it-swarm-vi.com

Theo dõi một điểm truy cập giả mạo

Trong khoảng một tháng, chúng tôi đã nhận được nhiều báo cáo về một điểm truy cập giả mạo đang cố gắng chặn lưu lượng. Tôi nghi ngờ kẻ tấn công đang sử dụng wifi dứa hoặc thiết bị phần cứng tương tự. Họ dường như cho phép nó trong thời gian ngắn và sau đó biến mất trước khi chúng ta có thời gian để phản ứng. Khi cuộc tấn công này xuất hiện trở lại, tôi muốn có thể phản ứng nhanh chóng và bắt chúng.

Cách tốt nhất để đối mặt với mối đe dọa này là gì?

22
rook

Những cách chung mà một điểm truy cập giả mạo được tìm thấy:

  • Một điểm truy cập wi-fi dành cho doanh nghiệp dành một phần thời gian không chỉ phục vụ khách hàng mà còn nghe trên nhiều kênh khác nhau cho lưu lượng wi-fi khác. (Điều này hoạt động tốt nhất cho băng tần 2.4Ghz, nơi có ít kênh hơn. May mắn thay, đây cũng là nơi sẽ diễn ra hầu hết các cuộc tấn công không nhắm mục tiêu, không nhắm mục tiêu. Bạn cũng có thể sử dụng cảm biến chuyên dụng thay vì AP. Bạn cũng có thể định cấu hình một đài phát thanh của điểm truy cập hai đài làm đài phát thanh cảm biến toàn thời gian.) [.__.]
    • Thông tin này thường được báo cáo cho một hệ thống tập trung (bộ điều khiển, phần mềm quản lý bộ điều khiển, v.v.) thông qua một số cơ chế (bẫy snmp, bỏ phiếu snmp, giao thức thông báo độc quyền, v.v.). Bạn có thể tự mình viết một hệ thống tập trung nếu bạn thực sự cảm thấy như vậy, mặc dù trong thực tế, giao diện của bên thứ ba với SNMP của thiết bị không dây có thể hơi bị lỗi và dữ liệu không có sẵn trong bất kỳ định dạng tiêu chuẩn. Ngoài ra còn có những hàm ý liên quan đến bằng sáng chế, chẳng hạn như cái này đó là cái mà tôi tình cờ biết.
    • Hệ thống trung tâm sẽ thực hiện kiểm tra để xem liệu BSSID có thuộc điểm truy cập hợp lệ đã biết, thuộc mạng của tổ chức của bạn hay không.
    • Hệ thống trung tâm sẽ phân tích các báo cáo giả mạo cho an ninh. . mối đe dọa.)
  • Các thiết bị trong đường dẫn gói, chẳng hạn như bộ điều khiển wi-fi, có thể thử xem liệu chúng có thấy địa chỉ MAC trên mạng không dây có không trên mạng có dây một cách bất ngờ. Nếu họ làm như vậy, đó là dấu hiệu cho thấy mạng có dây đã được kết nối với bầu khí quyển và bạn biết nó được kết nối với cổng điều khiển nào.
  • Quét tích cực có thể được chạy trên mạng của tổ chức, yêu cầu các trang web trên cổng 80 hoặc 443 và/hoặc chạy một công cụ như nmap, để tìm kiếm các chỉ số của thiết bị mạng cấp tiêu dùng phổ biến (ví dụ: Linksys trang đăng nhập).
  • Cơ sở hạ tầng có dây (thiết bị chuyển mạch, bộ định tuyến) có thể được thăm dò cho các bảng chuyển tiếp cầu có chứa địa chỉ MAC. Các địa chỉ MAC này có thể được phân tích để xem chúng có thuộc OUI của nhà sản xuất thiết bị mạng không dây hay không (ví dụ: Linksys).
  • Bạn có thể cài đặt phần mềm trên máy tính xách tay của tổ chức hoặc các máy tính khác báo cáo lại nhiều loại thông tin tương tự mà điểm truy cập sẽ phát hiện (danh sách SSID/BSSID, v.v.) và báo cáo những thông tin đó với hệ thống tập trung đã nói ở trên hoặc báo cáo SSID nào máy tính thực sự được kết nối với. Nó giúp có thể biết được rằng máy tính xách tay đang ở trong văn phòng ở nhà hay bạn có thể sẽ thấy nhiều điểm truy cập khác.

