Air Watcher: descubrimiento de dispositivos inalámbricos en InprOTech Guardian

En los entornos industriales modernos, garantizar medidas de seguridad robustas contra dispositivos inalámbricos no autorizados es esencial tanto desde una perspectiva operativa como normativa. La creciente adopción de tecnologías inalámbricas, como WiFi (IEEE 802.11) y Bluetooth, ofrece múltiples beneficios, pero también introduce riesgos significativos. Entre estos riesgos destacan la posibilidad de accesos no autorizados, brechas de datos y potenciales interrupciones en las redes críticas.

Para abordar estos desafíos, InprOTech ha desarrollado Air Watcher, una nueva funcionalidad de nuestra herramienta Guardian, que nos permite una monitorización y descubrimiento de dispositivos inalámbricos y de sus actividades, basada en la librería Scapy de Python. Esta solución está diseñada específicamente para identificar y supervisar dispositivos inalámbricos en entornos industriales, proporcionando un enfoque proactivo para la gestión de la seguridad y la detección de actividades potencialmente maliciosas.

Por qué InprOTech Guardian?

InprOTech Guardian es una herramienta de ciberseguridad específicamente diseñada y desarrollada para proteger redes industriales. Su objetivo principal es monitorizar el tráfico generado en los entornos de producción y analizarlo basándose en una combinación de reglas estáticas, comunitarias y potenciadas por inteligencia artificial. Este enfoque permite identificar amenazas de manera efectiva y emitir alertas en tiempo real, notificando directamente a los responsables de planta y/u operarios sobre posibles ataques o fallos operativos, pudiendo anticiparse y reducir su impacto. 

Además de sus capacidades de análisis de tráfico y respuesta ante incidentes, InprOTech Guardian incluye herramientas adicionales para abordar otros vectores de ataque críticos, entre las que destaca Air Watcher, un módulo de detección y monitorización de dispositivos inalámbricos. Air Watcher refuerza la seguridad industrial al identificar posibles puntos de acceso o intentos de acceso no autorizados, un factor esencial que deber ser considerado en cualquier estrategia integral de ciberseguridad.

Scapy 

InprOTech Guardian emplea Scapy, una potente biblioteca de código abierto escrita en Python que permite la captura, manipulación y análisis de paquetes inalámbricos, así como del tráfico de red. Se trata de una herramienta ampliamente reconocida en el ámbito de la ciberseguridad por su versatilidad y capacidad para interactuar con una extensa gama de protocolos de red.

Entre sus características más destacadas, Scapy ofrece Soporte integral para protocolos inalámbricos clave, incluyendo WiFi (IEEE 802.11) y Bluetooth, convirtiéndola en una herramienta esencial para Air Watcher.

Capacidades Clave de Scapy

1. Creación e Inyección de Paquetes: Scapy permite a los usuarios construir y enviar paquetes diseñados a medida, una funcionalidad esencial para pruebas de penetración, auditorías de seguridad y simulaciones de ataques controlados.
2. Análisis de Protocolos: Con su capacidad para diseccionar y analizar una amplia gama de protocolos, Scapy proporciona información granular sobre las comunicaciones.
3. Arquitectura extensible y modular: La naturaleza modular de Scapy permite su personalización para adaptarse a las necesidades específicas de cada entorno.
4. Captura de Paquetes: Scapy puede capturar paquetes en vivo desde múltiples interfaces, permitiendo la monitorización continua del tráfico.

Desarrollo

Guardian, fiel a su propósito como un agente pasivo y discreto, se enfoca exclusivamente en la captura de paquetes IEEE 802.11 de los siguientes tipos:

1. Probe Request: Paquetes enviados por dispositivos en búsqueda de redes disponibles.
2. Beacon: Paquetes de difusión generados por los puntos de acceso para anunciar su presencia.
3. Association/Reassociation: Paquetes que se generan durante un intento de conexión o una reconexión a una red.
4. Data Frames: Paquetes que indican que un dispositivo está transmitiendo información, proporcionando evidencia de actividad en la red.

Para maximizar la cantidad de tráfico capturado, Guardian implementa la técnica de Channel Hopping, que consiste en cambiar continuamente entre los distintos canales WiFi, logrando así una cobertura más completa del espectro inalámbrico.

En cuanto al escaneo de dispositivos Bluetooth, Guardian emplea la interfaz Bluetooth del sistema para capturar paquetes HCI (Host Controller Interface) generados durante búsquedas activas. Este proceso consiste en enviar solicitudes de muestreo y escuchar las respuestas de los dispositivos presentes dentro del rango de acción.

Los paquetes capturados contienen únicamente información pública proporcionada por los dispositivos detectados, la cual es extraída y procesada para su análisis. Este enfoque garantiza una monitorización eficiente y de forma no intrusiva, ofreciendo una visión precisa de los dispositivos Bluetooth activos en el entorno. 

La herramienta tiene como objetivo:

1. Identificar Dispositivos Inalámbricos: Capturar y analizar paquetes WiFi y Bluetooth para identificar dispositivos inalámbricos en un entorno, basándose en sus direcciones MAC y actividades específicas realizadas en el momento de la captura.
2. Monitorizar Actividades y Anomalías: Supervisar las comunicaciones inalámbricas para detector patrones inusuales, dispositivos desconocidos, accesos no autorizados o actividades que representen riesgos para la seguridad industrial.
3. Emitir Alertas: Generar alertas automáticas para actividades o dispositivos sospechosos que puedan representar amenazas de seguridad.

Beneficios

El desarrollo e implementación de Air Watcher proporciona múltiples ventajas clave para fortalecer la seguridad en entornos industriales:

1. Visibilidad Mejorada y Seguridad Optimizada: Ofrece una monitorización en tiempo real de dispositivos inalámbricos, proporcionando una visión clara de sus actividades. Esto permite identificar rápidamente dispositivos no autorizados y actuar de manera inmediata para mitigar posibles amenazas, optimizando la protección de la red.
2. Gestión Proactiva de Amenazas: Permite que los equipos de seguridad puedan responder de manera ágil y eficaz ante eventos sospechosos o comportamientos anómalos, reduciendo significativamente el riesgo de interrupciones operativas y posibles vulnerabilidades.
3. Cumplimiento Regulatorio y Normativo: Ayuda a cumplir con estándares y normativas de seguridad industrial, reforzando el cumplimiento de políticas relacionadas con la gestión y monitorización de dispositivos inalámbricos.
4. Rentabilidad y Eficiencia: Al estar basado en tecnologías de Código abierto como Scapy, Air Watcher minimiza los costes asociados con su implementación y mantenimiento, ofreciendo una solución robusta y accesible sin comprometer el presupuesto.

Resumen

En conclusión, el desarrollo de AirWatcher, la herramienta de descubrimiento de dispositivos inalámbricos de InprOTech Guardian, responde a la creciente necesidad de fortalecer la seguridad en entornos industriales. Aprovechando las avanzadas capacidades de captura y análisis de paquetes de Scapy, Air Watcher proporciona visibilidad integral en tiempo real, facilita la gestión proactiva de amenazas y facilita su integración con los sistemas de seguridad existentes. 

Además, los beneficios en términos de la mejora de la seguridad y el cumplimiento normativo convierten a Air Watcher en una adición crucial a las medidas de seguridad industrial. Mediante una implementación meticulosa y una mejora continua, esta herramienta tiene el potencial para contribuir de manera significativa a la protección de entornos industriales frente a amenazas inalámbricas.

Recursos

[1] https://inprotech.es/guardian/

[2] https://scapy.net/

[3] 802.11 — Parte I: Introducción al protocolo, estructura y sus componentes | by Pablo Demian Rebolini | Medium

[4] Qué bandas de frecuencias WiFi hay: Explicación 2.4 GHz, 5 GHz y 6 GHz

[5] 802.11 Frame Types and Formats – How I WI-FI