Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Tu masz przykład monitorowania eteru:
To jest nasłuch na karcie w trybie monitor, czyli wszystko co jest w powietrzu, jest rejestrowane przez kartę. Dałem filtr mojego AP i podłączyłem swojego laptopa do sieci. Czy masz jakiś problem z ustaleniem adresu MAC tej stacji klienckiej? xD
Ja nie wiem czemu ludzie myślą, że ten filtr adresów MAC chroni przed czymkolwiek. Jeśli poznam hasło do twojej sieci wifi, to ten filtr mnie nie powstrzyma przed uzyskaniem dostępu do niej. Poza tym, tam wyżej to jechałem na wiresharku, ale są gotowe narzędzia, które te dane zbierają i są nawet w repo debiana, zatem proces ustalania tych MAC stacji jest automatyczny. :]
Ostatnio edytowany przez morfik (2016-03-21 10:14:18)
Offline
Czyli po prostu nasluchujesz jakie sa polaczenia do routera i patrzysz kto sie polaczyl i pozniej masz jego mac do wykorzystania. Wtedy pozostaje tylko zbrutforsowanie hasla. Ok, jak mozna zatem ograniczyc liste ludzi mogacych podlaczyc sie do routera przez wifi?
Ostatnio edytowany przez wikingagressor (2016-03-21 18:37:49)
Offline
2865
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:37:43)
Offline
Można też zwyczajnie zmniejszyć moc nadawania AP. Nie wiem czy takie coś jest oferowane przez oryginalny firmware routerów wifi, ale na openwrt bez problemu można ustawić:
option txpower '20'
Jak masz niewielkie mieszkanie, to 10 czy 5 można dać i raczej wątpliwe, że ktoś z dołu lub góry będzie w stanie uzyskać połączenie. xD
Można też sobie skonfigurować WPS na wciśniecie przycisku, co będzie skutkować tym, że nikt kto nie ma fizycznego dostępu do routera nie zdoła się podłączyć, bo przecie będzie musiał wcisnąć przycisk na routerze. xD Można też pewnie jechać na zwykłym WPS z pinem i ustawić lock, choć nie wszystkie routery te blokady mają zaimplementowane, a sam pin można złamać w kilka godzin stosując wszystkie kombinacje. xD
Offline
O ile się nie mylę, to podatność na bruteforce PIN została załatana w hostapd już w 2012 roku.
PO 10 próbach PIN jest podobno zablokowany, ale jeszcze nie znam szczegółów.
Sznurek:
http://w1.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_ … 770a5;hb=HEAD
Konkretnie:
- Disable AP PIN after 10 consecutive failures. Slow down attacks
on failures up to 10.
Pozostaje pytanie, które routery mają starą wersję hostapd, jak znam producentów, to pewnie 2/3.
Pozdro
Ostatnio edytowany przez Jacekalex (2016-03-21 21:12:14)
Offline
No tak tylko ten lock działa na kilka sposobów. Pierwszy to ręczne zablokowanie możliwości parowania nowych urządzeń, czyli podłączasz swojego lapka, smartfona, czy co tam jeszcze masz, i blokujesz WPS. By dodać nowe urządzenia, to musisz pierw zdjąć lock. Taki wariant ma niewiele routerów, może te nowsze. Drugi lock to automatyczne blokowanie się WPS po iluś nieudanych próbach. W sporej części routerów, ten mechanizm jest zaimplementowany ale to wygląda tak, że po 5 próbach, WPS jest blokowany na 10s, czy tego typu rząd wartości. Musiałbym zobaczyć jak wygląda to wyłączenie WPS w openwrt ale jeśli zdejmuje go automatycznie po 10 nieudanych próbach i trzeba go później ręcznie aktywować, to całkiem przyzwoicie.
Offline
Jak wyglada przejscie z firmware producenta na openwrt? Jakie sa zalety i wady takiego rozwiazania?
