Die allgemeinen Methoden, mit denen unerwünschte Zugriffspunkte gefunden werden:

• Ein Wi-Fi-Zugriffspunkt eines Unternehmens verbringt einen Teil seiner Zeit damit, nicht nur Kunden zu bedienen, sondern auf verschiedenen Kanälen nach anderen zu suchen. fi Verkehr. (Dies funktioniert am besten für das 2,4-GHz-Band, in dem weniger Kanäle vorhanden sind. Glücklicherweise finden hier auch die meisten normalen, nicht zielgerichteten Angriffe statt. Anstelle eines AP können Sie auch einen dedizierten Sensor verwenden. Sie können auch ein Funkgerät eines Zugangspunkts mit zwei Funkgeräten als Vollzeitsensorfunkgerät konfigurieren.)
  • Diese Informationen werden normalerweise über ein zentrales System (einen Controller, die Controller-Verwaltungssoftware usw.) gemeldet Einige Mechanismen (Snmp-Trap, Snmp-Polling, proprietäre Benachrichtigungsprotokolle usw.). Sie könnten wahrscheinlich selbst ein zentrales System schreiben, wenn Sie wirklich Lust dazu haben, obwohl in der Praxis Schnittstellen von Drittanbietern mit SNMP von drahtlosen Geräten ein Hit-or-Miss sein können und die Daten in keinem standardisierten System verfügbar sind Format. Es gibt auch patentbezogene Implikationen, wie z. B. diese, über die ich zufällig Bescheid weiß.
• Das zentrale System führt Überprüfungen durch, um festzustellen, ob Diese BSSID gehört zu einem bekannten, gültigen Zugriffspunkt, der zum Netzwerk Ihres Unternehmens gehört.
• Das zentrale System analysiert den gemeldeten Schurken auf Sicherheit. (Beispielsweise ist ein nicht autorisierter Zugriffspunkt, der die SSID von MyCorp in einem offenen Netzwerk sendet, eine Bedrohung für MyCorp-Mitarbeiter, aber etwas, das eine andere SSID sendet, z. B. PANERA oder NEIGHBORCORP-GUEST, oder eine Peer-to-Peer-WLAN-Verbindung, ist möglicherweise keine Bedrohung.)

• Geräte im Paketpfad, wie z. B. Wi-Fi-Controller, können versuchen, festzustellen, ob sie im drahtlosen Netzwerk eine MAC-Adresse gefunden haben, die auch auf unerwartete Weise im kabelgebundenen Netzwerk vorhanden. Wenn dies der Fall ist, ist dies ein Zeichen dafür, dass das kabelgebundene Netzwerk mit der Atmosphäre verbunden ist und Sie wissen, an welchen Controller-Port es angeschlossen ist.
• Ein aktiver Scan kann im Netzwerk des Unternehmens ausgeführt werden, indem Webseiten über Port 80 oder 443 angefordert werden und / oder ein Tool wie nmap ausgeführt wird, um nach Indikatoren für ein allgemeines Netzwerk für Verbraucher zu suchen Geräte (z. B. eine Linksys-Anmeldeseite).
• Die kabelgebundene Infrastruktur (Switches, Router) kann nach Bridge-Weiterleitungstabellen abgefragt werden, die MAC-Adressen enthalten. Diese MAC-Adressen können analysiert werden, um festzustellen, ob sie zu einer OUI eines Herstellers von drahtlosen Netzwerkgeräten (z. B. Linksys) gehören.
• Sie können Software auf den Laptops Ihres Unternehmens oder anderen Computern installieren, von denen viele zurückgemeldet werden Dieselben Arten von Informationen, die der Access Point erkennen würde (SSID / BSSID-Listen usw.) und diese an das oben genannte zentralisierte System melden oder angeben, mit welcher SSID der Computer tatsächlich verbunden ist. Es ist hilfreich zu erkennen, ob sich dieser Laptop zu Hause im Büro befindet oder ob möglicherweise viele andere Zugriffspunkte angezeigt werden.

