Utilizando Kismet para auditoria de redes

[Ruan2008]

Sds,

Estive procurando um tutorial que falasse sobre auditoria de redes Wireless, pois estava desconfiado que estvam utilizando minha rede indevidamente.
Como este tutorial me ajudou bastante resolvi compartilhar:

http://www.clubedowarchalking.com.br...d=44&Itemid=69

Abraços

Ruan

[mmachado]

Afinal, você encontrou alguém usando a sua rede indevidamente?

[]s, MM

[brunosolar]

Afinal, você encontrou alguém usando a sua rede indevidamente?

[]s, MM

E se a resposta for um sim... Quais atitudes foram tomadas?

[ALIG_wicked]

ALERT: Suspicious client 00:12:F0:99:71:D1 - probing networks but never participating.

Sabe o que eu lembrei uma das principais tecnicas de evasao. Gerar uma dezena de "logs bogus" como o pessoal do nmap faz usando decoy (A decoy is usually a person, device or event meant as a distraction to conceal what an individual or a group might be looking for.)

Acho que com a suite aircrack eh relativamente facil gerar esse trafico falso pra distrair o IDS. Mais naum posso garantir pois na verdade soh dei uma folheada rapida nesse livro, na livraria e vi algo a respeito, mais naum cheguei a comprar.

[s]
A.A.

[nelson]

Duas coisas:
A primeira que diferentemente do decoy do nmap, que usa fake ips e, eventualmente, ip verdadeiros no meio com objetivo de despistar a verdadeira origem, uma mudança de MAC traz menos ganho ao atacante. Existe ataque e pronto, independente da quantidade de "MACs" atacantes.

O segundo é que olhei o tutorial umas 3 vezes e não vi absolutamente nada que possa ajudar alguem que suspeite que "estão usando minha rede indevidamente". Claro que o kismet pode perfeitamente ajudar em casos assim, mas não com as opções que estão no tutorial.

Sabe o que eu lembrei uma das principais tecnicas de evasao. Gerar uma dezena de "logs bogus" como o pessoal do nmap faz usando decoy (A decoy is usually a person, device or event meant as a distraction to conceal what an individual or a group might be looking for.)

Acho que com a suite aircrack eh relativamente facil gerar esse trafico falso pra distrair o IDS. Mais naum posso garantir pois na verdade soh dei uma folheada rapida nesse livro, na livraria e vi algo a respeito, mais naum cheguei a comprar.

[ALIG_wicked]

Acho que jah vi esse filme antes ...

A primeira que diferentemente do decoy do nmap ... Existe ataque e pronto, independente da quantidade de "MACs" atacantes.

ESTAVA FALANDO DA IDEIA GERAL do que eh um Decoy ( e de onde o pessoal do nmap batizou esse tipo de ataque :: The word came from Dutch eende(n)kooi = "duck cage".)



Decoys - Duck Hunting Decoys and Decorative Waterfowl Decoys

Uma coisa eh voce olhar o logs com 1 ataque verdaderio. A outra eh olhar o log com 20 ataques falsos e 1 verdadeiro. E ateh onde eu sei Nenhum desses IDS estah perto de uma funcionalidade ideal (Fazendo minhas, as palavras de pessoas mais experientes (http://www.blackhat.com/presentation...06-Caswell.pdf)

Cansei de ficar zarolho olhando os falsos positivos snort, por que com o Kismet seria diferente ??

do manual do Kismet -
Easiest is fingerprint matching - some tools always send a certain frame wich is indicative of an alert condition

Applying Wired IDS History to Wireless IDS

PS_>
Esse post tinha q vir mesmo pra finalizar meu dia. Na empresa em que trabalho o alarme de incendio tocou 4 vezes essa semana. Na quarta vez ninguem mais saiu do predio. Abstraindo, o resto eh disso que estou falando.

[s]
A.A.

[nelson]

Porque o que importa, no caso é existir uma varredura, note que o mesmo MAC vai enviar tantas linhas quanto tempo durar a varredura, o que já é problema suficiente pra quem está "vendo".
Ou seja um ataque falso e um ataque verdadeiro, neste caso, dá o mesmo efeito prático.

Tem dois problemas com essa abordagem do kismet, primeira que o alerta vai só pra tela, até a última vez que olhei tinha que fazer um hack no código pra gerar isso em arquivo. A segunda é que gerar milhares de linhas para o mesmo ataque não é necessariamente uma forma produtiva de gerar alarme.

Cansei de ficar zarolho olhando os falsos positivos snort, por que com o Kismet seria diferente ??

[ALIG_wicked]

A segunda é que gerar milhares de linhas para o mesmo ataque não é necessariamente uma forma produtiva de gerar alarme.

hehehhe
Vou mandar a conta do meu oculista pros desenvolvedores do Kismet.

Nelson,
Semana que vou dar uma repaginada aqui:
http://www.blackhat.com/presentation...u-07-Butti.pdf
Mais alguma sugestao de leitura???

[s]
A.A.

[Ruan2008]

Fala galera,

Seguinte,

Segui as orientações do Tutorial do Link que citei no tópico, e cheguei a seguinte conclusão:

- O Kismet notificou o uso do Netstambler ou outro analisador de tráfego, o interessante é que um cliente reclamou várias vezes de conexão lenta ou nula e limitada.Com ele desconectado, notei que o Mac da placa dele estava ativo (?).
No próprio forum do Site , aprendi como clonam Mac, IP.

Passei a usar WPA, mas mesmo assim não dá para garantir que é 100% seguro, pois WPA é a bola da vez dos caras.
Pelo menos dificulta um pouco mais, apesar de ter incompatibilidade com alguns equipamentos e usar mais recursos da banda.

Obrigado pelas respostas
Se alguem tiver uma outra dica, agradeço desde já!

Ruan2008

[nelson]

É um bom material, sem dúvida. Eu olharia também o site do aircrack-ng, pelo menos na defcon eles disseram que estariam incluindo uma pancada de coisa nova.

Semana que vou dar uma repaginada aqui:
http://www.blackhat.com/presentation...u-07-Butti.pdf
Mais alguma sugestao de leitura???