Проникнуть в чужую беспроводную сеть – чем не
забава?! Пошалишь — и смотаешься. Взломщик не подключается к сети по
проводам и может находиться где угодно, лишь бы был уверенный прием. В
автомобиле, на улице, например. Попробуй поймай! Только вот что я тебе
скажу: все это - популярное заблуждение. Технологии защиты развиваются,
и даже банальное сканирование эфира самими обычными программами выдаст
тебя с потрохами. А ты не знал?
Как выявить сканирование?
Чтобы найти поблизости беспроводные устройства, а следовательно, и
беспроводные сети, используют специальные сканеры
эфира. Поставил такую штуку на ноутбук или КПК и гуляешь по городу, в
то время как программа ведет логи всех найденных точек доступа, с
указанием SSID (идентификатора сети), производителя оборудования,
механизма шифрования, скорости работы и даже координат, если к ноуту
подключен GPS-модуль.
Знакомые софтины — Netstambler, Macstambler, Kismet (или его версия
под винду - Kiswin) — в два счета просканируют эфир и выдадут всю
информацию на экран.
Но тут есть один важный момент, о котором многие даже не
подозревают! Эти сканеры не просто пассивно просматривают эфир, но
также используют активные методы исследования, посылая в сеть
специальные пакеты. Если ты просканировал эфир Netstambler’ом, то
считай, ты уже выдал свое присутствие. Хорошо, если
беспроводная сеть — это одинокая точка доступа,
которой вряд ли даже поменяли пароль для администрирования через
веб-панель. Но если это серьезная компания, то к любой подобной
активности (внутри закрытой сети) отнесутся с подозрением. И дело тут
вот в чем.
Когда осуществляется пассивное сканирование (в соответствии со
стандартом 802.11, то есть Wi-Fi), ничего страшного не происходит, но и
эффективность такого сканирования нулевая! Как только дело касается
интимной информации о сети (которая может быть очень полезна
взломщику), стемблер выдает свое присутствие из-за специального
LLC/SNAP-фрейма.
Еще 3 года назад (23 марта 2004 года) хакер-исследователь Mike Craik
предложил уникальный идентификатор, по которому можно задетектить
трафик программы NetStumbler: LLC-фреймы, генерируемые сканером и
содержащие уникальный идентификатор (OID) 0x00601d и идентификатор
протокола (PID) 0x0001. Кроме того, специальная строковая переменная,
передающаяся через 58-байтное поле данных, содержит информацию о версии
продукта в так называемом «пасхальном яйце»:
0.3.2 Flurble gronk bloopit, bnip Frundletrune
0.3.2 All your 802.11b are belong to us
0.3.3 " intentionally blank"
Причин для таких подвохов может быть много, в том числе просьба
оперативных органов, ссориться с которыми автору бесплатной программы,
естественно, не хочется. Чтобы устранить «пасхальное яйцо», следует
поковырять бинарник netstumbler.exe редактором ресурсов и изменить его.
Но это не решит проблему обнаружения сканирования (с LLC-фреймом ничего
не сделать). И к слову, Ministumbler - тулза из той же серии, только
для платформы Pocket PC, -
содержит аналогичные подвохи.
А как насчет альтернативы Netstumbler’у?
Теперь понятно, каким образом тебя может выдать обычное
сканирование? И вроде бы ничего не делал, а по шапке получить уже
можешь. Причем что с Netstumbler’ом, что с любым другим софтом.
Рассмотрим лишь несколько примеров.
DStumbler
Это известнейший BSD-сканер беспроводных сетей,
который, в отличие от Netstumbler, может проводить пассивное
сканирование (режим RFMON), то есть определяет наличие точки доступа и
ее SSID. Тем не менее, в режиме активного сканирования в нем тоже
существуют эксклюзивные свойства. В поисках точки доступа программа
генерирует огромное количество запросов (frame_control 0x0040). После
получения ответа точки доступа на подобный запрос будет произведена
попытка запроса авторизации (0x0b) и ассоциации (0x0c). Эти значения
являются константами, что
дает право на их использование в качестве уникального идентификатора.
Wellenreiter
Может быть, кто-то, прочитав это, подумает: «А в чем проблема?
Заюзай тот самый, пассивного сканирования, и все дела!» Возьмем сканер
Wellenreiter, включенный в состав известного хакерского
LiveCD-дистрибутива — BackTrack. Утилита заточена под
Unixware-окружение и в качестве базового условия для старта,
естественно, использует iwconfig. После опознавания
беспроводной карточки ESSID будет автоматически
выставлен на «This is used for wellenreiter», а MAC-адрес
сконфигурирован на произвольный. Опять палево!
После такого разгрома даже руки опускаются. Не софт, а настоящее
западло для хакера. Что же делать? Заюзать Windows-механизм? Скачивать
ничего не надо, и работает он, в общем-то, неплохо — хороший, вроде бы,
вариант… Как бы не так! Его механизм тоже использует активный режим
сканирования, посылаются те же запросы с широковещательным SSID и
уникальным программным идентификатором, что и будет основой детекта
подобного рода сканирования. Уникальный фрагмент находится в части
«SSID Parameter Set» и состоит из 32 байтов.
Воспользовавшись функциональными способностями снифера Ethereal
(Wireshark), можно без труда определить подобную активность
потенциального «воздушного» хакера:
Netstumbler: wlan.fc.type_subtype eq 32 and llc.oui eq 0x00601d and llc.pid eq 0x0001
Dstumbler: (wlan.seq eq 11 and wlan.fc.subtype eq 11) or (wlan.seq eq 12 and wlan.fc.subtype eq 00)
Здесь 11 (0x0b) – значение во фрейме авторизации, 12 (0x0c) – константа из запроса ассоциации.
Как поймать хулигана?Важно не столько засечь
несанкционированные действия в сети, сколько выявить нарушителя. Здесь
возникает определенная головоломка, так как мобильность самой
технологии Wi-Fi изначально подразумевает таких же мобильных клиентов,
которые могут перемещаться во время сеанса пользования сетью. Нашей
задачей будет выработка схемы сетевой инфраструктуры, в которой
существовало бы как минимум две предпосылки, свидетельствующих о
наличии злоумышленника среди доверенного радиопокрытия. Способы
обнаружения злоумышленника обычно базируются на данных, поступающих из
разных, удаленных друг от друга источников. При этом анализируются
данные об уровне приема абонента, а также информация из логов систем
обнаружения вторжений
(IDS). 
Лог IDS-системы, отмечающий активность беспроводных соединений с помощью стандартного механизма Windows XP
На представленной схеме перед нами модель тривиальной постановки:
точки Y и Z выступают в роли AP-«мониторов» (сенсоров нападения), так
или иначе передающих событие «произошло сканирование» на специальную
систему. Конец коридора ограничен бетонными стенами, изолирующими
сигнал от помех извне. Задавая границу в радиопокрытии точки (к
примеру, 10 метрами), можно выработать действия по реагированию на
подозрительные события.
Модель логики построения безопасности с участием сенсоров
Не трудно догадаться, что если будет заподозрен последовательный
Stumbling от точек z,y к x, то злоумышленник находится в вполне
определенном квадрате пространства. Соответственно, создавая подобную
архитектуру по флагам и опираясь на внимание и определенный набор ПО,
можно давать указание службе безопасности выдвигаться в соответствующие
стороны.
Остается вопрос: чем фиксировать действия сканера? Это реализуется следующими программными решениями.
Snort Wireless
Адрес: snort-wireless.org
Платформа: Unix
Эдакая «пожарная сигнализация», которая предупредит практически о
любой попытке взлома. Главное, чтобы были грамотно настроены все
правила или, иначе говоря, предварительно заданные шаблоны
атак и вредоносных объектов. Snort Wireless работает подобно популярному Snort, но в
беспроводных сетях 802.11x, защищая их от нападения. Настройка сводится к следующим пунктам:
- указание информации об охраняемой территории (параметры сети, имя точки доступа);
- конфигурация предпроцессоров;
- конфигурация плагинов;
- дополнительные собственные правила.
Наиболее важный пункт здесь – конфигурация предпроцессоров, благодаря которым и происходит переход с намека на
атаку к боевой тревоге.
Предпроцессор Anti Stumbler. Для обнаружения точек доступа
Netstumbler рассылает широковещательные нулевые SSID, которые
заставляют другие точки доступа прислать свои SSID нам. Snort осознает
массовость этого дела с одного MAC-адреса и объявляет тревогу. Помимо
этого, в наборе Snort Wireless присутствуют предпроцессоры для детекта
пассивного скана и попытки подмены
MAC.
Предпроцессор Anti Flood. При превышении определенного количества
кадров в единицу времени или попыток авторизации происходит
распознавание Denial Of Service
Atack.
Предпроцессор Anti Mac spoofing. Выявление несоответствий и сравнение с базой данных доверенных клиентов.
После редактирования всех параметров файл snort.conf обновится, и ты сможешь запустить демон в фоновый режим:
snort -D -A full
Nssys glass
Адрес: home.comcast.net/~jay.deboer/nsspyglass
Платформа: Windows
Netstumbler Spyglass использует тот же принцип, что и предпроцессор
Snort Wireless. К сожалению, из-за малого спектра поддерживаемого
оборудования его не так часто применяют. Рассмотрим его настройку на
примере роутера LinkSys. Перед работой необходимо позаботиться о
наличии драйвера WinPcap
(winpcap.polito.it).
Конфигурация Nssys требует обязательного указания сетевого адаптера
Далее вся настройка осуществляется через довольно странный
конфигурационный файл NSSpyglass.ini, состоящий из следующих 12 строк:
0402011110BB Access Point MAC Address (No colons and No spaces)
C:\windows\calc.exe
0
5
C:\windows\notepad.exe
0
1
1
0
1
0
1
В таком непонятном конфиге сам черт ногу сломит, поэтому я объясню
все по-порядку. В первой строке требуется прописать MAC-адрес точки
доступа. Вторая строка указывает путь к приложению, которое будет
запущено в момент опознания злоумышленника. Третья принимает значения 0
или 1, в зависимости от твоего желания запускать указанное приложение
или нет. Четвертая строка – таймаут в секундах до запуска следующего
приложения после обнаружения вардрайвера. Пятая и шестая строка
аналогичны второй и третьей, но как раз следующего приложения. Седьмая
определяет запись истории событий в лог NSSpyglassLog.txt. Остальное
неважно – скопируй, как есть.
После пробы такого софта Nestumbler использовать даже как-то не хочется
Airsnare
Адрес: home.comcast.net/~jay.deboer/airsnare
Платформа: Windows
Если в сети работают одни и те же устройства (например, ноутбуки
сотрудников), то можно легко внести их MAC-адреса в «белый список» и
отслеживать появление посторонних устройств, которые в этот список не
входят. На таком простом принципе, в частности, базируется программа
Airsnare. Все, что тебе понадобится для работы, — это библиотека
WinPcap (winpcap.polito.it) и свободный компьютер, подсоединенный к
беспроводной точке доступа. В настройках программы
не забудь выбрать требуемый адаптер и внести в Friendly Mac list все
доверенные устройства, подключенные к твоей сети, включая Mac'и,
Xbox'ы, сетевые принт-серверы, лэптопы, iPod'ы с поднятым Wi-Fi и тому
подобные излишки моды. Нажимаем «Start», и экран меняет цвет на
красный, что говорит о том, что твоя тачка перешла в боевой режим,
режим поиска прыщавых хакеров. 
Мониторинг долбящихся в сеть студентов налицо
| 
