不正アクセスポイントの追跡
約1か月の間に、トラフィックを傍受しようとする不正なアクセスポイントの複数のレポートを受け取りました。攻撃者が wifi pineapple または同様のハードウェアデバイスを使用していると思います。彼らはそれを短期間有効にし、反応する時間がないうちに消えてしまったようです。この攻撃が再び現れたとき、私は素早く反応して彼らを逮捕してもらいたいと思っています。
この脅威に立ち向かうための最良の方法は何ですか?
不正アクセスポイントが検出される一般的な方法:
- 企業のWi-Fiアクセスポイントは、クライアントにサービスを提供するだけでなく、他のWi-Fiトラフィックのさまざまなチャネルでリッスンする時間も費やします。 (これは、チャネル数が少ない2.4Ghz帯域で最適に機能します。幸いにも、これはほとんどのありふれた非標的型攻撃が行われる場所です。APの代わりに専用センサーを使用することもできます。 2つの無線アクセスポイントの1つの無線をフルタイムのセンサー無線として構成することもできます。)
- この情報は通常、何らかのメカニズム(snmpトラップ、snmpポーリング、独自の通知プロトコルなど)を介して集中型システム(コントローラー、コントローラー管理ソフトウェアなど)に報告されます。 実際には、実際にワイヤレス機器のSNMPを使用するサードパーティのインターフェイスが多少のミスまたはミスになる可能性がありますが、集中管理システムを自分で作成することもできます。標準化された形式では利用できません。 this one のような特許関連の影響もあります。これは私がたまたま知っているものです
- 中央システムは、そのBSSIDが組織のネットワークに属する既知の有効なアクセスポイントに属しているかどうかを確認するチェックを実行します。
- 中央システムは、報告された不正をセキュリティについて分析します。 (たとえば、オープンネットワーク上でMyCorpのSSIDをブロードキャストする不正なアクセスポイントはMyCorpの従業員にとって脅威ですが、PANERAやNEIGHBORCORP-GUESTなどの別のSSIDをブロードキャストするもの、またはピアツーピアのwifi接続は、脅威。)
- Wi-fiコントローラーなどのパケットパス内のデバイスは、も存在するワイヤレスネットワーク上のMACアドレスを確認したかどうかを確認できます。予期しない方法で有線ネットワーク上。もしそうなら、それは有線ネットワークが大気圏に接続されているという兆候であり、あなたはそれがどのコントローラーポートに接続されているか知っています。
- 組織のネットワークでアクティブスキャンを実行し、ポート80または443でWebページを要求したり、
nmapなどのツールを実行して、一般的な消費者向けネットワーク機器(Linksysなど)のインジケーターを探したりできます。ログインページ)。 - 有線インフラストラクチャ(スイッチ、ルーター)は、MACアドレスを含むブリッジ転送テーブルをポーリングできます。これらのMACアドレスを分析して、ワイヤレスネットワーク機器(Linksysなど)の製造元のOUIに属しているかどうかを確認できます。
- 組織のラップトップまたは他のコンピューターにソフトウェアをインストールして、アクセスポイントが検出する多くの同じタイプの情報(SSID/BSSIDリストなど)を報告し、前述の集中型システムに報告したり、SSIDを報告したりできます。コンピュータは実際に接続されています。そのラップトップが自宅のオフィスにあるかどうかを確認できると、他の多くのアクセスポイントが表示される可能性があります。
これらのデバイスに対して実行できるアクションは次のとおりです。
- スイッチでネットワークポートをシャットダウンする(攻撃者がネットワーク上にいる場合)
- 特にシステムが組織に属していると認識しているワイヤレスクライアントの場合は、802.11パケットを偽造してそのアクセスポイントからクライアントの関連付けを解除します(多くの場合、「不正な封じ込め」のようなものと呼ばれます)。
- 不正なアクセスポイントの場所を、信号強度(アクセスポイントから報告されたとおり)とwifiネットワークレイアウトから三位推定できるネットワーク可視化ツールを使用して、その場所まで歩いて行き、直接見つけます
- または別の信号検出ツールを使用して追跡する
上位3のエンタープライズワイヤレスベンダー(Cisco、Aruba、Motorola)はすべて、これらの機能のいくつかまたはすべてを備えたワイヤレスIPSを提供します。一部の小規模ベンダーも同様です。これは多くの1つです。安価な家庭用Linksys wifiルーターよりも高価である理由。
