Reverse Engineering d’un réseau local de résidence. Service type portail captif.

Lorsque l’on se connecte à la borne WiFi du coin, on chope une adresse IP, une adresse de passerelle (normal) et un serveur DNS. Les gens (ingénieurs ?) qui ont imaginé la solution ont décidé d’isoler chaque client dans un VLAN (ce qui est bien).

En résumé, voici un exemple de paramètres qu’on peut avoir sur 2 postes :

  • Poste X
    • Adresse IP : 172.16.xx.253/24
    • Gateway : 172.16.XX.254/24
    • DNS : 192.168.aa.bb/cc
  • Poste Y
    • Adresse IP : 172.16.yy.253/24
    • Gateway : 172.16.yy.254/24
    • DNS : 192.168.aa.bb/cc

Chaque poste est isolé dans son réseau en /24 et c’est en fait un VLAN qui sera routé par ce qu’on (je ?) appelle un routeur Inter-VLAN.

Jusque que là, c’est très bien car la machine X ne peut pas communiquer avec Y et vice-versa. SAUF que c’est du WiFi, on se met en mode « promiscuous » et on peut écouter tout ce qui ce qui circule, tel ces bon vieux HUB …

Les grosses failles exploitables :

  • Il suffit de spoofer l’adresse MAC de quelqu’un, de le déconnecter de la borne avec mdk3 ou aircrack, de se connecter à la borne WiFi, et le reste sera fait automatiquement, vous avez le Web o/
  • Comme le réseau Wifi est OPN, vous pouvez voir tout ce qui circule en clair. Tiens mais qu’est-ce que ce protocole MSN et ses adresses @hotmail. Tiens GET /balbla?login=toto&pass=PasSecret
  • Vous pouvez rejoindre le réseau d’un poste et vous amuser. Vous ne serez pas connecter à Internet, mais vous pourrez vous amuser à scanner tous les postes de la résidence.
  • Le portail captif est en … HTTP, à vous les mots de passe des usagers, mais qu’importe il suffit de spoofer l’adresse MAC d’un autre poste, c’est encore mieux 😉

L’idéal pour sécuriser et proposer ce genre de service ?

Une borne ouverte qui propose une page d’authentification, en HTTPS, qui lorsque l’on s’authentifie nous donne le nom d’un BSSID caché, et une passphrase WPA2 généré aléatoirement. On se connectera ensuite ici.

Faire écouter une borne sur de multiples BSSID c’est facile, générer un BSSID associé à une passphrase c’est aussi facile, et ce genre de solution serait beaucoup plus sécurisé, car il serait impossible d’espionner les conversations des autres postes ET de spoofer un accès, auquel cas il vous faudra faire du cracking WPA.

Schéma

Je me suis amusé à faire un schéma de l’infrastructure actuelle, tel que j’ai l’ai analysé.
schéma

Le mot de la fin

Passez par des VPN ou tunnels socks SSH quand vous vous connectez sur ce genre de passoire !

Beini Linux – Ou comment cracker un réseau Sans-Fil WEP en 5 minutes.

Beini Linux se présente comme une live-cd très léger (50Mo) et simple d’utilisation, une fois sur le bureau, il vous suffit de lancer le logiciel “FeedingBottle” pour cracker un réseau WiFi de votre choix, d’une facilité déconcertante, scan, choix du SSID, choix du client si attaque via client, type d’attaque, lancez l’attaque ! Laisser mariner 5 minutes et voilà la clé … Et pour ceux qui veulent aller plus loin le bouton avancée permet de peaufiner des réglages 😉

J’en ai profité pour tester mon nouveau matos, adaptateur 2W et Antenne YAGI 20 dBi 🙂 – En gros je capte tout le quartier (si je bouge l’antenne car elle est directionnel), et j’ai assez de puissance pour recevoir assez de paquets, sauf que il n’y à que deux WEP. Heureusement que le WEP est remplacé par du WPA/WPA2 progressivement ! Sinon c’est la porte ouverte à n’importe qui…

En résumé, une petite distribution simple et efficace réservé aux crack de réseau WiFi.

La fonera 2.0n en mode Bridge.

Je commence l’installation sans faire gaffe à la va-vite et par défaut, le routeur (comme son nom l’indique) est en mode Routeur, c’est à dire qu’il route deux réseaux. 1 WAN et 1 LAN. Autrement dit cela ne convient pas à ma configuration actuelle car il est branché derrière mon LAN, assuré par pfSense.
Autrement dit voici la configuration que j’ai établis, en le laissant en mode Routeur:

Avec ce mode les machines du réseau 192.168.1.0/24 passe par La Fonera qui effectue un NAT, puis La Fonera passe à son tour vers pfSense qui effectue un NAT… Double NAT, c’est pas terrible à gérer ^^’.
De plus étant donné que La Fonera le prend pour un WAN, les machines de 192.168.0.0/24 ne peuvent contactés les machines de 192.168.1.0/24, à cause du pare-feu de La Fonera qui interdit toute connexion initialisé de WAN –> LAN.

Après de longues recherches je me suis aperçu qu’il y avait un mode bridge ! (Incroyable, rien trouvé sur le net, ça parlait de firmware de dév. de truc instable, etc …) Et finalement le firmware 2.3.6 contient le mode “Bridge” out of the box. Cela permet donc de rendre le Routeur en simple point d’accès-wifi et switch. Exactement ce que je veut, car c’est mon pfSense qui gère tout (DHCP, DNS, …), et ça sera personne d’autre :p.
Voici donc mon nouveau réseau :

Note : Vous pouvez téléchargez-ici le SVG ici. – Copyleft of course 🙂

Heureusement pour moi qu’il y ait ce mode Bridge, et dire qu’il n’y était pas avant, cela rendait La Fonera très limité …
J’en profite pour vous donner mon point de vue de cette Fonera.

Dans un premier temps l’esthétique et la taille de celle-ci est vraiment bien réussie, elle se fera oublier quelque part sur votre bureau ou étagère pour la taille d’un livre de poche !
La puissance du signal WiFi grâce à la norme 802.11n est vraiment décuplé par rapport à mon ancien AP, voilà que je peut surfer au fond de mon jardin, alors qu’avant, 2-3 pièces après, le signal était mort … Cependant on ne peut pas changer les antennes pour grappiller des dBi.

Au niveau des fonctionnalités de l’interface d’administration c’est bof-bof. Ne comptez pas gérer des règles de pare-feu précises, vous ne pouvez pas ! Vous pouvez faire du NAT de façon limité… les autres réglages sont de la rigolades, on ne peut pas paramétrer la plage DHCP, bref … c’est une interface très simple pour les néophytes et ça se voit.
À part ça l’interface est clair, sobre et efficace, et surtout très rapide à charger.
À première vue il n’est pas encore possible de la flasher pour y installer un firmware personnalisé basé sur open-wrt, mais ça ne saurait tarder.

En conclusion c’est un très bon AP WiFi, mais certainement pas un bon routeur, mais ça tombe bien, c’est pas l’utilisation que je veut en faire 🙂
Même sans le mode Routeur que je n’utilise pas, elle vaut bien ses 80€ d’une part pour avoir accès aux HotSpots FON, et d’autre part pour profiter d’un bon 802.11n.