Аристотель
P.M.
|
11-5-2015 09:19
Аристотель
Проблема в следующем. Уже несколько знакомых обращались с проблемой. Модем ADSL. Тип шифорования WPA2PSK. Бродят "юноши пылкие со взором горящим", вооруженные планшетами, каким-то образом подцепляются к вайфаю и висят на нем. Вопрос. Как они это делают? Как от этого защититься?
|
|
IGA 13
P.M.
|
Скрыть имя сети. Пароль по заковыристей. Фильтрация по MAC адресу.
|
|
Аристотель
P.M.
|
11-5-2015 10:23
Аристотель
цитата:Скрыть имя сети. Пароль по заковыристей. Фильтрация по MAC адресу. Первые два пункта - понятно. Про скрытие имени сети - как я забыл про эту функцию! А вот фильтрация по маку - можно подробней? Это в настройках модема мак сетевухи прописывать или как?
|
|
IGA 13
P.M.
|
В настройках роутера задается список устройств ( mac адреса) имеющие право для подключения P.S часто для подключений используется уязвимость прошивки модема. Обвновить прошивку, если модем или роутер провайдера снести прошивку оператора и поставить заводскую и настраивать в ручную.
|
|
An0n
P.M.
|
1. Вам жалко безлимитного Интернету? 2. WPA2PSK вроде еще не взломан до такой степени чтобы детишки могли его "ломать". Может пароль слабый или по умолчанию. Либо возможно роутер допускает возможность работы в более древних стандартах безопасности.
|
|
badydoc
P.M.
|
Сокрытие сида и фильтрация по мак-адресам - бесполезная трата времени.
|
|
Schnapps
P.M.
|
цитата:Originally posted by badydoc:
Сокрытие сида и фильтрация по мак-адресам - бесполезная трата времени.
эт вы зря.У меня соседи тоже халявщики,фильтрация по маку и скрытие сети вещь действенная.
|
|
IGA 13
P.M.
|
Хороший сканер найдет скрытую сеть, о планшетных пока не слышал.
|
|
Schnapps
P.M.
|
цитата:Originally posted by IGA 13:
Хороший сканер найдет скрытую сеть,
а что делать с фильтром по маку?
|
|
Monolit-kbf
P.M.
|
11-5-2015 11:17
Monolit-kbf
цитата:Originally posted by badydoc:
Сокрытие сида и фильтрация по мак-адресам - бесполезная трата времени.
Это почему это? Фильтрация по макам вполне работает, а для подмены мака нужно знать разрешенный мак. Без подключения пропинговать сетку и поглядеть арп таблицу не выйдет, а значит хрен а не мак разрешенный.
|
|
Monolit-kbf
P.M.
|
11-5-2015 11:19
Monolit-kbf
Ну и да, если настройки модема позволяют - уменьшить мощьность сигнала. Халявщики под окошком с кислой антенной телефона\планшета откурят бамбук.
|
|
badydoc
P.M.
|
цитата:Originally posted by Monolit-kbf:
Это почему это? Фильтрация по макам вполне работает, а для подмены мака нужно знать разрешенный мак. Без подключения пропинговать сетку и поглядеть арп таблицу не выйдет, а значит хрен а не мак разрешенный.
http://habrahabr.ru/post/225483/
|
|
IGA 13
P.M.
|
цитата: Хорошая статья. Только " юноши пылкие со взором горящим" скорее всего еге не осилят. Не тот уровень.
|
|
Леонид Ильич
P.M.
|
11-5-2015 19:11
Леонид Ильич
я бы не закрывал доступ совсем, запретил бы https и снифил бы их всех.
|
|
Mozgun
P.M.
|
Я как-то игрался с аэрслаксом с набором взлома вайфая. Прикольная штука. Вроде-бы там был модуль отображающий клиента в сканируемой сети с ИП и МАСом сразу.. Там же перехват хендшейка путём принудительного отрыва чужого клиентского соединения реализуется. И опция подмена МАСа вкряченная. Только хендшейк ломать - надо хорошую базу паролей сначала собрать..
|
|
AlexSlash
P.M.
|
14-5-2015 19:35
AlexSlash
Фильтрация по MAC и скрытие сети от взлома не спасет. Я бы сказал что скрытие сети даже усугубит участь "жертвы", так как клиентское оборудование начинает "кричать" в эфир: Ищу скрытую сеть "Название сети". Спасет только сложный пароль, например Gdffgd!@382-322 и хороший, не дырявый роутер.
|
|
AlexSlash
P.M.
|
14-5-2015 19:43
AlexSlash
цитата:Originally posted by Monolit-kbf :
... арп таблицу не выйдет, а значит хрен а не мак разрешенный.
