¿Qué es un Rogue AP?
Hay muchas opiniones al respecto, por ejemplo:
1.- Según “www.rogueap.com”,
un sitio web dedicado a informar sobre diversos aspectos de los Rogue AP (Rogue
Access Point // Punto de accesos pícaros): “A Rogue Access Point (Rogue
AP) is a wireless access point installed on a wired enterprise network without
authorization from the network administrator. A Rogue AP may be naively
installed by a legitimate user who is unaware of its security implications or
it could be deliberately installed as an insider attack. A Rogue AP could also
be easily smuggled onto enterprise premises by an outsider. In any case, a
Rogue AP poses serious security threat to a wired enterprise network as it
provides a wireless backdoor into the enterprise network for outsiders,
bypassing all wired security measures such as firewalls and network access
control (NAC).”
2.- Según Linksys: “Un Rogue AP (entrada
ficticia AP) es un punto de acceso que se ha instalado en una red segura sin la
autorización explícita de un administrador del sistema. Los puntos de
acceso no autorizados representan una amenaza para la seguridad porque
cualquier persona que tenga acceso a las instalaciones puede instalar sin saber
o de forma malintencionada un dispositivo WAP inalámbrico de bajo costo que
potencialmente puede permitir el acceso a la red a personas no autorizadas”
3.- Según Cisco: “Las redes
inalámbricas amplían las redes alámbricas y aumentan la productividad de los trabajadores
y el acceso a la información. Sin embargo, una red inalámbrica no autorizada representa
un problema de seguridad añadido. Se pone menos cuidado en la seguridad de los puertos
de las redes alámbricas, y las redes inalámbricas son una extensión fácil de
las redes alámbricas. Por lo tanto, un empleado que traiga su propio punto de
acceso de Cisco (AP) a una red inalámbrica o una infraestructura cableada bien
protegida y permita el acceso de usuarios no autorizados a esta en principio
red protegida puede comprometer fácilmente una red segura.“
4.- Según tenaza.com: “Un punto de
acceso rogue es un punto de acceso intruso que propaga el mismo SSID de un
punto de acceso en otra red, sin autorización explícita del administrador de la
red. A través de esta técnica de hacking, los puntos de acceso intrusos pueden
acceder los datos de tus usuarios Wi-Fi, asimismo amenazando la seguridad de
esta red.”
Desde un punto de vista subjetivo, un Rogue AP puede
consistir en un punto de acceso:
1.- conectado a la red corporativa de una empresa
sin permiso de los responsables permitentes
2.- conectado a una red corporativa o no, que suplanta
el mismo ESSID que una red Wi-Fi .
3.- conectado o no a alguna red, que suplanta un
ESSID legítimo o no, y que mantiene la conexión en Wi-Fi en abierto
, Y SIEMPRE EXISTE CON INTENCIONES MALICIOSAS, como:
1.- recoger todo tipo de
información relacionada con las personas que se encuentran detrás de los
ordenadores que se han conectado a dicha Wi-Fi
2.- evitar las medidas de
seguridad u otras medidas.
3.- inyectar código en las
conexiones web de los usuarios de dicha Wi-Fi para minar cryptomonedas
4.- infectar malware a los
usuarios de dicha Wi-Fi
5.- etc.
En cualquier
caso, dichos dispositivos deben ser detectados y apagados para no que nos
perjudiquen como usuarios.
¿Cómo detectar un Rogue AP?
Existen métodos para detectar la presencia de un
Rogue APP, que se pueden dividir en:
1.-
Detección activa
Por la información obtenida, sólo Cisco trabaja con
dicha detección.
Está detección consiste en conectarse a las
distintas redes WI-FI, siempre y cuando sea posible, para intentar obtener una
IP, y pasar a recoger información sobre dicho AP, con la intención de
catalogarlo como malicioso o no.
2.-
Detección pasiva.
Si no posible realizar la detección activa, debido
a que el “posible” Rogue AP tiene establecida una clave de autenticación, que
se desconoce. Entonces se pasa a la detección pasiva.
El factor de detección depende del fabricante.
El código que se expone en esta entrada de blog
realiza comprobaciones en función del ESSID, más concretamente, el código está
pensado para encontrar APs que intentan suplantar a otros APs.
El funcionamiento es simple, si al escanear las
frecuencias Wi-Fi se encuentran dos APs con idéntico ESSID, se considera que
estamos ante la presencia de un Rogue AP.
El código en un primer momento se desarrollo en “bash”
(*NIX) , aunque posteriormente salto a
Python.
La versión presentada puede ser utilizada en
sistemas Windows y Linux.
Importaciones, definición de
colores y definición de variables.
Código que se ejecutará en
los entornos Windows
Código que se ejecutará en
los entornos Linux
Mensaje si se utiliza otro
sistema operativo distinto a los contemplados.
Algunas referencias ojeadas:
https://www.cisco.com/c/es_mx/support/docs/wireless-mobility/wireless-lan-wlan/70987-rogue-detect.pdf
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/70987-rogue-detect.html
http://www.rogueap.com/
https://community.arubanetworks.com/t5/Controller-Based-WLANs/How-does-Rogue-AP-detection-work/ta-p/178578
https://www.tanaza.com/es/funcionalidades/escaner-de-redes-wifi/
https://www.cisco.com/c/es_mx/support/docs/wireless-mobility/wireless-lan-wlan/70987-rogue-detect.pdf
https://www.linksys.com/cr/support-article?articleNum=135793
En cualquier caso …
Lo que hagas con la información es cosa tuya, no
mía ... pero ten conciencia.
