pas possible administrativement de gérer tous les points d'accès et leur configuration (attributions de canaux, puissance de sortie optimale, configuration d'itinérance, création de SSID sur chaque point d'accès, etc.) séparément.
C'est la situation, où le concept de contrôleur sans fil entre en jeu. C'est le "Mastermind" derrière toutes les opérations de réseau sans fil. Ce serveur centralisé qui a la connectivité IP à tous les points d'accès sur le réseau, ce qui facilite leur gestion globale à partir de la plate-forme de gestion unique, envoie des modèles de configuration, surveille les utilisateurs de tous les points d'accès en temps réel, etc.
Identificateur de l'ensemble de services (SSID)
Le SSID identifie directement le WLAN sans fil lui-même. Pour se connecter au LAN sans fil, le client sans fil doit envoyer le même SSID exact dans la trame d'association que le nom SSID, préconfiguré sur l'AP. La question se pose donc maintenant de savoir quels SSID sont présents dans votre environnement? C'est facile car tous les systèmes d'exploitation sont livrés avec un client sans fil intégré qui scanne le spectre sans fil pour les réseaux sans fil à rejoindre (comme indiqué ci-dessous). Je suis sûr que vous avez fait ce processus plusieurs fois dans votre routine quotidienne.
Mais, comment ces appareils savent-ils que le réseau sans fil spécifique est nommé de cette manière en écoutant simplement les ondes magnétiques radio? C'est parce que l'un des champs d'une trame de balise (que les points d'accès transmettent tout le temps dans des intervalles de temps très courts) contient un nom du SSID toujours en texte clair, ce qui est toute la théorie à ce sujet.
Le SSID peut avoir une longueur allant jusqu'à 32 caractères alphanumériques et identifie de manière unique un WLAN particulier diffusé par l'AP. Dans le cas, lorsque l'AP a plusieurs SSID définis, il enverra alors une trame de balise distincte pour chaque SSID.
Cellule
UNE cellest essentiellement une région géographique couverte par l'antenne (émetteur) du point d'accès ou du BTS. Dans l'image suivante, une cellule est marquée d'une ligne jaune.
Le plus souvent, un point d'accès a une puissance de sortie beaucoup plus élevée que les capacités de l'antenne intégrée au périphérique client. Le fait que le client puisse recevoir des trames transmises depuis l'AP ne signifie pas qu'une communication bidirectionnelle peut être établie. L'image ci-dessus montre parfaitement cette situation. - Dans les deux situations, un client peut entendre les trames AP, mais seulement dans la seconde situation, la communication bidirectionnelle peut être établie.
Le résultat de ce court exemple est que, lors de la conception des tailles de cellules sans fil, il faut tenir compte de la puissance de transmission de sortie moyenne des antennes que les clients utiliseront.
Canal
Les réseaux sans fil peuvent être configurés pour prendre en charge plusieurs normes 802.11. Certains d'entre eux fonctionnent sur la bande 2,4 GHz (par exemple: 802.11b / g / n) et d'autres sur la bande 5 GHz (exemple: 802.11a / n / ac).
Selon la bande, un ensemble prédéfini de sous-bandes est défini pour chaque canal. Dans les environnements avec plusieurs points d'accès placés dans la même zone physique, l'attribution de canal intelligent est utilisée afin d'éviter les collisions (collisions des trames transmises sur exactement la même fréquence à partir de plusieurs sources en même temps).
Jetons un coup d'œil à la conception théorique du réseau 802.11b avec 3 cellules, adjacentes les unes aux autres, comme le montre l'image ci-dessus. La conception à gauche est composée de 3 canaux qui ne se chevauchent pas - cela signifie que les trames envoyées par les points d'accès et ses clients dans une cellule particulière n'interféreront pas avec la communication dans d'autres cellules. Sur la droite, nous avons une situation complètement opposée, toutes les trames volant sur le même canal entraînent des collisions et dégradent considérablement les performances sans fil.
Antennes
Les antennes sont utilisées pour «traduire» les informations circulant sous forme de signal électrique à l'intérieur du câble et dans le champ électromagnétique, qui est utilisé pour transmettre la trame sur un support sans fil.
Chaque appareil sans fil (point d'accès ou tout type de périphérique client sans fil) possède une antenne qui comprend un émetteur et le module récepteur. Il peut être externe et visible par tout le monde ou intégré, comme le font la plupart des ordinateurs portables ou smartphones de nos jours.
Pour les tests de sécurité sans fil ou les tests de pénétration des réseaux sans fil, l'antenne externe est l'un des outils les plus importants. Vous devriez en obtenir un, si vous voulez vous lancer dans ce domaine! L'un des plus grands avantages des antennes externes (par rapport à la plupart des antennes internes que vous pourriez rencontrer intégrées à l'équipement), est qu'elles peuvent être configurées dans un soi-disant «mode moniteur» - c'est certainement quelque chose dont vous avez besoin! Il vous permet de renifler le trafic sans fil de votre PC en utilisantwireshark ou d'autres outils bien connus comme Kismet.
Il y a un très bon article sur Internet (https://www.raymond.cc/blog/best-compatible-usb-wireless-adapter-for-backtrack-5-and-aircrack-ng/) qui aide au choix de l'antenne sans fil externe, en particulier pour Kali Linux qui a des capacités de mode moniteur. Si vous envisagez sérieusement de vous lancer dans ce domaine de la technologie, je vous recommande vraiment à tous d'acheter l'un des recommandés (j'en ai un).
Le réseau sans fil peut être classé en différentes catégories en fonction de la plage de fonctionnement qu'ils offrent. Le système de classification le plus courant divise les réseaux sans fil en quatre catégories énumérées dans le tableau ci-dessous, avec de courts exemples.
Catégorie | Couverture | Exemples | Applications |
---|---|---|---|
Réseau personnel sans fil (WPAN) |
Très court - max 10 mètres mais généralement beaucoup plus petit |
Bluetooth, 802.15, communication IrDA |
|
Réseau local sans fil (WLAN) |
Modéré - à l'intérieur des appartements ou des lieux de travail. |
Wi-Fi 802.11 |
Extension sans fil du réseau local utilisé en -
|
Réseau métropolitain sans fil (WMAN) |
Partout dans la ville |
Wimax, IEEE 802.16 ou technologies propriétaires |
Entre les maisons et les entreprises |
Réseau étendu sans fil (WWAN) |
À travers le monde |
3G, LTE |
Accès sans fil à Internet depuis |
Ce tutoriel portera principalement sur la technologie WLAN, mais nous couvrirons également les différents aspects de la communication Bluetooth (WPAN).
Statistiques de la technologie sans fil
Juste pour vous donner une preuve que les technologies sans fil affecteront nos vies de plus en plus chaque année. Jetez un œil aux exemples de statistiques qui ont été trouvés! Certains d'entre eux semblent effrayants, mais en même temps, ils montrent simplement à quel point nous dépendons de la communication sans fil de nos jours.
D'ici 2020, environ 24 milliards d'appareils seront connectés à Internet, dont plus de la moitié seront connectés via le sans fil. C'est vraiInternet of Things(IoT). Comment cela sonne-t-il, en tenant compte du fait que nous avons environ 7,4 milliards de personnes vivant sur la terre maintenant?
Environ 70% de tous les types de communication sans fil sont le Wi-Fi (norme 802.11).
La vitesse du réseau Wi-Fi est passée de 802.11a - 54 Mbps (en 1999) à ac-wave 1 - 1,3 Gbps (en 2012). En plus de cela, il y a le 801.11ac-wave2 à l'horizon avec des vitesses multi-Gbps.
Chaque jour, des millions de personnes effectuent des virements en espèces et accèdent à leur compte bancaire à l'aide de smartphones via le Wi-Fi!
Vous hésitez encore sur l’importance de la sécurité dans les implémentations sans fil?
Réseaux Wi-Fi
Le choix des appareils utilisés dans les déploiements sans fil est influencé par le type de déploiement, qu'il s'agisse d'un réseau pour une petite maison, un magasin, un réseau de grande entreprise ou celui des hôtels.
Échelle | Exemple | Type d'appareils utilisés |
---|---|---|
Petits déploiements | Accueil, Petits commerces | Le plus souvent un routeur / commutateur domestique (intégré au point d'accès sans fil) |
Grands déploiements | Hôtels, entreprises, universités |
|
Depuis le début de la norme IEEE 802.11, les réseaux sans fil évoluaient à un rythme significatif. Les gens ont vu le potentiel de ce type de transmission de données, c'est pourquoi les successeurs 802.11 ont fait leur apparition, quelques années les uns après les autres. Le tableau suivant résume les normes 802.11 actuelles qui sont utilisées à notre époque -
la norme | La fréquence | vitesse maximale |
---|---|---|
802.11 | 2,4 GHz | 2 Mbps |
802.11a | 5 GHz | 54 Mbps |
802.11b | 2,4 GHz | 11 Mbps |
802.11g | 2,4 GHz | 54 Mbps |
802.11n | 2,4 ou 5 GHz | 600 Mbps |
802.11ac | 5 GHz | 1 Gbit / s |
Comme vous pouvez le voir, les réseaux Wi-Fi sont de plus en plus rapides. Voici quelques facteurs limitatifs pour lesquels nous ne voyons pas de vitesses élevées lorsque nous téléchargeons des données via Wi-Fi -
Il y a une différence entre la vitesse et les valeurs réelles partout. Étant donné que la communication sans fil est semi-duplex (une seule antenne peut émettre ou recevoir à la fois), le débit réel est en fait d'environ 50% de la vitesse. Cette condition n'est vraie que lorsqu'il y a un émetteur et un récepteur, sans aucun autre client impliqué, et sans interférences (ce qui conduit à des collisions et des retransmissions).
Les normes les plus avancées (802.11ac) ne sont pas largement prises en charge sur les terminaux. La plupart des ordinateurs portables ou smartphones du marché prennent en charge la norme 802.11a / b / g / n, mais pas encore la norme 802.11ac. En plus de cela, certains appareils ne sont équipés que d'une antenne, qui prend en charge la bande de fréquences 2,4 GHz, mais pas 5 GHz (ce qui entraîne un manque de prise en charge 802.11ac par défaut).
Vérifiez les normes de votre réseau Wi-Fi
Voyons comment vous pouvez vérifier quelles normes sont prises en charge sur le réseau Wi-Fi auquel vous êtes connecté? Vous pouvez le vérifier en utilisant le nombre d'approches. Je vais en présenter deux ici -
En reniflant les cadres de balise sans fil
Chaque trame de balise contient la liste des vitesses prises en charge par la transmission AP. Ces vitesses peuvent être mappées directement à la norme.
Le vidage de la trame de balise ci-dessus indique que, c'est probablement AP, qui est activé pour le support 802.11b / g sur la bande de fréquence 2,4 GHz.
Taux pris en charge par 802.11b (1, 2, 5,5, 11).
Taux pris en charge par 802.11g (1, 2, 5,5, 6, 9, 11, 12, 18, 24, 36, 48, 54)
En utilisant certains outils spécifiques pour la découverte de réseau sans fil.
La capture d'écran suivante montre le vidage d'un outil sans fil appelé «inSSIDer» qui s'exécute sur Mac. Il montre directement tous les réseaux sans fil visibles, ainsi que certains des détails sur chacun d'entre eux.
De l'image ci-dessus, on peut voir que certains des WLAN prennent en charge 130 Mbps pour la vitesse maximale (ceux-ci doivent être 802.11ac), d'autres 54 et 36 Mbps (ceux-ci peuvent être 802.11 A ou G).
D'autre part, vous pouvez également utiliser le programme populaire basé sur Linux appelé "airdump-ng" (nous approfondirons celui-ci plus tard, lors de la démonstration du piratage - casser les clés du réseau Wi-Fi). Quant à l'environnement Windows, vous pouvez utiliser le populaire "Network Stumbler". Tous ces outils fonctionnent de manière très similaire les uns avec les autres.
Dans ce chapitre, nous passerons brièvement en revue les schémas d'authentification possibles qui sont utilisés dans les déploiements sans fil. Ce sont: l'authentification ouverte et l'authentification basée sur la clé pré-partagée (PSK). Le premier est basé sur des trames EAP pour dériver des clés dynamiques.
Authentification ouverte
Le terme d'authentification ouverte est lui-même très trompeur. Cela suggère qu'une sorte d'authentification est en place, mais en fait, le processus d'authentification dans ce schéma ressemble plus à une étape formelle qu'à un mécanisme d'authentification. Le processus ressemble à ce qu'il est montré dans le diagramme suivant -
En clair, ce que dit cet échange, c'est que, dans la demande d'authentification, le client sans fil (demandeur) dit "Salut AP, je voudrais m'authentifier" et la réponse d'authentification de l'AP indique "OK, c'est parti". Voyez-vous une sorte de sécurité dans cette configuration? Moi non plus…
C'est pourquoi, l'authentification ouverte ne doit jamais être utilisée, car elle permet simplement à n'importe quel client de s'authentifier sur le réseau, sans le bon contrôle de sécurité.
Prise de contact 4 voies basée sur EAP (avec WPA / WPA2)
Lorsqu'un client sans fil s'authentifie auprès de l'AP, les deux passent par le processus d'authentification en 4 étapes appelé 4-way handshake. Pendant ces échanges de messages, le mot de passe partagé est dérivé entre AP et le client sans fil, sans être transmis dans aucun de ces messages EAP.
La clé maître par paires (PMK) est quelque chose qu'un pirate souhaite collecter afin de briser le schéma de cryptage du réseau. PMK n'est connu que du demandeur et de l'authentificateur, mais n'est partagé nulle part en transit.
CEPENDANT, les clés de session sont, et elles sont la combinaison des adresses ANonce, SNonce, PMK, MAC de Supplicant et Authenticator. Nous pouvons écrire cette relation, comme la formule mathématique -
Sessions_keys = f(ANonce, SNonce, PMK, A_MAC, S_MAC).
Afin de dériver une PMK à partir de cette équation, il faudrait casser AES / RC4 (selon que WPA2 ou WPA est utilisé). Ce n'est pas aussi simple que la seule approche pratique consiste à effectuer une attaque par force brute ou par dictionnaire (en supposant que vous ayez un très bon dictionnaire).
C'est certainement une approche d'authentification recommandée à utiliser, et certainement plus sûre que l'utilisation de l'authentification ouverte.
