Détecter les 802.11 cartes et points d'accès non autorisés

Share

|

Le premier but est détection. Pouvons-nous dire quand quelqu'un des puissances sur une carte dans la marge du réseau local ? Ceci peut être fait avec les composants disponibles immédiatement et le logiciel libre. Le conducteur de Cisco Aironet inclus avec les grains plus récents de Linux soutient le mode "de moniteur de rf", qui permet la surveillance promiscueuse de 802.11 paquets - spécifiquement, surveillant les 802.11 armatures crues pour détecter s'il y a des armatures indicatrices annoncent par un point ou une carte d'accès escroc.

Conformément aux spécifications 802.11 originales, il y a trois classes de 802.11 armatures. Avec le but de détecter les points d'accès escroc et les cartes sans fil non autorisées d'Ethernet, nous sommes principalement intéressés par des armatures de la classe 1 et 2. Les armatures de la classe 1 sont les seules armatures permises dans l'état 1, unauthenticated l'état, et sont en grande partie des armatures de gestion utilisées pour l'authentification, les balises, et les demandes de sonde. Des armatures de la classe 2 sont permises dans les deux états 1 et 2, et sont employées pour l'association et la rassociation. Des points d'accès, nous compterions voir un grand nombre d'armatures de balise (classe 1). De unassociated les clients ads-hoc balayant en mode actif, nous compterait voir un grand nombre de demandes de sonde (aussi classe 1). Pour évaluer cette hypothèse, une méthode de surveiller chacune des 802.11 armatures de gestion est nécessaire, qui la carte de Cisco et le conducteur de Linux sont capables de en "le mode de moniteur de rf."

Installez pour mettre la carte dans le mode de moniteur de rf, tout mode de BSS (utilisation ": r "pour le mode plat de moniteur de rf) : # mode d'écho ": y "> /proc/driver/aironet/eth0/Config #

Puis, paquets de notation de début avec le tcpdump, les sauvant à un dossier pour l'analyse postérieure avec éthéré : # tcpdump - I eth0 - s 0 - W capturefile #

Le réseau ad-hoc non autorisé le premier essai devait confirmer la capacité de détecter une carte de WLAN étant mise sous tension. Une carte de Lucent Orinoco a été configurée en mode ad-hoc sur un ordinateur portatif de Win2k, et tourné dessus vers découvrez s'il y avait des armatures caractéristiques envoyées par la carte d'Orinoco quand il a été mis dans le mode ad-hoc.

Après la carte initialisée, le tcpdump a été arrêté, commencé éthéré, et le dossier de capture ont été ouverts. Un grand nombre de demandes de sonde de la carte d'Orinoco ont été trouvées, confirmant qu'il était en effet possible de détecter quand quelqu'un dans la marge étroite avait actionné vers le haut d'une carte sans fil d'Ethernet en mode ad-hoc. L'armature disséquée était comme suit :

IEEE 802.11
Type/Subtype : Demande De Sonde (4)
Commande D'Armature : 0x0040
Version : 0
Type : Armature de gestion (0)
Sous-type : 4
Drapeaux : 0x0
Statut de DS : Ne pas laisser le DS ou le réseau fonctionne en mode d'AD-HOC
(au Ds : 0 0. De F..... = Fragments : Aucuns fragments
.... 0 = nouvelle tentative : La vue n'est pas retransmise
...0.... = PWR MGT : Le STA restera vers le haut
..0..... = Plus De Données : Aucunes données protégées
0...... = drapeau de WEP : WEP est handicapé
0.... = drapeau d'ordre : Pas strictement passé commande
Durée : 0
Adresse de destination : ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Adresse de source : 00:02:2d:1b:51:ca (Agere_1b:51:ca)
Identification de BSS : ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Nombre de fragment : 0
Nombre d'ordre : 118
Armature de gestion de LAN de radio d'IEEE 802.11
Paramètres étiquetés (19 bytes)
Nombre D'Étiquette : 0 (ensemble de paramètre de SSID)
Longueur d'étiquette : 15
Interprétation d'étiquette : roguepeertopeer
Nombre D'Étiquette : 1 (Taux Soutenus)
Longueur d'étiquette : 4
Interprétation d'étiquette : Taux soutenus : 1.0 2.0 5.5 11.0 [ Mbit/sec ]
0000 40 00 00 00 FF FF FF FF FF FF 00 02 2d 1b 51 ca @.......-.Q.
0010 FF FF FF FF FF FF 60 07 00 0f 72 6f 67 roguep de 75 65 70..`...
0020 65 65 72 74 6f 70 65 65 72 01 04 02 04 eertopeer 0b 16...

