Evite Hacks por desonestos dispositivos sem fio

Atente para hackers a partir de routers não autorizados e clientes sem fio que estão conectados à rede e em execução no modo ad-hoc. Usando NetStumbler ou o seu software de gestão de cliente, você pode testar para pontos de acesso (APs) e dispositivos ad-hoc que não pertencem em sua rede. Você pode usar os recursos de monitoramento de rede em um analisador de WLAN, tais como OmniPeek e CommView for WiFi.

Procure as seguintes características rogue AP:

  • SSIDs ímpares, incluindo as predefinidas populares, tais como Linksys e Wifi grátis.

  • nomes de sistemas Odd AP - isto é, o nome do AP se o seu hardware suporta esta funcionalidade. Não deve ser confundido com o SSID.

  • endereços MAC que não pertencem em sua rede. Olhe para os três primeiros bytes do endereço MAC, que especificam o nome do fornecedor. Você pode realizar uma lookup fornecedor MAC-address para encontrar informações sobre APs você está inseguro.

  • Sinais de rádio fracos, o que pode indicar que um AP foi escondido ou é adjacente a ou mesmo fora do seu prédio.

  • Comunicações através de um canal de rádio diferente (s) do que o que sua rede se comunica por diante.

  • Degradação no throughput da rede para qualquer cliente WLAN.

NetStumbler encontrou dois APs potencialmente não autorizadas. Os que se destacam são os dois com SSIDs de BI e LarsWorld.

image0.jpg

NetStumbler tem uma limitação: Não vai encontrar APs que possuem pacotes de resposta de teste desativado. analisadores de rede sem fio comerciais, como CommView para WiFi, bem como o código aberto Kismet olhar não só para as respostas de sondas de APs como NetStumbler faz, mas também para outros pacotes de gerenciamento de 802.11, como respostas de associação e balizas. Isto permite Kismet para detectar a presença de WLANs ocultas.

Se a plataforma UNIX não é sua xícara de chá, e você ainda está procurando uma maneira rápida e suja para erradicar APs ocultos, você pode criar um cenário reconexão cliente-para-AP que obriga a transmissão de SSIDs usando de-autenticação pacotes.

A maneira mais segura para erradicar APs ocultos é simplesmente procurar 802.11 pacotes de gestão. Você pode configurar OmniPeek para procurar 802.11 pacotes de gerenciamento para erradicar APs ocultas, permitindo que um filtro de captura on 802.11 pacotes de gestão.

image1.jpg

Você pode usar CommView for WiFi de detectar um host-rede estranho, por exemplo, os sistemas de Hai e Netgear Hon se você sabe que só usam hardware Cisco e Netopia em sua rede.

image2.jpg

Minha rede de teste para este exemplo é pequeno comparado ao que você pode ver, mas você começa a idéia de como um sistema estranho pode se destacar.

WLANs configuradas no modo ad-hoc permitem que clientes sem fio se comuniquem diretamente uns com os outros sem ter que passar por um AP. Estes tipos de WLANs operar fora dos controles normais de segurança sem fio e pode causar sérios problemas de segurança além dos 802,11 vulnerabilidades normais.

Você pode usar praticamente qualquer analisador de WLAN para encontrar dispositivos ad-hoc não autorizadas. Se você se deparar com diversos sistemas ad-hoc, como esses dispositivos listados como STA em CommView for WiFi do Digitar coluna, esta poderia ser uma boa indicação de que as pessoas estão correndo sistemas sem fio desprotegidas ou ter ad-hoc sem fio habilitado. Estes sistemas são muitas vezes impressoras ou sistemas de rede aparentemente benignos, mas podem ser estações de trabalho e dispositivos móveis.

image3.jpg

Você também pode usar o dispositivo portátil Hotspotter Digital para procurar sistemas ad-hoc-habilitado ou até mesmo um sistema de prevenção de intrusão sem fio para procurar pacotes de beacon em que o campo ESS não é igual a 1.

Ande em torno de seu edifício ou campus para realizar este teste para ver o que você pode encontrar. Fisicamente procure por dispositivos que não pertencem e ter em mente que um cliente AP ou WLAN bem colocado que está desligado não vai aparecer em suas ferramentas de análise de rede.

Tenha em mente que você pode estar captando sinais de escritórios ou residências próximas. Portanto, se você encontrar algo, não imediatamente assumir que é um dispositivo não autorizado. A força do sinal a detectar é uma boa indicação.

Dispositivos de fora do seu escritório devemos tem um sinal mais fraco do que os de dentro. Usando um analisador de WLAN desta forma ajuda a restringir a localização e evitar falsos alarmes em caso de detecção de dispositivos sem fio vizinhos legítimos.

Uma boa maneira de determinar se um AP-lo a descobrir está ligado à sua rede com fio é a realização de ARPs reversa para mapear endereços IP para endereços MAC. Você pode fazer isso em um prompt de comando usando o arp -a comando e simplesmente comparando endereços IP com o endereço MAC correspondente para ver se você tem um jogo.

Além disso, mantenha em mente que as WLANs autenticar os dispositivos sem fio, e não os usuários. hackers criminosos podem usar isso para sua vantagem através do acesso a um cliente sem fio via software de acesso remoto, como telnet ou SSH, ou através da exploração de uma aplicação conhecida ou vulnerabilidade OS. Depois eles fazem isso, eles potencialmente têm pleno acesso à sua rede.

A única maneira de detectar APs e hospedeiros sem fio na rede é monitorar sua WLAN de forma proactiva, procurando indicadores que possam existir clientes sem fio ou APs. A WIPS é perfeito para essa monitorização. Mas se APs ou clientes não aparecem, isso não significa que você está fora do gancho. Você pode precisar sair do analisador de rede sem fio, IPS sem fio, ou outro aplicativo de gerenciamento de rede.

Dependendo do seu AP, um par de alterações de configuração pode manter os hackers de realizar estes hacks contra você:

  • Se possível, aumente o intervalo de beacon transmissão sem fio para a configuração máxima, que é de cerca de 65.535 milissegundos. Isso pode ajudar a esconder a AP de hackers que estão wardriving ou a pé por seu prédio rapidamente. Certifique-se de testar isso em primeiro lugar, embora, porque ele pode criar outras consequências não intencionais, tais como clientes sem fio legítimos não ser capaz de se conectar à sua rede.

  • respostas sonda Desativar para impedir que seu AP de responder a esses pedidos.

Use um software de firewall pessoal, como o Firewall do Windows, em todos os hosts sem fio para impedir o acesso remoto não autorizado em seus hospedeiros, e, posteriormente, a sua rede.

menu