Comment détecteriez-vous une attaque Evil Twin, en particulier dans un nouvel environnement?
Disons que vous voyagez et que vous vous arrêtez dans le salon de l'aéroport, dans le hall de votre hôtel ou dans un café à proximité. Vous sortez votre ordinateur portable et scannez les réseaux sans fil disponibles. Vous connaissez le nom du réseau sans fil car il est écrit derrière le comptoir/sur une feuille de papier/bien connu.
Vous voyez qu'il y a deux options:
"Wifi public gratuit" &
"Wifi public gratuit"
Lequel est le véritable réseau sans fil et lequel est l'attaque Evil Twin? Comment pouvez-vous dire? Quels outils ou techniques utiliseriez-vous pour décider?
(Je suis moins intéressé par les réponses qui impliquent de ne pas se connecter à, ni d'éviter le sans fil public, et plus intéressé par les techniques pour discriminer les points d'accès légitimes et non légitimes du point de vue des utilisateurs et non des administrateurs. J'utilise " Evil Twin "dans ce sens spécifique plutôt que dans un sens général" d'acteur malveillant ".)
Traditionnellement, il n'y a pas eu de méthode simple orientée utilisateur pour détecter les attaques jumelles maléfiques. La plupart des tentatives de détection d'une attaque jumelle maléfique (ETA) sont destinées à l'administrateur d'un réseau où les administrateurs réseau autorisés analysent et comparent le trafic sans fil. Ce n'est pas tellement ce qui vous intéresse.
Il existe un article ici (et slides ) qui passe en revue une approche expérimentale pour déterminer du point de vue de l'utilisateur un ETA en temps réel. Fondamentalement, ils utilisent une approche astucieuse pour déterminer statistiquement quel point d'accès est autorisé et quel est le jumeau maléfique.
Une approche simple (qui ne fonctionnera pas toujours) que je propose est de simplement vous renifler et de voir quelles sont les adresses IP. L'idée étant qu'un AP non homologué aura une IP non standard (IE ce à quoi vous vous attendez) et lancera ainsi des drapeaux rouges ... Ici est un lien qui décrit comment configurer votre propre ETA afin que vous peut jouer avec ma méthode (ou essayer la vôtre). AVERTISSEMENT: si vous créez un ETA, faites-le dans un environnement de laboratoire car c'est illégal en public.
Notez également qu'un ETA peut être grandement atténué en sécurisant simplement le réseau via un système d'authentification qui utilise Protocoles d'authentification extensibles tels que WPA2-enterprise - qui fonctionne en validant à la fois le client et le point d'accès.
Pour aborder certains autres points ...
Si vous avez un moyen de communiquer avec les administrateurs réseau autorisés (ou au moins savez quel point d'accès est le bon), alors vous avez déjà terminé une méthode de pseudo-méta-autorisation en dehors du domaine numérique (IE je peux physiquement voir le bon routeur et connaître son adresse mac, ses paramètres ip, etc. et ainsi les comparer avec ce que mon adaptateur me dit auquel je suis connecté). Le plus souvent, nous ne disposons pas de cette information et ne devrions d'ailleurs pas lui faire confiance même si nous en avions. Ainsi, peut-être que la "meilleure" méthode pour utiliser un réseau non fiable (ET ou non) est de toujours supposer qu'il est compromis et d'implémenter un VPN ou de s'abstenir tout simplement!
Ils sont tous les deux mauvais. Vous ne devez pas vous connecter à un "Wifi public gratuit" sans supposer que tout votre trafic non crypté sera surveillé et modifié. La meilleure solution est de ne pas se connecter du tout aux réseaux publics, mais si ce n'est pas une option pour vous, vous pouvez vous protéger un peu plus en spécifiant votre propre DNS (plutôt que de laisser le routeur choisir pour vous), en utilisant https partout où vous le pouvez , ne pas accéder à vos comptes sensibles sur les réseaux publics, envisager un VPN et garder vos logiciels et micrologiciels à jour.
En réponse directe à votre question, certains routeurs ont leur adresse MAC imprimée sur une étiquette; vous pouvez demander au propriétaire du routeur de vérifier pour vous, puis vous y connecter, lui envoyer une requête ping et afficher votre table arp (arp -a) pour voir s'il correspond. Alternativement, vous pouvez dire au propriétaire du routeur qu'il y a un imposteur à proximité et lui demander de changer le nom du réseau.
Dites au barrista/commis/etc que le wifi est tombé en panne, peuvent-ils redémarrer le routeur. La plupart des gens le feront avec plaisir, abaissant l'AP pendant un moment et exposant le mauvais routeur double dans le processus comme n'importe quel réseau actif qui survit à un cycle d'alimentation.
S'il y a plus d'un routeur double maléfique, cela fonctionne toujours.
S'il existe plusieurs bons routeurs, cela en identifierait au moins un. La même tactique peut être utilisée pour identifier les autres (Hé, ça ne marche pas encore, est-ce la seule boîte wifi? Toute cette technologie est tellement déroutante, peut-être que vous devez le faire à tous?). Alternativement, une fois que vous avez identifié un bon AP, connectez-y un appareil, puis utilisez un deuxième appareil, connectez-vous aux autres AP et essayez de localiser le premier appareil sur le réseau. Sauf si le bon AP a été compromis, tout AP qui trouve que le périphérique d'origine est un bon AP. S'il a été compromis cependant, tous les AP sont mauvais
Une autre alternative est que si vous pouvez voir la marque du routeur, essayez de vous connecter à son panneau d'administration. Si l'invite de connexion ne correspond pas à la marque/marque, vous avez trouvé le jumeau maléfique
Les meilleures solutions ici vont principalement impliquer de simplement parler au fournisseur de l'AP légitime plutôt que d'exécuter une comparaison approfondie avec des résultats douteux
Il y a une chose qu'un jumeau maléfique ne peut pas copier: l'emplacement . Configurez trois ordinateurs, puis triangulez it. Ou avoir une sorte de détecteur de temps. Si l'un d'eux répond assez vite pour que vous sachiez, selon la vitesse de la lumière, ils doivent être dans le magasin, alors vous savez que ce sera être dans le magasin, ce qui est utile si les retards rendent la triangulation plus difficile.
Remarque: Si vous découvrez d'une manière ou d'une autre que les routeurs ne passent pas par une autre source, vous pouvez utiliser un détecteur de distance mobile . Cela vous donnera beaucoup de points de données avec lesquels travailler, ce qui peut être utile si votre détecteur n'est pas précis.
Remarque: Si vous découvrez que les routeurs ont la même puissance de signal et les mêmes capacités de détection, et que le bon est plus proche, une méthode pratique consiste à filtrer simplement plus faible paquets.
Pour détecter une attaque Evil Twin avec une configuration standard, les seules informations dont vous disposez réellement et le SSID, l'adresse MAC du point d'accès sans fil et l'adresse IP DHCP, la passerelle et le serveur DNS qu'il distribue. En dehors de cela, vous pourriez trouver le jumeau maléfique en utilisant une fréquence différente de l'original, comme le vrai AP étant sur 2,4 GHz et le mal AP étant sur 5 GHz. De nombreux points d'accès sont configurés via une interface Web, ce qui signifie que si vous avez un Linksys AP, vous pourrez peut-être accéder à une page sur http://192.168.1.1/Managment.asp , mais pas sur le mal AP.
Un Evil Twin ne prendra probablement pas la peine de cloner ce niveau de configuration détaillé, car il est beaucoup plus facile de simplement cloner le SSID et le MAC (s'ils le font même).
Par conséquent, si vous connaissez la configuration de configuration DHCP attendue ou l'URL de configuration attendue, vous pouvez savoir si l'AP auquel vous vous connectez est faux.
Une façon très simple, si vous êtes l'administrateur réseau, est d'avoir un hôte connecté à votre réseau physique. Un ping rapide vous révélera donc si vous avez été mis à l'écart sur un autre réseau.
Dans le cas d'utilisation où vous vous trouvez dans un espace public, l'utilisation d'un VPN peut être une bonne idée.