Atak na vajrles ruter ili opusteno?
Desilo mi se danas prvi puta u dosta godina da mi se srusio vajrles ruter.
U logovima sam nasao : Wednesday February 23, 2011 16:44:30 Unallowed access from WLAN 00-05-59-21-48-A6 ...sve to multiplikovano 6-7 puta u sekundi i tako ceo sat i vise. Potrazio sam MAC adr. na http://www.coffer.com/mac_find/ i on mi daje grckog proizvodzaca telekomunikacione vojne opreme INTRACOM? To me malo zabrinulo :)...pomislio sam da sam neka vazna meta, ili vojska vezba u blizini, ili policija...svasta mi padalo na pamet. Odahnuo sam kad sam posle nekog vremena pomerio antenu i primetio drugu MAC adresu u istoj unallowed akciji, doduse dosta redje, a nakon provere i te adrese dobijem nekog proizvodzaca mrezne opreme i rutera. Sad me zanima...da li je ovo uobicajeno da se ruteri vide i pokusavaju pristup? Napominjem da nisam u zgradi ili gusto naseljenom podrucju i nemam iskustva sa ovim jer retko vidim drugu mrezu osim moje kucne. Kuce su u mom kraju udaljene jedna od druge 50 i vise metara. Pretpostavljam da kolege u gusce naseljenim podrucjima imaju iskustvo sa ovim. Zahvaljujem. |
pa dosta je da nekom na mobu ostane ukljuceno da trazi wifi i kad ti prodje pored kuce pocne da ti hvata signal i pokusava da udje..
to je jedna od mogucih situacija... |
Da li to znaci da ovaj saobracaj potice samo sa nekog klijent uredjaja a ne direktno sa nekog obliznjeg rutera - npr. ruter i ruter da se ponasaju kao extenderi za pojacanje signala?
|
Zakljucaj mrezu WPA2 enkripcijom sa sifrom random karaktera u duzini od 10(stavi i jedan specijalni karakter) i nemoj da brines nece niko da te dira sem ako nema superracunar. WEP se razbija za 5 minuta. Nemoguce je da vidis to sto hoces u logovima moguce da se neki klinac u komsiluku igra sa backtrackom recimo =).
|
Ni WPA2-PSK nije što je nekad bio. Ja koristim najdužu moguću random šifru uz dodatne mere bezbednosti.
Eh, kada bi mi dopao šaka neki jači GPU klaster kakav bih distribuirani alat od ovoga napravio :( |
Svaka cast ako koristis 63 random karaktera za sifru meni dosta 10 za klince sa backtrackom =). Elem malo cu da oftopikujem ali strucno =D. Recimo da masina moze da izgenerise 100k heseva u sekundi za punu sifru od osam karaktera u kojoj mogu da se nadju svi dozvoljeni karakteri bi ti trebalo 776 000 dana, distribuiraj ovo na 1000 masina = 2 godine za sifru od najmanjih mogucih 8 karaktera(wpa ne dozvoljava krace sifre). Nisam probao rainbow tabele, znam da su mogli da se skinu fajlovi od 500+ gb sve ukupno, ali tu se javlja drugi problem svaki hes je posoljen SSID-om tako da verovatnoca pogadjanja drasticno opada dodamo jos izbegavanje koriscenja TKIP-a i mreza je jako fino zasticena. Ja bi rekao da je wpa i dalje van domasaja smrtnika i da pruza dobru dozu zastite sve dok je kljuc dobro odabran (citaj random+specijalni).
Znaci 3banchi WPA(2)+AES + 9 ili 10 karaktera pametno izabranih za kljuc i klinci ce te obilaze u sirokom luku =). |
Citat:
|
Citat:
|
Ne koristim bežičnu mreže putem mobilnog telefona u stanu jer:
Što se tiče tvog utiska preterivanja, mnogima je preterivanje vezivanje pojasa ili korišćenje kondoma - lepo kaže naš narod: ko se čuva i Bog ga čuva. |
Citat:
|
|
Sve lozinke koje skladištim u KeePass (90+% lozinki) imaju izvestan rok važenja, nakon čega ih menjam novom random lozinkom. Stvar principa, osiguranja od odgovornosti, možda i paranoje :)
|
ja samo kazem matematicki gledano to sto je neko menja sifru svaki dan ili svakih mesec dana nece je uciniti nista otpornijom na neki konkrektni napad... a nece ni da ga smanji naravno, tako da ne skodi, sem sto mozda gubis vise vremena nego sto bi trebalo na administrativne zajebancije...
