Rogue AP

MOUNIR BEN ZAIED (RT4)

EMNA BEL HADJ YEHYA (RT3)

MEHDI BEN HEMDENE (MPI)

ASMA BORGI (RT4)

Rogue AP |SECURILIGHT 2013

1

Table des matières

I. Présentation de l’atelier .................................................................................. 2

1. Définition .................................................................................................... 2

2. Achitecture générale du réseau ............................................................... 2

3. Les différents types de Rogue AP ............................................................... 3

II. Les outils utilisés .............................................................................................. 4

1. Backtarck5 ................................................................................................... 4

2. Sergio-Proxy. ............................................................................................... 5

3. Airbase-ng. .................................................................................................. 5

4. SSLsrtip ........................................................................................................ 5

5. IPtables ....................................................................................................... 5

III. Topologie de réseau ......................................................................................... 6

1. Structure réseau ............................................................................................. 6

2. Principe de fonctionnement ........................................................................... 7

IV. Configauration et tests .................................................................................... 8

1. Création de la Rogue AP. ............................................................................. 8

2. SSLstrip etredirection de page :Facebook et Yahoo . .................................... 9

a. Phase de démarrage SSLstrip. ............................................................ 9

b. Phase d’éxécution . .......................................................................... 10

3. Injection decode.......... . ............................................................................... 13

a. Injection de code par javaScript. ...................................................... 13

b. Une redirection subtile vers une page de notre choix ..................... 14

c. L'Injection de http. ........................................................................... 15

V. Détection de Rogue AP. .................................................................................. 17

VI. Conclusion .....................................................................................................20

Rogue AP |SECURILIGHT 2013

2

I. Présentation de l’atelier 1. Définition

Un rogue AP est un point d'accès Wi-Fi non-autorisé. Son but est de contourner les

vérifications de sécurité pour accéder à un réseau interne. Ce type de point d’accès est en

apparence innocent, mais qui est en réalité « piégé » pour attaquer les clients qui s’y

connectent : récupération de trafic, détournement vers des sites non-prévus, injection de

scripts ou de virus/trojans/malwares,… .Ce dernier ressemble à s’y méprendre à un hotspot

classique : il vous demande vos identifiants et mots de passe, possède une page d'ouverture

identique à celle d'un fournisseur classique, et vous permet bien évidemment de surfer

comme si de rien n'était.

2. Architecture générale du réseau

L’emplacement d’un point d’accès non autorisé dans un réseau donné est défini par la

figure ci-dessous :

Rogue AP |SECURILIGHT 2013

3

- Une Rogue AP bien configurée permet de récupérer moultes informations (Clé WPA, WEP,

informations bancaires, adresse email). Phishing ou Social-Engineering cependant ça

marche bien .

- Elle consiste en fait, à créer soi-même une Box, ressemblant en tous points à une Box

Victime.

- La Rogue AP est "comme" une NeufBox ou box d'autre marque, elle peut fournir des pages

WEB de configuration et/ou de login. Si elles sont bien réalisées, le client se sentira en

confiance et rentrera ce que vous voulez qu'il rentre.

3. Les différents types de rogue AP

On distingue diverses permutations et combinaisons :

- Combler les points d'accès (sur les sous-réseaux coïncidant avec ou différents de l'adresse de l'interface filaire)

- Routeur (NAT) AP (avec et sans clonage MAC)

- AP avec des liaisons sans fil cryptés

- AP avec des liens ouverts sans fil

- AP mous (nativement configurés sur le client sans fil ou qui utiliser des périphériques

externes tels que les clés USB)

- AP sur différents VLAN dans le réseau local, y compris sans WiFi sous-réseaux

Rogue AP |SECURILIGHT 2013

4

II. Les outils utilisés

Différents outils ont été utilisés pour configurer une rogue AP :

1. BackTrack5

Toutes les opérations sont destinées à un environnement BackTrack 5 peut être adapté

pour une distribution donnée. Le script automatique final est lui uniquement dédié à BT5.

BackTrack fournit aux utilisateurs un accès facile à une collection complète et large d'outils

liés à la sécurité, allant de scanners de ports de vérification de la sécurité. Soutien aux Live

CD et Live USB fonctionnalité permet aux utilisateurs de démarrer BackTrack directement à

partir de médias portables sans nécessiter l'installation, si une installation permanente sur le

disque dur et le réseau est également une option.

