Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nieuwe devices op netwerk

16-07-2014, 12:46 door Ase2004, 21 reacties
Laatst bijgewerkt: 16-07-2014, 12:48
Ls,

De illusie dat mijn (thuis)netwerk 100% veilig is met een internetverbinding naar buiten heb ik niet. Maar om het risico dat er "ingebroken" wordt (via wifi of wired) te verkleinen zou ik graag een melding krijgen van nieuwe devices op mijn netwerk.
In principe gebeurt dit namelijk niet zo heel vaak en zou ik gemakkelijk controle kunnen houden op unwanted access op wifi.

Weet iemand of hiervoor (gratis) tooling bestaat en/of iets anders.

Bijvoorbeeld, ik zou het liefste een mailtje ontvangen wanneer er iemand verbinding probeert te maken met mijn wifi.

Alvast bedankt voor de input
Reacties (21)
16-07-2014, 13:12 door Anoniem
https://duckduckgo.com/?q=free+download+network+intrusion+detection
16-07-2014, 14:13 door Anoniem
Spiceworks!
16-07-2014, 15:31 door Anoniem
Arpwatch
16-07-2014, 18:00 door Anoniem
Arpwatch is nogal te laat bij verbinden met Wifi. En wie zegt dat een aanvaller IP gebruikt?
17-07-2014, 08:32 door Anoniem
Makkelijk en hobbymatig, geen idee. Wil je graag meer ervaring met SIEM en security opdoen kijk dan eens naar OSSIM.
17-07-2014, 10:07 door Anoniem
Onder lnux kun je de ip-adressen zien met : sudo arp-scan -I wlan0 --localnet (geef ipv wlan0 je eigen adapter op)
Evt te combineteren met watch

Vergelijkbaar, maar met GUI is bv Wifiguard. Hier kun je ook bekende MAC-adressen aangeven. Geeft overzichtje met groene/rode bolletjes. Helaas niet FOSS.

Is allemaal niet waterdicht, weet ik.
17-07-2014, 10:24 door Anoniem
Door Anoniem: Arpwatch is nogal te laat bij verbinden met Wifi. En wie zegt dat een aanvaller IP gebruikt?

Daarom heet het ook ARPwatch detecteert MAC en linkt deze aan een IP, maar kan ook enkel MAC ontdekken.
17-07-2014, 10:40 door Anoniem
Door Anoniem: Arpwatch is nogal te laat bij verbinden met Wifi. En wie zegt dat een aanvaller IP gebruikt?
Te laat? Voor detectie? Lijkt me niet. En wat voor zin heeft het om iets anders dan IP te gebruiken? Zou best kunnen hoor, maar dat is wel redelijk installatieafhankelijk.

Maar je kan wellicht de hostapd logs doorsnuffelen of een SNMP trap op hetzelfde zetten. Heb je wel ondersteuning van je toegangspunt voor nodig, en de meeste huis-tuin-en-keukenmeuk heeft dat niet.
24-07-2014, 21:14 door Thomas - Bijgewerkt: 24-07-2014, 21:28
Kijk eens naar WifiGuard van SoftPerfect. Ze hebben versies voor Windows (gratis), Mac en Linux. De tool heeft verschillende opties, waaronder het mailen bij detectie, automatisch starten, enzovoort. Helaas kan deze alleen detecteren en niet blokkeren. Een andere tool is "Who is on my Wifi". Deze is uitgebreider, en kan ook blokkeren. Ook deze is gratis. Kijk wat je het beste bevalt.
25-07-2014, 08:59 door Briolet - Bijgewerkt: 25-07-2014, 09:00
Door Ase2004: zou ik gemakkelijk controle kunnen houden op unwanted access op wifi.

Je kunt ook overstappen van WPA2-PSK naar WPA2-Enterprise als beveiliging. Dan moet iedere gebruiker met eigen account en eigen wachtwood inloggen. Als je dan van iemand die toegang had, zijn toegang weer wilt intrekken, kun je simpel zijn account wissen i.p.v. het algemene wachtwoord te veranderen.

Zelf heb ik een Synology nas die ik als radius server gebruikt i.c.m. WPA2-Enterprise. De daarbij behorende software registreert elke inlog met accountnaam en mac adres van het device. In het log kan ik dan precies zien hoe laat mensen op de zaak komen omdat hun smartphone dan automatisch inlogt. Ik kan zelfs bewegingen door het pand zien omdat het wisselen van accesspoints ook gelogd wordt.

In dat software pakket zit echter geen optie om mailtjes te sturen.
25-07-2014, 10:10 door Anoniem
Lijkt mij een hele mooie toevoeging voor routers.
Vooral DD-WRT lijkt me dat best wel op te pakken, als het er niet al inzit.