как раз, посмотреть MAC подключенных клиентов к сети совсем не сложно airodump-ng mon0 --bssid "bssid точки wifi" -с "канал" .. и спокойно смотрим список подключенных клиентов. Для примера скриншот из инета. Вверху красным выделена сеть EVEREST, внизу кто к ней подключен. ЗЫ Халявщики под окном или в километре от окна, могут взять направленную антенну.
|
|
AlexSlash
P.M.
|
14-5-2015 20:05
AlexSlash
Зачем это нужно, ведь у меня инет безлимит? Подключившись к вашему WiFi, злоумышленник может: -Пропустить весь трафик через себя и заставить ваш браузер подключаться к сайтам по не зашифрованному протоколу http, тем самым получая ваши пароли и любую другую информацию. -Может подменить dns и заходя, например на sbеrbаnk.ru вы должны попасть на сервер банка который имеет ip l94.54.l4.l59, а попадете сервер злоумышленника например ip 192.168.0.254 .. и т.д. и т.п.
|
|
Monolit-kbf
P.M.
|
14-5-2015 20:15
Monolit-kbf
цитата:Originally posted by AlexSlash:
как раз, посмотреть MAC подключенных клиентов к сети совсем не сложно
Да, я уже это понял. Бади вверху ссылку давал на хабр, там доступно все изложено.
|
|
Henri
P.M.
|
цитата:Уже несколько знакомых обращались с проблемой. Модем ADSL. ADSL у всех знакомых одного производителя, одного модельного ряда? Есть древняя статья на хабре, которая является сборкой ещё более древних статей. http://habrahabr.ru/post/188454/ цитата:Сокрытие сида и фильтрация по мак-адресам - бесполезная трата времени. Скорее неэффективная. Определенная польза всё же есть. цитата:Без подключения пропинговать сетку и поглядеть арп таблицу не выйдет, а значит хрен а не мак разрешенный. Да.. . попинговать не получится
|
|
badydoc
P.M.
|
цитата:Originally posted by IDS:
Придерживаюсь мнения Брюса Шнайера относительно домашнего WiFi. Он у меня открыт, совершенно открыт. Мне не жалко. Канал физически 1Gbit. Полоса WiFi отхавает даже 54Мбит - мне не жалко. Все что нужно дома - сервер, мой личный ноут подключены проводами и всегда имеют высший приоритет в балансировщике.
Безумству храбрых поем мы славу (с) За пароли и конфиденциальную информацию не боитесь? цитата:Originally posted by IDS:
А поглумиться можно круто От MITM до отруба
кстати в официальных прошивках Zyxel-a присутствует возможность скачать (прошивка модульная, можно ряд компонентов не качать если не нужны) и запустить "Модуль захвата сетевых пакетов" и анализировать весь трафик идущий через ваш роутер
|
|
AlexSlash
P.M.
|
16-5-2015 14:28
AlexSlash
IDS, ни в коем случае нельзя допускать не доверенных пользователей в свою сеть. Советую сменить пароли на всех сайтах, которыми пользуетесь и запаролить WiFi. Иначе это равнозначно тому что, Вы повесите ключи от дома около дверного звонка, а что, пусть народ пользуется, коммуналку то я все равно заплатил.
|
|
OCTAGON
P.M.
|
цитата: А ещё можно пароли читать. Первая домовая сетка в Москве была даже не на коммутаторах, а на концентраторах. Я RealSecure поставил, у половины дома считал)))
|
|
Аристотель
P.M.
