web-dev-qa-db-fra.com

Retrouver un point d'accès non autorisé

Au cours d'un mois environ, nous avons reçu plusieurs rapports faisant état d'un point d'accès non autorisé tentant d'intercepter le trafic. Je soupçonne qu'un attaquant utilise un wifi ananas , ou un périphérique matériel similaire. Ils semblent le permettre pendant de courtes périodes, puis disparaître avant que nous ayons le temps de réagir. Quand cette attaque refait surface, je veux pouvoir réagir rapidement et les faire arrêter.

Quelle est la meilleure façon de faire face à cette menace?

22
rook

Les moyens généraux de trouver un point d'accès non autorisé:

  • Un point d'accès Wi-Fi d'entreprise passe une partie de son temps non seulement à servir des clients, mais à écouter sur différents canaux le trafic Wi-Fi. (Cela fonctionne mieux pour la bande 2,4 GHz où il y a moins de canaux. Heureusement, c'est également là que la plupart des attaques non ciblées et courantes vont se produire. Vous pouvez également utiliser un capteur dédié au lieu d'un point d'accès. Vous pouvez également configurer une radio d'un point d'accès à deux radios comme radio à capteur à temps plein.)
    • Ces informations sont généralement signalées à un système centralisé (un contrôleur, le logiciel de gestion du contrôleur, etc.) par le biais d'un mécanisme (piège snmp, interrogation snmp, protocoles de notification propriétaires, etc.). Vous pourriez probablement écrire un système centralisé vous-même si vous en aviez vraiment envie, bien qu'en pratique les interfaces tierces avec le SNMP des équipements sans fil puissent être un peu aléatoires, et les données n'est disponible dans aucun format normalisé. Il y a aussi des implications liées aux brevets, comme celle-ci qui est celle que je connais.
    • Le système central effectuera des vérifications pour voir si ce BSSID appartient à un point d'accès valide et connu qui appartient au réseau de votre organisation.
    • Le système central analysera le voyou signalé pour la sécurité. (Par exemple, un point d'accès non autorisé diffusant le SSID de MyCorp sur un réseau ouvert est une menace pour les employés de MyCorp, mais quelque chose diffusant un SSID différent, par exemple PANERA ou NEIGHBORCORP-GUEST, ou une connexion wifi d'égal à égal, peut ne pas être un menace.)
  • Les périphériques dans le chemin du paquet, tels que les contrôleurs Wi-Fi, peuvent essayer de voir s'ils ont vu une adresse MAC sur le réseau sans fil qui est également présente sur le réseau câblé de manière inattendue. S'ils le font, c'est un signe que le réseau câblé a été connecté à l'atmosphère, et vous savez à quel port de contrôleur il est connecté.
  • Une analyse active peut être exécutée sur le réseau de l'organisation, en demandant des pages Web sur le port 80 ou 443 et/ou en exécutant un outil tel que nmap, pour rechercher des indicateurs d'équipement de réseau de consommation courant (par exemple un Linksys page de connexion).
  • L'infrastructure filaire (commutateurs, routeurs) peut être interrogée pour les tables de transfert de pont, qui contiennent des adresses MAC. Ces adresses MAC peuvent être analysées pour voir si elles appartiennent à une OUI d'un fabricant d'équipement de réseau sans fil (par exemple Linksys).
  • Vous pouvez installer des logiciels sur les ordinateurs portables ou autres ordinateurs de votre organisation qui rendent compte de nombreux types d'informations que le point d'accès détecterait (listes SSID/BSSID, etc.) et les signaler au système centralisé susmentionné, ou signaler le SSID l'ordinateur est effectivement connecté à. Cela permet de savoir si cet ordinateur portable se trouve au bureau à la maison, ou vous verrez potentiellement de nombreux autres points d'accès.

