Jak zatrzymać hakowanie sieci WPA2-Enterprise


1

Nasza prywatna sieć składa się z routera Netgear flashowanego DD-WRT, serwera QNAP, głupiego 8-portowego przełącznika oraz szeregu laptopów, komputerów stacjonarnych i 2 urządzeń mobilnych WiFi.

Jakiś czas temu nasze WiFi zostało zhakowane przez ludzi, którzy nie mają nic lepszego do roboty. Podejrzewamy, że sąsiedzi z sąsiedztwa, którzy pracują w branży IT, ale nic nie mogą udowodnić - przynajmniej z prawnego punktu widzenia. Nie jestem pewien, czy to by pomogło.

W tym czasie nasza sieć była zabezpieczona WPA2-AES i filtrowaniem adresów MAC. Nawet po zastosowaniu tych środków bezpieczeństwa nadal uzyskiwali dostęp poprzez fałszowanie swoich adresów MAC i łamanie haseł, które zawsze mają maksymalną długość i zawierają zalecane przez przemysł bezpieczeństwa specjalne znaki / symbole, różne litery i cyfry.

Ci ludzie są jak cyber-duchy! Mówię to, ponieważ nigdy nie mogliśmy zidentyfikować ich połączeń na podstawie dzienników routera lub interfejsu GUI. Próbowaliśmy korzystać z Angipip, WhosonmyWifi, a także innych narzędzi, ale nic nie działało. Spędziliśmy niezliczone godziny na telefonie z naszym dostawcą usług internetowych, zmieniliśmy adres IP, uruchamiając tracert dla tras ruchu i tak dalej. Mimo tych starań w rzeczywistości nasze komputery z systemem Windows 10 zidentyfikowały je w naszej sieci. Udało nam się uzyskać zrzuty ekranu z ich urządzeń ze szczegółami producenta.

Tak czy inaczej, trwało to przez jakiś czas i po około 6 miesiącach grania z nimi w kotka i myszkę, zresetowałem fabrycznie wszystkie urządzenia w naszej sieci i postanowiłem wypróbować WPA2-Enterprise z AES, korzystając z wbudowanej funkcji RADIUS na naszym serwerze QNAP . Ponadto wyłączyłem również radiotelefony 5 GHz i obniżyłem moc nadawania w radiu 2,4 GHz do 30 (chociaż jestem pewien, że mogą zwiększyć siłę własnego radia, aby temu zaradzić). Ustawiłem kluczową częstotliwość odświeżania na 1800, a także ograniczyłem maksymalną liczbę powiązanych klientów w radiu 2,4 GHz tylko do 2 urządzeń.

Mimo naszych starań wciąż włamują się do naszej sieci, a nasze urządzenia mobilne często nie są w stanie się połączyć lub odbijają się od sieci.

Próbowaliśmy wszystkiego, co możliwe, i całkowicie wyłączaliśmy nasze Wi-Fi, nie wiemy, co robić, dlatego szukamy porady zewnętrznej na temat tego, co powinniśmy zrobić najlepiej. Chociaż chcielibyśmy je złapać i ujawnić, wolimy powstrzymać ich przed zrobieniem tego całkowicie przy użyciu sprzętu i oprogramowania, które już mamy.

Korzystając z odpowiednich kanałów, chętnie udostępniam wszystko, aby pomóc każdemu, kto chciałby mi pomóc w rozwiązaniu tego problemu.

Proszę pomóż.


1
Dlaczego wszystkie komplikacje w sieci domowej (ddrt, EPA Enterprise, radius)? WPA2 Personal z AES i silnym kluczem sieciowym wystarcza, aby utrzymać sąsiadów na dystans. Przy wszystkich niepotrzebnych komplikacjach związanych z technologią „korporacyjną” stosowaną w domu, nic dziwnego, że ktoś znalazł dziurę. Bez obrazy, ale czy jesteś administratorem IT z bezpieczeństwem Wi-Fi i doświadczeniem serwera radius? Każdy podstawowy nowoczesny router domowy jest obecnie w większości bezpieczny od razu po wyjęciu z pudełka.
Appleoddity,

Co sprawia, że ​​myślisz, że te urządzenia nie były Twoimi urządzeniami? Opublikuj zrzuty ekranu. Wyczyść ostatnią połowę każdego adresu MAC, ale pozostaw pierwszą widoczną.
Spiff

1
@Appleoddity Nie wolno śledzić aktualności dotyczących bezpieczeństwa. Większość bram domowych jest śmiesznie niepewna po wyjęciu z pudełka. Vulny znajdują się cały czas i rzadko się łatają.
Spiff

Moja sieć wcale nie jest skomplikowana, jeśli weźmiesz pod uwagę mój opis. Jedyną komplikacją jest to, że dodałem serwer RADIUS do uwierzytelniania WiFi i tylko z powodu włamania. Oprócz stosowania zalecanych ustawień zabezpieczeń w DD-WRT (wyłącza zdalny dostęp, wyłącza SSH, wyłącza UPnP itp., Wszystko jest fabrycznie standardowe. Mam tylko jedną regułę zastosowaną do mojej zapory ogniowej, która polega na utrzymywaniu statycznego połączenia VPN. Nic więcej zostało zrobione z zaporą routera
tamosa

Odpowiedzi:


1

Mimo naszych starań wciąż włamują się do naszej sieci, a nasze urządzenia mobilne często nie są w stanie się połączyć lub odbijają się od sieci.

ataki deauth, które blokują podłączanie urządzeń do Wi-Fi, są łatwe i tanie: https://github.com/spacehuhn/esp8266_deauther

Spróbuj użyć 802.11w w sieci Wi-Fi, przynajmniej deauth ataki są blokowane.

