idの解決策を展開して、ワイヤレスにwlan

idのソリューションがどのように多くの提言を実施するとのガイドラインに従って私たちは既に議論が存在して近代ワイヤレス市場ですか？ その答えはありません。

そこには多くのソリューションを探して不法無線idのmacアドレスにwlanとessidsが監視します。 これらのソリューションは、いくつかの特殊なハードウェアデバイスにも実装されました。 何もないよりもかかわらず、何かが、私どもの意見でこのような"ソリューション"には、両方のお金と時間を無駄にします。 彼らにも間違った安心感を与えてくれるでしょうします。 見てみましょう使用可能なワイヤレスソリューションのidことができる便利なハッキングあるいは少なくとも、修正することができ、少なくとも部分的なツールを利用して概説と私たちの観察からの追加データを絶えず無線ストリーミング最前線ます。

idの商用ワイヤレスシステム

で、商業的側面を、よく知られていないidのワイヤレスソリューションを含めるairdefenseガードとisomairワイヤレス見張りました。 これらのソリューションは、展開の配列に基づいてセンサーの周りにwlanと集中彼らの出力を監視し、管理サーバーまたはコンソールを開きます。 サーバーにすることができ、専用ハードウェアアプライアンスで保護されたウェブインターフェースとsnmp管理またはlinuxサーバーマシンにリンクしてウィンドウズベースの管理コンソールを開きます。 これらの解決策をいくつかの非802.11ワイヤレストラフィックを分析することができたり、バンドのrf干渉監視し、これは有用です。

それによると、なければならないの大きさに応じて、無線ネットワークと取材ゾーンは、ハードウェアのidワイヤレスセンサーの展開に欠かせないことができます。 すべてのワイヤレスアクセスポイントは組織の中でカバーされなければならない、 idのセンサーを提供する効率的なネットワーク監視します。 高いセンサー'受信感度は（負のdbm ）は、良くなりました。 少なくとも、受理すべきではない、センサーの感度よりも悪くなった1つのapのトランシーバ（でもしてしまわないの検出の信頼性を保証するに十分な攻撃のターゲットと無線ホストからの距離ap ）をします。 大きな欠点は、すべての商業的に見てきたセンサーは、不可能であることを外部アンテナを接続するには、センサーします。 したがって、センサーの可能性を大幅に向上させる'の範囲内での感度が劇的に低下します。 それは明確にしなければならない企業を買うより低いと低感度センサーの範囲をカバーするワイヤレスネットワークています。 しかし、 1つのことをもっともっと強力な電荷センサー適切なアンテナに接続しています。 残念ながら、現在のようなマーケティングトレンドの最初の原則に従っています。 もちろん、ハッキングすることができ、商業するワイヤーセンサーをアンテナ（お客様の保証を失う）します。 たぶん、よりよく、そしてより柔軟な解決策を構築し、独自のカスタムセンサーは、古いパソコンを使って、ラップトップ、あるいはpdaの;

wisentryは、商用ソフトウェアのみのソリューションをwlanの監視と侵入検知専用ハードウェアを必要としないセンサーします。 wisentryを作成するためのエントリが特定のプロファイルごとに無線のホストに配備します。 このプロファイルに保存され、 wisentryソフトウェアが使用され、信頼できるとnontrustedデバイスを区別します。 wisentryには、データベースとのアラートidの構成をサポートし802.11a対応、 bの、およびgネットワークします。

別の商用ツールを組み合わせたセキュリティ監査とidの両方の機能がairmagnetより安全な世界的なシステムです。 airmagnetで利用可能であるハンドヘルド、ノートパソコン（ aironetカードを使用する必要がありシスコ）と"コンボ"エディションます。 独特の特徴airmagnetは基本的なバンドのrfイズムアナライザ財産であるため、ツールを発見し802.11b / gのチャネルは、受信エリアの重複、かもしれないとの干渉の可能性を検出します。 airmagnetができるようにするフラグのwep暗号化データパケットの弱いivsと、最新のバージョンでは、検出されたvpnsにwlanスキャンします。