Các hành động có thể được thực hiện đối với các thiết bị này bao gồm:

  • tắt cổng mạng tại công tắc (nếu kẻ tấn công đang ở trên mạng của bạn)
  • giả mạo các gói 802.11 để phân tách các máy khách khỏi điểm truy cập đó, đặc biệt là đối với các máy khách không dây mà hệ thống của bạn nhận ra là thuộc về tổ chức của bạn (thường được gọi là "ngăn chặn lừa đảo")
  • sử dụng một công cụ trực quan hóa mạng có thể điều chỉnh vị trí của điểm truy cập giả mạo từ cường độ tín hiệu của nó (như được báo cáo bởi các điểm truy cập của bạn) và bố trí mạng wifi của bạn, sau đó đi bộ đến vị trí đó và tìm thấy nó trực tiếp [.__.]
    • hoặc sử dụng một công cụ phát hiện tín hiệu khác để theo dõi nó

Cả 3 nhà cung cấp không dây dành cho doanh nghiệp hàng đầu (Cisco, Aruba, Motorola) đều sẽ cung cấp một mạng không dây IPS với một vài hoặc tất cả các khả năng này và một số nhà cung cấp nhỏ hơn cũng làm như vậy. Đây là một trong nhiều Lý do chúng đắt hơn bộ định tuyến wifi Linksys nhà giá rẻ của bạn.

15
user12272

Một điểm truy cập giả mạo ngụ ý rằng nó được kết nối với mạng LAN của bạn, dễ dàng phát hiện bằng cách sử dụng bảo mật cổng.

Dứa WiFi này ít nhiều là một honeypot không có trên mạng của bạn. Phát hiện nó sẽ khó hơn rất nhiều vì nó không có trên mạng của bạn. Tôi chỉ giả mạo SSID của bạn?

Vì vậy, làm thế nào về việc bạn viết một tập lệnh liệt kê tất cả các điểm truy cập mà nó có thể phát hiện và đếm chúng. Bạn cũng có thể thêm một cái gì đó để quét SSID xem MAC của họ và xem liệu có SSID nào chứa tên SSID của bạn hoặc một cái gì đó giống như (MyCompany hoặc MyCompany-new) và xác minh danh sách các địa chỉ MAC từ bạn thiết bị riêng. Tôi có thể thêm rằng việc giả mạo địa chỉ mac khá dễ dàng, việc đếm SSID có thể dễ dàng hơn.

7
Lucas Kauffman

Có những ứng dụng điện thoại cố gắng xác định vị trí các điểm truy cập wifi. Android có chúng, nhưng tôi tin rằng Apple đã lấy các loại ứng dụng này khỏi cửa hàng của họ, nhưng chúng có sẵn trong thị trường bị tấn công: https : //market.Android.com/details? id = girsas.wifiradar & hl = en

Điều này có thể yêu cầu một số phối hợp và thu hẹp vị trí tiềm năng, nhưng nó sẽ cung cấp dữ liệu có giá trị để theo dõi điều này.

6
schroeder

Đọc cái này quá! http://seclists.org/pen-test/2007/Nov/57

Wifi Pinnut chỉ là một thiết bị mà một người có thể sử dụng trong những tình huống này. Tôi không chắc bạn có loại báo cáo nào, nhưng, nếu người đó đang sử dụng Rouge-AP di động, họ rất có thể là điện thoại di động (đi bộ, đi xe đạp) hoặc, nhưng trong phạm vi gần AP của bạn (uống cà phê hoặc trên máy tính xách tay hoặc thậm chí là điện thoại thông minh) ...

Điều này thực sự nguy hiểm bởi vì khi giao dịch với rouge-AP di động như dứa wifi, rõ ràng người mà bạn quan tâm thực tế, trong số các công ty của bạn ... Một người trong cuộc.

Vì vậy, bạn chống lại một mối đe dọa di động như thế này BẠN cần có điện thoại di động. Mọi người đã đề xuất tải xuống ứng dụng cho điện thoại thông minh di động w/wifi để quét tìm rouge-AP SSID. Ngay cả khi họ đang giả mạo SSID, một địa chỉ mac cũng có thể được kéo và được đánh giá (điều này sẽ cung cấp cho bạn Nguồn gốc thiết bị) [CÓ THỂ ĐƯỢC SPOOFED}.

