Analýza sítís Jan Lhoták, VTI 2009/2010
Colasoft Packet Player Colasoft Packet Player vám m umožní otevírat a znovu posílat v minulosti zachycené a uložen ené pakety. Aplikace podporuje mnoho formátu, které se používaj vají pro zachytávání paketů.. Tyto formáty používá mnoho síťových aplikací typu sniffer.d.díky těmto t programům můžete zachytit komunikaci na síti s a uložit na pevný disk. Tento program pak dokáže e tyto soubory otevřít t a znovu je posílat na síť. s Pakety mohou být posílány do adaptérů dle vašeho výběru, k dispozici jsou i módy m jako burst a loop.
Zamzom Wireless Network Tool Nástroj pro monitorování bezdrátových sítí, s, který zobrazí relativně podrobné informace o jakémkoli uživateli, u který se pokusí do sítěs připojit nebo se mu to skutečně povede. Během B několika vteřin vám v m nabídne seznam autorizovaných i neautorizovaných přístupp stupů do sítěs a vy tak budete moci spravovat svoji síťs lépe a udělat ji tak bezpečnější ší. Program zobrazuje následujn sledující informace o všech, v co se pokouší připojit do sítěs i o těch, t co se tam připojili: p IP adresa počíta tače, MAC adresu síťovs ové karty, počíta tačové jméno.
Angry IP Scaner Rychlý scanner IP adres v sítis Pošle příkaz p ping na všechny v IP Adresy v určen eném rozsahu, aby zjistil, zda je dané zařízen zení připojeno. Dokáže e zjistit i informace NetBios,, jako je název n počíta tače, pracovní skupiny, přihlp ihlášeného uživatele u i MAC adresu síťovs ové karty. Další možnost ností je scanovat otevřen ené porty počíta tačů,, opět t můžm ůžete vybrat port nebo určit rozsah portů,, které se mají scanovat. Funkce aplikace můžm ůžete rozšiřovat ovat pomocí pluginů na stránk nkách výrobce. Program není nutné instalovat, spustíte te jej přímo p ze stažen eného.exe. souboru, což zajišťuje pohodlnou přenositelnost. p
NetLimiter 2.0.10 Pro
NetLimiter 2.0.10 Pro Kontrola a monitorování datových přenosp enosů NetLimiter je nástroj n pro ovládání rychlostí internetových přenosp enosů a podrobné monitorování.. Pomocí NetLimiteru můžete nastavit rychlost celkového stahování i uploadu,, nebo dokonce rychlosti pro jednotlivá spojení zvláš ášť. To je výhodné například, když vám m stahování omezuje rychlost při p i prohlížen ení Internetu. (často( je tento program používán n uživateli u P2P klientů,, pro omezování rychlosti Uploadu) ) Spolu s tímto t jedinečným ným rysem, Netlimiter nabízí komplexní soubor internetových statistických nástrojn strojů i s grafy. Zahrnuje také real - time měření a dlouhodobé statistiky o přenesených p datech pro jednotlivé dny, měsíce m a roky. Netlimiter podporuje i plánov nování do budoucna, takže e si lehce nastavíte, te, kdy a jaký program omezíte, nebo naopak povolíte. NetLimiter je dostupný také ve verzi Monitor, která je zdarma a umožní vám sledovat všechny v datové přenosy, záznamy z znamy přenesených p dat a statistiky. Nenajdete tu však v funkce jako omezení rychlosti apod.
Wireshark Tento program je přímým p nástupcem n "sniffovac" sniffovacícho" nástroje Ethereal,, jehož vývoj byl pozastaven. Wireshark je zkonstruován n k tomu, aby prováděl zachytávání komunikace procházej zející skrze síťovs ová rozhraní vašeho počíta tače (Ethernet,, IEEE 802.11, PPP, Bluetooth,, USB, Token Ring, a další ší). Mezi jeho vlastnosti patří vylepšen ené analyzování VoIP komunikací,, podpora pro dešifrov ifrování protokolů (IPSec, WPA, WEP, aj.), pokročilý filtr dat, velké množstv ství podporovaných protokolů či i možnosti exportu dat (do XML, PostScript,, CSV či čistého textu).
Wireshark - použit ití Základním prvkem pro sledování a následnou analýzu datového provozu bezdrátové sítě je správné nastavení bezdrátové síťové karty (adaptéru). Je nutné mít kartu, či adaptér přepnut do tzv. monitor módu (označován i jako RFMON4). Karta se v tomto módu chová velmi obdobně jako klasická síťová karta v promiskuitním režimu, ale promiskuitní režim to přímo není, ačkoliv tak často bývá uváděno. Monitor mód karty umožňuje pasivní sledovaní a pouhé příjímání bezdrátového provozu bez nutnosti se k síti přímo připojit. =>zachytávat většinu bezdrátové komunikace standardu IEEE 802.11, která probíhá v jejím dosahu.
Wireshark
Wireshark Filtry Jednou z hlavních předností analyzátoru paketů Wireshark jsou jeho rozsáhlé možnosti filtrování. Data lze filtrovat na dvou různých úrovních: 1. Filtr při zachytávání Aplikace zaznamenává pouze ty pakety, které splňují podmínky vstupního filtru. Ostatní nejsou žádným způsobem uloženy pro další zpracování. 2. Zobrazovací filtry umožňují přehledné procházení a oddělování již zachycených dat. Pomocí těchto filtrů se o žádné pakety při zachytávání nepřichází.
