¿Cómo detectaría un ataque Evil Twin, especialmente en un nuevo entorno?

46

Digamos que está de viaje y se detiene en la sala del aeropuerto, en el lobby de su hotel o en una cafetería cercana. Usted saca su computadora portátil y escanea las redes inalámbricas disponibles. Sabe el nombre de la red inalámbrica porque está escrito detrás del mostrador / en una hoja de papel / bien conocido.

Ves que hay dos opciones:

"Wifi público gratuito" &
"Wifi público gratuito"

¿Cuál es la red inalámbrica real y cuál es el ataque Evil Twin? ¿Cómo puedes saberlo? ¿Qué herramientas o técnicas utilizarías para decidir?

(Estoy menos interesado en las respuestas que implican no conectarse a ninguno de los dos, o evitar las redes inalámbricas públicas, y más interesado en las técnicas para discriminar los AP legítimos frente a los no legítimos de la perspectiva de los usuarios y no de los administradores. Estoy usando " Evil Twin "en este sentido específico en lugar de un sentido general de" actor malicioso ".)

    
pregunta J Kimball 02.04.2015 - 20:02
fuente

7 respuestas

24

Tradicionalmente, no ha habido un método fácil orientado al usuario para detectar ataques gemelos malvados. La mayoría de los intentos por detectar un ataque gemelo malvado (ETA) están orientados hacia el administrador de una red en la que básicamente haga que los administradores de red autorizados escaneen y comparen el tráfico inalámbrico. Esto no es mucho de lo que te interesa.

Hay un documento aquí (y diapositivas ) que trata sobre un enfoque experimental para determinar desde la perspectiva del usuario una ETA en tiempo real. Básicamente, utilizan un enfoque astuto para determinar estadísticamente qué punto de acceso está autorizado y cuál es el gemelo malvado.

Un enfoque simple (que no siempre funcionará) que propongo es simplemente rastrearse y ver cuáles son las direcciones IP. La idea es que un AP no autorizado tendrá una IP no estándar (es decir, lo que cabría esperar) y, por lo tanto, mostrará algunas señales de advertencia ... Aquí es un enlace que describe cómo configurar tu propia ETA para que puedas jugar con mi método (o prueba el tuyo). ADVERTENCIA: si está creando una ETA, hágalo en entorno de laboratorio ya que esto es ilegal en público.

También tenga en cuenta que una ETA puede ser enormemente mitigado simplemente asegurando la red a través de un sistema de autenticación que utiliza Protocolos de autenticación extensibles , como WPA2-enterprise -que es funciona validando tanto el cliente como el punto de acceso.

Para abordar algunos otros puntos ...

Si tiene una manera de comunicarse con los administradores de red autorizados (o al menos sabe cuál es el punto de acceso adecuado), entonces ya ha completado un método de psuedo-meta-atorización fuera del ámbito digital (IE I can físicamente vea el enrutador adecuado y sepa que es la dirección MAC, la configuración de IP, etc. y, por lo tanto, puede compararlos con lo que mi adaptador me dice que estoy conectado a). La mayoría de las veces, no tenemos esta información y, además, no debemos confiar en ella, incluso si la tuviéramos. Por lo tanto, tal vez el "mejor" método para usar una red no confiable (ET o no) es asumir que está comprometido e implementar una VPN o simplemente abstenerse por completo.

    
respondido por el Matthew Peters 02.04.2015 - 21:33
fuente
38

Ambos son malvados. No debe conectarse a ningún "Wifi público gratuito" sin asumir que todo su tráfico no cifrado será monitoreado y modificado. La mejor solución es no conectarse a las redes públicas, pero si esa no es una opción para usted, entonces puede protegerse un poco más especificando su propio DNS (en lugar de dejar que el enrutador elija para usted), utilizando https en todos los lugares que pueda , no acceda a sus cuentas confidenciales en redes públicas, considere una VPN y mantenga actualizado su software y firmware.

En respuesta directa a su pregunta, algunos enrutadores tienen su dirección MAC impresa en una etiqueta; puede pedirle al propietario del enrutador que verifique por usted, luego conectarse a él, hacer ping y ver su tabla arp ( arp -a ) para ver si coincide. Alternativamente, podría decirle al propietario del enrutador que hay un impostor cerca y hacer que cambien el nombre de la red.

    
respondido por el Aron Foster 02.04.2015 - 20:14
fuente
21

Dígale al barrista / secretario / etc que el wifi ha fallado, ¿pueden reiniciar el enrutador? La mayoría de la gente lo hará felizmente, desactivando el AP por un momento y exponiendo al malvado enrutador gemelo en el proceso como cualquier red activa que sobreviva a un ciclo de energía.

