it-swarm-eu.dev

Sledování nepoctivého přístupového bodu

V průběhu asi měsíce jsme obdrželi více zpráv o nepoctivém přístupovém bodu, který se pokouší zachytit provoz. Mám podezření, že útočník používá wifi ananas nebo podobné hardwarové zařízení. Zdá se, že to umožňují na krátkou dobu a pak zmizí, než budeme mít čas na reakci. Když se tento útok objeví znovu, chci být schopen rychle reagovat a nechat je zatknout.

Jaký je nejlepší způsob, jak čelit této hrozbě?

22
rook

Obecné způsoby, jak najít nepoctivé přístupové body:

  • Podnikový přístupový bod wi-fi tráví určitou dobu nejen obsluhou klientů, ale posloucháním různých kanálů pro další provoz Wi-Fi. (Toto funguje nejlépe pro pásmo 2,4 GHz, kde je méně kanálů. Naštěstí to bude také místo, kde bude nejvíce útoků typu run-of-the-mill, necílených. Můžete také použít vyhrazený senzor místo AP). Můžete také nakonfigurovat jedno rádio dvou rádiového přístupového bodu jako rádiové čidlo na plný úvazek.)
    • Tyto informace jsou obvykle hlášeny do centralizovaného systému (řadič, software pro správu řadiče atd.) Prostřednictvím nějakého mechanismu (snmp trap, snmp polling, proprietární oznamovací protokoly atd.). Pravděpodobně byste mohli napsat centralizovaný systém sami, pokud se vám to opravdu bude líbit, i když v praxi mohou být rozhraní třetích stran s SNMP bezdrátových zařízení trochu zasažena nebo chybět a data není k dispozici v žádném standardizovaném formátu. Existují také důsledky související s patenty, jako je tento , o kterém jsem náhodou věděl
    • Centrální systém provede kontrolu, zda BSSID patří ke známému platnému přístupovému bodu, který patří do sítě vaší organizace.
    • Centrální systém bude analyzovat hlášené podvodníky z hlediska bezpečnosti. (Například nečestný přístupový bod, který vysílá SSID MyCorpu na otevřené síti, je hrozbou pro zaměstnance MyCorpu, ale něco, co vysílá jiný SSID, např. PANERA nebo NEIGHBORCORP-GUEST nebo připojení typu peer-to-peer, nemusí být ohrožení.)
  • Zařízení v cestě paketů, jako jsou wi-fi ovladače, se mohou pokusit zjistit, zda viděly MAC adresu v bezdrátové síti, která je také přítomná na drátové síti neočekávaným způsobem. Pokud ano, je to znamení, že kabelová síť byla připojena k atmosféře a víte, ke kterému portu řadiče je připojen.
  • Aktivní skenování lze spustit v síti organizace, vyžádat si webové stránky na portu 80 nebo 443 nebo spustit nástroj, jako je nmap, hledat indikátory běžných síťových zařízení pro spotřebitele (např. Linksys) přihlašovací stránka).
  • Kabelová infrastruktura (přepínače, směrovače) může být dotazována pro tabulky předávání mostů, které obsahují MAC adresy. Tyto MAC adresy lze analyzovat, aby se zjistilo, zda patří k OUI výrobce bezdrátových síťových zařízení (např. Linksys).
  • Software můžete nainstalovat do notebooků nebo jiných počítačů vaší organizace, které vykazují zpět mnoho stejných typů informací, které by přístupový bod detekoval (seznamy SSID/BSSID atd.), A nahlásit je výše uvedenému centralizovanému systému nebo nahlásit, jaké SSID počítač je skutečně připojen. Pomáhá vám zjistit, zda je tento notebook doma v kanceláři, nebo případně uvidíte mnoho dalších přístupových bodů.

Mezi akce, které lze proti těmto zařízením provést, patří:

  • vypnutí síťového portu na přepínači (pokud je útočník ve vaší síti)
  • kování paketů 802.11, které oddělují klienty od tohoto přístupového bodu, zejména pro bezdrátové klienty, které váš systém rozpoznává jako členy vaší organizace (často nazývané něco jako „nepoctivý obal“)
  • pomocí nástroje vizualizace sítě, který může trilaterovat umístění nepoctivého přístupového bodu z jeho síly signálu (jak je uvedeno v přístupových bodech) a rozložení vaší wifi sítě, poté jít na toto místo a najít ho osobně
    • nebo pomocí jiného nástroje pro detekci signálu, který jej sleduje

Top 3 dodavatelé podnikových bezdrátových technologií (Cisco, Aruba, Motorola) budou nabízet bezdrátové připojení IPS s několika nebo všemi těmito schopnostmi) a některé menší dodavatele to také dělají. To je jeden z mnoha důvody, proč jsou dražší než váš levný domácí router Linksys WiFi.

15
user12272

Zlodějský přístupový bod znamená, že je připojen k vaší síti LAN, což lze snadno zjistit pomocí zabezpečení portů.

Tento WiFi ananas je víceméně honeypot, který není přítomen ve vaší síti. Detekce bude mnohem těžší, protože není ve vaší síti. Myslím, že to jen spoofing vaše SSID?

