it-swarm-id.com

Melacak titik akses jahat

Selama sekitar satu bulan, kami telah menerima beberapa laporan tentang titik akses jahat yang mencoba untuk mencegat lalu lintas. Saya menduga penyerang menggunakan wifi nanas , atau perangkat perangkat keras serupa. Mereka tampaknya memungkinkannya untuk jangka waktu singkat dan kemudian menghilang sebelum kita punya waktu untuk bereaksi. Ketika serangan ini muncul lagi saya ingin dapat bereaksi dengan cepat dan membuat mereka ditangkap.

Apa cara terbaik untuk menghadapi ancaman ini?

22
rook

Cara umum titik akses nakal ditemukan:

  • Titik akses wi-fi perusahaan menghabiskan sebagian waktunya tidak hanya untuk melayani klien, tetapi mendengarkan pada berbagai saluran untuk lalu lintas wi-fi lainnya. (Ini bekerja paling baik untuk band 2.4Ghz di mana terdapat lebih sedikit saluran. Untungnya ini juga tempat di mana sebagian besar serangan non-target akan terjadi. Anda juga dapat menggunakan sensor khusus alih-alih AP. Anda juga dapat mengonfigurasi satu radio dari titik akses dua radio sebagai radio sensor penuh waktu.)
    • Informasi ini biasanya dilaporkan ke sistem terpusat (pengontrol, perangkat lunak pengelola-pengontrol, dll) melalui beberapa mekanisme (perangkap snmp, polling snmp, protokol pemberitahuan hak milik, dll). Anda mungkin bisa menulis sendiri sistem terpusat jika Anda benar-benar menyukainya, meskipun dalam praktiknya antarmuka pihak ketiga dengan SNMP peralatan nirkabel dapat sedikit untung-untungan, dan data tidak tersedia dalam format standar apa pun. Ada juga implikasi terkait paten, seperti yang ini yang merupakan salah satu yang saya ketahui.
    • Sistem pusat akan melakukan pemeriksaan untuk melihat apakah BSSID itu milik jalur akses yang dikenal dan valid yang dimiliki jaringan organisasi Anda.
    • Sistem pusat akan menganalisis bajingan yang dilaporkan untuk keamanan. (Misalnya, jalur akses jahat yang menyiarkan SSID MyCorp di jaringan terbuka merupakan ancaman bagi karyawan MyCorp, tetapi sesuatu menyiarkan SSID yang berbeda, misalnya PANERA atau NEIGHBORCORP-GUEST, atau koneksi wifi peer-to-peer, mungkin bukan ancaman.)
  • Perangkat dalam jalur paket, seperti pengendali wi-fi, dapat mencoba melihat apakah mereka telah melihat alamat MAC pada jaringan nirkabel yang juga ada pada jaringan kabel dengan cara yang tidak terduga. Jika ya, itu pertanda bahwa jaringan kabel telah terhubung ke atmosfer, dan Anda tahu port pengontrol yang terhubung dengannya.
  • Pemindaian aktif dapat dijalankan pada jaringan organisasi, meminta halaman web pada port 80 atau 443, dan/atau menjalankan alat seperti nmap, untuk mencari indikator peralatan jaringan kelas konsumen umum (misalnya Linksys halaman masuk).
  • Infrastruktur kabel (switch, router) dapat disurvei untuk tabel penerusan jembatan, yang berisi alamat MAC. Alamat MAC ini dapat dianalisis untuk melihat apakah alamat tersebut milik OUI dari produsen peralatan jaringan nirkabel (mis. Linksys).
  • Anda dapat menginstal perangkat lunak pada laptop organisasi Anda atau komputer lain yang melaporkan kembali banyak jenis informasi yang sama yang akan terdeteksi oleh jalur akses (daftar SSID/BSSID, dll) dan melaporkannya ke sistem terpusat yang disebutkan di atas, atau melaporkan apa yang SSID komputer sebenarnya terhubung. Ini membantu untuk mengetahui apakah laptop itu ada di kantor di rumah, atau Anda akan berpotensi melihat banyak titik akses lainnya.

