[Coppermine]

Idézet: Doky586

Látom ezt nem tartod be. Vagy nincs rajta semmi? akkor ajánld ki légyszi, hagy' nézzünk bele..

nagyon confidental adatokat nem tartok a notebookon, sem a hálózaton, erre van egy wired workstation-öm, a belső routerre rákötve. általában alszik, ha vmire szükségem van, akkor openvpn-el beloggolok remote, WOL-al felkeltem, és használom. gondolkozok még egy PIX beszerzésén a külső router mögé, de az már nagyon hardcore lenne.

Idézet: Doky586

Ezért keresem a biztonságosabb megoldást.
- routeren ssid broadcast be/ki (ha ki van kapcsolva el se kell nyomnia a támadónak, így a klón ssid-re csatlakozik az áldozat; ellenben nem tudja az ssid-t)

hogyha az AP non-broadcastolt SSID van, a hozzá asszociált kliensek periódikusan broadcastolni fogják az AP SSID-jét (ez persze beállítás kérdése).

Idézet: Doky586

- kliensen rejtett hálózat keresés be/ki (a fentivel együtt 4féle beállítási lehetőség)

A fent említett problémára a kliensen ez a megoldás

Idézet: Doky586

- TxPwr Hi/Lo (router és kliens oldal; Lo: könnyű elnyomni, de lehet nem éri el a támadó)

sok helyen a TxPwr-t korlátozzák pont akkora méretre, hogy az esetleges WDS cellák csak épphogy átfedjék egymást (több AP esetében), és legyen kapcsolat, viszont kifelé minél jobban korlátozzák az elérhetőséget.

Az a baj, hogy SOHO környezetben nem állnak rendelkezésre megfelelő eszközök arra, hogy olyan biztonsági feltételeket teremtsen a wireless hálózaton, mint egy enterprise környezetű hálózatnál.

-C0pp3rM!n3-

[VKP]

Idézet: Doky586 - Dátum: 2011. 03. 01. 10:12

Ja, ha te zárat se raksz a lakásod ajtajára... a fenti kijelentésed fényében minek az..
De én teszek zárat az ajtómra.

Nem mondtam, hogy nem rakok zárat, de ez is olyan, hogy minél több a zár, annál értékesebbnek tűnhet amit véd...
rejtett SSID, WPA2 van a wifimen, mac szűrés a csatlakozáson, nincs dhcp, az ARP táblába pedig fixen be vannak írva azok az ip/mac párosok amiket használok, többit nem engedi ki a tűzfal.
Ezen kívül semmi olyat nem tárolok a hálózatom gépein, ami zavarna, ha ellopnák.
Szerintem ennyi védelem elég itthonra.

Szerkesztette: VKP 2011. 03. 01. 18:34 -kor

[Jahno]

Idézet: Doky586 - Dátum: 2011. 02. 27. 20:01

Sőt mégcsak megse véd, ha nem találja a vpn szervert (mert a támadó routerére csatlakozok) és anélkül jön össze a netelérés..

Mi az, hogy ha nem találja? Akkor nem épül fel, de net sincs.

[Jahno]

Idézet: Doky586 - Dátum: 2011. 02. 28. 16:31

De aki akar bemegy az ajtón..

Menne, ha nem lenne ott a tengerészgyalogos.

[Doky586]

Na összefoglalva: leteszteltem és nem olyan rossz a helyzet. Viszont meglepő hogy itt ezt senki sem tudta! (talán csak Immy)
Szóval ha már össze volt rendelve a kliens és az AP akkor másik azonos ssid nem zavarja meg a csatlakozást, ámbár nálam minden kliensen be volt pipálva hogy rejtett az AP, még ha valójában nemis volt az AP-n kikapcsolva a broadcast. Nem lehet horgászni. Ez a lényeg. (kikapcsolt broadcast volt a legális, szórt broadcast a támadó AP-n)
WPA2 kliens mellett egyszerű módszerrel legalábbis. Arra nem volt már időm hogy azonos ssid és azonos bssid(mac) teszt esetén is ezen eredményt adná-e.

Idézet

hogyha az AP non-broadcastolt SSID van, a hozzá asszociált kliensek periódikusan broadcastolni fogják az AP SSID-jét

Ez nem igaz. A kliens 1x küldi el az ssid-t nyilt textként: amikor csatlakozását kéri a rejtett hálózathoz. Előtte vagy utána nem fejthető meg az ssid.