Takže co když píšete skript, který obsahuje seznam všech přístupových bodů, které dokáže detekovat a spočítá je. Můžete také přidat něco, abyste mohli vyhledat SSID a podívat se na jejich MAC, a zjistit, zda existuje SSID, který obsahuje jméno vašeho SSID nebo něco podobného (MyCompany nebo MyCompany-new) a ověří to proti seznamu MAC adres z vaší MAC adresy. vlastní zařízení. Mohl bych dodat, že spoofing mac-adresy je poměrně snadný, počítání SSID může být prostě jednodušší.

7
Lucas Kauffman

Existují telefonní aplikace, které se pokoušejí fyzicky vyhledat přístupové body WiFi. Android je má, ale věřím, že Apple vytáhl tyto typy aplikací z jejich obchodu, ale jsou dostupné na hacknutém trhu: https : //market.Android.com/details? id = girsas.wifiradar & hl = en

To může vyžadovat určitou koordinaci a zúžení potenciálního umístění, ale mělo by to poskytnout hodnotná data pro jeho sledování.

6
schroeder

Přečtěte si to také! http://seclists.org/pen-test/2007/Nov/57

Ananas Wifi je pouze jedno zařízení, které může člověk v těchto situacích použít. Nejsem si jistý, jaké druhy zpráv máte, ale pokud osoba používá přenosný Rouge-AP, je to pravděpodobně mobilní (chůze, cyklistika) nebo statická, ale v blízkosti vašich AP (pití kávy nebo na laptop nebo dokonce smartphone) ...

Je to opravdu nebezpečné, protože při jednání s přenosnými rouge-AP, jako je například ananas wifi, je zřejmé, že osoba, o kterou máte zájem, je ve skutečnosti mezi vaší společností ... Zasvěcený.

Takže bojujete proti mobilní hrozbě, jako je tato, kterou potřebujete, abyste byli mobilní. Lidé již navrhli stažení aplikací pro mobilní chytrý telefon bez Wi-Fi, aby mohli vyhledávat SSID rouge-AP. I když jsou spoofing SSID, Mac adresu lze také vytáhnout, a posoudil (to vám dá zařízení původ) [CAN BE SPOOFED}.

JAK: WARDRIVING/WARWALKING Budete potřebovat seznam aktuální hardwarové adresy MAC vašeho bezdrátového aktiva a chodit s množstvím mobilních telefonů s bezdrátovými skenovacími aplikacemi a seznam bezdrátových MAC adres. Všichni můžete vypadat inkognito, protože nikdo si nemyslí, že jen chytrý telefon dokáže provádět věci tohoto druhu. (Ve skutečnosti dokonce i náramkové hodinky mohou nyní ohrozit bezdrátovou síť ...) NEBO lze použít ke skenování bezdrátových signálů, a vypadají úplně nenápadně. http://hackaday.com/2011/12/27/rooting-a-Motorola-actv-Android-wristwatch/

Váš podezřelý útočník se také snaží zůstat pod radarem. Může to být také kompromitovaný vzdálený směrovač, který funguje jako bezdrátový klientský most nebo Karma rouge-AP. Pokud se chystáte bránit, můžete použít notebook (doporučené násobení osob bez laptopů) s okny spuštěnými InSSIDer. Popadněte MAC seznam a jděte na skenování. Vložte svůj seznam MAC adres do poznámkového bloku a porovnejte jej s nalezeným přístupovým bodem. ZDE: www.metageek.net/products/inssider/

Další možností je nutit bezdrátové spektrum, aby provedlo vaše nabídky (legálním způsobem). Taktické útoky proti autentizaci jsou další vlnou v zabezpečení bezdrátové sítě před těmito druhy hrozeb, i když její stále se objevující ... ZDE

Všechno, co vám mohu říci, je, že mám ananas wifi a je šílené, co můžete udělat několika klepnutími ... Tuto hrozbu musíte zastavit ASAP, nebo to může být pozdě, a vaše firemní síť je v pekle -oheň. Mobilní telefony s bezdrátovými funkcemi jsou nyní také hrozbou ... Váš průměrný chytrý telefon se může stát také rouge-AP a čichat provoz, odstraňovat SSL ...

ZDE

V budoucnu doporučuji vaší společnosti prozkoumat bezdrátové systémy IDS/IPS, které jsou dnes komerčně dostupné. Někteří dokonce mají všechny obranné triky, které jsem řekl výše. ;-) Hodně štěstí v tomto! Neváhejte mě kontaktovat, mohu pomoci !!! ;-)

5
TyTech1337

Protože je zařízení přerušovaně, je umístění zjevně náročné. Pokud máte čas a zdroje, existuje způsob, jak tento signál ulovit.

Potřebujete dvě bezdrátová zařízení, a pokud jsou na různých strojích (pravděpodobně musí být, aby se dostatečně pohybovaly ve směru), dobrá synchronizace času pro protokolování. Jeden by měl mít všesměrovou anténu. Druhý by měl mít směrovou anténu s vysokým ziskem. Zavolám těmto zařízením O a D.

