Marcadores

Wireless IDS – Sistema de Detecção de Intrusão para redes sem fio

IDS –  Sistema de detecção de intrusos
Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system – IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.
Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.
Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.
Wireless IDS  é uma ferramenta de código aberto escrito em Python para trabalhar em ambiente Linux. Esta ferramenta pode ser útil para  pentesters, trainers  e para aqueles que interesse e quiser saber mais sobre hacking..WIDs vai sniffar  o tráfego  em torno de atividades suspeitas, como WEP / WPA / WPS attacks. E  fazer o seguinte
  • Detectar mass deauthentication enviada ao ponto de acesso/cliente que em quantidade razoável pode indicar um  possível ataque WPA para  handshakes.
  • Contínuo envio de dados para o ponto de acesso utilizando a o endereço MAC  de broadcast que indicam a possibilidade de ataques WEP
  • Quantidade razoável de comunicação entre o cliente e o ponto de acesso sem fio usando a autenticação EAP, que indicam a possibilidade de WPS bruteforce ataque de Reaver / WPSCrack
  • A detecção de alterações na conexão com anteras ponto de acesso, que pode ter a possibilidade de conexão com  Rogue AP ( usuário precisa avaliar a situação seja semelhante nome AP )
Novas Features  !!! 
  • Mostra o nome do Ponto de acesso semelhante (SSID), que poderia ter a possibilidade de WiFi ‘Evil Twins’.
  • Exibição do SSID sondagem por dispositivos sem fio
  • Detecção de pacotes Korek Chopchop enviadas por Aircrack-NG (ataques WEP)
  • Detecção de pacotes de Fragmentação PRGA enviadas por Aircrack-NG (ataques WEP)
  • A detecção de um possível ataque WPA Downgrade por MDK3
  • Detecção de possível exploração Shutdown Michael (TKIP) por MDK3
  • Detecção de  inundações de Beacon por MDK3
  • Detecção de DoS Authentication possível  por MDK3
  • A detecção de possíveis inundações associação
  • Detecção de WPA Migration Ataque por Aircrack-NG (WPA Ataque)
  • Permitir o registro de eventos para o arquivo.
  • Permitir que a desativação da exibição de dispositivos de sondagem
  • Os dispositivos sem fio / fabricante Identificação Baseando do ponto de acesso no banco de dados MAC OUI.
Visite  https://www.facebook.com/syworks para outras informações e ferramentas atualizadas.

Requisitos
Nenhum equipamento especial é necessário para usar esse script, desde que você tenha o seguinte:
  1. Acesso root (administrador)
  2. Interface sem fios que é capaz de monitorar
  3. Python instalado
  4. Aircrack-NG suíte instalada
  5. Tshark instalado
Nota : Aplicação 3-5 já estão pré-instalados no Backtrack e Kali Linux.
Download/ Instalação
  • Visite  https://github.com/SYWorks/wireless-ids para toda a documentação e arquivos ou fazer o download do arquivo raw diretamente de aqui
  • Salve o arquivo ‘ wids.py ‘para o seu Linux Desktop ou qualquer diretório que vocêgosta.Para o meu caso, eu salva-lo no meu desktop e digite o seguinte no console do terminal.
cd Desktop/
chmod +x wids.py
./wids.py
Quando a instalação estiver concluída, você poderá excluir o arquivo onde você salvou inicialmente como o seguinte tinha ser criada:
Directory : ~/SYWorks/
Directory : ~/SYWorks/WIDS/
Directory : ~/SYWorks/WIDS/tmp
File         : ~/SYWorks/WIDS/wids.py
File         : ~/usr/sbin/wids.py

Download Opcional
  • Você também pode baixar o MAC OUI banco de dados ‘ mac-oui.db ‘  e colocá-lo no mesmo diretório de WIDS (~/SYWorks/WIDS/)

Executando o aplicativo
  • Você pode executar o script em qualquer diretório digitando ‘ wids.py ‘.
  • Uma vez que o script está sendo executado, ele irá detectar a interface sem fio que você tem e se você tiver mais de uma interface, ele solicitará que você para a resposta.
  • Se não houver nenhuma atividade suspeita encontrada, ele irá exibir ‘ Did not detect any suspicious activity..(não detectou qualquer atividade suspeita ..) ‘
  • Nota: Se você quiser sair do script, basta bater no ” Ctrl + C “para sair do aplicativo.

Detectandos possíveis ataques WEP 
  • Se detectado  possíveis ataques WEP , ele irá mostrar o cliente/Access Point MAC Address (AP Name) e também qualquer pedido de autenticação / associação feita.

Detectando Korek Chopchop WEP 
  • Método Korek Chopchop é um método usado por Aircrack-ng para atacar em uma rede WEP encriptadas.
  • Baseando-se na única assinatura nos pacotes, WIDS é capaz de detectar tais método de ataque.