Wireshark
Filtr pro zachytávání not port 80 and not port 25 and host www.jcu.cz Při nastavení filtru nebude Wireshark zachytávat veškerou http komunikaci používající port 80 a zároveň žádnou SMTP komunikaci procházející portem 25 z nebo do domény www.jcu.cz
Sledování Zobrazení dat Pomocí filtrů lze zobrazit i požadované údaje v komunikaci. Lze velmi účinně sledovat zabezpečení dat procházejících sítí či stanice a kam tato data směřují. Protokol HTTP Pokud stránka nepoužívá šifrování přenášených dat, lze velice snadno sledovat. Obzvláště citlivá data jsou informace o přihlášení, především uživatelské jméno a heslo, které lze po zachycení neoprávněnou osobou zneužít. Pomocí jednoduchého filtru lze zobrazit komunikaci přicházející od uživatele, jenž se přihlašuje: http and ip.src == IP adresa klienta případně http and eth.src == MAC adresa klienta
Sledování Protokol FTP prochází diskrétní údaje sítí v textové podobě a lze je odchytit a zneužít. Filtrování lze provést stejně jednoduše jako u protokolu http a zobrazit soukromé údaje přihlašujícího se uživatele pomocí následujících filtrů: ftp and ip.src == IP adresa klienta případně ftp and eth.src == MAC adresa klienta
Sledování Další protokoly chatovací protokol ICQ, poštovní protokoly IMAP, POP3, SMTP a další. Uklidněním pro uživatele je, že většina zmíněných protokolů dostala zabezpečenou alternativu, či možnost použití šifrování.
Sledování Problémem je podpora zabezpečení ze strany serverů, která nebývá pravidlem. Dalším omezením je nutnost výše zmíněné zabezpečení zapnout nebo použít na straně klienta. Používání šifrovaného přenosu bývá u mnoha aplikací a webových stránek ve výchozím nastavení vypnuté. V kombinaci s nezabezpečenou či slabě zabezpečenou bezdrátovou sítí se toto nepoužívání šifrovaných přenosů stává velkou a nebezpečnou trhlinou v zabezpečení soukromí uživatelů.
Zabezpečení bezdrátové sítě WEP První šifrování implementované přímo ve standardu IEEE 802.11. Dnes slouží jako velmi slabé zabezpečení proti útoku na bezdrátovou síť. Šifrování lze velmi snadno prolomit.
útok na 64 bitové WEP šifrování s aktivním klientem útokem hrubou silou a s injekcí paketů. PROLOMENO útok na 128bitové WEP šifrování s aktivním klientem útokem hrubou silou a s injekcí paketů. PROLOMENO
WPA, WPA2 Zabezpečení typu WPA je částečnou implementací standardu IEEE 802.11i z roku 2004. Mělo za úkol nahradit již v tehdejší době nedostačující šifrování WEP zabezpečení typu WPA-PSK následujícími útoky: útok slovníkového typu na klíč PROLOMENO Útok zachycením handshake a následným porovnáním kontrolních součtů (hashů) PROLOMENO
zabezpečení typu WPA2-PSK následujícími útoky: útok slovníkového typu na klíč - slabý klíč PROLOMENO útok slovníkového typu na klíč - silný klíč NEPROLOMENO Použité nástroje: Wireshark, balík Aircrack-ng, Cowpatty, genpmk
Skryté SSID Mnoho správců přístupových bodů považuje za zabezpečení nebo zvýšení zabezpečení zakázaní vysílaní SSID informace. Velmi slabá ochrana před napadením sítě, především je-li na sítí připojen klient a probíhá na síti komunikace. -spíše za drobná komplikaci pro útočníka než za zabezpečení Testováno připojení k jinak nezabezpečenému AP se skrytým SSID názvem PROLOMENO Použité nástroje: Wireshark, Kismet
Filtrování MAC adres na AP Nastavení filtrování dle MAC adres přináší obdobně jako výše uvedené skrytí SSID informace falešný pocit zabezpečení. Navzdory tomu, že MAC adresa síťové karty nebo bezdrátového adaptéru by měla být jedinečná, není za pomoci jednoduchých nástrojů problém pro útočníka tuto adresu změnit či podvrhnout. Útočník musí ovšem znát MAC adresu autorizovaného klienta, kterou poté podvrhne AP jako svojí. připojení k jinak nezabezpečenému AP s nastavením autorizovaných MAC adres a aktivním klientem. PROLOMENO Použité nástroje: Wireshark, Kismet, Airodump-ng
Shrnutí Jako nejúčinnější ochranu před napadením a zneužitím bezdrátových sítí lze tedy považovat použití WPA2. Pro domácí či kancelářské použití s autentizací pomocí PSK a šifrováním AES-CCMP. Za předpokladu dobře zvoleného silného klíče, který nebude prolomen slovníkovým útokem nebo útokem hrubé síly. Pro podniky pak použití autentizace dle standardu IEEE 802.1x a šifrování opět AES-CCMP. Pro zajištění co nejvyšší bezpečnosti používat pro datový provoz na bezdrátové sítí šifrovaný tunel.
Literatura SIROVÝ, Ladislav. Použit ití analyzátoru paketů bezdrátových sítís Wireshark.. [s.l.], 2009 tisk. 70 s. Vedoucí bakalářsk ské práce Vedoucí: : Ing. Ladislav Beránek, CSc. Dostupný z WWW: http://theses.cz/id/n970c2/ http://www.stahuj.centrum.cz/internet_a_site/monitoring_site/ [online]. 2009, 2009 [cit. 2009-12 12-10]. 10]. Dostupný z WWW: http://www.stahuj.centrum.cz/internet_a_site/monitoring_site/ http://forum forum.samuraj-cz.com/viewtopic viewtopic.php?f=8&t=5 [online]. 2009, 2009 [cit. 2009-12 12-10]. 10]. Dostupný z WWW: http://forum.samuraj-cz.com/viewtopic.php?f=8&t=5
Děkuji za pozornost