it-swarm-tr.com

Sahte erişim noktasını izleme

Yaklaşık bir ay boyunca trafiği durdurmaya çalışan sahte bir erişim noktasıyla ilgili birden fazla rapor aldık. Bir saldırganın wifi ananas veya benzeri bir donanım aygıtı kullandığından şüpheleniyorum. Kısa süreler boyunca bunu mümkün kılıyorlar ve sonra tepki gösterecek zamanımız olmadan kayboluyorlar. Bu saldırı tekrar ortaya çıktığında hızlı tepki verebilmek ve onları tutuklamak istiyorum.

Bu tehditle yüzleşmenin en iyi yolu nedir?

22
rook

Sahte erişim noktalarının bulunmasının genel yolları:

  • Kurumsal wi-fi erişim noktası, zamanının bir kısmını sadece müşterilere hizmet etmekle kalmaz, aynı zamanda diğer wi-fi trafiği için çeşitli kanalları dinler. (Bu, daha az kanalın bulunduğu 2.4Ghz bandı için en iyi sonucu verir. Neyse ki, aynı zamanda değirmen akışı, hedefli olmayan saldırıların da olacağı yer burası. AP yerine özel bir sensör de kullanabilirsiniz. İki telsiz erişim noktasının bir telsizini tam zamanlı sensör radyosu olarak da yapılandırabilirsiniz.)
    • Bu bilgiler tipik olarak bazı mekanizmalar (snmp tuzağı, snmp yoklaması, tescilli bildirim protokolleri, vb.) Aracılığıyla merkezi bir sisteme (kontrolör, kontrolör yönetme yazılımı vb.) Rapor edilir. Muhtemelen böyle hissediyorsanız merkezi bir sistemi kendiniz yazabilirsiniz, ancak pratikte kablosuz ekipmanların SNMP'sine sahip üçüncü taraf arayüzleri biraz hit veya miss olabilir ve veriler herhangi bir standart biçimde mevcut değildir. Ayrıca bildiğim b gibi patentle ilgili çıkarımlar da var.
    • Merkezi sistem, BSSID'nin kuruluşunuzun ağına ait bilinen, geçerli bir erişim noktasına ait olup olmadığını kontrol eder.
    • Merkezi sistem bildirilen hileyi güvenlik açısından analiz edecektir. (Örneğin, açık bir ağda MyCorp'un SSID'sini yayınlayan sahte bir erişim noktası MyCorp çalışanları için bir tehdittir, ancak PANERA veya NEIGHBORCORP-GUEST veya eşler arası bir wifi bağlantısı gibi farklı bir SSID yayınlayan bir şey tehdit.)
  • Paket yolundaki wi-fi denetleyicileri gibi aygıtlar, kablosuz ağda bulunan bir MAC adresi görüp görmediklerini görmeye çalışabilirler. kablolu ağda beklenmedik bir şekilde. Eğer öyleyse, bu kablolu ağın atmosfere bağlı olduğunun bir işaretidir ve hangi denetleyici bağlantı noktasına bağlı olduğunu bilirsiniz.
  • Yaygın tüketici sınıfı ağ ekipmanı göstergelerini (ör. Bir Linksys) aramak için kuruluş ağında, 80 veya 443 numaralı bağlantı noktasında web sayfaları isteyerek ve/veya nmap gibi bir araç çalıştırarak etkin bir tarama gerçekleştirilebilir. Giriş sayfası).
  • Kablolu altyapı (anahtarlar, yönlendiriciler) MAC adresleri içeren köprü yönlendirme tabloları için sorgulanabilir. Bu MAC adresleri, kablosuz ağ ekipmanı üreticisinin (örneğin Linksys) bir OUI'sine ait olup olmadıklarını görmek için analiz edilebilir.
  • Kuruluşunuzun dizüstü bilgisayarlarına veya erişim noktasının algılayabileceği aynı türde bilgilerin çoğunu (SSID/BSSID listeleri, vb.) Raporlayan ve bunları yukarıda belirtilen merkezi sisteme bildiren diğer bilgisayarlara yazılım yükleyebilir veya SSID'yi bilgisayar aslında bağlı. Dizüstü bilgisayarın evde ofiste olup olmadığını anlamanıza yardımcı olabilir mi yoksa potansiyel olarak diğer birçok erişim noktasını da görürsünüz.

Bu cihazlara karşı gerçekleştirilebilecek eylemler şunları içerir:

  • anahtardaki ağ bağlantı noktasını kapatma (saldırgan ağınız üzerindeyse)
  • 802.11 paketlerini istemcileri bu erişim noktasından ayırmaya zorlamak, özellikle sisteminizin kuruluşunuza ait olduğunu tanıdığı kablosuz istemciler için (genellikle "haydut tutma" olarak adlandırılır)
  • haydut erişim noktasının konumunu sinyal gücünden (erişim noktalarınız tarafından bildirildiği gibi) ve wifi ağ düzeninizden üçe ayırabilen bir ağ görselleştirme aracı kullanarak, o konuma yürüme ve şahsen bulma
    • veya izlemek için başka bir sinyal algılama aracı kullanarak

En iyi 3 kurumsal kablosuz sağlayıcı (Cisco, Aruba, Motorola), bu özelliklerin birkaçına veya tümüne sahip bir kablosuz IPS) sunacak ve bazı küçük satıcılar da bunu yapacak. neden ucuz ev Linksys wifi yönlendirici daha pahalı.

15
user12272

Sahte bir erişim noktası, LAN'a bağlandığını, bu da bağlantı noktası güvenliğini kullanarak kolayca algılanabileceğini gösterir.

Bu WiFi ananas az çok ağınızda olmayan bir bal küpüdür. Ağınızda olmadığı için bunu tespit etmek çok daha zor olacaktır. Sanırım sadece SSID'nizi aldatmak mı?

Peki, algılayabileceği tüm erişim noktalarını listeleyen ve bunları sayan bir komut dosyası yazmaya ne dersiniz? Ayrıca, SSID'nin MAC'larına bakmak için taramak için bir şeyler ekleyebilir ve SSID'nizin adını içeren bir SSID veya benzeri bir şey (Şirketim veya Şirketim-yeni) olup olmadığını ve kendi aygıtları. Bir mac adresini taklit etmenin oldukça kolay olduğunu ekleyebilirim, SSID'leri saymak daha kolay olabilir.

7
Lucas Kauffman

Wifi erişim noktalarını fiziksel olarak bulmaya çalışan telefon uygulamaları vardır. Android bunlara sahip, ancak Apple bu tür uygulamaları mağazalarından aldıklarına inanıyorum, ancak saldırıya uğramış pazarda mevcutlar: https :? //market.Android.com/details id = girsas.wifiradar & hl = tr

Bu, bir koordinasyon ve potansiyel konumun daraltılmasını gerektirebilir, ancak bunu izlemek için değerli veriler sağlamalıdır.

6
schroeder

Bunu da okuyun! http://seclists.org/pen-test/2007/Nov/57

Wifi Ananas, bir kişinin bu gibi durumlarda kullanabileceği bir cihazdır. Ne tür raporlara sahip olduğunuzdan emin değilim, ancak kişi taşınabilir bir Rouge-AP kullanıyorsa, büyük olasılıkla mobil (yürüme, bisiklete binme) veya statik ancak AP'lerinizin yakınına (kahve içme veya dizüstü bilgisayar veya akıllı telefon bile) ...

Gerçekten tehlikeli oluyor çünkü wifi ananas gibi portatif rouge-AP'lerle uğraşırken ilgilendiğiniz kişinin aslında şirketiniz arasında olduğu anlaşılıyor ... Bir içeriden.

Yani, mobil olmanız gereken böyle bir mobil tehditle mücadele edersiniz. Zaten insanlar rouge-AP SSID'leri taramak için wifi ile mobil akıllı telefon için uygulamalar indirmeyi önerdi. SSID'yi taklit etseler bile bir mac adresi de çekilebilir ve değerlendirilebilir (bu size cihazın Menşeini verecektir) [SPOOFED OLABİLİR}.