BackTrack comprend de nombreux outils de sécurité bien connues, y compris:

Metasploit pour l'intégration

Pilotes Wi-Fi supportant le mode moniteur et l'injection de paquets

Airbase-ng

Gerix Wifi Cracker

Nmap

Rogue AP |SECURILIGHT 2013

5

Ettercap, , une collection d'outils de piratage, des add-ons et des scripts basé sur

Firefox

2. Sergio-proxy

Sergio-proxy est un proxy, à travers lequel est envoyé le trafic de la cible qui peut être

analysé et modifié.

L’injection peut se faire sous 2 formes : soit en utilisant un script JavaScript , soit en utilisant

un fichier HTML.

3. AirBase-ng

L'idée principale de cette implémentation est d'encourager les clients à s'associer avec le

faux PA,et non pas les empêcher d'accéder au vrai PA. Une interface tap (atX) est crée

quand « aircrack-ng » est démarré. Elle peut être utilisée pour recevoir des paquets

décryptés ou envoyer des paquets cryptés. Comme le vrai client enverront probablement

des requêtes pour les réseaux communs/configurés, ces frames sont importantes pour lier

un client à notre faux PA. Dans ce cas, le PA répondra à n'importe quelle requête

d'interrogation avec une réponse d'interrogation propre, laquelle dira au client de

s'authentifier à la fausse BSSID airbase-ng. Ceci dit, ce mode peut perturber le bon

fonctionnement des PA sur le même canal.

4. Sslstrip

Cet outil fournit une démonstration des HTTPS décapage attaques. Il sera transparente

détourner le trafic HTTP sur un réseau, surveiller les liens HTTPS et redirections, puis mapper

ces liens en soit liens HTTP de ressemblance ou de liens HTTPS homographes-même. Il prend

également en charge les modes pour fournir un favicon qui ressemble à une icône de

verrouillage, l'abattage sélectif, et séance déni.

5. iptables

Le plus célèbre pare-feu utilisé sous Linux est « iptables ». Il permet d'établir un certain

nombre de règles pour indiquer par quels ports on peut se connecter à votre ordinateur,

mais aussi à quels ports vous avez le droit de vous connecter.

Rogue AP |SECURILIGHT 2013

6

III. Topologie du réseau Le point d'accès de Rogues peut être créé de deux façons :

Une installation d'un dispositif physique réel sur le réseau autorisé comme un point

d’accès Rogue. En outre, plus de sécurité sans fil, ce qui a à voir avec la violation de

la sécurité physique de réseau .

Création d'un point d'accès Rogue dans les logiciels et le combler avec les autorités

locales autorisées réseau « Réseau Ethernet » .

1. Structure réseau

Dans notre cas on a utilisé la deuxième solution pour créer un réseau .La figure ci-

dessus représente la topologie de notre réseau :

Figure : topologie « rogue access point »

Rogue AP |SECURILIGHT 2013

7

Cela permettra de pratiquement n'importe quel ordinateur portable fonctionnant sur le

réseau autorisé à fonctionner en tant que point d'accès Rogue.

2. Principe de fonctionnement :

Notre victime se retrouve sur un réseau effectivement connecté à l'internet, dans ce cas la

connexion est représentée par « internet », mais il se peut que l'attaquant ne laisse aucun

accès à l'internet pour se jouer de sa victime. Il se peut aussi que l'attaquant laisse la victime

accéder à l'internet de façon transparente, et sniffe toutes les données au passage. La

victime veut aller sur www.goolge.com et s'est retrouvé sur ce qui semblait être le portail

d'authentification du hotspot légitime, comment est-ce possible? Tout simplement parce

que le réseau abrite un serveur web hébergeant des pages trafiquées ressemblant à s'y

méprendre aux pages originales. Il est assez simple d'enregistrer des pages web et de les

modifier si l'on connait quelque peu le langage html. Il suffit alors de mettre ces fausses

pages sur le serveur web, et de rediriger la victime vers ce dernier. Sachez d'ailleurs qu'une

seule machine suffit pour l'attaque, le serveur web peut très bien être hébergé sous

Backtrack, voir même n'importe où sur le net. Le serveur web est représenté ici par une

autre machine pour clarifier les interactions au sein du réseau.

La technique consiste à déconnecter la victime du Hotspot légitime pour qu'elle se

reconnecte à la Rogue AP contrôlée par le Pirate.

Rogue AP |SECURILIGHT 2013

8

IV. Configuration des outils et tests

On part du principe qu’on utilise une machine qui dispose de deux interfaces réseau :

une interface sans-fil qui servira au partage de connexion ce sera (wlan1).

et une interface (filaire ou sans fil) qui sera connectée à Internet (ce sera (wlan0.)