不正アクセスポイントは、LANに接続されていることを意味します。これは、ポートセキュリティを使用して簡単に検出できます。
このWiFiパイナップルは、多かれ少なかれ、ネットワーク上に存在しないハニーポットです。それはあなたのネットワーク上にないので、それを検出することははるかに難しくなります。 SSIDを偽装しているだけでしょうか。
では、検出できるすべてのアクセスポイントを一覧表示してカウントするスクリプトを作成してみませんか。また、SSIDをスキャンするために何かを追加してMACを調べ、SSIDの名前または類似のもの(MyCompanyまたはMyCompany-new)を含むSSIDがあるかどうかを確認し、MACアドレスのリストと照合することもできます。自分のデバイス。 Macアドレスのスプーフィングはかなり簡単で、SSIDのカウントはもっと簡単かもしれないと付け加えます。
Wifiアクセスポイントを物理的に見つけようとする電話アプリがあります。 Androidはそれらを持っていますが、Appleはこれらのタイプのアプリをストアから引き出しましたが、ハッキングされた市場で入手できます: https ://market.Android.com/details?id = girsas.wifiradar&hl = en
これには、いくつかの調整と潜在的な場所の絞り込みが必要な場合がありますが、これを追跡するための貴重なデータを提供する必要があります。
これも読んでね! http://seclists.org/pen-test/2007/Nov/57
Wifiパイナップルは、このような状況で使用できるデバイスの1つにすぎません。どのような種類のレポートがあるかわかりませんが、その人がポータブルRouge-APを使用している場合は、モバイル(ウォーキング、サイクリング)または静的ですが、APの近く(コーヒーを飲む、または上)ラップトップまたはスマートフォンでも)...
WifiパイナップルのようなポータブルルージュAPを扱うとき、あなたの興味のある人物が実際にあなたの会社の中にいることが明らかになるので、それは本当に危険になります...インサイダー。
したがって、このようなモバイルの脅威に対抗するには、モバイルを取得する必要があります。ルージュAP SSIDをスキャンするために、wifiを使用したモバイルスマートフォン用のアプリをダウンロードすることをすでに提案しています。彼らがSSIDをスプーフィングしている場合でも、MACアドレスをプルして評価することができます(これにより、デバイスのオリジンが提供されます)[なりすまし可能]。
方法:警告/警告ワイヤレスアセットの現在のハードウェアMACアドレスのリストが必要です。ワイヤレススキャンアプリが搭載された複数の携帯電話とワイヤレスMACアドレスのリストを持ち歩く必要があります。スマートフォンだけでこのようなことを実現できるとは誰も考えていないので、ほとんどシークレットモードに見えます(実際には、腕時計でさえワイヤレスネットワークが危険にさらされる可能性があります...)または、ワイヤレス信号のスキャンに使用できます。完全に目立たないように見えます。 http://hackaday.com/2011/12/27/rooting-a-Motorola-actv-Android-wristwatch/
あなたの疑われる攻撃者も同様にレーダーの下にとどまろうとしています。これは、ワイヤレスクライアントブリッジまたはKarma rouge-APとして機能する、侵害されたリモートルーターである可能性もあります。ワードドライブに行く場合は、InSSIDerを実行しているウィンドウを備えたラップトップ(複数のラップトップを使用した推奨される複数の人物)を使用できます。 MACリストを取得し、スキャンを開始します。 MACアドレスリストをメモ帳に入れ、APの検出と照合します。ここ:www.metageek.net/products/inssider/
もう1つのオプションは、ワイヤレススペクトルに(合法的な方法で)入札を強制することです。戦術的な認証解除攻撃は、これらの種類の脅威からワイヤレスを保護する次の波ですが、まだ出現しています... [〜#〜 ]ここ[〜#〜]
私が言えることは、私がwifiパイナップルを持っているということだけです。数回のクリックで今できることは非常識です...この脅威をできるだけ早く阻止する必要があるか、遅くなる可能性があり、企業ネットワークが地獄にいる-火。ワイヤレス機能を備えた携帯電話も今や脅威になっています...平均的なスマートフォンもルージュAPになり、トラフィックを傍受し、SSLを取り除くことができます...
