Защищаемся от подбора паролей на W-Fi

Тут размещаем отчеты о готовых работающих решениях на оборудовании Mikrotik
23q
Сообщения: 57
Зарегистрирован: 16 май 2013, 11:21

Dragon_Knight писал(а):1) Забыть про WEB, забыть про WPA и TKIP и использовать только WPA2 AES.
2) Не использовать WPS и полностью его отключить.
3) Периодически менять пароли. Если менять пароль каждый день, то шанс взлома равен нулю, даже если ломать буду бесконечное кол-во лет.
4) За утечку или небрежное отношение к паролям бить по кошельку сотрудников.


Немного не понятен 2 пункт. Атакам подвержена только ранняя реализация с PIN-кодом, этот вид подключения разработчики MikroTik решили не реализовывать вообще. Так чем опасен WPS в текущей реализации в роутерах Микротик?

Dragon_Knight писал(а):Вафлю ломают методом снифа трафика а потом оффлайн брута и атак на этот трафик. Сам ломал так WiFi камеры в своей организации, и по факту, со стороны устройства было только одно успешное подключение.

Не зная пароль, а позанимаясь так называемой "рыбалкой", и наловив трафика можно узнать пасс?


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

23q,
1) Если о баге не известно публично, это не значит что его нету в приватных кругах, и тем более не означает что этого бага нету вообще.
2) Есть несколько способов атаки на трафик, но общий принцип его не отличается от способа, который использовали для взлома Энигмы. Т.е. В данном случае формат кадра WiFi имеет вполне определённый вид, и зная что нужно получить, можно применять некоторые атаки на трафик. В итоге да, можно получить восстановленный ключ сети, но есть и другие способы авторизации без использования ключа.

А вообще в нынешних реалиях, за 2-3 недели и несколько ГБ пойманого трафика можно взломать любую сеть, и даже персональные пароли не очень спасут ситуацию.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Не совсем разобрался что делают эти скрипты. Можно прокомментировать подробнее первый и второй ?
Что за переменная pop ? не въехал.
К тому же не понятна логика скриптов - типа если в листе-доступа нет устройства с которого был введен неправильный пароль ? (которое соответствующим образом наследило в логе), то добавить его туда, отключив ему возможность аутентификации по всем интерфейсам. А нужно ли это гадкое устройство (чужое) вообще добавлять в access-лист то ? Другого пути нет ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
puls2k
Сообщения: 3
Зарегистрирован: 19 янв 2019, 12:02

Всем кто в теме! Дайте свои рекомендации по защите wifi от взлома.

Сам сети взламывал перехватом handshake и последующим подбором пароля по словарю чисто для пробы. Перехват трафика за 2-3 недели это реально? Получается у атакующего должен быть включён пк для выполнения данных действий. А после того как он получит пароль сможет ли он подключится если включён доступ по мак?

Сам использую следующее для защиты:
1) использую WPA2-PSK с aes-ccm шифрованием.
2) отключен WPS. Имеется точка cap ac
3) пароль 16 символов: большая буква, малая и цыфры
4) пароль меняю раз в год
5) ограничен доступ по MAC-адресам в WiFi-сети.
6) снята галочка Default Forward в настройках wifi интерфейса
7) скрыт SSID сети.
8) изменен MAC беспроводного интерфейса


Ответить