WPA2 Всё!

Дедушко

Цитата

не думаю, что среди соседей-пенсионеров найдется какер способный отловить нужный канал cool.gif

В гости к дедушке может и внучек пожаловать.

1. Скрытое имя сети не повышает ее безопасность
2. Адресное пространство сети можно вычислить

Цитата (Дедушко @ 16.10.2017 - 19:35)

не думаю, что среди соседей-пенсионеров найдется какер способный отловить нужный канал

Только не канал а пакет.
И вдруг бабки вокруг вот такие, мы просто ничего не знаем

Цитата (LooksoR77 @ 16.10.2017 - 14:18)

Цитата (illusion777 @ 16.10.2017 - 17:10) Неуязвимыми остаются только сайты, работающие по протоколу HTTPS, а все, что отправлено со смартфона или компьютера в виде обычного текста, может быть перехвачено хакерами. Также одним из способов защитить себя является использование VPN Что за ересь? Новость попахивает хуетой, которую за 5 минут насочинял какой-то умалишенный.

Да нет. Реальность. Основной удар по андройд устройствам.

Цитата (ForbiddenDW @ 16.10.2017 - 14:57)

Владельцы wi-fi на базе микротиков могут спать спокойно. RouterOS NOT affected by WPA2 vulnerabilities. https://forum.mikrotik.com/viewtopic.php?f=21&t=126695

Там атаковать можно и роутер и клиент.

Чтобы не было проблем - используй VPN .
При настроенном сервисе - его активация это одно движение, и 2 сек ожидания всего.
Я терминирую VPN на отдельном домашнем самопальном роутере (PFSENSE)
(у меня там крутится IPSEC сервер, можно по желанию сваргаить и L2TP, и openVPN).
Но можно это делать практически на любом вай-фай раздатчике).

Схема проста:
- цепляйся хоть в кафе по вай-фай, хоть через 3G или LTE, и устанавливаешь шифрованное соединение до дома (белый IP стоит копейки, но можно и не на белом сварганить, имеется механизм);
- устанавливается шифрованный канал "точка-точка";
- и все, плевать на всех MIM и прочих кул-хацкеров.
- клиенты есть и под огрызок(встроен в IOS), и для андроида (встроен также), и для PC.

P.S. Дома с вай-фай - тоже все несложно: на dhcp сервере прописаны явно все используемые МАС адреса, на коммутаторе иные МАСи - просто запрещены соответсвтующим acl'ом. Для гостей - есть три гостевых планшета, и никаких там DMZ и гостевых подсетей с разводом по VLANам.. Обойдутся. На край - переводи свой девайс в режим работы через ОПСОСа и качай что хочешь. Бо в гостях - надо общаться, а не в экраны тупить.
Это сообщение отредактировал stealthman - 16 окт. 2017 г. в 16:04

Schuka

Цитата

Там атаковать можно и роутер и клиент.

Нет, для атаки нужно, чтобы уязвимы были оба устройства. То есть имунный роутер защищает все свои соединения, а имунный клиент безопасен при соединении с любым роутером.

stealthman
Вопрос - у вас прописан сценарий запрета трафика в случае, если соединение с ВПН будет разорвано?

Цитата

Дома с вай-фай - тоже все несложно: на dhcp сервере прописаны явно все используемые МАС адреса, на коммутаторе иные МАСи - просто запрещены соответсвтующим acl'ом.

Кто мешает получить список маков подключенных устройств и подключиться под маком одного из них?

Narkozzz
На работе wi-fi вообще нет. А так да одна сеть домашняя, и то на ней висит ноутбук изредка используемый и пара телефонов для получения обновлений софта на них. Все остальное по проводам идет.

Schuka
Под ударом старые устройства или устройства без поддержки производелем (к примеру дешевый китайский свисток).

Цитата (Narkozzz @ 16.10.2017 - 16:04)

stealthman Вопрос - у вас прописан сценарий запрета трафика в случае, если соединение с ВПН будет разорвано? Цитата Дома с вай-фай - тоже все несложно: на dhcp сервере прописаны явно все используемые МАС адреса, на коммутаторе иные МАСи - просто запрещены соответсвтующим acl'ом. Кто мешает получить список маков подключенных устройств и подключиться под маком одного из них?

1. При разрыве соединения - демон VPN-сервера кладет тунель, начинай все сначала.

2. Отснифить МАСи, безусловно, можно попробовать (и я так тоже делал иногда), однако это нужно делать осторожно, чтобы не вызвать конфликт внутри сети.
Кроме того, есть любимые разные средства анализа клиентов в сети.

