Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Wireshark gebruiken voor traffic sniffen andere pc

01-12-2014, 22:33 door amityonline, 5 reacties
Laatst bijgewerkt: 01-12-2014, 22:47
Goede avond,

Door alle ellende die ik in de media lees over open wifi accespoints heb ik net met openswan mijn eigen VPN-server opgezet. Via mijn iphone kan ik nu over 3g/wifi mijn eigen 'tunnel' bouwen naar mijn thuis-netwerk, ook over een onveilig netwerk zonder groot risico voor 'eave-dropping'

Nu ben ik aan het testen of het ook echt werkt. Dus heb ik op mijn thuisnetwerk mijn iphone laten connecten met de VPN-server (via mijn lokale 192.168.*.* netwerk over wifi)

Via een andere linuxbox welke zich ook op mijn netwerk bevind en ook verbonden is via wifi probeer ik met wireshark het verkeer te analyseren tussen mijn iphone en mijn vpn-server in de hoop dat ik ipsec verkeer zie.

Echter.....Ik zie uitsluitend LLC verkeer van mijn iphone! De linux-box zit ook ingelogd op hetzelfde wifi-netwerk, ik verwacht dat mijn wireshark ook het verkeer van andere clients kan zien, dus http gets etc etc. Als ik de vpn-optie uitzet op mijn iphone zie ik ook uitsluitend LLC traffic in wireshark.

Mijn wifi netwerk heeft WPA2-PSK beveiliging, en ja: Mijn netwerkkaart (van de linuxbox) staat in promiscuous mode....

Kortom: Hoe kan ik verkeer zien, zoals http requests van andere devices op een wpa2 WLAN als ik het wachtwoord heb?
Anyone?
Reacties (5)
01-12-2014, 23:41 door Erik van Straten - Bijgewerkt: 01-12-2014, 23:43
Door amityonline: Goede avond,

Door alle ellende die ik in de media lees over open wifi accespoints heb ik net met openswan mijn eigen VPN-server opgezet. Via mijn iphone kan ik nu over 3g/wifi mijn eigen 'tunnel' bouwen naar mijn thuis-netwerk, ook over een onveilig netwerk zonder groot risico voor 'eave-dropping'

Nu ben ik aan het testen of het ook echt werkt. Dus heb ik op mijn thuisnetwerk mijn iphone laten connecten met de VPN-server (via mijn lokale 192.168.*.* netwerk over wifi)

Via een andere linuxbox welke zich ook op mijn netwerk bevind en ook verbonden is via wifi probeer ik met wireshark het verkeer te analyseren tussen mijn iphone en mijn vpn-server in de hoop dat ik ipsec verkeer zie.

Echter.....Ik zie uitsluitend LLC verkeer van mijn iphone! De linux-box zit ook ingelogd op hetzelfde wifi-netwerk, ik verwacht dat mijn wireshark ook het verkeer van andere clients kan zien, dus http gets etc etc. Als ik de vpn-optie uitzet op mijn iphone zie ik ook uitsluitend LLC traffic in wireshark.

Mijn wifi netwerk heeft WPA2-PSK beveiliging, en ja: Mijn netwerkkaart (van de linuxbox) staat in promiscuous mode....

Kortom: Hoe kan ik verkeer zien, zoals http requests van andere devices op een wpa2 WLAN als ik het wachtwoord heb?
Anyone?
Dat lijkt hier te worden uitgelegd: http://mrncciew.com/2014/08/16/decrypt-wpa2-psk-using-wireshark/.

(Aanvulling: als WPA2 gebruik gemaakt had van een Diffie-Hellman key agreement, had dit niet gekund).

Als je een Fritz!Box hebt, kun je jezelf een hoop moeite besparen hebt door naar http://fritz.box/html/capture.html te gaan, met je admin wachtwoord in te loggen, en dan onder WLAN voor de juiste interface te kiezen (niet "HW", dan krijg je LLC pakketjes met versleutelde inhoud). Zodra er wat netwerkverkeer "voorbij komt" vraagt de de webbrowser waar je de file wilt opslaan. Dat is een file in .pcap formaat, die je, na het sniffen te hebben gestopt, met Wireshark kunt inlezen.
02-12-2014, 08:38 door PietdeVries
In een "switched" omgeving komt over jouw verbinding inderdaad alleen maar broadcast verkeer en verkeer voor jou alleen voorbij. Wat jij moet doen is een soort van Man In The Middle aanval op je (eigen) telefoon & router. Dat kan redelijk eenvoudig met bijvoorbeeld Cain (oxid.it volgens mij). Daarmee vertel je in je netwerk aan je telefoon dat jij voortaan de router bent, en tegen de router vertel je dat jij de kortste weg bent naar die telefoon (ARP poisoning). Gevolg is dat al het verkeer tussen beide devices door jouw machine gaat en je met wireshark of tcpdump kan kijken wat er gebeurt.
Op linux hosts is wellicht ettercap makkelijker dan Cain.
Succes ermee!
02-12-2014, 08:59 door Rawit
Of als je een geroot Android toestel kan lenen, hier cSploit (cSploit.org) op draaien en verbinden met hetzelfde netwerk.
02-12-2014, 11:05 door Millie0111 - Bijgewerkt: 02-12-2014, 11:09
Ik heb thuis DD-WRT op de router staan; die biedt onder services "rflow" dat al het verkeer dat over de router loopt naar een externe netflow (ntop) server kan sturen. Eventueel kun je een HD aan de router koppelen en daar de capture opslaan.
Dat levert dan een PCAP die je met (o.a.) Wireshark kan analyseren.
02-12-2014, 20:45 door amityonline
Bedankt voor de reacties. Ik ga ermee aan de slag!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.