Retrouver un point d'accès non autorisé

Un point d'accès non autorisé implique qu'il est connecté à votre réseau local, ce qui est facile à détecter à l'aide de la sécurité des ports.

Cet ananas WiFi est plus ou moins un pot de miel qui n'est pas présent sur votre réseau. Le détecter sera beaucoup plus difficile car il ne se trouve pas sur votre réseau. Il s'agit juste d'usurper votre SSID, je suppose?

Alors que diriez-vous d'écrire un script qui répertorie tous les points d'accès qu'il peut détecter et les compte. Vous pouvez également ajouter quelque chose pour rechercher l'apparence du SSID sur leur MAC et voir s'il existe un SSID qui contient le nom de votre SSID ou quelque chose de similaire (MyCompany ou MyCompany-new) et le vérifier par rapport à une liste d'adresses MAC de votre propres appareils. Je pourrais ajouter que l'usurpation d'une adresse mac est plutôt facile, le comptage des SSID pourrait être plus simple.

Il existe des applications téléphoniques qui tentent de localiser physiquement les points d'accès wifi. Android en a, mais je crois que Apple a retiré ces types d'applications de leur boutique, mais ils sont disponibles sur le marché piraté: https : //market.Android.com/details? id = girsas.wifiradar & hl = en

Cela pourrait nécessiter une certaine coordination et un rétrécissement de l'emplacement potentiel, mais cela devrait fournir des données précieuses pour le localiser.

Lisez ça aussi! http://seclists.org/pen-test/2007/Nov/57

L'ananas Wifi n'est qu'un appareil qu'une personne peut utiliser dans ces situations. Je ne sais pas quels types de rapports vous avez, mais si la personne utilise un Rouge-AP portable, ils sont très probablement mobiles (marche, vélo) ou statiques, mais à proximité de vos points d'accès (boire du café ou sur un ordinateur portable ou même un smartphone) ...

Cela devient vraiment dangereux parce que quand il s'agit de rouges-AP portables comme l'ananas wifi, il devient évident que la personne qui vous intéresse est en fait parmi votre entreprise ... Un initié.

Donc, vous combattez une menace mobile comme celle-ci, vous devez devenir mobile. Déjà, les gens ont suggéré de télécharger des applications pour smartphone mobile w/wifi pour rechercher les SSID rouge-AP. Même s'ils usurpent le SSID, une adresse mac peut également être extraite et évaluée (cela vous donnera l'origine de l'appareil) [CAN BE SPOOFED}.

COMMENT: GARDER/COMMANDER Vous aurez besoin d'une liste de votre adresse MAC matérielle actuelle des actifs sans fil, et vous promener avec plusieurs téléphones portables avec des applications de numérisation sans fil en cours, et une liste d'adresses MAC sans fil. Vous pouvez tous ressembler à peu près incognito parce que personne ne pense qu'un simple smartphone peut accomplir des choses de cette nature (en réalité, même une montre-bracelet peut désormais compromettre un réseau sans fil ...) OU, elle peut être utilisée pour balayer des signaux sans fil, et regardez complètement discret. http://hackaday.com/2011/12/27/rooting-a-Motorola-actv-Android-wristwatch/

Votre agresseur présumé essaie également de rester sous le radar. Cela peut également être un routeur distant compromis, agissant comme un pont client sans fil ou un Karma rouge-AP. Si vous allez à l'étranger, vous pouvez utiliser un ordinateur portable (plusieurs personnes suggérées avec plusieurs ordinateurs portables) avec des fenêtres exécutant InSSIDer. Prenez la liste MAC et lancez la numérisation. Mettez votre liste d'adresses MAC dans un bloc-notes et comparez-la avec les AP que vous découvrez. ICI: www.metageek.net/products/inssider/

Une autre option est de forcer le spectre sans fil à répondre à vos enchères (de manière légale). Cependant, les attaques de désauthentification tactique sont la prochaine vague pour sécuriser le sans fil contre ce genre de menaces, son émergence est toujours ... ICI

Tout ce que je peux vous dire, c'est que j'ai un ananas wifi, et c'est fou ce que vous pouvez faire en quelques clics maintenant ... Vous devez arrêter cette menace dès que possible ou il pourrait être trop tard, et votre réseau d'entreprise est en enfer -Feu. Les téléphones cellulaires avec des capacités sans fil sont également une menace maintenant ... Votre smartphone moyen peut également devenir un rouge-AP, et renifler du trafic, supprimer SSL ...

ICI

À l'avenir, je suggère à votre entreprise de se pencher sur les systèmes sans fil IDS/IPS disponibles dans le commerce aujourd'hui. Certains ont même tous les trucs de défense que j'ai dit plus haut. ;-) Bonne chance pour ça! N'hésitez pas à me contacter je peux vous aider !!! ;-)

Parce que l'appareil est allumé par intermittence, l'emplacement a évidemment été difficile. Si vous avez le temps et les ressources, il existe un moyen de traquer ce signal.

Vous avez besoin de deux appareils sans fil et, s'ils se trouvent sur des machines différentes (ils doivent probablement l'être pour déplacer suffisamment la directionnelle), une bonne synchronisation de l'heure pour la journalisation. Il faut avoir une antenne omnidirectionnelle. L'autre devrait avoir une antenne directionnelle à gain élevé. Je vais appeler ces appareils O et D.