Tindakan yang dapat diambil terhadap perangkat ini meliputi:

  • mematikan port jaringan di sakelar (jika penyerang ada di jaringan Anda)
  • memalsukan paket 802.11 untuk memisahkan klien dari titik akses itu, terutama untuk klien nirkabel yang sistem Anda akui sebagai milik organisasi Anda (sering disebut sesuatu seperti "penahanan jahat")
  • menggunakan alat visualisasi jaringan yang dapat trilaterate lokasi titik akses nakal dari kekuatan sinyalnya (seperti yang dilaporkan oleh titik akses Anda) dan tata letak jaringan wifi Anda, kemudian berjalan ke lokasi itu dan menemukannya secara langsung
    • atau menggunakan alat pendeteksi sinyal lain untuk melacaknya

3 vendor nirkabel teratas perusahaan (Cisco, Aruba, Motorola) semuanya akan menawarkan nirkabel IPS dengan beberapa atau semua kemampuan ini, dan beberapa vendor kecil juga melakukannya. Ini adalah salah satu dari banyak alasan mereka lebih mahal daripada router wifi Linksys rumah murah Anda.

15
user12272

Titik akses jahat menyiratkan itu terhubung ke LAN Anda, yang mudah dideteksi menggunakan keamanan port.

Nanas WiFi ini kurang lebih merupakan honeypot yang tidak ada di jaringan Anda. Mendeteksinya akan jauh lebih sulit karena tidak ada di jaringan Anda. Itu hanya spoofing SSID Anda, saya kira?

Jadi bagaimana kalau Anda menulis skrip yang mencantumkan semua titik akses yang dapat dideteksi dan dihitung mereka. Anda juga dapat menambahkan sesuatu untuk memindai tampilan SSID di MAC mereka dan melihat apakah ada SSID yang berisi nama SSID Anda atau sesuatu yang mirip (MyCompany atau MyCompany-new) dan verifikasi terhadap daftar alamat MAC dari Anda perangkat sendiri. Saya mungkin menambahkan bahwa menipu alamat mac agak mudah, menghitung SSID mungkin lebih mudah.

7
Lucas Kauffman

Ada aplikasi ponsel yang berupaya mencari titik akses wifi secara fisik. Android memilikinya, tetapi saya percaya bahwa Apple menarik jenis aplikasi ini dari toko mereka, tetapi mereka tersedia di pasar yang diretas: https : //market.Android.com/details? id = girsas.wifiradar & hl = en

Ini mungkin memerlukan beberapa koordinasi dan mempersempit lokasi potensial, tetapi harus menyediakan data berharga untuk melacak ini.

6
schroeder

Baca ini juga! http://seclists.org/pen-test/2007/Nov/57

Wifi Pineapple hanyalah satu perangkat yang dapat digunakan seseorang dalam situasi ini. Saya tidak yakin jenis laporan apa yang Anda miliki tetapi, jika orang tersebut menggunakan Rouge-AP portabel, mereka kemungkinan besar mobile (berjalan, bersepeda) atau, statis tetapi, dalam jarak dekat AP Anda (minum kopi, atau menggunakan laptop atau, bahkan smartphone) ...

Ini menjadi sangat berbahaya karena ketika berhadapan dengan portable rouge-AP seperti wifi nanas, menjadi jelas bahwa orang yang Anda minati sebenarnya, di antara perusahaan Anda ... Orang dalam.

Jadi, Anda memerangi ancaman seluler seperti ini yang ANDA perlukan untuk mendapatkan ponsel. Sudah ada orang yang menyarankan mengunduh aplikasi untuk ponsel pintar tanpa wifi untuk memindai rouge-AP SSID's. Sekalipun mereka memalsukan SSID, alamat mac juga dapat ditarik, dan dinilai (ini akan memberi Anda perangkat Asal) [BISA DIBACA}.