NASIL: WARDRIVING/WARWALKING Kablosuz varlıklarınızın geçerli donanım MAC adreslerinin bir listesine ihtiyacınız olacak ve kablosuz tarama uygulamalarına sahip çok sayıda cep telefonu ve kablosuz MAC adresleri listesi ile dolaşacaksınız. Hemen hemen gizli görünebilirsiniz, çünkü kimse sadece bir akıllı telefonun bu doğadaki şeyleri başarabileceğini düşünmez. (Gerçekte, bir kol saati bile artık bir kablosuz ağın güvenliğini tehlikeye atabilir ...) VEYA, kablosuz sinyalleri taramak için kullanılabilir, ve tamamen göze çarpmayan görünüyorsun. http://hackaday.com/2011/12/27/rooting-a-Motorola-actv-Android-wristwatch/

Şüpheli saldırganınız da radarın altında kalmaya çalışıyor. Bu, yalnızca kablosuz istemci köprüsü veya Karma rouge-AP olarak görev yapan güvenliği ihlal edilmiş bir uzak yönlendirici olabilir. Wardriving'e giderseniz, InSSIDer çalıştıran pencerelere sahip bir dizüstü bilgisayar (dizüstü bilgisayarlarla çarpma önerilir) kullanabilirsiniz. MAC listesini al ve taramaya git. MAC adres listenizi bir not defterine koyun ve AP'nizin keşfine göre kontrol edin. BURAYA: www.metageek.net/products/inssider/

Başka bir seçenek, kablosuz spektrumu teklifinizi (yasal bir şekilde) yapmaya zorlamak Taktik Kimlik Doğrulama saldırıları, yine de ortaya çıkan bu tür tehditlerden kablosuz bağlantı elde etmenin bir sonraki dalgasıdır ... BURADAN

Söyleyebileceğim tek şey bir wifi ananasım var ve şimdi birkaç tıklama ile neler yapabileceğinizi delilik ... Bu tehdidi en kısa sürede durdurmanız gerekiyor ya da geç olabilir ve kurumsal ağınız cehennem altında -ateş. Kablosuz özellikli cep telefonları da artık bir tehdit ... Ortalama akıllı telefonunuz aynı zamanda bir rouge-AP olabilir ve trafiği koklayabilir, SSL'yi şeritleyebilir ...

BURADAN

Gelecekte, şirketinizin bugün piyasada bulunan kablosuz IDS/IPS sistemlerine bakmasını öneriyorum. Bazıları, yukarıda söylediğim tüm savunma numaralarına bile sahip. ;-) Bu konuda size iyi şanslar! Benimle temas kurmaktan çekinmeyin ben yardımcı olabilir !!! ;-)

5
TyTech1337

Cihaz aralıklı olarak açık olduğu için konum zorlayıcıydı. Zamanınız ve kaynaklarınız varsa, bu sinyali avlamanın bir yolu var.

İki kablosuz cihaza ihtiyacınız var ve farklı makinelerdeyse (muhtemelen yönü hareket ettirmek için olması gerekir), günlük kaydı için iyi zaman senkronizasyonu. Kişi çok yönlü bir antene sahip olmalıdır. Diğerinin yüksek kazançlı bir yönlü anteni olmalıdır. O cihazlara O ve D diyeceğim.

Cihaz [~ # ~] o [~ # ~] haydut erişim noktasını her gördüğünde, sinyal gücünü cihaz tarafından görülenle karşılaştırmalısınız [~ # ~], d [~ # ~] . Karşılaştırma, [~ # ~] d [~ # ~] 'ın kör bir yöne işaret edildiğini bildirmek için gereklidir. Koni size güçlü bir okuma sağlayan bir yönü gösterene kadar cihazı [~ # ~] d [~ # ~] döndürün. Bu okumaya sahip olduğunuzda, [~ # ~] d [~ # ~] çok farklı bir yere yerleştirin ve tekrar değerlendirmeye başlayın. Bulunduğunuz her yerden en güçlü hat/kapsama konisini seçmenize izin veren bir dizi okuma yapmanız gerekir [~ # ~] d [~ # ~] . Bu, cihazın yerleştirilebileceği yeri hızla daraltmalıdır.

Uygulama hakkında daha fazla ayrıntı --- http://en.wikipedia.org/wiki/Direction_finding adresinde bulunmaktadır. Daha hızlı konum yöntemleri de vardır, ancak daha karmaşık ekipman ve nispeten karmaşık yazılımlar gerektirirler.

