zajímavý

Jak klepnout na vaši síť a vidět vše, co se na ní děje

Vaše domácí síť je tvá pevnost. Uvnitř leží spoustu cenných informací - nešifrované soubory, osobní, soukromá data a možná nejdůležitější jsou počítače, které mohou být uneseny a použity pro jakýkoli účel. Pojďme si promluvit o tom, jak můžete se sílou zla čichat po domácí síti, abyste se ujistili, že nemáte žádné nezvané hosty.

V tomto příspěvku vám ukážeme, jak namapovat vaši síť, podívat se pod přikrývky, abyste zjistili, kdo s čím mluví, a jak odhalit zařízení nebo procesy, které mohou nasávat šířku pásma. Stručně řečeno: Budete moci rozpoznat signály, že je něco ve vaší síti ohroženo. Budeme předpokládat, že jste obeznámeni s některými základy sítě, jako je to, jak najít seznam zařízení vašeho routeru a jaká je MAC adresa. Pokud tomu tak není, vydejte se do naší noční sítě Know Your Network, kde se nejprve otřete.

Než se však vydáme dále, měli bychom vydat varování: Tyto pravomoci používejte dobře a tyto nástroje a příkazy spusťte pouze na hardwaru nebo sítích, které vlastníte nebo spravujete. Vaše přátelské IT oddělení v sousedství by nechtělo, abyste portovali skenování nebo čichání paketů v podnikové síti, a ani by to nebyli všichni lidé v místní kavárně. Stejně jako u každého zlého týdenního příspěvku jde o to, abyste vás naučili, jak se to dělá, abyste to mohli udělat sami a chránili se - nevykořisťovali ostatní.

Krok 1: Vytvoření mapy sítě

Než se dokonce přihlásíte do svého počítače, zapište si, co si myslíte, že víte. Začněte listem papíru a zapište si všechna připojená zařízení. Patří sem například chytré televizory, set-top boxy, notebooky a počítače, tablety a telefony nebo jakékoli jiné zařízení, které by mohlo být připojeno k vaší síti. Pokud vám to pomůže, nakreslete mapu svého domova doplněnou o pokoje. Pak si zapište každé zařízení a místo, kde žije. Můžete být překvapeni, kolik zařízení jste současně připojili k internetu.

Síťoví administrátoři a inženýři tento krok poznají - je to první krok při zkoumání jakékoli sítě, kterou neznáte. Proveďte inventarizaci zařízení, identifikujte je a poté zjistěte, zda se realita shoduje s tím, co očekáváte. Pokud (nebo kdy) to neučiníte, budete moci rychle vyloučit to, co víte, z toho, co nevíte. Možná budete v pokušení se pouze přihlásit do routeru a podívat se na jeho stavovou stránku, abyste viděli, co je připojeno, ale ještě to nedělejte. Pokud nemůžete identifikovat vše ve vaší síti podle jeho IP a MAC adresy, dostanete jen velký seznam věcí - ten, který obsahuje vetřelce nebo freeloadery. Vezměte nejprve fyzický inventář a poté přejděte k digitálnímu.

Krok dva: Vyzkoušejte svou síť, abyste viděli, kdo je na ní

Jakmile budete mít fyzickou mapu vaší sítě a seznam všech důvěryhodných zařízení, je čas jít kopat. Přihlaste se k routeru a zkontrolujte jeho seznam připojených zařízení. To vám poskytne základní seznam jmen, IP adres a MAC adres. Nezapomeňte však, že váš seznam zařízení směrovačů vám může nebo nemusí zobrazit vše. To, ale některé směrovače zobrazují pouze zařízení, která používají router pro svou IP adresu. Ať tak či onak, udržujte tento seznam na straně - je to dobré, ale chceme více informací.

Dále se obrátíme na našeho starého přítele nmap. Pro ty neznámé, nmap je multiplatformní, otevřený zdrojový síťový skenovací nástroj, který dokáže najít zařízení ve vaší síti, spolu s tunou detailů na těchto zařízeních. Můžete vidět otevřené porty, používaný operační systém, IP a MAC adresy, dokonce otevřené porty a služby. Stáhněte si nmap zde, podívejte se na tyto instalační příručky a nastavte jej. Postupujte podle těchto pokynů a objevte hostitele ve vaší domácí síti.

V mém případě jsem ji nainstaloval a spustil z příkazového řádku (pokud chcete grafické rozhraní, Zenmap obvykle přichází s instalačním programem), pak jsem řekl společnosti nmap, aby prohledala rozsah IP, který používám pro svou domácí síť. Našlo většinu aktivních zařízení v domácí síti, s výjimkou několika, na kterých mám vylepšené zabezpečení (i když ty byly zjistitelné také pomocí některých příkazů nmap, které najdete v odkazu výše.)