Heb je al gemaild met je fabrikant?
25-07-2014, 13:10 door Anoniem
"Arpwatch is nogal te laat bij verbinden met Wifi. En wie zegt dat een aanvaller IP gebruikt?"

Hoe wil je verbinden naar een AP zonder gebruik van een MAC adres ? ARPWatch geeft je direkt een update wanneer dit gebeurt.
25-07-2014, 13:51 door Eric-Jan H te D - Bijgewerkt: 25-07-2014, 14:11
Veel modem/routers hebben de mogelijkheid om aan te geven welke
apparaten al bekend zijn bij het netwerk en of nieuwe apparaten
automatisch moeten worden toegelaten.

Automatisch toelaten is meestal de verstekwaarde. Die zet ik dus
altijd uit. Dit heeft wel weer als nadeel dat een gast die graag van de
WiFi wil gebruik maken, handmatig moet worden toegevoegd.

De Fritzboxen zoals deze oa door Xs4All worden verstrekt hebben
voor gasten een apart WiFi netwerk segment, waarmee je je eigen
hotspot kunt inrichten. Hierdoor loopt je thuisnetwerk geen gevaar.
25-07-2014, 16:15 door Anoniem
In het log kan ik dan precies zien hoe laat mensen op de zaak komen omdat hun smartphone dan automatisch inlogt. Ik kan zelfs bewegingen door het pand zien omdat het wisselen van accesspoints ook gelogd wordt.

Afdeling 'fijne loyale' werkgevers.
25-07-2014, 22:14 door Anoniem
Door Anoniem:
In het log kan ik dan precies zien hoe laat mensen op de zaak komen omdat hun smartphone dan automatisch inlogt. Ik kan zelfs bewegingen door het pand zien omdat het wisselen van accesspoints ook gelogd wordt.

Afdeling 'fijne loyale' werkgevers.

Dat heeft ieder enterprise wifi netwerk hoor! En die gesloten wifi netwerken voor abonnees (zoals van Ziggo en KPN) ook.
25-07-2014, 22:50 door Briolet
Door Anoniem: [Afdeling 'fijne loyale' werkgevers.

Dat volgen van mensen krijg je automatisch als je ook nieuwe aanmeldingen op je netwerk wilt detecteren. Het is overigens niet alleen de radius server die iedere aanmelding registreert. Op mijn airports staat ook de logging feature aan en worden naar het systog gestuurd. Daar staat alleen een mac-adres waarmee verbonden wordt, maar dat is natuurlijk ook simpel aan een persoon te koppelen.
25-07-2014, 23:04 door Anoniem
http://www.softperfect.com/products/wifiguard/

Kan je mee zien of er niets anders op je verbinding zit geloof ik.

WireShark?
27-07-2014, 10:31 door Eric-Jan H te D
Door Anoniem: Dat heeft ieder enterprise wifi netwerk hoor! En die gesloten wifi netwerken voor abonnees (zoals van Ziggo en KPN) ook.

Dat kan wel zijn. Maar een werkgever mag wel gegevens loggen, echter het gebruik van de loggegevens moet zijn vastgelegd en overeengekomen met de ondernemingsraad. En ik kan me niet voorstellen dat deze het op deze wijze volgen zomaar toestaat.
28-07-2014, 08:31 door Anoniem
Door Eric-Jan H te A:
Door Anoniem: Dat heeft ieder enterprise wifi netwerk hoor! En die gesloten wifi netwerken voor abonnees (zoals van Ziggo en KPN) ook.

Dat kan wel zijn. Maar een werkgever mag wel gegevens loggen, echter het gebruik van de loggegevens moet zijn vastgelegd en overeengekomen met de ondernemingsraad. En ik kan me niet voorstellen dat deze het op deze wijze volgen zomaar toestaat.

Echt betrouwbaar is het ook niet zit ik mij te bedenken. Ik schakel pas WiFi in op mijn mobiel als ik het daadwerkelijk nodig heb(bv. security.nl lezen in de lunchruimte).. dus wordt er dan vanuit gegaan dat ik dan pas om ~12:00 het pand binnenkom?
28-07-2014, 10:43 door Anoniem
Door Briolet: [...] De daarbij behorende software registreert elke inlog met accountnaam en mac adres van het device. In het log kan ik dan precies zien hoe laat mensen op de zaak komen omdat hun smartphone dan automatisch inlogt. Ik kan zelfs bewegingen door het pand zien omdat het wisselen van accesspoints ook gelogd wordt.
Wellicht dat het tijd wordt om even met je huisjurist te overleggen over de wenselijkheid van al dat loggen. Het kan allemaal, maar je hebt wel voldoende reden nodig het ook te doen. Dus: Wat is je reden? Tijd om daar eens even goed over na te denken.
30-07-2014, 11:04 door Ase2004
allen bedankt voor de input... ga ermee aan de slag
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.