Imagina llevar una Raspberry Pi en tu mochila y caminar por la zona objetivo o apuntar una antena Yagi a otro edificio y recoger horas o días de datos que luego puedes analizar en Graylog para planificar las siguientes etapas de tu prueba de penetración.
¿Qué es nzyme?
El proyecto nzyme utiliza adaptadores WiFi en modo de monitoreo para escanear las frecuencias en busca de comportamientos sospechosos, concretamente puntos de acceso fraudulentos (Rogue AP) y plataformas de ataque WiFi conocidas. Cada trama inalámbrica grabada se analiza y, opcionalmente, se envía a un sistema de gestión de registros Graylog para su almacenamiento a largo plazo que permite realizar análisis forenses y responder a incidentes.
¿Alguna vez te has preguntado qué hacer si atrapas a un actor inalámbrico malicioso? Con nzyme, podrás reconstruir lo que ha ocurrido, quién ha sido el objetivo y quién se ha visto comprometido con éxito.
Se generan automáticamente varios tipos de alertas. Las técnicas empleadas van desde el análisis basado en firmas de la infraestructura de red esperada, la evaluación del panorama de amenazas con fingerprinting hasta la colocación de trampas con capacidad de engaño.
¿Qué no es nzyme?
nzyme no está diseñado para moverse físicamente de ninguna manera. Se supone que debe permanecer inmóvil y observar constantemente el espectro de radiofrecuencia WiFi. Si estás buscando una herramienta de reconocimiento de WiFi o de wardriving, deberías echar un vistazo a Kismet.
(Obviamente no se romperá por moverse, pero la interfaz y algunas de las funcionalidades ya no tendrán mucho sentido).
¿Por qué?
Hay un problema con los enfoques existentes. Las herramientas como Kismet son estupendas para detectar un ataque, pero no almacenan todas las tramas que se necesitan para responder adecuadamente a una alerta.
De acuerdo, ha habido un ataque de un punto de acceso malintencionado, pero no tengo forma de averiguar quién se ha conectado a él, durante cuánto tiempo ha estado allí o dónde estaba ubicado físicamente.
Wireshark/tcpdump pueden recoger las tramas, pero se quedan cortos en la recogida y análisis a largo plazo. Es casi imposible detectar un punto de acceso fraudulento por la marca de tiempo de la MAC o las anomalías en la intensidad de la señal. Imagínate el tiempo que se tardaría en cargar un archivo PCAP con unos cuantos días de datos.
Aquí es donde entra nzyme: Al escribir los datos en Graylog, puedes analizar y visualizar datos de meses en unos pocos milisegundos, incluso en un hardware modesto.
Instalación
Todo el hardware que necesitas está disponible en Amazon Prime y no es muy caro. Incluso es muy probable que ya tengas las piezas.
Cosas a tener en cuenta
Algunas cosas generales que hay que saber antes de empezar:
- El éxito dependerá en gran medida de la compatibilidad de tus adaptadores y controladores WiFi. Tienes que ser capaz de configurar los adaptadores en modo monitor. Utiliza los adaptadores recomendados que se indican para obtener los mejores resultados.
- Nzyme funciona bien tanto con el OpenJDK como con el Oracle JDK y requiere al menos Java 11.
- Los adaptadores Wifi pueden consumir bastante corriente y las Raspberry Pi se apagan al conectar más de 3 adaptadores ALFA. Considera esto antes de comprar toneladas de adaptadores.
- Las guías de instalación asumen que ya has endurecido tu sistema operativo y pasaste por la configuración estándar como zona horaria, locales, etc.
Requisitos
El componente más importante son los adaptadores WiFi que soportan el modo monitor. El modo monitor es el estado especial de un adaptador WiFi que le hace leer y reportar todas las tramas 802.11 y no sólo ciertas tramas de gestión o tramas de una red a la que está conectado. También se podría llamar a este modo modo de sniffing: El adaptador sólo informa de todo lo que ve en el canal al que está sintonizado.
El problema es que muchas combinaciones de adaptador/controlador/sistema operativo no soportan el modo monitor.
Internet está lleno de información sobre compatibilidad, pero aquí están los adaptadores con los que se sabe que nzyme funciona bien:
- ALFA AWUS036NH – 2.4Ghz
- ALFA AWUS051NH v.2 – 2.4Ghz y 5Ghz
- ALFA AWUS036NEH – 2.4Ghz
- Panda PAU05 – 2.4Ghz
- Panda PAU06 – 2.4Ghz
- Panda PAU07 – 2.4Ghz y 5Ghz
- Panda PAU09 – 2.4Ghz y 5Ghz
- Si tienes otro que soporte el modo monitor, puedes usar ese.
También necesitas pequeño ordenador para ejecutar nzyme. El autor recomienda ejecutar nzyme en una Raspberry Pi 4 con 4 GB de RAM.
Instalar nzyme
Esta guía se basa en Ubuntu Server 20.04 .
- Comenzamos instalando Java 11 (OpenJDK), PostgreSQL (el servidor de base de datos utilizado por nzyme) y libpcap
sudo apt update && sudo apt install -y libpcap0.8 openjdk-11-jre-headless postgresql-12 wireless-tools- El siguiente paso es descargar e instalar nzyme
wget https://assets.nzyme.org/releases/nzyme-1.1.0.deb
sudo dpkg -i nzyme-1.0.0-beta.1.debLa descripción más detallada y las instrucciones de instalación se pueden encontrar en esta documentación.
nzyme (este enlace se abre en una nueva ventana) por lennartkoopmann (este enlace se abre en una nueva ventana)
Network Defense System.