Idézet

- kliensen rejtett hálózat keresés be/ki (a fentivel együtt 4féle beállítási lehetőség)

Ezt nem értettétek. Vajon a kliensen ez okozza-e hogy nem ssid-t hanem bssid-t keres, így változtatja-e az azonosítási folyamatot (a háttérben)

Idézet: Jahno - Dátum: 2011. 03. 01. 18:38

Mi az, hogy ha nem találja? Akkor nem épül fel, de net sincs.

Rossz oldalról nézed. Nem a hálózatot támadja. A gépet. Ahogy mondod. nem épül fel, ezért a vpn nem védi a laptopot. de a laptop ha kapcsolódott sima nyílt hálózaton a támadó AP-jére...
De már mindegy. Mivel kiderítettem hogy ennek kicsi az esélye, felesleges tovább gondolkodni rajta.

Idézet

rejtett SSID, WPA2 van a wifimen, mac szűrés a csatlakozáson, nincs dhcp, az ARP táblába pedig fixen be vannak írva azok az ip/mac párosok amiket használok, többit nem engedi ki a tűzfal.

Ez ellen eggyik se ér egy fikarcnyit se. mivel ezek a routereden vannak, az egész felvetésem pont arról szólt hogy a saját routert megkerüli, és közvetlen a PC-hez kapcsolódik.

[Immy]

Idézet: Doky586 - Dátum: 2011. 03. 01. 23:58

A kliens 1x küldi el az ssid-t nyilt textként: amikor csatlakozását kéri a rejtett hálózathoz. Előtte vagy utána nem fejthető meg az ssid.

Ha wireshark-al figyeled a forgalmat akkor a csomagokból kiderül az ssid.

Idézet: Doky586 - Dátum: 2011. 03. 01. 23:58

rejtett SSID, WPA2 van a wifimen, mac szűrés a csatlakozáson, nincs dhcp, az ARP táblába pedig fixen be vannak írva azok az ip/mac párosok amiket használok, többit nem engedi ki a tűzfal.
Ez ellen eggyik se ér egy fikarcnyit se. mivel ezek a routereden vannak, az egész felvetésem pont arról szólt hogy a saját routert megkerüli, és közvetlen a PC-hez kapcsolódik.

Ha csinálsz egy ugyanolyan ssid névvel ellátott AP-t mint a tied, akkor azon nem lehet titkosítás --> tehát nyíltnak kell lennie mert egyébként nemtudsz belépni. Ha nyílt és csak internetezel akkor kevés rá az esély, hogy rájössz a turpisságra. Ellenben ha más hálózati tevékenységet is akarsz pl.: belső ftp --> akkor kiderül a turpisság.

[Doky586]

Idézet: Immy - Dátum: 2011. 03. 02. 09:45

Ha wireshark-al figyeled a forgalmat akkor a csomagokból kiderül az ssid.

Én erre nem találtam bizonyítékot a neten. Vagy broadcastolt AP-re van leírás, vagy titkosítatlanra, vagy nagyon szűrögetnek ami az egyszeri ssid-re utalhat amit én mondtam. De konkrétan broadcast nélküli WPA2-re nincs. De igazából nem is lényeg, hisz a sima kliensek nem írják ki. Én meg végig ilyen egyszerű eszközökről beszéltem, spéci tudás nélküli userekkel.

Idézet

Ha csinálsz egy ugyanolyan ssid névvel ellátott AP-t mint a tied, akkor azon nem lehet titkosítás --> tehát nyíltnak kell lennie mert egyébként nemtudsz belépni. Ha nyílt és csak internetezel akkor kevés rá az esély, hogy rájössz a turpisságra. Ellenben ha más hálózati tevékenységet is akarsz pl.: belső ftp --> akkor kiderül a turpisság.

Pontosan így van.
De ez az idő elég hogy felnyomjon rá valamit. Általában az emberek sokat neteznek és nem biztos hogy belső ftp-vel kezdik a napot. Sokaknak meg egyetlen eszközük van a routeren (egyszerre), így nehezen veszik észre.

Szerkesztette: Doky586 2011. 03. 02. 10:44 -kor

[VKP]

Namármost... a lakóhelyem jellegéből adódóan nem tud olyan közel kerülni a házhoz, hogy nagyobb jelszintet tudjon produkálni, mint a szekrényben található router...
Innentől kezdve biztosan nem fog a mobil eszközöm a kamuAP-hoz kapcsolódni.