Detectando Fragmentação PRGA WEP 
  • Método de fragmentação PRGA é outro método utilizado por Aircrack-ng para atacar em uma rede WEP encriptadas.
  • Baseando-se estes assinatura exclusiva nos pacotes, WIDS é capaz de detectar tais método de ataque.
Detectados possíveis  ataques WPA 
  • Se a possíveis ataques WPA detectado, ele irá mostrar o cliente / Ponto de Acesso sem fio MAC Endereço (Nome AP) que foram detectados o número de pacotes deauthentication.
  • Se também foram detectados handshakes, ele irá mostrar o número de pacotes de handshake encontrados.

Detectado  Ataque WPA Migration  
  • O Modo WPA Migration Aireplay-NG também usa um método único, enviando solicitação para Access Point usando falso endereço MAC tentando autenticar com AP. Estas inundações também está sendo capturada por WIDS
Possíveis ataques WPS detectados
  • Sempre que uma comunicação entre um cliente sem fio e Access Point usando EAP, seus endereços MAC será exibido com o número de pacotes EAP foram detectados.
  • É uma comunicação consistente de tal pedido, é provável que a WPS Bruteforce está em andamento.
Alterações detectadas nos clientes ligação a outro ponto de acesso
  • O script também detectar eventuais alterações quando um cliente sem fio que é inicialmente ligado a um ponto de acesso mudar posteriormente ligação a outro ponto de acesso, o que poderia ter a conexão possibilidade de um Rogue AP ( usuário também deve observar o nome AP )

Detectado Possível Rogue  Access Point
  • WIDS também analisar o nome do ponto de acesso para mudanças frequentes, que poderia ser a possibilidade de “Rogue AP ‘responder a sonda por dispositivos sem fio
  • Tais Rouge APs poderia ser roteirizado por Airbase-ng, Pineapples, etc ..
Possíveis Evil Twins
  • Com os nomes semelhantes AP detectado, WIDS irá exibir esses APs com nomes semelhantes que possam ter a possibilidade de evil twins.
  • Nem todos os nomes semelhantes AP são ataques desse tipo, como alguns roteadores podem ter dois ou mais  nomes semelhante definido pelos usuários.
  • Fica a critério do usuário para decidir se pode ou não ser um ataque.

TKIPTUN-NG detectado Ataque
  • Quando um elevado número de pacotes de dados QOS é enviada para uma rede WPA / TKIP criptografado, pode haver uma possibilidade de ataque por TKIPTUN-NG.

Detectados Michael Shutdown Exploração  Attacks
  • WIDS é capaz de detectar possível ataque usando MDK3 Michael exploração desligamento opções (TKIP)

Detectado  Authentication DoS
  • Com muita solicitação de autenticação de clientes sem fio, WIDS mostrará se há uma possibilidade de autenticação DoS pela autenticação de inundação por MDK3

Detectado  Inundações de Beacon
  • WIDS também exibirá possível atacante usando inundações de Beacon por MDK3
Detectado  WPA Downgrade Ataque Teste
  • WIDS também detectar opção possível ataque WPA Downgrade Teste por MDK3

Resultados da Sondagem de dispositivos sem fio
  • WIDS também permitem a exibição de dispositivos sem fio detectadas que sondando para qualquer SSID ou que não participam em qualquer conexão de rede.
Diagrama de Processo Hacking / Detection

Passo-a-passo do Ataque/detecção:

AtaquesDetecção
1) O atacante configurar seu ponto de acesso falso semelhante ao nome da vítima AP1) O mal de Detecção de Evil twins
2) O atacante mandou deauthentication ao cliente e ponto de acesso2) Detecção deauth Inundações
3)  Vítima descuidadamente conectado ao ponto de acesso falso fixado pelo atacante3) Mudança na conexão de um AP para outro
Verificar / Atualização do Script
  • Enter ‘ wids.py –update ‘para verificar  online se existem atualizações
Exibindo a Ajuda
  • Enter ‘ wids.py –hh ‘para exibir a ajuda avançada
Argumentos de linha de comando
  • Enter ‘ wids.py –timeout”  para definir o período de tempo capturado.
  • Enter ‘ wids.py –log‘  para salvar todos os eventos para um arquivo (txt), que pode ser encontrado em “~ / SYWorks / WIDS /”
  • Enter ‘ wids.py -l 1‘   ou  ‘ wids.py -l 2‘… para executar WIDS apenas os horários especificados especificados.
  • Enter ‘ wids.py -hp‘   ou  ‘ wids.py –hideprobe‘Para desabilitar a exibição de dispositivos de sondagem ( Padrão – Mostra de sondagem por dispositivos sem fio )
Removendo o Script
  • Enter ‘ wids.py –remove ‘  para remover o script deve você queria remover o script totalmente de seu computador.
Fonte: http://syworks.blogspot.com.br/
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas