Monitoorime eetrit bullet2 abil

Siin teeme nii palju puust ja punaseks ette, kui vähegi oskan ja suudan - kuidas bullet2 ja kismet abil monitoorida tegevust eetris. Õpetuse teen enamjaolt webadminni baasil, kuna paljud ikka käsurea kallale ei lähe võrgu seadistusel. Ainult kismet_drone install ja seadistus ning käivitus on käsurealt.

Kindlasti arvutis kasutada Debiani/Ubuntu (teiste distrode kohta andmed puuduvad mul) varamute kaudu antavat kismetit. Bulletile saadav kismet_drone kahjuks uuemate kismetitega koostööd ei tee.

Kellel probleeme on sellega, et kismet ei näita gps-i datat, siis juhenduda Kismet#GPSD_-_Kismeti_GPS_toe_saamiseks_vajalik

NB! Kes mingit viga näeb, parandagu julgelt - ma rohem teen kui õpetada oskan ja seetõttu võib juhendis olla kas midagi üleliigset või vigast sees.

OpenWRT

• Esmalt vahetame Bulletil välja AirOS-i OpenWRT vastu.
• Inglise keeles juhend Installime OpenWRT NanoStationi/Bulleti peale
• Kui openWRT on installitud ja ka webadmin kaudu sisse pääseb, läheme järgmise sammu juurde

Seadistus töötamaks läbi teise ruuteri

Kes läbi teise ruuteri ei kasuta ehk hakkab kasutama otse läptopi/PC sabas, jätku see etapp vahele

• See seadistus on vajalik siis, kui meil on vaja remote-s monitoorida või teeme seda kohtvõrgus ja samas vajame ka interneti ühendust

Vajalikud andmed

• Ruuteri IP, mille sappa bullet tööle läheb - minu näites saab see olema 192.168.3.1
• Kismet_drone port 3501 - seda on vaja juhul, kui sisevõrgus tulemüür nõuab seadistuse tõttu pordi suunamist/avamist

Seadistame bulleti

• Esmalt siseneme webadminni ja valime Essential -> Network -> WIFI

Device enable - linnuke ette

Määrame Mode ja ka töökanali ning allpool ka muud parameetrid, et bullet toimiks AP-na

Kinnitame muudatused Save

• Liigume Administration menüüsse

Network -> Interfaces -> LAN

Liigume alla, kus on Add entry - kirjutame lahtrisse LAN1 (või mis iganes kellegile meeldib seadme nimetusena) ja klikime Add entry

Nüüd on meil LAN alias, mis on vajalik ligipääsuks juhul kui teise ruuteri dhcp poolt antud ip kaudu ligi ei pääse ning kasutame ka aliase staatilist IP-d arvutis kismet-i seadistusel.

Seadistame Aliase - IPv4 aaddress 192.168.3.20 ja netmask 255.255.255.0 - kuna minu näite järgi on ruuter 192.168.3.1

Kinnitame nupuga Save

• Siit alates on vaja täpsustamist ja parandust, et kui monitoorimiseks bulletit ei kasuta, siis ka AP töötaks nagu peab - minul loobib ta kliente sabast praegu.

Peamise LAN seadistus, mis jääb Aliasest kohale. Protocol DHCP, linnuke Bridge interfaces ette ja interface eth0.

Kinnitame Save & Apply

• Testimiseks paneme bulleti ruuterile sappa ja proovime brauseri kaudu webadminni ligi saada IP-l 192.168.3.20

Kui see õnnestub, siis on kõik korras.

Aktiveerime SSH

• Järgmiseks liigume Administration -> Admin password ja määrame root kasutaja jaoks parooli. Seda on vaja meil ka ssh jaoks

• Avame terminali arvutis ja logime ssh kaudu bulletisse

ssh root@192.168.3.20

• Palutakse vastu võtta/kinnitada võti, kirjutame yes
• Kui oleme identitud, siis proovime ping-da välist ühendust. Positiivse vastuse korral on meil lihtsam

Kismet_drone install ja seadistus

• opkg update
• opkg install kismet_drone

installib ka lisapakette automaatselt juurde

• Kui drone peal, siis soovitaks lisada ka ntp paketi, kuna rdate uuendamisega on paras jama ja ntp conf lihtsam toimima panna. kuna kismet_drone annab serverile dump faili oma kellaaja ja kuupäeva, siis on see tõsiselt soovitatav.
• Liigume /etc/kismet/ ja avame kismet_drone.conf

vi kismet_drone.conf

• Vi kasutamine - klahv i annab kirjutamise võimaluse, klahv esc viib meid read only reziimi ja seejärel kinnitame muudatused :wq ning litsume enter
• Confis muudame järgnevad read

