Pull to refresh

Comments 50

Меня давно интересует вопрос: а что если дома поднять RADIUS-сервер прямо на той же точке доступа? Усилит это безопасность? По идее, вместо пароля для авторизации клиентов будут использоваться ключи, которые являются более стойкими.
SOHO решения обычно сильно ограничены в плане ресурсов, поэтому разместить RADIUS может быть довольно проблематично. Также не стоит исключать кучу технических проблем совместимости такого размещения и принципа «хранения яиц в одной корзине».
Почему тогда это такая редкость «из коробки»? Что мешает вендорам ее включить в дефолтную поставку?
Вероятно, по мнению вендоров, пользователям это не нужно.
И, скорее всего, они правы так как большинство юзеров и PSK настроить не осилят сами — для них был придуман злополучный WPS с пин-кодом и\или кнопкой.

Ну и зоопарк EAP-стандартов тоже доставляет.
В openwrt/lede по умолчанию ставится пакет wpad-mini, с урезанной версией hostapd, если я не ошибаюсь.

Никто не мешает поставить полную версию.

В openwrt — да, никто не мешает. А вот в «в большинстве роутеров», не факт…
Самому — конечно, без установки OpenWRT вряд-ли.
Но мы тут речь ведем о технической возможности вендору реализовать поддержку встроенного радиуса в своих продуктах для работы WPA Enterprise. Технически такой проблемы нет.
А им то это зачем? Чтобы никто у них новые модели не покупал? :)
Причем тут новые модели? В новых моделях его тоже не будет. Технически возможность есть давно, но, судя по всему с точки зрения вендоров, она клиентам не нужна.

Энтерпрайзы — заюзают внешний FreeRADIUS/WindowsNPS для централизованной авторизации. А 99.9% домашних клиентов оно нафиг не сдалось.
Подобная релизация в свое время была сделана на базе Linksys + dd-wrt связки. Прилично работало и не отваливалось — конечно много ручной работы, а при желании автоматизировать — необходимо писать «костыли» на самой wrt платформе.
Да, нужно ставить полноценный wpad и freeradius. Проверено, работает уже несколько месяцев. Может и можно обойтись одним hostapd — я впервые в комментах к этой статье узнал, что он сам может быть радиус-сервером.
Собрал пакет hostapd с поддержкой openssl — заработал EAP-TLS и на одном только hostapd, без фрирадиуса. То есть вопрос реализации этого метода — лишние 2 МБ ОЗУ для загрузки либы OpenSSL в ОЗУ роутера.
Фрирадиус не нужен. Hostapd имеет встроенный.
Есть такая отличная штука — outsourced RADIUS. Десять юзеров бесплатно. Я не использую постоянно, так что не могу ничего сказать по поводу того, бывает ли downtime и как часто, но когда использую (мне это нужно по работе для тестов софта в конфигурации WPA2 Enterprise), то работает как часы.
принципа «хранения яиц в одной корзине»

Тут, на мой взгляд, ухудшения по сравнению с использованием WPA2-PSK, не произойдёт, поскольку пароль тоже хранится на точке.
Я ставил радиус-сервер на самодельном NAS. Проблем особо никаких, но посчитал уже слишком трудоёмким решением для домшней сети.
Использую OpenWRT на Archer C50 v1 с freeradius3 для WPA2 Enterprise с аутентификацией EAP-TLS. Работает отлично, проблему решает в корне.
с включенными функциями роуминга, а это большинство современных маршрутизаторов
эта уязвимость в большей степени затрагивает домашние/SOHO-устройства

Большинство современных точек — домашние. И не поддерживают роуминг вообще. Как и многие корпоративные точки его не умеют (Mikrotik, UniFi). А псевдо-роумингу эта уязвимость не страшна.

Кстати. Не надо использовать клик-бейт заголовки. Новой эта уязвимость была примерно год назад.
Не знаю, кто минусует, но по этой уязвимости отзывы на UniFi примерно такие:
«Nope. Tested it with a Ubiquiti AC-Lite access point (with fast roaming enabled): the EAPOL frames do not include vendor specific RSN data (with the PMKID in it).»
«Trying it out now against Ubiquity gear and it doesn't seem to work.»

Равно как и на форуме Микротика нет паники.
«This seems like it would only affect 802.1x / EAP setups.»

При этом принципиально не изменилось ничего — всё тот же брутфорс. Возможность взлома без клиента в сети не критична — в офисных сетях (где и ставят нужные точки доступа) клиенты есть практически всегда.
А брутфорс будет идти опять по всем вариантам пароля или все же по более ограниченному множеству?
Контрибьюторы hashcat рекомендуют использовать опции для более эффективного брута:

$ ./hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng

Note: While not required it is recommended to use options -E -I and -U with hcxpcaptool. We can use these files to feed hashcat. They typically produce good results.
-E retrieve possible passwords from WiFi-traffic (additional, this list will include ESSIDs)
-I retrieve identities from WiFi-traffic
-U retrieve usernames from WiFi-traffic

но в целом мало что изменилось, от брута пока никуда не уйти.
А где ссылка на. CVE, CWE, способы защиты? Правильный пентестер должен уметь правильно писать отчёт о найденных уязвимостях
Я правильно понимаю, что против атаки перебором длинный пароль остается достаточно надежным средством?
UFO just landed and posted this here
Смотря какое количество символов в пароле считать длинным. Да и словарик каждый себе генерит какой нужно для брута. А вот если разные символы и перемешка хорошая — тут можно просто словарь не сделать подходящий даже.

Год назад просто делал на ноуте с Кали-линукс в нескольких офисниках проверку на штатные пароли с брутом. 6-7 сетей из 10 были с очень простыми паролями. Да, в паре сетей этот пароль был еще и админовский на роутере. В общем мрак.
А ещё для брута есть замечательная штуковина gpuhash.me
Пользоваться так: заливаешь туда дамп, ждёшь, пока они скажут «взламывается»-«не взламывается», если взламывается — уже гоняешь сам дома на хороших словарях, если нет — не тратишь зря время.
Этот сервис не для проверки простых паролей, а для их подбора, и дальнейшей оплаты для получения подобранного ключа в случае успеха.

Если каждый начнёт гонять сервис вхолостую, владелец просто разорится.
И это прекрасно. Пусть разоряется. Ничего хорошего он всё равно не делает.

Как раз внизу задала вопросец по теме))) Сама суть действий не описана, исключительно итоговые данные, но вот если атака идет перебором — усбагоил))
Т.е. очевидно, что атака на видимые вендоры в зоне действия. Конечно, во многих утилитах можно определить и скрытые, но в таком случае надо знать еще SSID

Что-нибудь слышно на тему того, когда в aircrack-ng завезут?
UFO just landed and posted this here
Кому надо тот и так разберётся, вроде всё доступно. А писать инструкции для совсем нубов… Нечего скрипт-киддисов на пустом месте разводить.

А вопрос вот такого рода еще. Атака на рандомные вендоры или определенный? Что в случае скрытого SSID?
В принципе, на скринах мы видим мак-адреса, но вот вендоров в пределах видимости wi-fi сетей или в т.ч. и скрытых?

так ведь в мак-адресе вендор как-раз зашит… или я не понял вашу мысль?

Да не… Понял правильно! Это я тупанула.
В принципе, скрывая SSID, мы просто можем обезопасить себя от обычного среднестатического пользователя-нехорошего соседа))
Но все таки с обычного устройства видно лишь "другие сети". При нормальных утилитах, том же ssider маки видать, т.е. видно само устройство, независимо видно или нет точку доступа. Да и обойти это вполне возможно, опять же деаунтефикацией и "рукопожатием" видать все адреса. Но, пожалуй, как раз от рядового снифера вполне обезопасит. Если интересует конкретно твоя точка доступа)) Т.е. идет чудила со смартом и, в отличие от ПК, у него не видать даже "других сетей". Проверено на себе. Стандартный вифи анализер и ему подобные для смарта скрытых точек доступа тоже не видит. А чтоб такую сеть засветить, все-таки деаунтефикация нужна!
Можно еще ограничить широкополосный сигнал, тогда сигнал деаунтефикации до тебя просто не дойдет. Ответа не будет. Впрочем, это все шито белыми нитками. И, в принципе, это при обычной атаке.


Ок, думаем дальше.
Атакующий получил мои данные ведра. Далее ему нужно, чтоб, меня, как при роуминге с внутренней сетью ресиверов, с теми же данными, как на основном роутере, перебросило с моего ведра на так называемый "адаптер" и я этого не заметила, (псевдоадаптер или псевдоусилитель, т.е. в утилиту атакующего, на виртуальную точку доступа), после чего мои устройства будут видны (мак-адреса), которые тоже можно скрыть, чтоб их не было видно, или, как для провайдера, если выставлена трансляция нат, будет видно только мак ведра. Никогда не приставали вам с претензиями, что мол много устройств подключено, и вы, такой нехороший, продаете соседям их тырнет, как посредник? Срубая чужое бабло? а такие параноики бывают)) И вот тогда приходится много ваших домашних гаджетов спрятать. Но сааааамое главное! (посмотрела на своем зикселюшке), чтоб он работал по принципу, как роумингом, т.е. выбросил меня без деаунтефикации, нужно выставить соответствующие настройки, а значит, мало клонировать данные, которые видно даже в невинном легальном ссидре! Надо взломать пароль устройства и поменять его настройки! Как я вижу на скрнине, изначально при атаке утилита получает хеш-сумму пароля (или нечто похожее, пишут hex, суть та же). Соответственно, она должна его расшифровать. И делает она это тоже перебором и сверкой! (Как раз там я еще под комментом про перебор паролей откомментила, причем, зазря). Вывод? Чем сложнее и длиннее пароль — тем тяжелее это сделать.


