Περι ασφαλειας router σε wi-fi δικτυο

[Nik0s]

Το πιο αξιοπιστο για μενα setαρισμα ειναι να κανεις setup το router σου με MAC Filtering και χωρις DHCP & SSID broadcast.

 

- Με hide το SSID δεν βλεπει κανενας το δικτυο σου οταν κανει search wireless

- Με static ip δεν συνδεεται κανεις αν δεν ξερει την default gateway του router σου (μπορεις να την αλλαξεις)

- Με MAC (hardware address καρτας δικτυου) Filter συνδεονται στο δικτυο μονο οι συγκεκριμενες καρτες δικτυου που εσυ οριζεις.

- τελος εννοειται οτι παιζεις με ενα WPA2 κλειδι το οποιο να μην βγαζει καποιο συγκεκριμενο ονομα ή ειναι μια απλη λεξη αλλα να αποτελειται απο αριθμους γραμματα και συμβολα

 

Επισης να μην ξεχναμε οτι μπορουμε να βλεπουμε μεσα απο το router μας ποιοι ειναι συνδεδεμενοι ανα πασα στιγμη με DHCP client Listing. Σχεδον ολα τα ρουτερ εχουν πλεον τετοια επιλογη(Το SpeedTouch 585 ακομη δεν εχει, τουλαχιστον σε GUI επιπεδο).

 

Mε τους παραπανω τροπους μπορω να γλυτωσω unauthorized access στο router μου?

[damastes]

Νομίζω το ποιο βασικό είναι ενα καλό wpa2 κλειδί. Αν κάποιος, ποτέ (δεν νομίζω να γίνεται ακόμα για wpa2) καταφέρει να βρεί το κλειδί όλα τα άλλα είναι εύκολο να τα προσπεράσει.

[isay]

Το πιο αξιοπιστο για μενα setαρισμα ειναι να κανεις setup το router σου με MAC Filtering και χωρις DHCP & SSID broadcast.

Το ποιο αξιόπιστο είναι με γερό wpa2 password σε συνδυασμό απενεργοποίησης DHCP και αλλαγή της default gateway. Πιο συγκεκριμένα:

 

- Με hide το SSID δεν βλεπει κανενας το δικτυο σου οταν κανει search wireless

Με το κατάλληλο εργαλείο και αν υπάρχει κίνηση στο δίκτυο σου, μπορεί να αποκαλυφθεί έυκολα. Επίσης είναι βασικό να αλλάξουμε το default SSID σε κάτι άλλο (ακόμα κι αν το έχουμε κρυφό).

 

- Με static ip δεν συνδεεται κανεις αν δεν ξερει την default gateway του router σου (μπορεις να την αλλαξεις)

ΠΡέπει να γίνει απενεργοποίηση dhcp αλλιώς η default gateway δίδεται αυτόματα

 

 

- Με MAC (hardware address καρτας δικτυου) Filter συνδεονται στο δικτυο μονο οι συγκεκριμενες καρτες δικτυου που εσυ οριζεις.

Το mac spoofing γίνεται πολύ εύκολα, άρα η χρήση mac filtering είναι σαν να βάζεις ένα κομμάτι σύρμα στην πόρτα (βγαίνει εύκολα)

 

 

- τελος εννοειται οτι παιζεις με ενα WPA2 κλειδι το οποιο να μην βγαζει καποιο συγκεκριμενο ονομα ή ειναι μια απλη λεξη αλλα να αποτελειται απο αριθμους γραμματα και συμβολα

Πρέπει να είναι μια μάκριά, δύσκολη και καθόλου συνηθισμένη συμβολοσειρά. π/χ.

ins982#opEfS!#8812xxzDffml!!dsdfeerw343321helloGirls!$$@

Όποιος καταφέρει να το σπάσει αυτό ... μαγκιά του και με το καλό να έχει πρόσβαση στο δίκτυο

 

Επισης να μην ξεχναμε οτι μπορουμε να βλεπουμε μεσα απο το router μας ποιοι ειναι συνδεδεμενοι ανα πασα στιγμη με DHCP client Listing. Σχεδον ολα τα ρουτερ εχουν πλεον τετοια επιλογη(Το SpeedTouch 585 ακομη δεν εχει, τουλαχιστον σε GUI επιπεδο).