# User to setid to (should be your normal user)                                 
suiduser=root
 
allowedhosts=127.0.0.1,192.168.3.0/24

source=ath5k,ath0,wireless

Ülejäänu on juba maitseasi

• Kui on salvestatud, siis kopeerime confi õigesse kohta

cp kismet_drone.conf /etc/

• Kuna wifi seade automaatselt monitor reziimi ei lähe, siis enne kismet_drone käivitamist tuleb see meil ise ära teha

Minul on tehtud /etc/kismet/ alla eraldi kismet.sh fail ja antud chmod a+x, mis wlanconfig abiga tapab ath0 seadme ja loob ta uuesti monitor reziimi ning seejärel käivitab kismet_drone. Kindlasti on ka muu moodus ath0 monitor reziimi viimiseks, aga ma nii harjunud tegema

#!/bin/sh
# Kismet

wlanconfig ath0 destroy
wlanconfig ath0 create wlandev wifi0 wlanmode monitor
ifconfig ath0 up

kismet_drone

sleep 10

Kuna ma ei taha ka ssh ühendust niisama püsti hoida ainult kismet_drone pärast, siis käivitan selle faili tagaplaanil

/etc/kismet/kismet.sh &

Aegajalt kipub küll väljundit näitama, aga see ei tohiks segada.

Confime arvutis kismet serveri

• Kui on vaja kismetit kasutada ka arvuti enda wifi seadmega, siis teeme muudatused olemasolevasse confi ja salvestame ta teise nimega

• Muudame source rea ära

source=kismet_drone,192.168.3.20:3501,drone

Ülejäänu on jällegi maitseasi

• Kui meil bulletis juba kismet_drone töötab, siis käivitame kismeti õige configa

kismet -f /etc/kismet/sinu-confi-nimi.conf

• Kui midagi pole kahe silma vahele jäänud, siis hakkab kismet_client tööle ja edasised andmed tulevad teie terminali ekraanile juba bulletist

Wiresharki tunnel

Vaja on bulletis paki tcpdump olemasolu.

Kuna aga, juhul kui kismet on olemas installituna juba, peale kismeti installi pole selle paki jaoks ruumi piisavalt, siis tekitasin /tmp alla kausta ja selle mountisin peajuurde.

Seejärel võtsin lahti /etc/opkg.conf ja muutsin ära real overlay_root mountpointi /jffs tekitatud mounti vastu.

Samas soovitan installida ka kismet samamoodi, et enne mount tekitada ja siis muuta opkg.conf ära. Põhjus on selles, et alla laetavad pakid jäetakse alles ja need võtavad ruumi /jffs all (hetkel see müsteerium on lahendamata, kuhu see sodi topitakse seal). tcpdump installiga oli sel viisil ruumi võitu ca 46%

opkg install tcpdump

Käivitame korraga ssh tunneli kaudu tcpdump ja Wireshark

Avame terminali root kasutajana

ssh root@192.168.3.20 /usr/sbin/tcpdump -i ath0 -w - -U | wireshark -i - -k

Avaneb wireshark, seejärel terminalis ssh jaoks parool ja esimese paketi saabumisel kohewireshark näitab seda.

Lahkan natuke käsurida lahti, et oleks neil, kes manuaalist rida/järge ajada ei oska, selge tööpõhimõte.

ssh root@192.168.3.20 > avab ssh tunneli
/usr/sbin/tcpdump > käivitab koheselt käsu tcpdump järgmiste seadetega:
-i ath0 > tööseade
-w -  > kirjutab nö toore data faili/puhvri "-"
-U  > tekitab väljundi läbi -w kirjutatud faili/puhvri

| > poolitab käsutee/käsurea ehk tekitab kaks eraldi käsuteed

wireshark > käivitab wiresharki
-i -  > tööseade "-" ehk siis tcpdump-i toore data fail/puhver
-k  > käivitab sessiooni koheselt

Kogutud andmed on salvestatavad, wireshark kirjutab jooksva data /tmp kausta.

NB! Kui soovime eetrist andmeid koguda ilma ühenduseta ehk client mode on väljas, siis tuleb ath0 panna monitor reziimi.

--Nemo 27. veebruar 2011, kell 17:43 (MSK)