SOHO router - deauth attack elleni védelem

 ( freeroute | 2018. szeptember 13., csütörtök - 21:01 )

Milyen routert ajánlotok otthoni felhasználásra wifi WPA/WPA2 deauth attack ellen?
Hálózaton (szülőknél, társasház) jellemzően 1-3 laptop, 2-6 smartphone/tablet van csatlakozva.
Sokszor megszakad a kapcsolat, jellemzően este.
Hétvégén fogom ellenőrizni, hogy valóban ez a gond.

De a lényeg, nagyon drága egy ilyen eszköz?

Köszönöm előre is.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Deauth ellen emlekeim szerint nem tudsz vedekezni. Fucked up by design. Talan ha rejted az ssid-t es megvaltoztatod vmi nem ismertre, konnyithet kicsit. De ez a WiFi protocol resze. Mint sok minden mas is, nem a szivatasra lett kitalalva, de erre hasznaljak manapsag.

Management Frame Protection.
Már csak erre képes relatíve olcsó routert kellene találnom.

Azt érdemes figyelembe venni, hogy 2 oldalú támogatás szükséges hozzá (802.11w):

> However, this depends on the driver of the device itself and it looks like OnePlus devices does not support this protocol. This is a quite common issue where it affects Google Pixel devices as well. But some OEMs like Samsung & Xiaomi provide support for this protocol in their devices.

- forrás

Jo tudni.

Akkor ez nem fog működni. Kliensek nem támogatják sajnos.
Mindegy, egy plussz védelem jól jött volna azért.
Köszönöm a megjegyzésedet.

WPA3 certificated routerek már védenek ez ellen, nem?
Ezt meg tudja valaki erősíteni?

TX power szükséges mértékig való csökkentését ajánlotta egy ismerősöm WPA/WPA2 eszközök esetében.

Igen, elvileg véd, de még nincs WPA3 router/kompatibilis eszköz.

de már vannak ígéretek, hogy mely chipsetesek kapják meg az upgrade-et, ld https://hup.hu/node/159919#comment-2244616

"Sokszor megszakad a kapcsolat, jellemzően este.
Hétvégén fogom ellenőrizni, hogy valóban ez a gond."

Hát nekem ilyenkor a :
1. router döglődik
2. router tápja döglődik
3. modem döglődik
4. modem tápja döglődik
5. vonal/ISP szar
sorrendben jönnek az ötleteim, a deauth attack meg általában fel se merül.

Neked ez hogy akadt be első helyre?

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Én előbb nézem a tápokat :)

+1 >90% tap hiba

Vagy valami jókora rádióadás a wifi csatorna közelében.

Jártam már úgy, hogy jellemzően este megállt a forgalmam, le is szakadt olykor.
Aztán eszembe jutott beleszkennelni a 2,4Ghz-ba, szép, kövér 40Mhz-ket találtam (ugye, a 13 csatorna összesen 65Mhz széles), UPC kezdetű neveken, az egyik a vehemenciája alapján közvetlenül a fal túloldalán lehetett.
Persze, a routerem jól elrejtettem a sarokban, nem volt kedvem kerülgetni vezetékeket, így, mivel nincsen 5Ghz-m, kerestem egy viszonylag használható 20Mhz-es tartományt, nem a szokásos 1,6,11 csatornák közül :D
Aztán még lehet más is 2,4Ghz-en, az már eszközigényesebb a spektrumanalizálással.

Mikro. ;) Csereljen mikrot.

+1, nálunk a Miracastba bezavar, de másik topikban súlyosabb zavarokat is irtak

OK. Köszönöm.
Ez egy TP-LINK TL-WR741N / TL-WR741ND típusú router (b/g/n). Szerintem ez az olcsóbb kategóriába tartozik.
Nekem sose volt ilyen, nálam Mikrotik, előtte meg Linksys WRT-54GL volt. Ezekkel semmi problémám.
IS: DIGI. Nem volt vele gondom eddig.

Edit: Channel: Auto van beállítva. Áttegyem manualra?

Ha auto-n van, akkor a csatornak terhelesetol fuggoen neha csatornat cserel, ekkor meg szokott szakadni a kapcsolat. Szakadas utan a legtobb eszkoz nem fog ezutan ujra visszacsatlakozni, mert megvaltoztak a halozat parameterei is, ezert ilyen esetben legtobbszor manualisan kell visszacsatlakozni a halozatra.

