30. Jan 2011 04:01
Keine Kommentare

Wi-Fi Intrusion Detection mit OpenWrt und PHP

TP-Link WR1043ND mit OpenWrt
TP-Link WR1043ND mit OpenWrt
Ich habe mir heute ein wenig Zeit genommen, meine Intrusion Detection für mein WLAN zu verbessern. Bisher habe ich mir immer manuell die Log-Einträge angesehen und geguckt, ob sich Stationen am Netzwerk anmelden oder dies versuchen, die nicht bekannt sind. Es wurde jetzt mal langsam Zeit, den Prozess zu automatisieren und mir auch eine E-Mail Benachrichtigung zu senden. Etwas ähnliches hatte ich auf meinem WRT54GL auch, aber das hatte ich eher schlecht als recht umgesetzt. Deswegen jetzt auf dem WR1043ND ein Neuanfang.

Das ganze funktioniert jetzt so; Alle 10 Minuten läuft ein Cronjob auf dem Router, welcher die Logeinträge von hostapd (Daemon für den Access Point) und dropbear (SSH daemon) per wget an ein PHP Script auf dem Server meiner Website bei GoDaddy sendet. Dieses Script überprüft die Log-Einträge und sendet bei Bedarf eine E-Mail an mich.

Das Script, welches die Log-Einträge versendet sieht relativ einfach aus. Ein bisschen grep und wget.

Wie man sieht passiert in dem Script jetzt noch nicht wirklich irgendetwas. Es liest die Log-Datei und drückt Sie in den RAM des Geräts (der RAM ist bei OpenWrt immer unter /tmp eingehangen). Anschließend sendet wget die Datei per POST an das Script auf meinem Server. Habe ich oben aus Sicherheitsgründen mit * maskiert. Danach wird die Log-Datei wieder gelöscht, damit der RAM nicht unnötig Daten hält, da er nur 14MB groß ist.

Das PHP Script sieht da schon spannender aus. Es liest erst einmal den POST-Datenstrom. Sieht vielleicht etwas umständlich aus, ist aber für die leichtgewichtige wget Version bedeutend einfacher durchzuführen. Der router soll nicht so sehr von dem Vorgang belastet werden. Das ist auch der Grund, warum die Hauptveranstaltung auf dem GoDaddy Server stattfindet. Kann man jetzt drüber diskutieren.

Das Script geht einfach alle Log-Einträge durch, und sucht nach 802.11 Authentifizierungen, WPA Handshakes und Sicherheitswarnungen von Dropbear – dem SSH daemon. Sofern sich eine Station authentifiziert, aber dann den Handshake nicht durchführt, hat sie einen falschen Schlüssel überliefert. In diesem Fall geht dann schon eine E-Mail raus. Jedoch immer nur, wenn es sich um eine unbekannte Station handelt (außer bei den Dropbear Warnungen).

Das ganze dann als Cronjob und man ein prima IDS. Falls Jemand Bugs oder Fehler in einem der Scripte findet, bitte einfach ein Kommentar an diesen Artikel dranhängen.

Update: Ich habe das ganze jetzt noch etwas angepasst. Während der Laufzeit des Scripts leuchtet die “QSS” LED an dem Router. Ist es fertig, geht Sie wieder aus. Sofern das Script eine Warnmeldung versendet hat, blinkt die “QSS” Leuchte 1 Minute lang.

Hier das Script, welches CRON ausführt.

Man sieht oben, dass dort ein Shell-Script verwendet wird, welches die LED zum leuchten bringt. Interessehalber poste ich das Script gleich mit, obwohl es wenig mit dem eigentlichen Vorgang zu tun hat.

Das Blink-Script bekommt einen Parameter, der ihm mitteilt, wie lange es laufen soll. Da hier immer An/Aus in einem Lauf gemacht wird, ist der Parameter entsprechend Laufzeit = Parameter 1 * 2 sek.

Vielleicht fragt sich der Ein oder Andere, was die QSS LED eigentlich macht. Sie steht für “Quick Security Setup” und ist damit Bullshit. Quick und Security sind zwei Begriffe, die sich schon irgendwie gegenseitig ausschließen. Ich überlege auch noch, was ich mit dem gleichnamigen Button am Vorderteil des Geräts machen soll.

B├╝cher zum Thema „Intrusion Detection“

Die nachfolgenden B├╝cher behandeln das Thema "Intrusion Detection" und werden von Amazon empfohlen. Viele dieser B├╝cher habe ich selbst gelesen und teilweise auch zur Recherche f├╝r diesen Artikel genutzt.
54,98 €
Jetzt bestellen »
Intrusion Detection und Prevention mit Snort 2 & Co.: Einbr├╝che auf Linux-Servern erkennen und verhindern (Open Source Library)
Ralf Spenneberg, Addison-Wesley Verlag
29,99 €
Jetzt bestellen »
Intrusion Detection effektiv!: Modellierung und Analyse von Angriffsmustern (X.systems.press)
Michael Meier, Springer
34,99 €
Jetzt bestellen »
Netzwerk- und Datensicherheit: Eine praktische Einf├╝hrung
Martin Kappes, Springer Vieweg
0,95 €
Jetzt bestellen »
Network Intrusion Detection
Stephen Northcutt, REDLINE

Diese Artikel k├Ânnten Dich auch interessieren

Besucher, die diesen Beitrag gelesen haben, haben sich auch die unten aufgef├╝hrten Beitr├Ąge angesehen. Schau' doch einfach mal in die Artikel rein.
4 Besucher haben auch das gelesen
3 Besucher haben auch das gelesen
3 Besucher haben auch das gelesen
3 Besucher haben auch das gelesen
3 Besucher haben auch das gelesen
3 Besucher haben auch das gelesen

Kommentare zum Thema „Wi-Fi Intrusion Detection mit OpenWrt und PHP“

Wenn Du m├Âchtest, kannst Du hier Kommentare zum Thema hinterlassen und Dich mit anderen Nutzern austauschen. Damit Du kommentieren kannst, musst Du Dich nur anmelden und schon kann es losgehen.
Jetzt zum Kommentieren anmelden