Como funcionam os pontos de acesso não autorizados?

0

Pelo que entendi, isso pode ser feito de duas maneiras:

  1. Instalando um AP desonesto físico na rede autorizada
  2. Criando um AP não autorizado no software e fazendo a ponte com a rede Ethernet autorizada local.

Lembre-se de que sei criar o AP não autorizado. Não consigo entender como funciona.

Minhas perguntas são:

  1. Em primeiro lugar, não entendo como isso funciona quando o AP real usa criptografia, a menos que você conheça a chave. Não funciona se a criptografia for usada, pode?
  2. Para o método 2, não vejo qual é o objetivo de vincular a rede com fio local. Suponho que tenho que conectar meu dispositivo à rede com fio, depois criar o AP não autorizado e, em seguida, conectá-lo à rede local. Mas por que? É para que os clientes do AP não autorizado possam se conectar a outros hosts na rede e não suspeitar de nada?

Eu encontrei este exemplo no Nullbyte: link

Now that we've created an AP, we need to connect it to oil company's internal, wired network. In this way, traffic through the AP will go directly onto the corporate internal network and bypass all its security, including any firewall or intrusion detection system.

Esta parte apenas me intriga. Como isso é possível?

E novamente, e se o AP real estiver criptografado? Os clientes não enviarão os pacotes criptografados ou não haverá algum problema com certificados ou algo do tipo?

    
por Mark Read 10.07.2017 / 17:49

1 resposta

2

O termo "AP não autorizado" pode significar qualquer AP que seu departamento de TI não deseja operar no alcance de suas instalações, por qualquer motivo. Eles podem ou não estar publicando o SSID corporativo ou estar conectados à rede corporativa. Pode haver muitas coisas diferentes que poderiam ser chamadas de "APs invasores". Aqui estão três grandes categorias nas quais a maioria dos "APs rogue" se enquadram:

  1. Alguns invasores criam um impostor AP que publica o mesmo SSID que o AP corporativo, esperando que os clientes corporativos participem dele para que o invasor possa bisbilhotar o tráfego e talvez roubar credenciais. Ou talvez apenas como uma espécie de ataque DoS. Mesmo que o SSID corporativo geralmente use uma segurança strong, você pode se surpreender com a quantidade de dispositivos clientes que, por padrão, permitirão que você chegue ao mesmo SSID com menor ou nenhuma segurança se o AP que você está tentando entrar permitir. Na verdade, pode ser um pouco incômodo configurar alguns dispositivos clientes para que eles insista em uma segurança strong para um determinado SSID e se recusem a participar desse SSID sem criptografia. Esse tipo de AP não autorizado pode ou não estar conectado à rede corporativa. Portanto, para responder à sua pergunta 1, é provavelmente mais fácil do que se imagina fazer com que os clientes (especialmente clientes operados por usuários inconscientes) participem de um SSID sem criptografia, mesmo que tenham usado criptografia anteriormente para esse SSID.
  2. Alguns funcionários (ou invasores) configuram um AP, com qualquer SSID ou configuração de segurança, conectados à LAN Ethernet com fio corporativa , por qualquer motivo. Às vezes, os funcionários fazem isso porque querem uma cobertura Wi-Fi melhor em seu escritório, ou não gostam de ter que lidar com a autenticação 802.1X (WPA2-Enterprise) ou têm algum dispositivo móvel que desejam colocar na rede, mas A política de TI impede que eles sejam conectados ao SSID corporativo. E é claro que os invasores podem configurar isso para dar a eles uma porta dos fundos para a rede corporativa, porque as LANs de escritórios corporativos geralmente são mais confiáveis e menos bem monitoradas do que as conexões com a Internet. Portanto, em resposta à sua pergunta # 2, Sim, as pessoas configuram isso para que os clientes do AP não autorizado possam acessar a LAN Ethernet do escritório e parecerem com qualquer outro PC do escritório e possam se conectar a máquinas e sistemas corporativos internos sem serem detectados como intrusões.
  3. Alguém dentro de suas instalações (prédio / campus) opera, digamos, um ponto de acesso móvel MiFi por seus próprios motivos. Ele não publica o SSID corporativo nem se conecta à LAN corporativa, mas acaba competindo por tempo de antena em um determinado canal com um AP corporativo próximo. Este é o exemplo menos nocivo e mais mundano de um PA que seu departamento de TI não quer ver operando dentro de suas instalações, mas alguns departamentos de TI ainda os considerarão trapaceiros e tentarão fazer contramedidas eletrônicas contra eles (como enviar 802.11 forjados). (autentique os pacotes para todos os clientes) ou tente localizá-los por meio da intensidade do sinal e faça com que eles sejam desligados e, possivelmente, busque ações corretivas contra o funcionário.
por 10.07.2017 / 20:42