Je suis très paranoïaque à propos des connexions sans fil et de la possibilité que quelqu'un vole ma bande passante large bande, ce qui pourrait aggraver les choses.
Ma question est la suivante: comment savoir si ma bande passante large bande est volée?
J'ai un routeur sans fil Belkin SURF + N300.
Idéalement, ce serait bien que je sois alerté automatiquement, mais si cela n’est pas possible, alors un processus manuel conviendrait.
J'ai trois idées pour vous. Ils ont tous leur part de complexité et vous pouvez les mélanger à votre guise. Le premier est probablement le plus facile, mais le moins robuste (à lui seul).
La méthode standard serait de garder trace des adresses MAC qui demandent des adresses DHCP au routeur. La plupart des routeurs fournissent un écran de type "Périphériques connectés" qui vous indiquera qui se connecte.
Ce n'est pas automatique, mais vous pouvez (assez facilement) écrire un script Bash/Python pour extraire la page du routeur, analyser les adresses MAC et les comparer à une liste d'adresses MAC connues/autorisées.
Le problème ici est que rien n’est instantané. Vous comptez sur le routeur pour mettre à jour sa page et vous devez l'interroger fréquemment. Certains routeurs ne vont pas aimer ça. J'ai un routeur Edimax merdique qui se bloque si vous chargez plus de 10 pages en une minute (pathétique!) Donc cela pourrait ne pas fonctionner.
Les adresses MAC sont également faussement fausses. macchanger
par exemple, vous permettra d'usurper votre adresse MAC en une seule commande. Je pense que même le gestionnaire de réseau vous laissera le faire. Si quelqu'un ne veut pas être détecté, il surveillera le trafic réseau et utilisera l'un des périphériques (connus) valides.
C’est là que nous récupérons les roues et que nous entrons dans Dig. Vous aurez besoin d’un dispositif de rechange sans fil dans un endroit pouvant intercepter le trafic en provenance/à destination du routeur (idéalement à proximité).
En bref, vous raccordez airodump-ng
et vous regardez les personnes connectées à votre réseau. Il devrait être possible de créer un script pour cette sortie. Ainsi, lorsqu'un nouveau périphérique apparaît et commence à utiliser votre réseau, vous pouvez instantanément faire quelque chose .
L'idée serait que vous exécutiez ceci au démarrage (en tant que root):
airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0
Remplacez le BSSID par celui de votre point d'accès.
Ceci écrit un fichier auto-incrémenté qui peut être analysé régulièrement. La version ci-dessus écrit un fichier de valeurs séparées par des virgules, ce qui est assez basique, mais si vous êtes satisfait du XML (Python peut vous simplifier la tâche), vous pouvez consulter le format de sortie netxml
pour airodump.
Dans les deux cas, cela vous donne des informations régulières sur les appareils qui utilisent le réseau (et sur le trafic qu’ils envoient également). C'est toujours aussi faillible que d'utiliser la table ARP du routeur, mais c'est en direct.
En mode promiscuité, si votre script sélectionne un client qui, à son avis, ne devrait pas figurer sur le réseau, vous pouvez utiliser tcpdump
pour rechercher les paquets et enregistrer les échanges qui vous intéressent (requêtes HTTP, etc.). C'est plus de programmation mais cela peut être fait.
nmap
name__Une autre méthode consiste à balayer le réseau pour les clients avec nmap
name__. Normalement, vous pourriez penser que cela ne vous aiderait pas trop. Si quelqu'un bloque les pings, cela pourrait ne pas apparaître.
Je vous suggère de l’utiliser conjointement avec l’une ou l’autre des deux méthodes. 1
vous donnera l'adresse IP afin que vous puissiez nmap directement. 2
ne vous donnera pas d'adresse IP, mais vous indiquera combien de clients nmap
devraient s'attendre à trouver, à ce moment précis. Assurez-vous que tous vos appareils sont pingables.
Lorsque nmap
est exécuté (par exemple, Sudo nmap -O 192.168.1.1/24
), il essaie de trouver des hôtes, puis effectue une analyse des ports pour déterminer leur identité. Votre liste de contrôle doit indiquer comment chacun de vos appareils doit répondre à nmap
name__.
Si vous voulez aller plus loin, vous pouvez utiliser un simple serveur sur chacun de vos ordinateurs. Juste quelque chose qui a accepté une connexion et l'a ensuite abandonnée. En bref: Quelque chose à rechercher pour nmap
name__. S'il le trouve ouvert, c'est probablement votre ordinateur.
Vous devriez réellement le faire en premier si vous êtes inquiet. Utilisez WPA2/AES. Ne jamais utiliser WEP (fissures dans environ cinq minutes).
Si vous êtes toujours , quelqu'un pourrait découvrir la clé (WPA2 prend un beaucoup de données et de temps de calcul pour craquer) , déplacez vers un modèle RADIUS. C'est un framework d'authentification qui configure une clé unique pour chaque utilisateur. PITA à mettre en place cependant.
Si les choses ne me satisfaisaient pas, je regarderais probablement manuellement Airodump. Si je n'étais toujours pas heureux, je commencerais à prendre les empreintes digitales des choses que j'ai vues. Un peu difficile (en aucun cas impossible) pour écrire un script.
Le script le plus simple est le nettoyage du routeur avec l’empreinte de nmap
name__. Court et simple.
Si votre "attaquant" obtient l'accès sans avoir à usurper son adresse mac, il vous assumera que rien ne vous empêche de surveiller vos adresses MAC.
Je vais devoir faire des recherches, mais si c'était moi, je lancerais mon propre dhcpd sur une boîte Linux connectée au routeur (ou utiliser openwrt), puis l'envoyer par mail si une adresse mac demande une adresse Ce qui n'est pas sur une liste blanche.
EDIT: http://linux.die.net/man/5/dhcpd.conf a toutes les ressources dont vous avez besoin pour y arriver. Créez simplement un événement pour exécuter un script qui vérifiera une liste blanche. Si l'adresse mac ne figure pas dans la liste blanche, demandez-lui de vous envoyer un courrier électronique. Voir aussi http://ubuntuforums.org/showthread.php?t=1328967