|
Znam da ste u pravu, ali ako klijent insistira (i plaća) da menjam sve svoje business/client/network/server lozinke svakih nekoliko meseci moje je da tako radim, ćutim i brojim pare ;)
Na kraju svega, uvek je u pravu onaj koji drži kesu. |
Dodatni načini zaštite WiFi mreže
- Onemogućiti SSID emitovanje. WiFi uređaji neće videti mrežu, moći će da mu pristupi samo neko ko zna naziv WiFi mreže. - MAC filter. U filter ubaciti MAC adrese uređaja koji imaju pristup WiFi mreži, svi ostali se blokiraju. Ovo su "proste" opcije koje poseduje gotovo svaki WiFi ruter na tržištu. |
^ imam MAC filtere za sve uredjaje a probacu i da iskljucim SSID i preimenujem mrezu.
Nisam se bojao da ce mi neko uci u mrezu pored svega sto sam uradio, nego je problem bio u uredjaju nekog od komsija koji automatski pristupa mrezi koju nadje u rangu. To je generisalo veliki broj zahteva, a ruter ga isto toliko puta odbija...to je izazvalo da se srusi - nesto kao DDoS. Sad si mi dao dobru ideju da sakrijem mrezu, to bi trebalo da odradi posao. Hvala svima. |
MAC adrese se dovoljno lako lažiraju.
|
Pa dobro, ali prvo treba da sazna MAC adresu mog notebooka da bi mogao da je lažir, zar ne? :)
I ako ćemo da sitničarimo, naravno da ne postoji 100% zaštita, ali svakim nivoom zaštite skine se veliki procenat potencijalnih napadača. |
Evo prva iskustva i nesto novo sto sam naucio...
Od samog pocetka nije bio problem hoce li mi neko uci u mrezu ili ne. Imao sam samo MAC filtere i to mi je bilo dovoljno, poznavajuci komsiluk :) Naravno i MAC adrese se mogu snimiti sa sniferima i potom klonirati kao sto rece Maric. Problem je bio ogroman broj pokusaja pristupa mojoj mrezi sto je izazvalo nestabilnost rutera. HTML kôd:
Unallowed access from WLAN 00-05-59-21-48-A6 Kada sam na Mileusnin predlog sakrio SSID i preimenovao mrezu ovih logova vise nije bilo, ali mi je taj rezim rada bio nekomforan jer svaki puta sam morao rucno da upisujem SSID x tri uredjaja u kuci...malo je previse :) Komfor i sigurnost ne idu zajedno. Ponovo sam publikovao mrezu i na kraju uradio i WPA/PSK zastitu i evo vec nekoliko sati nema onih napadnih logova. Sta sam zakljucio? MAC filter stiti pristup mrezi ali ne sprecava ogroman broj logovanja sa nekog klijenta na kome je wirelles konekcija podesena na automatski pristup/trazenje ( i na Wind. i na MacOS su po defaultu na automatic). Password zastita ocigledno onemogucava klijent uredjaje da se besomocno pokusavaju ulogovati, jer postoji samo jedan nacin logovanja - unosenje sifre, dakle samo pojedinacni attempt. Logicno, ha? Ali cesto do jednostavnih zakljucaka nije jednostavno doci :) |
Ako se nalazite na istom fizičkom medijumu (bio to kabal ili etar) veoma je jednostavno doći do tvoje MAC adrese i praviti haos po celokupnoj mreži.
|
^ i onda budale veruju da je Severinin uradak pokupila kucna pomocnica :D
|
@3banchi: Džaba ti i MAC filter ako si do sada komunicirao sa svojim ruterom bez enkripcije. Napadač samo treba da pokrene wireshark i podesi nekoliko opcija.
|
^^^
Citat:
|
Ja ne vidim da sam negde napisao da je MAC filter majka svih zaštita, samo sam naveo dodatne načine da se zaštiti ruter.
I rekoh već, ako ćemo da sitničarimo, nijedna sigurnost nije stopostotna. Ali nije mi bio cilj da sitničarim... |
Nije ni meni, samo me prozvaste paranoikom :)
Sve te zaštite se lepe u teoriji, u praksi je problem da slabo ko radi aktivno praćenje sumnjivog/neobičnog ponašanja. Na kraju svega hakeri su nenormalno vešti. |
Pa si rešio da dokažeš da jesi. :)
|
Just because I'm paranoid doesn't mean they're not out to get me :)
|
Malo glasnog razmisljanja.