|
16-5-2015 21:48
Аристотель
ни в коем случае нельзя допускать не доверенных пользователей в свою сеть. Советую сменить пароли на всех сайтах, которыми пользуетесь и запаролить WiFi. Иначе это равнозначно тому что, Вы повесите ключи от дома около дверного звонка, а что, пусть народ пользуется, коммуналку то я все равно заплатил. Люди, которые обращаются с просьбой защитить их WiFi, рассуждают так же. К тому же, если в Москве, к примеру, есть выбор провайдеров с приличными тарифными планами и скоростями, то у нас всего один провайдер - Ростелеком. Тарифные планы с приличными скоростями стоят ну совершенно неразумных денег. И когда какой - нибудь вьюноша подцепляется к сети начинает что - то посредством торрент - клиента качать, то это ощутимо сеть подвешивает. Народ пользуется, в основном, D-Link ами, у которых возможности не айс. Пока пришел к выводу, что нужно паролить настройки модема своим паролем - раз. Создавать РЕАЛЬНО сложный пароль со сменой регистров и отсутствием какой - бы то ни было смысловой нагрузки. Делать сеть скрытой.
|
|
Monolit-kbf
P.M.
|
16-5-2015 22:14
Monolit-kbf
цитата:Originally posted by Аристотель:
то у нас всего один провайдер - Ростелеком. Тарифные планы с приличными скоростями стоят ну совершенно неразумных денег. И когда какой - нибудь вьюноша подцепляется к сети начинает что - то посредством торрент - клиента качать, то это ощутимо сеть подвешивает. Народ пользуется, в основном, D-Link ами, у которых возможности не айс. Пока пришел к выводу, что нужно паролить настройки модема своим паролем - раз. Создавать РЕАЛЬНО сложный пароль со сменой регистров и отсутствием какой - бы то ни было смысловой нагрузки. Делать сеть скрытой.
Собрат по несчастью Та же фигня, гребаный Ростелеком и никаких вариантов. Только у меня еще один минус - я в этом самом ебстелекоме работаю Был недавно случай - клиент (FTTB) жалуется, после того, как его с АДСЛ переключили стало все медленно грузится, вы дерьмодемоны, козлы, бла бла бла, верните как было. Пришел, смотрю. По вайфаю траффик идет. В доме устройств вайфая нет включеных. Вырубаю вайфай - все начинает открываться. Начинаю пытать - ничего не знаю. Пытаю дальше, доченька клиента соседскому парню от вайфая пароль сказала, а хули, тырнет то безлимитный. Ага, а он 100500 торрентов на закачку поставил. Роутеры и модемы у нас кстати, в основном саджемы с ростелекомовской прошивкой. Последние партии пошли хуавей (реально самые лучшие) и д-линки (гребаная лотерея, либо работает и не глючит, либо сразу с новья на помойку).
|
|
IDS
P.M.
|
цитата:За пароли и конфиденциальную информацию не боитесь? В WiFi ничего криминального не циркулирует Он создавался только для подключения SmartTV на Samsung телевизоре.
|
|
IDS
P.M.
|
цитата:Та же фигня, гребаный Ростелеком и никаких вариантов. У меня тоже оно.. . Но.. . маленькое но.. . В свое время отдавали 90 т.р. за протяжку оптики прямо к дому (живу на даче). Был конечно выбор поставить ADSL, т.к. был и телефон от них. Но меня он сильно достал и мы решили уж сделать надежно. Уже пять лет пашет и норм Вечерком скрин с спидтеста выложу
|
|
AlexSlash
P.M.
|
18-5-2015 14:33
AlexSlash
цитата:IDS: В WiFi ничего криминального не циркулирует Он создавался только для подключения SmartTV на Samsung телевизоре. даже если по WiFi подключен только ТВ, то комп наверняка подключен к тому же роутеру по проводам? Если так, то злоумышленник применит mitm и весь трафик пойдет через него.. . а там делай с трафиком что хочешь. или зловред заменит прошивку вашего роутера, например на openwrt, а там поле для деятельности большое. тут конечно есть нюансы, оба варианта работают не на всех роутерах. Но все равно не стоит так беспечно подходить к безопасности.
|
|
AlexSlash
P.M.
|
19-5-2015 12:19
AlexSlash
кстати, в некоторых SmartTV уязвимости есть, сам не ковырял, где-то на Defcon или BlackHat презентация была. Злоумышленник через сеть получает полный доступ к ТВ, в т.ч. к камере и микрофону.
