Vídeo: Evitar Deauth and Evil Twin Attacks 2025
Cuidado com hackers de roteadores não autorizados e clientes sem fio que estão conectados à sua rede e executados em modo ad hoc. Ao usar o NetStumbler ou o seu software gerenciador de clientes, você pode testar pontos de acesso (APs) e dispositivos ad hoc que não pertencem à sua rede. Você pode usar os recursos de monitoramento de rede em um analisador WLAN, como OmniPeek e CommView para Wi-Fi.
Procure as seguintes características de APD rogue:
-
SSIDs ímpares, incluindo os padrões padrão populares, como linksys e wifi gratuito.
-
Nomes de sistema AP ímpar - ou seja, o nome do AP se o seu hardware suportar este recurso. Não deve ser confundido com o SSID.
-
endereços MAC que não pertencem à sua rede. Veja os três primeiros bytes do endereço MAC, que especificam o nome do fornecedor. Você pode executar uma pesquisa de vendedor de endereço MAC para encontrar informações sobre APs que você não tem certeza.
-
Sinais de rádio fracos, que podem indicar que um AP foi escondido ou está adjacente ou mesmo fora do seu prédio.
-
Comunicações em um (s) canal (es) de rádio diferente do que a sua rede se comunica.
-
Degradação no throughput da rede para qualquer cliente WLAN.
O NetStumbler encontrou dois AP potencialmente não autorizados. Os que se destacam são os dois com SSIDs de BI e LarsWorld.
O NetStumbler possui uma limitação: não encontrará APs que tenham pacotes de resposta de sonda desativados. Analisadores de rede sem fio comercial, como CommView para Wi-Fi, bem como o Kismet de código aberto, não apenas para respostas de sondagem de APs como o NetStumbler, mas também para outros pacotes de gerenciamento 802. 11, como respostas de associação e beacons. Isso permite que o Kismet detecte a presença de WLANs ocultas.
Se a plataforma UNIX não é sua xícara de chá e você ainda está procurando uma maneira rápida e suja de destruir os APs ocultos, você pode criar um cenário de reconexão de cliente para AP que força a transmissão de SSID usando pacotes de autenticação.
A maneira mais segura de destruir os APs ocultos é simplesmente procurar por 802. 11 pacotes de gerenciamento. Você pode configurar o OmniPeek para procurar por 802. 11 pacotes de gerenciamento para erradicar os APs ocultos ao ativar um filtro de captura no 802. 11 pacotes de gerenciamento.
Você pode usar CommView para WiFi para detectar um host de rede ímpar; por exemplo, os sistemas Hon Hai e Netgear se você sabe que você só usa o hardware Cisco e Netopia em sua rede.
Minha rede de teste para este exemplo é pequena em comparação com o que você pode ver, mas você consegue a idéia de como um sistema estranho pode se destacar.
As redes WLAN configuradas no modo ad-hoc permitem que os clientes sem fio se comuniquem diretamente entre si sem ter que passar por um AP. Esses tipos de WLANs operam fora dos controles de segurança sem fio normais e podem causar sérios problemas de segurança além das vulnerabilidades normais do 802. 11.
Você pode usar praticamente qualquer analisador WLAN para encontrar dispositivos ad hoc não autorizados. Se você encontrar vários sistemas ad-hoc, como os dispositivos listados como STA na CommView para a coluna Tipo do Wi-Fi, isso pode ser uma boa indicação de que as pessoas estão executando sistemas sem fio desprotegidos ou possuem ativação sem fio ad hoc. Estes sistemas são muitas vezes impressoras ou sistemas de rede aparentemente benignos, mas podem ser estações de trabalho e dispositivos móveis.
Você também pode usar o Hotspotter Digital para procurar sistemas ad hoc ou mesmo um sistema de prevenção de intrusão sem fio para procurar pacotes de baliza em que o campo ESS não é igual a 1.
Caminha ao redor de seu prédio ou campus para realizar este teste para ver o que você pode encontrar. Procure fisicamente por dispositivos que não pertençam e tenha em mente que um cliente AP ou WLAN bem colocado que está desligado não aparecerá em suas ferramentas de análise de rede.
Tenha em mente que você pode estar pegando sinais de escritórios ou casas nas proximidades. Portanto, se você encontrar alguma coisa, não assuma imediatamente que é um dispositivo desonesto. A força do sinal que você detecta é uma boa indicação.
Dispositivos fora de seu escritório devem ter um sinal mais fraco do que aqueles dentro. O uso de um analisador WLAN desta forma ajuda a reduzir a localização e evitar falsos alarmes no caso de você detectar dispositivos sem fio vizinhos legítimos.
Uma boa maneira de determinar se um AP que você descobre é anexado à sua rede com fio é executar ARPs reversos para mapear endereços IP para endereços MAC. Você pode fazer isso em um prompt de comando usando o comando arp-a e simplesmente comparando endereços IP com o endereço MAC correspondente para ver se você tem uma correspondência.
Além disso, tenha em atenção que as WLANs autenticam os dispositivos sem fio e não os usuários. Os hackers criminais podem usar isso em sua vantagem, obtendo acesso a um cliente sem fio via software de acesso remoto, como telnet ou SSH, ou explorando um aplicativo conhecido ou vulnerabilidade do sistema operacional. Depois de fazer isso, eles potencialmente têm acesso total à sua rede.
A única maneira de detectar pontos de acesso rogue e hosts sem fio em sua rede é monitorar sua WLAN de forma proativa, buscando indicadores de que clientes sem fio ou AVs fraudulentos podem existir. Um WIPS é perfeito para esse monitoramento. Mas, se os APs ou os clientes desonestos não aparecem, isso não significa que você está fora do gancho. Você pode precisar dividir o analisador de rede sem fio, IPS sem fio ou outro aplicativo de gerenciamento de rede.
Dependendo do seu AP, algumas mudanças de configuração podem impedir os hackers de realizar esses hacks contra você:
-
Se possível, aumente seu intervalo de transmissão de farol sem fio para a configuração máxima, que é de cerca de 65, 535 milissegundos. Isso pode ajudar a esconder o AP de hackers que estão visitando ou caminhando pelo prédio rapidamente.Certifique-se de testar isso primeiro, porém, porque pode criar outras conseqüências não intencionais, como clientes legítimos que não conseguem se conectar à sua rede.
-
Desative as respostas da sonda para impedir que o seu AP responda a esses pedidos.
Use o software de firewall pessoal, como o Firewall do Windows, em todos os hosts sem fio para evitar acesso remoto não autorizado aos seus hosts e, posteriormente, à sua rede.