Zu den Maßnahmen, die gegen diese Geräte ergriffen werden können, gehören:

• Herunterfahren des Netzwerkports am Switch (wenn sich der Angreifer in Ihrem Netzwerk befindet)
• Fälschen von 802.11-Paketen, um Clients von diesem Zugriffspunkt zu trennen, insbesondere für drahtlose Clients, die Sie verwenden Das System erkennt, dass es zu Ihrer Organisation gehört (häufig als "Rogue Containment" bezeichnet).
• verwendet ein Netzwerkvisualisierungstool, mit dem der Standort des Rogue Access Points anhand seiner Signalstärke (wie von Ihrem Zugriff angegeben) ermittelt werden kann Punkte) und Ihr WLAN-Netzwerklayout, gehen Sie dann zu diesem Ort und suchen Sie ihn persönlich
  • oder verwenden Sie ein anderes Signalerkennungs-Tool, um ihn aufzuspüren

Die drei führenden Anbieter von drahtlosen Unternehmen (Cisco, Aruba, Motorola) bieten alle ein drahtloses IPS mit mehreren oder allen dieser Funktionen und einige kleinere v befürworten auch. Dies ist einer der vielen Gründe, warum sie teurer sind als Ihr billiger Heim-Linksys-WLAN-Router.

Ein nicht autorisierter Zugriffspunkt impliziert, dass er mit Ihrem LAN verbunden ist, was mithilfe der Port-Sicherheit leicht zu erkennen ist.

Diese WiFi-Ananas ist mehr oder weniger ein Honeypot, der in Ihrem Netzwerk nicht vorhanden ist. Das Erkennen wird viel schwieriger, da es sich nicht in Ihrem Netzwerk befindet. Es ist nur eine Fälschung Ihrer SSID, nehme ich an?

Wie wäre es, wenn Sie ein Skript schreiben, das alle erkannten Zugriffspunkte auflistet und zählt. Sie können auch etwas hinzufügen, um nach SSIDs zu suchen. Überprüfen Sie den MAC, um festzustellen, ob es eine SSID gibt, die den Namen Ihrer SSID oder eine ähnliche ID enthält (MyCompany oder MyCompany-new), und überprüfen Sie diese anhand einer Liste von MAC-Adressen von Ihrem eigene Geräte. Ich könnte hinzufügen, dass das Spoofing einer Mac-Adresse ziemlich einfach ist und das Zählen der SSIDs möglicherweise einfacher ist.

Es gibt Telefon-Apps, die versuchen, WLAN-Zugangspunkte physisch zu finden. Android hat sie, aber ich glaube, dass Apple diese Art von Apps aus seinem Store gezogen hat, aber sie sind auf dem gehackten Markt erhältlich: https://market.android.com/details?id=girsas.wifiradar&hl=de

Dies erfordert möglicherweise eine gewisse Koordination und Eingrenzung des potenziellen Standorts, sollte jedoch wertvolle Daten liefern, um dies aufzuspüren.

Lesen Sie das auch! http://seclists.org/pen-test/2007/Nov/57

Die Wifi-Ananas ist nur ein Gerät, das eine Person in diesen Situationen verwenden kann Sicher, welche Arten von Berichten Sie haben, aber wenn die Person einen tragbaren Rouge-AP verwendet, ist sie höchstwahrscheinlich mobil (zu Fuß, mit dem Fahrrad) oder statisch, aber in der Nähe Ihrer APs (Kaffee trinken, auf einem Laptop oder sogar) ein Smartphone) ...

Es wird sehr gefährlich, denn beim Umgang mit tragbaren Rouge-APs wie der WLAN-Ananas wird deutlich, dass die Person, an der Sie interessiert sind, tatsächlich zu Ihrem Unternehmen gehört ... Ein Insider .

Sie bekämpfen also eine mobile Bedrohung wie diese, die Sie benötigen, um mobil zu werden. Es wurde bereits vorgeschlagen, Apps für mobile Smartphones mit WLAN herunterzuladen, um nach Rouge-AP-SSIDs zu suchen. Selbst wenn sie die SSID fälschen, kann auch eine Mac-Adresse abgerufen und bewertet werden (dies gibt Ihnen den Ursprung des Geräts) [KANN GEFÄLLT WERDEN].