BAGAIMANA: WARDRIVING/WARWALKING Anda akan memerlukan daftar alamat MAC perangkat keras aset nirkabel Anda saat ini, dan berjalan-jalan dengan ponsel gandakan dengan pemindaian aplikasi nirkabel, dan daftar alamat MAC nirkabel. Anda semua dapat melihat samaran karena, tidak ada yang mengira hanya sebuah smartphone yang dapat melakukan hal-hal seperti ini. (Pada kenyataannya, bahkan jam tangan sekarang dapat membahayakan jaringan nirkabel ...) ATAU, dapat digunakan untuk memindai sinyal nirkabel, dan terlihat sangat tidak menarik. http://hackaday.com/2011/12/27/rooting-a-Motorola-actv-Android-wristwatch/

Penyerang Anda yang dicurigai sedang mencoba untuk tetap di bawah radar juga. Ini mungkin hanya router jarak jauh yang terganggu juga, bertindak sebagai jembatan klien nirkabel atau Karma rouge-AP. Jika Anda memilih wardriving, Anda dapat menggunakan laptop (orang yang disarankan berlipat ganda dengan laptop) dengan windows yang menjalankan InSSIDer. Raih daftar MAC, dan pergilah memindai. Masukkan daftar alamat MAC Anda di notepad, dan periksa dengan AP yang Anda temukan. DI SINI: www.metageek.net/products/inssider/

Pilihan lain adalah memaksa spektrum nirkabel untuk melakukan penawaran Anda (dengan cara yang legal) Serangan De-otentikasi Taktis adalah gelombang berikutnya dalam mengamankan nirkabel dari ancaman semacam ini, meskipun masih muncul ... DI SINI

Yang bisa saya katakan adalah bahwa saya memiliki wifi nanas, dan itu gila apa yang dapat Anda lakukan dengan beberapa klik sekarang ... Anda harus menghentikan ancaman ini SECEPATNYA atau mungkin terlambat, dan jaringan perusahaan Anda di bawah neraka -api. Telepon seluler dengan kemampuan nirkabel juga menjadi ancaman sekarang ... Smartphone rata-rata Anda juga dapat menjadi AP pemerah muka, dan mengendus lalu lintas, menghapus ... SSL.

DI SINI

Di masa depan, saya sarankan perusahaan Anda mencari sistem IDS/IPS nirkabel yang tersedia secara komersial saat ini. Beberapa, bahkan memiliki semua trik pertahanan yang saya katakan di atas. ;-) Semoga sukses untuk Anda dalam hal ini! Jangan ragu untuk menghubungi saya, saya dapat membantu !!! ;-)

5
TyTech1337

Karena perangkat menyala sesekali, lokasi jelas sangat menantang. Jika Anda punya waktu dan sumber daya, ada cara untuk memburu sinyal itu.

Anda memerlukan dua perangkat nirkabel dan, jika mereka menggunakan mesin yang berbeda (mereka mungkin harus bergerak cukup arah), sinkronisasi waktu yang baik untuk logging. Seseorang harus memiliki antena omnidirectional. Yang lain harus memiliki antena directional gain tinggi. Saya akan memanggil perangkat itu O dan D.

Setiap kali perangkat [~ # ~] o [~ # ~] melihat titik akses jahat, Anda harus membandingkan kekuatan sinyal terhadap apa yang dilihat oleh perangkat [~ # ~] d [~ # ~] . Dibutuhkan perbandingan untuk membuat Anda mengetahui kapan [~ # ~] d [~ # ~] diarahkan ke arah yang tidak jelas. Putar perangkat [~ # ~] d [~ # ~] sampai kerucut menunjuk ke arah yang memberi Anda bacaan yang kuat. Ketika Anda memiliki bacaan itu, pindah [~ # ~] d [~ # ~] ke tempat yang sangat berbeda dan mulailah menilai lagi. Anda harus berakhir dengan serangkaian bacaan yang memungkinkan Anda memilih kerucut garis/cakupan terkuat dari setiap tempat yang Anda temukan [~ # ~] d [~ # ~] . Itu harus dengan cepat mempersempit lokasi perangkat yang dapat ditemukan.

Ada detail lebih lanjut tentang latihan di http://en.wikipedia.org/wiki/Direction_finding . Ada juga metode lokasi yang lebih cepat, tetapi mereka membutuhkan peralatan yang lebih kompleks dan perangkat lunak yang relatif kompleks.

4
Jeff Ferland

Tulis skrip cron sederhana yang memanggil iwlist eth1 scan pada komputer wifi setiap menit atau lebih, dan melihat melalui itu untuk melihat apakah nama titik akses Anda muncul lebih dari satu sel (atau tampak tidak normal). Jika ada yang tidak beres, kirim email ke administrator yang kemudian berupaya menentukan sumbernya.

