Jak zabezpieczyć ludziom dziurawe otwarte AP?

[rekruter]

W przestrzeni znajdują się owarte dziurawe AP z domyślnymi hasłami. Chodzą skejci, dresiarstwo, otwierają laptopy i śmieją się, że kradną internet za darmo nawet nie mając pojęcia co to jest MAC itd. Sieci prywatne, zapewne nikt nie jest zainteresowany udostępnianiem złodziejom połączeń. AP notorycznie nawzajem obok siebie zakłócają się - ten sam kanał ludzie pewno złoszczą się na kiepskie połączenia słono płacąc kilku lokalnym operatorom.

Wiem, nie mój interes, masz inne zdanie na ten temat - nie odpowiadaj. Czy mogę im pomóc zmieniając nr kanału, ukrywając nazwę sieci lub inne rzeczy tak aby Windowsy właścicieli nie wykryły zmian? Oczywiście to nie są żadne zabezpieczenia dla nas, ale dla przeciętnych - droga nie do przeskoczenia do póki sami nie przeczytają o co tu chodzi. Co proponujecie?

[TQM]

Nie mozesz...

Zmiana kanalu niewiele da bo dosc szybko pojawi sie jakies inne badziewie co wejdzie sobie na kanal ktory ustawiles. Poza tym aby nie bylo zaklocen nalezy miec co najmniej 4 kanaly odstepu wiec jedyne ktore sie nie nakladaja to 1, 6 i 11 - te sa najczesciej uzywane

Co do ukrysia ESSID - jak ukryjesz to windows nie znajdzie sieci jesli wczesniej nie mial jej skonfigurowanej (np nowy klient z Windows juz sieci nie zauwazy ale skejci korzystajac z Linuxa nadal beda sie laczyc jak beda chcieli) - to zadne zabezpieczenie, tylko wiecej problemow niz wartosci.

... no i najwazniejsze - samo podlaczenie sie do sieci (nawet nie zabezpieczonej) jesli nie masz na to zgody wlasciciela bedzie przestepstwem (ale nie mam zamiaru sie sprzeczas - tak mowi prawo i tyle). Podlaczenie do AP-ka jako admin to juz wlamanie o jakichkolwiek zmianach nawet nie wspominajac.

Jedyne co moge zasugerowac to znalezc do kogo nalezy dany AP, pojsc do czlowieka i z nim pogadac. To jedyne co jako tako dziala i nie wpedzi Cie w problemy. Ludzie roznie reaguja - wiem z doswiadczenia - sam tak kiedys robilem. Jedni sie cieszyli, inni krzyczeli zebym sie od ich sieci "odpier**** bo wezwa policje" - zbyt wielu idiotow do okola - sorry... szkoda czasu.

Podczas CONFidence 2008 Joanna Rutkowska ujela to dosc brutalnie ale bardzo prawdziwie - "nie obchodza mnie ludzie ktorych nie obchodzi ich wlasne bezpieczenstwo".

Poza tym - jesli zapukasz komus do drzwi i przedstawisz sie jako firma itd (i bedziesz tak wygladal) to moze cos zdzialasz predzej. Jesli wygladasz jak nastolatek to srednio 80% ludzi Cie wysmieje - sprawdzone

[bemyself]

Ja robilem tak: logowalem sie do ap(wiem ze to było "be")-w 100% moich przypadkow w ap bez szyfrowania kazdy mial standardowe lub puste haslo-wlaczalem szyfrowanie dopisywalem do nazwy sieci klucz . O ile ktos byl bystry, to zorientowal sie ze cos jest nie tak i sam sobie zmienil lub ktos mu to zrobil(pewnie nie za darmo) a jak kieszen pustoszeje to glowka zaczyna myslec. Najgorsze jest to, ze ludzie nie zdaja sobie sprawy co znaczy pozostawic siec bez szyfrowania, nie zycze nikomu wjazdu policji i wysluchania zarzutow np o piractwie :/ (a smarkacz z domu obok bedzie wygladal przez okno i sie smial). Temat-rzeka.

