Vành đai vô hình: Tại sao việc giám sát không dây lại quan trọng
Chúng ta thường quá chú trọng vào firewall, VLAN và EDR mà lại xem sóng vô tuyến như một yếu tố phụ. Sau 180 ngày kiểm tra mạng không dây liên tục, tôi nhận ra phổ tần vô tuyến (RF) thường là một điểm mù khổng lồ. Một bộ định tuyến du lịch giá 30 USD hay một chiếc Pineapple Nano độc hại có thể vượt qua vành đai bảo vệ hàng triệu đô la chỉ trong vài giây. Mọi chuyện diễn ra nhanh hơn bạn tưởng đấy.
Trong một đợt quét gần đây, tôi đã phát hiện một tín hiệu Wi-Fi lạ phát ra từ kho lưu trữ ở tầng 2. Một nhà thầu HVAC đã cắm một điểm truy cập trái phép vào switch hệ thống chỉ để có sóng khỏe hơn để lướt TikTok. Đây không chỉ là một dự án sở thích; đó là một yêu cầu bảo mật bắt buộc. Nếu bạn không giám sát sóng vô tuyến, bạn chưa thực sự được bảo vệ.
Kiến trúc Kismet: Một WIDS thực thụ
Hãy tạm quên airodump-ng đi. Dù nó rất tuyệt để kiểm tra nhanh, nhưng Kismet là một Hệ thống Phát hiện Xâm nhập Không dây (WIDS) quy mô đầy đủ. Hầu hết các công cụ quét khác thường nhảy giữa các kênh và làm mất gói tin. Tuy nhiên, Kismet có thể điều phối nhiều card mạng cùng lúc để cung cấp cái nhìn không gián đoạn về môi trường của bạn.
Hệ thống sử dụng mô hình server-client. Server xử lý các công việc nặng nhọc như giải mã gói tin, nhận diện (fingerprinting) các khung 802.11 và kích hoạt cảnh báo. Bạn tương tác với nó thông qua một bảng điều khiển web trực quan theo thời gian thực. Thời của giao diện ncurses cồng kềnh đã qua; UI hiện đại giúp việc phát hiện các điểm bất thường trở nên trực quan và nhanh chóng hơn.
Các khái niệm chính bạn cần biết
- Monitor Mode: Đây không phải là kết nối Wi-Fi thông thường. Ở chế độ giám sát (monitor mode), card mạng của bạn sẽ ngừng “nói” và bắt đầu “nghe” mọi gói tin trên một tần số cụ thể, bất kể gói tin đó dành cho ai.
- Data Sources: Kismet không hề kén chọn. Nó tổng hợp dữ liệu từ card Wi-Fi, adapter Bluetooth và Software Defined Radios (SDR) thành một luồng duy nhất.
- Information Elements (IE): Kismet nhận diện thiết bị bằng cách xem xét các thẻ IE cụ thể trong các khung quản trị (management frames), những thứ này khó giả mạo hơn nhiều so với một địa chỉ MAC đơn thuần.
Thiết lập trạm giám sát
Lựa chọn phần cứng rất quan trọng. Mặc dù Raspberry Pi 4 rất tuyệt vời vì tính di động, nhưng tôi thích một chiếc NUC chuyên dụng cho các đợt kiểm tra thực tế. Bạn sẽ cần hiệu năng CPU khi Kismet bắt đầu xử lý hơn 2.000 gói tin mỗi giây trong giờ cao điểm tại văn phòng.
1. Cài đặt
Hãy tránh các phiên bản cũ kỹ trong các repository tiêu chuẩn. Tôi luôn tải trực tiếp từ các bản phát hành chính thức của Kismet để đảm bảo hỗ trợ phần cứng mới nhất.
wget -O - https://www.kismetwireless.net/repos/kismet-release.key | sudo apt-key add -
echo 'deb https://www.kismetwireless.net/repos/apt/release/jammy jammy main' | sudo tee /etc/apt/sources.list.d/kismet.list
sudo apt update
sudo apt install kismet2. Chuẩn bị card mạng
Card mạng tích hợp trong laptop của bạn có lẽ sẽ không đủ dùng. Tôi sử dụng Alfa AWUS036ACM với chipset MT7612U, hoạt động cực kỳ ổn định trên Linux. Để chuyển sang monitor mode một cách thủ công, hãy sử dụng iw:
# Tìm tên interface của bạn
ip link show
# Hạ interface xuống, đổi chế độ, và bật nó lên lại
sudo ip link set wlan0 down
sudo iw wlan0 set type monitor
sudo ip link set wlan0 up3. Quyền hạn và Cấu hình
Đừng bao giờ chạy Kismet server dưới quyền root; đó là một rủi ro bảo mật lớn. Thay vào đó, hãy thêm người dùng của bạn vào nhóm kismet trong quá trình cài đặt. Bạn sẽ cần đăng xuất để các thay đổi có hiệu lực. Để duy trì cấu hình, hãy lưu các tùy chỉnh của bạn trong /etc/kismet/kismet_site.conf để chúng không bị ghi đè trong lần apt upgrade tiếp theo.
