Pull to refresh

Comments 52

«Терморекальный криптоанализ» это конечно 5. Как дополнительный метод защиты можно прибавить ещё и обои для экранирования сигнала. Тут даже ключ готовый не поможет.
Где бы эти обои купить… Очень бы пригодилось в домах с десятками WiFi-сетей на квадратный метр чтобы для своей каналы расчистить…
Можно купить двухканальный роутер, которого ни у кого почти нет, и буду вам чистые каналы :) Ну, зависит, конечно, от соседей…
Разблокируй 14ый канал @ будь плохим парнем
Покрась обои серебрянкой! ;-P
UFO just landed and posted this here
Помимо всего прочего можно вбить исключения по MAC адресу используемых в сети устройств. Веб-интерфейс моего D-link, например, позволяет это сделать. Но это уже для совсем клинических случаев паранои.
mac-адрес почти любого сетевого усройства штатными средствами windows меняется в несколько кликов, под линуксом вообще одной командой скорее всего — не надо было, не тестил
Если злоумышленник знает нужный MAC, то это конечно не имеет смысла.
Если «злоумышленник» на самом деле является злоумышленником, а не гламурной девочкой с айпадом, то будьте уверены, MAC-адрес он знает.
Фильтрация по MAC-адресам это детский сад. Она остановит только тех, кого может остановить и обычное WEP-шифрование. МАК-адрес сетевого интерфейса можно изменить одной строчкой в терминале, предварительно узнав нужный МАК, ещё одной строчкой. И всё. Два клиента с одним адресом без особых напрягов работают в одной сети.
И ещё это не корпоративное решение (как этим управлять, когда абонентов тысячи?)
Насколько я понял, то параметры сети получаются на сетевой интерфейс после авторизации в домене через радиус сервер — соединился, передал зашифрованный логин пароль, в ответ получил параметры сети, по проводному интерфейсу тоже самое, но не уверен в шифровании, я сейчас в компании такое разворачивать собираюсь
Тот же ДОМ.РУ имеет привязку к MAC-адресам. Что, вообще, меня довольно раздражает. Так как «хардварный» адрес не должен передаваться дальше роутера, значит они его передают уже поверх протокола. Да в общем, это всё не суть. Суть в том, что у них привязка клиентов по МАК-у, и таблица эта динамическая. Т.е. я могу добавить туда сколь угодно много адресов. Т.е. управлять этим можно :} Но я, на всякий случай, свой МАК перед первой аутентификацией все же изменил на hex-словечко. Может паранойя, но чем черт не шутит, мне будет спокойней, если моя информация останется при мне.
UFO just landed and posted this here
Может быть я мысль неправильно выразил.
Отвечу вопросом: может ли какой-нибудь сайт узнать MAC-адрес клиента? Ну, вообще, я далеко не гуру в построении сетей и сетевых протоколах, но насколько мне известно, MAC-адрес дальше роутера не передается, разве нет?
Так контроль доступа к сети и реализуется на уровне ближайшего свитча (в идеале), или роутера («на крайняк»).
Ха-ха. Смешно самому стало даже. Ну да, это же очевидно. Прошу прощения за свой недальновидный комментарий. Почему-то я об этом даже не задумывался, нарисовав себе параноидальный план по сбору информации.
Спасибо за ликбез!
Отвечу вопросом: может ли какой-нибудь сайт узнать MAC-адрес клиента? Ну, вообще, я далеко не гуру в построении сетей и сетевых протоколах, но насколько мне известно, MAC-адрес дальше роутера не передается, разве нет?

Не может. Ваш МАК адрес знает только первый же коммутатор к которому вы подключены.
Наверное всё же не коммутатор/свитч, а именно роутер прерывает передачу МАК-адреса. У Домру такое роутер стоит скорее всего перед оптикой, т.е. либо один на весь дом, либо в каждом подъезде. Видя ваш логин провайдер легко может у себя в базе определить к какому роутеру вы подключены и управлять им для смены разрешенного МАК-адреса например.

