Guide de l’utilisateur AirSnare version 0.8
Téléchargement et configuration initiaux
1) Vous aurez besoin d’une carte réseau 802.11b (sans fil). Si Etherealworks avec votre carte réseau, AirSnare devrait faire de même. (AirSnarewill fonctionnera sur une carte réseau filaire).
2) L’ordinateur qui va exécuter AirSnare doit être associé au point d’accès. Cela signifie que l’ordinateur doit avoir son SSID client sans fil défini sur le même SSID que le point d’accès. (Paramétrant le SSID sur l’ordinateur AirSnare pour: TOUT a également travaillé dans les tests de laboratoire.)
3) La bibliothèque WinPcap doit être installée. Si vous utilisez Ethereal (le logiciel de reniflage gratuit), vous l’avez déjà, sinon vous pouvez le télécharger à partir de http://winpcap.polito.it/.
4) Téléchargez AirSnare et installez-le.
5) Démarrez AirSnare. Tant que vous avez installé ce qui précède, vous ne devriez pas avoir d’erreurs.
Que se passe-t-il si je reçois une erreur ?
Run-timeerror ‘-2147220992(80040200)’: « Échec du chargement du paquet winpcap.DLL.Veuillez (ré)installer les bibliothèques de capture de paquets winpcap. »
C’est facile Follow Suivez l’étape 3 ci-dessus et téléchargez et installez les bibliothèques WinPcap.
Erreur d’exécution ‘-2147220982(8004020a)’: Pack de procéduresethwfilter a échoué Le code d’erreur = 0
Ce n’est pas une bonne erreur. Cela vous dit que le logiciel aproblèmes mettant votre carte réseau en mode promiscuité. Fondamentalement, votre carte n’est pas compatible. Votre seule option est d’essayer une autre carte.
Procédure packetGetAdapterNames erreur d’échec
C’est une erreur facile……désinstallez WinPcap de n’importe quelle version de votre systèmeet ensuite via le lien du menu démarrer Réinstallez WinPcap pour résoudre le problème.
AirSnare fonctionne… et maintenant?
La première chose à faire est de sélectionner votre adaptateur dans la liste des adaptateurs installés dans la partie supérieure gauche de l’écran AirSnare. Si plusieurs adaptateurs sont répertoriés, assurez-vous de sélectionner votre adaptateur réseau actuel.
Une fois que vous avez sélectionné votre adaptateur, faites un clic droit et sélectionnez « Démarrer ».
Cliquez sur démarrer If Si vous obtenez une erreur à ce stade, cela peut être l’une des deux choses.
- Vous n’avez pas sélectionné la bonne carte réseau dans la liste des adaptateurs.
- Votre carte d’interface réseau n’est pas compatible (voir erreurs ci-dessus)
Appuyez sur le bouton « Démarrer »
Alors maintenant nous sommes en marche. L’écran AirSnare peut se rallumer lorsqu’il découvre de nouvelles adresses MAC hostiles. Nous supposerons à ce stade que vous n’avez pas modifié votre liste d’adresses MAC conviviale. Nous devons donc remplir votre liste d’adresses MAC conviviale avec TOUTES les adresses MAC des machines de votre réseau, notamment:
- Tous les ordinateurs personnels de votre réseau, Mac, PC, Etc.
- Toutes les consoles de jeux connectées à Internet (ex : Xbox, PlayStation, etc.)
- Votre adresse MAC (il peut y avoir un couple, le port WAN, le port LAN et le port Sans fil s’il s’agit également d’un point d’accès sans fil). Ces informations peuvent généralement être trouvées sur la page d’état ou d’autrespages de configuration du routeur.
- Imprimantes réseau ou Périphériques de serveur d’impression
- Tout périphérique sans fil (ordinateur portable, iPaq, Tablette PC, etc.)
- Essentiellement tout appareil qui se connecte à Internet via votre routeur ou votre point d’accès.
Alors, comment obtenons-nous les adresses MAC de ces périphériques?
Pour tous les périphériques réseau en dehors des ordinateurs
Au bas de la plupart des serveurs d’impression, routeurs, commutateurs, etc. il y a une petite étiquette qui dit « MAC:************ ». Il s’agit de votre adresse MAC (MediaAccess Control) et est spécifique à cet appareil et à cet appareil uniquement.
Obtenir manuellement l’adresse MAC.
Sur une machine Windows 95, 98 ou ME, allez sur le bouton Démarrer puis Exécutez puis tapez: winipcfg
Puis appuyez sur entrée. Sélectionnez votre carte réseau dans la liste déroulante supérieure et son adresse MAC apparaîtra dans la fenêtre d’adresse de l’adaptateur, elle ressemblera à 00-40-85-2D-43-E6. Notez soigneusement le numéro et évitez les fautes de frappe.
