Question:
Comment détecteriez-vous une attaque Evil Twin, en particulier dans un nouvel environnement?
J Kimball
2015-04-02 23:02:52 UTC
view on stackexchange narkive permalink

Disons que vous voyagez et que vous vous arrêtez dans le salon de l'aéroport, dans le hall de votre hôtel ou dans un café à proximité. Vous sortez votre ordinateur portable et scannez les réseaux sans fil disponibles. Vous connaissez le nom du réseau sans fil car il est écrit derrière le comptoir / sur un bout de papier / bien connu.

Vous voyez qu'il y a deux options:

"Public gratuit Wifi "&
" Wifi public gratuit "

Lequel est le réseau sans fil actuel, et lequel est l'attaque Evil Twin? Comment pouvez-vous dire? Quels outils ou techniques utiliseriez-vous pour décider?

(Je suis moins intéressé par les réponses qui impliquent de ne pas se connecter à l'un ou l'autre, ou d'éviter le sans fil public, et plus intéressé par les techniques permettant de distinguer les légitimes des non-légitimes AP du point de vue des utilisateurs et non des administrateurs. J'utilise " Evil Twin" dans ce sens spécifique plutôt que dans un sens général "d'acteur malveillant".)

Qu'est-ce qui, pour vous, distingue le réseau «actuel» du «mauvais» réseau? Et s'ils sont tous les deux créés avec de bonnes intentions? Que diriez-vous des deux mis en place avec de mauvaises intentions? Et si on vient du café à côté? Est-ce que ça fait mal depuis que je suis assis ici? Quand je m'y déplace, est-ce que celui-ci devient le malin?
Un "Evil Twin" serait un AP mis en place pour imiter délibérément un AP légitime existant. Mettant de côté tout élément d'intention, le "Evil Twin" sera celui qui n'est pas contrôlé par l'organisation qui offre le service que l'utilisateur a l'intention d'utiliser.
Donc, si je suis à la librairie, l'AP diabolique est celui d'à côté au café. Quand je suis au café, la librairie AP est devenue diabolique. Si l'intention d'utiliser est la caractéristique distinctive, alors ils ne peuvent pas être distingués avec la technologie.
Au lieu de «mal» ou «malveillant», pensez «légitime». Si la librairie clone les paramètres du café, il s'agit du Evil Twin, quelle que soit la manière dont la connexion est utilisée.
Il n'y a pas d'outil électronique que vous pouvez utiliser pour savoir si deux réseaux appelés "Free Public WiFi" sont deux réseaux légitimes qui ont choisi le même nom, un réseau légitime et un réseau malveillant, ou deux réseaux malveillants.
@JKimball: donc vous voulez déterminer lequel était là en premier, étant donné qu'ils ont choisi le même nom, et ne connaissant * que * le nom puisque c'est tout ce qui est écrit sur le compteur, et ne supposant aucune différence de comportement des AP? Cela semble délicat ;-) De toute évidence, vous devez obtenir * des * informations qui les distinguent, mais par définition du problème, vous dites que nous n'avons pas le droit de savoir autre chose.
Le mal sonne comme un terme chargé, peut-être que l'imposteur est le mot que vous recherchez
À moins que le réseau n'utilise WPA Enterprise (peu probable), toute personne à qui on a dit le mot de passe du réseau peut de toute façon intercepter tout le trafic. Alors pourquoi vous souciez-vous?
Simple, le malin aura une barbiche.
Utilisez celui avec la bonne adresse MAC. Faites en sorte que le signe affiche l'adresse MAC du routeur WIFI et vérifiez qu'il s'agit bien de l'adresse MAC à laquelle vous vous connectez. Si le point d'accès malveillant clone l'adresse MAC, cela causera des problèmes de réseau généraux et aucun des réseaux ne fonctionnera correctement. Certes, il n'est pas convivial de vérifier une adresse MAC.
@Chloe The Evil Twin pourrait imiter l'adresse MAC.
Sept réponses:
#1
+40
Aron Foster
2015-04-02 23:14:46 UTC
view on stackexchange narkive permalink

Ils sont tous les deux méchants. Vous ne devriez pas vous connecter à un "Wifi public gratuit" sans supposer que tout votre trafic non chiffré sera surveillé et modifié. La meilleure solution est de ne pas du tout vous connecter aux réseaux publics, mais si ce n'est pas une option pour vous, vous pouvez vous protéger un peu plus en spécifiant votre propre DNS (plutôt que de laisser le routeur choisir pour vous), en utilisant https partout où vous le pouvez , ne pas accéder à vos comptes sensibles sur les réseaux publics, envisager un VPN et maintenir votre logiciel et firmware à jour.