独占的ソフトウェアの802.11プロトコルアナライザなど、ワイヤレススニファ型naiとwildpacketのairopeek 、ワイヤレスidの機能も保有します。 実際のところ、 airopeekまでサポートして、リモートrfgrabber無線センサーデバイスに統合してairopeekスニファソフトウェアです。 これにより、 airopeek分散機能に似てairdefense / isomair idのシステムです。 フルairopeekパッケージには、ソフトウェア開発キットの顧客を書くことができる、独自のairopeekフィルタの基本的な視覚的またはc + +します。 このワイヤレスプロトコルアナライザは、部分的にハッキングしたがって、ソースの製品もかかわらず、商業を閉じました。

オープンソースのid無線の設定や構成

最初の確認を受けるようなツールキットは、 widzを声高に太ったやつ（マークオズボーン）します。 バージョンwidzを書いている時点（ 1.5 ）をサポートし、次の：

• ならず者apの検出

• airjack攻撃検出

• プローブ要求を検出

• essidを放送（ "任意" ）

• macの悪いmacを配置するブロックリスト

• 悪いessidを配置するessidをブロックリスト

• 洪水フレーム協会

widz 1.5を使用して動作するhostapドライバと箱から出しています。 これは、 2つのプログラム： widz_apmon 、これが検出されていないのaps apのリスト（ widz - ap.config ） 、およびwidz_probemon 、敵対する可能性のためのネットワークのトラフィックを監視しています。 アラートをトリガーにして、現在のwidzバージョンwidz_probemonとして、次の：

• alert1ます。 essidをアラート場合、フィールドは空です。 その後、コールスクリプトと警告して、次の100からのパケットをログに不審なソースです。

• alert2ます。 アラートの上限を超えた場合は組合で起こる最大の団体にも満たない時間を定義します。

• alert3ます。 macのアラートは、 badmacファイルの場合、これは、単純なマックのリストを16進法です。

• alert4ます。 アラート場合essidは、 badsidsリスティングファイルです。

もちろん、このリストには、非常に限られたアラートが、アラートを簡単に追加することができ、お客様ご自身でました。 を使用するwidz_apmonは、まずお客様の無線インターフェイスを持ち上げifconfigでは、を使用してwidz_apmon | sleep_time |にwlan0を生成するコマンドを生成するwidz - ap.config apのファイルをリストします。 後にモニタリングを開始することができならず者のapsをwidz_apmon | sleep_time |にwlan0モニターします。 を指し、 sleep_time変数の間の時間を秒単位でスキャンします。 を使用しwidz_probemonは、同じように簡単になります。 最初に編集してprobemon.conf 、 badmacs 、およびbadsidsファイルです。 次に無線インターフェイスを持ち出すして、それをrfmonモードでは、および実行widz_probemon ：

  arhontus ： 〜 ＆ ＆使用＃ ifconfigにwlan0最大のiwprivにwlan0モニター2 ＆ ＆ widz_probemonにwlan0 > ＆ログファイル 

警告が含まれているシェルスクリプトが実行される際に自動的にidのならず者または敵対apのトラフィックが検出された。 デフォルトでは、 syslogメッセージを送信するスクリプトをロガー- p security.notice $ 1コマンドおよび警告メッセージを書き込み、現在のコンソールを開きます。 代わりに作ることができるの警告の電子メールを送信することは、 snmpトラップ、 macアドレスを追加して不要なのacl 、およびもろもろの想像力を使用しています。

ワイヤレスidと、オープンソースの利用可能な機能の詳細は、美keli widsされました。 このツールではありませんidのケアについては、チップセットまたはクライアントカードのドライバ; widsニーズには、すべての無線インターフェイスでrfmonモードになります。 また、自動のwep decryptor （ wepキーを配置するだけでは、 keys.lst ）と無線密のつぼサポート（ wepを許可されていませんが、残念ながらまだ密のつぼ）します。 さらに重要なのは、次の手順をwidsできます：

