SSID abierto para estadisticas sobre hackeo 17 septiembre, 2008
Posted by ubanov in Informática-Linux, seguridad.Tags: debian, hack, linux, seguridad, sniffer
trackback
He decidido hacer una pequeña prueba para comprobar cuanta gente se dedica a hackear redes, dado que es muy fácil sacar las passwords de wep (ver artículo hacking-redes-wifi-para-usuarios-windows). Voy a poner un punto de acceso con conexión a Internet para comprobar si hay mucha gente que intente hackear mi red y ver qué es lo que hacen. 🙂
Entiendo que esto eticamente es correcto, en el sentido que yo no voy a hackear ninguna red, sino comprobar si hackean la mía, y quien éticamente lo está haciendo mal son los otros (si alguien tiene otra opinión que me lo diga)
Para ello lo que voy a montar es un punto de acceso con wep y detrás de este punto de acceso voy a colocar una máquina linux, para comprobar cuanta gente llega hasta ella. (Bueno en realidad la máquina que me hace de Firewall tiene tres tarjetas de red, por lo que sólo voy a dejar una red «un poco más accesible»). Después para comprobar cómo de seguras son las comunicaciones de la gente instalaré un dsniff para ver cuantas comunicaciones sin seguridad van por este equipo.
En este artículo os voy a contar cómo voy a montar todo.
Mi máquina servidora es un linux debian 4.0 (como siempre), en ella voy a instalar el bind y el dhcp (para resolver nombre y para dar direcciones ip). En el interface que va a tener conectado el punto de acceso (en mi caso eth0) le voy a dar la dirección ip 192.168.1.1. El DHCP dará direcciones 192.168.1.32-127 y como router y dns la dirección 192.168.1.1. La configuración del dhcp sería más o menos:
default-lease-time 600;
max-lease-time 7200;
authoritative;
log-facility local7;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.32 192.168.1.127;
option domain-name-servers 192.168.1.1;
option domain-name «example.com»;
option routers 192.168.1.1;
}
El punto de acceso va a tener como SSID WLAN_C8 (un típico SSID de los que pone telefónica) y una clave WEP de 128Kbits.
Por último voy a configurar un squid (apt-get install squid) y configurarlo en modo transparente (de forma que pueda auditar a dónde navega la gente que lo use).
Como reglas de firewall voy a poner las siguientes:
#!/bin/sh
INTERFACE=eth0
BITRATE=20kbps
########################
# Reglas de input
########################
# dejamos lo ya establecido de tcp
iptables -A INPUT -i $INTERFACE -p TCP –syn -j ACCEPT
iptables -A INPUT -i $INTERFACE -p TCP -m state –state ESTABLISHED,RELATED -j ACCEPT
# este solo para las pruebas luego comentar
iptables -A INPUT -i $INTERFACE -p tcp –dport 22 -j ACCEPT
# dejamos telnet y http contra nuestro demonio fakerouter
iptables -A INPUT -i $INTERFACE -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -i $INTERFACE -p tcp –dport 23 -j ACCEPT
# navegacion por squid
iptables -A INPUT -i $INTERFACE -p TCP –dport 3128 -j ACCEPT
# entradas para DHCP
iptables -A INPUT -i $INTERFACE -p udp –dport 67 -j ACCEPT
iptables -A INPUT -i $INTERFACE -p udp –dport 68 -j ACCEPT
# entradas para DNS
iptables -A INPUT -i $INTERFACE -p udp –dport 53 -j ACCEPT
iptables -A INPUT -i $INTERFACE -p tcp –dport 53 -j ACCEPT
# resto de entradas por INPUT dejar LOG
iptables -A INPUT -i $INTERFACE -j LOG –log-prefix ‘IPTABLES INPUT ‘ –log-level 4
# resto de entradas por INPUT por el interface DROP
iptables -A INPUT -i $INTERFACE -j DROP
########################
# Reglas de forwarding
########################
# dejamos lo ya establecido de tcp
iptables -A FORWARD -i $INTERFACE -p TCP –syn -j ACCEPT
iptables -A FORWARD -i $INTERFACE -p TCP -m state –state ESTABLISHED,RELATED -j ACCEPT