Ну и третий вариант еще проще. За ненадобностью можно обновиться, просто сняв галки с компонентов прошивки, при которой роуминг возможен вообще, т.е. оставить лишь основной режим, не устанавливая "адаптер", "ресивер", "усилитель сигнала" (конечно, если они не нужны, но для стандартных квартир охвата одного среднестатичного роутера вполне хватает).

Еще забыла. В случае скрытого SSID нужна, как я сказала, деаунтефикация, хотя бы одна. А это не что иное, как Dos. Только разовый, не непрерывный. В этом случае хороша DNSя. В принципе, любой файер от любой компании, работающий по принципу фильтрации таких сигналов (безопасность). DNS есть сегодня в любой прошивке роутеров основных компаний-поставщиков, так же его можно вбить вручную там же, в настройках.

Не обижайтесь, но вот конкретно это дополнение — бессмысленный набор слов. DNS и аутентификация в беспроводной сети не связаны вообще никак. Они работают на разных уровнях модели OSI.

Вас, возможно, смутил термин DoS. Но DoS это всего лишь атака «отказ в обслуживании». Она никак не привязана к какому-то конкретному протоколу (DNS) или технологии (Wi-Fi) вообще.

Ну может быть, я что-то путаю)) Я просто подымала материал по теме, искала варианты. Я говорю о сигналах, забивающих эфир. По сути, я имела в виду, "подобно DoS". Т.е. чтоб ваше устройство не получило сигнал провайдера, произошла деаутентификация, нужно забить эфир, прервав сигнал провайдера к вам.
Касаемо дээнеси. Я имела в виду не аутентификацию в сети провайдера, а фильтр. Такие фильтры устанавливаются не на вашей оси, а на серверах компаний. В роутере они отображаются на домашней странице вместе с DNS вашего провайдера. Гдет я уже описывала и показывала действие с cmd. Даже прокладыванием пути сюда, на Хабр. Сигнал идет от провайдера к вам в устройство, но оно не принимает его, а сразу отправляет на сервак компании, DNS которой вы используете (Яндекс, скай, гугл, не важно), там он "просеивается" и возвращается к вам очищенный, поразительно, но у меня по отчету командной строки это занимает 1 микросекунду. То же самое и ответный сигнал. Он идет на сервак компании-"файрволла", а далее уже к провайдеру и в тырнет, куда вы адресуете.
При этом, у меня сам роутер еще и блокирует в домашней сети взрослые сайты (ребенок), вредоносы, фишинг и т.п. (когда отключен антивирь это видно, так приоритет отдается установленному ПО в компе).

Просто подумайте: деаутентификация нарушает связь клиента с точкой (смартфона с роутером, допустим). Там нет никакого DNS в принципе между ними. Тем более, какого-то яндексовского, гугловского и т.п. Эта точка доступа вообще может не иметь выхода в Интернет.

DNS с фильтрацией вредоносного контента — это замечательно, как и своевременно обновлять операционную систему, руки мыть перед едой, но всё это не имеет никакого отношения к защите от деаутентификации клиента и никак от неё не защищает.
Для примера: если я топором рубану кабель между вашим ПК и оборудованием провайдера, вам от этого поможет использование стороннего DNS-сервиса? Нет, не поможет. Именно потому, что это разные уровни: канальный и прикладной.

Деаутентификация клиента беспроводной сети это такое же «рубанули топором», только кабеля между беспроводным клиентом и точкой доступа (роутером) нет, а есть беспроводная связь, в которую можно, к сожалению, вклиниться и послать клиенту от имени точки команду разорвать подключение, поскольку соответствующие фреймы никак не защищены от подделки.

Эту проблему решает IEEE 802.11w, но требуется поддержка как со стороны точки доступа, так и клиентов.

Не там)) Вы отправляете сигнал и он изначально идет на сервак, потом ко мне.