Si hay más de 1 enrutador twin maligno, esto aún funciona.

Si hay varios enrutadores buenos, esto identificaría al menos uno. Se puede usar la misma táctica para identificar a los demás (oye, aún no funciona, ¿es la única caja wifi? Toda esta tecnología es tan confusa, tal vez debas hacerlo con todos ellos). Alternativamente, una vez que identifique un buen AP, conecte un dispositivo a él, y luego use un segundo dispositivo, conéctese a los otros AP e intente localizar el primer dispositivo a través de la red. A menos que se haya comprometido el buen AP, cualquier AP que encuentre el dispositivo original es un buen AP. Sin embargo, si se ha comprometido, todos los AP son malos

Otra alternativa es que si puedes ver la marca del enrutador, intenta iniciar sesión en su panel de administración. Si el indicador de inicio de sesión no coincide con la marca / marca, entonces has encontrado al gemelo malvado

Las mejores soluciones aquí consistirán principalmente en hablar con el proveedor del AP legítimo en lugar de realizar una comparación extensa con resultados cuestionables

    
respondido por el Tom J Nowell 03.04.2015 - 04:27
fuente
13

Hay una cosa que un gemelo malvado no puede copiar: ubicación . Configure tres computadoras, luego triangule . O tener algún tipo de detector de tiempo. Si uno de ellos responde lo suficientemente rápido como usted sabe, de acuerdo con la velocidad de la luz, debe estar dentro de la tienda, entonces sabe que estará en la tienda, lo cual es útil si se producen retrasos. Triangulación más difícil.

Nota: si de alguna manera descubre que los enrutadores no se están moviendo a través de alguna otra fuente, puede usar un detector de distancia en movimiento . Esto le dará una gran cantidad de puntos de datos con los cuales trabajar, lo que puede ayudar si su detector no es preciso.

Nota: si de alguna manera descubre que los enrutadores tienen la misma potencia de señal y capacidades de detección, y que la buena está más cerca, un método práctico es simplemente filtrar los paquetes más débiles .

    
respondido por el PyRulez 03.04.2015 - 00:39
fuente
4

Para detectar un ataque Evil Twin con una configuración estándar, la única información que realmente tiene y el SSID, la dirección MAC del punto de acceso inalámbrico y la dirección IP DHCP, la puerta de enlace y el servidor DNS que reparte. Aparte de eso, puedes encontrar al malvado gemelo usando una frecuencia diferente a la original, como el verdadero AP en 2,4 GHz y el malvado AP en 5 GHz. Muchos puntos de acceso se configuran a través de la interfaz web, lo que significa que si tiene un AP de Linksys, puede acceder a una página en enlace , pero no en el malvado AP.

Un Evil Twin probablemente no se molestará en clonar ese nivel detallado de configuración porque es mucho más fácil simplemente clonar el SSID y el MAC (si es que se molestan con eso).

Por lo tanto, si conoce la configuración de configuración de DHCP esperada o la URL de configuración esperada, podría decir si el AP al que se está conectando es falso.

    
respondido por el Nik Roby 03.04.2015 - 16:02
fuente
3

Una forma realmente simple, si usted es el administrador de la red, es tener un host conectado a su red física. Por lo tanto, si realiza un ping rápido, se mostrará si ha sido marginado de otra red.

En el caso de uso de estar en un área pública, entonces usar una vpn puede ser una buena idea.

    
respondido por el munchkin 03.04.2015 - 18:34
fuente
-2

El buen AP debe tener una huella digital confiable de su certificado autofirmado *. Creo que está automatizado como "anclaje de certificados": ¿Qué es el anclaje de certificados?

*: autofirmado porque no todas las CA son confiables .

ACTUALIZACIÓN: no conozco tu AP, pero poner un servidor web simple allí debería ser trivial ( flash firmware de fuente abierta ). De todos modos, aquí hay pruebas de que un AP puede tener un certificado.

    
respondido por el Cees Timmerman 17.04.2015 - 11:06
fuente

Lea otras preguntas en las etiquetas