BruteForce

Air­crack-ng est une suite d’ou­tils per­met­tant de ren­trer dans un réseau wi-fi


On va com­men­cer par iden­ti­fier nos cartes réseaux qui sont capable de scan­ner du wi-fi, en soit notre carte WIFI. iwconfig

Ici je vois que le nom de ma carte réseau qui peut le faire est wlp3s0

Nous avons besoin de pas­ser notre carte  WIFI en mode moni­tor, lui per­met­tant d’é­cou­ter tout le traf­fic sur les réseaux WIFI.

airmon-ng start wlp3s0

Si on recheck notre carte réseau avec iwconfig , on voit que son nom à chan­ger wlp3s0mon à la fin pour indi­quer qu’elle est en mode ” monitor ”

On va com­men­cer à regar­der tout le traf­fic que la carte arrive à cap­tu­rer pour déter­mi­ner les réseaux.

airodump-ng wlp3s0mon


Ana­lyse de ce réseau

airodump-ng -c 6 --bssid 22:0F:47:7F:AD:ED -w oneplus7tpro wlp3s0mon

Des­crip­tion de la com­mande:
L’op­tion ‑c spé­ci­fie le chan­nel, récu­pé­ré pré­cé­dem­ment “CH”.
L’op­tion –bssid spé­ci­fie l’a­dresse MAC du rou­teur, récu­pé­ré pré­cé­dem­ment.
L’op­tion ‑w spé­ci­fie le nom du fichier, je prend pour habi­tude de mettre le même nom de fichier que celui du réseau.

On peut voir que j’ai déjà récu­pé­ré le Hand­shake, en haut à droite de la cap­ture d’é­cran. Si le hand­shake n’est pas récu­pé­ré, vous pou­vez le récu­pé­ré grace à l’é­tape sui­vante.
La caté­go­rie sta­tion montre qu’il y’a un équi­pe­ment de connec­té au point d’ac­cès wifi.

Envoi d’une demande de décon­nexion

Ceci est trans­pa­rent pour l’u­ti­li­sa­teur final. Elle per­met de récu­pé­rer un hand­shake plus rapi­de­ment.

aireplay-ng -0 2 -a 22:0F:47:7F:AD:ED -c D0:B1:28:89:54:E9 wlp3s0mon

Des­crip­tion de la com­mande:
L’op­tion ‑0 2 spé­ci­fie l’en­voi de deux demandes de décon­nexion.
L’op­tion ‑a spé­ci­fie l’a­dresse MAC du rou­teur ( BSSID ).
L’op­tion ‑c spé­ci­fie l’a­dresse MAC de l’ap­pa­reil actuel­le­ment connec­té.


Bru­te­force du mot de passe

air­crack-ng oneplus7tpro.cap dic­tion­naire

Principe

Fail2Ban est une appli­ca­tion qui ana­lyse les logs des divers ser­vices en cher­chant des ten­ta­tives répé­tées de connexion répé­tées qui ont échoués et met en place un ban­nis­se­ment en ajou­tant une règle au pare-feu Iptables pour  ban­nir l’a­dresse IP source.


Avantages

Fail2Ban per­met donc d’é­vi­ter la sur­charge des logs et l’u­ti­li­sa­tion de la bande pas­sante cau­sé des robots qui tentent des attaques brute-force ( Ex avec Hydra ) et per­met donc une cer­taine sécu­ri­té. Cela n’ex­clut pas le besoin d’un mot de passe fort.


Installation

Il suf­fit d’ins­tal­la­tion fail2ban qui est pré­sent dans les dépôts de Debian

apt install fail2ban

Configuration

Il faut créer le fichier de confi­gu­ra­tion dans /etc/fail2ban/fail.d/custom.conf
[DEFAULT]
igno­reip = 127.0.0.1
find­time = 3600
ban­time = 604800
max­re­try = 3

  • igno­reip = Votre IP Public & Pri­vée et l’in­ter­face de bou­clage
  • ban­time = 604800 soit 1 semaine
  • find­time = 3600 soit une heure ( Recherche les logs 1h )
  • max­re­try = 3 Une IP sera ban­nie au bout de 3 erreurs

Nous pou­vons main­te­nant ajou­ter à les ser­vices à sur­veiller
[sshd]
enabled = true
port = 22

systemctl restart fail2ban


Auto­ri­ser un uti­li­sa­teur ban­ni

Fail2Ban fonc­tionne avec IPtables, donc quand un uti­li­sa­teur est fil­tré, c’est qu’une règle IPtables à été créée
Lis­ter les tables:

iptables -L

Repé­rer votre la ligne de l’IP ban­nie qui est à enle­ver dans la chaine f2b-sshd.
Puis on l’a dé-banne avec la ligne sui­vante :

iptables -D f2b-sshd 2