Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv
 
Seit mein erster WLAN AccessPoint nur das unsichere WEP unterstützte sichere ich mein WLAN per OpenVPN ab.Das habe ich auch mit einem neuen WLAN AP nicht geändert. Irgendwann habe ich die SSID meines offenen AP nicht mehr unterdrückt um einfach mal zu sehen wer sich bei mir so im Umfeld per WLAN bewegt.
Innerhalb relativ kurzer Zeit habe ich verschiedene Zugriffe auf mein WLAN festgestellt. Da mein Router ein Linuxsystem ist ging das recht einfach (siehe auch mein Netzwerk ).
 
Ein Script mail_wlan_events mit folgendem Inhalt
 
    s/^<[\d]{1,2}>//;
    system("echo \"$_\" | /usr/bin/mail -s \"WLAN dhcp request alert $_\" root\@framp.home"); 
 
 und die folgenden Einträge in syslog-ng
filter f_wlan { facility(daemon) and match("DHCPREQUEST") and match("dhcpd") and match("192\.168\.3"); };
 
destination wlancrit { file("/var/log/wlan.log"); program("/usr/local/sbin/mail_wlan_events"); };
log { source(src); filter(f_wlan); destination(wlancrit); }; 
generierten  bei jedem WLAN Zugriff eine Mail und einen LogEintrag. 192.169.3.0/255.255.255.0 ist mein WLAN Netzwerk.
 
Innerhalb kürzesterer Zeit hatte ich so 10 Zugriffsversuche deren XP Namen  in den WLAN Access Requests gelogged wurden. Da habe ich mich entschlossen denen mal einen Honeypot zu Frass zu geben und habe unter VMWARE ein kleines Linuxsystem über das WLAN Netz angeboten. Dazu habe ich den VMware Server installiert und darauf ein kleines SuSE ohne X installiert. 
 
Das root PW ist sicher denn man kann als root gar nicht, und als user nur mit ssh key auf das System. Ich bin gespannt ob es ein WIN User schafft da reinzukommen. Ein paar Dateien habe ich auch per Samba shares freigeben. Samba hat trace level 2, d.h. ich bekomme jeden samba Download mit - und die ssh Zugriffe auf guest werden auch protokolliert. 
 
Wichtig dabei ist dass die Firewallrules stimmen, denn es darf keine Verbindung zwischen dem WLAN Netz und dem internen LAN Netz geben! Da das WLAN Netz als externes Netz in der SuSEfirewall definiert ist können nur die WLAN Clients und mein Honeypot miteinander kommunizieren. Will ein WLAN Client ins interne LAN Netz muss er sich den Zugriff per OpenVPN besorgen. 
 
Den Honypot habe ich nun auch für das Internet erreichbar gemacht. Es ist erstaunlich wie schnell Leute die offenen Ports gefunden haben. Per nmap habe ich dann mal nachgesehen was mein Counterpart an Ports offen hat ... und da war einer, der hatte u.A. smtp, X, samba offen...
 
Die ganze Sache ist leider nicht unkritisch. Deshalb beschäftige ich mich jetzt mit honeynet.
 
Weitere Doku dazu  findet sich mit 'google wlanhoney' und
Kommentar schreiben

*** Hinweis ***

Kommentare sind erwünscht. Aber um lästige Spamposts abweisen zu können gibt es ein paar Dinge die zu beachten sind:
  1. Kommentare mit dem Text http werden sofort zurückgewiesen mit der Meldung Sie sind nicht berechtigt den Tag zu verwenden. zz
  2. Kommentare werden manuell überprüft und es dauert deshalb in der Regel einen Tag bis sie veröffentlicht werden.