Обнаружение несанкционированного 802,11 карт и точек доступа
Первая цель - обнаружение. Можем ли мы сказать, когда кто-то полномочий на карточке в диапазон локальной сети? Это может быть сделано при готовые компоненты и бесплатное программное обеспечение. В Cisco Aironet водителя включены в более поздние ядра Linux поддерживает "RF Monitor" режиме, что позволяет жизнь мониторинга 802,11 пакетов - в частности, контроль сырья 802,11 фреймы обнаружить, нет ли заперта рамки вещания в мошеннические точки доступа или карты. Как указывается в первоначальном 802,11 спецификации, существуют три класса 802,11 фреймы. В целях обнаружения незаконных точек доступа и несанкционированных беспроводной сетевой карты, мы в первую очередь заинтересованы в классе 1 и 2 фреймы. Класс 1 фреймы являются кадры разрешается только в состоянии 1, то неопознанным государства, и в основном используются фреймы управления для аутентификации, маяки, и зонд просьбы. Класс 2 фреймы разрешается в обоих штатах 1 и 2, и используется для объединения и reassociation. Из точек доступа, мы ожидаем увидеть значительное число маяком фреймы (класс 1). С unassociated Специальное клиентов сканирования в активном режиме, мы ожидаем увидеть значительное число зонд запросов (также класс 1). Чтобы проверить эту гипотезу, метод контроля за всеми 802,11 управления кадров необходима, которой Cisco и Linux карточку водителя в состоянии в "режиме монитора РФ." Настройка Чтобы поставить карту в РФ Monitor режиме, любой BSS (использование "Mode: р" чистыми РФ контролировать режим): # повторить "Способ: у"> / proc/driver/aironet/eth0/Config # Затем начала регистрации пакетов с tcpdump, сохраняя их в файл для последующего анализа с ethereal: # tcpdump - я eth0 - ы 0 - w capturefile # Несанкционированное Специальная сеть Первое испытание было подтвердить способность обнаружить WLAN карточку энергии на время. А Lucent Ориноко карты был настроен в специальной режиме на Win2k ноутбук, и включен, чтобы узнать, есть ли какие-либо характерные кадры направлены на Ориноко карты, когда она была введена в специальной режиме. После карты инициализирован, tcpdump был остановлен, ethereal началась, и захват файл открыт. Большое число зонд просьбы от Ориноко были найдены карты, подтверждающие, что, действительно, можно обнаружить, когда кто-то с близкого расстояния в энергии составляют беспроводной сетевой карте в специальный режим. В анализировали кадр был следующим:
Действительно, можно сказать, если кто-то начинает активно сканирование карты в специальный режим, и очень много полезной информации можно почерпнуть из одного кадра. Наиболее актуальным является SSID и MAC- адреса, так как они могут быть использованы для выявления конкретной карты и / или лица. Несанкционированные точки доступа Следующий тест был подтвердить возможность обнаружения мошеннических точки доступа. А tcpdump сессия началась, а затем и Cisco Aironet 340 точки доступа был включен. После точки доступа закончил загрузку, свалки был рассмотрен с ethereal, и большое количество кадров маяком направлен на точку доступа не обнаружено. Ниже приводится один такой кадр, снова анализировали в ethereal:
Несанкционированное клиентов Окончательные испытания условие несанкционированных клиентов. Первый сценарий рассмотрен (более вероятным сценарием), то, что кто-то приносит иностранные карты и полномочия его с неправильным SSID. Если Вы активно сканирование, зонд просьбы будут видеть из этой карты, как он попытался найти точку доступа. Второй сценарий заключается в том, что кто-то приносит иностранные карты и полномочия его с правильного SSID. В ней окажется немного более проблематичным для обнаружения, в этом будет лишь несколько 802,11 управления кадров вызывать сигнал, а затем более "нормального" трафика. Это проблематично прежде всего из-за того, как RFMON_ANYBSS режиме по Cisco карта работает, несмотря на свое название, карты не могут одновременно получать пакеты от всех BSS в в круг, в особенности, если эти BSS использования различных частотах. Следствием этого является то, что он принимает некоторые ручного вмешательства в нюхать движения от конкретного BSS - см. ниже раздел по теме "Проблемы и осложнения," более подробную информацию по этой проблеме и как работать вокруг него. Эта проблема была проигнорирована, и вместо этого упор был сделан на несколько 802,11 управления кадров, которые легко отображаться в sniffer - обоим сценариям выяснилось производить аналогичный зонд просьбы, так как сценарии рассматриваются как идентичные. В анализировали зонд просьбе направлен на эту карту:
Проблемы и осложнения, несколько проблем стало известно с Cisco и карточку водителя, которые должны быть упомянуты. Первая проблема заключается в том, что Cisco карточку, по умолчанию, даже в RFMON и RFMON_ANYBSS видов, не активное сканирование для движения по всем каналам, во все времена. Ниже приведены условия, при которых она будет rescan для BSS's:
Все эти условия будут "удар" карты в rescanning. Для построения практического обнаружения устройства, карты следует ногами на регулярной основе, возможно, каждую минуту. Простой сценарий коснитесь BSSList файл каждую минуту будет заниматься приемом. Вторая проблема: не все в BSS в диапазоне показали достоверно деятельности в файле / proc/driver/aironet/eth0/BSSList. Когда карточки введены в RFMON режиме, препровождающее отключен, так что карточка не может сканировать активно BSS в послали зонд просьбы. Поэтому карточки должны использовать пассивное сканирование. Вместо отправки зонда просьбы, слушает карты для маяков. Пассивная сканирует использовать таймер - карты будет слушать на маяк рамы до таймер истекает, а затем перейти на другой канал. Проблема с картой Cisco заключается в том, что этот таймер является слишком низким. Значение по умолчанию - 40ms, который был недостаточным в нашей тестовой сети заметят все в BSS, независимо от диапазона или относительного сигнала из точек доступа. Решение было добавить эту строку инициализации карты обычные, setup_card в airo.c: cfg.beaconListenTimeout = 120; Утроение этого тайм-аута сделал BSS обнаружения работы надежно. Следовательно, все наши точек доступа показывает в BSSList, все время. Третья проблема: Несмотря на свое название, даже поставить карту в RFMON_ANYBSS режиме не вызвать карточку получать трафик от всех наших точек доступа, которые были с использованием различных частот и, вероятно, одновременно по-другому. Карточка сам выбрал BSS для синхронизации с базы на свой алгоритм (вероятно, по его оценке относительной сигнала). Проблема с этим состоит в том, что мы хотим, чтобы трафик от всех BSSs в круг, а не только те, которые имеют случиться с самым решительным сигналов. А путь не может быть найден, чтобы отключить эту функцию на Cisco карточку, но есть обходной - в Linux драйвер обеспечивает / процесса интерфейс установить предпочтительный AP. После того как список BSSs в диапазон сканера находится (/ proc/driver/aironet/eth0/BSSList), выбрать один из них для контроля и введите МАС-адресу в файле / proc/driver/aironet/eth0/APList. Это заставит карты для синхронизации с BSS, и переключиться на канал, после чего трафик из BSS, которые можно получить и использовать для сигнала оценок или мониторинга подозрительной деятельности. Выводы Эти простые тесты подтверждают, что существуют 802,11 кадры, которые характерны для типичных мошеннических точек доступа и несанкционированных специальных сетей, и что эти кадры могут быть выявлены и проанализированы, используя готовые компоненты и бесплатное программное обеспечение. Используя эти концепции вместе с базой данных можно доверять точек доступа и карты и отпечатки пальцев подозрительных рамы, ethereal может использоваться как фундамент в полномасштабной 802,11 обнаружения системы. в этой статье идет речь добавил Ким Суллоуэй
|
|||||
|