Защита против взлома WI-FI

[georg]

кмд: Важко ломати брутфорсом різношорстні паролі.

Але методи хака не тільки софтверні.

можна хозяина сети поймать, и п-дить, пока не признается...

так можно сломать даже "WPA2-PSK (AES)с пробелом + MAC Filter"

[fog]

Остаточно ушли в дебрі..

[marko]

це не дебрі це факти.

90% взлома це дибілізм юзера.

[fog]

Припустимо у людини ДМ від ДГ.

По підїзду тягнеться шнурог. Дома встановлений роутер, який має достатній рівень захисту, як зі сторони WAN так і зі сторони Wi-Fi. LAN розглядати недоречно, бо без фізичного доступу у квартиру він нічого не дає.

Обриваєм шнурок, що тягнеться по підїзду, чіпляємо в розрив 2х портову розетку. В щитку залишаємо нетбук з додатковою USB мережевою картою, на нетбуці запускаємо сніф/дамп трафіку. Або від розетки іншими методами передаємо лінк до місця зняття інформації (точки доступу, подовження кабелю і тд). Ось реальний метод від якого не спасе wi-fi ключ, але й ключ wi-fi цим методом ви не отримаєте. А обговорюємо ми якраз безпеку Wi-Fi лінку. Так шо цей метод виходить за межі обговорення.

Ще існує варіант поцупити ключ з ноутбука, або компютера, де він зберігається. Знову ж таки для цього потрібен фізичний доступ до компютера, або спеціальне програмне забезпечення, яке повинно бути запущене знову ж таки у користувача.

PS. Дії, описані в даному пості, підпадають під дію чинного законодавства про втручення в мережі обробки інформації і переслідуються законом. Дана інформація була надана в цілях ознайомлення з слабкими місцями у способах передачі інформації у мережах багатоквартирних будинків.

[Shkoder]

да вы тут все параноики (в хорошем смысле =) очень напоминает мою фразу из велофорума, когда я предположил, что вор будет мультитулом разбирать байк на стоянке ^ ^

собрались умные люди - это хорошо. многие не понаслышке знают про защиту сетей - прекрасно. кто-то в теории может отбрутфорсить WPA2 без терморектального анализа - замечательно. "...и так в бою ужасен я, что сам себя боюсь..." ?

imho, 99.99% "wifi-хакеров" интересует халявный доступ в интернет, в худшем случае могут пощупать локалку на предмет каких-то шар и открытых портов

а если уж боитесь за конфиденциальность трафика передаваемого по wifi, то стоит арендовать самый недорогой сервер где-нить в европе, поставить туда, скажем, OpenVPN, настроить нат и весь представляющий ценность трафик гнать через этот линк.

[Вoвчик]

Обриваєм шнурок, що тягнеться по підїзду, чіпляємо в розрив 2х портову розетку. В щитку залишаємо нетбук з додатковою USB мережевою картою, на нетбуці запускаємо сніф/дамп трафіку.

гарна ідея - пішов пробувати

[marko]

Tum@n, а навіщо стільки гемору для взлому домашньої мережі ?

[fog]

І я про те саме.

Тому WPA2-PSK з головою достатньо бо навіть його ніхто ламать не буде.

[kmd]

"wpa2 is also crackable but with more time and the collision attack vectors are less effective."

До того я і веду.

Якщо ви "ХОМЕ ЮЗВІРЬ" то можна і номер мобільного, в якості ВПА ключа.

Але якщо ви щось в цій мережі ховаєте, і воно комусь потрібно. Цб інфк достануть не зважаючи на методи,час і русурси.

[Вoвчик]

"wpa2 is also crackable but with more time and the collision attack vectors are less effective."

До того я і веду.

Якщо ви "ХОМЕ ЮЗВІРЬ" то можна і номер мобільного, в якості ВПА ключа.

Але якщо ви щось в цій мережі ховаєте, і воно комусь потрібно. Цб інфк достануть не зважаючи на методи,час і русурси.

на каждую крутую защиту найдется крутой взломщик, и даже если "more time" то можно придумать какой-то скриптик каторий раз на 24 часа меняет WPA-2 скажем добавляя вначало или в конец единицу до символа, тоесть если было "А" то станет "В",

не один метод взлома подборов не ломает такую защиту(если длинна пассворда нормальная канечно)...

а если организация столь крутая то приходят в голову методы второй мировой: разведка, внедрение своих в организации,- и тут тоже свои методы защиты: уровни доступа, прослушки своих же сотрудников и т.д.

если еще круче то человеки просто не покидают объект пока на нем работают,

"Цю інфу достануть не зважаючи на методи" - +1, все равно любая система ломаемая, но клево быть простым "ХОМЕ ЮЗВІРЬ" с крутой защитой- повышает ЧСД и нравитсо настраивать всякие там прибамбасы )

[Yuraul]

Ну ви дайотє, фантазьори. В теорії воно все, канешно, круто. А на практиці вступає в дію унікальна надзвичайно надійна технологія захисту під назвою "А кому воно взагалі нафіг треба?". Витрачати дорогоцінний час на доступ до чийогось вайфаю у Великих Іпінях, ну або нехай, до сусіда. А потім сусід прочитає цю тему і поміняє пароль, і все знову?)