Porovnejte seznam nmap se seznamem vašeho routeru. Měli byste vidět stejné věci (pokud není něco, co jste si zapsali dříve, vypnuto.) Pokud na routeru uvidíte něco, co se nmap neobjevilo, zkuste použít nmap proti této IP adrese přímo. Poté, na základě toho, co víte, podívejte se na informace nmap nalezené o zařízení. Pokud tvrdí, že se jedná o Apple TV, pravděpodobně by neměla mít například takové služby, jako je http. Pokud to vypadá divně, vyzkoušejte to konkrétně pro další informace, jako jsem to udělal na obrázku výše. Všiml jsem si, že jeden z mých strojů odmítal pingové požadavky, díky čemuž přeskočilo nmap. Řekl jsem nmapu, aby to stejně vyzkoušel, a určitě to dostačilo.

Nmap je extrémně výkonný nástroj, ale není to nejjednodušší použití. Pokud jste trochu plachý, máte nějaké další možnosti. Angry IP Scanner je další platformový nástroj, který má dobře vypadající a snadno použitelné rozhraní, které vám poskytne mnoho stejných informací. Dříve zmíněný Kdo je na mém Wi-Fi je obslužný program Windows, který nabízí podobné funkce a může být nastaven tak, aby skenoval na pozadí pro případ, že by někdo přišel online, když se nedíváte. Wireless Network Watcher, opět pro Windows, je další nástroj, který jsme zmínili s pěkným rozhraním, které se přes svůj název neomezuje pouze na bezdrátové sítě.

Krok tři: Čichejte kolem a uvidíte, s kým všichni mluví

Nyní byste měli mít seznam zařízení, které znáte a kterým důvěřujete, a seznam zařízení, která jste našli připojeni k vaší síti. S trochou štěstí jste zde hotov a všechno se buď shoduje, nebo je to samo-vysvětlující (například televizor, který je právě vypnutý). Pokud však vidíte nějaké herce, které nepoznáváte, služby, které neodpovídají zařízení (Proč je můj Roku spuštěný postgresql?), Nebo se něco jiného cítí pryč, je čas udělat trochu šňupání. Paket čichání, to je.

Když dva počítače komunikují, buď ve vaší síti nebo přes internet, posílají si navzájem kousky informací nazývané „pakety“. Tyto pakety dohromady vytvářejí složité datové toky, které tvoří videa, která sledujeme, nebo dokumenty, které stahujeme. Čichání paketů je proces zachycování a zkoumání těchto bitů informací, aby se zjistilo, kam směřují a co obsahují. K tomu potřebujeme Wireshark. Jedná se o nástroj pro monitorování sítě napříč platformami, který jsme v našem průvodci používali k tomu, aby jsme si šňupali hesla a soubory cookie. V tomto případě to budeme používat podobným způsobem, ale naším cílem není zachytit nic konkrétního, pouze sledovat, jaký typ provozu se děje po síti. Chcete-li to provést, musíte spustit Wireshark přes Wi-Fi v „promiskuitním režimu“. To znamená, že nejde jen o hledání paketů směřujících do nebo z počítače, ale o sběr všech paketů, které vidí ve vaší síti.

Po instalaci otevřete WireShark a vyberte adaptér Wi-Fi. Klikněte na „možnosti“ vedle ní a jak vidíte ve videu výše (s laskavým svolením lidí na Hak5), můžete pro tento adaptér vybrat „promiskuitní režim“. Jakmile budete mít, můžete začít zachytávat pakety. Když zahájíte snímání, získáte spoustu informací. Naštěstí to Wireshark předvídá a usnadňuje filtrování.

Protože se jen díváme na to, co podezřelí herci ve vaší síti dělají, ujistěte se, že daný systém je online. Jděte do toho a začněte s předstihem několik minut provozu. Poté můžete filtrovat tento provoz na základě IP adresy tohoto zařízení pomocí vestavěných filtrů Wireshark. Tím získáte rychlý přehled o tom, s kým daná IP adresa mluví a jaké informace zasílají sem a tam. Můžete kliknout pravým tlačítkem na kterýkoli z těchto paketů a zkontrolovat jej, sledovat konverzaci mezi oběma konci a filtrovat celé zachycení podle IP nebo konverzace. Pro více informací má How-To Geek podrobného průvodce filtrováním Wireshark. Možná nevíte, na co se díváte, ale právě tam přichází malé vytržení.

Pokud vidíte, že podezřelý počítač mluví s podivnou adresou IP, použijte příkaz nslookup (v příkazovém řádku systému Windows nebo v terminálu v systému OS X nebo Linux) a získejte jeho název hostitele. To vám může hodně říci o umístění nebo typu sítě, ke které se počítač připojuje. Wireshark vám také řekne používané porty, takže Google číslo portu a zjistěte, jaké aplikace to používají. Pokud máte například počítač, který se připojuje k podivnému názvu hostitele přes porty často používané pro přenos IRC nebo pro přenos souborů, může se jednat o vetřelce. Samozřejmě, pokud zjistíte, že se zařízení připojuje k renomovaným službám přes běžně používané porty, jako jsou e-maily nebo HTTP / HTTPS, možná jste právě narazili na tablet, který vám váš spolubydlící nikdy neřekl, že je vlastníkem, nebo někdo odešel ukrást vaše Wi- Fi. V každém případě budete mít data potřebná k tomu, abyste na to přišli sami.

Krok 4: Zahrajte si dlouhou hru a přihlaste se k zachycení

Samozřejmě, že ne každý špatný herec ve vaší síti bude on-line a bude mu lenošit, když je hledáte. Až do této chvíle vás učíme, jak zkontrolovat připojená zařízení, skenovat je a zjistit, kdo jsou, a potom si trochu vyčichat ze svého provozu, aby se ujistili, že je to vše nad palubou. Co ale dělat, když podezřelý počítač dělá špinavou práci v noci, když spíte, nebo někdo uklízí vaše Wi-Fi, když jste celý den v práci a ne v okolí?

Existuje několik způsobů, jak to vyřešit. Pro jednoho, aplikace Kdo je na mém Wi-Fi, kterou jsme zmínili dříve, může běžet na pozadí v počítači se systémem Windows a sledovat, kdo se připojuje a kdy. Může vás ping, když se na to nedíváte, a dá vám vědět, když je někdo připojen k vaší síti, což je příjemné. Můžete ji nechat běžet na počítači doma, a když se probudíte nebo se vrátíte z práce, uvidíte, co se stalo, když jste se nedívali.

Další možností je kontrola možností protokolování routeru. Karta věnovaná protokolování je obvykle zasazena do řešení potíží nebo možností zabezpečení routeru. Kolik se můžete přihlásit a jaké informace se liší podle routeru, ale vidíte na obrázku výše, mohu protokolovat příchozí IP, číslo cílového portu, odchozí IP nebo URL filtrované zařízením v mé síti, interní IP adresu a jejich MAC adresu a která zařízení v mé síti zkontrolovala pomocí routeru přes DHCP jejich IP adresu (a proxy, které tak ne.) Je to docela robustní a čím déle necháte protokoly spuštěny, tím více informací můžete zachytit .

Vlastní firmware jako DD-WRT a Tomato (oba jsme vám ukázali, jak instalovat) vám umožňují monitorovat a protokolovat šířku pásma a připojená zařízení tak dlouho, jak chcete, a dokonce je mohou tyto informace vypsat do textového souboru, který vy může projít později. V závislosti na tom, jak máte router nastaven, může vám tento soubor pravidelně zasílat e-mailem nebo ho ukládat na externí pevný disk nebo NAS. Ať tak či onak, pomocí často používaných funkcí protokolování ve vašem routeru je skvělý způsob, jak zjistit, zda například váš herní počítač najednou po půlnoci a odešel do postele najednou křupat a přenášet velké množství odchozích dat, nebo máte pravidelnou pijavice. kdo rád skočí na vaše Wi-Fi a začne stahovat torrenty v lichých hodinách.

Vaše poslední možnost a druh jaderné možnosti je prostě nechat Wireshark zachytit hodiny - nebo dny. Není to neslýchané a mnoho správců sítě to dělá, když skutečně analyzují podivné chování sítě. Je to skvělý způsob, jak zachytit špatné herce nebo chabá zařízení. Vyžaduje však ponechat počítač zapnutý po stáří, neustále čichat pakety ve vaší síti, zachycovat vše, co se v něm děje, a tyto protokoly mohou zabrat dostatek místa. Můžete oříznout věci pomocí filtrování zachycení podle IP nebo typu provozu, ale pokud si nejste jisti, co hledáte, budete mít k dispozici data, která se budou prosévat, když se díváte na zachycení i přes pár hodin. Přesto vám určitě řekne vše, co potřebujete vědět.

Ve všech těchto případech, jakmile budete mít dostatek dat přihlášených, budete moci zjistit, kdo používá vaši síť, kdy a zda se jejich zařízení shoduje s dříve vytvořenou mapou sítě.

Krok 5: Zamkněte síť dolů

Pokud jste postupovali dále, určili jste zařízení, která by se měla připojit k vaší domácí síti, ta, která se skutečně připojují, identifikovala rozdíly a doufejme, že přijde na to, zda existují špatní herci, neočekávaná zařízení, nebo pijavice kolem. Nyní se s nimi musíte vypořádat a to je překvapivě snadné.

Pijavice Wi-Fi se rozběhnou, jakmile uzamknete router. Než uděláte cokoli jiného, ​​změňte heslo routeru a vypněte WPS, pokud je zapnuto. Pokud se někomu podařilo přihlásit přímo do směrovače, nechcete měnit jiné věci, pouze aby se přihlásili a získali přístup. Ujistěte se, že používáte dobré a silné heslo, které je obtížné vyvolat silou. Poté zkontrolujte aktualizace firmwaru. Pokud vaše pijavice využila exploit nebo zranitelnost ve firmwaru routeru, bude to držet je venku - za předpokladu, že exploit byl oprava, samozřejmě. Nakonec se ujistěte, že je váš režim zabezpečení bezdrátové sítě nastaven na WPA2 (protože WPA a WEP je velmi snadné crackovat) a změňte své heslo Wi-Fi na jiné dobré, dlouhé heslo, které nelze násilně vynutit. Jedinými zařízeními, která by se měla znovu připojit, jsou pak zařízení, kterým nové heslo dáte.

To by se mělo postarat o kohokoli, kdo uklidňuje vaše Wi-Fi a dělá veškeré stahování z vaší sítě namísto těch. Pomůže to také s kabelovým zabezpečením. Pokud je to možné, měli byste také podniknout několik dalších kroků zabezpečení bezdrátové sítě, například vypnout vzdálenou správu, deaktivovat UPnP a samozřejmě zjistit, zda váš směrovač podporuje Tomato nebo DD-WRT.

U špatných herců ve svých kabelových počítačích musíte udělat nějaké lovy. Pokud je to ve skutečnosti fyzický, měl by mít přímé připojení k routeru. Začněte trasovat kabely a mluvit se svými spolubydlícími nebo rodinou, abyste zjistili, co se děje. V nejhorším případě se můžete vždy přihlásit zpět ke směrovači a tuto podezřelou adresu IP zcela zablokovat. Majitel tohoto set-top boxu nebo tiše zapojeného počítače bude běžet docela rychle, jakmile přestane fungovat.

Větší starostí zde však jsou ohrožené počítače. Plocha, která byla unesena a připojena k botnetu například pro noční těžbu bitcoinů, nebo k počítači infikovanému malwarem, který volá domů a odešle vaše osobní informace komu kdo ví, kde může být špatná. Jakmile zúžíte vyhledávání na konkrétních počítačích, je čas vykořenit, kde je problém na každém počítači. Pokud se opravdu bojíte, přijměte k problému bezpečnostní technik: Jakmile jsou vaše počítače vlastněny, již nejsou důvěryhodné. Odfoukněte je, znovu nainstalujte a obnovte ze záloh. (Máte zálohy svých dat, že?) Jen se ujistěte, že poté budete na PC dávat pozor - nechcete se obnovit z napadené zálohy a celý proces začít znovu.

Pokud jste ochotni si svléknout rukávy, můžete se chytit solidního antivirového programu a antimalwarového skeneru na vyžádání (ano, budete potřebovat obojí) a pokusit se dotyčný počítač vyčistit. Pokud jste viděli provoz pro konkrétní typ aplikace, podívejte se, zda se nejedná o malware nebo jen něco, co někdo nainstaloval a chová se špatně. Pokračujte v skenování, dokud se vše neobjeví čisté, a sledujte provoz z tohoto počítače, abyste se ujistili, že je vše v pořádku.

Zde jsme povrch opravdu jen poškrábali, pokud jde o monitorování a zabezpečení sítě. Existuje spousta konkrétních nástrojů a metod, které odborníci používají k zabezpečení svých sítí, ale tyto kroky budou pro vás fungovat, pokud jste správcem sítě pro váš domov a rodinu.

Zakořenění podezřelých zařízení nebo pijavic ve vaší síti může být dlouhý proces, takový, který vyžaduje hloupost a ostražitost. Přesto se nepokoušíme bubnovat paranoiu. Kurz je, že nenajdete nic neobvyklého a ty pomalé stahování nebo mizerná rychlost Wi-Fi jsou něco úplně jiného. Přesto je dobré vědět, jak testovat síť a co dělat, pokud zjistíte něco neznámého. Jen nezapomeňte využít své schopnosti k dobrému.