• ビーコン間隔を分析するごとにapを発見しました。

• 分析802.11フレームのシーケンス番号です。

• アクティブな走査型プローブからの要求を発見します。

• 協会の洪水のリクエストを検出します。

• 洪水認証のリクエストを検出します。

• 頻繁に再リクエストを検出します。

• ダンプの密のつぼのトラフィックをpcap形式のファイルです。

• リダイレクト無線有線インターフェイスに入るトラフィックします。

最後のオプションは、非常に興味深いので、パイプを使用することもでき、無線トラフィックをレイヤ3以上のidなどのツールをsnort idの詳しい分析を行います。 widsを実行するのは簡単にして明快：

  arhontus ： 〜 ＃ wids 

 使用方法： 。 / wids [ -秒] -私デバイスの[ログファイル- hと- lを密のつぼ] [ - oデバイス] 

 オプション： 

  -秒： s yslogの使用（不可l og_alert） 

  -私デバイス：指定されたデバイスのインターフェイスを聞く 

  （はeth0 、とwlan0 ... ） 

  （ promiscuousモードでなければならない） 

  -信用ログファイル：ファイルはどこ密のつぼされるパケットダンプ 

  -最近登録さ密のつぼ：トラフィックについては、指定した警告密のつぼ 

  apの'マック 

  -oデバイス：デバイスでのトラフィックは復号化のために送られ 

  idの分析 

 注： " -秒"オプションを使用する必要があります。 

 例： 。 / - widsのs -私eth1の- oはeth0 

 します。 /秒wids - -私にwlan0 - lをします。 / wids.tcpdump - hと00:02:2次元： 4b ： 7e ： 0a 

最後に、新しいairidsワイヤレスのidがあると思われる非常に有望だ。 airidsはgtk +フロントエンドのチップセットをサポートするプリズムとcisco aironetカードがあります。 このツールはまだベータ版の開発段階では、非常に柔軟性をサポートする予定しかし、カスタムidルールは、トラフィックの注入を阻止するのwepクラッキング、およびバージョン0.3.1以降のより積極的な防衛します。 このような機能を余裕、 airids 0.3.1以降のバージョンでは、大幅な修正を使用したり書き換えプリズムドライバ（ airjackスタイル、たぶん）の代わりに"いつもの" prism_cs / airo_csモジュールを使用することになりました。

頻繁に見落とされると非常に強力なツールで、ワイヤレスidの運命です。 運命が来たからと長い道のりがあるウォードライバーのツールを使用する本格的なクライアント/サーバidを持ちます。 最近のバージョンの運命を実装してidの勧告から派生ジョシュアライト私たちの記事を紹介した。 idを使用しているバージョンを確認する機能がサポートされ、運命の可否をチェックしています。 そこを忘れないことの違いは非常に安定しており、運命-運命開発の木：運命開発実装したかもしれないだけで、最新の機能をidを早急にする必要があります。 運命開発の最新のバージョンに含まれる書いている時点で、次の機能があります：

• deauthentication / deassociationフレーム洪水の検出

• 802.11フレームの配列解析

• 低迷するairjackのユーザは、監視エリア

• 検出netstumblerプローブのバージョンのnetstumblerを実行すると、

• 検出wellenreiter essidを辞書攻撃

• packetcrackerコードをfms攻撃の脆弱性についての警告のwep

• クライアントの検出プローブのみのネットワークに参加することのない（ミニスタンブラ、 dstumbler 、あるいは単に失われたと誤って孤独なホスト）

• 802.11 dsss / fhss区別

• フレームのデータの書き込みをするために、外部のid fifoの名前付きパイプのような荒い鼻息

• ランタイムのwepデコード

• 過度の高周波ノイズ検出

• ルーセント屋外ルータ/ turbocell / karlnet以外の802.11ワイヤレスネットワークの検出

これらの機能とともに、クライアント/サーバ構造は、簡単に使用できる警告システム（ wを押すだけで、個別の警告ウィンドウを開いて閲覧すると警告）は、偉大な構造化データのログ記録機構との統合の可能性などのリモートセンサーニュートリノの分散は802.11bセンサーをidの運命に大きな無料ツールを配備します。 また、複数のクライアント機能を使用するカードとの間で周波数分割してスキャンし、これらのカードの価値を高めるのさらなる運命無線ネットワークの監視と侵入検知します。

日曜大工のために、いくつかの提言ワイヤレスセンサーidを建設

建物の運命をご検討ベースのリモート無線センサーができます。 古いものの動作しているコンピュータのように見えるかもしれませんlinuxやbsdのセクシースリムデバイスの1つとしてネットワークから化学、らします。 （常に使用することはできますかザウルスのipaq ！ ）では、たくさんの利点をハッキングするカスタムidセンサーします。 まず第一に、それは安い：お客様の費用として実行可能性の低いとしてのコストをpcmciaのpciアダプタの追加や、クライアントのカードにあります。 加えて、私たちはいつもの不審な低利得omnidirectionalsで使用される既製の無線センサーします。 特注のセンサーについて、どのようにリンクしている14.5 dbiのオムニhttp://www.fab-corp.comで売られているため、非常に合理的な価格を表示するか？ なければならないことに、いつも全方向に考慮して、可能な範囲の形をして、ネットワークゾーンですか？ センサーを使用する方法については、高利得指向の横にある長距離無線ブリッジポイントツーポイントですか？ 検出されませんしたいのに沿って攻撃して全体のリンクだけでなく、無線ブリッジ付近のエリアですか？ してほしくない感受性を高める受理され、お客様のセンサーに余分な10 〜 20 dbmのですか？

他に興味深いで有益なものにすることが統合の両方をレイヤ2ワイヤレスと上位レイヤのidツールやシステム（ snortとiplog 、 portsentry ）で、 1つのデバイスです。 wids - oフラグ使用することができ、運命fifoの名前付きパイプ、またはお客様のトリガーだけ上位レイヤ- idの運命を制御するスクリプトを実行するときと同じ方法で遊んだり、運命のお祭りの活動にwlanオーディオ表示します。 拒否をsnortを実行するときには、無線インターフェイスを開始するにチェックすることができます。 しかし、この問題は簡単にバイパス運命を使用します。 まずあなたがすべきことは1つの行を変更してkismet.confファイル：先入れ先出しにスクロールして＃ = / tmp / kismet_dump 、この行をコメントを保存し、設定ファイル、および開始しkismet_serverます。 一度開始するには、運命がロックは、 / tmp / kismet_dumpファイルをsnortが終わるまでに拾っています。 さあ、始めましょうをsnortます。 あなたの好みに設定して、追加する-しかし、読み込み/ tmp / kismet_dumpスイッチを実行したときには、今からデータを読み取ることがfifoのフィードの運命です。 さらに酸をインストールして実行することができ、快適でカラフルなidのログを表示します。 それだよ！ 高度に設定して楽しむワイヤレスと有線のid 、広く多くの面で優れているの高価な商用ている。 結局のところ、どのように多くのクライアント/サーバー統合柔軟なソリューションのワイヤレスと有線商業idを知ってるのか？

もちろん、他の手段を使用することができ運命を分析してpcap形式のダンプファイルをします。 最も明白な方法はエーテルを使って特定のフィルタを適用するとの署名を拾って私たちの共通の攻撃はすでに説明します。 たとえば、 etherealに共通のフィルタをアクティブな攻撃の署名をスキャンするツールに記載されジョシュアライトの"レイヤ2の分析にwlanアプリケーションを検出侵入検知"紙と確認されたとして、次の私たち：

• netstumbler ：

    （ wlan.fc.type_subtypeイコライザー32とllc.ouiイコライザー0x00601dとllc.pidイコライザー0x0001 ）および（データ[ 4:4 ]イコライザー41:6 c ： 6c ： 20またはデータ[ 4:4 ]イコライザー6c ： 46 ： 72:75またはデータ[ 4:4 ]イコライザー20:20:20:20 ） 

