Sécurité sans fil - Analyse du trafic

Un processus d'analyse du trafic sans fil peut être très utile dans les enquêtes médico-légales ou lors du dépannage et bien sûr, c'est un excellent moyen d'auto-apprentissage (juste pour apprendre comment les applications et les protocoles interagissent entre eux). Pour que l'analyse du trafic soit possible, tout d'abord, ce trafic doit être collecté d'une manière ou d'une autre et ce processus est connu sous le nom de détection de trafic. Les outils les plus couramment utilisés pour la détection du trafic sont Kismet et Wireshark. Ces deux programmes fournissent une version pour Windows ainsi que pour les environnements Linux.

Aux fins des tests de pénétration et du piratage des réseaux sans fil, le type de données qu'il est utile de collecter est BSSID, WEP IV, TKIP IV, CCMP IV, EAP 4-way handshake exchange, wireless beacon frames, MAC addresses of communicating parties, etc. Beaucoup plus est disponible pour vous dans la décharge du trafic sans fil. La plupart des informations que vous obtiendriez seraient utilisées dans toutes les attaques présentées dans le dernier chapitre. Ils pourraient être (par exemple) utilisés comme entrée d'attaques par force brute hors ligne, afin de briser les modèles de chiffrement et d'authentification utilisés dans le déploiement WLAN.

L'utilisation de Wireshark sous Windows et Linux est très intuitive - les deux environnements fournissent une interface graphique qui a la même apparence pour les deux systèmes. Lorsque le programme démarre, il vous suffit d'indiquer l'interface physique qui serait utilisée pour le reniflage du trafic (vous pouvez sélectionner n'importe quelle interface, filaire ou sans fil), puis procéder au reniflage du trafic. Un exemple de paquets sans fil collectés par une carte sans fil est présenté dans la capture d'écran suivante.

La disposition de la sortie est toujours la même - en partant du haut, vous avez -

  • Filter Field- Wireshark est équipé d'un très bon outil de filtrage qui permet de limiter la sortie du trafic en temps réel. C'est extrêmement utile, lorsque vous avez besoin d'extraire des flux particuliers (entre des adresses MAC particulières ou entre des adresses IP particulières) de centaines de packs provenant chaque seconde de tous les clients sans fil de l'environnement.

  • Traffic Output- Dans cette section, vous pouvez voir tous les paquets apparaissant, qui ont été reniflés sur l'interface sans fil, un par un. Dans cette partie de la sortie, vous ne pouvez voir qu'un résumé de base des caractéristiques du trafic comme -SRC/DST MAC Addresses, Protocol (Wi-Fi 802.11 in this case) et une brève information sur un paquet.

  • Decoded Parameters of the Data- Cette section liste tous les champs existant dans une trame (tous les en-têtes + données). En utilisant un exemple de vidage, nous pouvons voir qu'un ensemble d'informations se présente sous la forme de données illisibles (probablement cryptées), et dans l'en-tête 802.11, vous pouvez trouver des informations CCMP (cela confirme que le trafic est crypté AES), il doit donc s'agir de WPA2 Réseau Wi-Fi.

  • Hex Dump- Le Hex Dump est exactement les mêmes informations que vous avez ci-dessus dans "paramètres décodés des données" mais au format hexadécimal. La raison en est que la représentation hexadécimale est l'aspect original du paquet, mais Wireshark a des milliers de "modèles de trafic", qui sont utilisés pour mapper des valeurs HEX spécifiques à un champ de protocole connu. Par exemple, dans un en-tête 802.11, les octets de 5 à 11 sont toujours la source d'une adresse MAC de la trame sans fil, en utilisant le même mappage de modèle, Wireshark (et d'autres renifleurs) peuvent reconstruire et décoder statique (et bien connu) champs de protocole.

Vous pouvez enregistrer tous vos vidages de trafic en utilisant le commun .pcap format qui pourrait être utilisé plus tard comme entrée, par exemple, pour des scripts python qui effectuent des opérations avancées sur le trafic collecté (par exemple le craquage des modèles de chiffrement).

L'autre outil dont vous devez être conscient est Kismet. Dès que vous démarrez votre outil Kismet et spécifiez lemon0 interface, il listera tous les SSID détectés dans votre environnement.

Pendant le temps de fonctionnement de Kismet, tous les paquets sans fil sont collectés et stockés dans le .pcapdes dossiers. Lorsque vous quittez un programme, vous recevez un message indiquant que tous les vidages de paquets sans fil ont été enregistrés et que vous pouvez y accéder par la suite.

Dans l'exemple présenté ci-dessus, tous les dumps de paquets ont été stockés dans les fichiers binaires (ils ne sont pas dans un format lisible, lorsque vous ouvrez ces fichiers avec «plus» ou «vi» ou «nano», etc.).

Pour les ouvrir correctement, vous devez utiliser Wireshark (encore une fois!).