Ну и главное - внутренние политики разграничения доступа к сетевым ресурсам . Грубо говоря, проведя довольно нетривиальную работу - максимум взломщик в моем случае - получит доступ на чтение (only) сетевых мультфильмов.
Это сообщение отредактировал stealthman - 16 окт. 2017 г. в 16:10

Еще раз внимательно просмотрев ролик и почитав статьи пришел к выводу, что даже при наличии микротика при работе в режиме скрытой ssid будет возможность перехвата. Если же стоит роутер с "заплатками" в режиме открытого ssid то фиолетово.

stealthman

Цитата

максимум взломщик в моем случае - получит доступ на чтение (only) сетевых мультфильмов.

Так так, мультики домашние? Где говорите ваш вифи? )))

stealthman

Цитата

1. При разрыве соединения - демон VPN-сервера кладет тунель, начинай все сначала.

Я не про тунель, а про наличие в фаерволе правила, дропающего все попытки ОС пустить пакеты по небезопасному пути в случае отсутствия ВПН-соединения.

Цитата

2. Отснифить МАСи, безусловно, можно попробовать (и я так тоже делал иногда), однако это нужно делать осторожно, чтобы не вызвать конфликт внутри сети.

Конфликт в сети возможен только при одном айпи на два разных мака, если маки одинаковые на одном айпи, то оно коряво, но будет работать без конфликтов.

Цитата

Ну и главное - внутренние политики разграничения доступа к сетевым ресурсам

Будучи внутри сети взломщику открываются новые возможности и векторы атак. Лучше его туда не пускать.

ForbiddenDW

Цитата

Еще раз внимательно просмотрев ролик и почитав статьи пришел к выводу, что даже при наличии микротика при работе в режиме скрытой ssid будет возможность перехвата. Если же стоит роутер с "заплатками" в режиме открытого ssid то фиолетово.

Какая связь между открытым/закрытым SSID и этой атакой? Она направлена на хэндшейк, для клона нужен мак точки. Мак ты получишь легко и с сети с закрытым ССИД, и с сети с открытым ССИД.

Цитата (ext68 @ 16.10.2017 - 16:14)

stealthman Цитата максимум взломщик в моем случае - получит доступ на чтение (only) сетевых мультфильмов. Так так, мультики домашние? Где говорите ваш вифи? )))

Не льстите себе
Пройти барьеры (а также неназванный SNORT, и т п) - сильно нелегко.
Пользуясь случаем и положение, просил своих инженеров пентестик сделать моей сетки. Они сделали, что-то было хорошо, что-то не очень.. Но замечания я учел .

А вообще - взлом любой системы должен быть оправдан (экономически, политически, итп). В моем случае- не думаю, что кто-то будет фанатично жечь человеко-дни, ради того чтобы потешить свое самолюбие. Полно вокруг открытых систем.

stealthman

Цитата

Пройти барьеры (а также неназванный SNORT, и т п) - сильно нелегко.

Даже не представляю, что вы за ВИП-персона, что так заботитесь о своей домашней сети, аж СНОРТ работает и пентесты проводятся.

Цитата (Narkozzz @ 16.10.2017 - 16:17)

stealthman Цитата 1. При разрыве соединения - демон VPN-сервера кладет тунель, начинай все сначала. Я не про тунель, а про наличие в фаерволе правила, дропающего все попытки ОС пустить пакеты по небезопасному пути в случае отсутствия ВПН-соединения. Цитата 2. Отснифить МАСи, безусловно, можно попробовать (и я так тоже делал иногда), однако это нужно делать осторожно, чтобы не вызвать конфликт внутри сети. Конфликт в сети возможен только при одном айпи на два разных мака, если маки одинаковые на одном айпи, то оно коряво, но будет работать без конфликтов. Цитата Ну и главное - внутренние политики разграничения доступа к сетевым ресурсам Будучи внутри сети взломщику открываются новые возможности и векторы атак. Лучше его туда не пускать.

Не очень понятно про небезопасный путь, т.к. по умолчанию (если явно не прописано правило) -иных путей нет, все в дроп (философия pfsense - собственно филосовия файервола).

Конфликт с МАСами я имел ввиду, что трафик фактически располовинится между устройствами. Насколько это будет стабильно работать..

Факт, что взломщика необходимо держать как можно дальше от периметра. Но в тоже время мы помним, что невзламываемых систем нет, при том что сама система - должна содержать не один, а несколько рубежей обороны.

Так-то вопрос исключительно мотивации взломщика .
Это сообщение отредактировал stealthman - 16 окт. 2017 г. в 16:26

Цитата

А вообще - взлом любой системы должен быть оправдан (экономически, политически, итп). В моем случае- не думаю, что кто-то будет фанатично жечь человеко-дни, ради того чтобы потешить свое самолюбие. Полно вокруг открытых систем.

Ходил на всякие разные сборища по ИТ безопасности - DDOS атаки очень часто устраивают просто хулиганы. Он может обидеться на охранника возле вашего офиса - и это стать причиной.

Цитата (Narkozzz @ 16.10.2017 - 16:21)

stealthman Цитата Пройти барьеры (а также неназванный SNORT, и т п) - сильно нелегко. Даже не представляю, что вы за ВИП-персона, что так заботитесь о своей домашней сети, аж СНОРТ работает и пентесты проводятся.

