Wi-Fi侵入を調査する方法と証拠を探す場所
侵入者が検出された後、ネットワーク上にいる間に侵入者が(過去に)何をしたかを知ることができるように、ネットワークを構成する方法を理解しようとしています。例えば。 Wi-Fi対応のラップトップを持った誰かが私の家の外に駐車し、私の弱い暗号を解読できたためにホームネットワークに接続した場合。そして、もし彼が私のネットワークから何らかの不正行為をしたとしたら、どうすれば私のネットワークを構成でき、彼が何をしていたかを知るためにネットワークをどこを見なければならないでしょうか?どのデバイスが貴重な情報をログに記録でき、どのようにこの情報を理解できますか?
ほとんどのルーター(小売wifiユニットを含む)には、DHCPによってIPアドレスが割り当てられているすべてのアクティブなクライアントを一覧表示する管理画面があります。これは通常、クライアントのMACアドレスもリストします。
通常、次のようになります。
CLIENT NAME IP ADDRESS MAC ADDRESS
Android_blah 192.168.1.10 AA-BB-CC-00-00-00
my_pc 192.168.1.11 DD-EE-AA-00-00-00
クライアント名を認識しない場合-MACアドレスの最初の3オクテットを取得し、それらをグーグル(例:AA-BB-CC)するのが便利なヒントです。これにより、デバイスの製造元がわかります。それは本当にあなたの家の内外にあります。
ほとんどの消費者向け機器は何が起こったかのログを保持するつもりはないので、あなた自身はおそらくあまりできないでしょう。あなたのISPはあなたのアカウントからの活動についての記録を持っている可能性が高く、それは役に立つかもしれませんが、裁判所の命令なしにそれを得ることができる可能性は低いです。一般的なルール。悪意のあることを疑う理由がない限り、違反を文書化し、修正して、問題なく続行します。接続のMACアドレスを保持している場合はそれを保持します(接続が最近の場合はルーターまたはAPにリストされているはずです)が、誰かが実際にうまくいかない場合は、なりすましの可能性があります。
本当に心配する必要があるのは、それをサポートできるかどうかではありません。行われた可能性のある不正行為を追跡するのは当局の責任です(ただし、彼らが単にあなたの接続を悪戯している隣人だった可能性ははるかに高いです)。
他のシステムでウイルススキャンなどを実行して、ネットワーク内で問題が発生していないことを確認することも価値がありますが、それらが何も明らかにしない場合は、心配する必要はありません。最初にあなたの疑いを引き起こしたものは何ですか?
機器が利用可能でオンになっているネットワークアクティビティに関する有用な情報を記録する可能性がある場合、それはおそらくルーター上にありますが、それを取得するための正確な方法はメーカーとモデルによって異なります。
この回答の大部分は、あなたが言ったように質問に対処することであることに注意してください。これは、彼らが単にネットワークをインターネット接続に使用していて、ネットワークを直接攻撃していないと考えていることを示しているようです。それが正しくない場合、ネットワーク上のコンピュータは、イベントログにアクセス試行などに関する非常に貴重な情報を持っているため、実行できることの多くが変更されます。ほとんどのWindowsマシンのコントロールパネルにある管理ツールの下で、イベントビューアからこの情報にアクセスできます。そこに見つからない場合は、Microsoft管理コンソールのスナップインとして見つけることもできます。これを実行してmmcと入力すると起動できます。何を探すべきかわからない場合、そこにある情報を追跡するのはかなり難しくなります。何を探すべきかについての完全な詳細は、Q/A形式(レクチャーシリーズのような)の場合は少し広いです。
これが起こっていると思われた理由の詳細は、情報を見つけることができる場所の範囲を絞り込むのに役立つ場合があります。
SSID(サービスセット識別子)をブロードキャストしないことと組み合わせて、ハニーポットをいつでもセットアップできます。攻撃者は実際のAPが存在することを知らないため、ハニーポットを攻撃します。ハニーポットは、あなたがどれだけの知識を持っているかに基づいて、さまざまな程度でログに記録できます。単純なグーグル検索は多くのツールであなたを振り回します。 MACアドレスフィルタリングは、クライアントがAPに接続されていない場合に備えて、優れたセキュリティ機能です。また、クライアントが接続するとすぐにSSIDが簡単にアンクロークされるため、SSIDをブロードキャストしないことの欠点もあります。 squidのようなプロキシを設定し、アクセスしたサイトなどのさまざまな情報をログに記録することもできます。お役に立てれば。