Inne ataki powodziowe (nie dostają się do sieci, ale czynią ją bezużytecznymi dla legalnych klientów Wi-Fi) są nadal możliwe.


1

Microsoft popełnił błąd w systemie Windows 7/8/10, używając tego samego okna sieci, aby nie tylko pokazać, co naprawdę jest w sieci, ale także pobliskie urządzenia bezprzewodowe, z którymi można nawiązać bezprzewodowe połączenia peer-to-peer. Widzisz więc telefony sąsiadów, ponieważ znajdujesz się w ich zasięgu Wi-Fi, ale nie ma ich w sieci. Prawdopodobnie mogą po prostu korzystać z Wi-Fi Direct lub Wi-Fi Protected Setup lub powiązanych technologii Wireless Simple Config (WSC) lub Windows Connect Now (WCN).

Chcesz dowód? Całkowicie wyłącz radiotelefony Wi-Fi i Bluetooth na komputerze z systemem Windows i podłącz je do sieci przez Ethernet. Uruchom go ponownie, aby wyczyścić pamięć podręczną i upewnij się, że Wi-Fi i Bluetooth są nadal wyłączone. Gdy Wi-Fi i Bluetooth są wyłączone, komputer nie będzie mógł bezprzewodowo skanować w poszukiwaniu potencjalnych urządzeń równorzędnych w zasięgu i będzie mógł skanować domową sieć LAN tylko w poszukiwaniu urządzeń, które są naprawdę w sieci. Założę się, że te telefony się teraz nie wyświetlają.


Edytowano, aby dodać: Musisz także wyłączyć WPS (Wi-Fi Protected Setup) na wszystkich swoich punktach dostępowych i / lub wyłączyć usługę WCN (Windows Connect Now), WCNCSVC, w systemie Windows. WPS i WCN pozwalają AP znaleźć urządzenia WPS-zdolny, takich jak smartfony w zasięgu radiowym, który może chcesz umieścić na sieci, i przekazywać informacje na temat tych urządzeń na komputerach z systemem Windows, który może uczestniczyć od strony administratora WCN / WPS, aby pomóc przenieś te urządzenia bezprzewodowe do sieci. Dzięki tym technologiom nawet komputery z dostępem tylko do przewodowych urządzeń mogą widzieć nieznane telefony w pobliżu w oknie „Sieć” systemu Windows.

Zobacz także: Windows 10: Telefony pojawiające się w sieci


Nigdy nie zostałeś zhakowany, po prostu wprowadzono Cię w błąd z powodu strasznych wyborów interfejsu użytkownika systemu Windows. Teraz wszystkie poprawki wprowadzone w sieci na podstawie nieporozumień sprawiły, że sieć nie nadaje się do użytku. Wróć do czystego WPA2-PSK (tylko AES-CCMP, bez TKIP) z silnym hasłem i bez filtrowania adresów MAC, pełnej mocy i bez ograniczenia jednoczesnych skojarzeń klientów.


Mój Windows 10 widzi niektóre urządzenia mobilne, takie jak na pokazanych zrzutach ekranu, ale nie mam BT ani Wi-Fi na pulpicie.
FarO,

@OlafM Te bez adresów IP i nie w sieci, tak jak OP? Najwyraźniej punkty dostępowe obsługujące WPS mogą przekazywać listę klientów obsługujących WPS, które widzą za pośrednictwem Wi-Fi i przekazywać te informacje przez sieć do usługi WCN w systemie Windows. Dzięki temu komputer z systemem Windows może następnie użyć WCN / WPS, aby zaoferować przeniesienie tego klienta do sieci (w przypadku, gdy jest to twoje własne urządzenie lub gość, którego chcesz umieścić w sieci). Z tego, co czytam, wyłączenie WPS w AP lub wyłączenie usługi WCN w systemie Windows powinno to rozwiązać.
Spiff

Cześć, chłopaki, udało mi się zastosować się do wszystkich sugestii, które tu przedstawiłeś i wydaje się, że na razie przestałem. Loguję się już od dwóch solidnych dni i nie widzę nic nienormalnego w naszej sieci, co jest świetnym znakiem. Dzięki jeszcze raz.
tamosa

Dzięki za kontynuację @tamosa. Jeśli stwierdzisz, że odpowiedź rozwiązała problem, kliknij kontur znacznika wyboru obok odpowiedzi, która go rozwiązała, aby zaakceptować ją jako oficjalną odpowiedź, aby system pokazał to pytanie jako rozwiązane.
Spiff,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.