Saya sarankan mencoba menggunakan antena wifi directional untuk menentukan arah dari mana sinyal berasal; atau wifi-direction sensing Android aplikasi seperti solusi schroeder. Langkah ini mungkin paling baik dilakukan dengan lebih dari satu orang, bergerak di lokasi yang berbeda; melihat bagaimana sinyal semakin kuat/semakin lemah. Saya tidak akan perlu berasumsi bahwa sinyal omni-directional; lihat misalnya, [2] , jadi triangulasi sederhana mungkin tidak berfungsi.

Akhirnya mungkinkah untuk mulai menggunakan WPA atau enkripsi sehingga si kembar jahat tidak bisa benar-benar menutupi jaringan Anda?

3
dr jimbob

Saya percaya saat ini ada dua metode. Yang pertama adalah Anda dapat menggunakan detektor fisik, seperti AirCheck , dan ikuti sinyal sampai Anda menemukannya. Kemudian Anda dapat mengidentifikasi apakah itu sudah Anda letakkan di sana, atau jika orang lain memilikinya.

Metode lain adalah menemukan mereka di sisi jaringan. Artikel ini merinci bagaimana mungkin menggunakan Nessus, dan menyebutkan kelemahan menggunakan pemindai fisik (frekuensi berbeda, gangguan dll).

Jika Anda menemukan satu secara fisik, solusi terbaik adalah mencabutnya dari soket!

Dari segi jaringan (saya memiliki pengetahuan terbatas tentang firewall/switch, jadi ini mungkin tidak masuk akal), tetapi jika Anda dapat mengetahui port apa yang terhubung, mungkin Anda dapat memutuskan port ini, atau memasukkan alamat MAC ke daftar hitam. Anda harus mengkonfirmasi hal itu dengan seseorang yang memiliki pengetahuan lebih besar.

3
fin1te

Cara melakukannya tergantung pada ukuran perusahaan Anda dan keberadaan fisik serta seberapa sering Anda ingin melakukannya. Ada sebenarnya detektor wifi jahat yang dapat Anda instal yang tidak melakukan apa pun selain memindai wifis jahat tapi itu mungkin berlebihan. Peluangnya adalah cara terbaik untuk melakukannya adalah cukup memasang detektor gratis di ponsel Anda dan berkeliling mencari poin. Ketika Anda semakin dekat sinyalnya semakin kuat, saat Anda bergerak semakin lemah, jadi jika Anda mengikuti sinyal dan mulai semakin lemah Anda tahu Anda baru saja melewati titik akses. Jika Anda memiliki solusi WiFi perusahaan itu sebenarnya dapat menawarkan fungsi itu juga. Saya tahu Cisco dan Aerohive keduanya termasuk deteksi wifi jahat di luar kotak, mungkin layak untuk dilihat. Adapun apa yang harus dilakukan ketika Anda menemukannya tidak selalu semudah menarik steker. Jika seseorang telah melalui kesulitan dan biaya untuk membeli titik akses nirkabel dan menginstalnya sendiri kemungkinan mereka sedang mencoba untuk memecahkan masalah yang departemen TI tidak. Beri tahu mereka dengan sopan bahwa itu melanggar aturan, cari tahu mengapa mereka melakukannya, dan kemudian selesaikan masalahnya sehingga mereka tidak membutuhkan AP mereka sendiri. Tentu saja beberapa AP jahat mungkin dipasang oleh orang dalam yang jahat atau orang luar untuk keperluan peretasan ke jaringan Anda. Jika Anda menemukan satu di mana Anda mencurigai ini adalah kasus diam-diam mengatur cam web atau dua tersembunyi di sekitar daerah itu dan cukup menarik kabel daya dari belakang sehingga sepertinya keluar secara tidak sengaja, dan kemudian melihat siapa yang datang ke pasang kembali dan kapan. Mungkin lebih bersih dibayar untuk memeriksanya dan memasangnya kembali, tapi itu bisa menjadi peretas sendiri dalam hal ini Anda memanggil polisi untuk melakukan penangkapan dan penuntutan.

3
GdD