RSS

Komma igång med Kismet

25 Aug

En person har undrat hur man kan leta efter trådlösa nätverk i sin omgivning. Ett program som dök upp i mitt huvud var Kismet. (Wikipedia) Tyvärr visste jag inte så mycket om det, mer än att man kunde sniffa trådlösa nätverk med det. Nu har jag tagit reda på hur man kommer igång.

Jag har testat det här i Ubuntu 12.04 och version 2008.05.R1 av Kismet. Tyvärr är det inte den senaste versionen av Kismet, men den fungerar hyfsat, även om den kraschar ibland.

Som ett alternativ till Kismet för att ha lite koll på de trådlösa nätverken, finns inSSIDer, som jag beskrivit tidigare. inSSIDer ger inte den mängd med information som Kismet gör och den är dessutom bara i ett tidigt utvecklingsstadium, även om den fungerar.

Installera och ställa in

Att installera Kismet i Ubuntu är enkelt, för man hittar det i Programcentralen. Öppna Programcentralen och sök på ‘kismet’. Du bör få upp ”Wireless 802.11b monitoring tool”. Klicka på installera och vänta på att den ska bli klar.

Vill man ha den senaste versionen får man ladda ner källkoden från hemsidan och kompilera själv. Men för att komma igång duger den här versionen.

När Kismet är intstallerad kör servern igång. Den kommer även att starta automatiskt när datorn startas om. Hur man kan reglerar det här beteendet, vet jag inte, men det vore önskvärt att kunna slå av och på den vid behov.

Det första man behöver gör är att ta redan på är vilken drivrutin som nätverkskortet har. Det gör man genom att skriva ‘lshw’ i ett terminalfönster och leta upp ‘Trådlöst gränssnitt’. Eller så skriver man följande för att få upp det exakta resultatet.

lshw | grep -A 13 network

Det man får upp liknar följande. Den intressanta drivrutinen har jag fettat för att du ska se var du ska leta efter din egen.

*-network
beskrivning: Trådlöst gränssnitt
produkt: PRO/Wireless 3945ABG [Golan] Network Connection
tillverkare: Intel Corporation
physical id: 0
bus info: pci@0000:03:00.0
logiskt namn: wlan0
version: 02
serienummer: 00:1c:bf:98:8e:c2
bredd: 32 bits
klocka: 33MHz
förmågor: pm msi pciexpress bus_master cap_list logical wireless
konfiguration: broadcast=yes driver=iwl3945 driverversion=3.2.0-29-generic
firmware=15.32.2.9 latency=0 link=yes multicast=yes wireless=IEEE 802.11abg
resurser: irq:48 memory:df3ff000-df3fffff

En lista på kort som stöds hittar man i avsnittet ” 7. Supported capture source types” på dokumentationssidan. Tänk bara på att den listan gäller den senaste versionen och den har du bara om du installerade från källkod.

Därefter behöver man redigera filen /etc/kismet/kismet.conf. Avkommentera och ändra följande rad från

#suiduser=your_user_here

till namnet på ditt konto

suiduser=ditt_kontonamn

Ändrade sedan följande rad för att ange den drivrutin som ditt nätverkskort använder och vad ditt kort kallas, t ex wlan0.

source=none,none,addme

till följande, där drivrutin är namnet på den drivrutin du hittade ovan.

source=drivrutin,namn_på_nätverkskort,ett_namn

För mig blev det så här, där ”golan” bara är ett namn.

source=iwl3945,wlan0,golan

Efter de här inställningarna fick jag det att fungera. Om man använder något tillägg, t ex för GPS och ljud, så blir det lite mer meckande.

Något som händer när jag startar klienten för Kismet, är att jag själv blir nedkopplad från mitt eget nätverk. Eller mer exakt: Kismet söver nätverkshanteraren (NM). Anledningen är att Kismet och NM konkurrerar om nätverkskortet och för att undvika konflikter stängs NM av. Det här beteendet kontrolleras i kismet.conf och går att stänga av, om man så önskar. På följande rad ändrar man ‘true’ till ‘false’ för att inte stänga av NM.

networkmanagersleep=true

Tyvärr klarar Kismet inte av att väcka NM igen. Det innebär att jag måste starta om datorn för att komma ut på nätet igen. Inte helt lyckat!

Börja använda

För att starta Kismet skriver man följande i ett terminalfönster. (I Unity sök på ‘terminal’ för att hitta och öppna den.)

sudo kismet

Nu öppnas något som ser ut så här.

Startskärmen för Kismet. Tryck på mellanslagstangenten för att stänga ”välkomstfönstret”.

Det man först lägger märke till är listan med de gröna och gula posterna. Det är listan över trådlösa nätverk i omgivningen.