Chalking Wi-Fi
Le farinage Wi-Fi était un concept très amusant dans l'histoire de l'histoire du LAN sans fil, principalement utilisé aux États-Unis. L'idée principale était de marquer les endroits où l'authentification ouverte ou les WLAN avec une authentification faible étaient implémentés. En faisant cela, quiconque découvre ce signe quelque part sur le mur ou au sol, écrit à la craie, peut alors se connecter au système Wi-Fi sans authentification. Intelligent, non?
Vous pouvez simplement vous demander - pourquoi la craie et non une sorte de marqueur, de spray ou autre moyen plus permanent de marquage? La réponse est simple et vient du droit pénal - écrire à la craie n'était pas considéré comme un acte de vandalisme.
En général, le cryptage est le processus de transformation des données en une sorte de cyphertextcela serait incompréhensible pour toute troisième partie qui intercepterait l'information. De nos jours, nous utilisons le cryptage tous les jours, sans même nous en rendre compte. Chaque fois que vous accédez à votre banque Web ou à votre boîte aux lettres, le plus souvent lorsque vous vous connectez à n'importe quel type de page Web, ou que vous créez un tunnel VPN vers votre réseau d'entreprise.
Certaines informations sont trop précieuses pour ne pas être protégées. Et, pour protéger efficacement les informations, elles doivent être cryptées de manière à ne pas permettre à un attaquant de les décrypter. Pour être honnête avec vous, il n'y a pas de système de cryptage entièrement sécurisé. Tous les algorithmes que nous utilisons chaque jour peuvent être défectueux, mais quelle est sa probabilité que cela se produise avec la technologie et le temps actuels?
Par exemple, cela peut prendre environ huit ans pour briser le chiffrement «X» à l'aide de nouveaux ordinateurs ultra-rapides. Ce risque est-il suffisamment grand pour arrêter d'utiliser l'algorithme «X» pour le chiffrement? J'en doute, les informations à protéger pourraient être désuètes à ce moment-là.
Types de cryptage sans fil
Pour commencer à parler de cryptage sans fil, il convient de dire qu'il existe 2 types d'algorithmes de cryptage: Stream Cipher et Block Cipher.
Stream Cipher - Il convertit le texte brut en texte chiffré de manière bit par bit.
Block Cipher - Il fonctionne sur les blocs de données de taille fixe.
Les algorithmes de chiffrement les plus courants sont rassemblés dans le tableau suivant -
Algorithme de cryptage | Type d'algorithme de chiffrement | Taille du bloc de données |
---|---|---|
RC4 | Chiffrement de flux | --- |
RC5 | Bloquer le chiffrement | 32/64/128 bits |
DES | Bloquer le chiffrement | 56 bits |
3DES | Bloquer le chiffrement | 56 bits |
AES | Bloquer le chiffrement | 128 bits |
Ceux que vous rencontrerez le plus probablement (sous une forme ou une autre) sur les réseaux sans fil sont RC4 and AES.
WEP vs WPA vs WPA2
Il existe trois normes de sécurité largement connues dans le monde des réseaux sans fil. La plus grande différence entre ces trois éléments réside dans le modèle de sécurité qu'ils peuvent fournir.
Norme de sécurité | Utilisateur d'algorithme de chiffrement | Méthodes d'authentification | Possibilité de casser le cryptage |
---|---|---|---|
WEP | WEP (basé sur RC4) | Clé pré-partagée (PSK) |
|
WPA | TKIP (basé sur RC4) | Clé pré-partagée (PSK) ou 802.1x | - déchiffrer le mot de passe lors de la prise de contact initiale à 4 voies (en supposant qu'il s'agit d'un mot de passe relativement court <10 caractères) |
WPA2 | CCMP (basé sur AES) | Clé pré-partagée (PSK) ou 802.1x |
Le WEP a été le premier modèle «sécurisé» sans fil censé ajouter l'authentification et le cryptage. C'est basé surRC4 algorithm and 24 bits of Initialization Vector (IV). C'est le plus gros inconvénient de l'implémentation qui conduit à ce que WEP soit crackable en quelques minutes, en utilisant les outils que tout le monde peut avoir installés sur leurs PC.
Afin d'améliorer la sécurité, le WPA2 a été inventé avec un modèle de cryptage fort (AES) et un modèle d'authentification très fort basé sur 802.1x (or PSK). WPA a été introduit simplement comme un mécanisme de transition pour une transition en douceur vers WPA2. De nombreuses cartes sans fil ne prenaient pas en charge le nouvel AES (à l'époque), mais toutes utilisaientRC4 + TKIP. Par conséquent, WPA était également basé sur ce mécanisme, juste avec quelques avancées.
Vecteurs d'initialisation faibles (IV)
Le vecteur d'initialisation (IV) est l'une des entrées de l'algorithme de cryptage WEP. L'ensemble du mécanisme est présenté dans le schéma suivant -
Comme on peut le remarquer, il y a deux entrées dans l'algorithme, dont l'une est un IV de 24 bits (qui est également ajouté au texte chiffré final dans un texte clair) et l'autre est une clé WEP. En essayant de casser ce modèle de sécurité (WEP), il faut collecter un grand nombre dedata frames (grand nombre d'images jusqu'à ce que l'image avec une valeur de vecteur IV dupliquée soit trouvée).
En supposant que pour WEP, l'IV a 24 bits. Cela signifie qu'il peut s'agir de n'importe quel nombre compris entre deux images (si vous êtes assez chanceux) et 2 24 + 1 (vous collectez chaque valeur IV possible, et ensuite, la toute prochaine image doit être un double). D'après l'expérience, je peux dire que, sur un LAN sans fil assez encombré (environ 3 clients envoyant le trafic tout le temps), il suffit de 5 à 10 minutes pour obtenir suffisamment de trames, casser le cryptage et dériver la valeur PSK .
Cette vulnérabilité n'est présente que dans WEP. Le modèle de sécurité WPA utilise TKIP qui a résolu IV faible en augmentant sa taille de 24 bits à 48 bits et en apportant d'autres améliorations de sécurité au diagramme. Ces modifications ont rendu l'algorithme WPA beaucoup plus sûr et sujet à ce type de fissuration.
Dans ce chapitre, nous verrons comment casser les cryptages WEP et WPA. Commençons par le cryptage WEP.
Comment casser le cryptage WEP?
Il existe de nombreux outils possibles que l'on peut utiliser pour déchiffrer le WEP, mais toutes les approches suivent la même idée et l'ordre des étapes.
En supposant que vous avez trouvé votre réseau cible, procédez comme suit -
Collectez (reniflez) les paquets cryptés WEP survolant les airs. Cette étape peut être effectuée à l'aide d'un outil Linux appelé "airodump-ng".
Quand suffisamment de paquets sont collectés (vous avez collecté un ensemble de trames avec un vecteur IV dupliqué), vous essayez de casser le réseau en utilisant un outil appelé "aircrack-ng".
Sur un réseau très encombré, les deux étapes mentionnées ci-dessus peuvent prendre environ 5 à 10 minutes, voire moins. C'est aussi simple que ça! Le guide détaillé étape par étape pour le piratage du WEP sera présenté sous le thème "Pen Testing WEP Encrypted WLAN".
Comment casser le cryptage WPA?
La façon de briser un cryptage WPA a une approche légèrement différente. Les trames sans fil utilisant WPA utilisent le cryptage TKIP qui utilise toujours le concept d'algorithme IV et RC4, mais il est modifié pour être plus sécurisé. TKIP modifie WEP avec les pointeurs suivants -
Il utilise des clés temporelles créées dynamiquement au lieu de clés statiques utilisées par WEP.
Il utilise le séquençage pour se défendre contre les attaques de relecture et d'injection.
Il utilise un algorithme avancé de mixage de clés afin de vaincre les collisions IV et les attaques par clé faible dans WEP.
Il introduit EDI (Enhanced Data Integrity) pour vaincre les attaques de retournement de bits possibles dans WEP.
En tenant compte de tous ces points, cela rend le calcul informatique standard WPA impossible à craquer (cela ne dit pas que ce n'est pas possible, mais cela peut prendre raisonnablement très longtemps, en supposant que vous ayez des ressources avancées pour casser l'algorithme). L'authentification utilisée dans la norme WPA a également progressé par rapport à celle utilisée dans WEP. WPA utilise 802.1x (authentification basée sur EAP) pour l'authentification des clients. En fait, c'est leonly weak point, où vous pouvez essayer vos chances de casser le WPA (et WPA2 en fait).
Les normes WPA et WPA2 prennent en charge deux types d'authentification - Pre-Shared Key(PSK) et vrai 802.1x basé sur un serveur d'authentification externe. Lors de l'utilisation de l'authentification 802.1x - il n'est tout simplement pas possible de casser le mot de passe; il estonly doable where local PSK mode is used. Pour rappel, tous les déploiements sans fil d'entreprise utilisent une véritable authentification 802.1x, basée sur le serveur RADIUS externe, par conséquent, votre seule cible possible pourrait être les très petites entreprises ou les réseaux domestiques.
Une autre remarque est que, PSK utilisé pour protéger WPA / WPA2 doit être de taille raisonnablement courte (max 10 caractères - contrairement à 64 caractères autorisés comme longueur maximale), si vous avez l'intention de le casser. La raison de cette exigence est que le PSK n'est transmis qu'une seule fois (pas en texte clair) entre le client sans fil et l'AP pendant la prise de contact initiale à 4 voies, et le seul moyen de dériver la clé d'origine de ces paquets est de forcer brutalement ou en utilisant un bon dictionnaire.
Il existe une jolie calculatrice en ligne qui peut estimer le temps qu'il faudrait pour forcer brutalement le PSK - http://lastbit.com/pswcalc.asp. En supposant que vous avez 1 PC qui peut essayer 1000 mots de passe par seconde (composé de minuscules, majuscules, chiffres et ponctuations courantes), il faudrait 28910 ans pour casser le mot de passe (au maximum, bien sûr, si vous avez de la chance, cela pourrait prendre quelques heures).
Le processus général de rupture d'un cryptage WPA / WPA2 (uniquement lorsqu'ils utilisent PSK) est le suivant:
Collectez (reniflez) les paquets sans fil survolant les airs. Cette étape peut être effectuée à l'aide de l'outil Linux appelé "airodump-ng".
Pendant la collecte des paquets, vous devez désauthentifier les clients actuels. En faisant cela, vous arrivez à la situation où le client aurait besoin de s'authentifier à nouveau pour utiliser un réseau Wi-Fi. C'est exactement ce que vous vouliez! En faisant cela, vous préparez un bon environnement pour renifler un utilisateur sans fil qui s'authentifie sur le réseau. Vous pouvez utiliser l'outil basé sur Linux "aireplay-ng" pour désauthentifier les clients sans fil actuels.
Comme vous avez reniflé une poignée de main à 4 voies (et sauvegardée dans le fichier de vidage), vous pouvez à nouveau utiliser "aircrack-ng" pour casser le PSK. Dans cette étape, vous devez référencer un fichier de dictionnaire contenant toutes les combinaisons du mot de passe que l'outil aircrack-ng utilisera. C'est pourquoi, un bon fichier de dictionnaire est un élément très important ici.
Le piratage détaillé étape par étape des réseaux WPA / WPA2 sera présenté sous la rubrique «Test du stylet WPA / WPA2 Encrypted WLAN».
Comment se défendre contre le cracking WPA?
J'ai le sentiment qu'après avoir parcouru les dernières sections de ce tutoriel, vous aurez déjà une idée de ce qu'il faut faire pour rendre le cracking WPA impossible (ou plutôt dire: impossible dans un délai raisonnable). Voici quelques conseils sur les meilleures pratiques pour sécuriser votre réseau sans fil domestique / petite entreprise -
S'il y a une chance pour cela, utilisez WPA2 au lieu de WPA. Il a un impact direct sur le schéma de chiffrement utilisé par une suite. AES (utilisé par WPA2) est beaucoup plus sûr que TKIP (utilisé par WPA).
Comme vous l'avez vu précédemment, le seul moyen de briser WPA / WPA2 est de renifler la poignée de main d'authentification à 4 voies et de forcer le PSK. Pour le rendre impossible au calcul, utilisez un mot de passe d'au moins 10 caractères composé d'une combinaison aléatoire (et non d'un mot simple que vous pouvez rencontrer dans n'importe quel dictionnaire) de minuscules, majuscules, caractères spéciaux et chiffres.
Désactiver le Wi-Fi Protected Setup (WPS) - WPS est l'une des «fonctionnalités intéressantes» inventées pour rendre la connexion de nouveaux clients sans fil au réseau beaucoup plus facile - simplement en mettant un code PIN spécial à 8 chiffres du point d'accès. Ces 8 chiffres sont un travail très court pour une attaque par force brute, et ces 8 chiffres peuvent également être trouvés à l'arrière de la boîte AP elle-même. Essayez-vous et jetez un œil à votre routeur domestique - voyez-vous le code PIN WPS au dos? La fonction WPS est-elle activée sur votre routeur domestique?
Ce n'est pas un secret pour personne que les réseaux sans fil sont beaucoup plus vulnérables que leurs équivalents filaires. En plus des vulnérabilités de protocole lui-même, il s'agit d'un support partagé «sans fil» qui ouvre ce type de réseaux à un tout nouvel ensemble de surfaces d'attaque. Dans les sous-chapitres consécutifs, je vais essayer d'introduire de nombreux aspects (ou plutôt des menaces) des communications sans fil, qui peuvent être exploitées par le 3 malveillant e partie.
Attaques de contrôle d'accès
Le concept de contrôle d'accès consiste à contrôler, qui ont accès au réseau et qui ne l'ont pas. Il empêche malicieuses 3 rd parties (non autorisées) d'associer au réseau sans fil. L'idée du contrôle d'accès est très similaire à un processus d'authentification; cependant, ces deux concepts sont complémentaires. L'authentification est le plus souvent basée sur un ensemble d'informations d'identification (nom d'utilisateur et mot de passe) et le contrôle d'accès peut aller au-delà et vérifier d'autres caractéristiques de l'utilisateur client ou de l'appareil de l'utilisateur client.
Le mécanisme de contrôle d'accès très connu utilisé dans les réseaux sans fil est basé sur la liste blanche d'adresses MAC. Le point d'accès stocke une liste d'adresses MAC autorisées qui sont éligibles pour accéder au réseau sans fil. Avec les outils disponibles de nos jours, ce mécanisme de sécurité n'est pas très fort, car l'adresse MAC (adresse matérielle du chipset du client sans fil) peut être usurpée très simplement.
Le seul défi est de savoir quelles adresses MAC sont autorisées par AP à s'authentifier sur le réseau. Mais comme le support sans fil est un support partagé, n'importe qui peut renifler le trafic qui circule dans l'air et voir les adresses MAC dans les trames avec un trafic de données valide (elles sont visibles dans l'en-tête qui n'est pas crypté).
Comme vous pouvez le voir dans l'image suivante, sur mon routeur domestique, j'ai configuré deux appareils pour pouvoir communiquer avec l'AP, en spécifiant ses adresses MAC.
Ce sont les informations dont l'attaquant ne dispose pas au départ. Cependant, étant donné que le support sans fil est «ouvert» pour le reniflage, il peut utiliser Wireshark pour écouter les périphériques qui sont connectés et qui parlent au point d'accès à un moment donné. Lorsque vous démarrez un Wireshark pour renifler dans l'air, vous obtiendrez probablement des centaines de paquets par seconde, il est donc sage d'utiliser des règles de filtrage efficaces dans Wireshark. Le type de filtre que j'ai implémenté est -
(wlan.fc.type_subtype == 0x28) && (wlan.addr == 58:6D:8F:18:DE:C8)
La première partie de ce filtre dit à Wireshark qu'il ne doit regarder que les paquets de données (pas les trames de balise ou autres trames de gestion). C'est un sous-type0x28AND ("&&") l'une des parties doit être mon AP (il a l'adresse MAC 58: 6D: 8F: 18: DE: C8 sur l'interface radio).
Vous pouvez remarquer qu'il y a deux périphériques qui échangent des paquets de données avec AP sont ceux que j'ai spécifiquement autorisés en tant qu'administrateur sur le filtrage MAC plus tôt. Ayant ces deux-là, le seul élément de configuration que vous devez faire en tant qu'attaquant est de changer localement l'adresse MAC de votre carte sans fil. Dans cet exemple, j'utiliserai un outil basé sur Linux (mais il y en a des tonnes d'autres pour tous les systèmes d'exploitation possibles) -
Il s'agissait d'une approche simple pour contourner le contrôle d'accès basé sur le filtrage MAC. De nos jours, les méthodes de contrôle d'accès sont beaucoup plus avancées.
Les serveurs d'authentification spécialisés peuvent différencier si un client particulier est un PC produit par HP, un iPhone d'Apple (quel type d'iPhone) ou d'autres clients sans fil, uniquement en examinant à quoi ressemblent les trames sans fil d'un client particulier et en les comparant à l'ensemble des «lignes de base», connues de certains fournisseurs. Cependant, ce n'est pas quelque chose que vous pouvez voir sur les réseaux domestiques. Ces solutions sont assez coûteuses et nécessitent une infrastructure plus complexe intégrant plusieurs types de serveurs - très probablement rencontrés dans certains environnements d'entreprise.
L'intégrité des informations est une caractéristique qui garantit que les données n'ont pas été falsifiées, lors du passage d'un point A au point B sur le réseau (sans fil ou filaire). Quand on parle de communication sans fil, radios 802.11 peuvent être entendus par une 3 e partie sur le même canal de fréquence. Un type simple d'attaque contre l'intégrité des informations est illustré dans le diagramme suivant -
Imaginons qu'un client sans fil légitime appelé victime (étape 1) écrive un e-mail à l'ami (l'e-mail ira sur Internet), demandant un remboursement de 1000 $ et mettant le numéro de compte bancaire dans l'e-mail.
En supposant que les informations ne sont pas bien chiffrées (ou que l'attaquant a cassé le chiffrement et a la possibilité de tout lire en texte clair), l'attaquant sans fil (étape 2) lit le paquet entier circulant dans l'air vers l'AP. L'attaquant modifie un message en échangeant le numéro de compte bancaire contre le sien et en réinjectant un message dans les airs, pour accéder à Internet via l'AP.
Dans cette situation, s'il n'y a pas de contrôles d'intégrité permettant de détecter un changement dans le contenu du message, le destinataire recevra un message avec un numéro de compte bancaire modifié. Probablement, la situation décrite serait extrêmement difficile à mettre en œuvre dans la vie réelle, puisque tous les outils comme l'échange de courrier, sont sécurisés contre ces types d'attaques (via un cryptage approprié et des contrôles d'intégrité des messages), cela montre parfaitement le concept de l'attaque.
Il existe 2 contre-mesures principales contre ce type d'attaque d'intégrité - le cryptage (afin que l'attaquant ne puisse pas du tout lire le message) et Message Integrity Codes (MIC) qui sont essentiellement des fonctions de hachage comme MD5 ou SHA1qui prennent une empreinte de tout le message et créent un hachage de 128 bits (MD5) ou 160 bits (SHA1). À tout moment, il y a un changement dans le contenu du paquet, la valeur de hachage changerait également, entraînant le refus du message (déjà par le routeur sans fil).
Le rôle des attaques visant la confidentialité des informations, est simplement de casser le modèle de cryptage utilisé dans le déploiement sans fil. En examinant divers modèles de sécurité sur le terrain, les recommandations générales suivantes peuvent être formulées -
No Encryption/ WEP Encryption - Ce ne sont pas des approches très sûres et ne doivent en aucun cas être utilisées.
TKIP Encryption- Ce modèle de chiffrement est utilisé dans les déploiements WPA. Il n'a pas encore été craqué, mais TKIP n'est pas considéré comme un moyen de cryptage puissant, en raison de l'utilisation d'un algorithme RC4 plus faible.
CCMP Encryption- Ceci est utilisé avec WPA2. Jusqu'à présent, il est considéré comme le modèle de cryptage le plus sûr basé sur un algorithme AES incassable (du moins pour aujourd'hui).
L'objectif principal de toutes sortes d'attaques est de casser le cryptage et d'obtenir une valeur de la clé. Cela donnerait à l'attaquant 2 choses: la confidentialité brisée des autres utilisateurs et un accès direct au réseau sans fil.
Les attaques qui visent à désactiver le service (rendre la cible indisponible) ou à dégrader ses performances (réduire la disponibilité) tombent sous l'égide de Denial of Service (DoS)attaques. Le coût d'une telle attaque peut être très coûteux pour une victime ou des entreprises, dont l'activité repose sur le commerce électronique. Ils peuvent compter les coûts de l'attaque en millions de dollars, selon la durée pendant laquelle leur service Web n'est pas disponible.
Les réseaux sans fil jouent également un rôle crucial dans la productivité des employés. Nous utilisons tous des ordinateurs portables et des smartphones sans fil sur le lieu de travail. Avec le manque de fonctionnement du réseau sans fil, notre productivité est diminuée.
Les attaques DoS sur la disponibilité peuvent être divisées en 3 types -
- DoS de la couche 1
- DoS de couche 2
- DoS de couche 3
Nous aborderons chacune de ces attaques en détail dans les chapitres suivants.
Ceci est une conséquence des interférences radioélectriques (intentionnelles ou non). Le plus souvent, des interférences non intentionnelles sont observées sur la bande 2,4 GHz, car elle est très occupée. Les appareils tels que les caméras vidéo RF, les téléphones sans fil ou les fours à micro-ondes peuvent utiliser cette bande. En ce qui concerne les interférences intentionnelles, il existe des brouilleurs RF qui peuvent interférer avec les WLAN 802.11. Les brouilleurs RF peuvent être une unité matérielle ou un outil logiciel (exemple de framework "Websploit" illustré ci-dessous).
L'attaque WiFi la plus courante qui utilise Layer 1 DoS est la Queensland Attack.
Attaque du Queensland
Ceci est utilisé pour interrompre le fonctionnement du WLAN 802.11. Une carte radio est configurée pour envoyer un signal RF constant (un peu comme un générateur de signaux à bande étroite). Alors que d'autres clients sans fil valides n'ont jamais une chance d'accéder au support, car chaque fois qu'ils effectuent une évaluation claire du canal (court processus de vérification de «l'air» avant d'envoyer du trafic sur le sans fil), le support sans fil est occupé par cet émetteur constant .
Les attaques de brouillage peuvent également être utilisées pour lancer d'autres types d'attaques. En utilisant des outils de brouillage, on peut forcer les clients sans fil à se réauthentifier. Après cela, un analyseur de protocole (sniffer) peut être utilisé pour collecter le processus d'authentification (prise de contact à 4 voies en cas de LEAP ou WPA / WPA2 Personal). À ce stade, l'attaquant aurait toutes les informations nécessaires pour effectuer uneoffline dictionary attack. Le brouillage à bande étroite peut également être utilisé comme un outil d'aide pour l'attaque de l'homme du milieu.
Créer un brouilleur de couche 1 avec un logiciel (en utilisant Websploit) est extrêmement simple. Je vais illustrer l'attaque en utilisant mon propre réseau sans fil domestique appelé "home_e1000". Première utilisationairodump-ng, Je vais collecter les informations sur le WLAN lui-même (BSSID, canal).
Comme vous pouvez le voir, le réseau sans fil "home_e1000" utilise le point d'accès avec le BSSID de 58: 6D: 8F: 18: DE: C8 et fonctionne sur le canal 6. Il s'agit d'un ensemble d'informations dont nous avons besoin, comme entrée du framework websploit pour effectuer l'attaque de brouillage.
Les modules qui sont pertinents pour notre scénario sont sous "Modules sans fil" et nous utiliserons un Wi-Fi / wifi_jammer.
La colonne du champ "RQ" signifie "obligatoire", vous devrez donc remplir toutes les valeurs ici -
interface - Ceci est l'interface WLAN telle qu'elle apparaît dans ifconfing, dans mon cas, c'est wlan0.
bssid- Il s'agit de l'adresse MAC de l'adaptateur radio de l'AP. Vous pouvez dériver celui-ci de airodump-ng comme expliqué dans les étapes précédentes.
essid - C'est le nom du WLAN que vous souhaitez brouiller.
mon- Le nom de l'interface de surveillance, tel qu'il apparaît dans ifconfig ou airmon-ng. Dans mon cas, c'est mon0.
channel- Affiche les informations de l'airodump. Mon réseau cible "home_e1000" fonctionne sur le canal 6 comme le montre la sortie airodump-ng.
Désormais, lorsque toutes les informations requises sont définies dans le framework websploit, il vous suffit de taper la commande "run". Dès que la commande est exécutée, l'attaque démarre.
Comme vous pouvez le voir dans la capture d'écran suivante, le framework websploit démarrera automatiquement l' outil aireplay-ng et perturbera le réseau.
Le résultat de cette attaque (vous ne pouvez pas le voir), est que mon PC sans fil et mon smartphone se sont déconnectés, et je ne peux pas vraiment me reconnecter tant que je n'arrête pas l'attaque en mettant une commande "stop".
Ces attaques sont celles qui sont le plus probablement lancées par des attaquants malveillants. L'idée principale derrière cette attaque est de tempérer les trames sans fil 802.11 et de les injecter (ou les retransmettre) dans l'air.
Les types les plus courants d'attaques DoS de couche 2 impliquent l'usurpation de disassociation or de-authenticationcadres de gestion. La raison pour laquelle il est si efficace est que ces cadres ne sont PAS les cadres de requête mais des notifications!
Étant donné que le processus d'authentification est une condition préalable à l'association (comme illustré ci-dessus), un de-authentication frame dissociera également automatiquement le client.
Ce genre d'attaque a peut-être (encore une fois) commencé à utiliser aireplay-ng tool. Pouvez-vous voir à quel point cet outil est puissant?
Ciblant à nouveau mon réseau domestique avec l'ESSID de "home_e1000", je vérifie d'abord les clients connectés avec airodump-ng.
Mon smartphone est l'appareil connecté au réseau home_e1000 avec l'adresse MAC 98: 0D: 2E: 3C: C3: 74. Je lance ensuite une attaque DoS de désauthentification contre mon smartphone comme indiqué dans la capture d'écran suivante -
Le résultat, une fois de plus, mon appareil cible à la maison (smartphone) se déconnecte du réseau Wi-Fi.
La technique d'atténuation contre ce type d'attaques consiste à utiliser un 802.11w-2009 Standard Management Frame Protection (MFP). En termes simples, cette norme exige que les trames de gestion (comme les trames de dissociation ou de désauthentification) soient également signées par un AP de confiance, et si elles proviennent d'un client malveillant ou d'un faux AP, elles doivent être négligées.
L'idée de ce DoS de couche 3 est de submerger l'hôte avec un grand volume de trafic à traiter, ce qui entraîne le plantage d'un hôte. Le plus souvent, ce type d'attaque provient d'un ensemble d'hôtes appartenant à un pirate, appelé botnet et cible le serveur victime sur Internet.
Les trois types d'attaques DoS de couche 3 les plus courants sont:
Attaque fragmentée
L'attaquant envoie une grande quantité de demandes d'écho UDP à l'adresse de diffusion IP. L'adresse IP source est usurpée et est définie sur une adresse IP victime. En faisant cela, toutes les réponses provenant des clients sur le sous-réseau de diffusion sont renvoyées à la victime.
Attaque Ping Flood
L'attaquant envoie un grand nombre de paquets ICMP à l'ordinateur cible à l'aide de ping. Imaginez une partie malveillante qui possède un botnet de milliers de PC. Si nous imaginons une attaque Ping Flood s'exécutant en même temps sur tous ces PC, cela peut devenir assez sérieux.
Attaque Schtroumpf
Exactement la même opération étape par étape, comme dans le cas de Fraggle Attack. La seule différence est que, l'attaque Smurf utilise des paquets de demande d'écho ICMP, contrairement à l'attaque Fraggle qui utilise des paquets UDP.
Ces types d'attaques DoS de couche 3 ne sont pas spécifiquement des attaques de technologie sans fil. Ils peuvent être utilisés sur n'importe quelle technologie de couche 2, Ethernet, Frame Relay, ATM ou sans fil. La principale exigence de cette attaque pour réussir est que l'attaquant contrôle une grande quantité de PC dépassés (botnet). Ensuite, des paquets particuliers sont envoyés à la cible à partir de chaque hôte infecté dans le botnet - en supposant que le botnet possède plus de 1000 périphériques, le trafic cumulé peut être important. L'utilisation d'un DoS de couche 3 à partir d'un seul PC n'est pas du tout efficace.
Comme vous le savez probablement déjà, l'authentification est la méthode de vérification de l'identité et des informations d'identification présentées. La plupart des schémas d'authentification utilisés dans les configurations sans fil sont sécurisés avec un cryptage approprié.
Nous avons déjà décrit le scénario basé sur l'authentification EAP utilisée dans WPA / WPA2, avec l'authentification PSK. En reniflant la poignée de main à 4 voies entre le client et l'authentificateur (AP), on peut effectuer une attaque par force brute (exemple - attaque de dictionnaire hors ligne) pour briser le cryptage et dériver la valeur PSK.
Un autre exemple peut être LEAP (Lightweight Extensible Authentication Protocol). Il était autrefois utilisé comme mécanisme pour générer des clés WEP dynamiques. Dans cette configuration, les hachages de mots de passe circulaient en direct hachés avec les algorithmes MS-CHAP ou MS-CHAPv2 (les deux sont crackables avec une attaque de dictionnaire hors ligne). Une brève description de l'attaque d'authentification qui peut être appliquée à LEAP comprendrait les étapes suivantes -
Le nom d'utilisateur est envoyé dans un texte clair.
Il y a un texte de défi en texte clair.
Le texte de la réponse est haché.
Attaque par dictionnaire Office, qui peut être utilisée ici (en utilisant aircrack-ng tool) pour essayer toutes les combinaisons du mot de passe à l'intérieur "function(password,challenge) = response"formule mathématique, pour trouver le bon mot de passe.
Des exemples de telles attaques seront illustrés étape par étape dans les prochains chapitres.
Quand nous pensons aux réseaux d'entreprise, le WLAN d'entreprise est un portail sans fil autorisé et sécurisé vers les ressources du réseau. Un périphérique d'accès non autorisé (AP) est une radio WLAN qui est connectée au réseau d'entreprise (le plus souvent à un commutateur réseau) sans l'autorisation.
La plupart des points d'accès non autorisés installés par les employés (utilisateurs malveillants ou par erreur) ne sont en fait pas les mêmes points d'accès que ceux utilisés par le service informatique de l'organisation, mais certains routeurs sans fil pour petits bureaux à domicile (SOHO) - les mêmes ceux que vous avez probablement à la maison. Dans la situation où ils sont mal configurés ou configurés sans aucune sécurité - cela ouvre une prochaine surface d'attaque pour avoir un accès facile à un réseau très sécurisé).
Avec l'évolution actuelle de l'industrie informatique, les points d'accès non autorisés peuvent être très bien cachés et extrêmement difficiles à trouver. Seriez-vous capable de repérer facilement un Raspberry Pi connecté à votre commutateur réseau, s'il était placé à l'arrière du rack caché entre des centaines de câbles réseau? Je peux certainement dire que vous ne le verriez PAS du tout!
Si les ressources réseau sont exposées par un point d'accès non autorisé, les risques suivants peuvent être identifiés:
Data Theft - Les données d'entreprise peuvent être compromises.
Data Destruction - Les bases de données peuvent être effacées.
Loss of Services - Les services réseau peuvent être désactivés.
Malicious Data Insertion - Un attaquant peut utiliser un portail pour télécharger des virus, des enregistreurs de frappe ou de la pornographie.
3rd Party Attacks- réseau câblé d'une entreprise peut être utilisée comme rampe de lancement pour 3 rd attaques du parti contre d' autres réseaux à travers l'Internet.
Vous avez peut-être déjà vécu la situation, lorsque vous venez avec votre PC et utilisez le sans fil à la maison, votre PC se connecte automatiquement au WLAN, sans qu'aucune action ne soit requise de votre part. En effet, votre ordinateur portable se souvient de la liste des WLAN auxquels vous étiez connecté dans le passé et stocke cette liste dans le soi-disantPreferred Network List (dans un monde Windows).
Un pirate malveillant peut utiliser ce comportement par défaut et apporter son propre point d'accès sans fil dans la zone physique, où vous utilisez normalement votre Wi-Fi. Si le signal de cet AP est meilleur que celui de l'AP d'origine, le logiciel de l'ordinateur portable s'associera mal au faux point d'accès (escroc) fourni par le pirate informatique (pensant que c'est l'AP légitime, que vous avez utilisé dans le passé ). Ces types d'attaques sont très faciles à réaliser dans certains grands espaces ouverts, tels que les aéroports, les bureaux ou les espaces publics. Ces types d'attaques sont parfois appelésHoneypot AP Attacks.
La création d'un faux AP ne nécessite aucun matériel physique. La distribution Linux, utilisée dans tout ce tutoriel estKali Linux, dispose d'un outil interne appelé airbase-ng qui peut créer AP avec une adresse MAC spécifique et un nom WLAN (SSID) avec une seule commande.
Créons un scénario suivant. Dans le passé, j'ai utilisé le SSID de "Airport-Guest" dans l'un des aéroports européens. De cette façon, je sais que mon smartphone a enregistré ce SSID sur le PNL (Preferred Network List). Je crée donc ce SSID en utilisantairbase-ng.
Après avoir créé le WLAN, j'ai utilisé l'attaque DoS de couche 2 décrite précédemment, pour désauthentifier constamment mon smartphone du réseau sans fil Home_e1000. À ce stade, mon smartphone détecte l'autre SSID (Airport-Guest) avec une très bonne qualité de liaison, il s'y connecte donc automatiquement.
C'est quelque chose que vous voyez dans la décharge ci-dessus à partir de 21:48:19. À ce stade, nous sommes dans la bonne situation pour effectuer quelques attaques supplémentaires ayant cette connexion initiale. Il peut s'agir soit d'un homme au milieu d'une attaque, pour transférer tout le trafic sans fil via le PC de l'attaquant (en attaquant l'intégrité et la confidentialité de l'échange de trafic.) Ou vous pouvez vous reconnecter du PC de l'attaquant directement au smartphone en exploitant certaines vulnérabilités à l'aide de Metasploit Framework. .. Il existe une pléthore de solutions possibles.
Les points d'accès mal configurés sont un type de surface de sécurité, qui est la plus facile à briser, si elle est détectée. L'endroit où vous rencontrerez probablement des points d'accès mal configurés est le réseau sans fil domestique ou les très petites entreprises. Les grands environnements sans fil utilisent très probablement des plates-formes de gestion centralisées qui contrôlent des centaines ou des milliers de points d'accès et les maintiennent synchronisés, il est donc moins susceptible d'y rencontrer une erreur de configuration.
Les domaines les plus courants de mauvaise configuration, qui conduisent à des fissures sans fil, sont:
Certaines configurations AP sont laissées aux paramètres d'usine par défaut, comme les noms d'utilisateur et les mots de passe ou les WLAN diffusés par défaut (SSID) et les paramètres par défaut peuvent être trouvés dans les manuels du fournisseur spécifique sur Internet.
Erreur humaine - les politiques de sécurité avancées sont configurées sur un ensemble de points d'accès à travers l'organisation, et d'autres sont oubliés et laissés avec des paramètres de sécurité faibles par défaut.
En guise de contre-mesure contre un point d'accès mal configuré, les organisations doivent suivre les enquêtes de site en cours comme un outil pour surveiller un environnement sans fil sécurisé.
Des exemples de base de données de nom d'utilisateur / mot de passe par défaut pour certains des appareils domestiques sans fil Linksys sont -
Modèle | Nom d'utilisateur | Mot de passe |
---|---|---|
Série BEFSR | (aucun) ou admin | admin |
Série E | admin ou (aucun) | admin ou (aucun) |
Série EA | admin | admin ou (aucun) |
Série WAG | admin ou (aucun) | admin ou (aucun) |
Série WRT | (aucun) | admin |
Attaques de connexion ad hoc sont de type d'attaques très méchant, où l'attaquant (utilisateur malveillant) avec une 3 ème partie de l' utilisateur légitime en tantadditional hop ou man-in-the-middle entre l'appareil de l'attaquant et AP ou tout autre type de passerelles.
La fonction réseau sans fil Ad-Hoc, requise pour fonctionner sur "périphérique au milieu", peut être configurée sur un périphérique Windows ou Linux, et elle permet de configurer une liaison sans fil ad-hoc (peer-to-peer) entre le client périphériques (sans aucune infrastructure réseau supplémentaire comme AP). Dans les coulisses, ce que vous faites réellement, c'est que vous créez un logiciel AP virtuel sur votre PC et que l'autre appareil s'associe au SSID que vous avez créé (créant effectivement une liaison sans fil).
Lorsque vous utilisez Linux, vous pouvez utiliser l'outil appelé "airbase-ng" décrit plus haut dans ce chapitre. D'autre part, lors de l'utilisation de Windows, le WLAN peut être créé dans les paramètres d'un réseau sans fil à l'aide de «configurer une nouvelle connexion ou un nouveau réseau».
La situation suivante décrirait une attaque ad hoc. Imaginons que l'attaquant puisse être l'un des ordinateurs numéro 2, 3 ou 4. La victime (l'homme du milieu) serait l'ordinateur 1. Cet ordinateur portable serait celui qui exécutera et servira la connectivité sans fil à l'environnement, et sera avoir une autre interface connectée au réseau filaire pour accéder à Internet.
Les attaquants peuvent se connecter au WLAN diffusé par l'ordinateur 1, puis l'utiliser pour acheminer tout le trafic vers Internet via ce PC victime. Du point de vue Internet, on dirait que c'est l'ordinateur 1 qui est à l'origine du trafic! Les liaisons sans fil de l'ordinateur 1 à tous les attaquants ne doivent pas nécessairement être une connexion Wi-Fi - il peut s'agir d'un Bluetooth ou de tout autre type de technologie sans fil pris en charge par toutes les parties qui tentent de communiquer entre elles.
Dans ce chapitre, vous vous familiariserez un peu plus avec une variété d'outils courants qui peuvent être utilisés pour effectuer des attaques spécifiques (ou être un petit pas dans des attaques plus avancées). Plus tard, dans la dernière section, vous aurez besoin de toutes ces connaissances des outils combinés, et exécuterez des types d'attaques sans fil plus avancés et complexes. C'est la dernière section de ce tutoriel qui passera étape par étape à travers des scénarios de piratage de sécurité sans fil et utilisera les outils que vous avez vus jusqu'à présent, et ceux que vous trouverez ici.
Découverte Wi-Fi
La découverte Wi-Fi est un processus utilisé pour connaître la présence du WLAN dans l'environnement. Le processus de découverte WiFi n'est contraire à aucune loi, puisque vous n'agissez de manière offensive à aucun moment, vous écoutez simplement et passivement les bandes de fréquences Wi-Fi, en utilisant votre client sans fil.
Afin de découvrir quels types de réseaux WLAN sont présents, vous devez utiliser des outils spécifiques qui utilisent du matériel sans fil et écoutent sur une bande 2,4 GHz ou 5 GHz. Certains d'entre eux sont intégrés au système d'exploitation (ils sont le plus souvent très inefficaces pour une analyse WLAN détaillée), et d'autres sont des outils simples, que vous pouvez trouver sur Internet. Il existe des centaines ou des milliers d'outils sur le marché.
Je vais vous en présenter 2, que j'ai vraiment apprécié en raison de sa simplicité. Ce que vous découvrirez, en parcourant ces chapitres (ou vous le savez déjà de votre expérience), les outils fournis pour Windows OS ont de meilleurs graphismes et des fonctionnalités graphiques sophistiquées, contrairement à ce que fournissent les outils basés sur Linux. Mais je peux vous promettre que ceux basés sur Linux fournissent exactement les mêmes informations (juste dans un format plus textuel). D'un autre côté, il est un peu plus facile d'écrire des scripts, qui prend les sorties d'un outil comme entrée pour d'autres.
Pour les utilisateurs de Windows, vous devriez jeter un œil à la Xirrus Wi-Fi Inspector(il peut être utilisé gratuitement). Il s'agit d'un outil simple qui identifie les WLAN présents à proximité. Un autre outil qui remplit les mêmes fonctions dans l'environnement Windows estNetStumbler.
Les informations que vous pouvez extraire du tableau au bas de la capture d'écran ci-dessus fournissent tout ce que vous pouvez rechercher, comme le nom SSID, la force du signal reçu, la norme 802.11 utilisée, le cryptage et l'authentification activés. WLAN, BSSID(Adresse MAC de l'AP, au cas où vous voudriez créer un faux AP avec la même adresse MAC) et sur quel canal il fonctionne. C'est beaucoup! Vous pouvez également voir un "radar" graphique très sophistiqué indiquant la distance entre certains réseaux et votre emplacement actuel - les mêmes informations peuvent être lues à partir deSignal (dBm) champ.
De l'autre côté, lorsque vous utilisez Linux (j'utilise la distribution Kali pour les testeurs de pénétration - vous devriez également essayer), l'équivalent de cela serait un outil appelé airodump-ng. L'ensemble des informations, cette sortie airodump-ng à l'utilisateur est montré dans la capture d'écran suivante. En outre, nous avons un autre outil bien connu appelé Kismet.
Wardriving
Wardriving est le processus de recherche d'un réseau sans fil (découverte de réseau sans fil) par une personne dans une voiture à l'aide de son ordinateur portable personnel, de son smartphone ou d'autres outils clients sans fil. Fondamentalement, l'intention est de trouver un réseau sans fil à accès gratuit, qu'un utilisateur malveillant peut utiliser sans aucune obligation légale. Des exemples pourraient être certains marchés, qui offrent une connexion Wi-Fi gratuite, sans inscription ou un hôtel que vous pouvez simplement enregistrer avec de fausses données.
La méthode de recherche de ces WLAN est exactement la même que celle décrite ci-dessus dans cette section de découverte sans fil.
Cartographie GPS
Il y a un certain nombre de satellites en orbite autour du globe, chacun d'eux envoyant un signal radio de faible puissance vers le morceau de terre qu'il couvre. L'appareil GPS que vous utilisez, il peut s'agir par exemple d'un smartphone avec l'application google maps démarrée, reçoit ce signal de plusieurs satellites en même temps. L'appareil lui-même combine ces signaux et calcule l'emplacement géographique actuel sur terre.
L'idée de la cartographie GPS est de cartographier un réseau sans fil que l'utilisateur rencontre sur la carte globale du réseau sans fil en référence à sa situation géographique. On peut utiliser l'outil Kismet déjà mentionné pour cartographier son réseau sans fil à l'emplacement géographique, puis mettre ses coordonnées sur la carte Google Earth.
Il y a un site Web sur Internet http://wigle.netque vous pouvez utiliser pour voir combien de WLAN sont mappés par GPS. Vous pouvez également utiliser ce site Web pour cartographier le réseau cellulaire GSM.
Un processus d'analyse du trafic sans fil peut être très utile dans les enquêtes médico-légales ou lors du dépannage et bien sûr, c'est un excellent moyen d'auto-apprentissage (juste pour apprendre comment les applications et les protocoles interagissent entre eux). Pour que l'analyse du trafic soit possible, tout d'abord, ce trafic doit être collecté d'une manière ou d'une autre et ce processus est connu sous le nom de détection de trafic. Les outils les plus couramment utilisés pour la détection du trafic sont Kismet et Wireshark. Ces deux programmes fournissent une version pour Windows ainsi que pour les environnements Linux.
Aux fins des tests de pénétration et du piratage des réseaux sans fil, le type de données qu'il est utile de collecter est BSSID, WEP IV, TKIP IV, CCMP IV, EAP 4-way handshake exchange, wireless beacon frames, MAC addresses of communicating parties, etc. Beaucoup plus est disponible pour vous dans la décharge du trafic sans fil. La plupart des informations que vous obtiendriez seraient utilisées dans toutes les attaques présentées dans le dernier chapitre. Ils pourraient être (par exemple) utilisés comme entrée d'attaques par force brute hors ligne, afin de briser les modèles de chiffrement et d'authentification utilisés dans le déploiement du WLAN.
L'utilisation de Wireshark sous Windows et Linux est très intuitive - les deux environnements fournissent une interface graphique qui a la même apparence pour les deux systèmes. Lorsque le programme démarre, il vous suffit d'indiquer l'interface physique qui serait utilisée pour le reniflage du trafic (vous pouvez sélectionner n'importe quelle interface, filaire ou sans fil), puis procéder au reniflage du trafic. Un exemple de paquets sans fil collectés par une carte sans fil est présenté dans la capture d'écran suivante.
La disposition de la sortie est toujours la même - en partant du haut, vous avez -
Filter Field- Wireshark est équipé d'un très bon outil de filtrage qui permet de limiter la sortie du trafic en temps réel. C'est extrêmement utile, lorsque vous avez besoin d'extraire des flux particuliers (entre des adresses MAC particulières ou entre des adresses IP particulières) de centaines de packs provenant chaque seconde de tous les clients sans fil de l'environnement.
Traffic Output- Dans cette section, vous pouvez voir tous les paquets apparaissant, qui ont été reniflés sur l'interface sans fil, un par un. Dans cette partie de la sortie, vous ne pouvez voir qu'un résumé de base des caractéristiques du trafic comme -SRC/DST MAC Addresses, Protocol (Wi-Fi 802.11 in this case) et une brève information sur un paquet.
Decoded Parameters of the Data- Cette section liste tous les champs existant dans une trame (tous les en-têtes + données). En utilisant un exemple de vidage, nous pouvons voir qu'un ensemble d'informations se présente sous la forme de données illisibles (probablement cryptées), et dans l'en-tête 802.11, vous pouvez trouver des informations CCMP (cela confirme que le trafic est crypté AES), il doit donc s'agir de WPA2 Réseau Wi-Fi.
Hex Dump- Le Hex Dump est exactement les mêmes informations que vous avez ci-dessus dans "paramètres décodés des données" mais dans un format hexadécimal. La raison en est que la représentation hexadécimale est l'aspect original du paquet, mais Wireshark a des milliers de "modèles de trafic", qui sont utilisés pour mapper des valeurs HEX spécifiques à un champ de protocole connu. Par exemple, dans un en-tête 802.11, les octets de 5 à 11 sont toujours la source d'une adresse MAC de la trame sans fil, en utilisant le même mappage de modèle, Wireshark (et d'autres renifleurs) peuvent reconstruire et décoder statique (et bien connu) champs de protocole.
Vous pouvez enregistrer tous vos vidages de trafic en utilisant le commun .pcap format qui pourrait être utilisé plus tard comme entrée, par exemple, pour des scripts python qui effectuent des opérations avancées sur le trafic collecté (par exemple le craquage des modèles de chiffrement).
L'autre outil dont vous devez être conscient est Kismet. Dès que vous démarrez votre outil Kismet et spécifiez lemon0 interface, il listera tous les SSID détectés dans votre environnement.
Pendant le temps de fonctionnement de Kismet, tous les paquets sans fil sont collectés et stockés dans le .pcapdes dossiers. Lorsque vous quittez un programme, vous recevez un message indiquant que tous les vidages de paquets sans fil ont été enregistrés et que vous pouvez y accéder par la suite.
Dans l'exemple présenté ci-dessus, tous les dumps de paquets ont été stockés dans les fichiers binaires (ils ne sont pas dans un format lisible, lorsque vous ouvrez ces fichiers avec «plus» ou «vi» ou «nano», etc.).
Pour les ouvrir correctement, vous devez utiliser Wireshark (encore une fois!).
Toutes sortes d'attaques sans fil peuvent être divisées en 2 catégories - Passive Attacks and Active Attacks. Le plus souvent, une attaque passive (ou plutôt une collecte d'informations passive) est la 1ère étape avant de lancer l'attaque sans fil elle-même (partie active de l'attaque).
Les attaques passives sont toutes celles qui n'exigent pas que l'attaquant communique avec une autre partie ou n'injecte aucun trafic. Lors d'attaques passives, une victime n'a aucun moyen de détecter votre activité (parce que vous n'agissez pas), vous vous cachez et écoutez simplement les fréquences radio.
Les attaques passives ne sont pas considérées comme une violation de la loi en soi, cependant l'utilisation des informations que vous avez obtenues par des attaques passives peut être traitée comme une violation. Par exemple, vous êtes libre de flairer (écouter) le trafic non chiffré, de le collecter et de voir qu'en fait, il s'agit d'une conversation entre 2 personnes, mais la lire et utiliser les informations incluses dans cette conversation privée dans certains endroits du monde est une violation de la loi.
Exemples d'attaques passives
Jetons maintenant un coup d'œil à certains des exemples d'attaques passives -
Rupture du cryptage WEP
Dans les coulisses pour casser un cryptage WEP, il faut renifler un grand volume de paquets de données. L'étape suivante consiste à obtenir le même vecteur IV à l'intérieur des trames sans fil, et la dernière étape consiste à interrompre le modèle de cryptage WEP hors ligne. Il n'y a pas une seule étape dans l'attaque qui oblige l'attaquant à communiquer de quelque manière que ce soit avec la victime.
Rupture du cryptage WPA / WPA2
Pour casser un cryptage WPA / WPA2, il faut renifler la poignée de main à 4 voies EAP entre un client sans fil et l'AP. Ensuite, un dictionnaire hors ligne (ou une attaque par force brute hors ligne) est effectué sur les paquets chiffrés collectés. Si vous avez de la chance, vous risquez de ne pas communiquer du tout avec la victime et l'attaque est considérée comme une attaque passive pure.
Cependant, vous pouvez trouver une situation dans laquelle la victime a été authentifiée auprès d'AP bien avant votre entrée en jeu et vous ne voulez plus attendre. Ensuite, vous pouvez utiliser une «étape d'attaque active» dans votre attaque passive générale - injecter des trames de désauthentification sans fil, forçant la victime sans fil à se désauthentifier, puis à s'authentifier à nouveau, reniflant ainsi la nouvelle poignée de main d'authentification à 4 voies.
Renifler le trafic entre les parties en communication
En supposant que vous connaissiez d'une manière ou d'une autre la clé de chiffrement, vous pouvez renifler la communication entre les parties (par exemple avec Wireshark), puis décoder la conversation (puisque vous connaissez les clés). En supposant que les parties n'utilisaient aucun protocole utilisant nativement le cryptage (par exemple, le texte de taquet HTTP), vous êtes libre de voir ce que faisait l'utilisateur et de suivre ses mouvements sur Internet.
Les attaques actives, en revanche, sont celles qui nécessitent une participation active au transfert du trafic sans fil ou à l'injection des trames sans fil qui affectent le fonctionnement du WLAN. Les attaques actives laissent des traces d'activités malveillantes, par conséquent, dans certaines situations spécifiques, les décharges collectées par une victime (à l'aide de Wireshark) ou les décharges d'une carte WLAN par un enquêteur médico-légal concernant votre activité peuvent être une preuve valide devant le tribunal contre vous. Si vous décidez d'utiliser vos connaissances de manière malveillante.
Exemples d'attaques actives
Voici quelques exemples d'attaques actives -
Injection of Wireless Traffic- Un exemple classique de DoS de couche 2, utilisé par l'inondation de trames de désauthentification. L'attaquant injecte directement des paquets sans fil qui affectent le client sans fil (en leur disant de se désauthentifier), ce qui entraîne un basculement constant de l'état des utilisateurs sans fil d'authentifié à désauthentifié et rend l'expérience sans fil globale très mauvaise.
Jamming Attacks- Comme vous vous en souvenez, il s'agit d'un type d'attaque DoS de couche 1. Les dispositifs de brouillage sont utilisés pour créer des interférences avec une RF valide du réseau Wi-Fi, conduisant ainsi à une dégradation du service WLAN. C'est un type d'attaque active, puisque l'attaquant affecte directement le comportement sans fil.
Man-in-the-Middle Attack- L'attaquant est équipé de deux cartes réseau sans fil et peut utiliser l'une d'elles pour se connecter au point d'accès d'origine en tant que client; et utilisez la deuxième carte sans fil pour diffuser un faux SSID à l'aide d'un logiciel émulant AP (outil logiciel airbase-ng). De cette façon, le client s'associe au «faux AP» que l'attaquant vient de créer et tout le trafic client allant sur Internet est directement transmis via l'équipement de l'attaquant (l'attaquant peut alors faire n'importe quoi avec ces données).
La plupart des attaques, vous le verrez jamais, seraient une combinaison des étapes passives et actives. Les passifs sont toujours un bon point de départ pour comprendre l'environnement, faire ses devoirs et obtenir autant d'informations que possible sur la victime potentielle, etc.
La même approche correspond à tout type de piratage que vous pouvez voir, qu'il s'agisse d'un piratage d'application Web, d'un piratage d'ingénierie sociale ou de toute autre approche de piratage. Au moins 80% de votre temps serait utilisé pour collecter passivement des informations sur votre cible et collecter les données qui vous seraient précieuses lors des prochaines étapes de votre attaque. Ensuite, l'attaque active elle-même représente les derniers 20% de votre temps global "d'attaque".
Chaque fois que vous pourriez avoir besoin de «casser» un réseau sans fil, la tâche consiste à déchiffrer l'algorithme de chiffrement, d'authentification ou de hachage pour obtenir une sorte de mot de passe secret.
Il y a plusieurs façons d'y parvenir -
Vous pouvez essayer de casser l'algorithme de cryptage avec les plus faibles. Cela pourrait être faisable, mais pour être très honnête avec vous, de nos jours, personne n'utiliserait l'algorithme qui peut être cassable, par conséquent, à moins que vous ne soyez un analyste crypto de haut niveau, ce ne serait pas la voie à suivre.
La plupart des approches se concentreraient sur l'utilisation d'une sorte d'attaque par dictionnaire ou par force brute.
Juste pour vous donner une idée simple de la façon dont cette attaque peut être effectuée, imaginez que nous ayons un mot de passe que «nous ne savons pas» - «MySecretPassword». D'une certaine manière, nous sommes entrés en possession des signatures MD5 et SHA1 comme indiqué dans la capture d'écran suivante -
En tant qu'attaquant, notre objectif serait de casser ces algorithmes de hachage et de dériver le mot de passe d'origine. Il existe de nombreux outils prêts à l'emploi qui pourraient être utilisés à cette fin; nous pouvons également créer nos propres outils.
Voici un script simple (écrit en ruby) qui pourrait être utilisé pour l'attaque par dictionnaire (type - force brute) -
Nous utiliserons un fichier de dictionnaire simplifié (celui que j'ai créé en quelques secondes) comme indiqué dans la capture d'écran suivante. Normalement, dans la vraie vie, vous utiliseriez un fichier de dictionnaire avec des centaines de milliers d'entrées (il est courant de télécharger un fichier de dictionnaire préparé sur Internet, vous pouvez essayer d'en trouver un).
L'idée derrière ce script serait de parcourir chaque mot de passe, et si la correspondance entre le hachage calculé correspond à la signature, nous "reniflerions" du réseau, cela signifie que nous avons trouvé un mot de passe.
Je dois dire que c'était un exemple simplifié, mais il montrait parfaitement le concept lui-même.
Lors d'une fissuration du réseau sans fil, vous utiliserez très probablement un outil appelé aircrack-ng. Il est spécialement conçu pour la fissurationWEP/WPA/WPA2. En cas de fissuration WPA / WPA2, il utilisera une attaque par dictionnaire (similaire à une attaque simplifiée que nous avons présentée ci-dessus) avec deux types de dictionnaires possibles. Le premier type est celui que vous pouvez préparer vous-même (ou télécharger sur Internet) et le référencer simplement dans le script. L'autre approche consiste à s'appuyer sur lesairolib-ng dictionnaire qui est le type de base de données de dictionnaires interne installée par défaut avec l'outil.
Sans faire de véritable fissure à ce stade, je vais montrer comment utiliser aircrack-ng. J'utiliserai mon tout petit dictionnaire que j'ai créé dans l'exemple ci-dessus (avec seulement 7 phrases à l'intérieur, contrairement aux millions que vous trouverez dans un vrai fichier de dictionnaire). De plus, je ne surveillerai aucun trafic en temps réel, mais j'utiliserai un.pcap fichier avec le trafic sans fil que j'ai reniflé avant d'utiliser le Kismet outil.
Comme vous pouvez le voir, il existe un tas de WLAN, certains avec cryptage WEP, et la plupart avec WPA / WPA2. Je peux déjà dire que tout type de fissuration échouerait dans cette situation parce que -
En ce qui concerne les SSID cryptés WEP, nous n'avons aucun trafic collecté ("Pas de données").
En ce qui concerne les SSID cryptés WPA / WPA2, nous n'avons aucune poignée de main reniflée. Comme vous vous en souvenez, les données de la négociation initiale à 4 voies sont les seules informations qui peuvent conduire à la fissuration du réseau. Les paquets de données eux-mêmes sont bien cryptés et résistants à nos attaques.
Mais, imaginez que nous voulons essayer, je vais cibler mon propre réseau sans fil domestique - "Home_e1000" avec l 'index 6.
Comme je l'ai prédit, nous avons échoué. La prochaine fois, je veillerai à ce que nous n'échouons pas, et vous pourrez apprendre comment gagner et casser le réseau sans fil - je peux vous dire que c'est un bon sentiment.
L'objectif de la surveillance de l'espace radiofréquence (RF) est d'apprendre l'utilisation des bandes de fréquences dans l'environnement (c'est la couche 1 de la couche OSI). Le plus souvent, la surveillance RF est effectuée pendant le dépannage des problèmes de connectivité sans fil ou pendant les études de site sans fil. Les deux ont le même objectif à l'esprit, qui est de trouver tout appareil émetteur RF potentiel qui peut influencer le fonctionnement du réseau WLAN.