En réponse directe à votre question, certains routeurs ont leur adresse MAC imprimée sur une étiquette; vous pouvez demander au propriétaire du routeur de vérifier pour vous, puis de vous y connecter, de lui envoyer un ping et de consulter votre table arp ( arp -a ) pour voir si elle correspond. Vous pouvez également dire au propriétaire du routeur qu'il y a un imposteur à proximité et lui demander de changer le nom du réseau.

Je suis moins intéressé par les réponses «n'utilisez pas le wifi public» que par les techniques permettant de faire la distinction entre les points d'accès légitimes et leurs jumeaux diaboliques.
Il n'y a pas de bit «maléfique» inclus dans les paquets de mauvais routeurs. Vous devrez indiquer les attaques spécifiques contre lesquelles vous souhaitez vous protéger si vous souhaitez une réponse spécifique. Si vous voulez être en sécurité contre toute la palette de choses qu'un acteur malveillant pourrait faire après vous être connecté à son wifi, la seule réponse est "ne pas se connecter". Et sans une attaque spécifique à l'esprit, il n'y a aucun moyen de distinguer ce qui rend un routeur «mauvais» en premier lieu.
@AronFoster mais un bit diabolique * a été * proposé dans [rfc 3514] (https://www.ietf.org/rfc/rfc3514.txt) ... "Si le bit est mis à 0, le paquet n'a aucune intention malveillante. Les hôtes, éléments de réseau, etc. DEVRAIENT supposer que le paquet est inoffensif et NE DEVRAIENT PAS prendre de mesures défensives. ... Si le bit est mis à 1, le paquet a une mauvaise intention. Les systèmes sécurisés DEVRAIENT essayer de se défendre contre de tels paquets. Les systèmes non sécurisés PEUVENT choisir de planter, d'être pénétrés, etc. " ... oh attendez, cela a été publié il y a un peu plus de 12 ans ... 12 ans et un jour, le premier avril. Hmm. ;-)
Et si le mauvais routeur changeait l'adresse MAC pour qu'elle soit la même que celle d'origine?
@Buge Oui, certainement une possibilité, et [il y a beaucoup plus de façons dont le mauvais routeur pourrait vous tromper] (http://hakshop.myshopify.com/products/wifi-pineapple?variant=81044992). C'est pourquoi la meilleure solution est vraiment de supposer que vous êtes sur un réseau hostile (que vous êtes sur n'importe quel wifi non sécurisé, même si ce n'est pas le réseau "Evil Twin") et de partir de là. En général, cependant, si peu de gens vérifient les adresses MAC, cela ne vaut pas la peine des méchants de les changer.
Une note à propos du DNS - certains routeurs WiFi (comme celui de TP-Link que je possède) redirigeront simplement tout ce qui est envoyé vers udp / 53 vers le serveur DNS qu'ils utilisent avec une règle de pare-feu. Quel que soit le serveur DNS auquel vous essayez de parler, vous obtenez le même résultat. Lorsque vous êtes sur un réseau non approuvé, la seule approche (relativement?) Sécurisée consiste à configurer un VPN sur un point de terminaison connu et à tout faire via le tunnel.
Oui. Les deux sont mauvais. Techniquement, tout wifi qui n'est pas protégé par WPA ou mieux doit être considéré comme mauvais et ne pas faire confiance aux communications non cryptées. C'est parce qu'un autre ordinateur portable connecté au même wifi peut facilement voir tout votre trafic - le «maléfique» n'a pas besoin d'être un routeur. L'accès protégé change cela.
Cela dit, détecter le jumeau maléfique sur un réseau protégé est facile. Essayez de vous connecter aux deux. Le mauvais routeur n'a probablement pas le même mot de passe, donc la connexion devrait échouer (bien sûr, s'ils parviennent à déchiffrer le mot de passe du "bon" wifi .. c'est une autre histoire)
@slebetman Bien sûr, et si vous faites cela, le routeur maléfique peut capturer votre mot de passe. Pas une bonne idée.
@slebetman Il est peu probable qu'un utilisateur régulier puisse se connecter au point d'accès sans fil. Et s'ils le peuvent, l'attaque Evil Twin n'est probablement qu'un des problèmes rencontrés par l'AP légitime.
@user30204 Oui, mais c'est pour TCP, pas 802.11 qui opère sur une autre couche.
#2
+24
Matthew Peters
2015-04-03 00:33:48 UTC
view on stackexchange narkive permalink

