¿Cómo investigar la intrusión de Wi-Fi y dónde buscar pruebas?

5

Estoy tratando de averiguar cómo configurar una red para poder saber qué hizo un intruso (en el pasado) mientras estaba en la red después de que se detectaron. p.ej. Si alguien con una computadora portátil habilitada para wi-fi estacionada fuera de mi casa y conectada a mi red doméstica porque fue capaz de descifrar mi débil cifrado. y si tuviera que realizar alguna actividad fraudulenta desde mi red, ¿cómo puedo configurar mi red y dónde tendría que buscar en la red para ver qué estaba haciendo? ¿Qué dispositivos podrían registrar información valiosa y cómo daría sentido a esta información?

    
pregunta Tony 04.01.2013 - 00:43
fuente

6 respuestas

5

La mayoría de los enrutadores (incluso unidades wifi minoristas) tienen una pantalla de administración que enumera todos los clientes activos a los que DHCP ha asignado una dirección IP. Por lo general, esto también incluye la dirección MAC del cliente.

usualmente se ven así:

CLIENT NAME       IP ADDRESS       MAC ADDRESS
android_blah      192.168.1.10     AA-BB-CC-00-00-00
my_pc             192.168.1.11     DD-EE-AA-00-00-00

Si no reconoce los nombres de los clientes, un consejo útil es tomar los primeros 3 octetos de la dirección MAC y buscarlos en Google (por ejemplo, AA-BB-CC) y esto le indicará el fabricante del dispositivo que podría ayuda a determinar si realmente está dentro o fuera de tu casa.

    
respondido por el Callum Wilson 04.01.2013 - 09:55
fuente
3

Es probable que usted mismo no pueda hacer mucho, ya que la mayoría de los equipos de consumo no mantendrán un registro de lo que sucedió. Es probable que su ISP tenga registros sobre la actividad de su cuenta y eso podría ser útil, pero es poco probable que pueda obtenerla sin una orden judicial. Regla general, a menos que tenga una razón para sospechar algo nefasto, simplemente documente la brecha, corríjala y continúe con la vida. Mantener la dirección MAC de la conexión si la tiene (debería aparecer en el enrutador o en el punto de acceso si la conexión fue reciente), pero es probable que se haya falsificado si alguien no estaba bien.

Realmente solo debes preocuparte por ser capaz de admitirlo, no eras tú. Depende de las autoridades rastrear cualquier actividad ilícita que se haya realizado (aunque es mucho más probable que sean simplemente un vecino que se encuentra en contacto con su conexión).

También vale la pena ejecutar análisis de virus y otros en sus otros sistemas para asegurarse de que no estén a la altura de su red, pero si no revelan nada, no estaría tan preocupado. ¿Qué levantó inicialmente tus sospechas?

En la posibilidad remota de que su equipo tenga la capacidad de registrar información útil sobre la actividad de la red disponible y encendida, lo más probable es que esté en el enrutador, pero la forma exacta de llegar a ella dependerá de la marca y el modelo.

Tenga en cuenta que la mayoría de esta respuesta está respondiendo a la pregunta tal y como la formuló, lo que parece indicar que cree que simplemente estaban usando su red para una conexión a Internet y que no estaban atacando a su red directamente. Si eso es incorrecto, mucho de lo que puede hacer a medida que las computadoras en su red tendrían información muy valiosa en sus registros de eventos sobre intentos de acceso y similares. Puede acceder a esta información desde el visor de eventos en las herramientas administrativas en el panel de control en la mayoría de las máquinas con Windows. Si no puede encontrarlo allí, también puede encontrarlo como un complemento para la Consola de administración de Microsoft, que puede iniciar yendo a ejecutar y escribiendo mmc. La información allí será bastante difícil de seguir si no sabes qué buscar y los detalles completos de qué buscar son un poco amplios para un formato Q / A (más como una serie de conferencias).

Más detalles sobre lo que te hizo pensar que esto estaba sucediendo podrían ayudar a reducir el alcance de dónde puedes encontrar información.

    
respondido por el AJ Henderson 04.01.2013 - 04:08
fuente
2

Puede escanear su red con escáneres de seguridad de red para detectar cualquier IP intruso que acceda a su red wifi. Puede que no sea una solución perfecta para un entorno corporativo, pero creo que funcionará para redes domésticas con muchos menos nodos en una red. La siguiente es una lista de algunas herramientas de escaneo de red, algo de ayuda para usted

Para el análisis pasivo de la red, puede usar rastreadores de red como wireshark para analizar los rastros de la red en busca de intrusos. Un artículo relevante puede ser de interés para una lectura.

    
respondido por el Ali Ahmad 04.01.2013 - 05:41
fuente
0

Como ahora sé que su pregunta es teórica, puedo responderla mejor sobre cómo puede configurar su red para que pueda contarlo. La forma exacta de configurarlo variará de un dispositivo a otro, pero hay muchas opciones disponibles. La clave es que necesita un dispositivo capaz de iniciar sesión que se encuentre en una ubicación de la red y que todo lo que la persona haga lo haga.

