wpa2 törés???

mit látok a router syslogban délután?
reggel nyolckor egy tök ismeretlen MAC cimről wlan0 jópárszor:
xyxyxyxyxy authenticated.
xyxyxyxyxy associated.
blablabla.

nem olloznám be ide a logot feleslegesen, lényeg az, hogy nagyon úgy nézett ki, mintha tényleg bejött volna valaki.
nem akarom elhinni hogy ebben a lépcsőházban él valaki, aki meg tudta volna csinálni, mert egyébként meg olyan pici a teljesítménye, hogy a szomszédból még talán, de kettővel arrébb már biztosan nem is látszik...
persze akkor már nem volt amikor észrevettem, úgyhogy jobbhiján még holnap délig figyeli egy script, hogy van-e ilyen mac-cimhez ip rendelve, aztán ha van megpróbál valami infót gyűjeni róla, ha addig talál akkor jó, délben meg adok neki egy új kilóméteres jelszót...

( cheoppy | 2009. 10. 16., p – 00:07 )

mennyire erős jelszó volt és pontosan milyen titkosítással?

ki5ubicko1t-boere9erek-ej52akai-tamada5a

ez még csak 40 karakter.

én direkt tartok e célra DL-524-est (nem dobtam ki)

63 hosszú jelszóval wpa2-psk aes,
"Motherfucker itt-a-legutóbbi-próbálkozó-macadresse" hálózat névvel
és csak az adapter van bedugva.

Felbosszanthattam, mert ezen próbálkozik.

De a mac szűrés is bé van kapcsolva.

A másik routeren nem próbálkozik, ezért lehet, hogy embrió és nem valami démonizált script.

( log69 | 2009. 10. 16., p – 04:59 )

mac szűrés be volt kapcsolva? (habár a wpa2-ből meg 20 kar jelszóból gondolom csak bekapcsoltad) :)

( gbor | 2009. 10. 16., p – 07:31 )

ha csak nem a füleden ültél, nemrég attól zajongott az egész világ, hogy gyorsan törhető a

"wpa2-psk tkip encryption olyan 20 karakter körüli jelszóval."

WPA2 AES, 60 karakteres jelszóval, amit időnként megváltoztatsz+ mac szűrés + hide SSID + ha ügyes vagy csinálj inkább radius servert WPA2 enterprise-al, de TKIP-t hagyd a fenébe.

+1 a WPA2 AES-re, meg a RADIUS-ra.

Bár szerintem az SSID hiding meg a MAC-szűrés nem jó semmire, csak önmagad szivatása.
Ha valaki törni akar, feltételezem, hogy ismeri a kismet programot (hogyne ismerné, hehehe), egyből láthatja a rejtett SSID-ket.
Viszont te ha egy új eszközt akarsz a hálózathoz adni, akkor csak szívsz, pláne ha több hálózat van a környéken (melyik is az enyém? ez? ja nem, a másik rejtett.. stb.stb.), vagy ha több ap-d van, és a mobil eszközök roamingol(ná)nak.
MAC-szűrés is kb. annyit ér, mint az SSID rejtés.

Amúgy lehet még azt csinálni, hogy egy tök nyílt wifi-hálózatot használunk, ami nem ér el semmit, mindössze egy darab szerver openvpn portjára tudnak menni róla udp csomagok (oda-vissza).
A kliensek meg openvpn-nel (vagy tetszőleges vpn megoldással) csatlakoznak a szerverre, SSL titkosítással, 4096 bites RSA kulccsal/13124242 karakteres jelszóval ízlés szerint.

Oké, de ha sniffeli trudy a hálót, akkor látja úgyis, hogy melyik IP-hez melyik MAC tartozik.
Aztán leklónozza azt a MAC-et. Innentől ugyan az van, hogy az AP beengedi, a DHCP szervered pedig kiosztja neki a MAC-hoz tartozó címet.

Erre mondom, hogy wifi hálózat esetén, biztonsági szempontból nem sokat ér az SSID hiding meg a mac filtering.
Csak önmagát szivatja az ember.
Jó erps WPA2-AES jelszó, méginkább RADIUS, aztán lehet fokozni, hogy a wifi hálóról csak valamilyen vpn-nel lehet elérni a LAN-t.