• dstumbler （アクティブスキャン） ：
  

    （ wlan.seqイコライザー11とwlan.fc.subtypeイコライザー11 ）または（ wlan.seqイコライザー12 wlan.fc.subtypeイコライザー00 ） 
  

• windows xpの探査：
  

    wlan.fcイコライザー0x0040とwlan_mgt.tag.numberイコライザー0とwlan_mgt.tag.lengthイコライザー32とwlan_mgtます。 tag.interpretation [ 0:4 ]イコライザー0c ： 15:0 f ： 03 

• wellenreiterプローブリクエスト（人でなし- essidを強制） ：

    wlan.fcイコライザー0x0040とwlan_mgt.tag.numberイコライザー0とwlan_mgt.tag.lengthイコライザー29 wlan_mgtます。 tag.interpretationイコライザー" this_is_used_for_wellenreiter 

もちろん、今すぐ他にも多くの802.11フレームを送信するツールを見ると小説のフィルタを作成します。 このようなツールは、最新バージョンのairjack 、 wepwedgie 、 wnet dinjとreinjユーティリティ、 fakeapとその修正、およびvoid11ます。 フィルタはetherealに署名して攻撃の両方に有用であるセキュリティ研究や侵入検知します。 有用であることができ、さらに多くの事件対応すべき手続きで、ブレークが発生します（しかし維持することに注意して適切なストレージを確保するとの整合性を検証してpcapファイルを確保しておく必要があります） 。 最後に、冒険の場合は、それらを使用しようとすることができおよび/または出力の運命を展開するアクティブな防御と攻撃に戻るか、少なくとも混同して自動的に攻撃します。 たとえば、検出されたときにnetstumblerユーザーがその地域、またはパケットを適切な出力マッチング攻撃運命の署名で定義されたフィルタをオンにfakeapをプリセットessidsまたはマック無視された運命（ dosのを避けるために、可能なログのオーバーフロー）します。

もし何らかの理由で、ご希望の運命を使用しないのをsnort +組み合わせ、選ぶことができ、無線をsnort -プロジェクトです。 -無線荒い鼻息荒い鼻息は、パッチを適用する能力が802.11フレームの理解とレイヤ2関連の警告を送信します。 現時点では、無線をsnortに検出できるようにnetstumblerトラフィックを経由してantistumblerプリプロセッサます。 編集してsnort.confを追加するプリプロセッサantistumbler ： probe_reqs [ num件] 、 probe_period [ num件] 、 expire_timeout [ num件]場所：

• probe_reqs数]は、リクエストを実行するプローブ警告します。

• probe_periodは、期間（秒単位）をカウントしてnullをssidのプローブのリクエストは保存されます。

• expire_timeoutは、時間（秒単位）の前には、犯罪者を検出しスタンブラリストから削除されます。

それに、ならず者apおよびアドホックネットワークの検出がサポートチャンネルとaccess_points変数を経由しても定義されsnort.confます。 多くの機能がサポートされて運命をsnort +の組み合わせをsnortに含まれていません-無線かかわらず、柔軟性のためには、このプロジェクトの可能性と関連した規則を書くの802.11 -と同じ方法で、標準をsnortのルールが書かれ、鼻から-無線プロジェクトは大きな可能性を秘めた。

多くのことを忘れないで"業界標準の"ワイヤレスセンサーidを使用することもtelnetやsnmpv1のをリモート管理して送信する手段としてとらえずにワイヤレスデータの暗号化との整合性をチェックします。 誰にも言及しただけで、デフォルトのsnmpのコミュニティですか？ 私たちは見つけidの商用ワイヤレスセンサーを経由してリモート制御読み書き"公共/民間の"コミュニティのデフォルト！ 残念なことに、システム管理者もいない場合が多いのネットワークデバイスのデフォルト設定を変更しています。 私たちは、長い時間と予想してパスを開始する前にこれらのデバイスをサポートしsshv2 、 ipsecのないことに言及しました。 その半面、特注のセンサーを採用することができどのような種類のトラフィックの保護とアクセス制御を選択します。 たとえば、ネットワークを構築することができ特注センサーにリンクして集中idを経由してホストサーバーをネットワークトポロジのvpnます。