Les fours à micro-ondes, les caméras sans fil ou les téléphones sans fil sont des exemples de dispositifs émettant des RF qui peuvent influencer le fonctionnement du réseau sans fil. Quelques autres exemples réels de technologie RF couramment utilisés par les organismes chargés de l'application de la loi, lorsque la victime est arrêtée à domicile, le plus souvent, elle est placée dans le bracelet de cheville qui est un émetteur RF. De plus, il existe une station de base de surveillance RF qui reçoit des champs électromagnétiques sur une fréquence RF particulière. Cette configuration permet à l'agence de vérifier si la victime est dans la maison ou si elle l'a quittée (au cas où les signaux RF électromagnétiques ne seraient plus détectés).
Expert du spectre Cisco
L'un des outils que vous pouvez utiliser pour la surveillance RF est Cisco Spectrum Expert combiné avec Cisco AP. Certaines séries de points d'accès Cisco ont une fonction spéciale appelée «air pur» qui permet au point d'accès d'être utilisé comme moniteur RF.
En connectant ce Cisco Spectrum Expert à l'AP, on peut avoir des graphiques d'utilisation des fréquences comme indiqué dans la capture d'écran suivante.
Cette capture d'écran illustre clairement une utilisation de fréquence typique par les clients utilisant la norme sans fil 802.11b sur le canal 6.
D'autre part, la capture d'écran suivante illustre un autre exemple de balayage de fréquence de couche 1, cette fois, détectant l'utilisation d'un périphérique Bluetooth.
Le fonctionnement Bluetooth est basé sur Frequency Hopping Spread Spectrum(FHSS), et ce que cela implique, c'est que les appareils Bluetooth passeront d'une fréquence à une autre (environ 1600 sauts par seconde) et affecteront l'ensemble du spectre 2,4 GHz (comme vous pouvez le voir ci-dessus, tous les canaux de 1 à 11 sont affectée négativement). Une inspection RF appropriée effectuée pendant l'étude du site sans fil devrait détecter cette activité et un ingénieur sans fil devrait signaler le problème potentiel de propagation du signal sans fil 802.11.
Analyseur de spectre AirSleuth
Un autre outil que vous pouvez consulter est AirSleuth Spectrum Analyzer. Vous pouvez trouver les informations et le prix de ce logiciel sur le site Web suivant -http://nutsaboutnets.com/airsleuth-spectrum-analyzer/.
L'outil lui-même est une combinaison de l'outil de découverte de réseau 802.11 et de l'analyse du spectre 2,4 GHz (les points d'accès Cisco Clear-Air prennent en charge les deux bandes 2,4 GHz et 5 GHz). Le résultat est très similaire à celui que vous pouvez obtenir en utilisant Cisco Spectrum Expert. Vous avez la bande 2,4 GHz étendue sur l'axe X et la force du signal présentée directement sur le graphique.
L'analyse de fréquence de la capture d'écran suivante est un exemple du signal électromagnétique transmis par un four à micro-ondes. Il a un signal plutôt stable (comparé à celui "sautant" que vous avez vu avec le Bluetooth ci-dessus) visible sur toutes les fréquences 2,4 GHz réservées aux réseaux Wi-Fi 802.11. Encore une fois un parfait exemple d'interférence, qui dégraderait le fonctionnement du réseau sans fil 802.11 fonctionnant sur la bande 2,4 GHz.
Bluetooth est la technologie de communication sans fil (décrite sous la norme IEEE 802.15.1), qui fonctionne sur des distances limitées (généralement autour de 10 m, mais peut aller jusqu'à 30 m selon la norme). Il fonctionne sur la même plage de fréquences que les déploiements WLAN 2,4 GHz (de 2,4 GHz à 2,485 GHz), donc l'utilisation de la communication Bluetooth interférerait avec les réseaux WLAN, si les deux sont utilisés dans la même zone.
Pour communiquer avec un autre appareil utilisant la technologie Bluetooth, vous avez besoin d'une carte Bluetooth spéciale. Une carte Wi-Fi standard que vous utilisez sur votre ordinateur portable ou votre smartphone est destinée à la technologie 802.11 et n'est pas compatible avec Bluetooth basé sur la norme 802.15. Des exemples de très bons dongles Bluetooth que vous pouvez trouver sur le marché sont -
LM540- (http://lm-technologies.com/product/bluetooth-usb-adapter-class-1-long-range-lm540/)
CSR4.0- (http://www.seeedstudio.com/depot/Bluetooth-CSR40-USB-Dongle-p-1320.html)
Les deux sont compatibles avec le système Kali Linux. J'utilise personnellement le modèle CSR4.0 dans ce chapitre.
Les appareils Bluetooth peuvent fonctionner dans l'un des trois modèles de sécurité disponibles -
Security Mode 1 - Unprotected- Dans ce mode, aucun cryptage ou authentification n'est utilisé. L'appareil Bluetooth lui-même fonctionne en mode non discriminant (diffusion).
Security Mode 2 - Application/Service Based - Dans ce mode, une fois la connexion établie, un Security Manager effectue une authentification, limitant ainsi l'accès à l'appareil.
Security Mode 3 - Link-Layer PIN Authentication/MAC Address Encryption- L'authentification est effectuée avant qu'une connexion ne soit établie. Même si le cryptage est utilisé, l'appareil peut toujours être compromis.
Lorsque nous utilisons la communication Wi-Fi (qui est basée sur un protocole 802.11), toutes les couches de son modèle OSI sont impliquées dans la communication. Vous avez toujours la couche 1 qui serait une couche physique sans fil (modulation et codage). Ensuite, sur la couche 2, vous auriez un en-tête 802.11. Ensuite, sur la couche 3 - toutes les informations IP, et ainsi de suite.
Avec la pile de protocoles Bluetooth, c'est différent car les appareils n'ont pas à utiliser tous les protocoles de la pile (toutes les couches du modèle de communication). C'est parce que le Bluetooth a été développé pour être utilisé par une variété d'applications de communication, et c'est l'application, qui désigne quelle partie de la pile Bluetooth est utilisée par la communication.
Les couches de protocole Bluetooth, ainsi que leurs protocoles associés sont les suivantes -
Bluetooth Core Protocol Baseband - LMP, L2CAP, SDP
Cable Replacement Protocol - RFCOMM
Telephony Control Protocol - TCS Binaire, commandes AT.
Adopted Protocols - PPP, UDP / TCP / IP, WAP.
Un élément supplémentaire que vous pouvez voir sur la pile est le Host Controller Interface(HCI). Ce HCI fournit une interface de commande au contrôleur de bande de base, au gestionnaire de liens, à l'état du matériel, aux registres. De ce fait, tous les noms des outils Linux utilisés pour la communication Bluetooth commencent par "hci"; exemple - "hciconfig", "hcidump", "hcitool". Vous verrez tous ces outils en action dans les sections suivantes.
Chaque technologie que vous pouvez rencontrer aujourd'hui a son ensemble unique de menaces et de vulnérabilités, et Bluetooth n'est pas différent. Les menaces et les vulnérabilités de la technologie Bluetooth peuvent résulter des origines suivantes -
Mauvais codage lors du développement de l'implémentation de la pile RFCOMM
Les échecs de l'implémentation de la pile sécurisée peuvent entraîner des débordements de tampon.
Certains fabricants peuvent ne pas publier de correctifs pour la version originale de leurs codes qu'ils déploient sur les terminaux.
Réutilisation d'anciens services pour différents protocoles
Certains services hautement privilégiés restent ouverts.
Autorisations IrMC
IrMC définit un ensemble d'autorisations d'accès pour les objets Bluetooth courants.
Les autorisations ne sont parfois pas suivies ou simplement ouvertes, conduisant à l'exploitation des services IrMC ouverts.
Toutes les vulnérabilités mentionnées ne disent pas directement - quelles sont réellement les menaces liées à l'utilisation des appareils Bluetooth (sachant que ces vulnérabilités existent). Pour n'en citer que quelques-uns, l'attaquant pourrait être en mesure de -
Volez les informations.
Exécutez une attaque DoS sur l'appareil final à l'aide de Bluetooth.
Exécutez du code à distance.
Injectez des virus ou des vers.
Injectez des connexions spécialement conçues pour passer via un périphérique Bluetooth (fonctionnant comme proxy).
Sur Internet, il existe déjà des dizaines de centaines d'outils qui faciliteront le piratage Bluetooth. Certes, il n'est pas possible de les connaître et de les connaître tous, et à mon avis - la connaissance fondamentale qui est nécessaire est de connaître les outils utilisés pour une phase de reconnaissance.
Lorsque vous passez par cette étape, vous devez décider quel est le but de l'approche de piratage pour injecter certains fichiers? Ou pour voler des données? Ou pour exécuter des logiciels malveillants? En fonction de votre direction, vous devez utiliser un ensemble d'outils différent.
Par conséquent, nous concentrer sur la reconnaissance (phase de découverte) et les outils internes de piratage Bluetooth de kali serait notre objectif pour ce chapitre.
hciconfig
Cet hciconfig est le principal utilitaire de ligne de commande Linux utilisé pour interagir avec un périphérique Bluetooth (clé Bluetooth). Si vous connaissez Linux, vous pouvez déjà voir la référence à d'autres outils commeifconfig ou iwconfig.
Les informations que vous obtenez lues à partir de la sortie hciconfig sont -
Le nom de l'interface - "hci0".
Comment il est connecté à un PC (via USB ou intégré) ici, c'est le dongle USB.
Adresse MAC du dongle Bluetooth - 10: AE: 60: 58: F1: 37.
Il est en cours d'exécution (indicateur UP) et vous pouvez voir les paquets reçus (RX) et transmis (TX).
hcitool
Ce hcitool est un outil CLI très puissant implémenté dans kali Linux qui permet à un utilisateur de s'interfacer avec la pile Bluetooth. C'est également un excellent outil que vous pouvez utiliser dans vos propres scripts.
Les options les plus courantes de ce hcitool sont scan et inq.
Un scan hcitool vous permettra de trouver les périphériques Bluetooth qui envoient leurs balises de découverte (quelque chose comme les trames de balise 802.11 envoyées par AP).
Comme vous pouvez le voir dans le quartier, deux appareils compatibles Bluetooth envoyaient des trames de balise pour informer de leur volonté d'accepter les connexions Bluetooth. Vous pouvez essayer de trouver plus d'informations Bluetooth sur ces deux en utilisant lehcitool inq.
Ce que cette sortie indique, c'est que les périphériques suivants appartiennent à la classe 0x5a020c (vous pouvez trouver la description et la cartographie des classes ici - (https://www.bluetooth.com/specifications/assigned-numbers/service-discovery)
sdptool
Kali Linux dispose également d'un outil intégré pour effectuer Service Discovery(SDP). Il vous permet d'énumérer tous les services exécutés sur l'appareil Bluetooth.
l2ping
Nous connaissons tous l'utilitaire de ping du monde IP qui est utilisé pour vérifier la connectivité entre les nœuds IP à l'aide du ICMP protocol. Le monde Bluetooth a son propre équivalent appelé l2ping. Cet outil de découverte permet à l'utilisateur de vérifier si un appareil particulier se trouve à portée et est accessible pour la communication Bluetooth.
Ce sont les outils de base qui vous permettront de jouer avec la technologie Bluetooth et de faire une très bonne reconnaissance de son fonctionnement. L'outil mentionné précédemmenthcitool, c'est celui avec qui vous devriez passer du temps, si vous voulez vraiment vous développer dans ce domaine des tests de pénétration Bluetooth.
Pour commencer, définissons ce que signifie Bluejacking. Il s'agit d'un processus d'envoi de la soi-disant carte «e-business» à un autre appareil via Bluetooth. Les types de cartes de visite électroniques tels que nous les connaissons sont ceux avec des informations de contact (nom, e-mail, numéro de téléphone) que vous envoyez à d'autres utilisateurs. Bluejacking fonctionne de la même manière, mais il n'envoie pas d'informations de contact; à la place de cela, il envoie du contenu malveillant. Un exemple de Bluejacking est illustré dans l'image suivante.
Cette définition du Bluejacking est celle que vous pouvez voir dans la plupart des ressources Internet, et cela est considéré comme un gâteau sur le gâteau. Les principes de base du piratage Bluetooth sont qu'il vous donnera une pléthore de choix. La première consiste à coupler d'abord avec l'autre appareil. Dès que cette étape est effectuée, vous pouvez découvrir sur Internet des outils qui rendent certaines fonctions malveillantes spécifiques. Ceux-ci pourraient être -
Mentionné ci-dessus comme l'envoi de cartes de visite électroniques avec des pièces jointes malveillantes.
Extraire des données confidentielles de l'appareil de la victime.
Prendre en charge l'appareil de la victime et passer des appels, envoyer des messages, etc., bien sûr à l'insu de l'utilisateur.
Nous allons maintenant vous expliquer comment aller au but, lorsque vous êtes couplé avec l'appareil de la victime. Quoi que vous souhaitiez faire ensuite, cela ne dépend que des outils et des approches que vous trouverez sur Internet, mais cela pourrait être presque tout.
La première étape consiste à activer le service Bluetooth localement sur le PC.
Ensuite, nous devons activer l'interface Bluetooth et voir sa configuration (de la même manière que les interfaces Ethernet physiques et les interfaces sans fil, celle Bluetooth a également une adresse MAC appelée adresse BD).
Lorsque nous savons que l'interface est active et en cours d'exécution, nous devons scanner un réseau Bluetooth pour les périphériques visibles dans l'environnement proche (c'est l'équivalent de l'airodump-ng du monde sans fil 802.11). Cela se fait à l'aide de l'outil appelébtscanner.
Ce que vous pouvez lire sur la capture d'écran ci-dessus, c'est que -
L'adresse MAC de notre appareil Bluetooth local est A0: 02: DC: 11: 4F: 85.
L'adresse MAC du périphérique Bluetooth cible est 10: AE: 60: 58: F1: 37.
Le nom du périphérique Bluetooth cible est "Tyler".
L'idée principale ici est que l'appareil de Tyler est authentifié et associé à un autre appareil Bluetooth. Pour que l'attaquant se fasse passer pour un "Tyler" et s'associe directement avec un autre nœud, nous devons usurper notre adresse MAC et définir notre nom Bluetooth sur "Tyler".