Это теория, на практике хз как :)
UFO just landed and posted this here
А как вы думаете это работает?
www.samy.pl/mapxss/?mac=
Статья на хабре была, где подробно описывалось как мас-адреса клиентов и их роутеров собирались гуглом и было это гораздо раньше чем проехала знаменитая гугломашина и отсканировала все вайфай точки.

Явно не так. Там более чем простой способ описанный на этом же сайте
1. You visit a malicious web site (why are people so mean?)
2. The web site has a hidden XSS against your router (in this example, I'm using an XSS I discovered in the Verizon FiOS router)
3. The XSS obtains the MAC address of the router via AJAX.
Вопрос bosha был: может ли какой-нибудь сайт узнать MAC-адрес клиента?
Ссылка была дана и даже вами процитирован пример сбора данных. Что не так? Google и вовсе не заморачивался, а при установке ПО собирал эти данные.
UFO just landed and posted this here
Фраза «Отвечу вопросом», подразумевает, что вопрошающий таки знает ответ :3
Не являюсь специалистом в области сетей, но всё же интересно.
Как можно узнать mac устройства не находясь с ним в одной сети? И как 2 устройства с одинаковым mac работают одновременно? В домашней сети случайно так делал и у меня вываливались какие-то ошибки)
#airmon-ng start wlan0
#airodump-ng mon0
так мы смотрим клиентов.

Клиент после аутентификации на точке доступа, а учитывая подмененный мак, валидацию он проходит, ну и получает ip-адрес. Сетевые протоколы, подразумевают работу именно с ip-адресом, а не с mac. Поэтому никаких серьезных(а может и вообще) конфликтов не возникает.
Мнение с дивана.
Расскажите это такому классному сетевому протоколу как arp.
Как раз чем ниже к физическому уровню — тем страшнее проблемы.
маки передаются в открытом виде в заголовках пакетов. Ловить пакеты вам никто не может запретить.
UFO just landed and posted this here
Аналогия некорректна. До тех пор, пока два устройства находятся в одном домене коллизий, одинаковые маки не будут проблемой.
«не» находятся в одном домене коллизий? :)
Наоборот, пока находятся. В пределах домена коллизий все кадры рассылаются сразу всем устройствам, и проблемы, кому из двух одинаковых MACов отправлять, нет. Фактически, два хоста с одинаковыми маками в одном домене коллизий выглядят так же, как один хост с двумя ip-адресами.

Но стоит между хостами поставить хотя бы неуправляемый коммутатор второго уровня (разбить домен коллизий) — и этот коммутатор не сможет определить, на какой порт пересылать кадр.
А ведь верно. :) Хоть и, всё равно, вредно.
МАК-адрес сетевого интерфейса можно изменить одной строчкой в терминале, предварительно узнав нужный МАК, ещё одной строчкой.

И какой же строчкой узнать «нужный» MAC-адрес в сети к которой ещё не подключился?
Написал же выше. airodump-ng покажет вам список ассоциированных с точкой доступа клиентов.
У вас просто «проводной» шаблон в голове. Если для того чтобы проснифать проводную сеть, вам надо «врезаться»(образно, конечно) в кабель, то при сетевом аудите беспроводных сетей, вы постоянно «врезаны» — радиоэфир он вокруг вас, вы просто слушаете всё подряд. Пассивный режим.
WPA-PSK, по крайней мере (за остальные варианты не уверене, сам не пробовал) ломается через WPS на тех роутерах, которые не имеют в прошивке защиты от перебора ключа WPS.
Да, но это не клиентский PSK а тот, который точки доступа пользуют между собой при WDS-обмене.
С помощью взломанной WPS тем не менее прекрасно можно зайти в ту самую защищённую сеть.
Не совсем Вас понял. Результатом взлома WPS является тот самый пароль, используемый для WPA(2)-PSK авторизации. Так как весь смысл WPS в том, чтоб при правильном пине выдававать все настройки wifi, в т.ч. пароль.

