WPA2 Всё!

Дедушко

В гости к дедушке может и внучек пожаловать.

1. Скрытое имя сети не повышает ее безопасность
2. Адресное пространство сети можно вычислить

Только не канал а пакет.
И вдруг бабки вокруг вот такие, мы просто ничего не знаем

Да нет. Реальность. Основной удар по андройд устройствам.

Там атаковать можно и роутер и клиент.

Чтобы не было проблем - используй VPN .
При настроенном сервисе - его активация это одно движение, и 2 сек ожидания всего.
Я терминирую VPN на отдельном домашнем самопальном роутере (PFSENSE)
(у меня там крутится IPSEC сервер, можно по желанию сваргаить и L2TP, и openVPN).
Но можно это делать практически на любом вай-фай раздатчике).

Схема проста:
- цепляйся хоть в кафе по вай-фай, хоть через 3G или LTE, и устанавливаешь шифрованное соединение до дома (белый IP стоит копейки, но можно и не на белом сварганить, имеется механизм);
- устанавливается шифрованный канал "точка-точка";
- и все, плевать на всех MIM и прочих кул-хацкеров.
- клиенты есть и под огрызок(встроен в IOS), и для андроида (встроен также), и для PC.

P.S. Дома с вай-фай - тоже все несложно: на dhcp сервере прописаны явно все используемые МАС адреса, на коммутаторе иные МАСи - просто запрещены соответсвтующим acl'ом. Для гостей - есть три гостевых планшета, и никаких там DMZ и гостевых подсетей с разводом по VLANам.. Обойдутся. На край - переводи свой девайс в режим работы через ОПСОСа и качай что хочешь. Бо в гостях - надо общаться, а не в экраны тупить.

Это сообщение отредактировал stealthman - 16.10.2017 - 16:04

Schuka

Нет, для атаки нужно, чтобы уязвимы были оба устройства. То есть имунный роутер защищает все свои соединения, а имунный клиент безопасен при соединении с любым роутером.

stealthman
Вопрос - у вас прописан сценарий запрета трафика в случае, если соединение с ВПН будет разорвано?

Кто мешает получить список маков подключенных устройств и подключиться под маком одного из них?

Narkozzz
На работе wi-fi вообще нет. А так да одна сеть домашняя, и то на ней висит ноутбук изредка используемый и пара телефонов для получения обновлений софта на них. Все остальное по проводам идет.

Schuka
Под ударом старые устройства или устройства без поддержки производелем (к примеру дешевый китайский свисток).

1. При разрыве соединения - демон VPN-сервера кладет тунель, начинай все сначала.

2. Отснифить МАСи, безусловно, можно попробовать (и я так тоже делал иногда), однако это нужно делать осторожно, чтобы не вызвать конфликт внутри сети.
Кроме того, есть любимые разные средства анализа клиентов в сети.

Ну и главное - внутренние политики разграничения доступа к сетевым ресурсам . Грубо говоря, проведя довольно нетривиальную работу - максимум взломщик в моем случае - получит доступ на чтение (only) сетевых мультфильмов.

Это сообщение отредактировал stealthman - 16.10.2017 - 16:10

Еще раз внимательно просмотрев ролик и почитав статьи пришел к выводу, что даже при наличии микротика при работе в режиме скрытой ssid будет возможность перехвата. Если же стоит роутер с "заплатками" в режиме открытого ssid то фиолетово.

stealthman

Так так, мультики домашние? Где говорите ваш вифи? )))

stealthman

Я не про тунель, а про наличие в фаерволе правила, дропающего все попытки ОС пустить пакеты по небезопасному пути в случае отсутствия ВПН-соединения.

Конфликт в сети возможен только при одном айпи на два разных мака, если маки одинаковые на одном айпи, то оно коряво, но будет работать без конфликтов.

Будучи внутри сети взломщику открываются новые возможности и векторы атак. Лучше его туда не пускать.

ForbiddenDW

Какая связь между открытым/закрытым SSID и этой атакой? Она направлена на хэндшейк, для клона нужен мак точки. Мак ты получишь легко и с сети с закрытым ССИД, и с сети с открытым ССИД.

Не льстите себе
Пройти барьеры (а также неназванный SNORT, и т п) - сильно нелегко.
Пользуясь случаем и положение, просил своих инженеров пентестик сделать моей сетки. Они сделали, что-то было хорошо, что-то не очень.. Но замечания я учел .

А вообще - взлом любой системы должен быть оправдан (экономически, политически, итп). В моем случае- не думаю, что кто-то будет фанатично жечь человеко-дни, ради того чтобы потешить свое самолюбие. Полно вокруг открытых систем.

stealthman

Даже не представляю, что вы за ВИП-персона, что так заботитесь о своей домашней сети, аж СНОРТ работает и пентесты проводятся.

Не очень понятно про небезопасный путь, т.к. по умолчанию (если явно не прописано правило) -иных путей нет, все в дроп (философия pfsense - собственно филосовия файервола).

Конфликт с МАСами я имел ввиду, что трафик фактически располовинится между устройствами. Насколько это будет стабильно работать..

Факт, что взломщика необходимо держать как можно дальше от периметра. Но в тоже время мы помним, что невзламываемых систем нет, при том что сама система - должна содержать не один, а несколько рубежей обороны.

Так-то вопрос исключительно мотивации взломщика .

Это сообщение отредактировал stealthman - 16.10.2017 - 16:26

Ходил на всякие разные сборища по ИТ безопасности - DDOS атаки очень часто устраивают просто хулиганы. Он может обидеться на охранника возле вашего офиса - и это стать причиной.

Ну у меня ЦОД домашний - 160 ТБ в RAID 6, стойка 15" .
Нет, не порнхаб и не пиратство, и не майнинг, и не коммерческого плана .
Так, для себя .. Чтобы сидя в большом кресле - иногда себя развлекать, бо руки должны помнить

Это сообщение отредактировал stealthman - 16.10.2017 - 16:31

stealthman

Терпимо, задачи же специфические, можно и потерпеть.

Фаервол стоит на том конце тоннеля, на этом - ваше устройство. Если ваше устройство теряет тоннель до ВПН-сервера - как ведет себя сеть? По-умолчанию оно просто перенаправит весь трафик как есть в интернет по кратчайшему пути. Чтобы этого не произошло - на клиентском устройстве тоже нужно ставить фаервол, в котором прописывать дроп трафика везде, кроме ВПН-соединения.

"неправильное" устройство просто не примет трафик, который не ждет.

Да и похер, у меня на роутере фильтрация по МАС'у

У меня один вопрос, как они ломанут мой вайфай если у меня допуск имеют только прописанные пользователи, все остальные идут лесом.
Просо человек.

Понятно.

Клиентское устройство при потере канала - действительно ломанется по дефолту в первый доступный (открытый) канал. Факт.

"Неправильное" устройство сбросит не свой трафик, а до правильного соответственного не дойдут ответные пакеты. В люом случае, протоколы 4го или более высокого уровня отработают перезапрос. Ну да , увеличится несколько задержка.

Voronezher
junglist

Airodump-ng снимут список подключенных к вашему вайфай маков, заменят у себя мак на один из списка. МАК-фильтрация доступа полное и безоговорочное фуфло.

Фига се

stealthman

Значит, если против вас кто-то работает, то он может нарушить ваше ВПН-соединение и если вы не заметите - то он получит ваш трафик. А даже если заметите - ушедшие в сеть пакеты до момента обрыва все равно могут дорого вам стоить.

Тут я описывал его сборку Сча объем только немного нарастил.
http://www.yaplakal.com/forum46/topic1510426.html?hl=

Это сообщение отредактировал stealthman - 16.10.2017 - 16:38

Narkozzz
Наксколько я понимаю манипуляция с "рукопожатием" идет именно через сканирование и клонирование сети. Классический "человек в середине" так вот если AP не даст возможности просканировать себя на предемет подключения определенного устройства (как это показано в ролике) взлом не сработает. Вариант со скрытым ssid насколько я понимаю сработает в обратную сторону и сканить можно будет клиента а не АП.