Juste pour vous faire savoir, vous avez également un BTScannerversion pour Windows OS. Vous trouverez ci-dessous un exemple de capture d'écran de la version Windows de l'outil.
Pour emprunter l'identité des informations Bluetooth, il existe un outil appelé spooftooth, que nous devons utiliser ici (équivalent de macchanger, que nous devons utiliser pour contourner l'authentification MAC dans un scénario WEP avec filtrage MAC). Ce que nous avons fait ci-dessous, c'est que nous avons changé l'adresse MAC de notre dongle Bluetooth (appareil hci0) à celle que nous avons trouvée en utilisant btscanner. Nous avons également changé le nom de l'appareil Bluetooth en «LAB». C'est celui que j'utilise localement dans ma configuration de couplage Bluetooth entre deux smartphones.
Succès! À l'heure actuelle, nous avons cloné la configuration Bluetooth de l'un des clients impliqués dans la communication Bluetooth de smartphone à smartphone. Cela nous permet de communiquer directement avec l'autre appareil à partir d'une paire Bluetooth. Bien sûr, nous devons nous assurer que l'appareil légitime, dont nous avons usurpé les informations d'identification, disparaît du réseau. Cela peut prendre du temps dans la vraie vie et nous devrions attendre qu'un utilisateur quitte la portée de Bluetooth ou désactive le service Bluetooth sur son appareil.
Une mise en œuvre correcte des contrôles de sécurité dans les réseaux sans fil est aujourd'hui essentielle, car elle affecte directement la rentabilité de certaines entreprises et la confidentialité des informations. Les outils de sécurité sans fil doivent être utilisés pour tester (auditer) régulièrement les implémentations sans fil. Un bon audit de sécurité sans fil n'est pas seulement un test pratique, mais aussi une documentation appropriée, y compris des recommandations sur la façon de rendre le WLAN plus sécurisé.
Il y a un tas d'audits possibles, on peut essayer d'effectuer -
- Audit de couche 1
- Audit de couche 2
- Audit de sécurité WLAN
- Audit d'infrastructure filaire
- Audit d'ingénierie sociale
- Audit du système de prévention des intrusions sans fil (WIPS)
Outil d'audit de sécurité Wi-Fi
Dans la partie précédente, nous avons répertorié un ensemble d'audits qui peuvent être réalisés, afin d'évaluer la sécurité de l'implémentation sans fil. Nous allons essayer de passer en revue les points un par un et voir - premièrement, pourquoi un audit particulier est pertinent et deuxièmement, comment on peut le réaliser.
Audit des couches 1 et 2
Le but d'un audit de couche 1 est de déterminer la couverture RF (partie de l'étude de site basée sur les performances) et de découvrir les sources potentielles d'interférences RF (partie de l'audit de sécurité pour l'identification des sources de DoS de couche 1). Lors d'un audit de sécurité sans fil, on effectue une analyse de spectre pour détecter tout émetteur continu ou mettre intentionnellement des brouilleurs RF (ce qui provoque un DoS de couche 1).
En ce qui concerne un audit sans fil de couche 2, l'objectif est de détecter tout périphérique non autorisé ou périphérique 802.11 non autorisé. La réalisation d'un audit de couche 2 est critique dans les environnements qui n'ont pas de surveillance IPS sans fil (WIPS) déployée (sinon WIPS fera ce travail automatiquement, puisque c'est son travail).
Une liste de points sur lesquels l'auditeur doit se concentrer lors de l'analyse du site de couche 2 est la suivante: adresses MAC, SSID, types de périphériques utilisés, types de trafic, canaux utilisés, configurations par défaut possibles, attaques de couche 2 possibles. , clients ad hoc, etc.
Lors de l'audit de couche 1 ou 2, l'auditeur peut utiliser les outils suivants:
Renifleurs / analyseurs de protocole (ex. Wireshark)
Injecteurs de signaux 2,4 / 5 GHz.
Outils offensifs (mdk3, Void11, Bugtraq, IKEcrack, FakeAP, etc.)
À titre d'exemple, je vais vous montrer un outil de couteau suisse appelé mdk3. C'est un outil de preuve de concept qui permet d'exploiter le réseau sans fil. Pour ne citer que quelques options, cela vous permet de faire -
Inonder de faux outils de balise (comme moyen d'imiter un faux AP).
DoS des trames d'authentification (peut conduire au gel ou au redémarrage de l'AP s'il est vulnérable).
Flot de trames de dissociation / désauthentification (pour expulser les utilisateurs valides du réseau).
Test de sécurité sans fil 802.1X.
Abuser des systèmes de prévention / détection d'intrusion sans fil (WIPS / WIDS) et de nombreux autres éléments nuisibles.
La création du DoS de couche 2 des trames de désauthentification à l'aide de votre kali Linux (outil mdk3) est extrêmement simple et peut être réalisée avec une seule commande, comme indiqué dans la capture d'écran suivante.
Bien sûr, il existe toujours de nombreuses façons d'obtenir le même résultat. Vous pouvez obtenir le même effet en utilisantaireplay-ngoutil. L'adresse MAC après "-a" est la valeur BSSID de l'AP qui diffuse un réseau WLAN particulier.
Audit de sécurité WLAN
Le but de l'audit de sécurité WLAN est d'étudier si et comment un WLAN particulier peut être compromis. Les types de faiblesses que l'attaquant potentiel rechercherait (et les faiblesses sur lesquelles l'auditeur de sécurité sans fil devrait se concentrer) sont principalement liés à l'authentification, au cryptage, aux types de WLAN déployés, aux clés faibles utilisées et similaires.
Les outils qui correspondent bien à cette utilisation sont:
Renifleurs / analyseurs de protocole (ex. Wireshark).
Outils de découverte sans fil (ex. NetStumbler, Kismet, Win Sniffer, WiFiFoFum, etc.).
Outils de rupture de cryptage / authentification (test) (aircrack-ng, scripts personnalisés, toutes sortes d'outils de crypto-analyse).
Comme vous pouvez le voir, l'audit de sécurité de base du WLAN n'est pas quelque chose pour lequel vous avez besoin d'un logiciel spécialisé. L'utilisation de l'application sur votre smartphone peut faire le travail!
Audit d'infrastructure filaire
En ce qui concerne la communication réseau sans fil, sa partie câblée doit également être sécurisée pour que l'ensemble du système soit considéré comme sûr. L'audit de l'infrastructure filaire doit couvrir les pointeurs suivants -
- Inspection du pare-feu utilisé pour restreindre l'accès des utilisateurs WLAN à certaines ressources réseau.
- Les interfaces Switchport inutilisées doivent être désactivées.
- Un mot de passe fort doit être utilisé et des protocoles avec cryptage intégré doivent être utilisés (HTTPS, SSH), si possible.
Audit d'ingénierie sociale
L'ingénierie sociale est le type d '«attaque» qui utilise des approches non techniques pour obtenir les informations. Au lieu d'essayer de déchiffrer le mot de passe sans fil, il est peut-être plus facile de le demander? Peut-être qu'il serait plus facile d'obtenir le code PIN WPS, qui vous permettrait de vous connecter à un WLAN protégé?
Ces scénarios semblent incroyables, mais je peux vous assurer qu'ils se produisent aussi dans la vraie vie. Afin de se protéger contre cela, le plus important est de savoir quelles données doivent rester privées et quelles données doivent être partagées. Dans les environnements domestiques où vous êtes "l'administrateur" du réseau, vous seul pouvez décider de ce qui doit rester privé. D'un autre côté, dans les environnements d'entreprise, ce serait un rôle des services de sécurité de lancer des campagnes de sensibilisation à la sécurité pour informer le personnel, de ce qui serait une bonne utilisation du réseau sans fil et de ce qui serait une mauvaise utilisation.
Systèmes de prévention des intrusions sans fil
Sur le réseau filaire, le système de prévention des intrusions (IPS) est utilisé pour effectuer une inspection approfondie des paquets des paquets traversants, afin de rechercher des anomalies, des chevaux de Troie ou d'autres morceaux de code malveillants.
Dans le monde du sans fil, c'est similaire, mais se concentre sur la réaction aux périphériques sans fil non fiables, plutôt que sur les événements de sécurité. Le système de prévention des intrusions sans fil (WIPS) se concentre sur la détection et la prévention de l'utilisation de périphériques sans fil non autorisés. L'idée générale derrière WIPS, est d'avoir certains points d'accès dans votre infrastructure dédiés configurés en mode WIPS (ne diffusez aucun réseau WLAN ou autorisez l'utilisateur à s'associer). Ces AP sont préconfigurés pour un canal de fréquence particulier et ils écoutent simplement le spectre de fréquences tout le temps, à la recherche d'anomalies.
Une autre approche consiste à disposer d'un ensemble de capteurs passifs dédiés (au lieu de points d'accès) pour effectuer ce travail. Les différents types d'anomalies que vous pouvez vous attendre à voir sont: inondation de trames de désauthentification, ou inondation de trames de dissociation, détection de WLAN diffusés par des points d'accès avec un BSSID inconnu, etc. Si vous pensez à l'inspection approfondie des paquets ou à la détection de codes malveillants, ils doivent encore être détectés sur le réseau filaire, à l'aide de périphériques IPS / IDS dédiés.
En tant qu'attaquant, vous n'avez aucun moyen d'exécuter une solution WIPS car il s'agit d'une mesure technique défensive. En raison de son prix et de ses frais généraux de gestion, seules les grandes entreprises peuvent le faire fonctionner (c'est encore assez rare). L'un des déploiements possibles de la solution WIPS peut être basé sur le modèle d'infrastructure sans fil Cisco. La solution Cisco Wireless (dans sa forme la plus simple) est basée sur le contrôleur LAN sans fil (WLC) et un ensemble de points d'accès. La solution WIPS suppose que certains points d'accès sont retirés du service WLAN régulier, et sont réglés en mode IPS et dédiés uniquement à l'inspection du spectre de fréquences.
La page principale du contrôleur LAN sans fil Cisco (WLC) est affichée ci-dessous (les champs confidentiels ont été couverts par le cercle rempli de noir).
Ce WLC particulier gère actuellement 38 AP qui l'ont rejoint. La liste détaillée de tous les AP, ainsi que leurs adresses MAC, adresses IP et le mode AP, peuvent être consultées sous l'onglet «Sans fil».
Tous les AP qui sont actuellement joints, ils sont mis en "mode local". Cela signifie qu'ils sont dédiés à fournir une couverture sans fil régulière et à annoncer tous les WLAN configurés. Afin de transformer un AP particulier en "mode IPS" tel que nous le connaissons, nous devons cliquer sur l'un des AP et changer son "mode AP" en "mode moniteur" spécial.
Une fois que l'AP est réglé en mode «Moniteur» et que la modification est appliquée, l'AP redémarrera. À partir de là, son seul travail est d'écouter sur le spectre de fréquences et de détecter les attaques côté sans fil. Par défaut, WLC a prédéfini un ensemble de signatures que AP recherchera. Ils sont répertoriés dans la capture d'écran suivante -
Comme vous pouvez le voir, l'élément numéro 9 est "Deauth flood", avec Frame Type - Management et Action correspondante - Report (cela signifie qu'il informera uniquement de l'attaque à l'aide de messages de journal, mais ne prendra aucune action).
Avec la configuration que nous avons ici, lorsque l'attaquant potentiel utiliserait l'outil mdk3 ou aireplay-ng pour interférer avec le réseau WLAN existant, basé sur l'infrastructure sans fil Cisco - l'attaque sera détectée et les administrateurs réseau seront avertis. Il existe d'autres produits qui peuvent faire passer la sécurité sans fil au niveau supérieur. Avec les services de suivi sans fil, l'outil peut détecter votre emplacement géographique exact dans certains endroits très sécurisés, peut-être qu'un garde viendrait inspecter la source de l'attaque, ou la police pourrait être appelée.
Comme je l'ai mentionné précédemment, vous ne pouvez rencontrer une telle configuration que dans les environnements d'entreprise. Dans les petits déploiements ou les environnements domestiques, vous ne respecteriez pas ces mesures de sécurité.
Dans cette section, nous sautons tous les aspects théoriques des technologies et passons directement à des activités pures et pratiques. Attention, toutes les attaques de cette section sont effectuées sur un environnement sans fil simulé à la maison. Il est illégal d'utiliser les étapes décrites ici, de briser les réseaux sans fil, là-bas, dans la vraie vie.
Test de pénétration sans fil
Le pentesting des systèmes sans fil est une tâche plus facile que de le faire sur le réseau filaire. Vous ne pouvez pas vraiment appliquer de bonnes mesures de sécurité physique contre un support sans fil, si vous êtes assez proche, vous êtes en mesure «d'entendre» (ou du moins votre adaptateur sans fil est capable d'entendre) tout ce qui circule dans l'air. Comme vous l'avez vu jusqu'à présent, de nombreux outils sont prêts et vous attendent.
Le logiciel et le matériel supplémentaires dont vous avez besoin pour effectuer Wireless Network Pentestingserait comme ci-dessous. C'est l'ensemble que j'utilise personnellement et cela fonctionne très bien.
Kali Linux (ancien retour en arrière)
Vous pouvez soit installer Kali comme seul système d'exploitation sur votre PC, soit exécuter le fichier .iso. La deuxième option est celle que j'utilise qui est laOracle VM VirtualBox (freeware), vous ouvrez le .iso de Kali Linux.
Carte sans fil
Si vous exécutez un Kali Linux en tant que machine virtuelle dans VM VirtualBox, vous pouvez utiliser la carte sans fil de votre PC directement dans VM. Pour cette utilisation, vous auriez besoin d'un adaptateur sans fil externe (la description des bonnes cartes sans fil a été réalisée dans les premiers chapitres de ce tutoriel). Personnellement, j'utiliseALFA AWUS036NH, et je peux certainement sentir sa "puissance". Il a une puissance de sortie élevée (1 W) et une antenne intégrée de 5 dBi. Vous pouvez essayer de l'utiliser pour votre connectivité Wi-Fi car il est beaucoup plus rapide que certains "Intel", avec lesquels la plupart des ordinateurs portables sont livrés.
Ayant tout cela, vous êtes prêt à partir.
Cadre de test de pénétration sans fil
Le test de pénétration des réseaux sans fil est toujours divisé en 2 phases - Passive Phase and Active Phase. Chaque attaque possible (sans fil l'une ou l'autre) que vous pouvez imaginer, commence toujours par une sorte de phase passive.
Pendant la phase passive, le testeur de pénétration (ou un attaquant) collecte les informations sur sa cible. Différents types de parties passives de l'attaque peuvent être -
Faire une reconnaissance de l'environnement.
