اطلاعیه

Collapse
No announcement yet.

سیستم پیشگیری از نفوذ در شبکه های وایرلس

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • سیستم پیشگیری از نفوذ در شبکه های وایرلس



    سلام ! دوستان علاقه مند بررسی کنند تا به یک جاهایی برسیم !

    توی وایرلس مباحث زیادی هست از شیر کردن اطلاعات بین دو سیستم گرفته تا بررسی پورتکل های امنیتی موجود در شبکه های بیسیم که کلی فیلم و مقاله و ... چه به فارسی چه به انگلیسی توی نت موجود هست

    در مقابل برای ایمن کردن این شبکه ها یک سری کارهایی گفته میشه از جمله انتخاب یک پسورد همراه با الگوریتمی مناسب برای رمزگذاری و غیره

    اما چیزی که توی این تاپیک می خواهیم در موردش بحث کنیم یکم پیشرفته تر از این اقدامات امنیتی هست

    پروژه ای که آقای thomas d'otreppe ( یعنی این آقا ) استارت زده و اسمش رو گذاشته OpenWIPS-ng

    خب open اول این کلمه منظور open source هست نه open ای که برای نشان دادن وضعیت دختری نسبت می دهیم
    WPIS هم حروف اول کلمه ی Wireless Intrusion Prevention System می باشد که به این شکل هم خوانده می شود : Wireless IPS

    اما عبارت ISP یا Intrusion Prevention System یعنی چه ؟ و چه فرقی با IDS یا همان Intrusion detection system دارد ؟

    عبارت ISP یعنی سیستم پیشگیری از نفوذ در صورتی که IDS یعنی سیستم های تشخیص نفوذ و به قول thomas یعنی پیشگیری ای در کار نیست .

    چرا پیشگیری برای چه کاری ؟ پیشگیری علیه انواع حملات بر روی شبکه های بیسیم

    پروژه ای که آقای d'Otreppe آغار کرده بود به این صورت عمل می کند که متشکل از 3 بخش اصلی است :
    کد:
    [LEFT]
        Sensor(s): "Dumb" devices that capture wireless traffic and sends it to the server for analysis. Also responds to attacks.
        Server: Aggregates the data from all sensors, analyzes it and responds to attacks. It also logs and alerts in case of an attack.
        Interface: GUI manages the server and displays information about the threats on your wireless network(s).[/LEFT]
    برای نصب و بررسی به این صورت عمل می کنیم :

    ابتدا به وب سایت اصلی پروژه برید :

    کد:
    http://www.openwips-ng.org
    و OpenWIPS-ng رو دانلود کنید و یا این که به دایرکتوری مورد نظر خود برید و این چنین عمل کنید :

    کد:
    svn co http://svn.openwips-ng.org/trunk/ openwips-ng
    در مرحله ی بعد به دایرکتوری openwips-ng بروید و فایل متنی INSTALL را با یک ویرایشگر باز و مطالعه کنید .

    همان طور که در این فایل ذکر شده است برای راه اندازی این برنامه نیاز به یک کارت شبکه ی بیسیم است که قابلیت حالت مانیتور را داشته باشد .

    همچنین یکی از کامپایلر های make یا gcc باید نصب باشد که اگر از بک ترک به عنوان سیستم عاملتون استفاده می کنید به صورت پیش فرض نصب می باشد .

    و فایل های کتابخانه ای که باید بر روی سیستم نصب باشد :

    کد:
    - Openssl development package
    - libpcap
    - libz
    - m
    - sqlite3 (development package)
    که باز هم به صورت پیش فرض بر روی بک ترک موجود می باشد .

    برای نصب ابتدا Winpcap ورژن 4.1.1 یا بالاتر آن را دانلود کنید . برای دانلود از وب سایت مرجع آن استفاده کنید :

    کد:
    http://winpcap.org
    پس از این که از حالت فشرده خارج کردید به دایرکتوری مربوطه رفته و به این صورت عمل کنید :

    کد:
    cp Lib/*.a /lib
    cp -R Include /usr/include/pcap
    و در آخر هم به دایرکتوری openwips-ng برگشته و برنامه را نصب کنید :
    کد:
    make
    sudo make install
    ممکنه توی نصب مشکلی پش بیاد چرا که اگر اشتباه نکنم باید یک سری از فایل های کتاب خانه ای نصب بشه . برای نصب به این صورت عمل کن :

    کد:
        http://sourceforge.net/projects/boost/files/boost/1.47.0/boost_1_47_0.tar.gz/
    
        tar xvzf boost_1_47_0.tar.gz
    
        cd boost_1_47_0
    
        ./bootstrap.sh
    
        ./b2 install
    اگر برنامه با موفقیت نصب شده باشد می توانید آن را اجرا کنید . برای این منظور به این صورت عمل می کنیم :

    کد:
    openwips-ng MONITOR_MODE_INTERFACE SERVER_IP SERVER_PORT LOGIN PASS
    openwips-ng-server PATH_TO_CONFIGURATION_FILE
    ضمنا فایل کانفیگ openwips-ng-server در مسیر زیر قرار دارد :

    کد:
    /usr/local/etc/openwips-ng/openwips-ng-server.conf
    که می توانید تغییراتی را که می خواهید اعمال کنید .

    در آخر openwips-ng-server را به این شکل اجرا می کنیم :

    کد:
    openwips-ng-server
    توجه داشته باشید که به صورت پیش فرض فایل کانیفگ در آدرس بالا خوانده می شود اما اگر می خواهید از فایل کانفیگ دیگری استفاده کنید باید آدرس آن را در هنگام اجرا برنامه وارد کنید . به این صورت :

    کد:
    openwips-ng-server PATH_TO_CONFIGURATION_FILE
    خب . اگر به فایل کانفیگ سری زده باشید به یک یوزر و پسورد دیفالت خواهید رسید :

    کد:
    sensor=sensor1 PASS 057cb5db27cb1ca732e4c727e934c8771450bb96
    این همان یوزر پسوردی است که باید در هنگام اجرای openwips-ng استفاده شده . اما قبل از اجرای openwips-ng باید یک سری از کارها را انجام داد . ابتدا فعال کردن حالت مانیتور کارت شبکه ی بیسیم می باشد . برای این منظور به یکی از دو روش زیر استفاده کنید :

    کد:
    airmon-ng start Interface
    کد:
    airmon-zc start Interface
    و در نهایت یک if در خروجی نمایش داده می شود مثلا mon0

    SERVER_IP را آی پی لوکال یا آی پی سیستم خودتون را وارد کنید . مثلا 127.0.0.1 یا 192.168.1.2

    SERVER_PORT هم همان طور که در فایل کانفیگ معلوم است 9477 هست .

    SERVER_PORT LOGIN PASS هم همان طور که در بالا به آن اشاره شد sensor1 می باشد .

    خب همه چی به نظر آماده برای آزمایش می رسه پس بیاید یک امتحانی بکنیم ! به این صورت :

    ابتدا openwips-ng-server را اجرا کرده ( یک ترمینال باز کنید و openwips-ng-server را وارد کنید ) و صبر کنید که روی Listening در آید .

    در مرحله ی بعد openwips-ng را همان طور که در بالا گفته شد اجرا کنید . مثلا :

    کد:
    openwips-ng mon0 127.0.0.1 9476 sensor1 sensor1
    اگر برنامه شروع به کار کرد که هیچ اما اگر ارور زیر را در openwips-ng-server دریافت کردید :
    کد:
    [*] Sensor failed to do RPCAP, killing thread <rpcap40000>.
    Segmentation fault
    و هم چنین ارور زیر را در openwips-ng دریافت کردید :

    کد:
    No freakin' idea what the command <RPCAP> means.
    No freakin' idea what the command <> means
    به این شکل عمل کنید :