LÀM THẾ NÀO: WARDRIVING/WARWALKING Bạn sẽ cần một danh sách địa chỉ MAC phần cứng hiện tại của tài sản không dây của bạn và đi bộ xung quanh với nhiều điện thoại di động với các ứng dụng quét không dây và danh sách các địa chỉ MAC không dây. Tất cả bạn có thể nhìn khá ẩn danh bởi vì, không ai nghĩ rằng chỉ một chiếc điện thoại thông minh có thể thực hiện được những thứ thuộc về bản chất này (thực tế, ngay cả một chiếc đồng hồ đeo tay giờ cũng có thể làm tổn hại mạng không dây ...) HOẶC, nó có thể được sử dụng để quét tín hiệu không dây, và nhìn hoàn toàn không rõ ràng. http://hackaday.com/2011/12/27/root-a-Motorola-actv-Android-wristwatch/

Kẻ tấn công bị nghi ngờ của bạn cũng đang cố gắng ở dưới radar. Đây chỉ có thể là một bộ định tuyến từ xa bị xâm nhập, hoạt động như một cầu nối máy khách không dây hoặc Karma rouge-AP. Nếu bạn đi lang thang, bạn có thể sử dụng máy tính xách tay (nhiều người được đề xuất với nhiều máy tính xách tay) với các cửa sổ chạy InSSIDer. Lấy danh sách MAC và quét ra. Đặt danh sách địa chỉ MAC của bạn vào một sổ ghi chú và kiểm tra nó dựa trên khám phá của AP. TẠI ĐÂY: www.metageek.net/products/inssider/

Một tùy chọn khác là buộc phổ tần không dây thực hiện đấu thầu của bạn (một cách hợp pháp) Các cuộc tấn công xác thực chiến thuật là làn sóng tiếp theo trong việc bảo vệ không dây khỏi các mối đe dọa này, tuy nhiên, nó vẫn đang nổi lên ... TẠI ĐÂY

Tất cả những gì tôi có thể nói với bạn là tôi có một quả dứa wifi, và thật điên rồ những gì bạn có thể làm với một vài cú nhấp chuột bây giờ ... Bạn cần phải ngăn chặn mối đe dọa này càng sớm càng tốt, và mạng công ty của bạn đang ở trong địa ngục -ngọn lửa. Điện thoại di động có khả năng không dây cũng là một mối đe dọa hiện nay ... Điện thoại thông minh trung bình của bạn cũng có thể trở thành một AP-rouge và đánh hơi lưu lượng truy cập, tước SSL ...

TẠI ĐÂY

Trong tương lai, tôi đề nghị công ty của bạn xem xét các hệ thống IDS/IPS không dây hiện có bán trên thị trường. Một số, thậm chí có tất cả các thủ thuật phòng thủ tôi đã nói ở trên. ;-) Chúc may mắn cho bạn về điều này! Hãy liên hệ với tôi, tôi có thể giúp !!! ;-)

5
TyTech1337

Bởi vì thiết bị không liên tục, vị trí rõ ràng là một thách thức. Nếu bạn có thời gian và tài nguyên, có một cách để tìm ra tín hiệu đó.

Bạn cần hai thiết bị không dây và, nếu chúng ở trên các máy khác nhau (có lẽ chúng phải di chuyển đủ hướng), đồng bộ hóa thời gian tốt để đăng nhập. Người ta phải có một ăng ten đa hướng. Cái kia nên có ăng ten định hướng tăng cao. Tôi sẽ gọi các thiết bị đó là O và D.

Bất cứ khi nào thiết bị [~ # ~] o [~ # ~] nhìn thấy điểm truy cập giả mạo, bạn nên so sánh cường độ tín hiệu với những gì thiết bị nhìn thấy [~ # ~] d [~ # ~] . Cần so sánh để giúp bạn biết khi nào [~ # ~] d [~ # ~] được chỉ theo hướng mù. Xoay thiết bị [~ # ~] d [~ # ~] cho đến khi hình nón đang chỉ theo hướng giúp bạn đọc mạnh mẽ. Khi bạn có cách đọc đó, hãy di chuyển [~ # ~] d [~ # ~] đến một nơi rất khác và bắt đầu đánh giá lại. Bạn nên kết thúc với một loạt các bài đọc cho phép bạn chọn hình nón/vùng phủ sóng mạnh nhất từ ​​mỗi nơi bạn định vị [~ # ~] d [~ # ~] . Điều đó sẽ nhanh chóng thu hẹp vị trí mà thiết bị có thể được định vị.

Có nhiều chi tiết hơn về thực hành tại http://en.wikipedia.org/wiki/Direction_finding . Ngoài ra còn có các phương pháp định vị nhanh hơn, nhưng chúng đòi hỏi thiết bị phức tạp hơn và phần mềm tương đối phức tạp.

4
Jeff Ferland

Viết một tập lệnh cron đơn giản gọi iwlist eth1 scan trên máy tính wifi mỗi phút hoặc lâu hơn, và lướt qua nó để xem tên của điểm truy cập của bạn có hiển thị nhiều hơn một ô không (hoặc có vẻ bất thường). Nếu có gì đó không ổn, hãy gửi email đến quản trị viên, những người sau đó cố gắng xác định chính xác nguồn.

