OWISAM-DI-001

From OWISAM
Jump to: navigation, search

Descubrimiento de dispositivos WiFi no autorizados (OWISAM-DI-001)

Descripción

La fase de descubrimiento nos permite identificar todos aquellos dispositivos con capacidades WiFi, creando un inventario que nos permita llevar un registro de todos aquellos que han sido detectados durante la auditoría de seguridad.

Para la detección las stations (STAs, dispositivos con capacidad de comunicarse mediante WiFi) es importante diferenciar entre puntos de acceso y el resto de dispositivos, lo que nos permitirá modelar la arquitectura de la red. Todo dispositivo con capacidades WiFi dispone de una dirección MAC formada por 6 bytes en hexadecimal, que lo identifica a la hora de enviar o recibir mensajes. En base a su comportamiento, se pueden distinguir:

  • Access Point: La dirección MAC del dispositivo se ha encontrado en el campo BSSID de un frame.
  • Undefined Active: El dispositivo envía información a otros y su dirección MAC se encuentra en el campo Source Address de algún frame.
  • Undefined Passive: En el área donde se realiza la monitorización este dispositivo no está emitiendo o no se reciben datos de él. En este escenario, el dispositivo es descubierto de forma pasiva por aparecer su MAC en el campo Destination address de alguna red de comunicaciones. Dentro de este grupo se podrían incluir las direcciones de broadcast y multicast.


Prueba

Para realizar la tarea de descubrimiento es necesario contar con un hardware o unos drivers específicos que permitan la captura de RAW frames en modo monitor, de forma que se puedan ver los mensajes correspondientes al estándar 802.11.

Descubrimiento de puntos de acceso

Es la tarea más sencilla, ya que para llevarla a cabo no es necesario disponer de ningún hardware específico, ya que los APs siempre están emitiendo una serie de frames de tipo Management llamados Beacons en los que publican información básica acerca de las redes que están propagando. Esta información es utilizada por los clientes para detectar la presencia de una red e iniciar la conexión con ella, cuando los parámetros de seguridad de la red coinciden. El nombre de la red Wi-Fi puede ser indicativo de su funcionalidad, cuando por ejemplo incluye el nombre de la empresa o de departamentos, y puede ayudar a un intruso a planificar un ataque más elaborado contra ella. Para recopilar esta información de un primer vistazo se puede usar una herramienta como airodump-ng en Linux, que viene incluida dentro de la suite de aircrack-ng. 

    airodump-ng nombre_interfaz_wifi

En la siguiente imagen se puede ver la lista de puntos de acceso detectados por la herramienta:

Visualización de los puntos de acceso (APs) empleando airodump-ng

Entre los datos de que muestra airodump-ng se encuentran:

  • BSSID: Dirección MAC del dispositivo que identifica a la red
  • PWR: Intensidad de la señal recibida
  • Beacons: Número de frames de tipo Beacon que se han capturado
  • #Data: Número de frames de tipo Data que se han capturado
  • #/s: Frames capturados por segundo
  • CH: Canal en el que está emitiendo el punto de acceso la red
  • ENC: Mecanismo de seguridad empleado por la red
  • CIPHER: Conjunto de algoritmos de cifrado empleados
  • AUTH: Método de autenticación
  • ESSID: Nombre de la red. En caso de que aparezca <length: X>, la red tiene oculto su ESSID y la longitud del mismo es conocida.


Otro programa que nos muestra toda esta información de una forma mucho más visual es Acrylic (www.acrylicwifi.com), un software desarrollado para Windows empleando C# y que incluye su propio driver de NDIS para capturar tráfico 802.11 en modo monitor y de forma nativa. Este programa recopilad y muestra para cada punto de acceso los siguientes datos:

  • El ESSID o nombre de la red.
  • Los dispositivos conectados a cada red.
  • La dirección MAC del dispositivo.
  • El nivel de señal.
  • Canal en el que está emitiendo la red
  • Seguridad soportada.
  • Versión de WPS.
  • Posibles contraseñas en base al nombre de la red.
  • Posibles valores para el PIN WPS.
  • Fabricante del dispositivo.
  • Número de frames Data y Management capturados.
  • Las fechas en las que se vio la red por primera y última vez.
  • El tipo de infraestructura de red.
  • Modo de operación.