Il y a une série d’éléments à mettre en place pour réaliser un partage de connexion :

le réseau wi-fi lui-même.

un serveur DHCP pour attribuer une IP aux clients (ainsi que les infos passerelle et DNS)

configurer la machine pour autoriser le transfert du trafic d’une interface à l’autre.

1. Création de la Rogue AP

Pour raison de facilité et rapidité d'exécution de l'attaque , on a réalisé un script qui

regroupe toutes les commandes nécessaires a la réalisation de notre "rogue access point"

puis le démarrage de « sslstip » el la configuration du « serveur dhcp ».

Rogue AP |SECURILIGHT 2013

9

L’image ci- dessus représente le démarrage d’éxécution de notre script qui commence par

tuer tout le traffic prècedant qui a passeé par notre interface wlan0, ainsi que le debut de la

procédure de création du point d'acces.

On remarque la détection de « pc-Mondher » c'est le lap-top de la victime lors de son accès

à notre réseau par le rogue AP .

2. Sslstrip et Redirection de page pour Facebook & Yahoo

a. Phase de démarage de sslstrip

L’image ci-dessous présente la procédure de démarrage de l’ outil « sslstrip » celui-ci a un

rôle trés important qui se présente dans la redirection du traffic https vers un traffic http.

Rogue AP |SECURILIGHT 2013

10

Aprés demarage, on laisse sslstrip en fonction et on attend jusqu'a que l'utilisateur saisie

ses identificateurs :D

b. Phase d’éxécution

Après connexion au faux point d’accès, si l'utilisateur s'authentifie pour accéder à son

compte Facebook alors son mot de passe et son login seront enregistrés dans le fichier de

trace « password.txt ».

Test 1 : Pour un compte facebook

Lors de son accès au site officiel www .facebook.com l’internaute sera redirigé vers une

fausse page . On aura une redirection d’URL au niveau de page Facebook :

https://facebook.com http:// www .facebook.com

Pour tester le bon fonctionnement de “sslstrip” on se connecte avec le mot de passe et l’e-

mail suivants :

-adresse e-mail: securilight_rogueAP@hotmail.fr

- mot de passe: « rogueaccesspoint »

Rogue AP |SECURILIGHT 2013

11

Un clic sur le bouton connexion nous permet de récupérer les informations de

l’internaute.

On remarque que le fichier de trace « password .txt » enregistre les informations de

navigation , la commane « grep » nous permet de trouver les champs e-mail et password

dans le fichier .

Test 2 : Pour un compte Yahoo

Maintenant , on va tester avec la même manière la connexion à notre fake compte Outlook

.En accédant au site www.hotmail.com : avec le même principe on insère comme :

adresse mail= securinetsrogueap@hotmail.fr

password= "rogueAP"

Rogue AP |SECURILIGHT 2013

12

Le contenu de fichier de trace « password.txt » montre l’apparition des champs qu'on a

inséré au niveau du site visité en haut de fichier: « login.live.com »

Rogue AP |SECURILIGHT 2013

13

3. Injection de code

Outils utilisé : Sergio-proxy

L’injection peut se faire sous 2 formes : soit en utilisant un script JavaScript , soit en utilisant

un fichier HTML.

Scénario d’exécution :

D'abord on démarre le serveur web sur BackTrack5 :

/etc/init.d/apache2 Start

a. Injection avec un popup Javascript

C'est quoi un popup ?

Le mot popup peut être traduit par fenêtre surgissante. L'ouverture de cette fenêtre est

déclenchée par un événement fait par l'utilisateur (clic, ouverture de site, minuterie, ...).

On va créer un script popup.js sous /var/www/ qui contient tous les fichiers web :

Rogue AP |SECURILIGHT 2013

14

Lorsque le client veut accéder à n'importe quel site, exemple www.youtube.com la fenêtre

suivante apparait :

b. Une redirection subtile vers une page de notre choix

Pour faire une redirection vers une page de notre choix on exécute le script suivant

/var/www/redirect.js

N’importe quel site visité par le client sera redirigé vers www. google.fr toutes les 3

secondes.

Rogue AP |SECURILIGHT 2013

15

c. L’injection de http

Cette étape consiste à faire penser à la cible que c’est le site original qui a été défacé .

Pour effectuer ceci on crée un fichier /var/www/image.html

Rogue AP |SECURILIGHT 2013

16

Rogue AP |SECURILIGHT 2013

17

V. Détection de Rogue AP

Il est nécessaire de détecter un point d’accès non autorisé dans le réseau :

Le pare-feu peut protéger contre Rogue AP ?

