Защищаемся от подбора паролей на W-Fi

Тут размещаем отчеты о готовых работающих решениях на оборудовании Mikrotik
EdkiyGluk
Сообщения: 260
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Защищаемся от подбора паролей на W-Fi

Сообщение EdkiyGluk » 21 сен 2014, 09:38

Доброго времени суток, Форумчане =)
Вчера наконец допилил скрипт, созданный уважаемым vqd и он начал работать....
Сам скрипт звучал так:

:local pop 3
:local mac
:local wifi [/log find message~"data from unknown device"]

foreach i in=$wifi do={
:set mac [:pick [/log get $i message ] 32 ([:len [/log get $i message ]]-13)]
if ([:len [/log find message~("data from unknown device " . $mac)] ] >= $pop) do={
if ([/interface wireless access-list find mac-address=$mac] = "" ) do={
/interface wireless access-list add mac-address=$mac authentication=no interface=all
}
}
}


Скрипт оказался неработоспособен... В силу того, что при неудачном вводе пароля в логах не проскакивает сообщение с фразой "data from unknown device"............... Допилил скрипт и вот что получилось

:local pop 4
:local mac
:local wifi [/log find message~"disconnected, unicast key exchange timeout"]

foreach i in=$wifi do={
:set mac [:pick [/log get $i message ] 0 ([:len [/log get $i message ]]-50)]
#:log warning $mac
if ([:len [/log find message~($mac . "@wlan1: disconnected, unicast key exchange timeout")] ] >= $pop) do={
if ([/interface wireless access-list find mac-address=$mac] = "" ) do={
/interface wireless access-list add mac-address=$mac authentication=no interface=all
}
}
}
#:log warning "FINISH"


Закидываем скрипт в планировщик и запускаем каждые N минут
Для того, чтобы в бан не попадали разрешённые девайсы, заранее добавляем их в ацесЛист...
podarok66
Модератор
Сообщения: 3113
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Защищаемся от подбора паролей на W-Fi

Сообщение podarok66 » 21 сен 2014, 10:28

А сам-то vqd знает о судьбе его скрипта?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vqd
Модератор
Сообщения: 3759
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Re: Защищаемся от подбора паролей на W-Fi

Сообщение vqd » 21 сен 2014, 10:34

А мне чего знать то? Если мне не изменяет память то он писался не от подбора пароля, а он флуда
Есть интересная задача и бюджет? http://mikrotik.site
EdkiyGluk
Сообщения: 260
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Re: Защищаемся от подбора паролей на W-Fi

Сообщение EdkiyGluk » 21 сен 2014, 17:36

Значит podarok66 не совсем верно написал назначение скрипта в своём блоге)))) В любом случае теперь сообщество имеет решение конкретной наболевшей задачи)))
podarok66
Модератор
Сообщения: 3113
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Защищаемся от подбора паролей на W-Fi

Сообщение podarok66 » 21 сен 2014, 19:20

vqd писал(а):А мне чего знать то? Если мне не изменяет память то он писался не от подбора пароля, а он флуда

EdkiyGluk писал(а):Значит podarok66 не совсем верно написал назначение скрипта в своём блоге)))) В любом случае теперь сообщество имеет решение конкретной наболевшей задачи)))

Я уж не знаю, зачем скрипт писался, но в теме он упоминался именно в ключе защиты от подбора пароля (банальный брутфорс, по-моему, а автор темы параноик :-) ) Я уж и не помнил, что он у меня в ЖЖ продублирован :hi_hi_hi:
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1430
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Защищаемся от подбора паролей на W-Fi

Сообщение Dragon_Knight » 21 сен 2014, 19:26

Брут на WiFi?... Это разве актуально вообще? Тем более брутить получиться со скоростью не более 1 пароля за 2-5 секунд. Это быстрее настанет эра термодинамического равновесия, чем вскроют WiFi...
Вафлю ломают методом снифа трафика а потом оффлайн брута и атак на этот трафик. Сам ломал так WiFi камеры в своей организации, и по факту, со стороны устройства было только одно успешное подключение.

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
podarok66
Модератор
Сообщения: 3113
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Защищаемся от подбора паролей на W-Fi

Сообщение podarok66 » 21 сен 2014, 19:46

Я и говорю, что там в теме ТС был параноик)), но он в действительности хотел избавится от несанкционированных попыток подключения, а не от взлома. Его беспокоили сообщения в логах ;;-)))
В любом случае достаточно специфичная задача, подавляющему большинству ненужная. Мне стал интересен именно путь решения задачи, а не техзадание.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
EdkiyGluk
Сообщения: 260
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Re: Защищаемся от подбора паролей на W-Fi

Сообщение EdkiyGluk » 21 сен 2014, 20:34

Т.е. нет реального способа защиты от взлома Wi-Fi? Только и можно что каждому юзеру прикрепить свой пароль привязанный к маку... Ито это не даст должного эффекта...
podarok66
Модератор
Сообщения: 3113
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Защищаемся от подбора паролей на W-Fi

Сообщение podarok66 » 21 сен 2014, 20:58

Вы вот скажите, вас часто взламывают? И взламывали ли вообще?
Я глубоко убежден, что пароль типа F|64jtW~0 способен обеспечить 99% безопасности. И из остального подавляющая часть приходится на человеческий фактор (пароль на листке над монитором, "Люда введи мой пароль, я ногти накрасила..." и т. д.)
Если у Вас везде пароль qwerty или 12345678, то простите, но рано и поздно ждите незваных гостей. Наш уважаемый vqd выполнил ТЗ, причем блестяще. Все мы обсудили всё это в той тем. Но никто из нас ни словом не обмолвился о безопасности. Потому что безопасность, как правило обеспечивается комплексом мер, препятствующим вообще возникновению ситуации, когда кто-то левый может проникнуть в вашу сеть. У каждого этот комплекс свой, соответствующий степени параноидальности индивидуума. Ну например:
1. Скрытая сеть WiFi
2. Шифрование WPA2
3. Сложный пароль их 10-12 символов
4. Access List в фаерволе для тех, кому доступ разрешен.

При желании правил может быть больше или меньше, под каждый случай. Просто помните, любую защиту можно обойти, узнав пароль у Светки за шаколадку :-), или попив с Васькой пивка...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1430
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Защищаемся от подбора паролей на W-Fi

Сообщение Dragon_Knight » 21 сен 2014, 23:54

Согласен с podarok66, только добавлю следующее.
Я знаю 4 способа взлома пароля WiFi:
1) Шифрование WEB, которое даже шифрованием не является;
2) Уязвимость в технологии WPS, позволяющая получить pin код за несколько минут;
3) Оффлайн бруд на сниференный трафик;
4) Человеческий фактор;

И по порядку меры защиты:
1) Забыть про WEB, забыть про WPA и TKIP и использовать только WPA2 AES.
2) Не использовать WPS и полностью его отключить.
3) Периодически менять пароли. Если менять пароль каждый день, то шанс взлома равен нулю, даже если ломать буду бесконечное кол-во лет.
4) За утечку или небрежное отношение к паролям бить по кошельку сотрудников.

Сурово, но правда, и если первые два решаются за 2 минуты путём настройки, вторые два есть всегда и ничего с ними не поделать..

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];

Вернуться в «Примеры решений на оборудовании Mikrotik»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость