Computerbeveiliging - Hoe je bad guys buiten de deur houdt

WiFi-meelifters opsporen

01-03-2012, 16:05 door Anoniem, 17 reacties
Bestaat er nu echt geen enkel goed programma waar je potentiële meelifters kan mee opsporen en ook blokkeren of gewoon wippen van je lijn.
Maatje van me vroeg dat.
Ok, zijn paranoia gaat nog verder dan die van mij.
Reacties (17)
02-03-2012, 10:52 door Anoniem
stel een macfilter in en houd je lijst van actieve connecties op je modempagina in de gate.
Meer heb je niet nodig lijkt me ...
02-03-2012, 10:58 door SirDice
Door Anoniem: Bestaat er nu echt geen enkel goed programma waar je potentiële meelifters kan mee opsporen en ook blokkeren of gewoon wippen van je lijn.

Blokkeren is makkelijk, gewoon WPA2 gebruiken met AES en een fatsoenlijke sleutel.

Opsporen zou je met tools zoals kismet kunnen doen.
02-03-2012, 11:05 door Anoniem
> Blokkeren is makkelijk, gewoon WPA2 gebruiken met AES en een fatsoenlijke sleutel.

En vergeet WPS niet uit te schakelen:
http://code.google.com/p/reaver-wps/

Daarnaast zou je als je echt wil ook al het verkeer over je router kunnen opvangen met Wireshark. Filter hier het verkeer van je zelf uit en dan hou je het verkeer van de meellifters over. Zodra ze 1 keer naar kun eigen Facebook pagina gaan weet je alles van ze.
02-03-2012, 11:20 door Anoniem
Simpel: Controleer af en toe de DHCP-leases van de router. Vreemde mac-adressen en machine-namen vallen direct op.

Iets minder simpel: ping naar broadcast adres en bekijk alle clients die een respons geven
ping -b 192.168.1.255
arp -a

Moeilijker: gebruik linux met aircrack-ng. Gebruik als volgt:
airmon-ng start wlan0
airodump -i mon0 --channel Uw_kanaal --bssid Uw_bssid

Nog moeilijker: gebruik kismet
selecteer uw netwerk en selecteer clients (in de oude versie toets C)

Moeilijkste oplossing: monitor het netwerk met wireshark en controleer wat er allemaal gebeurd
02-03-2012, 11:49 door SirDice
Door Anoniem: stel een macfilter in en houd je lijst van actieve connecties op je modempagina in de gate.
Zinloos, MAC adressen zijn triviaal te veranderen. Ze worden ook ongecodeerd de ether in geslingerd, ongeacht eventuele encryptie instellingen.

Door (andere) Anoniem:Simpel: Controleer af en toe de DHCP-leases van de router. Vreemde mac-adressen en machine-namen vallen direct op.
Dat gaat niet op als jouw aanvaller een statisch IP adres gebruikt.

Iets minder simpel: ping naar broadcast adres en bekijk alle clients die een respons geven
ping -b 192.168.1.255
arp -a
Er zullen maar weinig machines zijn die daar op reageren. Dit is al jaren standaard uitgezet vanwege het risico van een smurf-attack.


Als je geld genoeg hebt zou je ook eens naar AirDefense kunnen kijken: http://www.airdefense.net
02-03-2012, 11:55 door SirDice
Door Anoniem: > Blokkeren is makkelijk, gewoon WPA2 gebruiken met AES en een fatsoenlijke sleutel.

En vergeet WPS niet uit te schakelen:
http://code.google.com/p/reaver-wps/
Oh, ja. Uiteraard.
02-03-2012, 12:14 door Anoniem
Inderdaad een fatsoenlijke sleutel. Bijvoorbeeld:
JYGjuyewirjhsgjdJHGU82juusdghg23khkhksdfkjhhjhsd732kjhrkghkljzsdfhk

Kopieer en plak deze in alle WPA-PSK velden van alle machines (via tekstbestand op USB-stick).
02-03-2012, 12:57 door Fab85

Iets minder simpel: ping naar broadcast adres en bekijk alle clients die een respons geven
ping -b 192.168.1.255
arp -a
Er zullen maar weinig machines zijn die daar op reageren. Dit is al jaren standaard uitgezet vanwege het risico van een smurf-attack.

ping zal inderdaad niet met iedereen werken, echter een arp scan is fundamenteel voor de werking van het netwerk. Het blokkeren van arp requests en replys zal het netwerk onbruikbaar maken.

Een programma dat echt alarm slaat wanneer een nieuwe gebruiker verbinding maakt met het netwerk is autoscan. http://autoscan-network.com/
Dit program werkt via het detecteren van apr requests.
02-03-2012, 13:20 door SirDice
Door Fab85:

Iets minder simpel: ping naar broadcast adres en bekijk alle clients die een respons geven
ping -b 192.168.1.255
arp -a
Er zullen maar weinig machines zijn die daar op reageren. Dit is al jaren standaard uitgezet vanwege het risico van een smurf-attack.

ping zal inderdaad niet met iedereen werken, echter een arp scan is fundamenteel voor de werking van het netwerk. Het blokkeren van arp requests en replys zal het netwerk onbruikbaar maken.
Dat klopt, ik bedoelde ook specifiek de broadcast ping. Zonder ARP wordt alleen IPv4 onbruikbaar, IPv6 gebruikt geen ARP meer namelijk ;)
02-03-2012, 15:37 door Anoniem
Door Anoniem: Inderdaad een fatsoenlijke sleutel. Bijvoorbeeld:
JYGjuyewirjhsgjdJHGU82juusdghg23khkhksdfkjhhjhsd732kjhrkghkljzsdfhk

Kopieer en plak deze in alle WPA-PSK velden van alle machines (via tekstbestand op USB-stick).

Zodat jij er vervolgens bij kan?
02-03-2012, 16:56 door Security Scene Team
Ok, er is geen Programma voor. het beste is gewoon afentoe liefst dagelijks op je modem in te loggen, en daar je verbonden mac adressen bekijken. als er 1 tussen zit die niet van jou is, kun je die in een Mac filter gooien.

wat je ook zou kunnen doen, er is een progject met Backtrack, waarje "Fake APs" kunt maken. AP Poisoning heet zoiets.
hier mee genereer je 100 of 1000en APs (access points) waar maar 1 de juiste van is.

Ook zou je je AP kunnen "verbergen" zodat hij niet word weer gegeven in een random scan van iemand.
als je wilt connecten kun je je SSID handmatig invoeren evenals de Toegangsleutel.
dit is bewezen als goed te werken.

Verder zou je een Honeypot kunnen opzetten voor APs, MACs te 'vangen' en die eventueel bij de politie neer te leggen.
hoe wel de politie er weinig mee doet en weinig mee kan. aangezien MAC adressen ook aangepast kunnen worden enzovoort. Overigens zijn er ook zeer goeie MAC spoofers aanwezig, dus hier is weinig aan te doen. tenzij je zelf een beetje gezonde paranoia en goed verstand gebruikt, kun je dit tegen gaan.

ik hoop je hiermee te hebben geholpen..

Mvg SSTeam.
02-03-2012, 18:40 door choi
De OP zegt er niet bij of er een voorkeur bestaat voor Windows of Linux software. Maar als het om Windows gaat dan kan je Wireless Network Watcher gebruiken om het wifi-netwerk in de gaten te houden: http://www.nirsoft.net/utils/wireless_network_watcher.html

Ik ken echter geen software waarmee je in real-time iemand van je netwerk zou kunnen 'wippen'.

Echter, zoals eerdere posters al opmerkten, zou WPA2 i.c.m een sterke sleutel en een MAC filter genoeg moeten zijn om de gemiddelde meelifter buiten de deur te houden.

Gasten die de kennis hebben en de moeite nemen om MAC adressen te spoofen en WPA2 sleutels te kraken hebben waarschijnlijk andere bedoelingen dan gratis meeliften op je internetverbinding. Voor dat soort lieden zou ik de politie inschakelen.

Wireless Network Watcher is a small utility that scans your wireless network and displays the list of all computers and devices that are currently connected to your network. For every computer or device that is connected to your network, the following information is displayed: IP address, MAC address, the company that manufactured the network card, and optionally the computer name. You can also export the connected devices list into html/xml/csv/text file, or copy the list to the clipboard and then paste into Excel or other spreadsheet application.
02-03-2012, 23:48 door Anoniem
Als je echt denkt dat mensen er op een dagelijkse basis gebruik van maken ;
start airodump-ng op en laat het een dagje draaien


airodump-ng mon0 -c XX -d 00:11:22:33:44:55 -a -w test
bekijk dan vervolgens op je gemak later welke mac addies erop zijn gekomen.

