Rastreando un punto de acceso no autorizado

22

En el transcurso de aproximadamente un mes, hemos recibido varios informes de un punto de acceso no autorizado que intenta interceptar el tráfico. Sospecho que un atacante está utilizando una wifi piña , o un dispositivo de hardware similar. Parece que lo están habilitando durante cortos períodos de tiempo y luego desaparecen antes de que tengamos tiempo de reaccionar. Cuando este ataque vuelva a aparecer, quiero poder reaccionar rápidamente y detenerlos.

¿Cuál es la mejor manera de enfrentar esta amenaza?

    
pregunta rook 18.01.2012 - 08:36
fuente

9 respuestas

15

Las formas generales en que se encuentran los puntos de acceso no autorizados:

  • Un punto de acceso wi-fi empresarial pasa parte de su tiempo no solo sirviendo a los clientes, sino también escuchando en varios canales el resto del tráfico wi-fi. (Esto funciona mejor para la banda de 2.4Ghz donde hay menos canales. Afortunadamente, también es donde la mayoría de los ataques no dirigidos y de uso común. También puede usar un sensor dedicado en lugar de un AP. También puede configurar una radio de un punto de acceso de dos radios como una radio con sensor de tiempo completo.)
    • Esta información generalmente se reporta a un sistema centralizado (un controlador, el software de administración del controlador, etc.) a través de algún mecanismo (trampa snmp, sondeo snmp, protocolos de notificación patentados, etc.). Es probable que usted mismo pueda escribir un sistema centralizado si realmente lo desea, aunque en la práctica, las interfaces de terceros con SNMP de equipos inalámbricos pueden ser un poco impredecibles, y los datos no están disponibles en ningún estándar. formato. También hay implicaciones relacionadas con las patentes, como this que es la que conozco.
    • El sistema central realizará verificaciones para ver si ese BSSID pertenece a un punto de acceso válido y conocido que pertenece a la red de su organización.
    • El sistema central analizará el pícaro informado para la seguridad. (Por ejemplo, un punto de acceso no autorizado que transmite el SSID de MyCorp en una red abierta es una amenaza para los empleados de MyCorp, pero algo que transmita un SSID diferente, por ejemplo, PANERA o NEIGHBORCORP-GUEST, o una conexión wifi de igual a igual, no puede ser una amenaza.)
  • Los dispositivos en la ruta del paquete, como los controladores de wi-fi, pueden intentar ver si han visto una dirección MAC en la red inalámbrica que está también presente en la red cableada de manera inesperada . Si lo hacen, es una señal de que la red cableada se ha conectado a la atmósfera, y usted sabe a qué puerto del controlador está conectado.
  • Un escaneo activo se puede ejecutar en la red de la organización, solicitando páginas web en el puerto 80 o 443 y / o ejecutando una herramienta como nmap , para buscar indicadores de equipos de redes comunes para el consumidor (por ejemplo, un Linksys página de inicio de sesión).
  • La infraestructura cableada (conmutadores, enrutadores) se puede sondear para las tablas de reenvío de puentes, que contienen direcciones MAC. Estas direcciones MAC pueden analizarse para ver si pertenecen a un OUI de un fabricante de equipos de red inalámbrica (por ejemplo, Linksys).
  • Puede instalar software en las computadoras portátiles de su organización u otras computadoras que informen sobre muchos de los mismos tipos de información que detectaría el punto de acceso (listas SSID / BSSID, etc.) e informarlos al sistema centralizado mencionado anteriormente, o informar A qué SSID está conectada la computadora. Es útil poder saber si esa computadora portátil está en la oficina en casa o si verás muchos otros puntos de acceso.

Las acciones que se pueden tomar contra estos dispositivos incluyen:

  • apagar el puerto de red en el conmutador (si el atacante está en su red)
  • falsificar paquetes 802.11 para desasociar a los clientes de ese punto de acceso, especialmente para los clientes inalámbricos que su sistema reconoce como pertenecientes a su organización (a menudo llamados algo así como "contención fraudulenta")
  • utilizando una herramienta de visualización de red que puede evaluar la ubicación del punto de acceso no autorizado desde su intensidad de señal (según lo informado por sus puntos de acceso) y el diseño de su red wifi, luego camine hasta esa ubicación y encuéntrela en persona
    • o usar otra herramienta de detección de señales para rastrearla

Los 3 principales proveedores de servicios inalámbricos para empresas (Cisco, Aruba, Motorola) ofrecerán un IPS inalámbrico con varias o todas estas capacidades, y algunos proveedores más pequeños también lo hacen. Esta es una de las muchas razones por las que son más caros que su enrutador wifi barato de Linksys.

    
respondido por el fennec 16.08.2012 - 21:29
fuente
7

Un punto de acceso no autorizado implica que está conectado a su LAN, lo que es fácil de detectar utilizando la seguridad de puerto.

Esta piña WiFi es más o menos un honeypot que no está presente en su red. Detectar esto será mucho más difícil ya que no está en su red. Es solo la falsificación de su SSID, supongo?

Entonces, ¿qué tal si escribe un script que enumera todos los puntos de acceso que puede detectar y los cuenta? También puede agregar algo para buscar el aspecto del SSID en su MAC y ver si hay un SSID que contenga el nombre de su SSID o algo parecido (MyCompany o MyCompany-new) y lo verifique en una lista de direcciones MAC de su propios dispositivos. Podría agregar que falsificar una dirección mac es bastante fácil, contar el SSID podría ser más fácil.

    
respondido por el Lucas Kauffman 18.01.2012 - 11:44
fuente
6

Hay aplicaciones para teléfonos que intentan ubicar físicamente los puntos de acceso wifi. Android los tiene, pero creo que Apple sacó este tipo de aplicaciones de su tienda, pero están disponibles en el mercado hackeado: enlace

Esto podría requerir cierta coordinación y reducir la ubicación potencial, pero debería proporcionar datos valiosos para rastrear esto.

    
respondido por el schroeder 18.01.2012 - 16:39
fuente
5

¡Lee esto también! enlace

El Wifi Pineapple es solo un dispositivo que una persona puede usar en estas situaciones. No estoy seguro de qué tipo de informes tiene, pero si la persona está usando un Rouge-AP portátil, es muy probable que sea móvil (caminar, andar en bicicleta) o, estática pero, dentro de la proximidad de su AP (café para tomar o en una portátil o, incluso un teléfono inteligente) ...

Se vuelve realmente peligroso porque cuando se trata de un AP portátil rouge como la piña wifi, se hace evidente que la persona en la que está interesado está, de hecho, entre su empresa ... Una información privilegiada.

Entonces, combates una amenaza móvil como esta, TÚ necesitas para obtener móvil. La gente ya ha sugerido la descarga de aplicaciones para teléfonos inteligentes móviles con wifi para buscar SSIDs de Rouge-AP. Incluso si están falsificando el SSID, también se puede extraer y evaluar una dirección mac (esto le dará el origen del dispositivo) [PUEDE ESTAR SPOOFED}.

CÓMO: WARDRIVING / WARWALKING Necesitará una lista de la dirección MAC actual del hardware de sus activos inalámbricos, y recorrerá múltiples teléfonos celulares con aplicaciones de escaneo inalámbrico y una lista de direcciones MAC inalámbricas. Casi todos pueden parecer de incógnito porque, nadie cree que solo un teléfono inteligente puede lograr cosas de esta naturaleza (en realidad, incluso un reloj de pulsera puede comprometer una red inalámbrica ...) O, puede usarse para escanear señales inalámbricas, y lucir completamente discreta. enlace

Tu presunto atacante también está tratando de permanecer bajo el radar. Esto también puede ser solo un enrutador remoto comprometido, que actúa como un puente de cliente inalámbrico o Karma rouge-AP. Si se va a la habitación, puede usar una computadora portátil (se sugiere multiplicar personas con múltiples computadoras portátiles) con ventanas que ejecutan InSSIDer. Agarra la lista de MAC, y sale a escanear. Coloque su lista de direcciones MAC en un bloc de notas, y compárela con los AP's que descubra. AQUÍ: www.metageek.net/products/inssider/

Otra opción es forzar al espectro inalámbrico a hacer su oferta (de manera legal) Sin embargo, los ataques tácticos de desautorización son la próxima ola en la protección inalámbrica de este tipo de amenazas, aún está emergiendo ... AQUÍ

Todo lo que puedo decirte es que tengo una piña wifi, y es una locura lo que puedes hacer con unos pocos clics ahora ... Necesitas detener esta amenaza lo antes posible o puede ser demasiado tarde, y tu red corporativa está bajo el infierno de fuego. Los teléfonos celulares con capacidades inalámbricas también son una amenaza ahora ... Su teléfono inteligente promedio también puede convertirse en un Rouge-AP, y detectar tráfico, eliminar SSL ...

AQUÍ

En el futuro, sugiero que su empresa busque sistemas inalámbricos IDS / IPS que estén disponibles comercialmente en la actualidad. Algunos, incluso tienen todos los trucos de defensa que dije anteriormente. ;-) ¡Buena suerte a ti en esto! No dudes en contactar conmigo te puedo ayudar !!! ;-)

    
respondido por el TyTech1337 19.01.2012 - 00:18
fuente
4

Debido a que el dispositivo está encendido de manera intermitente, la ubicación obviamente ha sido difícil. Si tienes el tiempo y los recursos, hay una manera de cazar esa señal.

Necesita dos dispositivos inalámbricos y, si están en máquinas diferentes (probablemente tienen que estar para poder mover la dirección lo suficiente), una buena sincronización de tiempo para el registro. Uno debe tener una antena omnidireccional. El otro debe tener una antena direccional de alta ganancia. Llamaré a esos dispositivos O y D.

Cuando el dispositivo O vea el punto de acceso no autorizado, debe comparar la intensidad de la señal con lo que ve el dispositivo D . Se necesita una comparación para avisarle cuando D apunta en una dirección ciega. Gire el dispositivo D hasta que el cono apunte en una dirección que le dé una lectura fuerte. Cuando tenga esa lectura, reubique D en un lugar muy diferente y comience a evaluar nuevamente. Debería terminar con una serie de lecturas que le permitan seleccionar el cono de cobertura / línea más fuerte de cada lugar donde ubique D . Eso debería reducir rápidamente la ubicación donde se puede ubicar el dispositivo.

Hay más detalles sobre la práctica en enlace . También existen métodos de ubicación más rápidos, pero requieren equipos más complejos y un software relativamente complejo.

    
respondido por el Jeff Ferland 18.01.2012 - 17:26
fuente
3

Escriba un simple guión cron que llame a iwlist eth1 scan en una computadora wifi cada minuto, y lo recorra para ver si los nombres de su punto de acceso aparecen como más de una celda (o de lo contrario parece anormal). Si algo está mal, envíe correos electrónicos a los administradores que luego intentarán identificar la fuente.

Le sugeriría que intente utilizar una antenas wifi direccionales para señalar la dirección la señal viene de o la aplicación de Android con detección de dirección wifi como la solución de schroeder. Este paso probablemente se realice mejor con más de una persona, moviéndose en diferentes lugares; Viendo cómo la señal se hace más fuerte / más débil. No supondría necesariamente que la señal sea omnidireccional; vea, por ejemplo, [2] , por lo que La triangulación simple puede no funcionar.

Finalmente, ¿sería posible comenzar a usar WPA o cifrado para que el gemelo malvado no pueda enmascararse como tu red?

    
respondido por el dr jimbob 18.01.2012 - 22:19
fuente
3

Creo que actualmente hay dos métodos. La primera es que puede usar un detector físico, como AirCheck , y sigue la señal hasta que la encuentres. Luego, puede identificar si es el que ha puesto allí o si alguien más lo ha hecho.

El otro método sería encontrarlos en el lado de la red. Este artículo detalla cómo es posible usar Nessus, y menciona los inconvenientes de usar un escáner físico (diferentes frecuencias, interferencias, etc.).

Si encuentra uno físicamente, ¡la mejor solución sería arrancarlo del socket!

Red inteligente (tengo un conocimiento limitado de los cortafuegos / conmutadores, por lo que quizás no tenga sentido), pero si puede averiguar a qué puerto está conectado, tal vez sea posible desconectar este puerto o poner en la lista negra la dirección MAC. Sin embargo, tendrías que confirmarlo con alguien con mayor conocimiento.

    
respondido por el fin1te 16.08.2012 - 10:33
fuente
3

La forma de hacerlo depende del tamaño de su empresa y de su presencia física, así como la frecuencia con la que desee hacerlo. Hay detectores de wifi maliciosos que puedes instalar y que no hacen nada más que escanear en busca de wifis maliciosos, pero eso probablemente sea excesivo. Las posibilidades son la mejor manera de hacerlo, simplemente instale un detector gratuito en su teléfono y camine buscando puntos. A medida que se acerca, la señal se hace más fuerte, a medida que se aleja, se debilita, por lo que si sigue una señal y comienza a debilitarse, sabe que acaba de pasar un punto de acceso. Si tiene una solución WiFi corporativa, también puede ofrecer esa funcionalidad. Sé que tanto Cisco como Aerohive incluyen detección de wifi rogue fuera de la caja, puede que valga la pena echarle un vistazo. En cuanto a qué hacer cuando los encuentra, no siempre es tan simple como desconectar. Si alguien ha pasado por el problema y el gasto de comprar un punto de acceso inalámbrico e instalarlo ellos mismos, es probable que estén tratando de resolver un problema que el departamento de TI no hizo. Dígales educadamente que está en contra de las reglas, descubra por qué lo hicieron y luego resuelva el problema para que no necesiten su propio AP. Por supuesto, algunos AP malintencionados pueden ser instalados por personal interno o externo malintencionado con el fin de piratear su red. Si encuentra uno en el que sospecha que este es el caso, configure secretamente una cámara web oculta o dos alrededor del área y saque el cable de alimentación de la parte posterior lo suficiente como para que parezca que salió accidentalmente, y luego vea quién viene a vuelva a enchufarlo y cuándo. Probablemente sea un limpiador pagado para revisarlo y volver a conectarlo, pero podría ser el pirata informático, en cuyo caso usted llama a la policía para hacer un arresto y un procesamiento.

    
respondido por el GdD 16.08.2012 - 10:56
fuente
1

¿Qué sucede con el seguimiento del punto de acceso no autorizado con una computadora / teléfono equipado con GPS? Por ejemplo: Kismet en Linux box o Wifi Analyzer para dispositivo Android.

    
respondido por el thane 18.01.2012 - 13:24
fuente

Lea otras preguntas en las etiquetas