REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Instalando un Sistema de Detección de Intrusos Inalámbrico (WIDS) en Raspbian (Funcionalidad) - II

Detección de intrusos con Raspbian, revista .Seguridad 23

En el artículo anterior describí los elementos técnicos necesarios para instalar y configurar OpenWIPS en Raspbian, detallé las características, funcionalidades y límites de la versión actual (versión 0.1 beta 1). Sin embargo, es importante enfatizar que la funcionalidad de la solución inalámbrica en este momento es únicamente de detección de ciertos ataques: desasociación de clientes específicos, desasociación de todos los clientes conectados al punto de acceso inalámbrico (AP) y fragmentación.

El objetivo de este artículo es mostrar cómo OpenWIPS realiza la detección de dichos ataques, describir en qué consisten, presentar y describir los beneficios de adoptar este mecanismo de seguridad en una organización.

Descripción de ataques

Ataque de desasociación. Es un ataque de denegación de servicio (DoS) que consiste en interrumpir la comunicación entre un AP y un cliente inalámbrico (computadora, laptop, celular, entre otros) o más. Existen utilidades como aireplay-ng que permiten mandar paquetes de desasociación.

Fragmentación. El estándar 802.11 especifica la fragmentación en la capa MAC (Control de Acceso al Medio), describe que un paquete de datos se divide en fragmentos cifrados de forma independiente y que cada uno utiliza el mismo keystream (flujo de caracteres pseudoaleatorios) al momento de transmitirlos. Después de interceptar un paquete de datos, el atacante es capaz de recuperar una porción de keystream.

Funcionalidad

Como primer paso después de la instalación de OpenWIPS se debe ejecutar el servidor tal como se muestra en la imagen 1.

Ejecución de un servidor Open WIPS
Imagen 1. Ejecución del servidor de OpenWIPS

Después se debe conectar el sensor al servidor para que éste último procese el tráfico inalámbrico y pueda anunciar alertas (ver imagen 2).


Imagen 2. Conexión del sensor al servidor

Tal como se observa en la imagen 2, es importante que la tarjeta inalámbrica se encuentre en modo monitor (mon0) para captar todo el tráfico inalámbrico alcanzable y que éste pueda ser analizado por el servidor.

Para esta publicación, la dirección MAC del AP protegido es f4:55:9c:cc:fb:3c (la misma dirección MAC que en el artículo anterior) y el AP tiene asociados dos clientes 4c:eb:42:26:0e:5d y 50:32:75:ad:71:b7.

Si un atacante monitoriza el tráfico inalámbrico sería capaz de obtener el canal de transmisión (CH), la dirección MAC del AP (BSSID), tipo de seguridad (ENC), nombre de la red (ESSID), los clientes asociados al AP (STATION), entre otros (ver imagen 3).


Imagen 3. Información que puede conseguir un atacante sobre un AP

Supongamos que un atacante decide desasociar al cliente 50:32:75:ad:71:b7 que se encuentra conectado al AP (f4:55:9c:cc:fb:3c). En este caso quien sufrirá el ataque directamente es un cliente en específico. El objetivo de desasociar a un cliente en muchas ocasiones no solo es provocar un ataque DoS, si no capturar una clave precompartida entre el cliente y el AP.

Debido a que dicho AP está protegido por OpenWIPS, se dará alerta del ataque de denegación de servicio como se muestra en la imagen 4.


Imagen 4. Alerta de ataque de desasociación a un cliente

Otro tipo de amenaza es un ataque de desasociación a todos los clientes conectados a un AP, en este caso se generaría una alerta tal como muestra en la imagen 5.

Alerta de ataque de desasociación de todos los clientes conectados al AP.
Imagen 5. Alerta de ataque de desasociación a todos los clientes conectados al AP

En caso en que el atacante utilice técnicas o herramientas para fragmentación, OpenWIPS lo detectará de la siguiente forma (ver imagen 6).

Alerta de ataque de fragmentación.
Imagen 6. Alerta de ataque de fragmentación

La dirección 00:c0:ca:57:b6:d3 corresponde al atacante; es importante tener en cuenta que la dirección física de una tarjeta inalámbrica puede ser modificada.

En las imágenes de alertas mostradas anteriormente existe información entre la que destaca la fecha y hora de la detección, el tipo de ataque y las direcciones MAC involucradas. Como mencionaba en la publicación anterior, esta información puede visualizarse en tiempo real mediante una interfaz y todas las alertas y eventos se guardan en una bitácora.

Beneficios de implementar OpenWIPS

Descarga la Revista .Seguridad en PDFEs importante resaltar que todas las organizaciones tienen necesidades diferentes, que dependen de su objetivo de negocio e infraestructura tecnológica, sin embargo, todas cuentan con información valiosa y por lo tanto es indispensable protegerla.

La implementación de OpenWIPS sobre Raspbian debe ser evaluada en caso de que se desee poner en operación y se debe analizar si es óptima para su infraestructura tecnológica. Los beneficios de esta solución son:

  1. Fácil de implementar: la instalación y configuración es sencilla tal y como se documentó en el artículo anterior.
  2. Código abierto: se pueden realizar mejoras o crear nuevas funcionalidades, por ejemplo, firmas de detección de otros ataques dirigidos a infraestructura inalámbrica, además, se pueden añadir módulos de IPS.
  3. Bajo costo: una Raspberry Pi no es costosa (350-600 pesos mexicanos) y se necesita poco espacio físico.
  4. Bitácora de evidencia: tener información sobre los incidentes ocurridos es una buena práctica para gestionar la seguridad de la información y, con base en los resultados obtenidos, se pueden tomar mejores decisiones.
  5. Detección en tiempo real: los ataques son identificados en el momento y pueden ser tratados de acuerdo a los protocolos de reacción establecidos por la organización o, en caso de no tener procedimientos, proponer medidas de contingencia cuando se generen alertas de seguridad.

La solución sigue en desarrollo, sin embargo, se pueden realizar pruebas de concepto y comenzar la implementación por áreas pequeñas para después cubrir poco a poco la red inalámbrica de toda la organización.

Si quieres saber más consulta:

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.