Уф. Ладно… Даже на канальном уровне — это радиосигналы с определенной частотой. Сейчас смотрела принцип действия глушилок (причем, любых, от GSM до вифи, стационарных и карманных). Та же суть. Только эфир забивается пустыми сигналами с той же частотой. И кстати, бесполезно рубить канальный сигнал — любое современное устройство просто прыгнет на другой. В общем, не суть важно. В скринах представлен не определенный вендор, а ряд устройств. Т.е, допустим, ты проводишь атаку возле жилого многоквартирного дома. Какой-то один канал тебе не прокатит. Сами устройства автоматически располагаются на разных, чтоб не забивать друг друга.
Есть еще атаки 3-его и 4-го уровня на ПО (а прошивка роутера, это не что иное, как ПО, верно?). Но в теме выше этого нет.
А. Так о глушилках. Даже сигналы, определенной частоты в герцах, со скоростью ответа и обработки выше интернет-сигналов, маленькие портативные устройства способны испускать до 3-х часов. Но здесь ты заглушишь и себя в т.ч. это бессмысленно. без интернета виртуальный хотспот в утилите бесполезен.
Я о самой сути работы DNS-фильтров. Они не на устройстве. На устройстве только настройки. В общем, об этом лучше сами специалисты расскажут. У меня пока проблем нет. И есть люди, именно с этим работающие, разрабы и т.п. Специалисты.
Ну а вообще, если учесть мою "паранойю" в этом плане — даже при удачном снифе в моем случае натолкнутся на кучу паролей. Пароль от паролей и паролями погоняет)))
Были времена, когда я сама купилась на удачно подвернувшийся вовремя предложивший себя гостевой хотспот (виртуальный, естественно и ненадолго). Ну. как минимум, это один из перебранных мною вариантов. Эти времена давно прошли. Вот с тех пор многое пройдено, прочитано, выучено.


А вообще реально, самый эффективный вариант в э т о м случае — удаление компонентов, позволяющих роуминг. Но остается еще атака перехватом рукопожатия. Ну и в наших интересах эту атаку вместо рукопожатия сделать рукожопатием, верно? ;))
Если есть идеи лучше — делитесь, с удовольствием намотаю на ус) Я читаю в т.ч. и комменты, дельные советы и т.п. Кароче, учусь везде и на всем)

бесполезно рубить канальный сигнал — любое современное устройство просто прыгнет на другой
Так для того и рубим, чтобы устройство переподключилось. Тут мы ловим хендшейк (рукопожатие, от которого никуда не деться, иначе клиент не установит связь с точкой доступа), что даёт пищу для расшифровки. Успешной или нет — уже зависит от сложности пароля.

Кроме того, как только клиент попытается переподключиться, мы может снова послать пакет, который заставит его отключиться. И автоматизировать это. Допустим, поместить неподалёку одноплатный компьютер с аккумулятором, который будет наводнять эфир deauth-пакетами.

Ждём, когда примут WPA3. Этот стандарт вводит обязательную защиту от такого безобразия.

Ок! А когда занят диапазон каналов, например? 2-5, 2-6, 7-12 и т.п?


Эту проблему решает IEEE 802.11w, но требуется поддержка как со стороны точки доступа, так и клиентов.

IEEE 802.11w это стандарт вифи-соединения между ведром и устройствами домашней сети, разве нет?))) И он в любом роутере сейчас есть. И у меня именно он. На частоте 2,4ГГц

прийдется вас разочаровать:
для того, чтобы пройти сертификацию Wifi Alliance нужно поддерживать определенный список ammendment`ов (802.11[A-Za-z]), но:
  • не все из них обязательны
  • не все из них, что поддерживаются MAC/PHY будут использованы в клиентском устройстве

Вы решили сыпать терминами, думая, что я их не знаю?))) Основная часть производителей сертифицирована в альянсе, т.е. поддерживает данный список, в т.ч. и мой (в т.ч. это видно и в прошивке роутера).
Более того, сегодня в РФ линейные продажи несертифицированной в альянсе продукции/подобных устройств, запрещены. Установлен и разрешен определенный стандарт предоставления услуг и стандарт оборудования. Касательно корпоративного оборудования — законодательство еще строже и получить разрешение на использование не внесенной в реестр продукции еще попробуй))) Возможно, вы пишете откуда-то из-за границы, где более допустимы вольности и расхождения со стандартом. знаю, (наперекор тому, что выкладывают в рекламных целях), во многих даже развитых странах Европы интернет-стандарты за пределами столиц далеки от идеала. Как даже покрытие. Это связано с ценой. Отсюда и качество.


То, что используют в устройствах — в том числе видно в прошивке, можно так же прочитать в обзорах и т.п. В общем, меня это никак не пугает)))

Sign up to leave a comment.