[TQM]

OFF-TOPIC:
Ja dzisiaj zauwazylem ciekawostke... jak niecaly rok temu wprowadzalem sie do mojego aktualnego mieszkania, w sasiedztwie byly 4 sieci wifi, ktore lapal moj laptop. Aktualnie jest ich 11 z czego jedna w standardzie 802.11n (wow! widac sprzet wychodzi ze sklepow pomimo tego, ze oficjalnie nie jest to jeszcze standard - nadal draft). Tak czy inaczej sniffer chodzacy przez niecale 2 dni pokazal pare atakow z dosc daleka (slaby sygnal), wiec widac na 2.4GHz sporo ludzi sie bawi...

Rozlozenie kanalow tez bylo ciekawe... 6, 7 i 11 - jasno sugeruje jaki sprzet maja ludzie. Co ciekawe - nitk do dzisiaj nie uzywal 802.11a (5.2GHz) wiec przenioslem tam swoja siec - problemy z przytykaniem sie i okresowymi lagami zniknely jednak nadal brakowalo przepustowosci nieco, wiec router podpiety do switcha teraz a drukarka i telefon voip stojace fizycznie w innym pokoju, zlinkowane na 5.2GHz z reszta sieci. Na razie na 5.2GHz jestem sam - jestem ciekaw ile czasu bedzie potrzeba az odnotuje pierwsze proby podlaczania sie nieautoryzowanych stacji do mojej sieci

Tak wiec od dzisiaj jestem 2.4GHz-free, przy okazji pozbywajac sie slabszych kodowan i jedyne co teraz chodzi to WPA2-AES-CCMP i w koncu wlaczajac pelne logowanie kto sie podlacza i jak...

[bemyself]

Ja znam odpowiedz na pytanie, kiedy bedziesz mial sasiada na 5.2 GHz-jak ktos z tego forum sie wprowadzi sie w Twoje okolice . W uk chyba tylko raz trafil mi sie ap ktory standardowo ma wylaczone szyfrowanie, a mial wlaczone-ludzie po prostu sa nieuswiadomieni. Ale to ich problem.

[lopi]

najlepiej zabezpieczyc siec wifi,key wpa2 minimum 128bitowy, AP z wlaczona filtracja mac. juz stanowic bedzie udreka zlalanie tego nie jeden dress spenia widzac takie zabezpieczenie i nawet nie bedzie probowal bo sie nie zna az tak no i trzeba posiadac slownik


a tak apropos siema all nowy jestem

[TQM]

Zakladajac ze PSK to ciag wpisywany z klawiatury, 128 bit (16 znakow) nie wystarczy.

W specyfikacji WPA jest jasno podane ze minimalna dlugosc PSK to 64bit (8 znakow) ale bezpiecznie jest dopiero powyzej 20 znakow (>160 bit). Dlaczego tak jest? To kompromis miedzy bezpieczenstwem a latwoscia uzytkowania...
Gdyby ludzie mieli wpisywac PSK minimum 20 znakow nikt nie uzywalby wifi bo byliby zbyt leniwi albo zapisywali hasla na karteczkach itd Stad wlasnie takie uproszczenie.

Co do WPA2-AES-CCMP - prawda jest taka ze sa 2 algorytmy szyfrowania w uzyciu - grupowy i unicast. Grupowy uzywa WPA2-PSK z TKIP a dopiero wtedy dla kazdego klienta jest wlaczane AES z CCMP.
Tak jak napisal bemyself - najblizsza szansa na zlamanie mojej sieci to wprowadzic sie po sasiedzku i sprobowac ugryzc WPA2-AES-CCMP ktore ma aktualnie 192bitowe PSK i klucze zmieniane co 30 sekund. Poza tym gwarantuje, ze pomimo tego ze PSK to nie random text, nie znajdziecie go w zadnym slowniku

lopi - witamy na forum. Jak rozumiem jestes w UK wiec pamietaj, ze w UK za piggybacking na czyjejs radiowce (bez zgody wlasciciela) pare osob zostalo juz skazane. Konfiskata sprzetu, 1000 kary i jeszcze sprawa w sadzie. Zaleta UK taka, ze sprzet wifi jest smiesznie tani wiec mozna latwo samemu zrobic swoj wlasny LAB i tam testowac

[lopi]

TQM, piszesz dobrze z tym kluczem iz 160bit jest lepszy ale temat ogolnie chodzil o zabezpieczenie tak aby zwykly dresik , skejt itp. nie mieli az takiego latwego dostepu wiec napisalem minimalne zabezpieczenie ktore dla normalnego skejta jest juz nie do obejscia faktycznie mozna zrobic klucz 256bit ale po co 128 lub te 160bit juz sprawi tyle problemu iz nikt nie bedzie godzinami siedzial CI pod oknem i kombinowal heh

Ogolnie to pozwolenie mam od wspol-lokatora bo mial wlasnie on takie problemy niezabezpieczona siec potem zrobil wep to mu pokazalem ze wep tez jest shit i teraz mamy WPA2-PSK z TKIP lecz klucz jest 128bit.

Mam nawet taki fajnysprzecik do testowania

PS. Ja uzywam karty Alfa 500mW AWUS036H.

[rekruter]

Mam nawet taki fajnysprzecik do testowania
PS. Ja uzywam karty Alfa 500mW AWUS036H.

Zostałeś nabity w butelkę i oszukany. Ta karta kosztuje ponad 200 PLN i nie sprawdza się przy wardrivingu tak jak czulsze karty na chipsecie atheros za 40 PLN (np. PCMCIA tplink-wn510g z przerobionym wyjściem na antenę). Jeśli słuchasz sieci i wyłapujesz pakiety podczas crakowania to najważniejsza jest czułość układu radiowego czyli przeciwieństwo mocy (mW). Im masz większą moc karty sieciowej tym gorsza do wardrivingu. I najwazniejsza jest bardzo dobra antena. Pomijam celowo totalnie przekroczony sygnał EIRP.

AWUS036H ma zapewne wbudowany wzmiacniacz sygnału który kompletnie się nie przydaje w takich warunkach. Na allegro są wzmiacniacze sygnałów wifi, ale są do bani bo nikt tego nie kupuje. Nawet AP mają regulowaną moc do 250mW i już przy ok. 83mW sygnał staje się zniekształcony i transmisja zaczyna zwalniać. Przy 500mW powinno transmisja paść lub totalnie zwolnić jeśli jednocześnie nasłuchujesz.

Licząc przykładowo:
1. tp-link (40PLN) + pigtail (15 PLN) + antena (gotowy dobry i dokładny obwód drukowany panel 18-19dbi, kabel, złączka, kawałek blachy na ekran ok. 60) = ok. 120 PLN i za tą cenę masz zestaw który sięgnie wszędzie gdzie potrzebujesz. Działają wszystkie narzędzia do monitoringu i wstrzykiwania pod linuksa i windowsa jakie tylko są dostępne.

2. AWUS036H 220 PLN + antena 60 PLN = 280 PLN i o wiele gorzej działa do wardrivingu niż zestaw powyżej

Możesz również zastosować parabolę - czaszę satelitarną 90 cm z biquadem jako promiennik zamiast anteny panelowej. Wówczas koszt anteny podwyższy się o ok. 50 PLN a ściągniesz sieci z wielu kilometrów.

[UB77]

Problemy z RLT8187L pod Windą 2K ma ktoś? Wyglada na to, że pod XP chulam a przy 2000 jest problem z odbieraniem pakietów. Dochodzą i nie sa rozumiane przez karte USB. Ma ktoś pomysła?