Les actions pouvant être prises contre ces appareils incluent:

  • fermeture du port réseau au niveau du commutateur (si l'attaquant est sur votre réseau)
  • forger des paquets 802.11 pour dissocier les clients de ce point d'accès, en particulier pour les clients sans fil que votre système reconnaît comme appartenant à votre organisation (souvent appelé quelque chose comme "confinement escroc")
  • en utilisant un outil de visualisation de réseau qui peut trilater l'emplacement du point d'accès non autorisé à partir de la force de son signal (tel que rapporté par vos points d'accès) et de la configuration de votre réseau wifi, puis marcher jusqu'à cet emplacement et le trouver en personne
    • ou en utilisant un autre outil de détection de signal pour le retrouver

Les 3 principaux fournisseurs de services sans fil d’entreprise (Cisco, Aruba, Motorola) offriront tous un service sans fil IPS avec plusieurs ou toutes ces capacités, et certains petits fournisseurs le font également. C’est l’un des nombreux raisons pour lesquelles ils sont plus chers que votre routeur wifi Linksys domestique bon marché.

15
user12272

Un point d'accès non autorisé implique qu'il est connecté à votre réseau local, ce qui est facile à détecter à l'aide de la sécurité des ports.

Cet ananas WiFi est plus ou moins un pot de miel qui n'est pas présent sur votre réseau. Le détecter sera beaucoup plus difficile car il ne se trouve pas sur votre réseau. Il s'agit juste d'usurper votre SSID, je suppose?

Alors que diriez-vous d'écrire un script qui répertorie tous les points d'accès qu'il peut détecter et les compte. Vous pouvez également ajouter quelque chose pour rechercher l'apparence du SSID sur leur MAC et voir s'il existe un SSID qui contient le nom de votre SSID ou quelque chose de similaire (MyCompany ou MyCompany-new) et le vérifier par rapport à une liste d'adresses MAC de votre propres appareils. Je pourrais ajouter que l'usurpation d'une adresse mac est plutôt facile, le comptage des SSID pourrait être plus simple.

7
Lucas Kauffman

Il existe des applications téléphoniques qui tentent de localiser physiquement les points d'accès wifi. Android en a, mais je crois que Apple a retiré ces types d'applications de leur boutique, mais ils sont disponibles sur le marché piraté: https : //market.Android.com/details? id = girsas.wifiradar & hl = en

Cela pourrait nécessiter une certaine coordination et un rétrécissement de l'emplacement potentiel, mais cela devrait fournir des données précieuses pour le localiser.

6
schroeder

Lisez ça aussi! http://seclists.org/pen-test/2007/Nov/57

L'ananas Wifi n'est qu'un appareil qu'une personne peut utiliser dans ces situations. Je ne sais pas quels types de rapports vous avez, mais si la personne utilise un Rouge-AP portable, ils sont très probablement mobiles (marche, vélo) ou statiques, mais à proximité de vos points d'accès (boire du café ou sur un ordinateur portable ou même un smartphone) ...

Cela devient vraiment dangereux parce que quand il s'agit de rouges-AP portables comme l'ananas wifi, il devient évident que la personne qui vous intéresse est en fait parmi votre entreprise ... Un initié.

Donc, vous combattez une menace mobile comme celle-ci, vous devez devenir mobile. Déjà, les gens ont suggéré de télécharger des applications pour smartphone mobile w/wifi pour rechercher les SSID rouge-AP. Même s'ils usurpent le SSID, une adresse mac peut également être extraite et évaluée (cela vous donnera l'origine de l'appareil) [CAN BE SPOOFED}.

COMMENT: GARDER/COMMANDER Vous aurez besoin d'une liste de votre adresse MAC matérielle actuelle des actifs sans fil, et vous promener avec plusieurs téléphones portables avec des applications de numérisation sans fil en cours, et une liste d'adresses MAC sans fil. Vous pouvez tous ressembler à peu près incognito parce que personne ne pense qu'un simple smartphone peut accomplir des choses de cette nature (en réalité, même une montre-bracelet peut désormais compromettre un réseau sans fil ...) OU, elle peut être utilisée pour balayer des signaux sans fil, et regardez complètement discret. http://hackaday.com/2011/12/27/rooting-a-Motorola-actv-Android-wristwatch/

Votre agresseur présumé essaie également de rester sous le radar. Cela peut également être un routeur distant compromis, agissant comme un pont client sans fil ou un Karma rouge-AP. Si vous allez à l'étranger, vous pouvez utiliser un ordinateur portable (plusieurs personnes suggérées avec plusieurs ordinateurs portables) avec des fenêtres exécutant InSSIDer. Prenez la liste MAC et lancez la numérisation. Mettez votre liste d'adresses MAC dans un bloc-notes et comparez-la avec les AP que vous découvrez. ICI: www.metageek.net/products/inssider/

Une autre option est de forcer le spectre sans fil à répondre à vos enchères (de manière légale). Cependant, les attaques de désauthentification tactique sont la prochaine vague pour sécuriser le sans fil contre ce genre de menaces, son émergence est toujours ... ICI

Tout ce que je peux vous dire, c'est que j'ai un ananas wifi, et c'est fou ce que vous pouvez faire en quelques clics maintenant ... Vous devez arrêter cette menace dès que possible ou il pourrait être trop tard, et votre réseau d'entreprise est en enfer -Feu. Les téléphones cellulaires avec des capacités sans fil sont également une menace maintenant ... Votre smartphone moyen peut également devenir un rouge-AP, et renifler du trafic, supprimer SSL ...

ICI

À l'avenir, je suggère à votre entreprise de se pencher sur les systèmes sans fil IDS/IPS disponibles dans le commerce aujourd'hui. Certains ont même tous les trucs de défense que j'ai dit plus haut. ;-) Bonne chance pour ça! N'hésitez pas à me contacter je peux vous aider !!! ;-)

5
TyTech1337

Parce que l'appareil est allumé par intermittence, l'emplacement a évidemment été difficile. Si vous avez le temps et les ressources, il existe un moyen de traquer ce signal.

Vous avez besoin de deux appareils sans fil et, s'ils se trouvent sur des machines différentes (ils doivent probablement l'être pour déplacer suffisamment la directionnelle), une bonne synchronisation de l'heure pour la journalisation. Il faut avoir une antenne omnidirectionnelle. L'autre devrait avoir une antenne directionnelle à gain élevé. Je vais appeler ces appareils O et D.

Chaque fois que l'appareil [~ # ~] o [~ # ~] voit le point d'accès non autorisé, vous devez comparer la puissance du signal avec ce qui est vu par l'appareil [~ # ~] d [~ # ~] . Une comparaison est nécessaire pour vous faire savoir quand [~ # ~] d [~ # ~] est pointé dans une direction aveugle. Faites pivoter l'appareil [~ # ~] d [~ # ~] jusqu'à ce que le cône pointe dans une direction qui vous donne une lecture forte. Lorsque vous avez cette lecture, déplacez [~ # ~] d [~ # ~] dans un endroit très différent et recommencez l'évaluation. Vous devriez vous retrouver avec une série de lectures qui vous permettent de sélectionner la ligne la plus forte/le cône de couverture de chaque endroit que vous localisez [~ # ~] d [~ # ~] . Cela devrait rapidement réduire l'emplacement où l'appareil peut être localisé.

Il y a plus de détails sur la pratique sur http://en.wikipedia.org/wiki/Direction_finding . Il existe également des méthodes de localisation plus rapides, mais elles nécessitent des équipements plus complexes et des logiciels relativement complexes.

4
Jeff Ferland

Écrivez un script cron simple qui appelle iwlist eth1 scan sur un ordinateur Wi-Fi toutes les minutes environ, et le parcoure pour voir si les noms de votre point d'accès apparaissent comme plusieurs cellules (ou autrement apparaissent anormaux). Si quelque chose ne va pas, envoyez des e-mails aux administrateurs qui tentent ensuite de localiser la source.

Je suggère d'essayer d'utiliser un antennes wifi directionnelles pour déterminer la direction d'où provient le signal; ou détection de la direction wifi Android comme la solution de schroeder. Cette étape est probablement préférable de faire avec plus d'une personne, se déplaçant à différents endroits; voir comment le signal devient plus fort/plus faible. Je ne le ferais pas supposons nécessairement que le signal est omnidirectionnel, voir par exemple [2] , donc la triangulation simple peut ne pas fonctionner.

Enfin, serait-il possible de commencer à utiliser WPA ou le cryptage pour que le jumeau maléfique ne puisse pas vraiment masquer votre réseau?

3
dr jimbob

Je crois qu'il existe actuellement deux méthodes. La première est que vous pouvez utiliser un détecteur physique, tel que AirCheck , et suivre le signal jusqu'à ce que vous le trouviez. Ensuite, vous pouvez identifier si c'est celui que vous avez mis là-bas, ou si quelqu'un d'autre l'a fait.

L'autre méthode serait de les trouver côté réseau. Cet article détaille comment il est possible d'utiliser Nessus, et mentionne les inconvénients de l'utilisation d'un scanner physique (différentes fréquences, interférences, etc.).

Si vous en trouvez un physiquement, la meilleure solution serait de le retirer de la prise!

En ce qui concerne le réseau (j'ai une connaissance limitée des pare-feu/commutateurs, donc cela peut être absurde), mais si vous pouvez savoir à quel port il est connecté, il peut être possible de déconnecter ce port ou de mettre l'adresse MAC sur liste noire. Vous devrez cependant le confirmer auprès de quelqu'un ayant une meilleure connaissance.

3
fin1te

La façon de procéder dépend de la taille de votre entreprise et de sa présence physique ainsi que de la fréquence à laquelle vous souhaitez le faire. Il existe de véritables détecteurs wifi voyous que vous pouvez installer qui ne font rien d'autre que rechercher des femmes voyous, mais c'est probablement exagéré. Les chances sont la meilleure façon de le faire est simplement d'installer un détecteur gratuit sur votre téléphone et de vous promener à la recherche de points. À mesure que vous vous rapprochez, le signal devient plus fort, à mesure que vous vous éloignez, il s'affaiblit, donc si vous suivez un signal et qu'il commence à s'affaiblir, vous savez que vous venez de passer un point d'accès. Si vous avez une solution WiFi d'entreprise, elle peut également offrir cette fonctionnalité. Je sais que Cisco et Aerohive incluent tous les deux une détection wifi escroc prête à l'emploi, cela peut valoir la peine d'y jeter un œil. Quant à savoir quoi faire lorsque vous les trouvez, ce n'est pas toujours aussi simple que de débrancher la fiche. Si quelqu'un a eu la peine et les dépenses d'acheter un point d'accès sans fil et de l'installer lui-même, il est probable qu'il tente de résoudre un problème que le service informatique n'a pas rencontré. Dites-leur poliment que c'est contraire aux règles, découvrez pourquoi ils l'ont fait, puis résolvez le problème afin qu'ils n'aient pas besoin de leur propre AP. Bien sûr, certains points d'accès malveillants peuvent être installés par des initiés ou des étrangers malveillants à des fins de piratage de votre réseau. Si vous en trouvez un où vous pensez que c'est le cas, installez secrètement une ou deux caméras Web cachées dans la zone et retirez le câble d'alimentation de l'arrière juste assez pour qu'il semble qu'il soit sorti accidentellement, puis voyez qui vient rebranchez-le et quand. C'est probablement un nettoyeur qui a payé pour le vérifier et le rebrancher, mais ce pourrait être le pirate lui-même, auquel cas vous appelez les flics pour procéder à une arrestation et à des poursuites.

3
GdD