    ابتدا یک ترمینال باز کنید و یک تلنت از آی پی لوکال یا آی پی سیستم با پورت 40000 بگیرید . یعنی :

    کد:
    telnet 127.0.0.1 40000
    telnet 192.168.1.2 40000
    اگر این دو پورت باز بودند که هیچ اما اگر نبودند به دایرکتوری ای که Winpcap را از حالت فشرده خارج کردید بروید

    در این مرحله مرجع زیر را ببینید :

    کد:
    http://www.winpcap.org/docs/docs_41b5/html/group__remote.html
    یک نگاه کلی بندازید و در آخر روی قسمت Installing the Remote Capture Daemon in UNIX زوم بشید .

    برای نصب همان طور که در سایت هم ذکر شده در داخل دایرکتوری Winpcap به پوشه ی libpcap بروید و برای نصب به این صورت عمل کنید :

    کد:
    ./configure
    make
    سپس به دایرکتوری rpcapd رفته و برای نصب به این صورت عمل کنید :

    کد:
    type make
    ضمنا به این اخطار توجه کنید :
    کد:
    Warning: in order to run the rpcapd daemon, the program must either
    
        run as root (or)
        run as user, but it must be owned by root and must be SUID root (chmod u+s rpcapd)
    خب حالا یک بار دیگه با پورت 40000 تلنت بگیرید اگر باز هم سرویسی پشت این پورت نبود به این صورت عمل کنید :

    کد:
    ./rpcapd -n
    خب حالا با یک سیستم دیگه یک وایرشارک بالا بیارید و به این صورت عمل کنید :

    کد:
    Go to "Capture Options" and specify remote host : rpcap://remotehost/remoteif
    قسمت remotehost آی پی مقصد را وارد کنید و در قسمت remoteif هم اینترفیس مانیتورینگ مود خودت را قرار بدید مثلا mon0



    خب حالا استارت رو بزنید و ببینید آیا وایرشارک بدون هیچ اروری شروع به کپچر پکت های دریافت شده از اینترفیس mon0 می کند یا خیر .

    اگر اروری مبنی بر ارتباط با مقصد گرفتید به این صورت عمل کنید :

    1. یک nmap یا تلنت از لینوکس ( مقصد ) بگیرید ببینید پورت 2002 باز هست یا نه
    2. ببینید توی اجرای rpcapd مشکلی پیش نیمده باشه
    3. ارور رو گوگل کنید !

    ضمنا ممکن هست یک ارور از وایرشارک مبنی بر پایین بودن پهنای باند دریافت کنید ( اگر اشتباه نکنم ) که البته ok کنید حل میشه و چیزه خاصی نیست .

    اما اگر وایرشارک روی اینترفیس سیستم مقصد شما ( لینوکس ) شروع به کار کرد بدونید که rpcapd بدون مشکلی داره کار می کنه . ( که اگر آزمایش کنید به احتمال 90٪ همین طور هست و خطایی دریافت نخواهید کرد )

    حالا به سیستم اصلی ( مقصد . لینوکس ) برگردید و با کنترل + C برنامه rpcapd را متوقف سازید .

    حالا یک بار دیگه rpcapd را به شکل زیر اجرا کنید :

    کد:
    ./rpcapd -p <port>
    مثلا :

    کد:
    ./rpcapd -p 40000
    خب تقریبا تمام شد . حالا دوباره openwips-ng-server را اجرا کرده و صبر کنید که روی Listening در آید .