1) fel fog tunni az ip-collision, 2) nem azert mondtam, mert a mac filtering olyan hude nagy vedelem - onmagaban semmi esetre sem az -, hanem hogy erdemes lehet felhasznalni a vedelmi rendszerben, mert van egy ilyen plusz lehetoseg benne.

Ugyanakkor nem szabad a masik vegletbe sem esni. Jo-jo a RADIUS, de vajon mennyire eri meg a szopas, amig beallitod? Foleg, hogy azert a WPA2 toresehez kell nemi jartassag, es nem jarkalnak az utcan tomegevel olyan emberek, akik ismernek ezt a metodust.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Én csak azt mondom, hogy szerintem a mac szűréssel emg ssid hidinggel önmagát szivatja csak az ember.
De persze plusz védelem, így aki tutira akar menni, az használja csak bátrea, mindössze én szerintem semennyit sem ér, ip collisison sem biztos, hogy feltűnik, ha mondjuk egy ideig figyel a támadó, és mindig avval a mac-kel lép be, ami épp nincs a hálón.

Nálunk az irodában van 4-5 wireless gép, emiatt teljesen értelmetlennek tartottam RADIUS felállítását, pláne, hogy még soha sem csináltam, és nem volt kedvem/időm napokig olvasgatni, próbálgatni, ezért let egy 63 karakter hosszú, WPA2-AES, SDkfé *:34,f !%+ef erEWRá...stb.stb. típusú jelszó, ami minden gépen be lett állítva, aztán csá.

Ha valaki be is törne, akkor is max. internetezni tudna, van még pár védelmi vonal, mire fontos adatot elérne, s addigra kellene szereznie még pár jelszót, jogosultságot, ami már azért valahol valamilyen formában biztosan feltűnne.
Meg aztán annyira hűde nagy titkunk nincs is, csak üzleti adatok, de azokkal még a versenytársaknak is el szoktam dicsekedni, úgyhogy mégcsak nem is igazán titkosak. :)

( Vladi | 2009. 10. 16., p – 08:11 )

Szerintem nem biztos, hogy szomszéd csinálta, lehet csak az ő gépét használta valaki, vagy valami. :S

Esetleg vesd fel a lakógyűlésen. :)

>>: sys-admin.hu :<<

mac szűrés is van, plusz egyáltalán nem vagyok benne biztos hogy tényleg bejutott, majd kipróbálom a router milyen logot ad a router ha valaki nem tud bejönni.
Ezért nem is figyeltem oda eddig különösebben, mert csupa bölcsész/nyugdíjas/techniakianalfabéta lakik körülöttem, nem hittem volna hogy bárkinek is sikerülhet.
Mindenesetre akár bejött, akár nem, jelszócsere 60+ karakterre :)

----------------
mepis8-x86_64

Jelszócsere hasznos lehet. De azért kemény, hogy még mindig ennyire megbízhatatlan a vezeték nélküli technológia. Én még jó ideig nem akarom használni. :(

Nagyon sokáig nem érdemes nyomozgatni, max addig míg rá nem jössz, hol a rés a rendszeredben.

>>: sys-admin.hu :<<

( miqlas | 2009. 10. 16., p – 16:32 )

"reggel nyolckor egy tök ismeretlen MAC cimről wlan0 jópárszor"

Jó, az akkor nem én voltam. A próbálkozó MAC címét nem mondod meg?

"The way to find what the mainstream will do tomorrow is to associate with the lunatic fringe today." -- 1995, Jean-Louis Gassée
/ http://haiku-os.org /

sziasztok, ez itt lehet hogy off, de kene egy kis segitseg:
sem ubin, sem debianon nem tudtam megoldani, hogy SSID BROADCAST OFF -os WPA2 personal titkositást használó hálózatokhoz csatlakozni tudjak.
tuti valami apróság lehet a gond!

/etc/network/interfaces:

auto wlan0
iface wlan0 inet static
address 192.168.1.101
netmask 255.255.255.0
gateway 192.168.1.1
pre-up killall -9 wpa_supplicant ;iwconfig wlan0 rate auto; wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant.conf
post-down killall -q wpa_supplicant

/etc/wpa_supplicant.conf:

network={
ssid="netzwerk_neve"
proto=WPA
scan_ssid=1
key_mgmt=WPA-PSK
psk="wpaqlcs"
pairwise=TKIP
group=TKIP
priority=1
}

a fenti config tokeletesen mukodik ha bekapcsolom az SSID broadcastot. nem vagyok egérmérnök, ezt igy , configok hegesztésével szeretném megoldani. nincs networkmanager, nincs semmi csicsamicsa!

scan_ssid=0 -val is probaltam.. now way.

any help appreciated!

--
{ Nem is kernel az, ami nem fut el egy quartz órán }

:)
Nem akarok elhamarkodottan summás választ adni, de azt hiszem broadcom vagy melyik wifi driver nem támogatja a hidden ssid-hez való kapcsolódást. Szóval nem broadcom kártyád van véletlenül?

----------------
..túl feledékeny vagyok ahhoz, hogy igazán jó legyek linuxból...

a notimban intel van, azzal se megy.
legalabb egy tucat halokartyaval probaltam mar, -es nem egyformakkal- :)
a routerben, na abban broadcom chipsetes wifi van. de remelem az nem gond.

ablax alol meg megy rendesen hiddenre is... csak pingvin alol nem.
lassan megunom a hegesztest es rakok ablaxot...

--
{ Nem is kernel az, ami nem fut el egy quartz órán }

bocs, kicsit off leszek, de ide kell írnom, hogy én sose értettem hogy hardverrel kapcsolatban miért kell állandóan hegeszteni linux-on. stabil os kiadások által támogatott hardvereket kell venni és kész :D

ui.: lehet velem van a baj, de amióta linux-ot használok desktop-nak, megszűntek a szoftveres gondjaim - ha hegesztek inkább unalom űzésből :)

(azt elismerem, hogy vannak olyan megoldandó dolgok akár egy desktop rendszer beállításához, amihez r0 user ismeret nem elég)

nezd, normalis laptopokat veszunk/kapunk (a cegtol) intel, bcm, es egyeb hardverekkel.en nem azt mondtam, hogy megoldani 1-1 problemat nem egy kifejezetten jo dolog, csak azt, hogy amikor a szopas mar a mindennapi munka rovasara megy, -raadasul a cegek nagyreszenel SAJNOS az ablax alapu rendszerek a nyerok- az mar szopas.
nekem van egy ubis laptopom, rajta virtualboxban egy windows, de sajnos MINDENT a virtualis gepemen kell csinalnom, mert a toolok zome windowsos.
valaki egyszer azt mondta, es szerintem igaza volt: mindegy az OS, a szopas konstans.

szoval baratom, ne haragudj, nem ertek veled egyet. allati jo a linux, csak jelenleg meg nem keszult fel ra rendesen a Vilag.

szerintem a temat itt zarjuk le, ez egy szakmai topic, amit en nem akarok ilyennel felhigitani.

--

{ Nem is kernel az, ami nem fut el egy quartz órán }

A smileyt oda kellett volna am gondolni... :-)
Egyebkent megertelek. Nekem is egyre jobban tetszik a Mac OS, bar meg mindig ugy gondolom, hogy egy gepet venni egy oprendszer ala merhetetlen okorseg.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

igen, a Mac mukodik. viszont onnnatol hogy mar nem a jo oreg motorola procik vannak a Mac-ekben, az a piac is elvesziti a presztizset elobb utobb... nehez is lesz megorizni az Mac OS-t annyira jonak es konnyen kezelhetonek mint amilyen most.... de majd kiderul.

amugy 6 oranyi gugli utan megoldottam a wpa2 meg hidden ssid -es problemamat.
megy ...
grrr..

--
{ Nem is kernel az, ami nem fut el egy quartz órán }