Tôi khuyên bạn nên thử sử dụng ăng ten wifi định hướng để xác định hướng tín hiệu phát ra; hoặc cảm biến hướng wifi Android như giải pháp của schroeder. Bước này có thể được thực hiện tốt nhất với nhiều người, di chuyển ở các vị trí khác nhau; xem tín hiệu mạnh hơn/yếu hơn. Tôi sẽ không nhất thiết phải giả định rằng tín hiệu là đa hướng, xem ví dụ, [2] , vì vậy phép tam giác đơn giản có thể không hoạt động.

Cuối cùng, có thể bắt đầu sử dụng WPA hoặc mã hóa để người song sinh độc ác thực sự không thể che dấu như mạng của bạn?

3
dr jimbob

Tôi tin rằng hiện có hai phương pháp. Đầu tiên là bạn có thể sử dụng một máy dò vật lý, chẳng hạn như AirCheck và theo dõi tín hiệu cho đến khi bạn tìm thấy nó. Sau đó, bạn có thể xác định thời tiết mà bạn đã đặt ở đó hoặc nếu có người khác.

Phương pháp khác là tìm chúng ở phía mạng. Bài viết này chi tiết cách sử dụng Nessus và có thể đề cập đến những hạn chế của việc sử dụng máy quét vật lý (tần số khác nhau, nhiễu, v.v.).

Nếu bạn tìm thấy một vật lý, giải pháp tốt nhất sẽ là lấy nó ra khỏi ổ cắm!

Mạng khôn ngoan (Tôi có kiến ​​thức hạn chế về tường lửa/thiết bị chuyển mạch, vì vậy điều này có thể vô nghĩa), nhưng nếu bạn có thể tìm ra cổng nào được kết nối với nó, có thể ngắt kết nối cổng này hoặc đưa vào danh sách đen địa chỉ MAC. Tuy nhiên, bạn sẽ phải xác nhận rằng với người có kiến ​​thức lớn hơn.

3
fin1te

Cách thực hiện tùy thuộc vào quy mô công ty của bạn và sự hiện diện thực tế cũng như mức độ thường xuyên bạn muốn làm. Có những thiết bị phát hiện wifi giả mạo thực tế mà bạn có thể cài đặt mà không phải làm gì khác ngoài việc quét các wifis lừa đảo nhưng điều đó có thể là quá mức cần thiết. Cơ hội là cách tốt nhất để làm điều đó chỉ đơn giản là cài đặt một máy dò miễn phí trên điện thoại của bạn và đi bộ xung quanh để tìm kiếm điểm. Khi bạn đến gần hơn, tín hiệu sẽ mạnh hơn, khi bạn di chuyển ra xa, nó sẽ yếu đi, vì vậy nếu bạn đang theo dõi tín hiệu và nó bắt đầu yếu đi, bạn biết rằng bạn vừa vượt qua một điểm truy cập. Nếu bạn có một giải pháp WiFi công ty, nó thực sự có thể cung cấp chức năng đó. Tôi biết cả Cisco và Aerohive đều bao gồm phát hiện wifi lừa đảo, điều này có thể đáng để xem qua. Đối với những gì cần làm khi bạn tìm thấy chúng, không phải lúc nào cũng đơn giản như rút phích cắm. Nếu ai đó đã trải qua rắc rối và chi phí mua điểm truy cập không dây và tự cài đặt nó thì rất có thể họ đang cố gắng giải quyết vấn đề mà bộ phận CNTT không làm được. Lịch sự nói với họ rằng đó là trái với quy tắc, tìm hiểu lý do tại sao họ làm điều đó và sau đó giải quyết vấn đề để họ không cần AP của riêng họ. Tất nhiên, một số AP lừa đảo có thể được cài đặt bởi những người trong cuộc độc hại hoặc người ngoài cuộc với mục đích hack vào mạng của bạn. Nếu bạn tìm thấy một nơi mà bạn nghi ngờ đây là trường hợp bí mật thiết lập một hoặc hai máy quay web ẩn xung quanh khu vực và kéo dây cáp ra khỏi phía sau vừa đủ để nó trông như vô tình xuất hiện, và sau đó xem ai đến cắm lại và khi nào Có lẽ một người dọn dẹp đã trả tiền để kiểm tra và cắm lại, nhưng đó có thể là tin tặc anh ta/cô ta trong trường hợp bạn gọi cảnh sát để bắt giữ và truy tố.

3
GdD