Traditionnellement, il n’existait pas de méthode simple orientée utilisateur pour détecter les attaques jumelles maléfiques. La plupart des tentatives de détection d'une attaque jumelle diabolique (ETA) sont destinées à l'administrateur d'un réseau où les administrateurs réseau autorisés analysent et comparent le trafic sans fil. Ce n'est pas vraiment ce qui vous intéresse.

Il y a un article ici (et des diapositives) qui passe en revue une approche expérimentale pour déterminer à partir de le point de vue de l'utilisateur un ETA en temps réel. Fondamentalement, ils utilisent une approche astucieuse pour déterminer statistiquement quel point d'accès est autorisé et quel est le jumeau maléfique.

Une approche simple (qui ne fonctionnera pas toujours) que je propose est de simplement vous renifler et voir ce que les adresses IP sont. L'idée étant qu'un point d'accès non reconnu aura une adresse IP non standard (c'est-à-dire ce à quoi vous vous attendriez) et lancera ainsi des signaux d'alarme ... Voici un lien qui décrit comment configurer votre propre ETA afin que vous peut jouer avec ma méthode (ou essayer la vôtre). AVERTISSEMENT: Si vous créez un ETA, faites-le dans un environnement de laboratoire car cela est illégal en public.

Notez également qu'un ETA peut être considérablement atténué en sécurisant simplement le réseau via un système d’authentification qui utilise des protocoles d’authentification extensibles tels que WPA2-entreprise - qui fonctionne en validant à la fois le client et le point d'accès.


Pour aborder d'autres points ...

Si vous avez un moyen de communiquer avec les administrateurs réseau autorisés (ou au moins de savoir quel point d'accès est le bon), alors vous avez déjà effectué une méthode psuedo-méta-athorisation en dehors du domaine numérique (IE je peux physiquement voir le bon routeur et connaître son adresse mac, ses paramètres IP, etc. et ainsi les comparer avec ce à quoi mon adaptateur me dit que je suis connecté). Le plus souvent, nous n'avons pas cette information et de plus, nous ne devrions pas y faire confiance même si nous l'avons fait. Ainsi, peut-être que la `` meilleure '' méthode pour utiliser un réseau non approuvé (ET ou non) est de toujours supposer qu'il est compromis et de mettre en œuvre un VPN ou simplement de s'abstenir complètement!

J'avais vu le journal, et c'était probablement le message le plus direct pour ma question. J'étais curieux de savoir s'il existait d'autres techniques utilisables du point de vue de l'utilisateur plutôt que de l'administrateur. Je pense qu'il est juste de dire que je ne comprends pas assez bien le document pour le mettre en œuvre (je voterais votre réponse, mais ma réputation n'est pas encore assez élevée pour le faire).
Certes, mes compétences en mathématiques ne sont pas à la hauteur du professeur A&M, mais l'essentiel est simple. Si je comprends bien, cet article utilise essentiellement le temps qu'il faut à un paquet pour aller et revenir de l'ET pour localiser physiquement un emplacement, puis à partir de là, il s'appuie sur une masse de statistiques qu'il a rassemblées pour créer un devinez quel AP est le bon ...
#3
+23
Tom J Nowell
2015-04-03 07:27:59 UTC
view on stackexchange narkive permalink

Dites au barrista / commis / etc que le wifi est tombé en panne, peuvent-ils redémarrer ou éteindre le routeur?