Άμα κάνεις καλό κλείδωμα είναι περιττό να κοιτάς συνέχεια. Κοιτάς περιοδικά.

 

Mε τους παραπανω τροπους μπορω να γλυτωσω unauthorized access στο router μου?

Ο καλύτερος τρόπος για μη επιτρεπτή χρήση είναι να κλείσεις το ασύρματο δίκτυο, αλλά αν το χρειαζόμαστε κάνουμε τα παραπάνω (και πάντα με βάση τις ανάγκες μας).

[Nik0s]

α) To SSID γιατι εκτος απο κρυφο πρεπει να το αλλαξουμε κιοαλς σε κατι αλλο? Και πως , με ποιο εργαλειο βλεπει ο αλλος το ονομα ασυρματου δικτυου μας αφου το εχουμε κρυφο?

 

β) Το mac spoofing γίνεται πολύ εύκολα με καποια προγραμματα, αλλα ο επιδοξος hacker θα πρεπει να ξερει τι MAC filtering χρησιμοποιουμε για να ξερει ποια hardware address θα πρεπει να χρησιμοποιησει στο spoofing.

 

Αυτο πως θα το βρει?

[Rabican]

αν καποιος κανει search τα διαθεσιμα ασυρματα του δειχνει οτι υπαρχει ενα ανωνυμο δικτυο. με καταλληλο εργαλειακι και απο linux (φυσικα απαιτειται και traffic) βρισκει το SSID.

[damastes]

Και πως , με ποιο εργαλειο βλεπει ο αλλος το ονομα ασυρματου δικτυου μας αφου το εχουμε κρυφο?

 

υπάρχουν πολλά εργαλεία, πφφφ ακόμα και με το wifi analyser που έχω στο android κινητό μου, βλέπω τα ονόματα από κρυφά δίκτυα.

 

β) Το mac spoofing γίνεται πολύ εύκολα με καποια προγραμματα, αλλα ο επιδοξος hacker θα πρεπει να ξερει τι MAC filtering χρησιμοποιουμε για να ξερει ποια hardware address θα πρεπει να χρησιμοποιησει στο spoofing.

 

Αυτο πως θα το βρει?

αν υπάρχει συνδεδέμενος client στο ρουτερ Που μεταφέρει πακέτα, φαίνεται

[Nik0s]

αν καποιος κανει search τα διαθεσιμα ασυρματα του δειχνει οτι υπαρχει ενα ανωνυμο δικτυο. με καταλληλο εργαλειακι και απο linux (φυσικα απαιτειται και traffic) βρισκει το SSID.

 

Μα αφου ειναι κρυφο δεν θα επρεπε καν να το δειχνει ως διαθεσιμοα συρματο δικτυο, ετσι δεν ειναι?

 

Δηλαδη μας λεει οτι υπαρχει δικτυο απλα δεν ξρει το ονομα του?

 

---------- Προσθήκη στις 13:03 ---------- Προηγούμενο μήνυμα στις 13:01 ----------

 

υπάρχουν πολλά εργαλεία, πφφφ ακόμα και με το wifi analyser που έχω στο android κινητό μου, βλέπω τα ονόματα από κρυφά δίκτυα.

 

 

αν υπάρχει συνδεδέμενος client στο ρουτερ Που μεταφέρει πακέτα, φαίνεται

 

Καλα και ο επιδοξος εισβολεας πως θα θα μπορεσει αν δει αυτον τον active client αφου δεν θα ξερει το wireless WPA2 password?

[damastes]

το κρυφό δεν σημαίνει οτι δεν ανιχνεύεται, σημαίνει απλα οτι δεν κάνει broadcast το όνομα. Αν πας να συνδεθείς π.χ με το λαπτοπ σου, θα σου βγάλει ανώνυμο δίκτυο.

[Rabican]

δυστυχως το Wireless χρησιμοποιει ως μεσο μεταφορα τον αερα, επομενως οποιος "ακουει" τον αερα μπορει και να κανει capture πακετα. δεν ειναι οπως ενα switch το οποιο μεσω του καλωδιου στελνει το traffic στη σωστη πορτα (εκει που ειναι ο αποδεκτης). στο wireless ολοι μπορουν να ακουσουν το traffic και αναλογως να το αναλυσουν (βρισκοντας ποιος ειναι ο συνδεδεμενος client, ποιο ειναι το SSID κλπ).

[Nik0s]

Δηλαδη το wireless λογω του μεσου μεταφορας του(αερας) λειτουργει οπως λειτουργουσε το HUB οπου ενα πακετο ασχετως σε ποιον παραληπτη προοριζοτανε μπορουσαν ολοι να να το παραλαβουν!

[damastes]

αυτο που λέει ο rabican. Ο κωδικός προστατεύει το να μπεί κάποιος στο δίκτυο σου, αυτό δεν σημαίνει οτι ενας "παρατηρητης" δεν μπορεί να δεί κάποια στοιχεία για τις συσκεύες του δικτύου σου, SSID, channel, mac address client και router.

 

Δηλαδη το wireless λογω του μεσου μεταφορας του(αερας) λειτουργει οπως λειτουργουσε το HUB οπου ενα πακετο ασχετως σε ποιον παραληπτη προοριζοτανε μπορουσαν ολοι να να το παραλαβουν

 

οχι μόνο να παραλάβουν αλλά και να σου στείλουν, έτσι σπάει το wep, αν δεν υπάρχει μεγάλη κίνηση στέλνεις πακετά στον client μέχρι να έχει το δίκτυο ενα μεγάλο αριθμό για να μπορείς να βρείς τον κωδικό του.

 

Το θέμα είναι οτι με wpa2 κωδικοποιήση αυτό είναι πρακτικά αδύνατον (με ενα καλό κωδικό) μιας και χρειάζεται μεγάλη υπολογιστική δύναμη.

[Nik0s]

Κατσε εννοεις οτι ενας επιδοξος εισβολες κανει "capture" πακετα που στελνει ενα ξενο ρουτερ τα οποια προοριζονται για εναν "legit client" και αναλυοντας τα στελνει spoofed responses αν και "unauthorized client" ?

[Rabican]

καπως ετσι.. ειναι αυτο που λεμε man-in-the-middle. τυπικα ο authorized client και το AccessPoint επικοινωνουν κανονικα, αλλα καποιος ακουει τη συνομιλια τους και μπορει να μπει στη μεση με τα καταλληλα tools!

[lexmark]

Οτι σου ειπαν οι παραπανω και ιδιως ο isay. Αν και συνηθως ενα καλο και προσεγμενο κλειδι κανει τη δουλεια του μια χαρα. Και φυσικα WPA2. Οτιδηποτε λιγοτερο σπαει, οτιδηποτε παραπανω ειναι υπερβολη.

 

(οπου λιγοτερο βλπ. WEP και παραπανω βλπ. MAC filtering κτλ.)

[Nik0s]

Mααααλισταα!!

 

Αληθεια ομως αν κανει καποιος capture πακετα ενος ξενου κλειδωμενου ασυρματου δικτυου μπορει να δει SSID, channel και mac addresses ευκολα ΕΚΤΟΣ απο το WPA2 key το οποιο ειναι encrypted?

 

Εκει εγκειται ολη η δυσκολια? Οτι το κλειδι ΔΕΝ μεταφερεται raw?

 

β) Επισης με μπερδευει το γεγονος οτι εκτος του οτι εκμπεμπουνε τα ασυρματα ρουτερ μας στην γειτονια εκπεμπει και η ασυρματη καρτα δικτυου επισης.

 

Οταν βλεπω ελευθερα ασυρματα δικτυα ολα αυτα ειναι ασυρματα ρουτερσ(ΑP) ετσι? Καλα και οι εκομπες των ασυρματως καρτως που φαινονται?!