Ну у меня ЦОД домашний - 160 ТБ в RAID 6, стойка 15" .
Нет, не порнхаб и не пиратство, и не майнинг, и не коммерческого плана .
Так, для себя .. Чтобы сидя в большом кресле - иногда себя развлекать, бо руки должны помнить


Это сообщение отредактировал stealthman - 16 окт. 2017 г. в 16:31

stealthman

Цитата

Насколько это будет стабильно работать..

Терпимо, задачи же специфические, можно и потерпеть.

Цитата

Не очень понятно про небезопасный путь, т.к. по умолчанию (если явно не прописано правило) -иных путей нет, все в дроп (философия pfsense - собственно филосовия файервола).

Фаервол стоит на том конце тоннеля, на этом - ваше устройство. Если ваше устройство теряет тоннель до ВПН-сервера - как ведет себя сеть? По-умолчанию оно просто перенаправит весь трафик как есть в интернет по кратчайшему пути. Чтобы этого не произошло - на клиентском устройстве тоже нужно ставить фаервол, в котором прописывать дроп трафика везде, кроме ВПН-соединения.

Цитата

Конфликт с МАСами я имел ввиду, что трафик фактически располовинится между устройствами

"неправильное" устройство просто не примет трафик, который не ждет.

Да и похер, у меня на роутере фильтрация по МАС'у

У меня один вопрос, как они ломанут мой вайфай если у меня допуск имеют только прописанные пользователи, все остальные идут лесом.
Просо человек.

Цитата (Narkozzz @ 16.10.2017 - 16:30)

stealthman Цитата Насколько это будет стабильно работать.. Терпимо, задачи же специфические, можно и потерпеть. Цитата Не очень понятно про небезопасный путь, т.к. по умолчанию (если явно не прописано правило) -иных путей нет, все в дроп (философия pfsense - собственно филосовия файервола). Фаервол стоит на том конце тоннеля, на этом - ваше устройство. Если ваше устройство теряет тоннель до ВПН-сервера - как ведет себя сеть? По-умолчанию оно просто перенаправит весь трафик как есть в интернет по кратчайшему пути. Чтобы этого не произошло - на клиентском устройстве тоже нужно ставить фаервол, в котором прописывать дроп трафика везде, кроме ВПН-соединения. Цитата Конфликт с МАСами я имел ввиду, что трафик фактически располовинится между устройствами "неправильное" устройство просто не примет трафик, который не ждет.

Понятно.

Клиентское устройство при потере канала - действительно ломанется по дефолту в первый доступный (открытый) канал. Факт.

"Неправильное" устройство сбросит не свой трафик, а до правильного соответственного не дойдут ответные пакеты. В люом случае, протоколы 4го или более высокого уровня отработают перезапрос. Ну да , увеличится несколько задержка.

Voronezher
junglist

Цитата

как они ломанут мой вайфай если у меня допуск имеют только прописанные пользователи

Airodump-ng снимут список подключенных к вашему вайфай маков, заменят у себя мак на один из списка. МАК-фильтрация доступа полное и безоговорочное фуфло.

Цитата

Ну у меня ЦОД домашний - 160 ТБ в RAID 6, стойка 15" . Нет, не порнхаб и не пиратство, и не майнинг, и не коммерческого плана . Так, для себя .. Чтобы сидя в большом кресле - иногда себя развлекать, бо руки должны помнить

Фига се

stealthman

Цитата

Клиентское устройство при потере канала - действительно ломанется по дефолту в первый доступный (открытый) канал. Факт.

Значит, если против вас кто-то работает, то он может нарушить ваше ВПН-соединение и если вы не заметите - то он получит ваш трафик. А даже если заметите - ушедшие в сеть пакеты до момента обрыва все равно могут дорого вам стоить.

Цитата (ext68 @ 16.10.2017 - 16:36)

Цитата Ну у меня ЦОД домашний - 160 ТБ в RAID 6, стойка 15" . Нет, не порнхаб и не пиратство, и не майнинг, и не коммерческого плана . Так, для себя .. Чтобы сидя в большом кресле - иногда себя развлекать, бо руки должны помнить Фига се

Тут я описывал его сборку Сча объем только немного нарастил.
http://www.yaplakal.com/forum46/topic1510426.html?hl=
Это сообщение отредактировал stealthman - 16 окт. 2017 г. в 16:38

Narkozzz
Наксколько я понимаю манипуляция с "рукопожатием" идет именно через сканирование и клонирование сети. Классический "человек в середине" так вот если AP не даст возможности просканировать себя на предемет подключения определенного устройства (как это показано в ролике) взлом не сработает. Вариант со скрытым ssid насколько я понимаю сработает в обратную сторону и сканить можно будет клиента а не АП.