ハードウェアプラットフォームの選択することができ、お客様のセンサーが異なります。 1つ興味深いの可能性が使用に適したsoekrisボード（ http://www.soekris.com ）します。 なぜならこれらのオプションボードのハードウェアベースの暗号化をサポートし、彼らは非常に適しているだけで、解決策を提案します。 いくつかのsoekrisに基づいた適切な特注の無線センサーを行使する能力がある高利得アンテナと大容量のデータを送信する暗号化のipsec - aesトンネルを経由してサーバーに集中idの運命を統合し、鼻を鳴らすと、他のいくつかのトラフィックやログ解析ツールを作る夢と手ごろな価格の無線idの配布、実際！ soekrisボードに設計された自由に走る/純/またはlinux openbsdのです。 さまざまなドキュメントをチェックして基板のバージョンとその機能は、 soekrisサイト。

他に興味深いと架空のidワイヤレスセンサーは、古いプラットフォームのipaq pdaのクライアントで、二重のpcmciaカードのゆりかごです。 ご希望のゆりかごの1つのスロットを保持するクライアントのイーサネットカードを有線接続、および他の希望を持って1つの無線クライアントカード（お勧めシスコaironet 350を二重mmcxコネクタを避けるために必要なソフトウェアやプラグを適切なチャネルホッピングアンテナ）します。 インストールすることができまたは同様のなじみのipaqディストリビューションして、ダウンロードしてインストールします。 ipkg運命のパッケージ、または設定するにssh - vpnをベースに、中央idの監視サーバーに接続します。 センサーベースのipaqするだろうidの無線センサーのみでは"ローカル"を表示するにwlanイベントを表示します。 思い描いて会社であるidのサーバーには、メインの中央事務局は、支店や遠隔地に無線ネットワークを監視します。 ベースでのipaqセンサー、システム管理者は、遠隔地の無線活動を監視することができるため、場所をローカル、およびネットワークのセキュリティおよび管理のチーフスタッフを観察することができ、すべてのサイトのイベントで、中央サーバーとidを確認して支店admininstratorsします。 このようなセンサーをより便利に使用するための経験を積んだ少ない地方支店の技術者は、運命のためのgui （ wirekismet ）することができ、クライアントにインストールされたり、センサー自体します。 このような場合にお勧めのセキュリティ機能を高めるため、このようなセンサーです。

残念なことに、二重のクライアントはありませんカードは、ゆりかごザウルスていない。 可能性の1つを使用しようとするとcf sdメモリースロットpdaのために、このすばらしいワイヤレスと有線接続します。 無線クライアントsdメモリーカードが製造され東芝とソケットで使用することができザウルスベースのワイヤレスセンサーidのサーバーに接続して、中央のid cfイーサネットカードを経由します。 これらのことはありませんsdメモリーカードを使用した経験があると認識していませんが、実用的な受信感度の可能性を配線する外部アンテナです。

最後に、特注のゲートウェイまたは無線アクセスポイントを含めることができ、組み込まれているセンサーのidまたはサーバーます。 実際のところ、いくつかのセンサーを追加することができapのような（例えば、 1つのためには、別のismおよびuniiバンド）します。 すべての制限をして、この場合はpciスロットの数は、メインボードのセンサーと、空室の無線クライアントデバイスをプラグます。また、 soekrisボードを展開するために使用できる効率的かつ手ごろな価格のvpnが有効になって安全なワイヤレスゲートウェイを実装ネットワーク監視や侵入検知機能を追加します。

その可能性は、実験的な建物のカスタム802.11またはbluetoothセンサーやセンサー、 apの、およびゲートウェイの組み合わせを使用するオープンソースソフトウェアは、信じられないほどです。 のみを念頭に置いておくことをお勧めしなければはありませんがまだ完全なワイヤレスネットワークのidをします。 こうしてどんなに優れていませんが、配備のid ;代替することができない知識や信頼できる無線プロトコルアナライザすべき不審なイベントが行われます。