[Jahno]

Idézet: VKP - Dátum: 2011. 03. 02. 10:50

Namármost... a lakóhelyem jellegéből adódóan nem tud olyan közel kerülni a házhoz, hogy nagyobb jelszintet tudjon produkálni, mint a szekrényben található router...
Innentől kezdve biztosan nem fog a mobil eszközöm a kamuAP-hoz kapcsolódni.

Erre egyszer valami hülye megmagyarázta, hogy majd megáll jól a kerítésnél, irányított antenna, erősítő, kutyafüle. És érzékeny antennával ugyanígy le lehet hallgatni a bármit. Jáááááj. Cégnél wlant mobilos tesztelésre, hasonlóra használják. Szerintem ha minden lenyomott billentyűt le tudnának figyelni, plusz az átvitt képernyőtartalmat, akkor lepődnének meg a legjobban...

[Raynes]

Igen, sokat számít, a hol van a router. Ha valami elszigetelt helyen, vagy kietlenben, akkor nem lehet, vagy csak feltűnéssel belepiszkálni. A bizonytalanért meg egyik Krekker Karcsi sem kockáztat. Inkább ott szeretnek lecsapni, ahol sok AP van, jó jelerősséggel és kényelmes a hely a netezéshez.

[VKP]

Idézet: Jahno - Dátum: 2011. 03. 02. 11:13

Erre egyszer valami hülye megmagyarázta, hogy majd megáll jól a kerítésnél, irányított antenna, erősítő, kutyafüle. És érzékeny antennával ugyanígy le lehet hallgatni a bármit. Jáááááj. Cégnél wlant mobilos tesztelésre, hasonlóra használják. Szerintem ha minden lenyomott billentyűt le tudnának figyelni, plusz az átvitt képernyőtartalmat, akkor lepődnének meg a legjobban...

Itt arról volt szó, hogy csinál egy kamuAP-t és az én eszközöm arra csatlakozik. Hiába fog felrakni a kerítésemre akár egy kétméteres lavórt, mivel elég messze van a kerítés ahhoz, hogy kisebb legyen a jel, mint a saját AP-é. Azt meg ugye te sem gondolod, hogy megharcol a két kutyával? Persze, majd jönnek a rossz dumával, hogy megmérgezik a két kutyát és közelebb jönnek, de annyi erővel meg már bejön és ellopja a mobil eszközömet, amin egyébként sem tartok semmi adatot.
Összefoglalva: vérpistikék mindig lesznek...

[Doky586]

Idézet: VKP - Dátum: 2011. 03. 02. 10:50

Namármost... a lakóhelyem jellegéből adódóan nem tud olyan közel kerülni a házhoz, hogy nagyobb jelszintet tudjon produkálni, mint a szekrényben található router...
Innentől kezdve biztosan nem fog a mobil eszközöm a kamuAP-hoz kapcsolódni.

A jelerősségtől független.
Amit teszteltem az 2betonfallal és féltucat méterre levő kikapcsolt broadcastal volt az eredeti, és az asztalon 1 méterre a 'kamu' AP mégis a gyengébb térerejű eredetire csatlakozott.
Azt nem tudtam ellenőrizni hogy ssid vagy bssid vagy mert régebbi kapcsolódásból megőrzött egyedi azonosítót használ a WPA2 kapcsolódáshoz.

Így csak az első csatlakozáskor van veszély (akár távolról is), de ez elfogadható kockázat már.

[VKP]

Akkor köcsög leszek
Tegyük fel, hogy mégis sikerül átvernie, kapcsolódik hozzá a mobil eszközöm, sikerül ellopnia a csatlakozáshoz szükséges adatokat, beállítja azt a mac/ip párost amit az eszközről lopott le, csatlakozik a routerhez. Ekkor annyit tud tenni, hogy tud netezni egész addig amíg észre nem veszem, hogy a mobil eszközöm valamiért nem kap netet.
Szerintem azért, hogy ingyen netezzen, nem fog ennyit küzdeni, inkább keresni fog egy free wifit.

[Jahno]

Idézet: Doky586 - Dátum: 2011. 03. 02. 11:33

Amit teszteltem az 2betonfallal és féltucat méterre levő kikapcsolt broadcastal volt az eredeti, és az asztalon 1 méterre a 'kamu' AP mégis a gyengébb térerejű eredetire csatlakozott.

Hova szeretnél kikötni? Ez olyan, mint amikor nekem is mondták, hogy adott 1 darab IPre engedélyezem a netet és kész. De persze megtörik, majd beállítja a krekker is azt az adott IP-t. Cserépe majd konflikt, oszt valakinek nem lesz netje, így elég hamar lebukós a dolog.

[Doky586]

Idézet: VKP - Dátum: 2011. 03. 02. 11:48

Szerintem azért, hogy ingyen netezzen, nem fog ennyit küzdeni, inkább keresni fog egy free wifit.

Ez így van. Eszembe se jutott hogy azért tenné hogy netezzen.

Mint írtam ő biztosítaná nekem az internetelérést, a saját mobilnetjéről, hogy minnél később vegyem észre az átverést. Így van bőven ideje a pc-t feltörni, és trójai progit (valami remote admin rootkitet, régen a bo2k volt, azóta fejlődtek), vagy csak minden doksit/jelszót/mailt lemásolni róla. ezzel miután visszaállítom a saját router mögé a PC-t: már a tűzfal elleneére is be tud jutni, az összes LAN-on levő dolgot elérheti..

De mint írtam nem nem működik ez a fajta 'horgászat.

[VKP]

Idézet: Doky586 - Dátum: 2011. 03. 02. 12:42

Ez így van. Eszembe se jutott hogy azért tenné hogy netezzen.

Mint írtam ő biztosítaná nekem az internetelérést, a saját mobilnetjéről, hogy minnél később vegyem észre az átverést. Így van bőven ideje a pc-t feltörni, és trójai progit (valami remote admin rootkitet, régen a bo2k volt, azóta fejlődtek), vagy csak minden doksit/jelszót/mailt lemásolni róla. ezzel miután visszaállítom a saját router mögé a PC-t: már a tűzfal elleneére is be tud jutni, az összes LAN-on levő dolgot elérheti..

De mint írtam nem nem működik ez a fajta 'horgászat.

Nem tudja feltörni a PC-t, mivel a PC nem wifin csatlakozik a routerhez. Wifin a telefonom csatlakozik, meg nagyritkán a barátnőm ubuntu-s netbookja.

[Doky586]

Idézet: Jahno - Dátum: 2011. 03. 02. 12:02

Hova szeretnél kikötni?

VKP és Te írtad hogy nem tud elég közel jönni a támadó hogy nagyobb legyen a térereje.
Erre válaszoltam hogy nem is kell, mert nem térerő szerint választ..

[VKP]

Idézet: Doky586 - Dátum: 2011. 03. 02. 12:49

VKP és Te írtad hogy nem tud elég közel jönni a támadó hogy nagyobb legyen a térereje.
Erre válaszoltam hogy nem is kell, mert nem térerő szerint választ..

Ezt a vérpistikék elriasztása miatt írtam

[Doky586]

Idézet: VKP - Dátum: 2011. 03. 02. 12:46

Nem tudja feltörni a PC-t, mivel a PC nem wifin csatlakozik a routerhez. Wifin a telefonom csatlakozik

Nem rőlad írtam hanem általánosságban. Gondolom elhiszed hogy sok ember van a világon aki wifin PC-t használ..

De vegyük a Te eseted: 20km -re vagy az otthoni routeredtől. A telefonod Windows Phone (vagy Symbian vagy Android, stb) oprendszere érzékel olyan ssid-t amiről azthiszi az az otthoni. Kapcsolódik a 'kamu' AP-re (pl automatikus levélletöltés miatt). feltörik. (telefonon nincs személyes tőzfal, vírusirtó se jellemző).........
(letöltik róla a privát sexvideóidat , híváslistádat, banki sms értesítőket stb)

Szerkesztette: Doky586 2011. 03. 02. 13:31 -kor

[Coppermine]

A külföldi egyetemen - ahol most tanultam - úgy volt megoldva ez a dolog, hogy a wifire felcsatlakozó bármilyen eszköz először egy authentikáción esett keresztül (uname / pw), majd ezt követően vpn kapcsolatra lett "kényszerítve" az eszköz. Namost ha nagyon paranoiás vagy, akkor ezt otthon is meg tudod valósítani, csak a megfelelő eszközök kellenek hozzá - hozzáteszem, ez megint nem soho környezet.

A probléma az, mint ahogy már írtam, hogy soho környezetben akarsz megvalósítani olyan szintű védelmet, amit vállalatoknál alkalmaznak. Illetve az általad felvetett problémára "csak" enterprise megoldás létezik VAGY nem használsz wifit, hanem wired networköt

-C0pp3rM!n3-