Защищаемся от подбора паролей на W-Fi

Тут размещаем отчеты о готовых работающих решениях на оборудовании Mikrotik
23q
Сообщения: 57
Зарегистрирован: 16 май 2013, 11:21

14 фев 2017, 22:55

Dragon_Knight писал(а):1) Забыть про WEB, забыть про WPA и TKIP и использовать только WPA2 AES.
2) Не использовать WPS и полностью его отключить.
3) Периодически менять пароли. Если менять пароль каждый день, то шанс взлома равен нулю, даже если ломать буду бесконечное кол-во лет.
4) За утечку или небрежное отношение к паролям бить по кошельку сотрудников.


Немного не понятен 2 пункт. Атакам подвержена только ранняя реализация с PIN-кодом, этот вид подключения разработчики MikroTik решили не реализовывать вообще. Так чем опасен WPS в текущей реализации в роутерах Микротик?

Dragon_Knight писал(а):Вафлю ломают методом снифа трафика а потом оффлайн брута и атак на этот трафик. Сам ломал так WiFi камеры в своей организации, и по факту, со стороны устройства было только одно успешное подключение.

Не зная пароль, а позанимаясь так называемой "рыбалкой", и наловив трафика можно узнать пасс?


Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1602
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

15 фев 2017, 00:18

23q,
1) Если о баге не известно публично, это не значит что его нету в приватных кругах, и тем более не означает что этого бага нету вообще.
2) Есть несколько способов атаки на трафик, но общий принцип его не отличается от способа, который использовали для взлома Энигмы. Т.е. В данном случае формат кадра WiFi имеет вполне определённый вид, и зная что нужно получить, можно применять некоторые атаки на трафик. В итоге да, можно получить восстановленный ключ сети, но есть и другие способы авторизации без использования ключа.

А вообще в нынешних реалиях, за 2-3 недели и несколько ГБ пойманого трафика можно взломать любую сеть, и даже персональные пароли не очень спасут ситуацию.



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Sertik
Сообщения: 594
Зарегистрирован: 15 сен 2017, 09:03

18 дек 2018, 13:22

Не совсем разобрался что делают эти скрипты. Можно прокомментировать подробнее первый и второй ?
Что за переменная pop ? не въехал.
К тому же не понятна логика скриптов - типа если в листе-доступа нет устройства с которого был введен неправильный пароль ? (которое соответствующим образом наследило в логе), то добавить его туда, отключив ему возможность аутентификации по всем интерфейсам. А нужно ли это гадкое устройство (чужое) вообще добавлять в access-лист то ? Другого пути нет ?


Чего не знаем то нагуглим
puls2k
Сообщения: 1
Зарегистрирован: 19 янв 2019, 12:02

19 янв 2019, 12:17

Всем кто в теме! Дайте свои рекомендации по защите wifi от взлома.

Сам сети взламывал перехватом handshake и последующим подбором пароля по словарю чисто для пробы. Перехват трафика за 2-3 недели это реально? Получается у атакующего должен быть включён пк для выполнения данных действий. А после того как он получит пароль сможет ли он подключится если включён доступ по мак?

Сам использую следующее для защиты:
1) использую WPA2-PSK с aes-ccm шифрованием.
2) отключен WPS. Имеется точка cap ac
3) пароль 16 символов: большая буква, малая и цыфры
4) пароль меняю раз в год
5) ограничен доступ по MAC-адресам в WiFi-сети.
6) снята галочка Default Forward в настройках wifi интерфейса
7) скрыт SSID сети.
8) изменен MAC беспроводного интерфейса


Ответить