|
|
Monolit-kbf
P.M.
|
19-5-2015 22:56
Monolit-kbf
цитата:Originally posted by IDS:
У меня тоже оно.. . Но.. . маленькое но.. . В свое время отдавали 90 т.р. за протяжку оптики прямо к дому (живу на даче). Был конечно выбор поставить ADSL, т.к. был и телефон от них. Но меня он сильно достал и мы решили уж сделать надежно. Уже пять лет пашет и норм Вечерком скрин с спидтеста вылож
Ну о чем речь может идти. ФТТх(ну или джипон) или АДСЛ, это две большие разницы. Причем очень большие. АДСЛ до 6 мегабит (официальные тарифы), ну если тариф фттбишный подключить и линия позволяет линк мегабит на 12-14 поднять, то 12-14 мегабит. У меня так сделано. Выше линк уже рвется. На даче у вас сомневаюсь, что двухмегабитный профиль даже нормально работал бы, если только АТС не рядом. А оптика, она и в африке оптика. 100 мегабит либо гиг, хотя и сотни за глаза.. .
|
|
IDS
P.M.
|
сотки хватит в случае простого юзания. а если дома хаб порнолаба - гига мало 😃😃😃
|
|
Аристотель
P.M.
|
25-5-2015 18:03
Аристотель
цитата:Только у меня еще один минус - я в этом самом ебстелекоме работаю Отвлекусь немного от темы. Ростелеком - та еще уруру контора. В Калужской области они даже прекратили рассылку платежек тем, у кого есть инет. Заходи в личный кабинет, формируй, скачивай, печатай, плати. Я за свой траффик, по сути, должен еще и им жизнь облегчать за счет избавления от почтовых и канцелярских расходов. КРУТО!
|
|
Monolit-kbf
P.M.
|
25-5-2015 18:57
Monolit-kbf
цитата:Originally posted by Аристотель:
Отвлекусь немного от темы. Ростелеком - та еще уруру контора. В Калужской области они даже прекратили рассылку платежек тем, у кого есть инет. Заходи в личный кабинет, формируй, скачивай, печатай, плати. Я за свой траффик, по сути, должен еще и им жизнь облегчать за счет избавления от почтовых и канцелярских расходов. КРУТО!
Да у нас еще круче. Девачки берущие деньги за телефон\интернет давно работают не в нашей организации. Они тупо одушевленный терминал, сидящий в нашем помещении. И вот они уже два месяца как не работают, что то там у них с ПО связано. И вот куда хочешь - туда и плати. Почта долго пересылает, сбербанк требует номер лицевого счета, терминал\банкомат не пишет, сколько конкретно денег должен. Везде засада. Я из сберовского личного кабинета платил, лучший вариант.
|
|
Аристотель
P.M.
|
25-5-2015 19:35
Аристотель
цитата:Да у нас еще круче. Девачки берущие деньги за телефон\интернет давно работают не в нашей организации. Они тупо одушевленный терминал, сидящий в нашем помещении. И вот они уже два месяца как не работают, что то там у них с ПО связано. И вот куда хочешь - туда и плати. Почта долго пересылает, сбербанк требует номер лицевого счета, терминал\банкомат не пишет, сколько конкретно денег должен. Везде засада. Я из сберовского личного кабинета платил, лучший вариант. Эх-ма, Россия! А мы о высоких технологиях!)
|
|
ayf
P.M.
|
цитата:IDS: В WiFi ничего криминального не циркулирует Он создавался только для подключения SmartTV на Samsung телевизоре. Угу.. . У нас так один клиент думал, удивляясь, почему временами у него тормоза на сети. А потом пришло извещение о переборе с его IP уязвимостей по хостам в инете. А сейчас уже им занимается один профильный отдел МВД.
|
|
IDS
P.M.
|
В этом "профильном" такие д... ебы работают - жесть просто )))) Привет начальнику Московского отдела )))
|
|
ayf
P.M.
|
цитата:IDS: В этом "профильном" такие д... ебы работают - жесть просто )))) Привет начальнику Московского отдела ))) Ну какие бы не работали, а мы инфу дать обязаны.
|
|
|