En effet, il est possible de dire si quelqu'un commence une carte activement de balayage en mode ad-hoc, et l'information utile beaucoup peut être glanée d'une armature simple. Les plus appropriés sont les SSID et le MAC address, puisqu'ils peuvent être employés pour dépister une carte et/ou une personne particulières.

Le point d'accès non autorisé le prochain essai devait confirmer la possibilité de détecter un point d'accès escroc. Une session de tcpdump a été commencée, et alors un point d'accès de Cisco Aironet 340 a été allumé. Après que le point d'accès ait fini initialiser, la décharge a été examinée avec éthéré, et un grand nombre d'armatures de balise envoyées par le point d'accès ont été trouvées. Suivret une telle armature, de nouveau disséquée par éthéré :

IEEE 802.11
Type/Subtype : Armature de balise (8)
Commande D'Armature : 0x0080
Version : 0
Type : Armature de gestion (0)
Sous-type : 8
Drapeaux : 0x0
Statut de DS : Ne pas laisser le DS ou le réseau fonctionne en mode d'AD-HOC
(au Ds : 0 du Ds : 0) (0x00)
.... 0.. = fragments : Aucuns fragments
.... 0 = nouvelle tentative : La vue n'est pas retransmise
...0.... = PWR MGT : Le STA restera vers le haut
..0..... = Plus De Données : Aucunes données protégées
0...... = drapeau de WEP : WEP est handicapé
0.... = drapeau d'ordre : Pas strictement passé commande
Durée : 0
Adresse de destination : ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Adresse de source : 00:40:96:36:88:23 (Telesyst_36:88:23)
Identification de BSS : 00:40:96:36:88:23 (Telesyst_36:88:23)
Nombre de fragment : 0
Nombre d'ordre : 0
Armature de gestion de LAN de radio d'IEEE 802.11
Paramètres fixes (12 bytes)
Horodateur : 0x0000000000019274
Intervalle De Balise : 0.102400 [ secondes ]
L'Information De Possibilités : 0x0021
.......1 = possibilités d'ESS : L'émetteur est AP
......0. = statut d'IBSS : L'émetteur appartient à un BSS
...0.... = intimité : AP/STA ne peut pas soutenir WEP
..1..... = Préambule Court : Préambule court permis
0...... = PBCC : Modulation de PBCC non permise
0.... = Agilité De la Manche : Agilité de la Manche pas en service
Possibilités de participation de PCP : Aucun coordonnateur de point à AP (0x0000)
Paramètres étiquetés (31 bytes)
Nombre D'Étiquette : 0 (ensemble de paramètre de SSID)
Longueur d'étiquette : 18
Interprétation d'étiquette :
Nombre D'Étiquette : 1 (Taux Soutenus)
Longueur d'étiquette : 4
Interprétation d'étiquette : Taux soutenus : 1.0(B) 2.0(B) 5.5 11.0 [ Mbit/sec ]
Nombre D'Étiquette : 3 (ensemble de paramètre de DS)
Longueur d'étiquette : 1
Interprétation d'étiquette : La Manche Courante : 11
Nombre D'Étiquette : 5 (Carte D'Indication Du Trafic (TIM))
Longueur d'étiquette : 4
Interprétation d'étiquette : Compte 1, période 2, commande à mémoire d'image 0x0 de DTIM de DTIM,
(carte binaire supprimée)
0000 80 00 00 00 FF FF FF FF FF FF 00 40 96 36 88 23........@.6. #
@.6.#..t 0010 00 40 96 36 88 23 00 00 74 92 01 00 00 00 00 00....
0020 64 00 21 00 00 12 00 00 00 00 00 00 00 00 00 00 d. !..........
0030 00 00 00 00 00 00 00 00 01 04 82 84 0b 16 03 01.............
0040 0b 05 04 01 02 00 00.......