Пример:

Если кто-то поделится ссылкой как красиво ассигнить VLAN или назначить отдельный пул DHCP-сервера подключениям RADIUS-клиента в NTP — буду очень благодарен.
Пардон, в NPS конечно же. Сейчас конфигурю никсовый сервер времени =)
Спасибо за статью :). Как вводная в мир беспроводной безопасности вполне даже.

Правда учитывая то, что про взаимодействие контроллера с точками практически ничего не сказано, то лучше бы всё это описать на примерах «толстых» точек. А то у непосвященного человека контроллер с LWAPP туннелем до точки вызовет только дезориентацию :). Тем более, что на смену LWAPP уже пришел CAPWAP и картинки т.о. немного устарели:)
Про взаимодействие контроллера с точками можно почитать в моих предыдущих статьях про это:
Первоначальная настройка Wi-Fi контроллера Cisco
Подключение точек доступа к контроллеру Cisco Wi-Fi
Настройка беспроводных сетей на контроллере Cisco
Конечно же LWAPP уже нет, но с CAPWAP суть ровно та же. Увы, Cisco уже какой год не может обновить Enterprise Mobility Design Guide 4.1, откуда картинки и взяты.
Неплохая обзорная статья. Но есть небольшие неточности:
1. Беспроводная безопасность это не только AAA и шифрование. Многие «непробиваемые» вещи очень даже пробиваются.
2. Переборщили с контроллерами — все прекрасно работает и без них. Просто надо пользоваться правильным железом. :)
3. PEAP-MSCHAPv2 работает и без сертификата сервера, но уязвим.

>>Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен).
Не все так просто.

EAP-FAST имеет довольно хорошо известную дырищу: если используется Auto-PAC Provisioning доступ к сети может получить кто угодно (при определенном навыке). :) А если не используется — нафига нужен EAP-FAST?? Пережиток прошлого и еще один способ Cisco замкнуть пользователя на проприетарную технологию.

PEAP-MSCHAPv2 ломается, но не прямой атакой на крипту. Ставится точка-имперсонатор и «свой» RADIUS-сервер. Клиент коннетится, шлет (шифрованные, конечно) credentials. Которые успешно распаковываются, используя известные уязвимости в MS-CHAP (т.к. EAP-тнелль замыкается на нас). Дальше, просто идем с этими данными на исходную точку :) Спасает установка сертификатов на точки и RADIUS-серверы и тотальная их проверка на клиенте.

Вычислить PSK и PTK по пакетам собранным «из воздуха» для WPA2-PSK вполне возможно. Особенно, если используется уязвимый PSK, доступный в Rainbow Tables. Дальше можно проводить дешифрацию в реальном времени и делать все, что угодно :)

Так что, одним шифрованием и аутентификацией Wi-Fi не защитить, хотя в целом с вашим конечным тезисом согласен…
Соглашусь, но все же терморектальный криптоанализ будет попроще всех этих способов.
Многие из этих способов по статьям УК классифицируются как намного менее тяжкие, чем предлагаемый вами :)
Да и в реализации проще, т.к. спланировать похищение человека не так и просто.
А вообще — вот habrahabr.ru/post/151126/

Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен).

Разве [для EAP-FAST] всё не решается методом «создать фейковую точку доступа, подождать, пока «нормальные» пользователи не попытаются зайти»?

Для остальных двух ситуация получше, но подразумевает, что у вас есть заверенный авторизированным центром сертификации сертификат, что требует денег и верификации. В противном случае придётся ставить всем сертификат поотдельно, либо позволить пользователям нести эту ответственность самостоятельно (что, в большинстве известных мне случаев, многие (но, благо, не все) пользователи успешно проваливают).

Что до других способов, социальная инженерия пока вроде сбоя не даёт (при должном уровне), и старый добрый брутфорс, похоже, не столь труден в наше время для детища Микрософт.

Sign up to leave a comment.

Articles