it-swarm.com.de

Aufspüren eines betrügerischen Zugangspunkts

Im Laufe eines Monats haben wir mehrere Berichte über einen betrügerischen Zugangspunkt erhalten, der versucht, den Verkehr abzufangen. Ich vermute, ein Angreifer verwendet ein WLAN-Ananas oder ein ähnliches Hardwaregerät. Sie scheinen es für kurze Zeit zu ermöglichen und dann zu verschwinden, bevor wir Zeit haben zu reagieren. Wenn dieser Angriff wieder auftaucht, möchte ich schnell reagieren und sie verhaften lassen können.

Was ist der beste Weg, um dieser Bedrohung zu begegnen?

22
rook

Die allgemeinen Möglichkeiten, wie ein betrügerischer Zugangspunkt gefunden wird:

  • Ein Wi-Fi-Zugangspunkt für Unternehmen verbringt einen Teil seiner Zeit damit, nicht nur Kunden zu bedienen, sondern auf verschiedenen Kanälen auf anderen Wi-Fi-Verkehr zu warten. (Dies funktioniert am besten für das 2,4-GHz-Band, in dem weniger Kanäle vorhanden sind. Glücklicherweise werden hier auch die meisten normalen, nicht zielgerichteten Angriffe ausgeführt. Sie können anstelle eines AP auch einen dedizierten Sensor verwenden. Sie können auch ein Funkgerät eines Zugangspunkts mit zwei Funkgeräten als Vollzeitsensorfunkgerät konfigurieren.)
    • Diese Informationen werden in der Regel über einen bestimmten Mechanismus (SnMP-Trap, SnMP-Polling, proprietäre Benachrichtigungsprotokolle usw.) an ein zentrales System (einen Controller, die Controller-Verwaltungssoftware usw.) gemeldet. Sie könnten wahrscheinlich selbst ein zentrales System schreiben, wenn Sie wirklich Lust dazu haben, obwohl in der Praxis Schnittstellen von Drittanbietern mit SNMP von drahtlosen Geräten ein bisschen ein Hit-or-Miss sein können und die Daten ist in keinem standardisierten Format verfügbar. Es gibt auch patentbezogene Implikationen wie diese , über die ich zufällig Bescheid weiß.
    • Das zentrale System prüft, ob diese BSSID zu einem bekannten, gültigen Zugriffspunkt gehört, der zum Netzwerk Ihres Unternehmens gehört.
    • Das zentrale System analysiert den gemeldeten Schurken auf Sicherheit. (Beispielsweise ist ein nicht autorisierter Zugriffspunkt, der die SSID von MyCorp in einem offenen Netzwerk sendet, eine Bedrohung für MyCorp-Mitarbeiter, aber etwas, das eine andere SSID sendet, z. B. PANERA oder NEIGHBORCORP-GUEST, oder eine Peer-to-Peer-WLAN-Verbindung, ist möglicherweise keine Bedrohung.)
  • Geräte im Paketpfad, wie z. B. Wi-Fi-Controller, können versuchen, festzustellen, ob sie eine MAC-Adresse im drahtlosen Netzwerk gesehen haben, die ebenfalls vorhanden ist auf unerwartete Weise im kabelgebundenen Netzwerk. Wenn dies der Fall ist, ist dies ein Zeichen dafür, dass das kabelgebundene Netzwerk mit der Atmosphäre verbunden ist und Sie wissen, an welchen Controller-Port es angeschlossen ist.
  • Ein aktiver Scan kann im Netzwerk des Unternehmens ausgeführt werden, indem Webseiten über Port 80 oder 443 angefordert werden und/oder ein Tool wie nmap ausgeführt wird, um nach Indikatoren für gängige Netzwerkgeräte für Endverbraucher (z. B. Linksys) zu suchen Loginseite).
  • Die kabelgebundene Infrastruktur (Switches, Router) kann nach Bridge-Weiterleitungstabellen abgefragt werden, die MAC-Adressen enthalten. Diese MAC-Adressen können analysiert werden, um festzustellen, ob sie zu einer OUI eines Herstellers von drahtlosen Netzwerkgeräten (z. B. Linksys) gehören.
  • Sie können Software auf den Laptops oder anderen Computern Ihres Unternehmens installieren, die viele der gleichen Arten von Informationen zurückmelden, die der Access Point erkennen würde (SSID/BSSID-Listen usw.), und diese an das oben genannte zentralisierte System melden oder die SSID melden Computer ist tatsächlich angeschlossen. Es ist hilfreich zu erkennen, ob sich der Laptop zu Hause im Büro befindet oder ob Sie möglicherweise viele andere Zugangspunkte sehen.

