Jak zatrzymać hakowanie sieci WPA2-Enterprise

Nasza prywatna sieć składa się z routera Netgear flashowanego DD-WRT, serwera QNAP, głupiego 8-portowego przełącznika oraz szeregu laptopów, komputerów stacjonarnych i 2 urządzeń mobilnych WiFi.

Jakiś czas temu nasze WiFi zostało zhakowane przez ludzi, którzy nie mają nic lepszego do roboty. Podejrzewamy, że sąsiedzi z sąsiedztwa, którzy pracują w branży IT, ale nic nie mogą udowodnić - przynajmniej z prawnego punktu widzenia. Nie jestem pewien, czy to by pomogło.

W tym czasie nasza sieć była zabezpieczona WPA2-AES i filtrowaniem adresów MAC. Nawet po zastosowaniu tych środków bezpieczeństwa nadal uzyskiwali dostęp poprzez fałszowanie swoich adresów MAC i łamanie haseł, które zawsze mają maksymalną długość i zawierają zalecane przez przemysł bezpieczeństwa specjalne znaki / symbole, różne litery i cyfry.

Ci ludzie są jak cyber-duchy! Mówię to, ponieważ nigdy nie mogliśmy zidentyfikować ich połączeń na podstawie dzienników routera lub interfejsu GUI. Próbowaliśmy korzystać z Angipip, WhosonmyWifi, a także innych narzędzi, ale nic nie działało. Spędziliśmy niezliczone godziny na telefonie z naszym dostawcą usług internetowych, zmieniliśmy adres IP, uruchamiając tracert dla tras ruchu i tak dalej. Mimo tych starań w rzeczywistości nasze komputery z systemem Windows 10 zidentyfikowały je w naszej sieci. Udało nam się uzyskać zrzuty ekranu z ich urządzeń ze szczegółami producenta.

Tak czy inaczej, trwało to przez jakiś czas i po około 6 miesiącach grania z nimi w kotka i myszkę, zresetowałem fabrycznie wszystkie urządzenia w naszej sieci i postanowiłem wypróbować WPA2-Enterprise z AES, korzystając z wbudowanej funkcji RADIUS na naszym serwerze QNAP . Ponadto wyłączyłem również radiotelefony 5 GHz i obniżyłem moc nadawania w radiu 2,4 GHz do 30 (chociaż jestem pewien, że mogą zwiększyć siłę własnego radia, aby temu zaradzić). Ustawiłem kluczową częstotliwość odświeżania na 1800, a także ograniczyłem maksymalną liczbę powiązanych klientów w radiu 2,4 GHz tylko do 2 urządzeń.

Mimo naszych starań wciąż włamują się do naszej sieci, a nasze urządzenia mobilne często nie są w stanie się połączyć lub odbijają się od sieci.

Próbowaliśmy wszystkiego, co możliwe, i całkowicie wyłączaliśmy nasze Wi-Fi, nie wiemy, co robić, dlatego szukamy porady zewnętrznej na temat tego, co powinniśmy zrobić najlepiej. Chociaż chcielibyśmy je złapać i ujawnić, wolimy powstrzymać ich przed zrobieniem tego całkowicie przy użyciu sprzętu i oprogramowania, które już mamy.

Korzystając z odpowiednich kanałów, chętnie udostępniam wszystko, aby pomóc każdemu, kto chciałby mi pomóc w rozwiązaniu tego problemu.

Proszę pomóż.

Mimo naszych starań wciąż włamują się do naszej sieci, a nasze urządzenia mobilne często nie są w stanie się połączyć lub odbijają się od sieci.

ataki deauth, które blokują podłączanie urządzeń do Wi-Fi, są łatwe i tanie: https://github.com/spacehuhn/esp8266_deauther

Spróbuj użyć 802.11w w sieci Wi-Fi, przynajmniej deauth ataki są blokowane.

Inne ataki powodziowe (nie dostają się do sieci, ale czynią ją bezużytecznymi dla legalnych klientów Wi-Fi) są nadal możliwe.

Microsoft popełnił błąd w systemie Windows 7/8/10, używając tego samego okna sieci, aby nie tylko pokazać, co naprawdę jest w sieci, ale także pobliskie urządzenia bezprzewodowe, z którymi można nawiązać bezprzewodowe połączenia peer-to-peer. Widzisz więc telefony sąsiadów, ponieważ znajdujesz się w ich zasięgu Wi-Fi, ale nie ma ich w sieci. Prawdopodobnie mogą po prostu korzystać z Wi-Fi Direct lub Wi-Fi Protected Setup lub powiązanych technologii Wireless Simple Config (WSC) lub Windows Connect Now (WCN).

Chcesz dowód? Całkowicie wyłącz radiotelefony Wi-Fi i Bluetooth na komputerze z systemem Windows i podłącz je do sieci przez Ethernet. Uruchom go ponownie, aby wyczyścić pamięć podręczną i upewnij się, że Wi-Fi i Bluetooth są nadal wyłączone. Gdy Wi-Fi i Bluetooth są wyłączone, komputer nie będzie mógł bezprzewodowo skanować w poszukiwaniu potencjalnych urządzeń równorzędnych w zasięgu i będzie mógł skanować domową sieć LAN tylko w poszukiwaniu urządzeń, które są naprawdę w sieci. Założę się, że te telefony się teraz nie wyświetlają.

Edytowano, aby dodać: Musisz także wyłączyć WPS (Wi-Fi Protected Setup) na wszystkich swoich punktach dostępowych i / lub wyłączyć usługę WCN (Windows Connect Now), WCNCSVC, w systemie Windows. WPS i WCN pozwalają AP znaleźć urządzenia WPS-zdolny, takich jak smartfony w zasięgu radiowym, który może chcesz umieścić na sieci, i przekazywać informacje na temat tych urządzeń na komputerach z systemem Windows, który może uczestniczyć od strony administratora WCN / WPS, aby pomóc przenieś te urządzenia bezprzewodowe do sieci. Dzięki tym technologiom nawet komputery z dostępem tylko do przewodowych urządzeń mogą widzieć nieznane telefony w pobliżu w oknie „Sieć” systemu Windows.

Zobacz także: Windows 10: Telefony pojawiające się w sieci

Nigdy nie zostałeś zhakowany, po prostu wprowadzono Cię w błąd z powodu strasznych wyborów interfejsu użytkownika systemu Windows. Teraz wszystkie poprawki wprowadzone w sieci na podstawie nieporozumień sprawiły, że sieć nie nadaje się do użytku. Wróć do czystego WPA2-PSK (tylko AES-CCMP, bez TKIP) z silnym hasłem i bez filtrowania adresów MAC, pełnej mocy i bez ograniczenia jednoczesnych skojarzeń klientów.