Para una red doméstica promedio, este podría ser el punto de acceso inalámbrico, el enrutador o, si corresponde, la puerta de enlace o el firewall. El punto de acceso inalámbrico obtendrá la información correcta a medida que se conecte a la red y se asegurará de que se registre toda la actividad que ingresa a la red inalámbrica, pero si fueran a usar su conexión inalámbrica para comprometer un sistema cableado y luego usar el cableado sistema, tendría un registro incompleto.

Lo más probable es que el enrutador también sirva como puerta de enlace y cortafuegos (el dispositivo que proporciona al resto de la red acceso a Internet y garantiza que Internet no tenga acceso no deseado a la red privada). El registro en la puerta de enlace y / o firewall garantiza que se registre todo el tráfico saliente, pero no le dirá nada sobre lo que el intruso hizo internamente en su red.

En la mayoría de las redes domésticas, ya que solo hay un enrutador y, por lo general, también sirve como punto de acceso inalámbrico, puerta de enlace y firewall, terminará teniendo acceso a todas las conexiones que fluyen a través de la red. Puede que no tenga acceso a todos los contenidos de los paquetes que enruta (si se usa el cifrado), pero al menos (por necesidad) tiene acceso a la información de enrutamiento (es decir, de dónde proviene y adónde va). Este es probablemente el mejor lugar para iniciar sesión en una red doméstica.

La mayoría de los enrutadores de consumo no tienen este tipo de registro de forma predeterminada, sin embargo, los firmwares de terceros como DD-WRT a menudo agregan la capacidad de registro a los enrutadores que pueden escribir en una tienda interna (espacio limitado) o en una red compartida. Exactamente qué información se puede almacenar y cómo se formatea varía de un dispositivo a otro, pero en general la información como la dirección IP y MAC del cliente, así como la dirección IP, el puerto y el protocolo de destino solicitados (como TCP o UDP) también como una marca de tiempo puede darle mucho de lo que necesita para obtener al menos una idea general de lo que estaba pasando.

Si el espacio no es un objeto, incluso puede ser posible registrar el contenido de cada paquete enviado a través de la red, pero será una gran cantidad de espacio y puede que no sea seguro excluir las direcciones MAC "conocidas" de la red. iniciar sesión para intentar reducir la cantidad, ya que la simulación de MAC es bastante fácil en una red inalámbrica. (IE, el intruso puede verse como una máquina válida) Por supuesto, si va a tener este tipo de longitud, también puede hacer un certificado por máquina y / o no usar una tecla débil en cuyo punto es probable que el problema Se evitará en primer lugar.

    
respondido por el AJ Henderson 07.01.2013 - 15:10
fuente
0

Siempre puede configurar un honeypot junto con no transmitir su SSID (identificador de conjunto de servicios). Un atacante no sabría que el AP real existe, por lo tanto, ataca el honeypot que puedes registrar en diferentes grados según el conocimiento que tengas. Una simple búsqueda en Google te empuñará con muchas herramientas. El filtrado de direcciones MAC es una buena función de seguridad si no hay clientes conectados a su AP, lo cual es poco probable. También hay inconvenientes para no transmitir su SSID porque se puede desenganchar fácilmente tan pronto como el cliente se conecta. También puede configurar un proxy como squid y registrar información diversa, como los sitios que se visitan y otros. Espero que esto ayude.

    
respondido por el Sighbah 29.03.2014 - 14:24
fuente
0

Echa un vistazo a Kismet .

  

Kismet es un detector de red inalámbrica 802.11, rastreador e intrusión   Sistema de detección. Kismet funcionará con cualquier tarjeta inalámbrica que   admite el modo de supervisión sin formato y puede detectar 802.11b, 802.11a, 802.11g,   y tráfico 802.11n

     

Kismet incluye la funcionalidad IDS, proporcionando un estado sin estado y sin estados   IDS para ataques inalámbricos de capa 2 y capa 3. Kismet puede alertar sobre   huellas dactilares (ataques específicos de un solo paquete) y tendencias (inusual)   sondeos, inundaciones de disociación, etc).

Puede configurar kismet en una frambuesa pi con un segundo wifi NIC y con mucho gusto escuchará a los clientes inalámbricos, grabará sus direcciones mac y posiblemente ahorrará el tráfico de paquetes sin procesar.

    
respondido por el Dean Brundage 23.09.2016 - 17:14
fuente

Lea otras preguntas en las etiquetas