Zu den Maßnahmen, die gegen diese Geräte ergriffen werden können, gehören:

  • herunterfahren des Netzwerkports am Switch (wenn sich der Angreifer in Ihrem Netzwerk befindet)
  • fälschen von 802.11-Paketen, um Clients von diesem Zugriffspunkt zu trennen, insbesondere für drahtlose Clients, die Ihr System als zu Ihrer Organisation gehörend erkennt (häufig als "Rogue Containment" bezeichnet)
  • verwenden eines Netzwerkvisualisierungstools, mit dem der Standort des nicht autorisierten Zugriffspunkts anhand seiner Signalstärke (wie von Ihren Zugriffspunkten angegeben) und Ihres WLAN-Netzwerklayouts ermittelt werden kann. Gehen Sie dann zu diesem Standort und suchen Sie ihn persönlich
    • oder verwenden Sie ein anderes Signalerkennungswerkzeug, um es aufzuspüren

Die drei führenden Mobilfunkanbieter für Unternehmen (Cisco, Aruba, Motorola) bieten alle ein WLAN IPS mit mehreren oder allen dieser Funktionen, und einige kleinere Anbieter auch). Dies ist einer der vielen Gründe, warum sie teurer sind als Ihr billiger Linksys WLAN-Router.

15
user12272

Ein nicht autorisierter Zugriffspunkt impliziert, dass er mit Ihrem LAN verbunden ist, was mithilfe der Port-Sicherheit leicht zu erkennen ist.

Diese WiFi-Ananas ist mehr oder weniger ein Honeypot, der in Ihrem Netzwerk nicht vorhanden ist. Das Erkennen wird viel schwieriger, da es sich nicht in Ihrem Netzwerk befindet. Es ist nur eine Fälschung Ihrer SSID, nehme ich an?

Wie wäre es also, wenn Sie ein Skript schreiben, in dem alle erkannten Zugriffspunkte aufgelistet und gezählt werden. Sie können auch etwas hinzufügen, um nach SSIDs zu suchen. Überprüfen Sie deren MAC und prüfen Sie, ob es eine SSID gibt, die den Namen Ihrer SSID oder eine ähnliche ID enthält (MyCompany oder MyCompany-new), und überprüfen Sie diese anhand einer Liste von MAC-Adressen von Ihrem eigene Geräte. Ich könnte hinzufügen, dass das Spoofing einer Mac-Adresse ziemlich einfach ist und das Zählen der SSIDs möglicherweise einfacher ist.

7
Lucas Kauffman

Es gibt Telefon-Apps, die versuchen, WLAN-Zugangspunkte physisch zu finden. Android hat sie, aber ich glaube, dass Apple hat diese Art von Apps aus ihrem Store gezogen, aber sie sind auf dem gehackten Markt verfügbar: https : //market.Android.com/details? id = girsas.wifiradar & hl = en

Dies erfordert möglicherweise eine gewisse Koordination und Eingrenzung des potenziellen Standorts, sollte jedoch wertvolle Daten liefern, um dies aufzuspüren.

6
schroeder

Lesen Sie das auch! http://seclists.org/pen-test/2007/Nov/57

Die Wifi-Ananas ist nur ein Gerät, das eine Person in diesen Situationen verwenden kann. Ich bin mir nicht sicher, welche Art von Berichten Sie haben, aber wenn die Person einen tragbaren Rouge-AP verwendet, ist sie höchstwahrscheinlich mobil (zu Fuß, mit dem Fahrrad) oder statisch, aber in der Nähe Ihrer APs (Kaffee trinken oder auf einem Laptop oder sogar ein Smartphone) ...

Es wird wirklich gefährlich, denn beim Umgang mit tragbaren Rouge-APs wie der WLAN-Ananas wird deutlich, dass die Person, an der Sie interessiert sind, tatsächlich zu Ihrem Unternehmen gehört ... Ein Insider.

Sie bekämpfen also eine mobile Bedrohung wie diese, die Sie benötigen, um mobil zu werden. Es wurde bereits vorgeschlagen, Apps für mobile Smartphones mit WLAN herunterzuladen, um nach Rouge-AP-SSIDs zu suchen. Selbst wenn sie die SSID fälschen, kann auch eine Mac-Adresse abgerufen und bewertet werden (dies gibt Ihnen den Ursprung des Geräts) [KANN SPOOFED sein].

