Opsporen Ongeoorloofde 802,11 Cards and Access Points
Het eerste doel is de detectie. Kunnen we zeggen wanneer iemand bevoegdheden op een kaart binnen het bereik van het lokale netwerk? Dit kan gedaan worden met off-the-shelf componenten en gratis software. De Cisco Aironet-driver meegeleverd met de meer recente Linux kernels ondersteund "RF Monitor" modus, die promiscue monitoring van 802,11 pakketjes toelaat - in het bijzonder het toezicht op ruwe 802.11 frames detecteren of er zijn geen verklikker beelden uitgezonden door een rogue access point of kaart. Zoals uiteengezet in de oorspronkelijke 802.11 specificatie, zijn er drie klassen van 802,11 frames. Met het doel het opsporen van rogue access points en ongeautoriseerde draadloze Ethernet-kaarten, zijn wij vooral geïnteresseerd in klasse 1 en 2 frames. Klasse 1 frames zijn de enige frames toegestaan in toestand 1, de niet-geverifieerde staat, en zijn grotendeels beheer frames gebruikt voor authenticatie, bakens, en sonde verzoeken. Klasse 2 frames zijn toegestaan in beide landen 1 en 2, en worden gebruikt voor de vereniging en Reassociation. Van toegangspunten zouden we verwachten dat een groot aantal baken frames (klasse 1). Van unassociated Ad-hoc klanten scannen in actieve modus, zouden we verwachten dat een groot aantal van de sonde (ook klasse 1). Om dit te testen hypothese, een methode van de controle van alle frames 802,11 beheer nodig is, die de Cisco-kaart en de Linux-driver in staat zijn in de "RF-Monitor-modus." SetupOm van de kaart in RF-monitor modus, elke BSS (gebruik "Mode: r" voor gladde RF-monitor modus): # Echo "Mode: y"> / proc/driver/aironet/eth0/Config # Dan beginnen loggen pakketten met tcpdump, ze op te slaan in een bestand voor latere analyse met etherische: # Tcpdump-i eth0-s 0-w capturefile # Ongeoorloofde Ad-hoc netwerkDe eerste test was de mogelijkheid om een WLAN-kaart detecteren bevestigen wordt ingeschakeld. Een Lucent Orinoco kaart is geconfigureerd in ad-hoc mode op een Win2k laptop, en is ingeschakeld om uit te vinden als er een karakteristieke beelden uitgezonden door de Orinoco-kaart toen het werd gebracht Ad-hoc-modus. Nadat de kaart geïnitialiseerd, is tcpdump gestopt, etherische begonnen, en de vangst bestand geopend. Een groot aantal van de sonde verzoeken van de Orinoco-kaart gevonden, bevestigt dat het inderdaad mogelijk te detecteren wanneer iemand binnen handbereik had powered een draadloze Ethernet-kaart in ad-hoc-modus. Ontleedde Het frame was als volgt:
Unauthorized Access PointDe volgende test was een bevestiging van de mogelijkheid voor het opsporen van een schurkenstaat toegangspunt. Een tcpdump sessie werd gestart, en vervolgens een Cisco Aironet 340-toegangspunt is ingeschakeld. Na het toegangspunt klaar was met opstarten, de stortplaats is onderzocht met etherische, en een groot aantal frames baken uitgezonden door het toegangspunt gevonden. Na is zo'n frame, weer doorsneden door Ethereal:
Unauthorized ClientDe laatste voorwaarde is getest ongeautoriseerde clients. Het eerste scenario overwogen (de meer waarschijnlijke scenario), is dat iemand brengt een buitenlandse kaart en bevoegdheden die zij met de verkeerde SSID. Als de kaart actief werd scannen, zou sonde verzoeken blijkt uit deze kaart omdat het geprobeerd om een access point te vinden. Het tweede scenario is dat iemand brengt een buitenlandse kaart en bevoegdheden die zij met de juiste SSID. Dit blijkt een een beetje meer problematisch om te ontdekken, in dat er slechts een paar 802,11 beheer frames met een waarschuwing activeren, en dan meer "normaal" verkeer. Dit is problematisch, vooral vanwege de manier waarop RFMON_ANYBSS mode op de Cisco-kaart werkt - ondanks zijn naam, kan de kaart niet ontvangen pakketten gelijktijdig uit alle BSS's binnen bereik, met name als het gebruik van deze BSS verschillende frequenties. Het gevolg is dat het duurt enkele manuele interventie om het verkeer ruiken van een bepaalde BSS - zie de sectie hieronder over "problemen en complicaties" voor meer informatie over dit probleem en hoe het werk er omheen. Dit probleem werd genegeerd en in plaats daarvan lag de nadruk op de weinige 802,11 beheer frames doen weergegeven gemakkelijk in de sniffer - beide scenario's bleek te soortgelijke verzoeken sonde te produceren, zodat beide scenario's worden behandeld als identiek. ontleed De sonde verzoek toegezonden door deze kaart:
