Male WeekWelcome Male alla Settimana, il nostro annuale di immersione in tutto il leggermente abbozzato hack ci piacerebbe che di solito si astengono dal raccomandare. Vuoi farti strada in bevande gratuite, giocare a giochi mentali elaborati o, ehm, riciclare un po ‘ di denaro? Abbiamo tutte le informazioni di cui hai bisogno per essere disgustoso., La tua rete domestica—e tutto ciò che è connesso ad essa—è come un caveau. Dietro il tuo login si trovano tonnellate di informazioni preziose, da file non crittografati contenenti dati personali a dispositivi che possono essere dirottati e utilizzati per qualsiasi scopo. In questo post, ti mostreremo come mappare la tua rete, dare un’occhiata sotto le coperte per vedere chi sta parlando con cosa e come scoprire dispositivi o processi che potrebbero risucchiare la larghezza di banda (o sono ospiti inaspettati sulla tua rete).,
In breve: Sarete in grado di riconoscere i segni che qualcosa sulla rete è compromessa. Assumeremo che tu abbia familiarità con alcune nozioni di base di rete, come come trovare l’elenco dei dispositivi del router e cos’è un indirizzo MAC. In caso contrario, oltre al capo al nostro Know Your Network night school per rispolverare prima.
Prima di andare oltre, però, dovremmo emettere un avvertimento: utilizzare questi poteri per sempre, ed eseguire solo questi strumenti e comandi su hardware o reti che possiedi o gestisci., Il vostro quartiere amichevole reparto IT non vorrebbe si porta la scansione o sniffing pacchetti sulla rete aziendale, e nemmeno tutte le persone al vostro negozio di caffè locale.
Fase uno: crea una mappa di rete
Prima ancora di accedere al tuo computer, scrivi quello che pensi di sapere sulla tua rete. Inizia con un foglio di carta e annota tutti i tuoi dispositivi collegati., Ciò include cose come smart TV, altoparlanti intelligenti, laptop e computer, tablet e telefoni o qualsiasi altro dispositivo che potrebbe essere collegato alla rete. Se aiuta, disegna una mappa stanza per stanza della tua casa. Quindi annota ogni dispositivo e dove vive. Si può essere sorpresi da esattamente quanti dispositivi si è connessi a Internet allo stesso tempo.,
Cliccate Qui Per Avere la Mente Soffiato
Ottenere sconti vibratori, anelli, taglio-bordo e sesso tech ora fino alla fine della settimana.
Gli amministratori e gli ingegneri di rete riconosceranno questo passaggio: è il primo passo per esplorare qualsiasi rete con cui non hai familiarità., Fare un inventario dei dispositivi su di esso, identificarli, e poi vedere se la realtà corrisponde con quello che ci si aspetta. Se (o quando) non lo fa, sarete in grado di separare rapidamente quello che sai da quello che non sai.
Potresti essere tentato di accedere al tuo router e guardare la sua pagina di stato per vedere cosa è connesso, ma non farlo ancora. A meno che tu non possa identificare tutto sulla tua rete con il suo indirizzo IP e MAC, avrai solo una grande lista di cose, una che include eventuali intrusi o scrocconi. Prendi prima un inventario fisico, quindi passa a quello digitale.,
Passo due: Sonda rete per vedere chi c’è su di esso
una Volta che si dispone di una mappa fisica della rete e un elenco di tutti i dispositivi di fiducia, è il momento di andare a scavare., Accedi al tuo router e controlla l’elenco dei dispositivi collegati. Questo ti darà un elenco di base di nomi, indirizzi IP e indirizzi MAC. Ricordate, elenco dei dispositivi del router può o non può mostrare tutto. Dovrebbe, ma alcuni router mostrano solo i dispositivi che utilizzano il router per il suo indirizzo IP. In entrambi i casi, mantenere quella lista a lato – è buono, ma vogliamo maggiori informazioni.