WIE: WARDRIVING/WARWALKING Sie benötigen eine Liste der aktuellen Hardware-MAC-Adresse Ihrer drahtlosen Assets und können mit mehreren Mobiltelefonen mit drahtlosen Scan-Apps und einer Liste der drahtlosen MAC-Adressen herumlaufen. Sie können alle so gut wie inkognito aussehen, weil niemand glaubt, dass nur ein Smartphone solche Dinge erreichen kann. (In Wirklichkeit kann sogar eine Armbanduhr jetzt ein drahtloses Netzwerk gefährden ...) ODER sie kann zum Scannen von drahtlosen Signalen verwendet werden. und völlig unauffällig aussehen. http://hackaday.com/2011/12/27/rooting-a-Motorola-actv-Android-wristwatch/

Ihr mutmaßlicher Angreifer versucht ebenfalls, unter dem Radar zu bleiben. Dies ist möglicherweise auch nur ein kompromittierter Remote-Router, der als drahtlose Client-Bridge oder Karma-Rouge-AP fungiert. Wenn Sie mit dem Fahren fahren, können Sie einen Laptop (empfohlene Personen mit mehreren Laptops) mit Windows verwenden, auf dem InSSIDer ausgeführt wird. Holen Sie sich die MAC-Liste und scannen Sie. Legen Sie Ihre MAC-Adressliste in einen Notizblock und vergleichen Sie sie mit den von Ihnen entdeckten APs. HIER: www.metageek.net/products/inssider/

Eine andere Möglichkeit besteht darin, das Funkspektrum zu zwingen, Ihre Gebote (auf legale Weise) abzugeben. Taktische De-Authentifizierungs-Angriffe sind die nächste Welle, um Funk vor solchen Bedrohungen zu schützen. Sie treten jedoch immer noch auf ... HIER

Alles, was ich Ihnen sagen kann, ist, dass ich eine WLAN-Ananas habe, und es ist verrückt, was Sie jetzt mit ein paar Klicks tun können ... Sie müssen diese Bedrohung so schnell wie möglich stoppen, oder es könnte zu spät sein, und Ihr Unternehmensnetzwerk ist in der Hölle -Feuer. Mobiltelefone mit drahtlosen Funktionen sind jetzt ebenfalls eine Bedrohung ... Ihr durchschnittliches Smartphone kann auch zu einem Rouge-AP werden und Datenverkehr schnüffeln, SSL entfernen ...

HIER

Ich schlage vor, dass Ihr Unternehmen sich in Zukunft mit drahtlosen IDS/IPS-Systemen befasst, die heute im Handel erhältlich sind. Einige haben sogar alle Verteidigungstricks, die ich oben gesagt habe. ;-) Viel Glück dabei! Fühlen Sie sich frei, mich zu kontaktieren, ich kann helfen !!! ;-);

5
TyTech1337

Da das Gerät zeitweise eingeschaltet ist, war der Standort offensichtlich eine Herausforderung. Wenn Sie Zeit und Ressourcen haben, gibt es eine Möglichkeit, dieses Signal aufzuspüren.

Sie benötigen zwei drahtlose Geräte und, wenn sie sich auf verschiedenen Computern befinden (sie müssen wahrscheinlich vorhanden sein, um die Richtung ausreichend zu verschieben), eine gute Zeitsynchronisation für die Protokollierung. Man sollte eine Rundstrahlantenne haben. Die andere sollte eine Richtantenne mit hoher Verstärkung haben. Ich werde diese Geräte O und D nennen.

Immer wenn das Gerät [~ # ~] o [~ # ~] den Rogue Access Point sieht, sollten Sie die Signalstärke mit der des Geräts vergleichen [~ # ~] d [~ # ~] . Ein Vergleich ist erforderlich, um Sie darauf aufmerksam zu machen, wann [~ # ~] d [~ # ~] in eine blinde Richtung zeigt. Drehen Sie das Gerät [~ # ~] d [~ # ~] , bis der Kegel in eine Richtung zeigt, die Ihnen einen starken Messwert liefert. Wenn Sie diese Lesung haben, verschieben Sie [~ # ~] d [~ # ~] an einen ganz anderen Ort und beginnen Sie erneut mit der Bewertung. Am Ende sollten Sie eine Reihe von Messwerten erhalten, mit denen Sie an jedem Ort, den Sie finden, die stärkste Linie/den stärksten Abdeckungskegel auswählen können [~ # ~] d [~ # ~] . Dadurch sollte der Ort, an dem sich das Gerät befinden kann, schnell eingegrenzt werden.

Weitere Informationen zur Praxis finden Sie unter http://en.wikipedia.org/wiki/Direction_finding . Es gibt auch schnellere Ortungsmethoden, die jedoch komplexere Geräte und relativ komplexe Software erfordern.

4
Jeff Ferland

Schreiben Sie ein einfaches Cron-Skript, das iwlist eth1 scan auf einem WLAN-Computer jede Minute oder so und durchsucht ihn, um festzustellen, ob die Namen Ihres Zugriffspunkts als mehr als eine Zelle angezeigt werden (oder auf andere Weise abnormal erscheinen). Wenn etwas nicht stimmt, senden Sie E-Mails an die Administratoren, die dann versuchen, die Quelle zu ermitteln.

