Atak na vajrles ruter ili opusteno?

[Ivan]

O siframa: http://www.schneier.com/blog/archive...ng_passwo.html

[Petar Marić]

Sve lozinke koje skladištim u KeePass (90+% lozinki) imaju izvestan rok važenja, nakon čega ih menjam novom random lozinkom. Stvar principa, osiguranja od odgovornosti, možda i paranoje

[ivanhoe]

ja samo kazem matematicki gledano to sto je neko menja sifru svaki dan ili svakih mesec dana nece je uciniti nista otpornijom na neki konkrektni napad... a nece ni da ga smanji naravno, tako da ne skodi, sem sto mozda gubis vise vremena nego sto bi trebalo na administrativne zajebancije...

[Petar Marić]

Znam da ste u pravu, ali ako klijent insistira (i plaća) da menjam sve svoje business/client/network/server lozinke svakih nekoliko meseci moje je da tako radim, ćutim i brojim pare

Na kraju svega, uvek je u pravu onaj koji drži kesu.

[mileusna]

Dodatni načini zaštite WiFi mreže

- Onemogućiti SSID emitovanje. WiFi uređaji neće videti mrežu, moći će da mu pristupi samo neko ko zna naziv WiFi mreže.

- MAC filter. U filter ubaciti MAC adrese uređaja koji imaju pristup WiFi mreži, svi ostali se blokiraju.

Ovo su "proste" opcije koje poseduje gotovo svaki WiFi ruter na tržištu.

[3banchi]

^ imam MAC filtere za sve uredjaje a probacu i da iskljucim SSID i preimenujem mrezu.
Nisam se bojao da ce mi neko uci u mrezu pored svega sto sam uradio, nego je problem bio u uredjaju nekog od komsija koji automatski pristupa mrezi koju nadje u rangu. To je generisalo veliki broj zahteva, a ruter ga isto toliko puta odbija...to je izazvalo da se srusi - nesto kao DDoS.
Sad si mi dao dobru ideju da sakrijem mrezu, to bi trebalo da odradi posao.
Hvala svima.

[Petar Marić]

MAC adrese se dovoljno lako lažiraju.

[mileusna]

Pa dobro, ali prvo treba da sazna MAC adresu mog notebooka da bi mogao da je lažir, zar ne?

I ako ćemo da sitničarimo, naravno da ne postoji 100% zaštita, ali svakim nivoom zaštite skine se veliki procenat potencijalnih napadača.

[3banchi]

Evo prva iskustva i nesto novo sto sam naucio...
Od samog pocetka nije bio problem hoce li mi neko uci u mrezu ili ne. Imao sam samo MAC filtere i to mi je bilo dovoljno, poznavajuci komsiluk
Naravno i MAC adrese se mogu snimiti sa sniferima i potom klonirati kao sto rece Maric.
Problem je bio ogroman broj pokusaja pristupa mojoj mrezi sto je izazvalo nestabilnost rutera.

HTML kôd:

Unallowed access from WLAN 00-05-59-21-48-A6
Unallowed access from WLAN 00-05-59-21-48-A6
Unallowed access from WLAN 00-05-59-21-48-A6
Unallowed access from WLAN 00-05-59-21-48-A6
Unallowed access from WLAN 00-05-59-21-48-A6
Unallowed access from WLAN 00-05-59-22-48-A6
Unallowed access from WLAN 00-05-59-22-48-A6
Unallowed access from WLAN 00-05-59-22-48-A6
Unallowed access from WLAN 00-05-59-22-48-A6
Unallowed access from WLAN 00-05-59-22-48-A6
Unallowed access from WLAN 00-05-59-22-48-A6
Unallowed access from WLAN 00-05-59-22-48-A6

Primetite da ima i do 10tak logovanja i odbijanja u sekundi.

Kada sam na Mileusnin predlog sakrio SSID i preimenovao mrezu ovih logova vise nije bilo, ali mi je taj rezim rada bio nekomforan jer svaki puta sam morao rucno da upisujem SSID x tri uredjaja u kuci...malo je previse
Komfor i sigurnost ne idu zajedno.

Ponovo sam publikovao mrezu i na kraju uradio i WPA/PSK zastitu i evo vec nekoliko sati nema onih napadnih logova.

Sta sam zakljucio?
MAC filter stiti pristup mrezi ali ne sprecava ogroman broj logovanja sa nekog klijenta na kome je wirelles konekcija podesena na automatski pristup/trazenje ( i na Wind. i na MacOS su po defaultu na automatic).

Password zastita ocigledno onemogucava klijent uredjaje da se besomocno pokusavaju ulogovati, jer postoji samo jedan nacin logovanja - unosenje sifre, dakle samo pojedinacni attempt.
Logicno, ha?

Ali cesto do jednostavnih zakljucaka nije jednostavno doci

[Petar Marić]

Ako se nalazite na istom fizičkom medijumu (bio to kabal ili etar) veoma je jednostavno doći do tvoje MAC adrese i praviti haos po celokupnoj mreži.