Săn lùng các thiết bị lạ trong thời gian thực
Phát hiện một Rogue AP không chỉ là tìm kiếm một cái tên lạ. Đó là về việc nhận diện quy luật. Tấn công “Evil Twin” (Song sinh độc hại) — nơi kẻ tấn công sao chép SSID của công ty bạn — là mối đe dọa phổ biến nhất. Nếu điện thoại của nhân viên bắt đầu kết nối với một mạng “Guest_WiFi” có cường độ tín hiệu -30 dBm ngay tại bãi đậu xe, chắc chắn có điều gì đó không ổn.
Nhận diện các điểm bất thường
Truy cập vào http://localhost:2501 và theo dõi danh sách thiết bị. Đây là danh sách kiểm tra hàng ngày của tôi:
- BSSID Whitelisting: Tôi so sánh các tín hiệu thực tế với các địa chỉ MAC của Cisco AP mà chúng tôi đã biết. Nếu SSID của chúng tôi đang phát từ một địa chỉ MAC của TP-Link hoặc Ubiquiti, tôi biết chúng tôi đã bị xâm nhập.
- Signal Proximity: Nếu Kismet báo cáo tín hiệu ở mức -45 dBm (rất mạnh) nhưng nguồn phát không nằm trong sơ đồ mặt bằng, tôi sẽ cầm thiết bị cầm tay và bắt đầu đi rà soát vật lý.
- Encryption Watch: Nếu một mạng thường yêu cầu WPA3 Enterprise đột nhiên chấp nhận WPA2-PSK, Kismet sẽ kích hoạt cảnh báo ưu tiên cao.
Phân tích (Forensics): Từ Log sang PCAP
Kismet lưu trữ mọi thứ trong các cơ sở dữ liệu SQLite .kismet. Khi tôi thấy hành vi nghi vấn, chẳng hạn như một loạt các khung deauthentication, tôi sẽ xuất khoảng thời gian đó ra tệp PCAP để phân tích bằng Wireshark.
# Chuyển đổi database sang tệp capture tiêu chuẩn
kismet_log_to_pcap --in suspicious_activity.kismet --out hunt.pcapTrong Wireshark, tôi lọc theo wlan.fc.type_subtype == 0x0c. Sự gia tăng đột biến của các gói tin ‘deauth’ này là dấu hiệu rõ ràng cho thấy ai đó đang cố gắng ép người dùng ngắt kết nối khỏi mạng thật để nhảy sang một mạng giả mạo.
Kết luận sau 6 tháng: Những bài học rút ra
Chạy một hệ thống WIDS 24/7 không phải là việc ‘cài xong rồi để đó.’ Thứ nhất, việc lưu trữ rất tốn kém. Một văn phòng bận rộn có thể tạo ra 4GB dữ liệu capture chỉ trong một ngày làm việc. Cuối cùng, tôi đã tự động hóa một script để lưu trữ metadata và xóa các gói tin thô sau mỗi 48 giờ, trừ khi có cảnh báo đang kích hoạt.
Thứ hai, hãy học cách lọc bỏ nhiễu. Bạn sẽ thấy mọi thứ từ tủ lạnh thông minh đến cả những chiếc Tesla đi ngang qua. Hiện tại, tôi lọc bỏ bất kỳ thiết bị nào không hoạt động quá 10 phút để bảng điều khiển chỉ tập trung vào các mối đe dọa dai dẳng thay vì lưu lượng truy cập vãng lai.
Lời kết
Kismet đã phát triển từ một công cụ ‘wardriving’ thành một phần thiết yếu trong hệ thống phòng thủ của tôi. Nó cung cấp mức độ hiển thị mà các bảng điều khiển mạng tiêu chuẩn không thể sánh được. Nếu bạn chưa kiểm tra sóng vô tuyến của mình gần đây, hãy thiết lập một instance Kismet ngay trong tuần này. Bạn có thể sẽ ngạc nhiên — và có lẽ hơi lo lắng — về những gì thực sự đang lơ lửng trong không khí tại văn phòng của mình đấy.