4
Jeff Ferland

Dakikada bir wifi bilgisayarda iwlist eth1 scan Çağıran basit bir cron betiği yazın ve erişim noktanızın adlarının birden fazla hücre olarak görünüp görünmediğini (veya başka bir şekilde anormal görünüp görünmediğini) görün. Bir şey kapalıysa, kaynağı saptamaya çalışan yöneticilere e-posta gönderin.

Sinyalin geldiği yönü belirlemek için bir yönlü wifi antenleri kullanmaya çalışmanızı öneririm; veya wifi-yön algılama Android app schroeder'ın çözümü gibi. Bu adım muhtemelen en iyi birden fazla kişi ile yapılır, farklı yerlerde hareket eder; sinyalin nasıl güçlendiğini/zayıfladığını görüyorum. mutlaka sinyalin çok yönlü olduğunu varsayın; bakınız örneğin [2] , bu nedenle basit üçgenleme işe yaramayabilir.

Son olarak, kötü ikizin gerçekten ağınız olarak maskelememesi için WPA veya şifreleme kullanmaya başlamak mümkün müdür?

3
dr jimbob

Şu anda iki yöntem olduğuna inanıyorum. Birincisi, AirCheck gibi bir fiziksel dedektör kullanabilmeniz ve bulana kadar sinyali takip edebilmenizdir. O zaman oraya koyduğunuzu ya da başka birinin koyduğunu tespit edebilirsiniz.

Diğer yöntem onları ağ tarafında bulmak olacaktır. Bu makale Nessus'u kullanmanın nasıl mümkün olduğunu detaylandırıyor ve fiziksel bir tarayıcı kullanmanın dezavantajlarından bahsediyor (farklı frekanslar, parazit vb.).

Fiziksel olarak bir tane bulursanız, en iyi çözüm soketten sökmek olacaktır!

Ağ açısından (Güvenlik duvarları/anahtarları hakkında sınırlı bilgiye sahibim, bu yüzden bu saçmalık olabilir), ancak hangi bağlantı noktasına bağlı olduğunu bulabilirseniz, bu bağlantı noktasının bağlantısını kesmek veya MAC adresini kara listeye almak mümkün olabilir. Ancak bunu daha fazla bilgiye sahip biriyle teyit etmeniz gerekir.

3
fin1te

Bunun nasıl yapılacağı şirketinizin büyüklüğüne ve fiziksel varlığına ve ne sıklıkta yapmak istediğinize bağlıdır. Sen haydut wifis için tarama ama başka bir şey yapmak yükleyebilirsiniz gerçek haydut wifi dedektörleri vardır ama bu muhtemelen overkill. Şansı yapmanın en iyi yolu, telefonunuza ücretsiz bir dedektör takmak ve puan aramak için dolaşmaktır. Yaklaştıkça sinyal güçlenir, uzaklaştıkça zayıflar, bu yüzden bir sinyali takip ederseniz ve zayıflamaya başlarsa bir erişim noktasını geçtiğinizi bilirsiniz. Kurumsal bir WiFi çözümünüz varsa, bu işlevselliği de sunabilir. Cisco ve Aerohive'ın her ikisi de kutudan haydut wifi algılama içeriyor, bir göz atmaya değer olabilir biliyorum. Onları bulduğunuzda ne yapmanız gerektiği, fişi çekmek kadar basit değildir. Birisi bir kablosuz erişim noktası satın alma ve bunu yükleme zorluğu ve masrafından geçtiyse, BT departmanının yapmadığı bir sorunu çözmeye çalışıyorlar. Kibarca kurallara aykırı olduğunu söyleyin, neden yaptıklarını öğrenin ve sonra kendi AP'lerine ihtiyaç duymamaları için sorunu çözün. Tabii ki bazı hileli AP'ler ağınıza saldırmak amacıyla kötü niyetli kullanıcılar veya yabancılar tarafından kurulabilir. Bu durumdan şüphelenilen bir yer bulursanız, gizlice gizli bir web kamerası veya alanın etrafında iki tane kurun ve güç kablosunu yanlışlıkla dışarı çıkacak şekilde arkadan dışarı çekin ve sonra kimin geldiğini görün ve ne zaman tekrar takın. Muhtemelen kontrol etmek ve tekrar takmak için bir temizleyici ödendi, ancak kendisi hacker olabilir, bu durumda polisleri tutuklama ve kovuşturma yapmak için çağırırsınız.

3
GdD