jueves, 22 de noviembre de 2018

Una pasiva forma de detectar un Rogue AP.


¿Qué es un Rogue AP?

Hay muchas opiniones al respecto, por ejemplo:

1.- Según “www.rogueap.com”, un sitio web dedicado a informar sobre diversos aspectos de los Rogue AP (Rogue Access Point // Punto de accesos pícaros): “A Rogue Access Point (Rogue AP) is a wireless access point installed on a wired enterprise network without authorization from the network administrator. A Rogue AP may be naively installed by a legitimate user who is unaware of its security implications or it could be deliberately installed as an insider attack. A Rogue AP could also be easily smuggled onto enterprise premises by an outsider. In any case, a Rogue AP poses serious security threat to a wired enterprise network as it provides a wireless backdoor into the enterprise network for outsiders, bypassing all wired security measures such as firewalls and network access control (NAC).

2.- Según Linksys: “Un Rogue AP (entrada ficticia AP) es un punto de acceso que se ha instalado en una red segura sin la autorización explícita de un administrador del sistema.  Los puntos de acceso no autorizados representan una amenaza para la seguridad porque cualquier persona que tenga acceso a las instalaciones puede instalar sin saber o de forma malintencionada un dispositivo WAP inalámbrico de bajo costo que potencialmente puede permitir el acceso a la red a personas no autorizadas”

3.- Según Cisco: “Las redes inalámbricas amplían las redes alámbricas y aumentan la productividad de los trabajadores y el acceso a la información. Sin embargo, una red inalámbrica no autorizada representa un problema de seguridad añadido. Se pone menos cuidado en la seguridad de los puertos de las redes alámbricas, y las redes inalámbricas son una extensión fácil de las redes alámbricas. Por lo tanto, un empleado que traiga su propio punto de acceso de Cisco (AP) a una red inalámbrica o una infraestructura cableada bien protegida y permita el acceso de usuarios no autorizados a esta en principio red protegida puede comprometer fácilmente una red segura.“

4.- Según tenaza.com: “Un punto de acceso rogue es un punto de acceso intruso que propaga el mismo SSID de un punto de acceso en otra red, sin autorización explícita del administrador de la red. A través de esta técnica de hacking, los puntos de acceso intrusos pueden acceder los datos de tus usuarios Wi-Fi, asimismo amenazando la seguridad de esta red.”

Desde un punto de vista subjetivo, un Rogue AP puede consistir en un punto de acceso:

1.- conectado a la red corporativa de una empresa sin permiso de los responsables permitentes

2.- conectado a una red corporativa o no, que suplanta el mismo ESSID que una red Wi-Fi .

3.- conectado o no a alguna red, que suplanta un ESSID legítimo o no, y que mantiene la conexión en Wi-Fi en  abierto

, Y SIEMPRE EXISTE CON INTENCIONES MALICIOSAS, como:

1.- recoger todo tipo de información relacionada con las personas que se encuentran detrás de los ordenadores que se han conectado a dicha Wi-Fi
2.- evitar las medidas de seguridad u otras medidas.
3.- inyectar código en las conexiones web de los usuarios de dicha Wi-Fi para minar cryptomonedas
4.- infectar malware a los usuarios de dicha Wi-Fi
5.- etc.

En cualquier caso, dichos dispositivos deben ser detectados y apagados para no que nos perjudiquen como usuarios.

¿Cómo detectar un Rogue AP?

Existen métodos para detectar la presencia de un Rogue APP, que se pueden dividir en:

1.- Detección activa

Por la información obtenida, sólo Cisco trabaja con dicha detección.

Está detección consiste en conectarse a las distintas redes WI-FI, siempre y cuando sea posible, para intentar obtener una IP, y pasar a recoger información sobre dicho AP, con la intención de catalogarlo como malicioso o no.

2.- Detección pasiva.

Si no posible realizar la detección activa, debido a que el “posible” Rogue AP tiene establecida una clave de autenticación, que se desconoce. Entonces se pasa a la detección pasiva.

El factor de detección depende del fabricante.

El código que se expone en esta entrada de blog realiza comprobaciones en función del ESSID, más concretamente, el código está pensado para encontrar APs que intentan suplantar a otros APs.

El funcionamiento es simple, si al escanear las frecuencias Wi-Fi se encuentran dos APs con idéntico ESSID, se considera que estamos ante la presencia de un Rogue AP.

El código en un primer momento se desarrollo en “bash” (*NIX) ,  aunque posteriormente salto a Python.

La versión presentada puede ser utilizada en sistemas Windows y Linux.

 Importaciones, definición de colores y definición de variables.


Código que se ejecutará en los entornos Windows


Código que se ejecutará en los entornos Linux

Mensaje si se utiliza otro sistema operativo distinto a los contemplados.

Algunas referencias ojeadas:

https://www.cisco.com/c/es_mx/support/docs/wireless-mobility/wireless-lan-wlan/70987-rogue-detect.pdf
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/70987-rogue-detect.html
http://www.rogueap.com/
https://community.arubanetworks.com/t5/Controller-Based-WLANs/How-does-Rogue-AP-detection-work/ta-p/178578
https://www.tanaza.com/es/funcionalidades/escaner-de-redes-wifi/
https://www.cisco.com/c/es_mx/support/docs/wireless-mobility/wireless-lan-wlan/70987-rogue-detect.pdf
https://www.linksys.com/cr/support-article?articleNum=135793

En cualquier caso …

Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.

No hay comentarios:

Publicar un comentario