För att få upp en lista med kommandon, trycker man på ‘h’. Vill man till exempel sortera listan, trycker man ‘s’ och väljer sedan det alternativ man vill ha

I de flesta fall öppnas ett nytt ”fönster” när man ger ett kommando. I dessa fönster kan man också få upp en hjälpmeny med de möjligheter som just det fönstret har, om man trycker ‘h’.

Väljer nätverk gör man med piltangenterna. För att se information om nätverket trycker man Enter eller ‘i’.

Loggfiler

Kismet har flera loggfiler. Alla ligger på Ubuntu i katalogen /var/log/kismet. Filerna döps Kismet-månad-dag-år-nummer. Ändelser är weak, network, csv, xml, cisco och dump.

  • cisco. Ger informatin om CDP, Cisco Discovery Protocol. Har man ingen router från Cisco finns inget innehåll i den filen.
  • csv. En CSV-fil, Comma Separated Values, som är en ren textfil. Den innehåller en hel del information om de nätverk som hittas. Man öppnar den i ett kalkylark i LibreOffice (OpenOffice) eller MS Excel.
  • dump. Loggar paket i rått format. Kan öppnas i program som Wireshark, Tshark eller TCPdump.
  • network. En ren textfil som listar nätverken.
  • weak. Kan innehålla viss information om paket krypterade med WEP.
  • xml. En XML-fil, Extensible Markup Language, som kan visas i en webbläsare. Tyvärr saknas DTD och stilmallar, vilket gör filen mycket svårläst.

Jag tänker här inte gå in på hur man tolkar dessa filer, dels faller det utanför ramen för den här texten, dels kan jag nästan ingenting om det. Men öppna gärna csv-filen i LibreOffice och titta på den. För att titta på dump-filen kan man använda TCPdump eller Tshark. Hur man gör det beskriver jag här nedan. TCPdump kan redan finnas på din dator om du kör Ubuntu, men Tshark måste du installera.

Läs mer om användningen på manualsidorna för tshark, wireshark och tcpdump.

Tcpdump

För att läsa dumpfilen kan man använda tcpdump.

$tcpdump -vvv -XX -p tcp -nr /var/log/kismet/Kismet.date.dump

Vad som händer är följande.

  • -vvv för att få ett pratigt output.
  • -XX Visar header för varje paket, skriver ut data för varje paket mm.
  • -p Visar protokol.
  • -n För att inte slå upp IP-numret.
  • -r Läs paketen från en fil, alltså en av Kismets logfiler.

Tyvärr får jag ett permission denied vare sig jag försöker som mig själv eller som root.

Tshark

Man kan också pröva att analysera dumpfilen med tshark, som är terminalversionen av Wireshark.

tshark -x -r Kismet.dump | less

Eller för att dumpa output till en textfil.

tshark -x -r Kismet.dump > dump.txt

Eller så här.

tcpdump -X -r Kismet.dump > dump.txt

Man kan också pröva utan x(X).

Man kan också köra följande.

tshark -T text -V -r Kismet.dump | less

De vita och svarta hattarna

Du ska vara medveten om, att när du installerar Kismet på din dator får du tillgång till ett mycket kraftfullt verktyg. Som användare av Kismet kan du sätta på dig både den vita hatten och den svarta hatten.

Den vita hatten är när du använder programmet för att kontrollera ditt eget nätverk. Det går att använda Kismet för att öka säkerheten på sitt eget nätverk, genom att man kan upptäcka brister i det.

Den svarta hatten kommer på när du använder dig av Kismet för att utan lov tränga dig in i andras nätverk. Det här är inte lagligt och uppskattas inte av dina grannar. Du behöver visserligen andra verktyg också, men Kismet är början i en kedja med verktyg för att ta sig in hos andra.

Men genom att förstå hur ett trådlöst inbrott kan ta sin början, kan du också bättre förstå hur du själv kan skydda dig. Det är alltid säkrare att ha ett trådbundet nätverk där hemma, för då måste inbrottstjuven ta sig in i dina kablar. Men trådlösa nätverk är väldigt vanliga idag (man slipper mängder med sladdar) och de är mer sårbara. Behovet av att stänga alla dörrar in i routrar, access punkter och datorer öka med trådlöst.

Hur du använder Kismet är upp till dig och vilken moralisk hatt du väljer att använda. Men har du inte fullt legitima skäl, så är den vita alltid mer klädsam, enligt min mening. Det kan vara värt att tänka på Googles devis: Don’t be evil.

Mer information

Annonser
 
Lämna en kommentar

Publicerat av på 25 augusti 2012 i Dator, Internet, Säkerhet, Terminalen

 

Etiketter: , , ,

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

 
%d bloggare gillar detta: