Rintracciare un access point canaglia

22

Nel corso di circa un mese abbiamo ricevuto più segnalazioni di un access point canaglia che tentava di intercettare il traffico. Sospetto che un utente malintenzionato stia utilizzando un ananas wifi o un dispositivo hardware simile. Sembrano attivarlo per brevi periodi e poi scomparire prima di avere il tempo di reagire. Quando questo attacco si riapre, voglio essere in grado di reagire rapidamente e farli arrestare.

Qual è il modo migliore per affrontare questa minaccia?

    
posta rook 18.01.2012 - 08:36
fonte

9 risposte

15

I modi generali in cui vengono trovati i punti di accesso non autorizzati:

  • Un punto di accesso Wi-Fi aziendale passa parte del suo tempo non solo a servire i clienti, ma ad ascoltare i vari canali per il traffico Wi-Fi. (Questo funziona meglio per la banda 2.4Ghz, dove ci sono meno canali, ma fortunatamente questo è anche il luogo dove avvengono la maggior parte degli attacchi non mirati, ma anche un sensore dedicato invece di un AP. È inoltre possibile configurare una radio di un punto di accesso a due radio come radio a sensore a tempo pieno.)
    • Queste informazioni sono tipicamente segnalate a un sistema centralizzato (un controller, il software di gestione del controller, ecc.) attraverso un meccanismo (snmp trap, snmp polling, protocolli di notifica proprietari, ecc.). Probabilmente potresti scrivere un sistema centralizzato da solo se ne hai davvero voglia, anche se in pratica le interfacce di terze parti con gli strumenti wireless SNMP possono essere un po 'approssimative, e i dati non sono disponibili in alcuno standardizzato formato. Ci sono anche implicazioni relative ai brevetti, come questa che è quella che mi capita di conoscere.
    • Il sistema centrale eseguirà dei controlli per verificare se tale BSSID appartiene a un punto di accesso valido e noto che appartiene alla rete dell'organizzazione.
    • Il sistema centrale analizzerà il ladro segnalato per sicurezza. (Ad esempio, un access point canaglia che trasmette il SSID di MyCorp su una rete aperta è una minaccia per i dipendenti di MyCorp, ma qualcosa che trasmette un SSID diverso, ad esempio PANERA o NEIGHBORCORP-GUEST o una connessione Wi-Fi peer-to-peer, potrebbe non essere un minaccia.)
  • I dispositivi nel percorso del pacchetto, come i controllori wi-fi, possono provare a vedere se hanno visto un indirizzo MAC sulla rete wireless che è anche presente sulla rete cablata in modo inaspettato . Se lo fanno, questo è un segno che la rete cablata è stata collegata all'atmosfera e tu sai a quale porta controller è collegata.
  • È possibile eseguire una scansione attiva sulla rete dell'organizzazione, richiedendo pagine Web sulla porta 80 o 443 e / o eseguendo uno strumento come nmap , per cercare indicatori di apparecchiature di rete comuni di livello consumer (ad es. un Linksys pagina di accesso).
  • L'infrastruttura cablata (switch, router) può essere interrogata per le tabelle di inoltro del bridge, che contengono gli indirizzi MAC. Questi indirizzi MAC possono essere analizzati per vedere se appartengono a un OUI di un produttore di apparecchiature di rete wireless (ad esempio Linksys).
  • È possibile installare software sui computer portatili delle proprie organizzazioni o su altri computer che riportano molti degli stessi tipi di informazioni che il punto di accesso rileverà (elenchi SSID / BSSID, ecc.) e riferire al sistema centralizzato sopra indicato o segnalare a quale SSID è effettivamente collegato il computer. Aiuta a essere in grado di dire se quel laptop è in ufficio a casa, o potenzialmente vedrai molti altri punti di accesso.

Le azioni che possono essere intraprese su questi dispositivi includono:

  • spegnendo la porta di rete sullo switch (se l'utente malintenzionato si trova sulla rete)
  • forgiando i pacchetti 802.11 per dissociare i client da quel punto di accesso, in particolare per i client wireless riconosciuti dal sistema come appartenenti alla tua organizzazione (spesso chiamati "contenimento canaglia")
  • utilizzando uno strumento di visualizzazione della rete che può trilaterizzare la posizione del punto di accesso anomalo dalla forza del segnale (come riportato dai punti di accesso) e il layout della rete wifi, quindi camminare verso quella posizione e trovarla di persona
    • o utilizzando un altro strumento di rilevamento del segnale per rintracciare

I primi 3 fornitori wireless aziendali (Cisco, Aruba, Motorola) offriranno tutti un IPS wireless con diverse o tutte queste funzionalità, e anche alcuni piccoli venditori. Questo è uno dei tanti motivi per cui sono più costosi rispetto al router wifi Linksys di casa.

    
risposta data 16.08.2012 - 21:29
fonte
7

Un punto di accesso anomalo implica che sia connesso alla tua LAN, che è facile da rilevare utilizzando la sicurezza della porta.

Questo ananas WiFi è più o meno un honeypot che non è presente sulla tua rete. Rilevarlo sarà molto più difficile dal momento che non è sulla tua rete. Suppongo che stia solo spoofando il tuo SSID?

Che ne dici di scrivere uno script che elenca tutti i punti di accesso che può rilevare e li conteggia. Potresti anche aggiungere qualcosa per cercare l'SSID sul loro MAC e vedere se c'è un SSID che contiene il nome del tuo SSID o qualcosa di simile a (MyCompany o MyCompany-new) e lo confronta con un elenco di indirizzi MAC dal tuo propri dispositivi. Potrei aggiungere che lo spoofing di un indirizzo mac è piuttosto semplice, il conteggio degli SSID potrebbe essere più semplice.

    
risposta data 18.01.2012 - 11:44
fonte
6

Esistono app telefoniche che tentano di localizzare fisicamente i punti di accesso Wi-Fi. Android li ha, ma credo che Apple abbia tirato questi tipi di app dal loro negozio, ma sono disponibili nel mercato degli hacker: link

Ciò potrebbe richiedere un certo coordinamento e restringere la posizione potenziale, ma dovrebbe fornire dati preziosi per rintracciarlo.

    
risposta data 18.01.2012 - 16:39
fonte
5

Leggi anche questo! link

Il WiFi Pineapple è solo un dispositivo che una persona può utilizzare in queste situazioni. Non sono sicuro di quali tipi di rapporti possiedi ma, se la persona utilizza un dispositivo portatile Rouge-AP, sono probabilmente mobili (a piedi, in bicicletta) o, statici ma, in prossimità dei tuoi AP (bere caffè o laptop o, anche uno smartphone) ...

Diventa molto pericoloso perché quando si tratta di portatili rouge-AP come l'ananas wifi, diventa evidente che la persona che ti interessa è, in effetti, tra la tua azienda ... Un addetto ai lavori.

Quindi, combatti una minaccia mobile come questa, devi essere mobile. Già le persone hanno suggerito di scaricare app per smartphone mobile w / wifi per la ricerca di SSID rouge-AP. Anche se si sta spoofando l'SSID, è possibile anche estrarre un indirizzo mac e valutarlo (questo darà l'origine del dispositivo) [PUO 'ESSERE SPOOFED}.

COME: WARDRIVING / WARWALKING Avrai bisogno di un elenco delle tue risorse wireless, dell'indirizzo MAC hardware corrente, e di andare in giro con telefoni cellulari multipli con le app di scansione wireless in corso e un elenco di indirizzi MAC wireless. Tutti possono sembrare praticamente in incognito perché, nessuno pensa che solo uno smartphone possa realizzare cose di questa natura (in realtà, persino un orologio da polso può ora compromettere una rete wireless ...) O, può essere usato per scansionare segnali wireless, e sembra completamente poco appariscente. link

Anche il tuo sospettato aggressore sta cercando di rimanere sotto il radar. Questo potrebbe anche essere un router remoto compromesso, che agisce come un bridge client wireless o un Karma rouge-AP. Se vai in un wardriving, puoi usare un laptop (suggerito per moltiplicare le persone con computer multipli) con Windows su InSSIDer. Prendi l'elenco MAC e vai fuori scansione. Metti il tuo elenco indirizzi MAC in un blocco note e controllalo contro gli AP che hai scoperto. QUI: www.metageek.net/products/inssider /

Un'altra opzione è forzare lo spettro wireless a fare le tue offerte (in modo legale) Gli attacchi tattici di de-autenticazione sono la prossima ondata per proteggere il wireless da questo tipo di minacce, tuttavia, sta ancora emergendo ... QUI

Tutto quello che posso dire è che ho un ananas wifi, ed è pazzesco quello che puoi fare con pochi click ora ... Devi fermare questa minaccia al più presto o potrebbe essere troppo tardi, e la tua rete aziendale è sotto il fuoco dell'inferno. I telefoni cellulari con funzionalità wireless sono anche una minaccia ora ... Lo smartphone medio può anche diventare un AP rouge e sniffare traffico, rimuovere SSL ...

QUI

In futuro, suggerisco alla tua azienda di esaminare i sistemi IDS / IPS wireless oggi disponibili in commercio. Alcuni, hanno anche tutti i trucchi della difesa che ho detto sopra. ;-) Buona fortuna a te su questo! Sentiti libero di contattarmi posso aiutarti !!! ; -)

    
risposta data 19.01.2012 - 00:18
fonte
4

Poiché il dispositivo è acceso a intermittenza, la posizione è stata ovviamente impegnativa. Se hai tempo e risorse, c'è un modo per dare la caccia a quel segnale.

Sono necessari due dispositivi wireless e, se si trovano su macchine diverse (probabilmente devono essere in grado di spostare abbastanza direzionale), buona sincronizzazione temporale per la registrazione. Uno dovrebbe avere un'antenna omnidirezionale. L'altro dovrebbe avere un'antenna direzionale ad alto guadagno. Chiamerò i dispositivi O e D.

