Video: Hacking svenska - 6 - Hacka nätverk 2024
Se upp för hackning från obehöriga routrar och trådlösa klienter som är anslutna till ditt nätverk och kör i ad hoc-läge. Genom att använda NetStumbler eller din kundhanteringsprogramvara kan du testa för åtkomstpunkter (AP) och ad hoc-enheter som inte hör hemma i ditt nätverk. Du kan använda nätverksövervakningsfunktionerna i en WLAN-analysator, som OmniPeek och CommView för WiFi.
Leta efter följande skumma AP egenskaper:
-
Odd SSID, inklusive de populära standarderna som linksys och gratis wifi.
-
Odd AP-systemnamn - det vill säga namnet på AP om hårdvaran stöder den här funktionen. För att inte vara förvirrad med SSID.
-
MAC-adresser som inte hör hemma i ditt nätverk. Titta på de första tre bitarna av MAC-adressen, som anger leverantörsnamnet. Du kan utföra en MAC-adressleverantörsuppsökning för att hitta information om AP som du är osäker på.
-
Svaga radiosignaler, vilket kan indikera att en AP har blivit gömd eller ligger intill eller till och med utanför din byggnad.
-
Kommunikation över en annan radiokanal (er) än vad ditt nätverk kommunicerar med.
-
Nedbrytning i nätverkets genomströmning för en WLAN-klient.
NetStumbler har hittat två potentiellt obehöriga AP: er. De som sticker ut är de två med SSID från BI och LarsWorld.
NetStumbler har en begränsning: Det kommer inte att hitta AP som har sondresponspaket inaktiverade. Kommersiella trådlösa nätverksanalysatorer som CommView för WiFi och öppen källkod Kismet ser inte bara på sondresponser från AP-användare som NetStumbler, men också för andra 802.11-hanteringspaket, till exempel associeringssvar och -brännare. Detta gör det möjligt för Kismet att upptäcka förekomsten av dolda WLAN.
Om UNIX-plattformen inte är din kopp te och du fortfarande letar efter ett snabbt och smutsigt sätt att utrota dolda AP-filer, kan du skapa ett scenario för klient-till-AP-återkoppling som tvingar sändningen av SSID-filer med de-autentiseringspaket.
Det säkraste sättet att riva ut dolda AP: er är att helt enkelt söka efter 802. 11 hanteringspaket. Du kan konfigurera OmniPeek för att söka efter 802. 11 hanteringspaket för att utrota dolda AP-filer genom att aktivera ett infångningsfilter på 802. 11 hanteringspaket.
Du kan använda CommView för WiFi för att upptäcka en udda nätverksvärd; till exempel, Hon Hai och Netgear-systemen om du vet att du bara använder Cisco och Netopia hårdvara på ditt nätverk.
Mitt testnätverk för det här exemplet är litet jämfört med vad du kanske ser, men du får en uppfattning om hur ett udda system kan sticka ut.
WLAN-apparater som är inställda i ad hoc-läge tillåter trådlösa klienter att kommunicera direkt med varandra utan att behöva passera genom en AP. Dessa typer av WLAN-enheter fungerar utanför de normala säkerhetsåtgärderna för trådlöst nätverk och kan orsaka allvarliga säkerhetsproblem utöver de normala 802.11-sårbarheterna.
Du kan använda bara en WLAN-analysator för att hitta obehöriga ad hoc-enheter. Om du stöter på flera ad hoc-system, som de enheter som är listade som STA i CommView för WiFi-kolumnen Typ , kan detta vara en bra indikation på att människor kör oskyddade trådlösa system eller har ad hoc-trådlös aktivering. Dessa system är ofta skrivare eller till synes godartade nätverkssystem, men kan vara arbetsstationer och mobila enheter.
Du kan också använda den handhållna Digital Hotspotter-enheten för att söka efter ad hoc-aktiverade system eller till och med ett trådlöst intrångsskyddssystem för att söka efter fyrfartspaket där ESS-fältet inte är lika med 1.
Gå runt din byggnad eller campus för att utföra detta test för att se vad du kan hitta. Fysiskt leta efter enheter som inte hör hemma och kom ihåg att en välplacerad AP- eller WLAN-klient som är avstängd inte kommer att dyka upp i dina nätverksanalysverktyg.
Tänk på att du kanske hämtar signaler från närliggande kontor eller hem. Därför, om du hittar något, antar inte omedelbart att det är en skurkaktig enhet. Styrkan hos den signal du upptäcker är en bra indikation.
Enheter utanför ditt kontor ska ha en svagare signal än de som är inuti. Att använda en WLAN-analysator på så sätt hjälper till att begränsa platsen och förhindra falska larm om du upptäcker legitima angränsande trådlösa enheter.
Ett bra sätt att avgöra om en AP du upptäcker är kopplad till ditt trådbundna nätverk är att utföra omvända ARP-filer för att kartlägga IP-adresser till MAC-adresser. Du kan göra detta vid en kommandotolk genom att använda kommandot arp -a och helt enkelt jämföra IP-adresser med motsvarande MAC-adress för att se om du har en matchning.
Också, kom ihåg att WLANs autentiserar de trådlösa enheterna, inte användarna. Kriminalhackare kan använda detta till sin fördel genom att få tillgång till en trådlös klient via fjärråtkomstprogramvara, till exempel telnet eller SSH, eller genom att utnyttja en känd applikation eller OS-sårbarhet. När de har gjort det kan de ha full tillgång till ditt nätverk.
Det enda sättet att upptäcka rogue AP och trådlösa värdar i ditt nätverk är att proaktivt övervaka ditt WLAN, leta efter indikatorer som trådlösa klienter eller skurkroll-AP kan existera. En WIPS är perfekt för sådan övervakning. Men om skurk AP eller klienter inte dyker upp, betyder det inte att du är ute av kroken. Du kan behöva bryta ut den trådlösa nätverksanalysatorn, den trådlösa IPS eller ett annat nätverkshanteringsprogram.
Beroende på din AP kan några konfigurationsändringar hindra hackare från att utföra dessa hackar mot dig:
-
Om möjligt, öka ditt trådlösa strålningsutsändningsintervall till den maximala inställningen, vilket är cirka 65, 535 millisekunder. Detta kan hjälpa till att gömma AP från hackare som snabbt eller snabbt går och går på din byggnad.Var noga med att testa det här först, eftersom det kan skapa andra oavsiktliga följder, till exempel att legitima trådlösa klienter inte kan ansluta till ditt nätverk.
-
Inaktivera probresponser för att förhindra att din AP svarar på sådana förfrågningar.
Använd personlig brandvägg, t.ex. Windows Firewall, på alla trådlösa värdar för att förhindra obehörig fjärråtkomst i dina värdar och därefter ditt nätverk.