WIE: WARDRIVING / WARWALKING Sie benötigen eine Liste der aktuellen Hardware-MAC-Adresse Ihrer drahtlosen Assets und können mit mehreren Handys mit drahtlosen Scan-Apps und einer Liste der drahtlosen MAC-Adressen herumlaufen. Sie können alle so gut wie inkognito aussehen, weil niemand glaubt, dass nur ein Smartphone solche Dinge erreichen kann. (In Wirklichkeit kann sogar eine Armbanduhr jetzt ein drahtloses Netzwerk gefährden ...) ODER sie kann zum Scannen von drahtlosen Signalen verwendet werden. und völlig unauffällig aussehen. http://hackaday.com/2011/12/27/rooting-a-motorola-actv-android-wristwatch/

Ihr mutmaßlicher Angreifer versucht, unter dem Radar zu bleiben auch. Dies ist möglicherweise auch nur ein kompromittierter Remote-Router, der als drahtlose Client-Bridge oder Karma-Rouge-AP fungiert. Wenn Sie mit dem Fahren fahren, können Sie einen Laptop (empfohlene Personen mit mehreren Laptops) mit Windows verwenden, auf dem InSSIDer ausgeführt wird. Holen Sie sich die MAC-Liste und scannen Sie. Legen Sie Ihre MAC-Adressliste in einen Notizblock und vergleichen Sie sie mit den von Ihnen entdeckten APs. HIER: www.metageek.net/products/inssider/

Eine weitere Option besteht darin, das Funkspektrum zu zwingen, Ihre Gebote (auf legale Weise) abzugeben. Taktische De-Authentifizierungs-Angriffe sind die nächste Welle, um Funk vor solchen Bedrohungen zu schützen, die immer noch auftauchen ... HIER

Ich kann Ihnen nur sagen, dass ich eine WLAN-Ananas habe, und es ist verrückt, was Sie jetzt mit ein paar Klicks tun können ... Sie müssen diese Bedrohung so schnell wie möglich stoppen, oder es könnte sein zu spät, und Ihr Unternehmensnetzwerk steht unter Höllenfeuer. Mobiltelefone mit drahtlosen Funktionen sind jetzt ebenfalls eine Bedrohung ... Ihr durchschnittliches Smartphone kann auch zu einem Rouge-AP werden und Datenverkehr schnüffeln, SSL entfernen ...

HIER

In Zukunft schlage ich vor, dass Ihr Unternehmen sich mit drahtlosen IDS / IPS-Systemen befasst, die heute im Handel erhältlich sind. Einige haben sogar alle Verteidigungstricks, die ich oben gesagt habe. ;-) Viel Glück dabei! Zögern Sie nicht mich zu kontaktieren, ich kann Ihnen helfen !!! ;-)

Da das Gerät zeitweise eingeschaltet ist, war der Standort offensichtlich eine Herausforderung. Wenn Sie Zeit und Ressourcen haben, gibt es eine Möglichkeit, dieses Signal aufzuspüren.

Sie benötigen zwei drahtlose Geräte, und wenn sie sich auf verschiedenen Computern befinden (müssen sie wahrscheinlich vorhanden sein, um dies zu tun) Bewegen Sie die Richtung ausreichend), gute Zeitsynchronisation für die Protokollierung. Man sollte eine Rundstrahlantenne haben. Die andere sollte eine Richtantenne mit hoher Verstärkung haben. Ich werde diese Geräte O und D nennen.

Immer wenn das Gerät O den unerwünschten Zugriffspunkt sieht, sollten Sie die Signalstärke mit der vergleichen, die das Gerät D . Ein Vergleich ist erforderlich, um Sie darauf aufmerksam zu machen, wann D in eine blinde Richtung zeigt. Drehen Sie das Gerät D , bis der Kegel in eine Richtung zeigt, in der Sie einen starken Messwert erhalten. Wenn Sie diese Lesung haben, verschieben Sie D an einen ganz anderen Ort und beginnen Sie erneut mit der Bewertung. Am Ende sollten Sie eine Reihe von Messwerten erhalten, mit denen Sie die stärkste Linie / den stärksten Abdeckungskegel an jeder Stelle auswählen können, an der Sie D finden. Dies sollte den Ort, an dem sich das Gerät befinden kann, schnell eingrenzen.

Weitere Informationen zur Vorgehensweise finden Sie unter http://en.wikipedia.org/wiki/Direction_finding. Es gibt auch schnellere Ortungsmethoden, die jedoch komplexere Geräte und relativ komplexe Software erfordern.

Schreiben Sie ein einfaches Cron-Skript, das jede Minute iwlist eth1 scan auf einem WLAN-Computer aufruft, und durchsuchen Sie es, um festzustellen, ob die Namen Ihres Access Points als mehr als eine Zelle (oder auf andere Weise) angezeigt werden erscheint abnormal). Wenn etwas nicht stimmt, senden Sie E-Mails an die Administratoren, die dann versuchen, die Quelle zu ermitteln.