Le Pare-feu fonctionne au trafic de point de transfert entre LAN et Internet il est donc

incapable de détecter Rogue AP. Ce dernier ne voit pas le trafic à travers Rogue AP.

WPA2 peut-il nous protéger contre Rogue Ap ?

Non, Vous pouvez appliquer des contrôles de sécurité telles que WPA2 uniquement sur AP

que vous gérez, à savoir, vos points d'accès autorisés. Rogue AP n'est pas votre gérés AP .En

fait, la plupart des points d'accès Rogue trouvé dans le domaine installé par utilisateurs naïfs

ont soit une Liaison sans fil OUVERT (hors de la boîte par défaut) ou lien sans fil WEP (

déterministe crackable ).

Alors ,pour empêcher l'installation de points d'accès non autorisés, les entreprises peuvent

installer des systèmes de prévention des intrusions sans fil pour surveiller le spectre

radioélectrique pour les points d'accès non autorisés.

La présence d'un grand nombre de points d'accès sans fil peut être détectée dans l'espace

aérien d'un établissement d'entreprise typique. Il s'agit notamment des points d'accès gérés

dans le réseau ainsi que les points d'accès sécurisés dans le quartier.

Rogue AP |SECURILIGHT 2013

18

Un système de prévention des intrusions sans fil facilite le travail de vérification de ces

points d'accès sur une base continue pour savoir si il y a des points d'accès non autorisés

entre eux.

Afin de détecter les points d'accès non autorisés, deux conditions doivent être testés:

-si le point d'accès est dans la liste des points d'accès gérés

-si oui ou non il est connecté au réseau sécurisé

La première des deux conditions ci-dessus est facile à essai - comparer l'adresse MAC sans fil

(aussi appelé BSSID) du point d'accès à la liste de BSSID du point d'accès géré. Cependant, les

tests automatisés de la deuxième condition peut devenir difficile à la lumière des facteurs

suivants:

-nécessité de couvrir différents types de dispositifs de points d'accès tels que les relais, NAT

(routeur), les liaisons sans fil non cryptés, des liaisons sans fil cryptés, les différents types de

relations entre les adresses filaires et sans fil MAC des points d'accès, points d'accès et doux,

- la nécessité de déterminer le point d'accès connectivité avec le temps de réponse

acceptable dans les grands réseaux,

- l'obligation d'éviter les faux positifs et négatifs

Faux positif (crier au loup) se produit lorsque le système de prévention des intrusions sans fil

détecte un point d'accès ne sont pas connectés au réseau sécurisé comme voyous filaire.

Faux positifs fréquents entraînent un gaspillage de la bande passante administratif

passé en les chassant. Possibilité de faux positifs crée également obstacle à permettre le

blocage automatique des coquins câblés en raison de la crainte de blocage sympathique

point d'accès de quartier.

Faux négatif se produit lorsque le système de prévention des intrusions sans fil ne parvient

pas à détecter un point d'accès effectivement connecté au réseau sécurisé comme voyous

filaire. Les faux négatifs se traduisent par des trous de sécurité.

Si un point d'accès non autorisé se trouve connecté au réseau sécurisé, il est le point d'accès

non autorisé du premier type (aussi appelé «voyous filaire").

Rogue AP |SECURILIGHT 2013

19

D'autre part, si le point d'accès non autorisé ne se trouve pas connecté au réseau sécurisé, il

est un des points d'accès extérieurs. Parmi les points d'accès externes, le cas échéant se

trouve être le risque malicieux ou potentiel (par exemple, dont les paramètres peuvent

attirer ou ont déjà attiré réseau sécurisé clients sans fil), il est marqué comme point de la

seconde espèce, qui est souvent appelé un accès indésirable "jumeau maléfique ".

Soyez donc prudent lors de l'utilisation d'un Hotspot Wifi. Le seul moyen de détecter une

fausse AP est de prendre le temps de bien contrôler le certificat utilisé.

Rogue AP |SECURILIGHT 2013

20

VI. Conclusion

Il est simple de créer une Rogue Ap et la configuré afin de réaliser des attaques sur des

réseaux WIFI internet et faire un détournement vers des sites non prévus .

C’est pourquoi les entreprises doivent avoir conscience de la vulnérabilité des WIFI et

prendre les mesures pour se protéger contre les éventuelles attaques ainsi que la

majorité des utilisateurs doivent se rendre compte des risques qu’ils prennent en se

connectant à des réseaux qu’ils ne connaissent pas.

« La sécurité est un compromis avant tout. Étant donné

Que l’on doit laisser passer des flux, on laisse

automatiquement passer des attaques. »