Seguridad Wireless - Wifi
General => Universo Wireless => Mensaje iniciado por: yoan en 21-02-2014, 22:10 (Viernes)
-
Hola a todos, quisiera que alguien me dijera que hacer para detectar cuando alguien me esta inyectando tramas de deauth o Denegación de servicio en mi red wireless, yo estuve tratando de instalar la versiones de snort del sitio http://snort-wireless.org/ para tener un sistema automatizado que me alerte, pero la verdad es, que no no es fácil, las dependencias que utiliza la versiones de snort que se utilizan para wireless son un poco viejas y al instalarlo con las de ahora resulta errores, conflicto, y he encontrado muchas personas en internet buscando ayuda con la instalación con estos IDS, por otro lado no he encontrado un sitio donde pudieran conservare para que pueda ser utilizadas, si alguien me pude recomendar una distribución o programa que pueda darme estas alarma.
saludos
-
Hola
Detectar un "DDoS" sencillisimo no tenouedes recolectar jejejjej. Es es un síntoma inequívoco de que tienes una desautentificacion masiva
Saludos
-
cuando tengo una death masiva es cierto que es inequívoco, pero lo que quiero es poder saber a través de un sistema alarmas, no solo death, sino también cuando me están suplantado el wireless para engañar a los usuarios y las tramas de gestión del standarg 802.11 que me interese segun las definiciones que establesca en la regla como MAC etc, con el snort-wireless, lo que no he podido es lograr instalar el IDS para wireless, y quiero saber si alguien a puede sugerirme como detectar.
Yo puse un servidor con la interfaces wireless en modo promiscuo y con wireshark le definí unos patrones, logro ver cuando es masiva, o es una death unicast, y ver si hay intrusos comparando la mac solicitante de death con la definida en mi regla de usuarios y wireless para el caso de la suplatanción de AP, pero el wireshark no envía alarma claro está, que yo sepa al menos.
-
http://es.wikipedia.org/wiki/Open_Source_Security_Information_Management
lo jodido es configurarlo para que no te abrase con todo tipo de notificaciones del normal funcionamiento de la red y solo te avise de lo que tu quieres.
he ahí la cuestión de un IDS.
si lo pones muy blando, una simple reconexion de un host que esta lejos de un ap y que pierde la señal por la distancia y se vuelve a conectar, y asi todo el rato, pues te lo considerara un ataque y cada reconexion, alarma al canto.
si lo pones muy duro, pues un tio habilidoso que no lance en nmap a saco, pues te entrara hasta la cocina y ni te enteraras.
-
asi mismo es warcry, pero lo que siempre quise es ponerlo el IDS al lado del AP para que tuviera la menor cantidad de paquete y configurarle las reglas de red que me interesaran para mí, porque lo que mas me interesa es poder detectar los paquete por debajo de la ip 802.11 todo lo relacionado con deaut, asocia, etc, yo domino todas las direcciones mac que se conectan a mi red wifi, de manera que me alerte por una regla que le cree cuando una dirección mac que no es de las mia se este asociando al wifi, y si me usaran una de las que están permitida, el AP no permite una misma mac con dos ip y tumba la conexión, pero ya digo no logro poder instalar IDS.
-
Pero que quieres instalar el IDS como parte del firmware del ap ¿?
el IDS, es una maquina a parte, donde se pone a monitorizar la red.
luego lo de las reglas no tengo muy claro lo que quieres hacer, pero solo comentarte que es imposible que en wireless dos interfaces con la misma mac esten asociados a un AP al mismo tiempo, luego antes de mirar y programar reglas absurdas, tienes que tener un conocimiento pleno de la red que quieres monitorizar ;)
-
Disculpa a lo mejor no explico bien, este IDS tiene reglas que son especifica para las tramas del 802.11, con el IDS en una PC cerca del AP en modo promiscuo puedo capturar todo el trafico hacia el AP y con la reglas activas que me interesen obtendré las alarmas de dauth u asoci que me interesen, inclusive hasta si existiera una suplantación de mi wireless.
-
Lo que me interesa, solo es tener IDS para analizar los ataques hacia la red wireless (basados en las debilidades que comprende el standarg 802.11), porque los otros IDS trabajan con la detección de normas por encima de la capa IP.