Kismet をご覧ください。
Kismetは、802.11ワイヤレスネットワークディテクター、スニファー、および侵入検知システムです。 Kismetは、rawモニタリングモードをサポートし、802.11b、802.11a、802.11g、および802.11nトラフィックを傍受できる任意のワイヤレスカードで動作します
KismetにはIDS機能が含まれており、レイヤー2およびレイヤー3ワイヤレス攻撃にステートレスおよびステートフルIDSを提供します。 Kismetは、指紋(特定の単一パケット攻撃)と傾向(異常なプローブ、関連付けのフラッドなど)についてアラートを出すことができます。
Raspberry Piに2番目のwifi NICを使用してKismetを設定すると、ワイヤレスクライアントを問題なくリッスンして、MACアドレスを記録し、生のパケットトラフィックを節約できる可能性があります。
あなたの質問は理論的なものであることがわかったので、わかりやすいようにネットワークを設定する方法についてより適切に答えることができます。正確な設定方法はデバイスによって異なりますが、利用可能なオプションはたくさんあります。重要なのは、人が行うすべてのことを通過するネットワーク上の場所にある、ログを記録できるデバイスが必要であることです。
平均的なホームネットワークの場合、これはワイヤレスアクセスポイント、ルーター、または該当する場合はゲートウェイまたはファイアウォールのいずれかです。ワイヤレスアクセスポイントは、ネットワークに接続するとすぐに情報を取得し、ワイヤレスネットワークで発生するすべてのアクティビティがログに記録されることを保証しますが、ワイヤレス接続を使用して有線システムを侵害し、その後有線システムでは、不完全なログになります。
ほとんどの場合、ルーターはゲートウェイおよびファイアウォールとしても機能します(残りのネットワークにインターネットへのアクセスを提供し、インターネットからプライベートネットワークへの意図しないアクセスを防止するデバイス)。ゲートウェイまたはファイアウォール、あるいはその両方でログを記録すると、すべての送信トラフィックがログに記録されますが、侵入者がネットワークの内部で何をしたかはわかりません。
ほとんどのホームネットワークでは、ルーターは1つしかなく、一般にワイヤレスアクセスポイント、ゲートウェイ、およびファイアウォールとしても機能するため、ネットワークを流れるすべての接続に影響を受けることになります。ルーティングするパケットのすべてのコンテンツにアクセスできない場合があります(暗号化が使用されている場合)。ただし、少なくとも(必要に応じて)ルーティング情報(つまり、どこから来てどこに行くか)にアクセスできます。これは、ホームネットワークでログを記録するのに最適な場所です。
ほとんどのコンシューマールーターにはデフォルトでこの種のロギングはありませんが、DD-WRTなどのサードパーティのファームウェアは、内部ストア(限られたスペース)またはネットワーク共有に書き込み可能なルーターにロギング機能を追加することがよくあります。保存できる情報とそのフォーマット方法はデバイスによって異なりますが、一般的には、クライアントのIPアドレスとMACアドレス、要求された宛先IP、ポート、プロトコル(TCPまたはUDP)およびタイムスタンプは、少なくとも何が起こっているのかについての一般的な考えを得るために必要な多くの情報を提供します。
スペースに問題がない場合は、ネットワークを介して送信されるすべてのパケットの内容をログに記録することもできますが、これは膨大なスペースになるため、「既知の」MACアドレスをログから除外して試行するのは安全ではない場合がありますワイヤレスネットワークではMACスプーフィングがかなり簡単なので、量を減らします。 (つまり、侵入者は自分自身を有効なマシンのように見せることができます)もちろん、このような長さにしようとする場合は、マシンごとの証明書を実行したり、弱いキーを使用しないことで問題が発生する可能性があります。そもそも避けてください。