Ogni volta che il dispositivo O visualizza il punto di accesso errato, devi confrontare l'intensità del segnale con ciò che viene visualizzato dal dispositivo D . Il confronto è necessario per farti capire quando D è puntato in una direzione cieca. Ruota il dispositivo D fino a quando il cono punta in una direzione che ti dà una lettura strong. Quando hai questa lettura, sposta D in un posto molto diverso e ricomincia a valutare. Dovresti finire con una serie di letture che ti permettono di selezionare il cono di linea / copertura più strong da ogni luogo che trovi D . Ciò dovrebbe ridurre rapidamente la posizione in cui è possibile localizzare il dispositivo.

Ci sono ulteriori dettagli sulla pratica nel link . Esistono anche metodi di localizzazione più veloci, ma richiedono attrezzature più complesse e software relativamente complesso.

    
risposta data 18.01.2012 - 17:26
fonte
3

Scrivi un semplice script cron che chiama iwlist eth1 scan su un computer wifi ogni minuto o giù di lì, e ti passa attraverso per vedere se i nomi del tuo punto di accesso si presentano come più di una cella (o altrimenti appaiono anormali). Se qualcosa non funziona, invia e-mail agli amministratori che poi tentano di individuare la fonte.

Suggerisco di provare a utilizzare antenne Wi-Fi direzionali per individuare la direzione il segnale proviene da; o l'app Android di rilevamento della direzione wifi come la soluzione di Schroeder. Questo passaggio è probabilmente fatto meglio con più di una persona, spostandosi in luoghi diversi; vedere come il segnale diventa più strong / più debole. Non presumo necessariamente che il segnale sia omnidirezionale; per esempio, [2] , quindi la semplice triangolazione potrebbe non funzionare.

Finalmente sarebbe possibile iniziare a utilizzare WPA o crittografia in modo che il malvagio gemello non possa realmente mascherare la tua rete?

    
risposta data 18.01.2012 - 22:19
fonte
3

Credo che attualmente ci siano due metodi. Il primo è che puoi utilizzare un rilevatore fisico, come AirCheck e segui il segnale finché non lo trovi. Quindi puoi identificare se è quello che hai messo lì, o se qualcun altro lo ha.

L'altro metodo sarebbe trovarli sul lato della rete. Questo articolo spiega in dettaglio come è possibile utilizzare Nessus e menziona gli svantaggi dell'uso di uno scanner fisico (frequenze diverse, interferenze, ecc.)

Se ne trovi una fisicamente, la soluzione migliore sarebbe strapparla dal socket!

Network wise (Ho una conoscenza limitata dei firewall / switch, quindi questa forse non ha senso), ma se riesci a scoprire a quale porta è collegato, forse è possibile scollegare questa porta, o inserire nella blacklist l'indirizzo MAC. Dovresti comunque confermarlo con qualcuno con una maggiore conoscenza.

    
risposta data 16.08.2012 - 10:33
fonte
3

Come farlo dipende dalle dimensioni della tua azienda e dalla sua presenza fisica e dalla frequenza con cui vuoi farlo. Ci sono veri e propri rilevatori di wifi canaglia che puoi installare che non fanno altro che scansionare le wifis canaglia, ma probabilmente è eccessivo. Le probabilità sono il modo migliore per farlo è semplicemente installare un rilevatore gratuito sul telefono e andare in giro alla ricerca di punti. Man mano che ti avvicini il segnale diventa più strong, man mano che ti allontani diventa più debole, quindi se stai seguendo un segnale e inizia a indebolirsi, sai di aver appena superato un punto di accesso. Se si dispone di una soluzione WiFi aziendale, potrebbe anche offrire quella funzionalità. So che Cisco e Aerohive sono entrambi dotati di funzionalità di rilevamento del WiFi fuori dagli schemi, potrebbe valere la pena dare un'occhiata. Per quanto riguarda cosa fare quando li trovi non è sempre così semplice come staccare la spina. Se qualcuno ha affrontato il problema e le spese dell'acquisto di un punto di accesso wireless e l'installazione stessa, è probabile che stiano cercando di risolvere un problema che il reparto IT non ha fatto. Dite gentilmente che è contro le regole, scopri perché l'hanno fatto e poi risolvi il problema in modo che non abbiano bisogno del loro AP. Naturalmente alcuni AP rogue possono essere installati da utenti interni o esterni malintenzionati ai fini dell'hacking nella rete. Se ne trovi uno in cui sospetti che questo sia il caso, imposta segretamente una web cam nascosta o due intorno all'area e tira fuori il cavo di alimentazione dalla parte posteriore in modo che possa sembrare uscito accidentalmente, e poi vedi chi arriva ricollegalo e quando. Probabilmente un addetto alle pulizie ha pagato per controllarlo e ricollegarlo, ma potrebbe essere l'hacker nel qual caso si chiama la polizia per arrestare e perseguire.

    
risposta data 16.08.2012 - 10:56
fonte
1

Che dire del tracciamento del punto di accesso canaglia con computer / telefono dotato di GPS? Ad esempio: Kismet in Linux box o Wifi Analyzer per dispositivo Android.

    
risposta data 18.01.2012 - 13:24
fonte

Leggi altre domande sui tag