rilevare intrusi su rete wi fi

[amante configurazioni]

istallati nmap digitando nel terminale " sudo apt-nmap install"
potrai cosi vedere tutti i pc connessi nella tua rete locale e vedere le porte attive io c'e l'ho ed e' una figata ,ti dice tutto dispositivi connessi s.o in uso e porte apert :P  addirittura i client e i protocolli che usano ,anche se per fare un'analisi della tua rete e' sufficente andare su amministrazione >strumenti di rete per vedere il traffico e i vari  servizi attivi , certo nmap e' un'altra cosa ma richiede una discreta conoscenza del terminale   

[amante configurazioni]

ops Install  :-[ mannaggia qst tastiera che fa strani scherzi  :P

[vyborg]

ho eseguito il comando da terminale e ha scaricato un po di pacchetti ma se ora cerco NMAP tra le applicazioni o altrove come programma non lo trova...

[amante configurazioni]

impossibile  prova a dare dal terminale il comando
> "nmap man "
dovrebbe darti tutta la guida dettagliata di come si usa !! ogni modo prova a digitare il seguente comando:
> -v -sP il tuo indirizzo locale " esempio : -v -sP 192.168.1.0/24  e vedrai che esce un'analisi dettagliata del traffico delle porte e dei pacchetti trasmessi , il comando  "nmap-sV" rileva le versioni dei servizi attivi in una determinata macchina che magari hai scovato tramite il primo comando ,  poi ci sono altre mille funzioni che puoi decifrare digitando "nmap man"    ogni modo puo' essere che l'autenticazione dei pacchetti non e' andata buon fine , fai su PREFERENZE > GESTORE PACCHETTI E SEMMAI REISTALLA  VAdo a letto ke sono cotto se  hai problemi domani sono qui e seguiamo i passagi  insieme  (good)

[amante configurazioni]

scusami ovviamente prima devi dare lo start ossia "nmap start" e ti compare questa schermata ,si vede che la mia rete stasera non e' molto trafficata , tu prova a tenere la wify aperta e vedrai cosa esce  (yes) ciao ciao 

[vyborg]

dando start ha fatto uno scan però non ho capito quali sono i risultati. ho scaricato NMAPI ma anche quello non fa ciò che vorrei io e che consiste banalmente nel tracciare i pc che entrano in contatto col router, che so, nelle ultime 24 ore..

[amante configurazioni]

sul "registro eventi" dovrebbe risultare i pc che si sono appoggiati alla tua wify  ma avendoci questo s.o da poco non so' di preciso come si accede , "all'area network" comunque dei pc connessi alla tua rete li la dice benissimo , forse rimane tuttavia  sufficente che vai su "net stat" in gestione reti visualizzi i dispositivi in rete attivi ... ma non sono appunto sicuro  se puoi vedere solo quelli in uscita dal tuo terminale .. cmq c'e anche un programma che si chiama "aircrack"  che puoi istallare anche da terminale digitando "sudo apt-get install aircrack" che io o istallato ieiri  :P ora dovrei istallare "buc"e in teoria ho qualsiasi informazione sui pacchetti trasmessi nella mia rete host ,visto che li cattura e li decripta anche in una cartella che tu creerai nell'istallazione  :P ovviamente la mappa di rete e' la prima funzione che dovrebbe avviarsi cmq lo metto poi ti facciop sapere per ora il tutto e in fase di approfondimento e studio  ,sempre che riesco a risolvere il mio problema di amministrazione  ??? e si o le schermate d'accesso bloccate e non posso procedere con le istallazzioni serie ,solo qualche pacchetto :-\ bha !! sai uso linux da molto poco e lo istallato per sfruttare questi programmini piu' che altro

[vyborg]

non lo trovo il registro...

se capisco bene Aircrack serve a craccare le reti altrui però...

[shouldes]

Io ti consiglio di fare questo:

Buttare nel cesso il router di alice.
Prendere un d-link o un linksys.
Settare la rete in WPA2 only con una pre-shared key esadecimale da 64 caratteri.
Disabilitare il DHCP e cambiare l'indirizzo del router (una cosa tipo 192.168.25.1 è più difficile di un semplice 192.168.1.1 comune a tutti i router se qualche genio scoprisse la storia dell'ip statico).
Nascondere il SSID del router e metterne uno lungo e molto fantasioso.
Mettere la rete in 802.11n only (ti protegge automaticamente da tutti i dispositivi che hanno più di 2 anni).
Attivare il mac filter per permettere la connessione solo agli indirizzi hardware in lista.


Io ho questi settaggi, il mio router ha un'area di copertura pazzesca (è un 300N a 3 antenne MIMO, di ultimissima generazione ), ma veramente pazzesca, mi sento al sicuro, non ho mai controllato eventuali intrusioni.


Dimenticavo: cambio SSID e Pre-Shared Key ogni settimana.
L'ultimo SSID era "Router triste (piange)", naturalmente nascosto.

[vyborg]

grazie.
alcune cose già le ho: router D-link, wpa 2 ecc.
però se potessi vedere che succede...sarei più contento 

[shouldes]

grazie.
alcune cose già le ho: router D-link, wpa 2 ecc.
però se potessi vedere che succede...sarei più contento 

Secondo me è meglio prevenire, non curare.
Al massimo puoi risalire al HWaddress del dispositivo, e ammesso che sia quello reale, ti ci pulisci il sedere.

Metti come SSID: "Connessione lenta di merda" che sicuramente non proveranno neanche ad attaccarla, se non nascondi il SSID.

[amante configurazioni]

si effettivamente le connessione in chiave wpa sono quasi impossibil da decriptare ,occorrerrebe una memoria immensa solo per memorizzare tutte le probabili pass in senso logico cioe' una per una mentre in chiave wep dove l'algoritmo di cifratura dei pacchetti rimane piu' vulnerabile essendo decimi che si ripetono sistematicamente con la stessa logica  ,ma come dici tu il tuo sistema effettivanmente molto molto difficile da attaccare o semplicemte da ispezionare anche perche'  i tuoi firewall e password oltre che essere lunghe sono anche cifrate in modo eccellente ma non tutti arrivano a tanto .... e  ti posso dire che alice in un certo senso  credo e si dice  sia piu difficile da akerare  avendo driver per la maggiore del produttore !!
ma a volte con qualche semplice conflitto e un po' di fattore c si puo' comunque ritrovare intrusi nel propio pc basta consentire qualche applicazione dai repositori senza neppure passare nel vuoto virtuale ..
ovviamente secondo la mia modesta esperienza 

[shouldes]

si effettivamente le connessione in chiave wpa sono quasi impossibil da decriptare ,occorrerrebe una memoria immensa solo per memorizzare tutte le probabili pass in senso logico cioe' una per una mentre in chiave wep dove l'algoritmo di cifratura dei pacchetti rimane piu' vulnerabile essendo decimi che si ripetono sistematicamente con la stessa logica  ,ma come dici tu il tuo sistema effettivanmente molto molto difficile da attaccare o semplicemte da ispezionare anche perche'  i tuoi firewall e password oltre che essere lunghe sono anche cifrate in modo eccellente ma non tutti arrivano a tanto .... e  ti posso dire che alice in un certo senso  credo e si dice  sia piu difficile da akerare  avendo driver per la maggiore del produttore !!
ma a volte con qualche semplice conflitto e un po' di fattore c si puo' comunque ritrovare intrusi nel propio pc basta consentire qualche applicazione dai repositori senza neppure passare nel vuoto virtuale ..
ovviamente secondo la mia modesta esperienza 

Se è per quello basta installare google-erth 6.0 e diventi un server di posta elettronica con tutte le conseguenze del caso, se non hai iptables e sysctl.conf settato a dovere, quindi anche senza repository esterni.

[supercar]

l'applicazione Etherape può essere utile per scovare eventuali intrusi?

[amante configurazioni]

si effettivamente le connessione in chiave wpa sono quasi impossibil da decriptare ,occorrerrebe una memoria immensa solo per memorizzare tutte le probabili pass in senso logico cioe' una per una mentre in chiave wep dove l'algoritmo di cifratura dei pacchetti rimane piu' vulnerabile essendo decimi che si ripetono sistematicamente con la stessa logica  ,ma come dici tu il tuo sistema effettivanmente molto molto difficile da attaccare o semplicemte da ispezionare anche perche'  i tuoi firewall e password oltre che essere lunghe sono anche cifrate in modo eccellente ma non tutti arrivano a tanto .... e  ti posso dire che alice in un certo senso  credo e si dice  sia piu difficile da akerare  avendo driver per la maggiore del produttore !!
ma a volte con qualche semplice conflitto e un po' di fattore c si puo' comunque ritrovare intrusi nel propio pc basta consentire qualche applicazione dai repositori senza neppure passare nel vuoto virtuale ..
ovviamente secondo la mia modesta esperienza 

Se è per quello basta installare google-erth 6.0 e diventi un server di posta elettronica con tutte le conseguenze del caso, se non hai iptables e sysctl.conf settato a dovere, quindi anche senza repository esterni.

p
ovviamente si .... ma basterebbe a mio avviso tutelarsi con qualche firewall o popup e impostazioni varie  di sicurezza  ,e per rispondere sempre dal basso della mia esperienza che a confronto a voi  che avete piu' stelle di me non e' niente  e' da quello che vedo siete propio fenomeni  credo che se uno li sappia usare si puo' davvero fare tutto con i programmi che ci sono a disposizione in rete ,propio oggi con l'altro s.o o visitato un sito molto bello dove ci sono svariati programmi di questo genere ,domani nonappena riavvio dal'altro ambiente ove o salvato i preferiti non ancora aggiornati qui "in Ubuntu"  non manchero' di passarvi l'url ) a presto e buon forum gente !_!

[amante configurazioni]

come promesso eccomi qua' amici ecco provate questa soluzione spero sia compatibile con linux dovrebbe essere all'altezza di cio' che cercate ,ossia semplicita' versatilita ed efficacia ,ovviamente dai pacchetti chissa' quante ce ne saranno ,forte comunqe questo sito lo scovato per caso il mio consiglio e salvarlo sui preferiti come ho fatto io  


http://www.mrwebmaster.it/software/autostatus_1200.html

[shouldes]

Ho installato Zenmap, dato uno sguardo al man e a qualche wiki su nmap per creare i profili.
Non ho trovato nessuno, ma sto fracassando la cpu a fare test sulle macchine.
Purtroppo al momento non c'è nessun pc con windows, ma 2 Ubuntu (1 senza firewall) e 1 Debian (con firewall).

Ho settato la macchina con Debian per filtrare gli ICMP, infatti non riesce a pingare e a fare nulla e Zenmap la vede comunque. (non riesce a rilevare neppure il macaddress e l'OS, ma vede che c'è una macchina su quell'ip e mi da pure il vendor del chip della scheda di rete).

Sapete se ci sono firewall per windows in grado di non mostrarsi a nmap?
Se ci sono, devo usare un programma diverso. (che non si fa fregare)


Edit: Mac Address Debian scovato  >:(

Codice: Seleziona tutto

nmap -sV -T5 -O -v -n IP

Questo il comando per rilevare il sistema di un determinato IP, Debian settato a dovere risponde muro, Ubuntu senza firewall gli fa capire che è un sistema *nix.

[amante configurazioni]

Probabilmente per quello che immagino io , io gli indirizzi  mac windows sono diversi da quellistudiati e in uso a linux forse devi istallare qualche pacchetto pacchetto o driger aggiuntivo  di suporto a nmap  ??? ,comunque zenmap cos' un'altra versione forse di quella che ho io ?!? In teroia dovrebbe essere piu' completa almeno dal nome  , ogni modo rileva gli indirizzi ip nel propio host  basta incrementare il numero di informazioni con una delle lettere credo la "v" no  magari dando quache comando aggiuntivo davanti magari fa' un'altro tipo di lavoro ,comunque il mac address gia' e molto ma a noi interessano i file logici  che poi andremo a decriptare no ?!? hah  t?!?

[sandrozu]

si effettivamente le connessione in chiave wpa sono quasi impossibil da decriptare ,occorrerrebe una memoria immensa solo per memorizzare tutte le probabili pass in senso logico cioe' una per una mentre in chiave wep dove l'algoritmo di cifratura dei pacchetti rimane piu' vulnerabile essendo decimi che si ripetono sistematicamente con la stessa logica  ,ma come dici tu il tuo sistema effettivanmente molto molto difficile da attaccare o semplicemte da ispezionare anche perche'  i tuoi firewall e password oltre che essere lunghe sono anche cifrate in modo eccellente ma non tutti arrivano a tanto .... e  ti posso dire che alice in un certo senso  credo e si dice  sia piu difficile da akerare  avendo driver per la maggiore del produttore !!
ma a volte con qualche semplice conflitto e un po' di fattore c si puo' comunque ritrovare intrusi nel propio pc basta consentire qualche applicazione dai repositori senza neppure passare nel vuoto virtuale ..
ovviamente secondo la mia modesta esperienza 

Ciao ..scusate il disturbo....ma ti posso assicurare che la chiave wpa non è così tanto difficile da decriptare. Sicuramente con i consigli di Shouldes le cose cambiano ma non tutti sono come lui di menare,cambiare le impostazioni ogni tot,etc. Ti ripeto che con un modesto pc ,se di ultima generazione è meglio, non è difficile farsi gli affari altrui. Io consiglio e un bel collegamento eth e con quello puoi dormire sogni felici!!! (b2b)

[amante configurazioni]

cioe' diciamo  come utilizzando il buon vecchio modem interno con tanto di firewall magari senza passare troppo per server host  esterni ecc ?!?  cosa cambierebbe di preciso sotto questo punto di vista in senzo tecnico ?!?  ,scusami sono piuttosto ignorante in materia :P