Le client non autorisé l'état examiné final était les clients non autorisés. Le premier scénario considéré (le scénario plus probable), est que quelqu'un évoque une carte étrangère et des puissances il avec le SSID faux. Si la carte balayait activement, des demandes de sonde seraient vues de cette carte pendant qu'elle essayait de trouver un point d'accès. Le deuxième scénario est que quelqu'un évoque une carte étrangère et des puissances il avec le SSID correct. Celui-ci s'avère être peu un plus problématique à détecter, dans cela il y aura seulement quelques armatures de 802.11 gestions pour déclencher une alerte, et puis plus de trafic "normal". C'est problématique principalement en raison de la manière que le mode de RFMON_ANYBSS sur la carte de Cisco fonctionne - en dépit de son nom, la carte ne peut pas recevoir des paquets simultanément de tout le BSS dans la gamme, particulièrement si ces fréquences de l'utilisation de BSS différentes.

La conséquence est qu'elle prend une certaine intervention manuelle au trafic de reniflement d'un BSS particulier - voyez la section ci-dessous sur des "problèmes et des complications" pour plus de détails sur ce problème et comment travailler autour de lui. Ce problème a été ignoré et à la place le foyer était sur les quelques armatures de 802.11 gestions qui apparaissent aisément dans le renifleur - les deux scénarios avérés pour produire les demandes semblables de sonde, ainsi les deux scénarios sont traités comme identiques. La demande disséquée de sonde envoyée par cette carte :

IEEE 802.11
Type/Subtype : Demande De Sonde (4)
Commande D'Armature : 0x0040
Version : 0
Type : Armature de gestion (0)
Sous-type : 4
Drapeaux : 0x0
Statut de DS : Ne pas laisser le DS ou le réseau fonctionne en mode d'AD-HOC
(au Ds : 0 du Ds : 0) (0x00)
.... 0.. = fragments : Aucuns fragments
.... 0 = nouvelle tentative : La vue n'est pas retransmise
...0.... = PWR MGT : Le STA restera vers le haut
..0..... = Plus De Données : Aucunes données protégées
0...... = drapeau de WEP : WEP est handicapé
0.... = drapeau d'ordre : Pas strictement passé commande
Durée : 0
Adresse de destination : ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Adresse de source : 00:02:2d:1b:51:ca (Agere_1b:51:ca)
Identification de BSS : ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Nombre de fragment : 0
Nombre d'ordre : 1
Armature de gestion de LAN de radio d'IEEE 802.11
Paramètres étiquetés (13 bytes)
Nombre D'Étiquette : 0 (ensemble de paramètre de SSID)
Longueur d'étiquette : 9
Interprétation d'étiquette : roguehost
Nombre D'Étiquette : 1 (Taux Soutenus)
Longueur d'étiquette : 4
Interprétation d'étiquette : Taux soutenus : 1.0 2.0 5.5 11.0 [ Mbit/sec ]
0000 40 00 00 00 FF FF FF FF FF FF 00 02 2d 1b 51 ca @.......-.Q.
0010 FF FF FF FF FF FF 10 00 00 09 72 6f 67...... rogueh 75 65 68
0020 6f 73 74 01 04 02 04 ost 0b 16......

