0
Как выявить сканирование?
Чтобы найти поблизости беспроводные устройства, а следовательно, и беспроводные сети, используют специальные сканеры эфира. Поставил такую штуку на ноутбук или КПК и гуляешь по городу, в то время как программа ведет логи всех найденных точек доступа с указанием SSID (идентификатора сети), производителя оборудования, механизма шифрования, скорости работы и даже координат, если к ноуту подключен GPS-модуль. Знакомые софтины Netstambler, Macstambler, Kismet (или его версия под винду Kiswin) в два счета просканируют эфир и выдадут всю информацию на экран.
Но тут есть один важный момент, о котором многие даже не подозревают! Эти сканеры не просто пассивно просматривают эфир, но также используют активные методы исследования, посылая в сеть специальные пакеты. Если ты просканировал эфир Netstamblerом, то считай, ты уже выдал свое присутствие. Хорошо, если беспроводная сеть это одинокая точка доступа, которой вряд ли даже поменяли пароль для администрирования через веб-панель. Но если это серьезная компания, то к любой подобной активности (внутри закрытой сети) отнесутся с подозрением. И дело тут вот в чем. Когда осуществляется пассивное сканирование (в соответствии со стандартом 802.11, то есть Wi-Fi), ничего страшного
не происходит, но и эффективность такого сканирования нулевая! Как только дело касается
интимной информации о сети (которая может быть очень полезна взломщику), стемблер
выдает свое присутствие из-за специального LLC/SNAP-фрейма. Еще 3 года назад (23 марта 2002 года) хакер-исследователь Mike Craik предложил уникальный идентификатор, по которому можно задетектить трафик программы NetStumbler: LLC-фреймы, генерируемые сканером и содержащие уникальный идентификатор (OID) 0x00601d и идентификатор протокола (PID) 0x0001. Кроме того, специальная строковая переменная, передающаяся через 58‑байтное поле данных, содержит информацию о версии продукта в так называемом «пасхальном яйце»:
0.3.2 Flurble gronk bloopit, bnip Frundletrune 0.3.2 All your 802.11b are belong to us 0.3.3 " intentionally blank"Причин для таких подвохов может быть много, в том числе просьба оперативных органов, ссориться с которыми автору бесплатной программы, естественно, не хочется. Чтобы устранить «пасхальное яйцо», следует поковырять бинарник netstumbler.exe редактором ресурсов и изменить его. Но это не решит проблему обнаружения сканирования (с LLC-фреймом ничего не сделать). И к слову, Ministumbler тулза из той же серии, только для платформы Pocket PC, содержит аналогичные подвохи.
Как тебя могут поймать?
Важно не столько засечь несанкционированные действия в сети, сколько выявить нарушителя. Здесь возникает определенная головоломка, так как мобильность самой
технологии Wi-Fi изначально подразумевает таких же мобильных клиентов, которые могут перемещаться во время сеанса пользования сетью. Нашей задачей будет выработка схемы сетевой инфраструктуры, в которой существовало бы как минимум две предпосылки, свидетельствующие о наличии злоумышленника среди доверенного радиопокрытия. Способы обнаружения злоумышленника обычно базируются на данных, поступающих из разных
удаленных друг от друга источников. При этом анализируются данные об уровне приема абонента, а также информация из логов систем обнаружения вторжений (IDS).
На представленной схеме (смотри рисунок) перед нами модель тривиальной постановки: точки Y и Z выступают в роли AP-«мониторов» (сенсоров нападения), так или иначе передающих событие «произошло сканирование» на специальную систему. Конец коридора ограничен
бетонными стенами, изолирующими сигнал от помех извне. Задавая границу в радиопокрытии точки (к примеру, 10 метрами), можно выработать действия по реагированию на подозритель-
ные события. Не трудно догадаться, что если будет заподозрен последовательный Stumbling от точек z,y к x, то злоумышленник находится в вполне определенном квадрате пространства. Соответственно, создавая подобную архитектуру по флагам и опираясь на внимание и определенный набор ПО, можно давать указание службе безопасности выдвигаться в соответствующие стороны. Остается вопрос: чем фиксировать действия сканера? Это реализуется следующими программными решениями.
Программы (предпроцессоры) против вадрайвинга
Snort Wireless
Адрес: snort-wireless.org
Платформа: Unix
Эдакая «пожарная сигнализация», которая предупредит практически о любой попытке
взлома. Главное, чтобы были грамотно настроены все правила или, иначе говоря, предварительно заданные шаблоны атак и вредоносных объектов. Snort Wireless работает подобно популярному Snort, но в беспроводных сетях 802.11x, защищая их от нападения. Настройка сводится к следующим пунктам:
указание информации об охраняемой территории (параметры сети, имя точки доступа);
конфигурация предпроцессоров;
конфигурация плагинов;
дополнительные собственные правила.
Наиболее важный пункт здесь конфигурация предпроцессоров, благодаря которым и про-
исходит переход с намека на атаку к боевой тревоге.
Предпроцессор Anti Stumbler.
Для обнаружения точек доступа Netstumbler рассылает широковещательные нулевые SSID, которые заставляют другие точки доступа присылать свои SSID нам. Snort осознает массовость этого дела с одного MAC-адреса и объявляет тревогу. Помимо этого, в наборе Snort Wireless присутствуют предпроцессоры для детекта пассивного скана и попытки подмены MAC.
Предпроцессор Anti Flood.
При превышении определенного количества кадров в единицу времени или попыток авторизации происходит распознавание Denial Of Service Atack.
Предпроцессор Anti Mac spoofing. Выявление несоответствий и сравнение с базой
данных доверенных клиентов.
После редактирования всех параметров файл snort.conf обновится, и ты сможешь запустить
демон в фоновый режим:
snort -D -A full
Теперь вардрайвингом заниматься надо аккуратно, а то ещё и посадят. По башке точно дадут если поймают.
Источник Журнал Хакер
Наверх