До речі, а якщо включитись в телефонну лінію, можна буде користуватись нетом абонента (мається на увазі АДСЛ)? А то у мене це зробити набагато простіше. Власне, раз плюнути: просто прийти і зробити.

[nameless]

До речі, а якщо включитись в телефонну лінію, можна буде користуватись нетом абонента (мається на увазі АДСЛ)?

Ні, тобто так, але це одразу стане помітно. На одній телефонній лінії синхронізованим може бути тільки один модем. При підключенні другого модему, перший втрачає синхронізацію і між модемами починається "бійка" за лінію, так що жоден з них не зможе нормально працювати =)

[fog]

До речі, а якщо включитись в телефонну лінію, можна буде користуватись нетом абонента (мається на увазі АДСЛ)? А то у мене це зробити набагато простіше. Власне, раз плюнути: просто прийти і зробити.

Якщо у тебе в цей час буде вимкнений модем і той, хто підключиться буде знати логін та пароль послуги тоді так.

Одночасно користуватись ADSL, наявних у місті операторів, врізаючись в телефонну лінію не вийде.

 nameless випередив.

[Yuraul]

А якщо другий модем прикидатиметься першим? Чи так не вийде зробити?)

[fog]

Оператор не привязує користувача до конкретного модему.

Єдине, як він може 'прикинутись' це авторизовуватись з коректними даними (логін, пароль)

Але нормальної роботи не буде, вище описано чому.

[SysR]

.... конкретно: сусід який від мене живе навпроти має інет 1 мегабіт, а в мене 15...от і всі проблеми)))) мені нема чого його інет ламати, а от йому...думаю є сенс....от і думаю як захистити свій WI-FI. Дякую!

Постав в опцях точки доступу щоб не показувалося імя, постав привязку по ВПА2 з паролем не меншим 10 символів. По МАСу можеш привязкі не робити так як він легко підробляється. Що до пароля вибери якесь слово 4-6 символів і додай по 2-3 лишніх символа/цифри з країв. В такій комбінації навідь по словнику перебиради буде довго.

Коли невидно імя мережі проблематично буде до неї підконектитися так як профіль треба буде прописувати вручну і вручну вказувати імя мережі. А в сусіда буде лише видно шось типу "Другие сети".

Якщо вже так боїшся взлому просто періодично перевіряй лог точки доступу на предмет спроб піключень.

[Romek71]

.... конкретно: сусід який від мене живе навпроти має інет 1 мегабіт, а в мене 15...от і всі проблеми)))) мені нема чого його інет ламати, а от йому...думаю є сенс....от і думаю як захистити свій WI-FI. Дякую!

Постав в опцях точки доступу щоб не показувалося імя, постав привязку по ВПА2 з паролем не меншим 10 символів. По МАСу можеш привязкі не робити так як він легко підробляється. Що до пароля вибери якесь слово 4-6 символів і додай по 2-3 лишніх символа/цифри з країв. В такій комбінації навідь по словнику перебиради буде довго.

Коли невидно імя мережі проблематично буде до неї підконектитися так як профіль треба буде прописувати вручну і вручну вказувати імя мережі. А в сусіда буде лише видно шось типу "Другие сети".

Якщо вже так боїшся взлому просто періодично перевіряй лог точки доступу на предмет спроб піключень.

Дуже дякую за пораду!

[Livi]

Так, але "wpa2 is also crackable but with more time and the collision attack vectors are less effective."

Так що частіше міняйте ключ і не підберуть

Найбільш стійке шифрування - wpa2 + AES + TKIP - тут можна почитати. Його ще не взламували.

Ще я б рекомендував включити в роутері логування і періодично дивитись хто сидить в неті. Вот і весь захист.

До речі, для wpa2 personal (так воно називається у моєму роутері від asus) можна задати періодичність перегенерування пароля для шифрування - я поставив 1 годину.

[Livi]

В принципі для параноїків - можна підняти RADIUS сервер, який буде кожні 10кб даних генерувати новий пароль для шифрування трафа по вафлі.

[MACCEN]

ідеї цікаві, може простіше назвати точку якось там sby чи там якась держ структура, просто так лазити не будуть, бо знають якщо взнають то приїдуть дяді в пагонах точно і постукають по голові й спитають "хто там такий розумний"

Якщо до вас підключаются часто, то попробуйте залізти на той комп і нашкодити чимось, раз нема чим занятись взагалі.

Якщо то для фірми потрібно, то це вже інша справа, хоча теж якщо виявлять несанкціоновані входи по шапці настриляють точно, й припишуть "шпіонаж з ціль'ю заволодіти секретною інформацією в корисливих цілях, і так далі", а це вже стаття.