Scarica e installa Nmap
Successivamente, ci rivolgeremo al nostro vecchio amico Nmap., Per coloro che non conoscono, Nmap è uno strumento di scansione di rete open source multipiattaforma che può trovare i dispositivi presenti sulla rete, insieme a una tonnellata di dettagli su tali dispositivi. Puoi vedere il sistema operativo che stanno usando, gli indirizzi IP e MAC e persino le porte e i servizi aperti. Scarica Nmap qui, dai un’occhiata a queste guide di installazione per configurarlo e segui queste istruzioni per scoprire gli host sulla tua rete domestica.,
Un’opzione è quella di installare ed eseguire Nmap dalla riga di comando (se si desidera un’interfaccia grafica, Zenmap di solito viene fornito con il programma di installazione). Eseguire la scansione della gamma IP che si sta utilizzando per la rete domestica. Questo ha scoperto la maggior parte dei dispositivi attivi sulla mia rete domestica, escludendo alcuni di cui ho una maggiore sicurezza (anche se quelli erano rilevabili anche con alcuni dei comandi di Nmap, che puoi trovare nel link sopra).,
Confronto Nmap lista con il tuo router elenco
Si dovrebbe vedere le stesse cose in entrambi gli elenchi, a meno che qualcosa che hai scritto in precedenza è spento oggi. Se vedi qualcosa sul tuo router che Nmap non è stato visualizzato, prova a utilizzare Nmap direttamente contro quell’indirizzo IP.,
Quindi guarda le informazioni che Nmap trova sul dispositivo. Se afferma di essere una Apple TV, probabilmente non dovrebbe avere servizi come http in esecuzione, ad esempio. Se sembra strano, sondalo specificamente per ulteriori informazioni.
Nmap è uno strumento estremamente potente, ma non è il più facile da usare. Se sei un po ” pistola-timido, avete alcune altre opzioni., Angry IP Scanner è un’altra utility multipiattaforma che ha un’interfaccia di bell’aspetto e facile da usare che ti darà molte delle stesse informazioni. Wireless Network Watcher è un’utilità di Windows che analizza le reti wireless a cui sei connesso. Glasswire è un’altra grande opzione che ti avviserà quando i dispositivi si connettono o si disconnettono dalla rete.,
Passo Tre: Annusare intorno e vedo che tutti parlano di
ora, si dovrebbe avere un elenco di dispositivi che si conoscono e di fiducia, e un elenco di dispositivi che hai trovato è connesso alla rete. Con la fortuna, hai finito qui, e tutto corrisponde o è auto-esplicativo (come un televisore che è attualmente spento, per esempio).,
Tuttavia, se vedi attori che non riconosci, servizi in esecuzione che non corrispondono al dispositivo (perché il mio Roku esegue postgresql?), o qualcos’altro si sente fuori, è il momento di fare un po ‘ di sniffing. Sniffing pacchetto, che è.
Quando due computer comunicano, sulla rete o su Internet, inviano bit di informazioni chiamati “pacchetti” l’uno all’altro., Messi insieme, questi pacchetti creano flussi di dati complessi che compongono i video che guardiamo o i documenti che scarichiamo. Lo sniffing dei pacchetti è il processo di acquisizione ed esame di quei bit di informazioni per vedere dove vanno e cosa contengono.
Installa Wireshark
Per fare ciò, avremo bisogno di Wireshark. È uno strumento di monitoraggio della rete multipiattaforma che abbiamo usato per fare un po ‘ di sniffing dei pacchetti nella nostra guida per sniffare password e cookie., In questo caso, useremo in modo simile, ma il nostro obiettivo non è quello di catturare qualcosa di specifico, solo per monitorare quali tipi di traffico stanno andando in giro per la rete.
Per fare ciò, è necessario eseguire Wireshark tramite wifi in “modalità promiscua.”Ciò significa che non è solo alla ricerca di pacchetti diretti da o verso il computer—è fuori per raccogliere tutti i pacchetti che può vedere sulla rete.,
Segui questi passaggi per configurare:
- Scarica e installa Wireshark
- Seleziona il tuo adattatore wifi.
- Fai clic su Capture > Opzioni-e come puoi vedere nel video qui sopra (per gentile concessione della gente di Hak5), puoi selezionare “Cattura tutto in modalità promiscua” per quell’adattatore.
Ora è possibile iniziare a catturare i pacchetti. Quando si avvia la cattura, si sta andando a ottenere un sacco di informazioni., Per fortuna, Wireshark anticipa questo e lo rende facile da filtrare.
Dal momento che stiamo solo cercando di vedere ciò che il sospetto attori della rete stanno facendo, assicurarsi che il sistema in questione è online. Vai avanti e catturare vale la pena di pochi minuti di traffico., Quindi puoi filtrare il traffico in base all’indirizzo IP di quel dispositivo utilizzando i filtri integrati di Wireshark.
Fare questo ti dà una rapida visione di chi quell’indirizzo IP sta parlando e quali informazioni stanno inviando avanti e indietro. Puoi fare clic con il pulsante destro del mouse su uno di questi pacchetti per ispezionarlo, seguire la conversazione tra entrambe le estremità e filtrare l’intera acquisizione per IP o conversazione. Per ulteriori informazioni, controlla le istruzioni di filtraggio dettagliate di Wireshark.,
Potresti non sapere cosa stai guardando (ancora)—ma è qui che entra in gioco un po ‘ di investigazione.