Moguci karakteri = 70 (26 malih + 26 velikih + 10 brojeva + specijalni znakovi) Duzina sifre = 10 Moguc broj kombinacija (varijacija ili kako se vec zove) 70^10 = 2824752490000000000 Onaj soft (pyrit ili kako vec) moze na najboljem GPU-u da generishe 90.000 kljuceva u sec. 2824752490000000000 / 90000 = 31386138777777 sec 31386138777777 / 86400 = 363265495 dana. 363265495 dana = 995247 godina. OKi.. 1000 nodova koji generishu sifre = 995 godina za sifru duzine 10 char, random generisanu (znaci ne pomazu dictionary attacks). Gdje grijesim u racunici? |
Citat:
|
Nije u pitanju kućna, već SOHO mreža. Poverljivi podaci mojih klijenata su mi veoma bitni, ali pošto iznamljujem stan nisam u mogućnosti da bušim zidove na 5 mesta zarad žične mreže.
Plastični primer: klijent traži da se napravi sto koji ima nosivost 100kg (po specifikaciji). Neki bi testirali njegovu nosivost sa 105-110kg. Ako je neznatna razlika u ceni izrade (a koristeći KeePass ne postoji razlika između automatizovanog unosa lozinke od 10 ili 63 znaka) u zavisnosti od uslova korišćenja testirao bih nosivost sa 250-300kg. Ako sto ipak popusti tokom korišćenja visoka je šansa da su njegovi radnici koristili na taj sto stavili predmet značajno teži od maksimalno dozvoljene nosivosti. Korišćenjem jakih algoritama enkripcije uz slučajno generisane dugačke ključeve sa rokom trajanja mogu klijentu odgovorno da tvrdim da sam preduzeo neophodne mere obezbeđenja njegovog (npr.) AdSense ili NameCheap naloga. Uz doslednu primenu i dokumentovanje celokupnog procesa značajno sam smanjio svoj udeo odgovornosti ukoliko ipak dođe do upada. A mom trenutnom klijentu je bilo dovoljno kauboj-kodera u zadnjih 15 godina. Na početku naše saradnje sam odmah morao da saniram 2 potvrđena incidenta u njegovim web aplikacijama. Od tada sam tokom revizija postojećeg koda i konfiguracija servera uočio barem još 50 propusta koji su mogli dovesti do ozbiljnih posledica po njegovo poslovanje: izgubljeni klijenti, krađa kartica i poverljivih podataka, nehatno distribuiranje zlonamernog softvera ka preko pola miliona posetioca mesečno, itd. Po ugovoru moram preduzeti sve mere da umanjim mogućnost bilo kakvog vida zloupotrebe na najmanju moguću razumnu meru. |
Mozes li mi objasniti da li postoji i gdje greska u onoj mojoj racunici gore i zasto je sifra od 63 karaktera sigurnija od one od 10 (u nekim realnim uslovima)?
Ako neko ima vishe racunarske snage (1000+nodes) vjerovatno mu je znatno lakse da ti pokuca na vrata, nasloni cijev na celo i izvuce sve podatke od tebe. |
Off Topic: omg |
Ključna reč je client perceived security, pojasnio sam i što.
|
Ja sam 100 puta podešavao ljudima kućne rutere. Objasnim da se mora staviti lozinka i tačka. Oni smisle neku debilnu, ja dodam barem 2-3 random cifre da za njihov mozak ne bude teška. Zapišem na kutiju od rutera, ugovor provajdera, i sl.
Sve radi super dok ne reinstališu sistem. Kutiju su bacili, ugovor izgubili, šifru zaboravili... Od tada uzmem papirnu ljepljivu traku, zalijepim na ruter sa donje strane i na nju zapišem lozinku. E i dalje me zivkaju ali ih samo podsjetim da okrenu ruter naglavačke... |
Citat:
|
^ Može neki detalj više o tom događaju?
|
U Nemackoj su adsl ruteri sa predefinisanim password-om koji je neki crypt od SSID-a, tako da skines programcic koji ima isti algoritam za generisanje password-a, uneses ime SSID-a i ta da dobijes izgenerisan password, koji je prolazio u 99%.
|
@nn.nn: ne secam se vise detalja iskreno, secam se samo da je neko nekog cekao sa bejzbolkama da bi uzeo root.. matora prica iz vremena klupice i balcan.net-a :)
|
@ivanhoe Hm, nisu znali u šta se upuštaju. ;)
|
|
Vreme je GMT +2. Trenutno vreme je 04:51. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.