Workshop: Mit Kismet Schwachstellen im WLAN aufdecken

Kismet als IDS-System verwenden

Für das eigene Netzwerk kann Kismet als Intrusion-Detection-System für Layer-2- und Layer-3-Attacken fungieren. Das Programm kann bei sogenannten Fingerprints (spezielle Angriffe mit einzelnen Paketen) Alarm schlagen und Trends erkennen. Alarme werden in der Konfigurationsdatei mit alert= definiert. Diesem werden drei Parameter übergeben, etwa so:

alert=LONGSSID,5/min,1/sec

Hier wird auf überlange SSID geprüft, die ein Anzeichen eines Angriffs auf verschiedene Treiber sein können. Hier sind maximal fünf pro Minute erlaubt und maximal ein Alarm pro Sekunde. Welche anderen Alarmsignale es gibt, steht in der Readme-Datei in Kapitel 12.

Mithilfe der Kismet-Drohnen kann das IDS noch verstärkt werden. Drohnen schicken ihre gesammelten Daten über einen zweiten Netzwerkadapter an einen Kismet-Server, der diese sammelt. Als Drohnen eignen sich auch Windows- oder Mac-OS/X-Rechner; Da sie nicht dekodieren, benötigen sie nur eine minimale Hardwareausstattung. Was auf dem Kismet-Server ankommt, kann dann an eine virtuelle Netzwerkschnittstelle weitergeleitet und dann etwa mit einem externen IDS-System wie Snort weiter untersucht werden. (hal)