---
Apple iMac 27"
áéíóöőúüű

Köszönöm, ezt nem tudtam. Átállítom manual 11-es csatornára.

Esteleg http://www.wifianalyzer.info, ha érdekel, mire is állítod.
A beállításnál ne feledkezz el arról, hogy a csatornák átfedésben vannak, mivel a frekvenciasáv 4 csatorna széles (vagy 2*4, ööszevonva a szomszédossal a 72Mhz-nél gyorsabb átvitelhez), de ezt mutatja a program is, ha nagyon rossz a helyzet, 2 között, félúton még tud stabil lenni.

De, újra fognak csatlakozni. Miért mire várnának? Reboot? Én is váltottam már néhányszor csatornát, és változatos eszközeim vannak (laptopok Linux és Windows, telefon (android és ios), ps3/ps4, chromecast, nyomtató), és visszamásztak. A csatornabeállítás nem tartozik a kliens oldali paraméterek közé, az egy adott érték amit a kliens vakon követ.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Nekem nincs olyan eszkozom a lakasban, ami leeses utan visszamegy, ha masik csatornara kerult kozben a halozat. Ha ugy tortenik a valtas, hogy nincs jelen, amikor a csatorna megvaltozik, akkor felcsatlakozik automatikusan ha meglatja, de ha csak ugy atallitom a csatornat, szakadas utan nekem semmi nem megy vissza, csak explicite kattintas utan (ellenoriztem 10.5/ppc macos, 10.8/intel macos, 10.13/intel macos, Palm/HP webOS, iOS4, iOS7, iOS12).

---
Apple iMac 27"
áéíóöőúüű

A te környezeted kevésbé heterogén akkor, mert van egy webOS -od, a többi meg alma. Ezek szerint arrafelé bugos a téma.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Ezt en XP (es regebbi) Win, + iAkarmi eseten tapasztaltam. Ujabb es nem almas eszkozok siman tudnak valtani, en ugy tapasztaltam/tapasztalom.

Az a router nem csak az olcsobb kategoriaba tartozik, hanem egy selejt. Ha meglatom ugyfelnel azzal kezdem, hogy dobjak ki es utana csinalom tovabb a halozatot.

Gondoltam. Amúgy ezt a szolgáltató adta a szolgáltatással.

A TPLink nettó szemetet gyárt az olcsó kategóriában, ezt alá tudom támasztani.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Én egy szakadozó wifis 841n-re cseréltem a wrt54gl-t, nem bántam meg mert nekem OpenWrt-vel tökéletes és gyorsabb is, mint a Linksys volt. Ez volt 5 éve, és még mindig müxik nálam.

841 pedig nem arról híres, hogy jó lenne, hanem arról hogy elérhető helyen kell lennie mindig az újraindításhoz (bár kukában jobban mutat). De mondjuk OpenWrt-vel nem próbáltam.

Itt néhányan nagyon negatívak vagytok. A 841-es baja az, hogy mind a flash, mind pedig a RAM nagyon kevés benne. Ettől eltekintve beton stabil OpenWrt/LEDE-vel. Persze, ha olyan az alkalmazás, ami felzabálja az aligmemóriát, akkor baj van. Ha jól emlékszem, 4 MB flash, s 16 MB RAM van benne.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az enyémben 32 MB RAM van, flash az 4, de a Linksys-nek is pont annyi volt.
Fáj néha, hogy plusz funkciók nem férnek el a flash-ben, de ez az alaprendszer meg bőven elvan a 32 MByte RAM-mal.

PS: cégnél is használtam 841N-et, OpenWRT-vel jól elvolt, igaz pár havonta megfeküdt, de ha beütemeztem egy hajnali reboot-ot, akkor sosem kellett pituszkálni. Egy Zyxel céges AP-t váltott, és ég és föld volt a különbség, a 841N javára, igaz főleg az N támogatás miatt, br 5000 Ft-ért meg ugye szinte ingyen volt.