# dejamos navegacion
iptables -A FORWARD -i $INTERFACE -p TCP –dport 80 -j ACCEPT
iptables -A FORWARD -i $INTERFACE -p TCP –dport 443 -j ACCEPT
# dejamos ftp (?)
iptables -A FORWARD -i $INTERFACE -p TCP –dport 20 -j ACCEPT
iptables -A FORWARD -i $INTERFACE -p TCP –dport 21 -j ACCEPT
# dejamos correo
iptables -A FORWARD -i $INTERFACE -p TCP –dport 25 -j ACCEPT
iptables -A FORWARD -i $INTERFACE -p TCP –dport 110 -j ACCEPT
iptables -A FORWARD -i $INTERFACE -p TCP –dport ssmtp -j ACCEPT
iptables -A FORWARD -i $INTERFACE -p TCP –dport imap3 -j ACCEPT
# resto de entradas por FORWARD dejar LOG
iptables -A FORWARD -i $INTERFACE -j LOG –log-prefix ‘IPTABLES FORWARD ‘ –log-level 4
# resto de entradas por INPUT por el interface DROP
iptables -A FORWARD -i $INTERFACE -j DROP
########################
# Reglas de QoS
########################
# en plan sencillo limitar el ancho de banda
#tc qdisc del dev $INTERFACE root
tc qdisc add dev $INTERFACE root handle 1: htb default 1
tc class add dev $INTERFACE parent 1: classid 1:1 htb rate $BITRATE ceil $BITRATE
#tc filter add dev $INTERFACE protocol ip parent 1: handle 1 fw classid 1:1
# para ver como se comporta: tc filter|class|qdisc show dev eth0
En las últimas líneas limito el ancho de banda que me pueden usar por esta conexión, dedicada a estos «invitados». Para ejecutarlas creo que es necesario el paquete iproute2 (yo es que ya lo tenía instalado).
Para auditar cuantas conexiones no seguras pasan por nuestro router voy a instalar el paquete dsniff (apt-get install dsniff). Una vez instalado ejecuto «nohup dsniff -i eth0 >/tmp/dsniff.log &»
Como curiosidad y para tener más información, he creado además un programa que va a ejecutarse en el servidor linux y que va a simular como si fuese un router dlink (para parecer más una conexión de las de telefónica). Desafortunadamente he sufrido una corrupción de datos en parte del fuente y lo estoy reconstruyendo (tengo el ejecutable). Os pongo lo que tengo (no es creais, falla la parte de parametros, creo que la impresión de las horas y no he probado el módulo de hacer nmap). Aquí tenéis el fuente que tengo. Cuando lo vuelva a acabar actualizaré el link. fakerouter_v1.c
Otra de las cosas que hace el programa es ejecutar un nmap contra la máquina que nos hace un telnet o una petición web… mirad el fuente 😀
De esta forma todos los comandos que ejecuto para poner en funcionamiento mi sistema son los siguientes:
# fichero que he escrito arriba con reglas del firewall
/etc/init.d/appfw
# cambiar mac por una de dlink
ifconfig eth0 down hw ether 00:02:cf:4c:01:01 up
# el que os he pasado no soporta parametros
/usr/local/bin/fakerouter -s 192.168.1.1
# sniffar passwords
nohup dsniff -i eth0 >/tmp/dsniff.log &
Ya os iré contando cuanta gente veo por el sistema… y qué conclusiones saco.
El Weblog de Ivan Ricondo (Ubanov) 
Al final comencé poniendo el AP en abierto (le di resetazo al ap que iba a utilizar para esto). Con esta configuración sólo se me conecta una persona, un ingeniero surferito que lo único que mira es ver qué tiempo va a hacer y poco más. Ahora cambiaré la configuración y le pondré seguridad, y veremos si así se conecta alguien… ahora estoy pensando que lo malo va a ser que como nadie genera tráfico contra este ssid no va a entrar nadie 😦 ya pondré una máquina con emule bajando cualquier cosa 😀
Que malo y que cotilla eres!!
😀
Feliciano: no se puede ser perfecto O:-)
Que conste que no vi nada interesante y ahora lo tengo quitado… cuando lo tenía abierto se me conectaba una sóla persona (un surferito que miraba todo el día el estado del mar). Y con clave wep no se me conectó nadie 😦 Tendré que poner un SSID del estilo «BANCOESPANIA» para que la gente entre 😀
Hola. Felicitaciones por los post!! espero que sigas haciéndolo ya que son muy intersantes!
Lo que queria preguntarte, con respecto a este artículo es lo siguiente:
– Tengo un equipo con Debian Lenny y 3 interfaces de red, una para LAN otra para INET y otra libre.
Bueno, la que tengo libre la quiero emplear para una 2da salida a internet.
Como puedo definir por que conexión salen mis clientes?
Sobre el uso de TC puedo manejar el ancho de banda para cada cliente según su dirección ip?
Muchas Gracias.
No quiero ser abusiva, pero ya que vos no jaqueas y no es robo, no lo podes dejar un tiempo fijo???? Speedy me está sacando canas verdes desde hace un mes y medio. Estimo que en unas semanas definitivamente me instala mi propio wi-fi. Gracias
no entiendo nada…. me lo explique!!!!
fantastic publish, very informative. I ponder why the
opposite specialists of this sector do not notice this. You should continue your writing.
I am sure, you’ve a huge readers’ base already!
I like the helpful information you provide in your articles.
I’ll bookmark your weblog and check again here frequently. I’m
quite certain I’ll learn plenty of new stuff right here! Good luck for the next!
What’s Happening i’m new to this, I stumbled upon this I have found It absolutely helpful and it has aided me out loads. I hope to contribute & aid other users like its
aided me. Good job.