Sur une machine Windows 2000 ou XP, allez sur le bouton Démarrer puis Exécutez puis tapez: CMD
Puis appuyez sur entrée, (ou ouvrez une fenêtre d’invite de commande)
Puis à l’intérieur de la fenêtre de commande tapez: ipconfig /all puis appuyez sur entrée
Cela affichera vos cartes réseau. Recherchez la ligne qui dit « Adresse physique », encore une fois ce sera au format de00-40-85- 2D-43-E6, toujours 6 groupes de 2 chiffres. Notez-les soigneusement pour éviter les erreurs et entrez-les soigneusement pour éviter les fautes de frappe.
Sur Votre routeur haut débit ou votre point d’accès sans fil, il sera affiché sur l’un des écrans d’état. Sachez qu’il y aura plusieurs MACaddresses pour votre routeur 1 pour le port WAN, 1 pour le port LAN et un autre pour la connexion sans fil.
Sur d’autres appareils, vous devrez fouiller pour le trouver. Vérifiez l’écran de configuration, effectuez une recherche Google pour trouver ce MAC de votre appareil, etc. Si vous ne le trouvez pas, vous pouvez toujours vous connecter à l’Internet à partir de cet appareil et regarder la « Fenêtre de surveillance MAC hostile », et si vous vérifiez le courrier de cet appareil, vous devriez voir =E-Mail=> ou si vous surfez sur le Web, vous devriez voir =WEB= > entrées dans thewindow. Tant que vous êtes sûr que VOUS êtes à l’origine de ces entrées, vous pouvez être à peu près sûr que ce sera la bonne adresse MAC répertoriée.
Une Foisvous avez vérifié TOUTES les entrées dans l’Auto_trustedMAC.fichier txt etsont satisfaits que vous les possédez tous, vous pouvez renommer le fichier Torustedmac.txt et enregistrez-le.
Liste conviviale des MAC
Maintenantque vous avez la liste des MAC de tous vos appareils, vous pouvez aller sur votre ordinateur et démarrer AirSnare. Parcourez votre liste de MAC et de théones détectés par AirSnare. Lorsque vous voyez un MAC sur lequel vous souhaitez figurerla liste conviviale des MAC, faites un clic droit et sélectionnez « Ajouter à Trusted ».Cela fera apparaître une fenêtre qui affiche l’adresse MAC et la description. Laissez le champ MAC seul car vous souhaitez ajouter ce MAC à la liste conviviale. Dans le champ de description, vous pouvez indiquer le nom de l’équipement réseau auquel ce MAC correspond. Ensuite, appuyez sur « OK » pourajoutez-le à la liste amicale.
Maintenant, vous pouvez laisser AirSnare s’exécuter et surveiller les adresses MAC hostiles…
Lorsque Airsnare détecte une adresse MAC sur le réseau qui n’est pas répertoriée dans la liste des MAC conviviaux, une alerte retentit et change la couleur de l’écran d’arrière-plan en ROUGE. À ce stade, tout le trafic envoyé de cette adresse MAC au réseau sera connecté à la fenêtre de surveillance MAC hostile (voir en haut à droite). À ce stade, vous devez déterminer si l’adresse MAC est vraiment hostile ou si vous avez peut-être manqué un appareil sur votre réseau par quelque part.
Vous pouvez rechercher des fabricants par adresse MAC, ce qui vous aidera à déterminer quel équipement il s’agit, Vernon m’a envoyé les liens suivants:
http://standards.ieee.org/regauth/oui/index.shtml – Recherche IEEE OUI. Entrez les 4 premiers chiffres de l’adresse MAC dans la zone de recherche OUI, par exemple si vous avez entré: « 0002a5 », cela reviendrait: Société Informatique Compaq
http://hacks.oreilly.com/pub/h/826 – Trouver des fabricants de radio par adresse MAC
Menu Alarmes
Une alerte AirSnare peut être effacée en allant dans le champ « Alarmes », en cliquant avec le bouton droit de la souris et en sélectionnant « Accuser réception de l’alarme »
Fenêtre d’adresses MAC potentiellement hostiles détectées
Toute adresse MAC captée par AirSnare qui n’est pas
La fenêtre de surveillance MAC hostile
C’est là que vous peut savoir ce que fait le MAC hostile. Il vous montrera l’adresse IP source et de destination vers laquelle ils vont et l’adresse MAC Source et de destination. Il identifiera également les ports communs tels que FTP, Telnet, e-mail, web, DHCP et autres ports populaires.
Bouton Écrire dans le fichier journal
Si vous souhaitez enregistrer les informations de la fenêtre de surveillance MAC hostile, cliquez sur « Bouton Écrire dans le fichier journal ». Cela enregistrera l’information dans un fichier dans le répertoire AirSnare sous le répertoire Logsdirectory. Les noms de fichiers sont enregistrés sous *.Fichiers TXT.
Envoyer NetMsg au bouton
Tout d’abord, pour que cela fonctionne, la machine à laquelle le message est envoyé doit être une machine Windows NT, 2000 ou XP, ou une machine Windows 95, 98 ou MEmachine avec une messagerie Windows en cours d’exécution.
Le module AirHorn
C’est le morceau d’AirSnare qui envoie le message à l’adresse IP indiquée. Le module AirHorn se configure automatiquement pourenvoyer des messages. Pour ouvrir le module AirHorn, cliquez avec le bouton droit sur l’adresse Mac que vous souhaitez envoyer au bouton « Envoyer NetMsg à » dans la fenêtre de surveillance UnfriendlyMAC. Maintenant, nous avons la fenêtre AirHorn ouverte.
Ce module ne fonctionnera qu’à partir d’une machine Windows NT, XP ou 2000 !
Le serveur, l’envoi Vers et l’envoi depuis sont tous configurés automatiquement lorsque vous ouvrez AirHorn. L’ordinateur récepteur doit avoir le pare-feu ICF (Windows InternetConnection Firewall) et le service Messenger activés (les deux par Windows XP SP2). L’ordinateur d’envoi n’a pas besoin d’avoirle pare-feu de connexion Internet Windows éteint et le service messenger activé.
Le Menu d’options
Analyser le trafic MAC – Indique à AirSnare d’inclure des paquets MAC dans son balayage
Analyser le trafic TCP – Indique à AirSnare d’inclure des paquets TCP dans son balayage
Analyser le trafic UDP – Indique à AirSnare d’inclure des paquets UDP dans son balayage
Lire le son d’alerte WAV – Lira une alerte de fichier WAV sur les haut-parleurs du PC. Vous pouvez changer les sons WAV en enregistrant vos propres alertes et en les renommant en sons d’alerte de fichier WAV appropriés.
Envoyer un e-mail en alerte – Envoie un e-mail lorsqu’une alarme d’intrusion est activée. Cela nécessite que le module de poste aérienne soit configuré et configuré correctement. Voir la fenêtre de la poste aérienne ci-dessous.
Le menu de suivi
Utilise simplement la piste avec l’option AirSnare. Il y a trop de variablespour obtenir Éthéré au travail. Si ça marche pour toi, génial, si ça ne marche pas… utilisez l’option AirSnare c’est beaucoup plus rapide. Exécutez Ethereal Sur une autre machine pour capturer des données par paquets.
Le menu Fenêtre
Requêtes DHCP
Ceci ouvre une fenêtre vous montrant toutes les requêtes DHCP qui ont eu lieu pour cette session.
Fenêtre AirHorn
Ouvre la fenêtre du module AirHorn. Ceci est décrit ci-dessus sous « Le module AirHorn »
Poste aérienne
Dans le menu options, cliquez sur l’onglet Poste aérienne.
La première case est l’adresse de votre serveur de messagerie SMTP. Si vous en avez un sur site, entrez simplement le nom de l’ordinateur, s’il s’agit d’un site hors site ou de votre ordinateur, entrez l’adresse IP ou le nom DNS. (c’est-à-dire mymailserver, 127.0.0.1, smtp.myisphost.com )
La Deuxième case est l’adresse E-mail To, Entrez l’adresse e-mail à laquelle vous souhaitez qu’une alarme soit envoyée par E-Mail lorsqu’une personne non autorisée se connecte à votre Point d’accès sans fil.
La troisième case est l’adresse E-mail De, entrez votre adresse e-mail ici. Ensuite, remplissez le Nom To et l’adresse E-mail To, l’adresse à laquelle vous souhaitez que l’alerte se rende. Le sujet ne peut pas être pendu, entrez ensuite un message pour le corps de l’e-mail, quelque chose comme « Une intrusion a été détectée sur le réseau. Veuillez consulter la machine Airsnare pour plus d’informations. »
La 5ème case est simplement ce que le message dira lorsque vous le recevrez.
Menu Aide
Le menu Aide vous offre l’option À propos. C’est pour moi la partie la plus importante car elle explique les longues heures que j’ai consacrées à ce programme et vous demande de faire un don au projet pour l’aider à continuer et à soutenir d’autres développements comme celui-ci. Si vous utilisez AirSnare et trouvez-le utile, j’espère que vous ferez un don. Merci et s’il vous plait, profitez du programme.
Forums AirSnare
Les forums Airsnare sont opérationnels. Visitez-les et postez toutes les questions ou histoires de détection. J’espère que ce sera un endroit commun pour les informations AirSnare et pour partager des informations et des idées sur la sécurité du réseau et la détection des intrusions que vous utilisez ou dont vous êtes curieux. Je pense que cela prendra un certain temps pour y aller, mais devrait être une bonne ressource pour les utilisateurs d’AirSnare.