интересен

Как да докоснете мрежата си и да видите всичко, което се случва върху нея

Вашата домашна мрежа е вашата крепост. Вътре се намират множество ценна информация - нешифровани файлове, лични, лични данни и може би най-важното, компютри, които могат да бъдат отвлечени и използвани за всякакви цели. Нека да поговорим за това как можете със силата на злото да подушите около домашната си мрежа, за да сте сигурни, че нямате неканени гости.

В тази публикация ще ви покажем как да очертаете мрежата си, да надникнете под завивките, за да видите кой говори с какво и как да разкриете устройства или процеси, които може да намаляват честотната лента. Накратко: Ще можете да разпознаете признаците, че нещо във вашата мрежа е компрометирано. Предполагаме, че сте запознати с някои основни принципи в мрежата, например как да намерите списъка с устройства на вашия рутер и какъв е MAC адрес. Ако не, отидете в нашето нощно училище Know Your Network, за да започнете първо.

Преди да продължим обаче, трябва да отправим предупреждение: Използвайте тези правомощия за добро и изпълнете тези инструменти и команди само на хардуер или мрежи, които притежавате или управлявате. Вашият приятелски квартален ИТ отдел не би искал да приставате да сканирате или да смъркате пакети в корпоративната мрежа, както и не всички хора в местното кафене. Както при всеки зъл седмичен пост, въпросът е да ви науча как се прави, за да можете да се справите сами и да се защитите, а не да експлоатирате другите.

Първа стъпка: Направете мрежова карта

Преди дори да влезете в компютъра си, запишете това, което смятате, че знаете. Започнете с лист хартия и запишете всички свързани устройства. Това включва неща като смарт телевизори, приемници, лаптопи и компютри, таблети и телефони или всяко друго устройство, което може да бъде свързано с вашата мрежа. Ако помогне, нарисувайте карта на дома си, допълнете със стаи. След това запишете всяко устройство и къде живее. Може да се изненадате с точно колко устройства сте свързали към интернет едновременно.

Мрежовите администратори и инженерите ще разпознаят тази стъпка - това е първата стъпка в проучването на всяка мрежа, с която не сте запознати. Направете опис на устройствата на него, идентифицирайте ги и след това вижте дали реалността съвпада с това, което очаквате. Ако (или кога) това не стане, ще можете бързо да премахнете това, което знаете, от онова, което не знаете. Може да се изкушите просто да влезете във вашия рутер и да погледнете страницата му за състоянието, за да видите какво е свързано, но не го правете още. Освен ако не можете да идентифицирате всичко в мрежата по нейния IP и MAC адрес, просто ще получите голям списък с неща - един, който включва всички натрапници или безплатни товарачи. Първо направете физически инвентар, след което преминете към цифровия.

Втора стъпка: Пробвайте мрежата си, за да видите кой е на нея

След като имате физическа карта на вашата мрежа и списък на всичките си надеждни устройства, е време да започнете да копаете. Влезте в своя рутер и проверете списъка му със свързани устройства. Това ще ви даде основен списък с имена, IP адреси и MAC адреси. Не забравяйте обаче, че списъкът с вашите маршрутизатори може или не може да ви покаже всичко. Той, но някои рутери ви показват само устройства, които използват рутера за неговия IP адрес. Така или иначе, дръжте този списък отстрани - добре е, но искаме повече информация.

След това ще се обърнем към стария си приятел nmap. За непознатите, nmap е крос-платформа, инструмент за сканиране на мрежата с отворен код, който може да намери устройства, които са в мрежата ви, както и много подробности за тези устройства. Можете да видите отворени портове, използваната операционна система, IP и MAC адреси, дори отворени портове и услуги. Изтеглете nmap тук, разгледайте тези ръководства за инсталиране, за да го настроите, и следвайте тези инструкции, открийте хостове в домашната си мрежа.

В моя случай го инсталирах и го пуснах от командния ред (ако искате графичен интерфейс, Zenmap обикновено идва с инсталатора), след което казах на nmap да сканирам IP обхвата, който използвам за домашната си мрежа. Той намери повечето от активните устройства в домашната ми мрежа, с изключение на няколко имам подобрена защита (въпреки че те бяха открити и с някои от командите на nmap, които можете да намерите в линка по-горе.)

Сравнете списъка на nmap със списъка на вашия рутер. Трябва да видите същите неща (освен ако нещо, което сте записали по-рано, е изключено сега.) Ако видите на вашия рутер нещо, което nmap не се появи, опитайте да използвате nmap директно срещу този IP адрес. След това, въз основа на това, което знаете, погледнете информацията, намерена за устройството. Ако твърди, че е Apple TV, вероятно не трябва да има услуги като http, например. Ако изглежда странно, проучете го специално за повече информация, както направих в екрана по-горе. Забелязах, че една от моите машини отхвърля заявки за ping, което кара nmap да прескача. Казах на nmap да го пробвам така или иначе и съм сигурен, че е достатъчно.

Nmap е изключително мощен инструмент, но не е най-лесният за използване. Ако сте малко срамежлив пистолет, имате някои други възможности. Angry IP Scanner е друга полезна програма за много платформи, която има добре изглеждащ и лесен за използване интерфейс, който ще ви даде много същата информация. Спомената по-рано Who Is On My Wi-Fi е помощна програма за Windows, която предлага подобни функции и може да бъде настроена да сканира във фонов режим, в случай че някой дойде онлайн, когато не гледате. Wireless Network Watcher, отново за Windows, е друга помощна програма, която споменахме с приятен интерфейс, който въпреки името си не е ограничен до безжичните мрежи.

Трета стъпка: смъркайте наоколо и вижте с кого всички говорят

Досега трябва да имате списък на устройства, които познавате и на които имате доверие, както и списък на устройства, които сте намерили свързани с вашата мрежа. С късмет, вие сте приключили тук и всичко или съвпада, или е самообоснователно (като телевизор, който в момента е изключен, например). Ако обаче видите актьори, които не разпознавате, работещи услуги, които не съответстват на устройството (Защо моят Roku работи postgresql?), Или нещо друго не се чувствам, време е да подуша малко. Пакетно смъркане, т.е.

Когато два компютъра комуникират или във вашата мрежа или в интернет, те изпращат един на друг битове информация, наречена „пакети“. Взети заедно, тези пакети създават сложни потоци от данни, които съставляват видеоклиповете, които гледаме или документите, които изтегляме. Надушването на пакети е процесът на улавяне и разглеждане на тези битове информация, за да се види къде отиват и какво съдържат. За да направим това, ще ни трябва Wireshark. Това е инструмент за мониторинг на мрежова платформа, който използвахме, за да направим малко смъркане на пакети в нашето ръководство за издушване на пароли и бисквитки. В този случай ще го използваме по подобен начин, но целта ни не е да уловим нещо конкретно, а само да следим какви видове трафик обикаля мрежата. За да направите това, ще трябва да стартирате Wireshark през Wi-Fi, в "безразборен режим". Това означава, че не просто се търсят пакети, които се насочват към или от вашия компютър, а е да събирате всички пакети, които може да видите във вашата мрежа.

След като инсталирате, отворете WireShark и изберете вашия Wi-Fi адаптер. Щракнете върху "опции" до него и както виждате във видеото по-горе (любезното съдействие на хората на Hak5, ) можете да изберете "безразборен режим" за този адаптер. След като имате, можете да започнете да заснемате пакети. Когато започнете улавянето, ще получите много информация. За щастие, Wireshark предвижда това и го прави лесно да се филтрира.

Тъй като ние просто търсим да видим какво правят подозрителните участници във вашата мрежа, уверете се, че въпросната система е онлайн. Продължете напред и заснемете няколко минути трафик за начало. След това можете да филтрирате този трафик въз основа на IP адреса на това устройство, като използвате вградените филтри на Wireshark. Това прави бърз преглед на кого говори този IP адрес и каква информация изпращат напред и назад. Можете да щракнете с десния бутон върху всеки от тези пакети, за да го прегледате, да проследите разговора между двата края и да филтрирате цялото заснемане по IP или разговор. За повече информация, How-To Geek има подробно ръководство за филтриране на Wireshark. Може да не знаете в какво гледате, но там идва малко затопяване.

Ако видите, че този подозрителен компютър говори на странен IP адрес, използвайте командата nslookup (в командния ред в Windows или в терминал в OS X или Linux), за да получите името на хоста си. Това може да ви каже много за местоположението или вида на мрежата, към която се свързва компютърът ви. Wireshark ви казва също и портовете, които се използват, така че Google номер на порта и вижте какви приложения го използват. Ако например имате компютър, свързващ се със странно име на хост през портове, често използвани за IRC или прехвърляне на файлове, може да имате натрапник. Разбира се, ако установите, че устройството се свързва с реномирани услуги през често използвани портове за неща като имейл или HTTP / HTTPS, може би току-що сте се натъкнали на таблет, който съквартирантът ви никога не ви е казвал, че е собственик, или някой от съседите да ви открадне Wi- Fi. Така или иначе ще имате необходимите данни, за да ги разберете сами.

Четвърта стъпка: Играйте дългата игра и регистрирайте своите улавяния

Разбира се, не всеки лош актьор в мрежата ви ще бъде онлайн и ще пиявира, докато ги търсите. До този момент ние ви научаваме как да проверявате за свързани устройства, да ги сканирате, за да идентифицирате кои са и след това да подушите малко от трафика им, за да сте сигурни, че всичко е над борда. Какво обаче правите, ако подозрителният компютър върши мръсната си работа през нощта, когато спите, или някой пияви вашия Wi-Fi, когато сте на работа по цял ден, а не сте наоколо, за да проверите?

Има няколко начина за справяне с това. От една страна, приложението Who's On My Wi-Fi, за което споменахме по-рано, може да работи във фонов режим на вашия компютър с Windows и да следи кой се свързва и кога. Може да ви пингува, когато не го гледате, и да ви уведоми, когато някой е свързан към вашата мрежа, което е приятно докосване. Можете да го оставите да работи на компютър у дома и след като се събудите или се приберете от работа, вижте какво се е случило, докато не сте търсили.

Следващата ви опция е да проверите възможностите за записване на вашия рутер. Погребан дълбоко в опциите за отстраняване на проблеми или защитата на вашия рутер обикновено е раздел, посветен на вписването. Колко можете да влезете и какъв вид информация варира в зависимост от рутера, но можете да видите на екрана по-горе. Мога да регистрирам входящ IP, номер на пристанищен порт, изходящ IP или URL филтриран от устройството в моята мрежа, вътрешен IP адрес и техния MAC адрес и кои устройства в моята мрежа са се регистрирали с рутера чрез DHCP за техния IP адрес (и чрез прокси, които не са). Това е доста стабилно и колкото по-дълго оставяте журналите да работят, толкова повече информация можете да заснемете,

Персонализирани фърмуери като DD-WRT и Tomato (и двамата ви показахме как да инсталирате) ви позволяват да наблюдавате и регистрирате честотна лента и свързани устройства, колкото искате, и дори можете да зарежете тази информация в текстов файл, който вие може да пресее по-късно. В зависимост от това как сте настроили вашия рутер, той дори може да изпраща този файл до вас редовно или да го пуска на външен твърд диск или NAS. Така или иначе, използването на често пренебрегваните функции за записване на вашия рутер е чудесен начин да разберете дали например след полунощ и всички си лягат, геймърският ви компютър изведнъж започне да се мачка и предава много изходящи данни или имате редовно пиявица който обича да скача на вашата Wi-Fi и да започне да изтегля торенти в странни часове.

Вашият последен вариант и видът на ядрената опция при това е просто да оставите Wireshark да улови с часове или дни. Това не е нечувано и много мрежови администратори го правят, когато наистина анализират странно поведение на мрежата. Това е чудесен начин да фиксирате лоши актьори или чат устройства. Това обаче изисква да оставите компютъра включен за векове, постоянно да подушвате пакети в мрежата си, да улавя всичко, което минава през него, и тези регистрационни файлове могат да заемат доста малко място. Можете да отрежете нещата, като филтрирате заснемания по IP или тип трафик, но ако не сте сигурни какво търсите, ще имате данни, които да пресеете, когато търсите заснемане дори на няколко часа. Все пак, определено ще ви каже всичко, което трябва да знаете.

Във всички тези случаи, след като имате достатъчно данни, ще можете да разберете кой използва вашата мрежа, кога и дали устройството им съвпада с мрежовата карта, която сте направили по-рано.

Стъпка пета: Заключете мрежата си

Ако сте следвали тук, сте идентифицирали устройствата, които трябва да могат да се свързват с вашата домашна мрежа, тези, които всъщност се свързват, идентифицираха разликите и се надяваме да разберете дали има лоши участници, неочаквани устройства, или пиявици, висящи наоколо. Сега всичко, което трябва да направите, е да се справите с тях и изненадващо това е лесната част.

Wi-Fi пиявици ще получат зареждането веднага след като заключите вашия рутер. Преди да направите нещо друго, променете паролата на вашия рутер и изключете WPS, ако е включен. Ако някой е успял да влезе директно във вашия рутер, не искате да променяте други неща, само за да ги накарате да влязат и да получат отново достъп. Уверете се, че използвате добра, силна парола, която е трудна за груба сила. След това проверете за актуализации на фърмуера. Ако вашата пиявица се е възползвала от експлоатация или уязвимост във фърмуера на вашия рутер, това ще ги предотврати - ако се приеме, че експлоатацията е кръпка. И накрая, уверете се, че режимът на вашата безжична защита е настроен на WPA2 (тъй като WPA и WEP са много лесни за разбиване) и променете паролата си за Wi-Fi на друга добра, дълга парола, която не може да бъде груба. Тогава единствените устройства, които трябва да могат да се свържат отново, са тези, на които давате новата парола.

Това би трябвало да се погрижи всеки да пили вашия Wi-Fi и да направи цялото си изтегляне в мрежата ви вместо тяхната. Това ще помогне и на кабелната сигурност. Ако можете, трябва да направите и няколко допълнителни стъпки за защита на безжичната мрежа, като изключване на отдалечена администрация, деактивиране на UPnP и, разбира се, да видите дали вашият рутер поддържа Tomato или DD-WRT.

За лошите актьори на вашите кабелни компютри, трябва да се занимавате с лов. Ако всъщност е физически, той трябва да има директна връзка с вашия рутер. Започнете да проследявате кабели и говорете със съквартирантите си или семейството си, за да видите какво има. В най-лошия случай, винаги можете да влезете обратно във вашия рутер и да блокирате изцяло този подозрителен IP адрес. Собственикът на тази приставка или тихо включен компютър ще започне да работи доста бързо, когато спре да работи.

По-голямото притеснение тук обаче е компрометираните компютри. Работен плот, който е отвлечен и присъединен към ботнет за добив на биткойни за една нощ, или машина, заразена със злонамерен софтуер, който се обажда вкъщи и изпраща личната ви информация до кой-знае-къде, може да бъде лош. След като стесните търсенето си към конкретни компютри, е време да изкорените къде се крие проблемът на всяка машина. Ако наистина сте притеснени, вземете подхода на инженера по сигурността към проблема: След като вашите машини са собственост, те вече не са надеждни. Издуйте ги, преинсталирайте и възстановете от своите архиви. (Имате резервни копия на вашите данни, нали?) Просто не забравяйте да следите компютъра след това - не искате да се възстановите от заразена резервна копие и започнете процеса отначало.

Ако желаете да запретнете ръкави, можете да си вземете солидна антивирусна програма и скенер за антималуерен софтуер при поискване (да, ще ви трябват и двете) и се опитайте да почистите въпросния компютър. Ако сте виждали трафик за определен тип приложение, погледнете дали не е злонамерен софтуер или просто е инсталиран някой, който се държи зле. Продължавайте да сканирате, докато всичко не стане чисто и продължете да проверявате трафика от този компютър, за да сте сигурни, че всичко е наред.

Ние наистина надраскахме повърхността само по отношение на мониторинга и сигурността на мрежата. Има много конкретни инструменти и методи, които експертите използват, за да защитят своите мрежи, но тези стъпки ще ви помогнат, ако сте мрежовият администратор за вашия дом и семейство.

Изкореняването на подозрителни устройства или пиявици в мрежата ви може да бъде дълъг процес, който изисква сънливост и бдителност. Все пак не се опитваме да надуваме параноя. Коефициентите са, че няма да откриете нищо от обикновените, а тези бавни изтегляния или бързи Wi-Fi скорости са нещо съвсем друго. Въпреки това е добре да знаете как да проучите мрежа и какво да правите, ако откриете нещо непознато. Само не забравяйте да използвате силите си завинаги.