Problemen en complicatiesEen paar problemen aan het licht kwam met de Cisco-kaart en de driver die moeten worden vermeld. Het eerste probleem is dat de Cisco-kaart, is standaard, zelfs in RFMON en RFMON_ANYBSS modi, niet actief scannen voor het verkeer op alle kanalen te allen tijde. De volgende zijn de voorwaarden waaronder zij zal opnieuw scannen voor BSS's:
Al deze voorwaarden zal "kick" van de kaart in opnieuw scannen. Het bouwen van een praktische detectie-apparaat, moet de kaart worden geschopt op gezette tijden, misschien wel elke minuut. Een eenvoudig script om de BSSList bestand elke minuut raken zal het lukken. Tweede probleem: Niet alle BSS's binnen bereik kwam betrouwbaar in het dossier / proc/driver/aironet/eth0/BSSList. Wanneer de kaart wordt gebracht RFMON modus, verzenden is uitgeschakeld, zodat de kaart kan niet actief scannen BSS door het verzenden van sonde verzoeken. Daarom moet de kaart passief scannen. In plaats van uit te sturen sonde verzoeken, de kaart luistert naar bakens. Passief scant gebruik maken van een timer-de kaart zal luisteren naar beacon frames totdat de timer afloopt en vervolgens naar een ander kanaal. Het probleem met de Cisco-kaart is dat deze timer is te laag ingesteld. De standaard waarde is 40ms, die onvoldoende was op onze test netwerk van een opzegtermijn van alle BSS, ongeacht van het assortiment of relatieve signaalsterkte van de toegangspunten. De oplossing was om deze regel toe te voegen aan de kaart initialisatie routine, setup_card in airo.c : cfg.beaconListenTimeout = 120; Verdrievoudiging van deze time-out gemaakt BSS detectie werk betrouwbaar. Bijgevolg al onze access points toonde in BSSList, de hele tijd. Derde probleem: Ondanks zijn naam, ook al zetten de kaart in RFMON_ANYBSS modus niet veroorzaakt door de kaart om het verkeer te ontvangen van al onze access points, die allemaal met verschillende frequenties en waren waarschijnlijk anders gesynchroniseerd. De kaart zelf koos voor een BSS te synchroniseren te baseren op zijn eigen algoritme (waarschijnlijk op haar beoordeling van de relatieve signaalsterkte). Het probleem met deze is dat we willen om het verkeer uit alle Bsss binnen bereik, niet alleen degenen die er gebeuren met de sterkste signalen te hebben. Een manier kon niet worden gevonden om deze functie uitschakelen op de Cisco-kaart, maar er is een tijdelijke oplossing - het stuurprogramma voor Linux biedt een / proc interface naar een voorkeur AP ingesteld. Zodra de lijst van Bsss binnen het bereik van de scanner wordt gevonden (/ proc/driver/aironet/eth0/BSSList), kies de een te controleren en voer het MAC-adres in het bestand / proc/driver/aironet/eth0/APList. Hierdoor zullen de kaart te synchroniseren met die BSS en over te schakelen naar dat kanaal, waarna het verkeer van die BSS kunnen worden ontvangen en gebruikt voor de beoordeling signaalsterkte of het toezicht op verdachte activiteiten. ConclusiesDeze eenvoudige tests bevestigen dat er 802.11 frames die kenmerkend zijn voor typische rogue access points en ongeoorloofde ad-hoc netwerken, en dat deze frames kunnen worden gedetecteerd en geanalyseerd met behulp van off-the-shelf componenten en gratis software. Met behulp van deze concepten samen met een database van vertrouwde access points en kaarten en de vingerafdrukken van verdachte frames, etherische kan worden gebruikt als een fundamentele bouwsteen in een volwaardige 802,11 Intrusion Detection System. een artikel afkomstig van Kim Sulloway
|
|||
|