841N v8 -am egyik napról a másikra felfordult és többé nem kapcsolt be. 841N v12-m meg 5 bekapcsolásból egyszer csak féligmeddig indult el, wifi meg ethernet asszem volt, web ui nem. Volt rajtuk openwrt is, meg gyári is, de azt hiszem nincs már hivatalos openwrt build mert nem fér el rajta rendesen. Én elengedtem egy életre a 10 ezer forintnál olcsóbb tplink (vagy bármi egyéb) témát, mert egyszerűen ez a piac nem arról szól hogy valami megbízhatóan működjön. Persze ellenpélda biztos akad.

Inkább vettem egy öreg 1043nd v1-et 5 ezerért, ráadásul úgy hogy nagyobb antennát raktak rá, "sok" flash tárhely van rajta, a latest openwrt gyönyörűen támogatja, és ha nem használod túl (NAS-nak kicsit túlzás lenne), akkor remekül használható ma is.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Ezt a remekül használhatót azért körbeírhatnád, mert nálam gyakorlatilag nincs opkg update se, mert a Packages.gz-ker nem tudja letölteni, "vfork: Out of memory" hibával.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nem tudom mit mondjak, latest stable openwrt van rajta, ami csomagtelepítéssel járt az működött, de nem ma raktam össze hanem hónapokkal ezelőtt. Csomagok az OpenVPN és a Dynamic DNS web felületi beállítása miatt kerültek fel, más nemigen.

[gyuszi@gyuszidev ~]$ ssh router


BusyBox v1.28.3 () built-in shell (ash)

_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
OpenWrt 18.06.0, r7188-b0b5c64c22
-----------------------------------------------------
root@OpenWrt:~# opkg update
Downloading http://downloads.openwrt.org/releases/18.06.0/targets/ar71xx/generic/packages/Packages.gz
Updated list of available packages in /var/opkg-lists/openwrt_core

blabla

Signature check passed.
root@OpenWrt:~#

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Nálam 18.06.1-es van LuCi-val. Eléggé sajátosan (nem) működik: most letiltottam a lucit, így már le tud futni az opkg update, de a upgrade változatlanul ebbe-abba belehal. Annyira nem örülök.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Tedd fel a korábbi stabilt (talán 18.06), nekem az van fent.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Miért nem csomagolod saját image-be, ami kell? A PC-den a néhány GB RAM elég lesz az image előállításához. ;)


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem hangzik jól, hogy a jól bevált opkg update && opkg upgrade .... helyett rendszeresen új FW-image-t gyártsak ...

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Az mennyivel jobb, hogy falod fel a helyet az overlayfs-en?


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nagyon nyilván ez se jó :-( Még 3 MB szabad a 4-ből :-)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Én azért tolom az image-be, mert ha jön új kernel, akkor kell új image - legalább is én igénylem -, akkor viszont kezdhetném elölről a telepítéseket. Így viszont eleve beleteszem, s még helyet sem foglal úgy, mint ami változás a squashfs-hez képest.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem kell kézi machinálás, mert mennie kéne, valami gebasz van ott.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Tudnál egy df -k kimenetet posztolni? (Ja, meg egy free -t.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Volt regen valami bug (egy csomo build ugy ment ki), hogy a vm.min_free_kbytes az 4096 vagy valami hasonloan magasabb mennyiseg. Ezt alacsonyabbra allitva kb 0-ra vagy 512-re vagy 1024-re, megjavult az opkg (regen = nem tudom, nem emlekszem mar, de nekem is volt hasonlo problemam).

---
Apple iMac 27"
áéíóöőúüű

Hm, ez érdekes. 1024-re volt állítva. Jelenleg 128-ra raktam, ami szerintem elég durván kicsi, az előbb 0-val már legalább 3 csomagot meg tudtam frissíteni. (De most enyhén megállt az élet. Lassan időszerű egy jó kis reboot :-( )

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Hát vm.min_free_kbytes=128 -cal 3 reboot-ból legalább megfrissíteni már sikerült :-(

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

root@OpenWrt:~# df -k
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/root 2560 2560 0 100% /rom
tmpfs 13916 1300 12616 9% /tmp
/dev/mtdblock3 4288 2120 2168 49% /overlay
overlayfs:/overlay 4288 2120 2168 49% /
tmpfs 512 0 512 0% /dev
root@OpenWrt:~# free
total used free shared buffers cached
Mem: 27832 22112 5720 1300 1284 4520
-/+ buffers/cache: 16308 11524
Swap: 0 0 0
root@OpenWrt:~#

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Köszi. Ez nem segített, mert még rosszabbul is állsz, mint én :-)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Én a 1043-astól felfele merek otthagyni TP-Link eszközöket valahol. Mondjuk az EAP-okra sincsen panasz. Ha "meghalnak", akkor is általában egy tápcsere megoldja a dolgot.