La plupart des gens le feront avec plaisir, en abaissant le point d'accès pendant un moment, et exposer le mauvais routeur jumeau dans le processus comme tout réseau actif qui survit à un cycle d'alimentation.

S'il y a plus d'un routeur jumeau diabolique, cela fonctionne toujours.

S'il y a plusieurs bons routeurs, cela identifiera au moins un. La même tactique peut être utilisée pour identifier les autres (Hé ça ne marche pas encore, est-ce la seule box wifi? Toute cette technologie est si déroutante, peut-être devez-vous le faire à tous?).

Sinon, une fois que vous avez identifié un bon point d'accès, connectez-y un périphérique, puis à l'aide d'un deuxième périphérique, connectez-vous aux autres points d'accès et essayez de localiser le premier périphérique sur le réseau. À moins que le bon AP n'ait été compromis, tout AP qui trouve le périphérique d'origine est un bon AP. S'il a été compromis, alors tous les points d'accès sont mauvais

Une autre alternative est que si vous pouvez voir la marque du routeur, essayez de vous connecter à son panneau d'administration. Si l'invite de connexion ne correspond pas à la marque / marque, vous avez trouvé le jumeau diabolique.

Les meilleures solutions ici vont généralement impliquer simplement de parler au fournisseur de l'AP légitime plutôt que d'exécuter un vaste comparaison avec des résultats douteux.

En attendant, si l'AP en question est ouvert, il n'est pas sûr, les attaques jumelles diaboliques sont inutiles. Un réseau public avec un mot de passe partagé est également non sécurisé. Si vous êtes préoccupé par la sécurité d'un réseau Wi-Fi public pour une raison quelconque, ne l'utilisez pas.

en ce qui concerne les écrans de connexion, j'ai vu des configurations où l'Evil Twin copiera simplement la page de connexion du vrai routeur
Cette réponse suppose également qu'il n'y a qu'un seul routeur.
S'il y a 10 jumeaux maléfiques et que l'alimentation barrista fait fonctionner le routeur, cela fonctionne toujours. S'il y a 2 routeurs et que le barrista alimente les deux, cela fonctionne toujours. Par conséquent, s'il y a plusieurs routeurs et que vous identifiez 1 bon routeur via un cycle d'alimentation, vous pouvez rejoindre chaque AP et envoyer un ping à un périphérique connecté à un bon routeur connu comme test de base
Exposer le Evil Twin de cette manière ne fonctionnerait que si ce n'est pas assez maléfique pour sembler également descendre pendant la même durée. Que faire si c'est très mauvais et refléter l'état du bon routeur? Dans ce cas, vous devrez peut-être introduire un pseudo-triplé diabolique pour surpasser le jumeau.
Tout cela peut être déduit des mesures de latence et de synchronisation. Le premier AP à descendre est clairement celui sur lequel le barrista vient de retirer la prise, celui qui a chuté 20 ms plus tard n'est pas
Ou vous pourriez leur dire qu'ils ont un jumeau diabolique.
#4
+14
PyRulez
2015-04-03 03:39:18 UTC
view on stackexchange narkive permalink

Il y a une chose qu'un jumeau maléfique ne peut pas copier: emplacement . Configurez trois ordinateurs, puis triangulez. Ou ayez une sorte de détecteur de temps. Si l'un d'eux répond suffisamment rapidement pour que vous sachiez, en fonction de la vitesse de la lumière, qu'il doit être dans le magasin, alors vous savez qu'il sera dans le magasin, ce qui est utile en cas de retard triangulation plus difficile.

Remarque: si vous découvrez que les routeurs ne passent pas par une autre source, vous pouvez utiliser un détecteur de distance mobile . Cela vous donnera beaucoup de points de données avec lesquels travailler, ce qui peut vous aider si votre détecteur n'est pas précis.

Remarque: si vous découvrez que les routeurs ont la même puissance de signal et les mêmes capacités de détection, et que le bon est plus proche, une méthode pratique consiste simplement à filtrer les paquets plus faibles .