Chaque fois que l'appareil [~ # ~] o [~ # ~] voit le point d'accès non autorisé, vous devez comparer la puissance du signal avec ce qui est vu par l'appareil [~ # ~] d [~ # ~] . Une comparaison est nécessaire pour vous faire savoir quand [~ # ~] d [~ # ~] est pointé dans une direction aveugle. Faites pivoter l'appareil [~ # ~] d [~ # ~] jusqu'à ce que le cône pointe dans une direction qui vous donne une lecture forte. Lorsque vous avez cette lecture, déplacez [~ # ~] d [~ # ~] dans un endroit très différent et recommencez l'évaluation. Vous devriez vous retrouver avec une série de lectures qui vous permettent de sélectionner la ligne la plus forte/le cône de couverture de chaque endroit que vous localisez [~ # ~] d [~ # ~] . Cela devrait rapidement réduire l'emplacement où l'appareil peut être localisé.

Il y a plus de détails sur la pratique sur http://en.wikipedia.org/wiki/Direction_finding . Il existe également des méthodes de localisation plus rapides, mais elles nécessitent des équipements plus complexes et des logiciels relativement complexes.

Écrivez un script cron simple qui appelle iwlist eth1 scan sur un ordinateur Wi-Fi toutes les minutes environ, et le parcoure pour voir si les noms de votre point d'accès apparaissent comme plusieurs cellules (ou autrement apparaissent anormaux). Si quelque chose ne va pas, envoyez des e-mails aux administrateurs qui tentent ensuite de localiser la source.

Je suggère d'essayer d'utiliser un antennes wifi directionnelles pour déterminer la direction d'où provient le signal; ou détection de la direction wifi Android comme la solution de schroeder. Cette étape est probablement préférable de faire avec plus d'une personne, se déplaçant à différents endroits; voir comment le signal devient plus fort/plus faible. Je ne le ferais pas supposons nécessairement que le signal est omnidirectionnel, voir par exemple [2] , donc la triangulation simple peut ne pas fonctionner.

Enfin, serait-il possible de commencer à utiliser WPA ou le cryptage pour que le jumeau maléfique ne puisse pas vraiment masquer votre réseau?

Je crois qu'il existe actuellement deux méthodes. La première est que vous pouvez utiliser un détecteur physique, tel que AirCheck , et suivre le signal jusqu'à ce que vous le trouviez. Ensuite, vous pouvez identifier si c'est celui que vous avez mis là-bas, ou si quelqu'un d'autre l'a fait.

L'autre méthode serait de les trouver côté réseau. Cet article détaille comment il est possible d'utiliser Nessus, et mentionne les inconvénients de l'utilisation d'un scanner physique (différentes fréquences, interférences, etc.).

Si vous en trouvez un physiquement, la meilleure solution serait de le retirer de la prise!

En ce qui concerne le réseau (j'ai une connaissance limitée des pare-feu/commutateurs, donc cela peut être absurde), mais si vous pouvez savoir à quel port il est connecté, il peut être possible de déconnecter ce port ou de mettre l'adresse MAC sur liste noire. Vous devrez cependant le confirmer auprès de quelqu'un ayant une meilleure connaissance.

La façon de procéder dépend de la taille de votre entreprise et de sa présence physique ainsi que de la fréquence à laquelle vous souhaitez le faire. Il existe de véritables détecteurs wifi voyous que vous pouvez installer qui ne font rien d'autre que rechercher des femmes voyous, mais c'est probablement exagéré. Les chances sont la meilleure façon de le faire est simplement d'installer un détecteur gratuit sur votre téléphone et de vous promener à la recherche de points. À mesure que vous vous rapprochez, le signal devient plus fort, à mesure que vous vous éloignez, il s'affaiblit, donc si vous suivez un signal et qu'il commence à s'affaiblir, vous savez que vous venez de passer un point d'accès. Si vous avez une solution WiFi d'entreprise, elle peut également offrir cette fonctionnalité. Je sais que Cisco et Aerohive incluent tous les deux une détection wifi escroc prête à l'emploi, cela peut valoir la peine d'y jeter un œil. Quant à savoir quoi faire lorsque vous les trouvez, ce n'est pas toujours aussi simple que de débrancher la fiche. Si quelqu'un a eu la peine et les dépenses d'acheter un point d'accès sans fil et de l'installer lui-même, il est probable qu'il tente de résoudre un problème que le service informatique n'a pas rencontré. Dites-leur poliment que c'est contraire aux règles, découvrez pourquoi ils l'ont fait, puis résolvez le problème afin qu'ils n'aient pas besoin de leur propre AP. Bien sûr, certains points d'accès malveillants peuvent être installés par des initiés ou des étrangers malveillants à des fins de piratage de votre réseau. Si vous en trouvez un où vous pensez que c'est le cas, installez secrètement une ou deux caméras Web cachées dans la zone et retirez le câble d'alimentation de l'arrière juste assez pour qu'il semble qu'il soit sorti accidentellement, puis voyez qui vient rebranchez-le et quand. C'est probablement un nettoyeur qui a payé pour le vérifier et le rebrancher, mais ce pourrait être le pirate lui-même, auquel cas vous appelez les flics pour procéder à une arrestation et à des poursuites.