En la parte inferior de la interfaz del programa se pueden ver las gráficas que indica la variación de nivel de señal para cada una de las redes. La medición de estos datos en diferentes puntos sobre un plano geográfico podría permitir la geolocalización de los dispositivos empleando algoritmos específicamente diseñados para esta tarea.

Monitorizando el tráfico WiFi en base a los APs con Acrylic


Con un analizador de tráfico de red como Wireshark (www.wireshark.org), es posible ver las diferentes estructuras contenidas en un frame de tipo Beacon, enviado por los APs. Este tipo de mensajes tienen una serie de elementos llamados “Information Elements”, también conocidos como “Tagged Paramenters”, que contienen bastante información acerca del dispositivo y de la red que está emitiendo.

Visualización de los "Information Elements" de un frame de tipo Beacon empleando Wireshark


Descubrimiento de clientes


Todos las STAs que no son APs emiten de forma periódica frames de tipo Probe Request para buscar todas las redes a su alcance. Es posible monitorizar este tipo de peticiones con el fin de identificar los dispositivos con capacidades WiFi que se detectan dentro del perímetro de la organización. Con Acrylic se puede visualizar esta información en la pestaña de Stations, en la que se muestran las direcciones MAC de todos los dispositivos, su comportamiento, la red que publican en el caso de que se trate de un AP, los paquetes capturados de cada tipo y la hora en la que se ha visto la Station por primera y última vez.

Visualización de stations empleando Acrylic



Para el caso de airodump, en la tabla de abajo se visualizan los distintos clientes que se han detectado, la red a la que se encuentran conectados (en el caso de que lo estén), el nivel de señal con el que se recibe, la velocidad de transmisión, el número de frames capturados y aquellas redes a las que se están intentado conectar.

Dispositivos que actúan como clientes mostrados por airodump



Los dispositivos que soportan las funcionalidades de WPS envían datos sobre si mismos en los frames de tipo Management, lo que supone otra importante fuente de información que permite identificarlos y elaborar un inventario con aquellos que sí son conocidos y están autorizados a operar dentro de los límites de la organización. En las siguientes imágenes se muestra la información de WPS de un punto de acceso vista por Wireshark e interpretada por Acrylic.


Visualización del Information Element de WPS en Wireshark
Información mostrada por Acrylic extraída de WPS

Verificación de la vulnerabilidad Toda esta información debe ser analizada y cotejada con los datos facilitados por la organización (en caso de disponerlos) para identificar cualquier dispositivo no autorizado que pueda suponer un riesgo para la seguridad. Se deben poder identificar las stations autorizadas y buscar cualquier dispositivo que funcione a modo de punto de acceso (AP) sin el conocimiento o consentimiento de los responsables de la red.


Recomendaciones

Para evitar la presencia de dispositivos no autorizados que puedan suponer un riesgo para la organización, se debe

  • Las redes de comunicaciones WiFi deben usar nombres que no identifiquen a la organización, evitando usar nombres genéricos de red para evitar ataques de suplantación de identidad de puntos de acceso.
  • Se debe disponer de unas políticas claras y conocidas por todo el personal sobre el uso de dispositivos con capacidades WiFi.
  • Es importante mantener un inventario de todos los dispositivos autorizados, o al menos de los puntos de acceso, para facilitar la detección de Rogue APs.
  • Es deseable disponer de un sistema de detección de intrusos (WIDS, Wireless Intrusion Detection System), que detecte y notifique la aparición de nuevos dispositivos o comportamientos anómalos.


Referencias

Retrieved from "https://www.owisam.org/index.php?title=OWISAM-DI-001&oldid=794"