Kdykoli zařízení [~ # ~] o [~ # ~] uvidí nepoctivého přístupového bodu, měli byste porovnat sílu signálu s tím, co zařízení vidí [~ # ~] d [~ # ~] . Srovnání je nutné, abyste si byli vědomi, kdy [~ # ~] d [~ # ~] je směřováno slepým směrem. Otáčejte zařízením [~ # ~] d [~ # ~] , dokud kužel nebude směřovat ve směru, který vám poskytne silné čtení. Když toto čtení máte, přemístěte [~ # ~] d [~ # ~] na velmi odlišné místo a začněte znovu posuzovat. Měli byste skončit sérií odečtů, které vám umožní vybrat nejsilnější linii/kónus pokrytí z každého místa, které najdete [~ # ~] d [~ # ~] . To by mělo rychle zúžit místo, kde lze zařízení najít.

Více podrobností o tréninku naleznete na http://en.wikipedia.org/wiki/Direction_finding . Existují také rychlejší metody určování polohy, ale vyžadují složitější vybavení a relativně složitý software.

4
Jeff Ferland

Napište jednoduchý cron skript, který volá iwlist eth1 scan na počítači s wifi každou minutu nebo tak, a prochází ním, aby zjistil, zda se názvy vašeho přístupového bodu zobrazují jako více než jedna buňka (nebo se jinak jeví jako neobvyklá). Pokud je něco vypnuto, pošlete e-maily správcům, kteří se pak pokusí určit zdroj.

Navrhl bych pokusit se použít směrové wifi antény k určení směru, ze kterého signál přichází; nebo wifi-sense sensing Android app, jako je Schroederovo řešení. Tento krok je pravděpodobně nejlepší udělat s více než jednou osobou, pohybující se na různých místech; vidět, jak se signál zesiluje/zeslabuje. nutně předpokládat, že signál je všesměrový; viz např. [2] , takže jednoduché triangulace nemusí fungovat.

Nakonec by bylo možné začít používat WPA nebo šifrování), takže zlé dvojče nemůže opravdu maskovat vaši síť?

3
dr jimbob

Věřím, že v současné době existují dvě metody. První je, že můžete použít fyzický detektor, například AirCheck , a sledovat signál, dokud jej nenajdete. Pak můžete identifikovat, jaký je ten, který jste tam dali, nebo pokud to má někdo jiný.

Druhou metodou by bylo najít je na straně sítě. Tento článek podrobně popisuje, jak je to možné pomocí Nessus, a zmiňuje nevýhody používání fyzického skeneru (různé frekvence, interference atd.).

Pokud najdete jeden fyzicky, nejlepší řešení by bylo vytrhnout ho ze zásuvky!

Síť moudře (mám omezené znalosti firewally/přepínačů, takže to možná nesmysl), ale pokud zjistíte, k jakému portu je připojen, je možné tento port odpojit nebo zakázat MAC adresu. Museli byste to však potvrdit u někoho, kdo má větší znalosti.

3
fin1te

Jak to udělat, záleží na velikosti vaší společnosti a její fyzické přítomnosti a také na tom, jak často to chcete dělat. Existují skutečné nepoctivé wifi detektory, které můžete nainstalovat a které neudělají nic jiného než hledání nepoctivých wifisů, ale to je pravděpodobně nadměrné. Šance jsou nejlepší způsob, jak to udělat, je jednoduše nainstalovat bezplatný detektor do telefonu a procházet se hledáním bodů. Když se přiblížíte, signál zesiluje, když se vzdalujete, zeslabuje, takže pokud sledujete signál a začíná být slabší, víte, že jste právě prošli přístupovým bodem. Pokud máte podnikové WiFi řešení, může vám tuto funkci skutečně nabídnout. Vím, že Cisco i Aerohive obsahují zjišťování nepoctivých wifi z krabice, může se vyplatit podívat se. Pokud jde o to, co dělat, když je najdete, není to vždy tak jednoduché jako vytáhnout zástrčku. Pokud někdo prošel potížemi a výdaji na nákup bezdrátového přístupového bodu a jeho samotnou instalaci, je pravděpodobné, že se snaží vyřešit problém, který IT oddělení ne. Zdvořile jim řekněte, že je to proti pravidlům, zjistěte, proč to udělali, a pak problém vyřešte, aby nepotřebovali vlastní AP. Některé nepoctivé přístupové body mohou být samozřejmě nainstalovány škodlivými zasvěcenci nebo nečleny za účelem hackování do vaší sítě. Pokud zjistíte, kde se domníváte, že se jedná o tento případ, tajně vytvořte skrytou webovou kameru nebo dvě v okolí a vytáhněte napájecí kabel ze zadní strany tak, aby vypadal, jako by náhodou vyšel, a pak zjistěte, kdo přijde zapojte jej zpět a kdy. Pravděpodobně to čistič vyplatil, aby to zkontroloval a zapojil zpět, ale mohl by to být hacker sám, v takovém případě zavoláte policii, abyste provedli zatčení a stíhání.

3
GdD