Les problèmes et les complications quelques problèmes ont émergé avec la carte et le conducteur de Cisco qui doivent être mentionnés. Le premier problème est que la carte de Cisco, par défaut, même en modes de RFMON et de RFMON_ANYBSS, ne balaye pas activement pour le trafic sur tous les canaux à tout moment. Ce qui suit sont les conditions dans lesquelles il retournera pour BSS :

• Quand la carte est d'abord insérée.
• Quand l'interface entre ou part du mode promiscueux.
• Quand la synchronisation avec le BSS courant est perdue (en raison d'interférence, se déplacer hors de la gamme, ou de toute autre chose qui causeraient la perte de quelques armatures de balise).
• Quand l'entrée /proc/driver/aironet/eth0/BSSList de /proc est ouverte pour l'écriture (l'"contact /proc/driver/aironet/eth0/BSSList" fera le tour).

Toutes ces conditions veulent le "coup-de-pied" la carte dans le retour. Pour établir un dispositif pratique de détection, la carte devrait être donnée un coup de pied des intervalles réguliers, peut-être chaque minute. Un manuscrit simple pour toucher le dossier de BSSList chaque minute fera le tour. Deuxième problème : Non tout le BSS dans la gamme a apparu sûrement dans le dossier /proc/driver/aironet/eth0/BSSList.

Quand la carte est mise dans le mode de RFMON, la transmission est handicapée, ainsi la carte ne peut pas balayer activement pour BSS en envoyant des demandes de sonde. Par conséquent, la carte doit employer le balayage passif. Au lieu d'envoyer des demandes de sonde, la carte écoute des balises. Les balayages passifs emploient un temporisateur que—la carte détectera à l'oreille des armatures de balise jusqu'à ce que le temporisateur expire et puis se déplace à un autre canal. Le problème avec la carte de Cisco est que ce temporisateur est placé trop bas. La valeur par défaut est 40ms, qui était insuffisant sur notre réseau d'essai pour noter tout le BSS, indépendamment de la gamme ou de la force relative de signal des points d'accès. La solution était d'ajouter cette ligne à la routine d'initialisation de carte, setup_card, dans airo.c : cfg.beaconListenTimeout = 120 ;

Tripler cet arrêt a fait le travail de détection de BSS sûrement. En conséquence, tous nos points d'accès ont apparu dans BSSList, toute l'heure.

Troisième problème : En dépit de son nommé, même la mise de la carte dans le mode de RFMON_ANYBSS n'a pas fait recevoir la carte le trafic de tous nos points d'accès, qui étaient tous employant différentes fréquences et ont été probablement synchronisés différemment.

La carte elle-même a choisi un BSS pour synchroniser pour baser sur son propre algorithme (probablement sur son évaluation de la force relative de signal). Le problème avec ceci est que nous voulons voir le trafic de tout le BSSs dans la gamme, pas simplement ceux qui s'avèrent justement avoir les signaux les plus forts. Une manière ne pourrait pas s'avérer pour neutraliser ce dispositif sur la carte de Cisco, mais il y a un workaround - le conducteur de Linux fournit une interface de /proc pour placer AP préféré. Une fois la liste de BSSs dans la gamme du module de balayage est trouvée (/proc/driver/aironet/eth0/BSSList), choisit celui pour surveiller et écrire le MAC address dans le dossier /proc/driver/aironet/eth0/APList. Ceci forcera la carte pour synchroniser avec celui BSS et pour commuter à ce canal, après quoi le trafic de celui BSS peut être reçu et employé pour des évaluations de force de signal ou surveiller pour l'activité soupçonneuse.

Les conclusions ces essais simples confirment qu'il y a 802.11 armatures qui sont caractéristiques des points d'accès escroc typiques et des réseaux ads-hoc non autorisés, et que ces armatures peuvent être détectées et analysées en utilisant les composants disponibles immédiatement et le logiciel libre. Employer ces concepts avec une base de données des points et des cartes d'accès de confiance et les empreintes digitales des armatures soupçonneuses, éthérées a pu être employé comme module fondamental dans un véritable système de détection de 802.11 intrusions.