Lecture sur les mesures de sécurité cibles sur Internet, à partir des actualités.
Parler aux utilisateurs légitimes des contrôles de sécurité.
Reniflement du trafic.
Certains des tests peuvent déjà s'arrêter à ce stade. Il est possible que l'attaquant ait obtenu toutes les données dont il a besoin directement auprès des utilisateurs légitimes non informés ou que le trafic qui a été reniflé soit suffisant pour effectuer des attaques hors ligne (force brute hors ligne, dictionnaire hors ligne ou informations pertinentes comme le mot de passe ont été transférées en clair -text dans les paquets reniflés).
Par contre, si cela ne suffisait pas, il y a une deuxième phase, celle active. C'est là que les attaquants interagissent directement avec la victime. Ceux-ci peuvent être -
Envoi d'e-mails de phishing demandant directement les informations d'identification de l'utilisateur.
Injection de trames sans fil afin de stimuler une action spécifique (exemple - trames de désauthentification).
Création de faux AP, que les utilisateurs légitimes utiliseront pour se connecter au réseau sans fil.
Toutes les attaques décrites dans ce chapitre appartiennent à des attaques passives ou à une combinaison d'attaques passives et actives. Au fur et à mesure que le lecteur les parcourra, il sera très facile de repérer la fin de la phase passive et le début de l'actif.
Lorsque vous utilisez un WLAN non chiffré (Open Authentication), votre réseau sans fil n'est en aucun cas protégé. Tout le monde, qui se trouve à proximité du point d'accès et peut entendre un signal, peut rejoindre et utiliser le réseau. L'ensemble du processus d'authentification est très simplifié et consiste en des échanges d'authentification / d'association comme indiqué ci-dessous -
Dans la configuration du laboratoire, j'ai préparé un WLAN avec SSID de "LAB-test" avec authentification ouverte. En tant qu'attaquant, vous devez d'abord effectuer une analyse passive pour détecter un tel réseau, alors faisons-le! Dans la première étape, j'activerai ma carte sans fil et créerai une interface de surveillance WLAN, en utilisant l'utilitaire airmon-ng.
L'étape suivante consiste à vérifier les WLAN qui sont entendus par la carte sans fil en utilisant "airmon-ng mon0".
Ma carte sans fil a pu voir le SSID "LAB-test" sur le canal 1, diffusé par AP avec l'adresse MAC (BSSID) de 00:18: 0A: 6D: 01: 30. Sous la colonne de cryptage, vous pouvez voir la lettre "OPN" - cela signifie qu'il y a une authentification ouverte (en fait, cela signifie aucune authentification).
Sur le PC Windows, le WLAN qui a une authentification ouverte est marqué d'un point d'exclamation comme un avertissement d'environnement WLAN non sécurisé, comme indiqué ci-dessous (comparé à l'absence de signe supplémentaire à côté des WLAN protégés) -
Nous pouvons essayer de simuler si le client sans fil pourrait se connecter à ce SSID. Nous pouvons le faire en utilisantaireplay-ng utilitaire.
Comme vous pouvez le voir, le processus d'authentification et d'association s'est déroulé sans heurts et tout client sans fil peut rejoindre le réseau.
Le seul mécanisme que vous pouvez utiliser pour améliorer la sécurité de cet environnement non sécurisé consiste à implémenter le filtrage MAC. Cette fonctionnalité a déjà été décrite plus tôt, je vais donc passer directement à la pratique.
Sur l'AP lui-même, j'implémenterai un filtre MAC, permettant uniquement à un client avec une adresse MAC de 98: 0d: 2E: 3C: C3: 74 de pouvoir rejoindre le réseau sans fil (c'est mon smartphone).
Ensuite, lorsque je répète le processus d'authentification en utilisant aireplay-ng, et cette fois, il échoue.
Après avoir changé l'adresse MAC du mon0 interface à celle de mon smartphone - j'ai de nouveau réussi l'authentification.
Il est très peu probable que vous rencontriez un WLAN d'authentification ouvert de nos jours. Mais il est également très utile de connaître tous ces types de déploiement plus anciens.
Comme décrit précédemment, le WEP a été le premier modèle «sécurisé» sans fil, auquel s'ajoutaient l'authentification et le cryptage. Il est basé sur l'algorithme RC4 et 24 bits de vecteur d'initialisation (IV) - c'est le plus gros inconvénient de l'implémentation qui conduit à ce que WEP soit crackable en quelques minutes, comme je le montrerai dans les pages suivantes.
J'utiliserai à nouveau le WLAN "LAB-test", ce type sécurisé avec WEP à l'aide de la clé suivante: "F8Be4A2c39". C'est une combinaison de chiffres et de lettres, et il est de 10 caractères - du point de vue de la force du mot de passe - la clé est relativement forte.
De la même manière que dans le dernier exemple, nous commencerons par airodump-ng, pour collecter passivement des informations sur le WLAN.
Comme vous pouvez le voir, il y a "LAB-test", diffusé sur le canal 1 par l'AP avec le BSSID de 00:18: 0A: 6D: 01: 30. Le modèle de chiffrement est WEP, avec le chiffrement WEP (basé sur un algorithme RC4 faible). Dans la partie inférieure, vous pouvez voir des informations sur STATION - en fait, il s'agit de la liste des clients sans fil connectés à des WLAN particuliers. Sur BSSID 00: 18: 0A: 6D: 01:30 (c'est notre test LAB), nous avons 98: 0D: 2E: 3C: C3: 74 (Et devinez ce que c'est? Oui, c'est mon smartphone).
La prochaine étape que nous devons effectuer est de collecter les paquets de données échangés par voie hertzienne par ce client. Comme vous vous en souvenez, les paquets de données contiennent le vecteur IV inclus. Si nous collections suffisamment de paquets de données avec des IV, nous arriverons enfin au point où nous avons un ensemble de vecteurs IV faibles - cela nous permettra de dériver le mot de passe WEP. Alors allons-y! Premièrement, nous utiliserons déjà l'utilitaire airodump-ng pour renifler la communication sans fil pour un BSSID particulier (BSSID du LAB-test).
Comme vous pouvez le constater, à mesure que le trafic circule, le nombre de paquets de données collectés augmente. À ce stade, nous avons 61 paquets de données, et il est sage d'en avoir au moins environ 25000!
Après quelques minutes, le compteur atteint au moins 25000, nous pouvons essayer de dériver une clé à l'aide de l'outil aircrack-ng .
Comme vous pouvez le voir, rien qu'en écoutant passivement le réseau (et en collectant suffisamment de paquets de données), nous avons pu déchiffrer le cryptage WEP et obtenir la clé. Vous disposez désormais d'un moyen gratuit d'accéder au réseau sans fil et d'utiliser Internet.
WPA / WPA2 est la prochaine évolution du réseau sans fil sécurisé qui est apparue après que WEP se soit avéré non sécurisé. Les algorithmes utilisés par ces protocoles sont beaucoup plus sécurisés (WPA: TKIP et WPA2: CCMP / AES), ce qui rend impossible la fissuration du réseau, en utilisant la même approche que nous l'avons fait avec WEP.
La rupture de WPA / WPA2 est basée sur la même idée: renifler la poignée de main initiale à 4 voies et appliquer une attaque par force brute afin de casser le mot de passe crypté.
Pour illustrer cet exemple, je vais de nouveau utiliser le WLAN "LAB-test", cette fois sécurisé avec WPA2 à l'aide de la clé suivante - "F8BE4A2C". Comme vous vous en souvenez dans les chapitres précédents, le succès et le temps requis pour le forçage brutal du mot de passe dépendent de la complexité du mot de passe. Le mot de passe que j'ai utilisé ici est potentiellement suffisamment faible pour être crackable dans un délai relativement raisonnable. Dans les environnements réels, vous ne devriez voir que le mot de passe, qui comporte plus de 10 caractères et tous les types de signes alphanumériques inclus - de cette façon, il faudrait des années pour le forcer brutalement.
De la même manière que dans le dernier exemple, nous commencerons par airodump-ng, pour collecter passivement des informations sur le WLAN.
Comme vous pouvez le constater, il a en effet un SSID "LAB-test" sécurisé avec WPA2 avec cryptage CCMP. Le client connecté à LAB-test est actuellement mon autre PC avec l'adresse MAC 84: A6: C8: 9B: 84:76.
La première étape consiste à activer le reniflement du trafic sur (nous ne nous soucions pas beaucoup des paquets de données cette fois) le test LAB consiste à collecter la liaison initiale à 4 voies entre AP et Wireless Client (mon PC).
Comme vous pouvez le voir ci-dessous, chaque fois qu'un nouvel utilisateur rejoint le réseau, airodump renifle la poignée de main à 4 voies.
Comme nous avons rassemblé ces poignées de main dans un fichier, nous sommes prêts à déchiffrer le mot de passe. Le seul élément manquant est un fichier de dictionnaire avec des mots de passe possibles. Il existe un tas d'outils que vous pouvez utiliser comme John, Crunch ou vous pouvez même télécharger le fichier de dictionnaire sur Internet. Dans cet exemple, je vais montrer le crunch, mais n'hésitez pas à expérimenter toutes les solutions que vous pouvez trouver. N'oubliez pas que le ciel est la limite.
Comme vous pouvez le voir, crunchpeut créer un dictionnaire pour vous. Supposons que nous voulons avoir tous les mots de passe avec des chiffres et des lettres jusqu'à 8 caractères. Et supposons que le nombre puisse être de 0 à 9 et les lettres de A à F. Pourquoi faisons-nous cette limitation (hypothèse sur le mot de passe)? - c'est parce que, si vous voulez avoir un fichier avec toutes les combinaisons de mot de passe composé du nombre 0-9, des lettres az et AZ, il vous faut un espace de 18566719 Go (!!!).
Nous créons donc d'abord toutes les combinaisons et les mettons dans un fichier dictionnaire.
Ensuite, nous référençons ce fichier de dictionnaire en utilisant le aircrack utilitaire pour essayer de dériver la bonne clé, comme suit -
Aircrack-ng a trouvé 8 BSSID dans le fichier, il vous demande donc - quel est le WLAN que vous voulez craquer - j'ai référencé le numéro 2 - réseau "LAB-test".
La vérification de chacun des mots de passe, un par un, est un processus très long. Le temps pour trouver un bon mot de passe dépend de la distance dans laquelle le mot de passe est placé dans un fichier de dictionnaire (si vous avez de la chance, vous pouvez trouver le mot de passe dans votre première estimation, si le mot de passe est mis en 1ère ligne du fichier de dictionnaire). Dans cet exemple, comme vous pouvez le voir, j'ai trouvé le mot de passe, mais cela a pris 8 heures et 47 minutes (!!!). L'utilisation d'un mot de passe de 10 caractères au lieu de 8 augmenterait probablement le temps en jours ou peut-être en semaine.
Vous devez garder à l'esprit que plus le dictionnaire est long, plus il faudra de temps pour casser le mot de passe. Et, comme je l'ai souligné quelques fois plus tôt, si le mot de passe est assez complexe et long, il n'est pas du tout faisable de faire du cracking (dans le temps limité, disons moins de 10 ans).
Le protocole LEAP (Lightweight Extensible Authentication Protocol) est un protocole d'authentification hérité basé sur Cisco qui utilise un serveur RADIUS externe pour authentifier les utilisateurs. Il effectue une authentification pseudo-mutuelle du client sans fil et du serveur d'authentification, avec l'utilisation de fonctions de hachage - MS-CHAP et MS-CHAPv2.
La vulnérabilité de LEAP réside dans le fait que -
Le nom d'utilisateur de l'utilisateur est envoyé en texte clair - par conséquent, le pirate n'a besoin que d'obtenir le mot de passe de l'utilisateur, en utilisant, par exemple, l'ingénierie sociale.
Le mot de passe de l'utilisateur est piraté avec MS-CHAPv2 - l'algorithme est vulnérable aux attaques par dictionnaire hors ligne.
De la même manière que dans les cas précédents, commençons par airodump-ng pour savoir quels WLAN sont diffusés dans l'environnement.
Comme vous pouvez le voir, le WLAN "LAB-test" est visible en tant que réseau WPA2. Ce type le mode d'authentification est changé en "MGT" - ce que cela signifie est qu'il n'y a pas de clé pré-partagée statique (PSK), mais les services d'authentification sont déplacés vers un serveur d'authentification externe (ex. RADIUS). À ce stade, vous ne pouvez pas dire si le réseau WLAN particulier est basé sur LEAP, PEAP, EAP-TLS, EAP-TTLS ou quel autre type de technologie EAP.
La prochaine étape consiste à activer Wireshark, afin de voir dans les détails des paquets - il donne au testeur d'intrusion beaucoup d'informations précieuses.
Comme vous pouvez le voir, le serveur d'authentification a d'abord essayé de négocier EAP-TTLS, mais le client a refusé. Dans les 2 messages suivants, ils ont accepté d'utiliser LEAP.
Dans les 2 premiers messages, le serveur d'authentification demande un nom d'utilisateur (Identité) et le client répond - comme vous pouvez le voir, la réponse du client est transmise en texte clair.
À ce stade, nous savons déjà qu'un nom d'utilisateur valide du client sans fil est "LAB_user". Afin de connaître le mot de passe, nous allons jeter un œil àRequest/Response échange.
Au bas de l'en-tête d'authentification 802.1x, vous pouvez observer que le serveur d'authentification a lancé un défi au client sans fil avec un texte de défi «197ad3e4c81227a4». Ensuite, en arrière-plan, le client sans fil a utilisé un algorithme MS-CHAPv2 combiné avec le mot de passe de LAB_user et a obtenu un hachage de valeur - "ef326a4844adb8288712a67e2dc659c4f9597dc4a7addc89", qui a été renvoyé au serveur d'authentification. Comme vous le savez dans les chapitres précédents, heureusement pour nous, MS-CHAPv2 est vulnérable aux attaques de dictionnaire hors ligne. Pour cela, nous utiliserons un outil très courant pour casser le mot de passe LEAP, appeléasleap.
Comme vous pouvez le voir, basé sur la capture de paquets, asleapa pu extraire toutes les informations de l'échange de paquets 802.1X et craquer le hachage MS-CHAPv2. Le mot de passe de l'utilisateur: "LAB_user" est "f8be4a2c".
Encore une fois, il y a de grandes chances que vous ne voyiez jamais l'authentification LEAP dans l'environnement de production - au moins maintenant vous avez une très bonne preuve de pourquoi.