Met een beetje mazzel zijn ze som genoeg om met dezelfde mac addies op andere (of nog beter, op hun eigen)
APs in te loggen en kan je langzaam je orienteren op waar ze zouden kunnen zijn.
03-03-2012, 13:59 door Security Scene Team
Gisteren,
18:40 door choi

Beste Choi, interessant dat je zegt "bel de politie voor dat soort gasten" .. ik heb een aantal ervaringen hiermee, en daarbij is er uit gekomen dat de politie vrij wel machteloos staat tegen dit soort gastjes. de combinatie WIFI / MAC Spoofing / WPA2 cracking is een zeer listige optie. waar ook vrij weinig tegen gedaan kan worden.

Stel: iemand heeft dit gebouwd:
http://www.i-hacked.com/content/view/261/42/

heeft MAC Spoofing, en zit waarschijnlijk kilometers ver weg.

Hoe wil de politie dit doen? juist dat is niet te doen.

Daarom raadt ik voor de erg paranoide gasten aan: gebruik Backtrack AP Poisoning. misschien incombinatie met honeypod, en misschien ook nog als je de tijd er voor kan vinden, probeer je de GEO Locatie te 'vangen'

er staan verschillende tutorials op internet hoe je zoiets kunt bouwen. vervolgens kun je met die geo locatie de locatie bepalen van de aanvaller. en dit overhandigen aan de Politie. want de politie heeft zijn limiet aan wat zij kunnen doen en mogen doen.

Succes.
grtz
03-03-2012, 15:32 door choi
Door Security Scene Team: Gisteren,
18:40 door choi

Beste Choi, interessant dat je zegt "bel de politie voor dat soort gasten" .. ik heb een aantal ervaringen hiermee, en daarbij is er uit gekomen dat de politie vrij wel machteloos staat tegen dit soort gastjes. de combinatie WIFI / MAC Spoofing / WPA2 cracking is een zeer listige optie. waar ook vrij weinig tegen gedaan kan worden.


Ik snap best dat de politie in bepaalde gevallen machteloos staat tegen dit soort technische vergrijpen. Wat ik bedoelde te zeggen is dat personen of partijen die de kennis hebben en de moeite nemen om de door jouw genoemde technische hoogstandjes uit te halen, waarschijnlijk een ander doel zouden kunnen hebben dan gratis meesurfen op jouw verbinding.

Ik kan me voorstellen dat dit soort figuren mogelijk KP op je machine willen opslaan of deze willen gebruiken als zombie om servers mee aan te vallen. Voor dit soort vergrijpen moeten andere middelen worden ingezet, al was het alleen maar om jezelf te beschermen als men na een DDoS aanval op jouw IP adres uitkomt.
03-03-2012, 19:59 door Ivanhoe
Ik weet niet of het nu nog steeds freeware is, maar ik gebruikte vroeger een tijdje MyWifiZone.
http://www.zdnet.nl/downloads/51690/mywifizone-2/
03-03-2012, 21:39 door Thomas
Wireless Network Watcher (portable, klein, controleert continu, waarschuwt dmv zelf gekozen geluidsbestand)

http://www.nirsoft.net/utils/wireless_network_watcher.html

Description
Wireless Network Watcher is a small utility that scans your wireless network and displays the list of all computers and devices that are currently connected to your network.
For every computer or device that is connected to your network, the following information is displayed: IP address, MAC address, the company that manufactured the network card, and optionally the computer name.
You can also export the connected devices list into html/xml/csv/text file, or copy the list to the clipboard and then paste into Excel or other spreadsheet application.

System Requirements And Limitations
This utility works on Windows 2000, Windows XP, Windows Server 2003/2008, Windows Vista, and Windows 7.
This utility can only scan a wireless network that you're currently connected to. It cannot scan other wireless networks.
In rare cases, it's possible that Wireless Network Watcher won't detect the correct wireless network adapter, and then you should go to 'Advanced Options' window (F9), and manually choose the correct network adapter.
although this utility is officially designed for wireless networks, you can also use it to scan a small wired network.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.