Español | English
rss facebook linkedin Twitter

WAWY GPL

En este blog hemos hablado en numerosas ocasiones de la seguridad en redes inalámbricas 802.11. Es más, entre los proyectos que tenemos abiertos y que pueden verse en este mismo blog hay uno que trata especificamente el tema. Dentro de este proyecto se ha desarrollado un IDS para redes WIFI cuyo prototipo se ha decidido liberar.

Este software recoge el tráfico mediante una tarjeta que pueda capturarlo como tráfico 802.11 con cabecera radiotap y lo procesa. En el fichero hay una breve explicación de cómo hacer que una tarjeta con chip Atheros (que son las que hemos utilizado) capture tráfico con cabeceras radiotap. En la imagen, Wireshark muestra un interfaz de captura válido para WAWY.


Este prototipo es un IDS basado en reglas y desarrollado en Python. Junto con el código, hay un documento que describe varios aspectos de su funcionamiento y características. En este post quiero hacer una breve introducción de sus capacidades.

La configuración se hace mediante un único fichero en formato XML, donde se definen las reglas a seguir. Las reglas sencillas son expresiones booleanas que deben cumplir los campos de las cabeceras 802.11 o los de la capa física. Como un ejemplo vale más que mil palabras, aquí hay uno:

dot11.type=0 and (dot11.subtype=10 or dot11.subtype=12) and dot11.destination_addr=ff:ff:ff:ff:ff:ff

Esta expresión comprueba si un paquete es de tipo management (dot11.type=0) de desautenticación o de de desasociación (dot11.subtype=10 or dot11.subtype=12) y se está enviando a broadcast (dot11.destination_addr=ff:ff:ff:ff:ff:ff). El IDS generaría una alerta antes este tipo de tráfico.

En lugar de una unica expresión, se puede comprobar una serie de ellas que suceden de manera sucesiva, pudiendo detectar ataques que necesitan una secuencia de acciones para llevarse a cabo. También se pueden configurar alertas que se generan según el número de veces por segundo que se recoge un tipo de tráfico determinado, como suele pasar en ataques de denegación de servicio o cuando se reinyecta tráfico de manera sistemática.

Que el IDS genere una alerta puede significar varias cosas, según como se haya configurado. Una alerta puede mostrarse por pantalla, guardarse en un fichero, enviarse por red, guardarse en una base de datos, generar una entrada en syslog o combinaciones de estas posibilidades.

El IDS también puede utilizarse para vigilar que nuestros puntos de acceso están bien configurados, haciendo para estos unas comprobaciones sencillas de manera automática y alertando si hay alguna inseguridad grave.

Aún hay más características que podéis comprobar por vosotros mismos. Si conocéis el protocolo 802.11 podéis generar vuestras propias reglas fácilmente y por supuesto, podéis desarrollar a partir del código existente y modificarlo, respetando su licencia. Os animamos a descargarlo y nos gustaría que nos comentarais cualquier sugerencia, duda o idea que tengáis en este blog o en esta dirección de correo.

Patxi Astiz
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login