Reverse Engineering d’un réseau local de résidence. Service type portail captif.

Lorsque l’on se connecte à la borne WiFi du coin, on chope une adresse IP, une adresse de passerelle (normal) et un serveur DNS. Les gens (ingénieurs ?) qui ont imaginé la solution ont décidé d’isoler chaque client dans un VLAN (ce qui est bien).

En résumé, voici un exemple de paramètres qu’on peut avoir sur 2 postes :

  • Poste X
    • Adresse IP : 172.16.xx.253/24
    • Gateway : 172.16.XX.254/24
    • DNS : 192.168.aa.bb/cc
  • Poste Y
    • Adresse IP : 172.16.yy.253/24
    • Gateway : 172.16.yy.254/24
    • DNS : 192.168.aa.bb/cc

Chaque poste est isolé dans son réseau en /24 et c’est en fait un VLAN qui sera routé par ce qu’on (je ?) appelle un routeur Inter-VLAN.

Jusque que là, c’est très bien car la machine X ne peut pas communiquer avec Y et vice-versa. SAUF que c’est du WiFi, on se met en mode « promiscuous » et on peut écouter tout ce qui ce qui circule, tel ces bon vieux HUB …

Les grosses failles exploitables :

  • Il suffit de spoofer l’adresse MAC de quelqu’un, de le déconnecter de la borne avec mdk3 ou aircrack, de se connecter à la borne WiFi, et le reste sera fait automatiquement, vous avez le Web o/
  • Comme le réseau Wifi est OPN, vous pouvez voir tout ce qui circule en clair. Tiens mais qu’est-ce que ce protocole MSN et ses adresses @hotmail. Tiens GET /balbla?login=toto&pass=PasSecret
  • Vous pouvez rejoindre le réseau d’un poste et vous amuser. Vous ne serez pas connecter à Internet, mais vous pourrez vous amuser à scanner tous les postes de la résidence.
  • Le portail captif est en … HTTP, à vous les mots de passe des usagers, mais qu’importe il suffit de spoofer l’adresse MAC d’un autre poste, c’est encore mieux 😉

L’idéal pour sécuriser et proposer ce genre de service ?

Une borne ouverte qui propose une page d’authentification, en HTTPS, qui lorsque l’on s’authentifie nous donne le nom d’un BSSID caché, et une passphrase WPA2 généré aléatoirement. On se connectera ensuite ici.

Faire écouter une borne sur de multiples BSSID c’est facile, générer un BSSID associé à une passphrase c’est aussi facile, et ce genre de solution serait beaucoup plus sécurisé, car il serait impossible d’espionner les conversations des autres postes ET de spoofer un accès, auquel cas il vous faudra faire du cracking WPA.

Schéma

Je me suis amusé à faire un schéma de l’infrastructure actuelle, tel que j’ai l’ai analysé.
schéma

Le mot de la fin

Passez par des VPN ou tunnels socks SSH quand vous vous connectez sur ce genre de passoire !