今後は、現在市販されているワイヤレスIDS/IPSシステムを検討することをお勧めします。いくつかは、私が上で言ったすべての防御トリックを持っています。 ;-)これであなたに幸運を!お気軽にお問い合わせください。 ;-)
デバイスが断続的にオンになるため、場所の特定は明らかに困難でした。時間とリソースがある場合は、そのシグナルを追跡する方法があります。
2つのワイヤレスデバイスが必要です。それらが異なるマシン上にある場合は(おそらく方向を十分に移動させるためにそれらが必要です)、ロギングの適切な時間同期を行います。全方向性アンテナが必要です。もう1つは、高ゲインの指向性アンテナが必要です。これらのデバイスをOおよびDと呼びます。
デバイス[〜#〜] o [〜#〜]が不正なアクセスポイントを検出するたびに、信号強度をデバイスで表示されるものと比較する必要があります[〜#〜] d [〜#〜]。比較は、[〜#〜] d [〜#〜]がブラインド方向に向けられていることを認識するために必要です。コーンが強い測定値を示す方向を指すまで、デバイスを回転させます[〜#〜] d [〜#〜]。読み終えたら、[〜#〜] d [〜#〜]を別の場所に移動し、再度評価を開始します。最終的に、見つけた各場所から最強のライン/カバレッジコーンを選択できるようにする一連の読み取り値[〜#〜] d [〜#〜]。これにより、デバイスを配置できる場所が迅速に絞り込まれます。
練習の詳細は http://en.wikipedia.org/wiki/Direction_finding にあります。より高速な位置特定方法もありますが、より複雑な機器と比較的複雑なソフトウェアが必要です。
Wifiコンピューターでiwlist eth1 scanを1分ごとに呼び出す単純なcronスクリプトを記述し、それを調べて、アクセスポイントの名前が複数のセルとして表示される(または異常に見える)かどうかを確認します。何かがうまくいかない場合は、管理者にメールを送信し、管理者はソースを正確に特定しようとします。
指向性wifiアンテナ を使用して、信号の送信方向を正確に示すことをお勧めします。またはwifi方向センシングAndroidシュローダーのソリューションのようなアプリです。このステップは、複数の人が別の場所に移動し、信号がどのように強く/弱くなるかを確認することでおそらく最善の方法です。私はしません。必ずしも信号が全方向性であることを前提としています。たとえば、 [2] を参照してください。単純な三角測量では機能しない場合があります。
最後に、WPAまたは暗号化の使用を開始して、邪悪な双子がネットワークとして実際にマスクできないようにすることは可能でしょうか?
現在、2つの方法があると思います。 1つ目は、 AirCheck などの物理検出器を使用して、信号が見つかるまで信号を追跡できることです。次に、あなたがそこに置いたものか、他の誰かが持っているかどうかを識別できます。
もう1つの方法は、ネットワーク側でそれらを見つけることです。 この記事 は、Nessusを使用してそれがどのように可能になるかを詳しく説明し、物理的なスキャナーを使用することの欠点(異なる周波数、干渉など)について言及しています。
物理的に見つけた場合、最善の解決策はそれをソケットから引き裂くことです!
ネットワークに関しては(ファイアウォール/スイッチについての知識は限られているので、これは無意味かもしれません)、接続先のポートがわかっている場合は、このポートを切断したり、MACアドレスをブラックリストに登録したりできる可能性があります。ただし、より知識のある人に確認する必要があります。
それを行う方法は、会社の規模、物理的な存在、および実行する頻度によって異なります。インストールできる実際の不正なwifi検出器はありますが、不正なwifisをスキャンするだけですが、それはおそらくやりすぎです。チャンスはそれを行うための最良の方法ですそれは単にあなたの電話に無料の検出器をインストールし、ポイントを探して歩き回ることです。近づくと信号が強くなり、遠ざかると弱くなります。したがって、信号に従っていて弱くなり始めている場合は、アクセスポイントを通過したことがわかります。企業のWiFiソリューションをお持ちの場合は、実際にその機能も提供している可能性があります。 CiscoとAerohiveの両方に、箱から出して不正なwifi検出機能が含まれていることを知っています。一見の価値があるかもしれません。あなたがそれらを見つけたときに何をすべきかに関しては、それは常にプラグを抜くほど簡単ではありません。誰かがワイヤレスアクセスポイントを購入して自分でインストールするという問題と費用を経験した場合、IT部門が解決しなかった問題を解決しようとしている可能性があります。規則に違反していることを丁寧に伝え、なぜそれをしたのかを突き止め、問題を解決して自分のAPを必要としないようにします。もちろん、ネットワークへのハッキングを目的として、悪意のある内部関係者や外部関係者によって不正APがインストールされる場合もあります。これが疑われる場所が見つかった場合は、その領域の周りに1つまたは2つの隠しWebカムを密かにセットアップし、電源ケーブルを後ろから十分に引き出して、誤って外れたように見えてから、誰が来るかを確認します。いつでもそれを差し込みます。それはおそらくそれをチェックして再び差し込むために支払われたクリーナーですが、それはあなたが逮捕と起訴をするために警官を呼ぶ場合、彼/彼女自身のハッカーである可能性があります。