Analizza l’attività abbozzata
Se vedi quel computer sospetto parlare con uno strano indirizzo IP, usa il comando nslookup (nel prompt dei comandi in Windows o in un terminale in OS X o Linux) per ottenere il suo nome host. Questo può dirti molto sulla posizione o sul tipo di rete a cui il tuo computer si sta connettendo., Wireshark ti dice anche le porte in uso, in modo da Google il numero di porta e vedere quali applicazioni lo usano.
Se, ad esempio, hai un computer che si connette a uno strano nome host tramite porte spesso utilizzate per IRC o trasferimento di file, potresti avere un intruso., Naturalmente, se trovi che il dispositivo si connette a servizi affidabili su porte di uso comune per cose come e-mail o HTTP/HTTPS, potresti essere appena inciampato su un tablet che il tuo compagno di stanza non ti ha mai detto di possedere, o qualcuno della porta accanto che ruba il tuo wifi. In entrambi i casi, avrai i dati necessari per capirlo da solo.,
Passo quattro: Gioca il gioco lungo e registrare la vostra cattura
naturalmente, non tutti i cattivi attori della rete sarà online e leeching di distanza, mentre si sta cercando per loro., Fino a questo punto, ti viene insegnato come controllare i dispositivi collegati, scansionarli per identificare chi sono veramente e poi annusare un po ‘ del loro traffico per assicurarti che sia tutto al di sopra della scheda. Tuttavia, cosa fai se il computer sospetto sta facendo il suo lavoro sporco di notte quando stai dormendo, o qualcuno sta sanguinando il tuo wifi quando sei al lavoro tutto il giorno e non in giro per controllare?
Usa il software di monitoraggio della rete
Ci sono un paio di modi per risolvere questo problema. Un’opzione è quella di utilizzare un programma come Glasswire, che abbiamo menzionato in precedenza., Questo software vi avviserà quando qualcuno è connesso alla rete. Quando ti svegli la mattina o torni a casa dal lavoro, puoi vedere cosa è successo mentre non stavi guardando.
Controlla il log del router
La prossima opzione è quella di utilizzare le funzionalità di registrazione del router. Sepolto in profondità nella risoluzione dei problemi o opzioni di sicurezza del router è di solito una scheda dedicata alla registrazione., Quanto è possibile accedere e che tipo di informazioni varia a seconda del router, ma le opzioni possono includere IP in entrata, numero di porta di destinazione, IP in uscita o URL filtrato dal dispositivo sulla rete, indirizzo IP interno e il loro indirizzo MAC, e quali dispositivi sulla rete hanno effettuato il check-in con il router tramite DHCP per il loro indirizzo IP (e, per delega, che non hanno.) È piuttosto robusto, e più a lungo lasci i log in esecuzione, più informazioni puoi acquisire.,
Custom firmware come DD-WRT e Pomodoro (di cui vi abbiamo mostrato come installare) consentono di monitorare e registrare la larghezza di banda e dei dispositivi collegati per tutto il tempo come si vuole, e anche possibile dump che le informazioni in un file di testo che si possono analizzare in seguito. A seconda di come hai configurato il router, può anche inviare regolarmente quel file o rilasciarlo su un disco rigido esterno o NAS.,
In entrambi i casi, l’utilizzo della funzione di registrazione spesso ignorata del router è un ottimo modo per vedere se, ad esempio, dopo mezzanotte e tutti sono andati a letto, il tuo PC da gioco inizia improvvisamente a scricchiolare e trasmettere molti dati in uscita, o hai una sanguisuga normale a cui piace salire sul tuo wifi e iniziare a scaricare
Tenere Wireshark in esecuzione
la Tua ultima opzione, e il tipo di opzione nucleare, è che Wireshark catturare per ore o giorni., Non è inaudito e molti amministratori di rete lo fanno quando analizzano davvero strani comportamenti di rete. È un ottimo modo per definire cattivi attori o dispositivi chiacchieroni. Tuttavia, richiede di lasciare un computer acceso per secoli, annusando costantemente i pacchetti sulla rete, catturando tutto ciò che lo attraversa e quei registri possono occupare un bel po ‘ di spazio. Puoi tagliare le cose filtrando le catture per IP o tipo di traffico, ma se non sei sicuro di quello che stai cercando, avrai molti dati da vagliare quando stai guardando una cattura anche per poche ore., Tuttavia, ti dirà sicuramente tutto ciò che devi sapere.
In tutti questi casi, una volta che si hanno abbastanza dati registrati, sarete in grado di trovare chi utilizza la tua rete, quando, e se la loro corrispondenza con la mappa della rete che hai fatto in precedenza.,
Passo Cinque: Bloccare la rete verso il basso
Se avete seguito insieme a qui, è stato quello di identificare i dispositivi che devono essere in grado di connettersi alla rete di casa, quelle che effettivamente la connessione, identificate le differenze, e si spera capito se ci sono cattivi attori, inaspettato dispositivi, o sanguisughe appendere intorno. Ora tutto quello che dovete fare è trattare con loro, e sorprendentemente, questa è la parte facile.,
Le sanguisughe Wifi avranno l’avvio non appena si blocca il router. Prima di fare qualsiasi altra cosa, cambiare la password del router, e spegnere WPS se è acceso. Se qualcuno è riuscito ad accedere direttamente al router, non si desidera modificare altre cose solo per farli accedere e riottenere l’accesso. Assicurarsi di utilizzare una buona, password complessa che è difficile da forza bruta.
Quindi, controllare gli aggiornamenti del firmware., Se la sanguisuga ha fatto uso di un exploit o vulnerabilità nel firmware del router, questo li terrà fuori—supponendo che exploit è stato patchato, naturalmente. Infine, assicurati che la tua modalità di sicurezza wireless sia impostata su WPA2 (perché WPA e WEP sono molto facili da decifrare) e cambia la tua password wifi in un’altra buona password lunga che non può essere forzata. Quindi, gli unici dispositivi che dovrebbero essere in grado di riconnettersi sono quelli a cui fornisci la nuova password.,
Che dovrebbe prendersi cura di chiunque leeching il wifi e fare tutto il loro download sulla rete invece di loro. Aiuterà anche con la sicurezza cablata. Se è possibile, si dovrebbe anche prendere alcuni passaggi di sicurezza wireless aggiuntivi, come disattivare l’amministrazione remota o disabilitare UPnP.
Per i cattivi attori sui computer cablati, avete qualche caccia da fare., Se in realtà è un dispositivo fisico, dovrebbe avere una connessione diretta al router. Inizia a tracciare i cavi e a parlare con i tuoi coinquilini o la tua famiglia per vedere cosa succede. Nel peggiore dei casi, puoi sempre accedere al tuo router e bloccare completamente quell’indirizzo IP sospetto. Il proprietario di quel set-top box o computer silenziosamente collegato verrà eseguito abbastanza rapidamente quando smette di funzionare.,
La più grande preoccupazione, però, è il computer compromesso. Un desktop che è stato dirottato e unito a una botnet per l’estrazione di Bitcoin durante la notte, ad esempio, o una macchina infetta da malware che chiama a casa e invia le tue informazioni personali a chissà dove, può essere cattivo.,
Una volta ristretta la ricerca a computer specifici, è il momento di sradicare dove si trova il problema su ogni macchina. Se sei veramente preoccupato, prendi l’approccio del security engineer al problema: una volta che le tue macchine sono di proprietà, non sono più affidabili. Soffiare via, reinstallare e ripristinare dai backup. (Hai dei backup dei tuoi dati, vero?) Basta fare in modo di tenere d’occhio il vostro PC—non si desidera ripristinare da un backup infetto e avviare il processo tutto da capo.,
Se siete disposti a rimboccarsi le maniche, si può prendere da soli un solido antivirus e anti-malware, on-demand scanner (sì, avrete bisogno di entrambi), e provare a pulire il computer in questione. Se hai visto il traffico per un tipo specifico di applicazione, guarda se non si tratta di malware o solo di qualcosa che qualcuno ha installato che si sta comportando male. Mantenere la scansione fino a quando tutto risulta pulito, e continuare a controllare il traffico da quel computer per assicurarsi che tutto va bene.,
Abbiamo davvero solo scalfito la superficie qui quando si tratta di monitoraggio della rete e la sicurezza. Ci sono tonnellate di strumenti e metodi specifici che gli esperti utilizzano per proteggere le loro reti, ma questi passaggi funzioneranno per te se sei l’amministratore di rete per la tua casa e la tua famiglia.,
Sradicare dispositivi sospetti o sanguisughe sulla rete può essere un processo lungo, uno che richiede investigazione e vigilanza. Tuttavia, non stiamo cercando di creare paranoie. Le probabilità sono che non troverete nulla fuori dal comune, e quei download lenti o velocità wifi scadente sono qualcosa di completamente diverso. Anche così, è bene sapere come sondare una rete e cosa fare se trovi qualcosa di sconosciuto. Ricordati di usare i tuoi poteri per sempre.