La vitesse de la lumière est trop rapide pour que le matériel standard soit utile pour déterminer la distance. Le temps de réponse (et sa variation) sera dominé par les retards de traitement. Mais la force du signal peut être utilisée avec un ordinateur que vous pouvez déplacer.
@Rick Prendre un tas d'échantillons réduit la variation. Il est également généralement plus difficile pour le jumeau d'essayer de copier l'emplacement des originaux (que vous triangulez) plus vous êtes proche.
#5
+5
Nik Roby
2015-04-03 19:02:48 UTC
view on stackexchange narkive permalink

Pour détecter une attaque Evil Twin avec une configuration standard, les seules informations dont vous disposez réellement et le SSID, l'adresse MAC du point d'accès sans fil et l'adresse IP DHCP, la passerelle et le serveur DNS qu'il distribue. En dehors de cela, vous pourriez trouver le jumeau maléfique en utilisant une fréquence différente de l'original, comme le véritable AP étant à 2,4 GHz et le mauvais AP étant à 5 GHz. De nombreux points d'accès sont configurés via l'interface Web, ce qui signifie que si vous avez un point d'accès Linksys, vous pourrez peut-être accéder à une page à l'adresse http://192.168.1.1/Managment.asp, mais pas sur le AP maléfique.

Un Evil Twin ne prendra probablement pas la peine de cloner ce niveau détaillé de configuration car il est beaucoup plus facile de simplement cloner le SSID et le MAC (s'ils se soucient même de cela).

Par conséquent, si vous connaissez la configuration de configuration DHCP attendue ou l'URL de configuration attendue, vous pouvez dire si l'AP auquel vous vous connectez est faux.

#6
+3
munchkin
2015-04-03 21:34:27 UTC
view on stackexchange narkive permalink

Un moyen très simple, si vous êtes l'administrateur réseau, est d'avoir un hôte connecté à votre réseau physique. Donc, un ping rapide vous révélera si vous avez été mis à l'écart sur un autre réseau.

Dans le cas où vous vous trouvez dans une zone publique, alors utiliser un VPN pourrait être une bonne idée.

Sauf si le point d'accès non autorisé est un proxy pour le bon.
Eh bien, le point de terminaison ping n'est pas le même que le point d'accès. Bien que le problème fondamental soit vraiment le WIFI pour commencer.
Le WLAN n'est pas différent du LAN avec des appareils étranges. Comment votre solution atténue-t-elle une attaque MITM?
L'une des attaques WLAN est l'utilisation d'un faux ap, qui est essentiellement ce qu'est un jumeau maléfique. Si vous avez eu la malchance de rencontrer cela, alors envoyer un ping à un hôte attaché au LAN le révélerait. De plus, avec l'entreprise wpa2 avec radius, vous pourrez également le faire, mais uniquement parce que la plupart des routeurs domestiques ne font pas d'authentification par rayon et que vous devez en configurer l'un séparément.
Le faux AP ne pourrait-il pas relayer votre ping vers le vrai AP, rendant ainsi votre solution nulle?
Le faux AP n'est pas connecté à l'AP.
Le vrai AP n'est évidemment pas sécurisé, il n'y a donc aucune raison pour que le faux AP ne puisse pas s'y connecter pour les requêtes LAN.
#7
-2
Cees Timmerman
2015-04-17 14:06:23 UTC
view on stackexchange narkive permalink

Le bon AP doit avoir une empreinte digitale de confiance de son certificat auto-signé *. Je pense que c'est automatisé comme "épinglage de certificat" - Qu'est-ce que l'épinglage de certificat?

*: Auto-signé car toutes les autorités de certification ne sont pas dignes de confiance.

MISE À JOUR: Je ne connais pas votre AP, mais y mettre un simple serveur Web devrait être trivial ( flash firmware open source). Quoi qu'il en soit, voici la preuve qu'un AP peut avoir un certificat.

Les points d'accès sans fil n'utilisent pas de certificats SSL.
@Mark Pas n'importe lequel? Heureusement que je n'ai pas mentionné SSL, alors.
Si l'empreinte digitale change, vous savez que ce n'est pas le vrai AP, alors comment ma réponse n'est-elle pas utile? Mettez un proxy sécurisé ou une page "C'est moi" sur l'AP si d'autres technologies sont trop difficiles.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...