Ich würde vorschlagen, eine Richtungs-WLAN-Antenne zu verwenden, um die Richtung zu bestimmen, aus der das Signal kommt. oder wifi-richtungserfassung android app wie schroeders lösung. Dieser Schritt wird wahrscheinlich am besten mit mehr als einer Person durchgeführt, die sich an verschiedenen Orten bewegt. sehen, wie das Signal stärker / schwächer wird. Ich würde nicht unbedingt annehmen, dass das Signal omnidirektional ist; siehe zum Beispiel [2], so dass eine einfache Triangulation möglicherweise nicht funktioniert.

Schließlich wäre es möglich, WPA oder Verschlüsselung zu verwenden, damit der böse Zwilling nicht wirklich maskieren kann Ihr Netzwerk?

Ich glaube, es gibt derzeit zwei Methoden. Das erste ist, dass Sie einen physischen Detektor wie AirCheck verwenden und dem Signal folgen können, bis Sie es finden. Dann können Sie feststellen, ob es sich um eine handelt, die Sie dort abgelegt haben, oder ob dies eine andere Person getan hat.

Die andere Methode besteht darin, sie auf der Netzwerkseite zu finden. In diesem Artikel wird detailliert beschrieben, wie die Verwendung von Nessus möglich ist, und es werden die Nachteile der Verwendung eines physischen Scanners (unterschiedliche Frequenzen, Interferenzen usw.) erwähnt.

Wenn Sie eine physikalische finden, ist dies die beste Lösung Rippen Sie es aus dem Socket!

Netzwerkbezogen (ich habe nur begrenzte Kenntnisse über Firewalls / Switches, daher ist dies möglicherweise Unsinn), aber wenn Sie herausfinden können, mit welchem ​​Port es verbunden ist, ist dies möglicherweise möglich Trennen Sie diesen Port oder setzen Sie die MAC-Adresse auf die schwarze Liste. Sie müssten dies jedoch mit jemandem mit größerem Wissen bestätigen.

Wie es geht, hängt von der Größe Ihres Unternehmens und seiner physischen Präsenz sowie davon ab, wie oft Sie es tun möchten. Es gibt echte Rogue-WLAN-Detektoren, die Sie installieren können und die nichts anderes tun, als nach Rogue-WLANs zu suchen, aber das ist wahrscheinlich übertrieben. Der beste Weg, dies zu tun, besteht darin, einfach einen kostenlosen Detektor auf Ihrem Telefon zu installieren und nach Punkten zu suchen. Wenn Sie näher kommen, wird das Signal stärker, wenn Sie sich entfernen, wird es schwächer. Wenn Sie also einem Signal folgen und es schwächer wird, wissen Sie, dass Sie gerade einen Zugangspunkt passiert haben. Wenn Sie über eine Unternehmens-WLAN-Lösung verfügen, bietet diese möglicherweise auch diese Funktionalität. Ich weiß, dass Cisco und Aerohive standardmäßig eine unerwünschte WLAN-Erkennung enthalten. Es kann sich lohnen, einen Blick darauf zu werfen. Was zu tun ist, wenn Sie sie finden, ist nicht immer so einfach wie das Ziehen des Steckers. Wenn jemand die Mühe und die Kosten durchgemacht hat, einen drahtlosen Zugangspunkt zu kaufen und selbst zu installieren, versucht er wahrscheinlich, ein Problem zu lösen, das die IT-Abteilung nicht gelöst hat. Sagen Sie ihnen höflich, dass es gegen die Regeln verstößt, finden Sie heraus, warum sie es getan haben, und lösen Sie das Problem, damit sie keinen eigenen AP benötigen. Natürlich können einige betrügerische APs von böswilligen Insidern oder Outsidern installiert werden, um sich in Ihr Netzwerk zu hacken. Wenn Sie eine finden, bei der Sie den Verdacht haben, dass dies der Fall ist, richten Sie heimlich eine oder zwei versteckte Webkameras in der Umgebung ein und ziehen Sie das Netzkabel gerade so weit aus der Rückseite heraus, dass es so aussieht, als wäre es versehentlich herausgekommen Stecken Sie es wieder ein und wann. Es ist wahrscheinlich ein Reiniger, der sich ausgezahlt hat, um es zu überprüfen und wieder anzuschließen, aber es könnte der Hacker selbst sein. In diesem Fall rufen Sie die Polizei an, um eine Verhaftung und Strafverfolgung vorzunehmen.