1043nd v1 taphalal mar volt nalam is, mas gondom nem volt veluk.

Szerintem meg az olcsok kozul az a kategoria, amit mar megeri megvenni, arerzekeny helyre, normal felhasznalashoz teljesen jo cuccokat gyartanak. Switch, router, AP, PowerLine szegmensben biztosan.

ez már rég end of life eszköz (V5 belőle a legutolsó, arra is vmi 2015 novemberi a legutolsó firmware), valószínűleg hemzseg a kijavítatlan security bugoktól

https://www.tp-link.com/hu/download/TL-WR741ND.html#Firmware
--

Openwrt/LEDE még van rá.
Az is igaz, hogy az már akkorára hízott, hogy a 4MB flash mellett örülhetsz, hogy mentheted a beállításaidat, az alaprendszer mellett csak annyi marad.

úgy olvastam azon már a web gui is luxus egy ilyen eszköznek. CLI-ből meg konfigurálja akinek 3 anyja van :-)
--

OpenWRT 18.06.1 már csak a "tiny" mappában kapott helyet. Tényleg szűkös, elővettem egy TL-WR741ND v4 típust a "múzeumból".
Egyéb csomag feltelepítése esélytelen, de az alap IPv4, IPv6 routingra webes menedzsmenttel még működőképes.

Filesystem                Size      Used Available Use% Mounted on
/dev/root                 2.3M      2.3M         0 100% /rom
tmpfs                    13.6M     68.0K     13.5M   0% /tmp
/dev/mtdblock3          320.0K    240.0K     80.0K  75% /overlay
overlayfs:/overlay      320.0K    240.0K     80.0K  75% /
tmpfs                   512.0K         0    512.0K   0% /dev

Amelyik fs-re pakolja a konfigját (nem tudom értelmezni ezt a listát az overlay fs-ekkel..), ott mennyi a szabad hely? Ilyen paszentos "100% used"-nál már lehet h. a sector szintű "df" kimenete hasznosabb. 100kb azért maradhatna szabadon ideiglenes műveletekhez.
--

80 kB van szabadon. Az, hogy hova teszi a konfigját, nem is olyan egyszerű kérdés.

Van egy image, ez erősen tömörített squashfs, ha jól emlékszem, viszont read-only. Erre húznak egy overlayfs-t, ahol az tárolódik, ami változott a read-only squashfs tartalmához képest.

Tehát, ha magadnak csinálod az image-et, s default konfigként már a squashfs-be rakod a beállításaidat, akkor a konfig nem foglal külön helyet, csak ha módosítasz valamit.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

mennyi az összes konfigfájl mérete mostani openwrt-ben?
--

# du -sh /etc/config/
12.0K /etc/config/

Tuti bele fogsz férni a módosított konfigokkal az overlayfs-be, ettől ne félj.

Na akkor jövő héten szétcseszem a működő wifit :-)
--

Nálam 15 kB, de ha a teljes /etc-t nézem, akkor 536 kB.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Hát nekem ilyenkor a :

0. 2.4GHz-et használok, és a csillió környező adó zavarja a forgalmazást

Mac cím szűrés?

(feliratkozás)

Szerintem inkább a 2.4GHz van tele. Főleg, ha esténként jelentkezik, amikor mindenki nekiáll laptopon/telefonon/tévén internetezni, persze mindezt wireless.

Tegyél fel egy WiFi Analyser programot a telefonodra, és nézd meg egyik este, hogy mi zajlik az éterben.

Tapasztalatom szerint most már boldog-boldogtalannak van AP-je, és frekventáltabb helyeken, pl. egy társasházban simán elérhető egyszerre több tucat AP is, és ezek mind azon a 13 sávon osztoznak, ami a 2.4GHz-en nálnunk elérhető.

Ha ez az eset áll fenn a szüleidnél, akkor nézz utána, hogy 5GHz-re át tudnak-e állni, illetve minél több eszközt kössetek kábelre.