Reverse Engineering d’un réseau local de résidence. Service type portail captif.

Lorsque l’on se connecte à la borne WiFi du coin, on chope une adresse IP, une adresse de passerelle (normal) et un serveur DNS. Les gens (ingénieurs ?) qui ont imaginé la solution ont décidé d’isoler chaque client dans un VLAN (ce qui est bien).

En résumé, voici un exemple de paramètres qu’on peut avoir sur 2 postes :

  • Poste X
    • Adresse IP : 172.16.xx.253/24
    • Gateway : 172.16.XX.254/24
    • DNS : 192.168.aa.bb/cc
  • Poste Y
    • Adresse IP : 172.16.yy.253/24
    • Gateway : 172.16.yy.254/24
    • DNS : 192.168.aa.bb/cc

Chaque poste est isolé dans son réseau en /24 et c’est en fait un VLAN qui sera routé par ce qu’on (je ?) appelle un routeur Inter-VLAN.

Jusque que là, c’est très bien car la machine X ne peut pas communiquer avec Y et vice-versa. SAUF que c’est du WiFi, on se met en mode « promiscuous » et on peut écouter tout ce qui ce qui circule, tel ces bon vieux HUB …

Les grosses failles exploitables :

  • Il suffit de spoofer l’adresse MAC de quelqu’un, de le déconnecter de la borne avec mdk3 ou aircrack, de se connecter à la borne WiFi, et le reste sera fait automatiquement, vous avez le Web o/
  • Comme le réseau Wifi est OPN, vous pouvez voir tout ce qui circule en clair. Tiens mais qu’est-ce que ce protocole MSN et ses adresses @hotmail. Tiens GET /balbla?login=toto&pass=PasSecret
  • Vous pouvez rejoindre le réseau d’un poste et vous amuser. Vous ne serez pas connecter à Internet, mais vous pourrez vous amuser à scanner tous les postes de la résidence.
  • Le portail captif est en … HTTP, à vous les mots de passe des usagers, mais qu’importe il suffit de spoofer l’adresse MAC d’un autre poste, c’est encore mieux 😉

L’idéal pour sécuriser et proposer ce genre de service ?

Une borne ouverte qui propose une page d’authentification, en HTTPS, qui lorsque l’on s’authentifie nous donne le nom d’un BSSID caché, et une passphrase WPA2 généré aléatoirement. On se connectera ensuite ici.

Faire écouter une borne sur de multiples BSSID c’est facile, générer un BSSID associé à une passphrase c’est aussi facile, et ce genre de solution serait beaucoup plus sécurisé, car il serait impossible d’espionner les conversations des autres postes ET de spoofer un accès, auquel cas il vous faudra faire du cracking WPA.

Schéma

Je me suis amusé à faire un schéma de l’infrastructure actuelle, tel que j’ai l’ai analysé.
schéma

Le mot de la fin

Passez par des VPN ou tunnels socks SSH quand vous vous connectez sur ce genre de passoire !

4 replies on “Reverse Engineering d’un réseau local de résidence. Service type portail captif.”

  1. Ils ont voulu sécurisé un minimum même si c'est totalement raté.
    On dira que c'est intention qui compte 😛

    Mais oui clairement il faut toujours passer par un tunnel sur un hotspot, voir partout, on sait jamais qui est sur le réseau, il se peut que quelqu'un fasse de l'arp spoofing ou autre.

    Sinon bel article 😉

  2. @BestPig :
    Je viens de m’apercevoir que toutes les IPs avec lesquelles je sors sont accessible en telnet, ssh, http (Router web configuration… ça veut tout dire) et https (Accès admin un_nom_de_boîte).

    Comme j’ai pas parlé de la partie portail captif (qui est sur un serveur OVH), le telnet ou ssh doit permettre de dire au firewall 192.168.AA.CC, tel IP+MAC a été authentifié elle peut maintenant sortir librement.

    Je pense que y’a de quoi s’amuser, mais je n’y mettrais pas les pieds, et pourtant ça me démange, peut-être avant de partir … 😀 (Tout comme le switch est accessible en telnet, avec un peu de chance c’est les credentials par défaut x))

  3. J'allais dire, c'est peut-être sécurisé l'accès au pare-feu pour autorisé les IP, mais enfaite en relisant le reste, je me dit que peut-être pas.

    Ça serait vraiment drôle de pouvoir débloquer les IP à la volée quand même, le portail captif serait vraiment inutile.

  4. @BestPig :
    Je pense c’est ce qui leur permet de te remplacer ta MAC quand tu les appelle pour dire que t’arrive pas à te connecter. Ces couillons restreignent 1 seule adresse MAC par compte en plus … Du coup moi j’ai deux carte wifi avec la même adresse MAC x’D. (J’ai un script qui jongle entre les deux quand ça déco).

Comments are closed.