    در آخر openwips-ng را همان طور که در بالا گفته شد اجرا کنید . مثلا :

    کد:
    openwips-ng mon0 192.168.1.2 9476 sensor1 sensor1
    خب من تا همین جا پیش رفتم ! چرا که ارور زیر رو توی openwips-ng-server می گیرم :

    کد:
    ERROR on binding (port 40000).
    این در صورتی است که rpcapd فعال است و با وایرشارک توی یک سیستم دیگه تونستم به اینترفیس mon0 وصل بشیم


    هرچیزی که به فکرتون میرسه بگید از اشکالات یا احتمالات و ... . با تشکر

  • #2
    من دقيقا متوجه نشدم چيكار ميكنه برام سواله كه اين قراره روي يك كامپيوتر اجرا بشه
    معمولا اكسس پوينت ها و سوئچ هاي وايرلس بعد از سيستم ما قراردارند.
    اين نرم افزار چطوري قراره حملات به مقصد دستگاه وايرلس را دتكت كنه؟ پكتها از mac نفوذگر به mac دستگاه ميرسه و عملا به لايه بعدي كه كارت شبكه كامپيوتري كه اين نرم افزار روش نصبه نميرسه . اين سيستم چطوري حملات را دتكت ميكنه و بعد مشت محكم ميزنه تو دهن هكر وايرلس؟

    Comment


    • #3
      هدف
      اولین هدف یک WIPS این است که از دسترسی شبکه غیر مجاز به شبکه های محلی و دیگر دارایی های اطلاعات با ابزار بیسیم ممانعت کند.این سیستم ها بعنوان یک هم پوشانی برای زیر ساختار یک شبکه محلی بیسیم موجود قرار داده می شود، هرچند که ممکن است در داخل یک سازمان بطور مستقل بکاربرده شود.برخی از زیرساختارهای پیشرفته بیسیم توانایی های WIPS را به صورت مجتمع دارند. سازمانهای با تعداد زیادی کارمند منحصراً برای نقض امنیت آسیب پذیر اند که ناشی از rogue Access point ها است .اگر یک کارمند (موجودیت مورد اعتماد ) در یک مکان که روتر بیسیم در دسترس است، کل شبکه می تواند برای هر کسی در آن محدوده افشاء شوند.در ژوئیه ۲۰۰۹ ،PCI Security standards Council دستورالعمل های بیسیم برای معرفی PCI DDS که از WIPS برای اسکن کردن خودکار بیسیم در سازمانهای بزرگ استفاده می کند را منتشر کرد.

      تشخیص نفوذ
      یک سیستم تشخیص نفوذ بیسیم (WIDS)، طیف رادیویی غیر مجاز ،rogue access point و ابزار های حمله بیسیم مورد استفاده شده را مانیتور(نظارت ) می کند. این سیستم طیف رادیویی مورد استفاده شده بوسیله شبکه محلی بیسیم را مانیتور می کند و سریعاً هشداری را به مدیریت سیستم ها می دهد که یک rogue access point تشخیص داده شده است. مطابق قرارداد این سیستم بوسیله مقایسه کردن آدرس MAC با سایر device های بیسیم شرکت کننده به آن نتایج دست یافت. Rouge device ها می توانند آدرس MAC یک وسیله (device) ازشبکه مجاز را جعل کنندو به جای مالک آنها قرار گیرند. تحقیقات جدید از روش fingerprinting (اثر انگشت)برای شناسایی وسیله های با آدرس MAC جعلی استفاده می کند.ایده آن است که امضاهای واحد(منحصربه*فرد) ارائه شده با سیگنال ساطع شده بوسیله هر وسیله بیسیم را با امضاهای شناخته شده ای که مجاز است مقایسه می کند.


      اين ها هم مرتبطه با موضوع :

      http://en.wikipedia.org/wiki/Wireles...vention_system

      http://fa.wikipedia.org/wiki/سیسØ...?سیم

      http://www.networkworld.com/news/tec...revention.html
      Last edited by myazdi_2000; 02-14-2014, 01:40 PM.

      Comment


      • #4
        نمونه هاي ديگه WIPS

        AirMagnet WiFi Analyzer
        Air Defense
        Adaptive Wireless IPS
        Aruba RfProtect
        Sonicwall Wireless Networking
        TippingPoint IPS
        Newbury RF Firewall
        SpectraGaurd
        Network Box IDP
        3com AirProtect
        AirMobile Server
        WLS Manger

        Comment

        Working...
        X