[gl-como] Scoprire intrusioni su Wireless

~redShadow~ redshadow@hackzine.org
Gio 12 Feb 2009 13:46:38 CET 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

G. Zulio wrote:
| Ciao a tutti,
|      vorrei capire se esiste un metodo semplice, magari con un software ad
| hoc, per individuare intrusioni non desisderate sulla rete wireless di
casa.
|
| Io ho un modem-router ADSL wireless della Atlantis A02-RA242-W54; ho
diversi
| pc in casa, alcuni collegati con il cavo e altri 2 o 3 che si collegano
| wireless.
| Ho impostato i mac-adress sul router e ho imposto regole che consentono la
| navigazione e gli altri protocolli solo agli ip che effettivamente
utilizzo.
|  Sul router che io sappia non posso installare nessun software.
|
| Il problema è che ovviamente non occupo costantemente tutti gli ip ...
| spesso c'è solo 1 pc via wireless collegato, così immagino che
utilizzando i
| tools automatici un "vicino" potrebbe procurarsi password e mac-address
| buonie iniziare a navigare indisturbato.
| Uso WEP come protezione .. .so che usando un protocollo più sicuro non
avrei
| (quasi) problemi, ma non è questo il punto.
|
| Vorrei capire se è fattibile e come ... collegarsi con un un pc e con un
| software per capire quali ip stanno facendo traffico.
| Ho visto che con gli sniffer si possono trovare pacchetti che
dialogano con
| DHCP, ma ovviamente ciò è possbile solo se e quando il client indesiderato
| si collega via DHCP.
|
| L'unico modo che ho trovato è mettere una regola sul router che impogna di
| loggare tutto il traffico .. ma è una soluzione poco comoda e che
rischia di
| appesantire inutilmente il router.
|
| Spero che l'argomento sia di interesse anche per altri.
|
| Grazie e saluti
|
|      Guido
|

Dalla wifi sniffi tranquillamente tutta la wifi.. "è pur sempre aria"
quindi già con un tool come wireshark vedi perfettamente il traffico che
sta passando..

..volendo, potresti mettere dumpcap (programma a riga di comando usato
da wireshark per i dump) in esecuzione + logging su un pc sempre acceso
(es. serverino) per loggare tutto il traffico..
occhio che dumpcap scarica tutti i pacchetti -> potrebbe diventare
pesante il log

se ti servono solo le intestazioni, dovrebbe esserci un'opzione di
dumpcap, oppure anche tcpdump funziona allo scopo..
ovviamente puoi fare uno script per dividere i log in modo da non avere
file enormi..

..e magari settare anche dei filtri / alert in caso di traffico
"anomalo", ecc..

poi, volendo, se te ne intendi potresti provare a mettere degli honeypot
in modo da confondere un eventuale "attaccante"..

(ma l'opzione dumpcap/wireshark potrebbe essere la migliore, soprattutto
se chi si connette fa pagamenti con carta di credito senza https, o
simili.. :P)

ciao

- --
~  ~redShadow~ - ilSAMU
- ----------------------------------------------------------------
~  * redshadow[at]hackzine.org
~  * redshadowhack[at]gmail.com
~  * samu[at]comolakerovers.net
~  * http://hackzine.org
~  * http://doku.hackzine.org
~  * http://comolakerovers.net
- ----------------------------------------------------------------
~   "[A-Za-z0-9\-_]*\\[at\\][A-Za-z0-9\-_]*\\[dot\\][a-zA-Z]*"
- ----------------------------------------------------------------
~  GPG Key signature:
~       050D 3E9F 6E0B 44CE C008 D1FC 166C 3C7E EB26 4933
- ----------------------------------------------------------------
~                Registered Linux-User: #440008
~        GENTOO User since 1/1/2008 - ex DEBIAN SID user
- ----------------------------------------------------------------
~      "Software is like sex: it's better when it's free!"
~                              -- Linus Torvalds
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkmUGi4ACgkQFmw8fusmSTMh+ACg33wZLo1Qaz8a1FoMex6GWtPT
7zAAn0Bf8J3mnOfw5GSqTpCdcfXefnHr
=AjgZ
-----END PGP SIGNATURE-----

Maggiori informazioni sulla lista gl-como