Rilevare le intrusioni in una rete wireless con AirSnare
di Roberto Saia

In questo articolo discuteremo di AirSnare, un software che, differentemente da altri prodotti dalle funzionalità analoghe, non richiede particolari competenze tecniche per il suo utilizzo, consentendo a chiunque di effettuare dei controlli mirati a identificare attività non autorizzate sulla propria rete, attività che se rilevate precocemente possono evitare di andare incontro a numerosi problemi che, a seconda della tipologia di utilizzo illecito, possono talvolta essere anche gravi.

Il software AirSnare viene rilasciato sotto licenza freeware e opera su piattaforma Microsoft Windows; esso è distribuito da Digital Matrix ed è stato sviluppato da Durch Jay L. DeBoer e Thomas Bruinsma. Il suo funzionamento è basato sull’identificazione degli indirizzi MAC delle macchine: è possibile specificare quali sono gli indirizzi di questo tipo facenti capo alle macchine legittime (Friendly); AirSnare evidenzierà le macchine non facenti parte di questa lista (Unfriendly), consentendoci di intervenire. Esso si avvale delle note librerie WinPcap, liberamente prelevabili dal sito http://www.winpcap.org e, comunque, già comprese nel software AirSnare che, peraltro, contiene anche un software per lo sniffing, Ethereal, un software molto utile per ottenere informazioni dettagliate sugli intrusi rilevati, del quale discuteremo in un successivo articolo.

Come è possibile osservare in figura 1, la finestra principale di AirSnare è suddivisa in tre riquadri contenenti, rispettivamente, una struttura ad albero (parte sinistra) dove sono visualizzati gli adattatori di rete rilevati, gli indirizzi MAC rilevati e classificati come Unfriendly e quelli classificati come Friendly; due riquadri laterali (posti sulla destra) contenenti informazioni dettagliate sull’attività delle macchine rilevate e l’elenco cronologico delle attività in corso.

Figura 1 – Finestra principale di AirSnare.

L’avvio delle operazioni avviene con una doppia pressione del tasto sinistro del mouse sul corretto adattatore di rete (solitamente è presente una sola voce facente capo all’interfaccia di rete installata) posizionato all’interno dell’albero Network Adapter, oppure selezionando su di esso, con il tasto destro del mouse, la voce Start. Una volta avviata la rilevazione, in prima istanza, tutte le macchine rilevate vengono automaticamente classificate come Unfriendly ed è nostro compito, una volta verificato l’indirizzo MAC rilevato, classificarle come amiche (Friendly) tramite l’apposità voce presente nel menù contestuale attivabile selezionando la voce con il tasto destro del mouse (Add to Trusted): questa operazione sposterà la macchina in oggetto nella lista sottostante (Friendly) e da quel momento non si riceveranno più avvertimenti circa la sua attività in rete.

Nota: per conoscere l’indirizzo MAC delle macchine in rete è posibile avvalersi del comando di sistema ipconfig/all che eseguito sulle varie macchine è in grado di visualizzare numerose informazioni tra cui, appunto, quella relativa all’indirizzo fisico MAC; nel caso la rete fosse di dimensioni tali da rendere impossibile l’adozione di questo metodo, è possibile adoperare tool specifici, come ad esempio LanGuard, in grado di ottenere rapidamente il MAC di tutte le macchine presenti in un certo intervallo IP.

Durante l’operazione di spostamento delle macchine dall’area Unfriendly a quella Friendly, si aprirà una finestra di dialogo, come quella visualizzata in figura 2, la quale consentirà di modificare sia il nome che l’indicazione MAC attribuita automaticamente da AirSnare.

Figura 2 – Aggiungere un MAC in area Friendly.

Al fine di non dover manualmente, volta per volta, spostare le macchine fidate nella rispettiva zona, è possibile editare il file trustedMAC.txt posizionato all’interno della cartella C:\Programmi\AirSnare, un file di testo dove scrivere, appunto, tutti gli indirizzi MAC delle macchine che devono essere classificate come Friendly.

Un’altra interessante funzionalità di questo software è quella che permette di monitorare le richieste DHCP (figura 3), in pratica, quelle richieste di assegnazione automatica dei parametri di rete (indirizzo IP, subnet mask, gateway, ecc.) che giungono dalle macchine: questa è una funzionalità molto interessante anche nel caso la nostra rete non si avvalga di un server DHCP per l’assegnazione, in quanto, la stragrande maggioranza dei dispositivo di rete come, ad esempio, i router e gli access point, sono per impostazione predefinita configurati per assolvere alla funzione di server DHCP (questo, probabilmente, è stato fatto per velocizzare la prima messa in opera degli apparati); coscienti di questa consuetudine, coloro che tentano di accedere illecitamente ad una rete wireless, piuttosto che tentare di indovinare i parametri con i quali operare, tentano di sfruttare questo meccanismo per ottenerli. L’attivazione di questa funzionalità è possibile selezionando l’apposita voce DHCP Requests dal dal menù a discesa Window.

Figura 3 – Visualizazione delle richieste DHCP.

Altre interessanti funzioni sono la possibilità di configurare un servizio di notifica delle rilevazioni tramite posta elettronica: per abilitare questa funzione è sufficiente selezionare dal menù Options la relativa sottovoce Options e spostarsi nella finestra AirMail dove è necessario inserire i parametri del nostro server SMTP (cioè il server della posta in uscita fornitoci dal provider del nostro indirizzo di posta elettronica), User Name e Password necessari per l’autenticazione e, infine, l’indirizzo al quale si desidera notificare gli allarmi. Possiamo anche inviare un messaggio di avvertimento ad una qualunque macchina tramite la funzione HairHorn selezionabile dal menù a discesa Window (nell’esempio di figura 4 alla macchina facente capo all’indirizzo IP 10.22.83.128).

Figura 4 – Invio di un messaggio.

Ulteriori configurazioni come la selezione automatica dell’adattatore di rete desiderato (qualora fossero installate più interfacce di rete), la modifica di alcuni parametri operativi (tipo di scansione, risoluzione dei nomi, ecc.) ed altro ancora, possono essere effettuate tramite le finestre di dialogo accessibili dal menù Options. Posizionato all’interno del percorso C:\Programmi\AirSnare\Logs\ è presente un file denominato Watch1.txt, esso contiene la registrazione dell’attività del software secondo uno schema simile a quello qui riportato (in parte modificato per esigenze di impaginazione):

22/09/2008 11.34.48 0019A938C400 172.17.66.1 IP Assignment 001558AD59BF 10.22.83.38
22/09/2008 11.34.49 0019A938C400 172.17.66.1 IP Assignment 0050FC2512DA 10.22.83.45
22/09/2008 11.34.49 0019A938C400 172.17.66.1 IP Assignment 00138F659BBD 10.22.83.95

Il suo uso si rivela prezioso per l’analisi a posteriori delle attività illecite sulla rete, nonché per l’incrocio con altri dati similari riferiti agli stessi eventi ma ottenuti con mezzi differenti come, ad esempio, i log di sistema delle macchine in rete, i log dei sistemi IDS e le registrazioni effettuate dai firewall e/o router.

Ritorna all'indice dei tutorial