Ich würde vorschlagen, eine Richtungs-WLAN-Antenne zu verwenden, um die Richtung zu bestimmen, aus der das Signal kommt. oder WLAN-Richtungserkennung Android App wie die Lösung von schroeder. Dieser Schritt wird wahrscheinlich am besten mit mehr als einer Person durchgeführt, die sich an verschiedenen Orten bewegt und sieht, wie das Signal stärker/schwächer wird. Ich würde nicht Nehmen Sie unbedingt an, dass das Signal omnidirektional ist, siehe z. B. [2] , sodass eine einfache Triangulation möglicherweise nicht funktioniert.

Wäre es endlich möglich, WPA oder Verschlüsselung) zu verwenden, damit der böse Zwilling sich nicht wirklich als Ihr Netzwerk maskieren kann?

3
dr jimbob

Ich glaube, es gibt derzeit zwei Methoden. Das erste ist, dass Sie einen physischen Detektor wie AirCheck verwenden und dem Signal folgen können, bis Sie es finden. Dann können Sie feststellen, ob es eines ist, das Sie dort abgelegt haben, oder ob es jemand anderes hat.

Die andere Methode wäre, sie auf der Netzwerkseite zu finden. Dieser Artikel beschreibt, wie es mit Nessus möglich ist, und erwähnt die Nachteile der Verwendung eines physischen Scanners (unterschiedliche Frequenzen, Interferenzen usw.).

Wenn Sie eine physisch finden, ist die beste Lösung, sie aus der Steckdose zu ziehen!

In Bezug auf das Netzwerk (ich habe nur begrenzte Kenntnisse über Firewalls/Switches, daher ist dies möglicherweise Unsinn). Wenn Sie jedoch herausfinden können, mit welchem ​​Port eine Verbindung besteht, können Sie diesen Port möglicherweise trennen oder die MAC-Adresse auf die schwarze Liste setzen. Sie müssten dies jedoch mit jemandem mit größerem Wissen bestätigen.

3
fin1te

Wie das geht, hängt von der Größe Ihres Unternehmens und seiner physischen Präsenz sowie davon ab, wie oft Sie es tun möchten. Es gibt echte Rogue-WLAN-Detektoren, die Sie installieren können und die nichts anderes tun, als nach Rogue-WLANs zu suchen, aber das ist wahrscheinlich übertrieben. Der beste Weg, dies zu tun, besteht darin, einfach einen kostenlosen Detektor auf Ihrem Telefon zu installieren und nach Punkten zu suchen. Wenn Sie näher kommen, wird das Signal stärker, wenn Sie sich entfernen, wird es schwächer. Wenn Sie also einem Signal folgen und es schwächer wird, wissen Sie, dass Sie gerade einen Zugangspunkt passiert haben. Wenn Sie über eine Unternehmens-WLAN-Lösung verfügen, bietet diese möglicherweise auch diese Funktionalität. Ich weiß, dass Cisco und Aerohive sofort eine unerwünschte WLAN-Erkennung bieten. Es kann sich lohnen, einen Blick darauf zu werfen. Was zu tun ist, wenn Sie sie finden, ist nicht immer so einfach wie das Ziehen des Steckers. Wenn jemand die Mühe und die Kosten durchgemacht hat, einen drahtlosen Zugangspunkt zu kaufen und selbst zu installieren, versucht er wahrscheinlich, ein Problem zu lösen, das die IT-Abteilung nicht gelöst hat. Sagen Sie ihnen höflich, dass es gegen die Regeln verstößt, finden Sie heraus, warum sie es getan haben, und lösen Sie das Problem, damit sie keinen eigenen AP benötigen. Natürlich können einige betrügerische APs von böswilligen Insidern oder Outsidern installiert werden, um sich in Ihr Netzwerk zu hacken. Wenn Sie eine finden, bei der Sie den Verdacht haben, dass dies der Fall ist, richten Sie heimlich eine oder zwei versteckte Webkameras in der Umgebung ein und ziehen Sie das Netzkabel gerade so weit aus der Rückseite heraus, dass es so aussieht, als wäre es versehentlich herausgekommen, und sehen Sie dann, zu wem es kommt Stecken Sie es wieder ein und wann. Es ist wahrscheinlich ein Reiniger, der sich ausgezahlt hat, um es zu überprüfen und wieder anzuschließen, aber es könnte der Hacker selbst sein. In diesem Fall rufen Sie die Polizei an, um eine Verhaftung und Strafverfolgung vorzunehmen.

3
GdD