Offline
Przejście wygląda tak jak aktualizacja oryginalnego firmware, tyle, że po aktualizacji masz inne oprogramowanie no i zwykle też tracisz gwarancję producenta na sprzęt. Ja mam 3 tp-linki, czy tam była jakaś gwarancja...? No dobra może i była w jednym, po tygodniu wgrałem openwrt. xD Później dostałem z UE drugi router (tu nie było) i jeszcze jeden mi tp-link załatwił na potrzeby testów openwrt (również bez gwarancji), czego efektem był min. ten wpis.. Na tym archer c7v2 jadę do dziś. Gwarancja nie jest dla mnie. xD
Zalety masz wyżej, możesz sobie dokonfigurować wszystko wedle uznania o ile potrafisz obsługiwać firmware, który jest nieco uproszczonym linuxem. Ja np. jadę na czystym openwrt w konsoli i nie mam żadnych paneli admina z poziomu www, bo to ogranicza tylko swobodę konfiguracji. No i jak masz alternatywny firmware, to zwykle też trzeba patrzeć czy jakichś poważniejszych luk w oprogramowaniu nie wykryto, a jeśli tak to trzeba aktualizować firmware.
Offline
Zawsze można wrócić do oryginalnego fw jeśli takowe jest sam mam gargoyle na 841n i wdr4300 i świetnie się sprawuje.
Offline
Ja przetestowałem sobie ten WPS lock w wykonaniu hostapd na openwrt. Taki średni ten mechanizm jest i na pewno nie jest tak jak napisali tam w changelogu. xD Z moich ustaleń wyszło, że jeden nieprawidłowy pin powoduje założenie blokady na jakieś 30s. Czasami mniej czasami więcej, nie wiem od czego to zależy. Podczas blokady nie wchodzi prawidłowy pin, a stan WPS wygląda tak:
Także WPS nie jest wyłączany całkowicie i wykorzystanie każdego pinu zajmie jedynie 30s.
Przy okazji natrafiłem jeszcze na informacje o korzystaniu z losowego pinu, który jest zmieniany chyba z każdą próbą połączenia. Dokładnie nie wiem, bo coś brak dokumentacji na ten temat. W configu można ustawić stały pin ale też można go nie podawać, a co się dzieje jak się tego pinu nie poda, to już można zgadywać. xD
Offline
Hostapd ma opcję PIN-request script, czyli np parujesz router z kompem, routerek Ci przez Jabbera na fona wrzuca PIN, wpisujesz w parowanym kompie i gotowe.
# WPS configuration (AP configured, do not allow external WPS Registrars)
wps_state=2
ap_setup_locked=1
# If UUID is not configured, it will be generated based on local MAC address.
uuid=87654321-9abc-def0-1234-56789abc0000
wps_pin_requests=/var/run/hostapd.pin-req
device_name=Wireless AP
manufacturer=Company
model_name=WAP
model_number=123
serial_number=12345
device_type=6-0050F204-1
os_version=01020300
config_methods=label display push_button keypad
Tylko trzeba naskrobać skrypta, który wygeneruje losowy PIN i go wyśle do admina, ale to raczej wykonalna sprawa, nie wiem tylko, jak tam Perl z modułami do Sendxmpp czy Gammu do SMSów na routerze się mieści, ale pewnie są też inne sposoby.
EDIT:
Timeout do PIN:
README-WPS napisał(-a):
To reduce likelihood of PIN being used with other devices or of
forgetting an active PIN available for potential attackers, expiration
time can be set for the new PIN:
hostapd_cli wps_pin any 12345670 300
Także możliwości są, zwłaszcza, jak jest tam jakiś sensowny system w routerze.
Zawsze też można Hostapd z routera do Radiusa zapiąć, a tam dopiero jest zabawa.
Ostatnio edytowany przez Jacekalex (2016-03-23 18:44:51)
Offline
No ja próbowałem włączyć WPS "label", czyli pin bez ustawiania go. Później za pomocą:
hostapd_cli wps_pin any 12345670 300
odpowiednio dobierając pin, tj. tę ostatnią cyfrę do tego co wcześniej by suma się zgadzała i pomimo otrzymania OK, wpa_gui nie chce się podłączyć korzystając z tak ustawionego pinu. Nawet jak ten timeout skasuje, to też nie idzie.
Jest możliwość ustawienia stałego locka za pomocą:
ap_setup_locked=0
w konfiguracji hostapd, tylko openwrt nie honoruje tej opcji i trzeba by pewnie przerobić nieco /lib/netifd/hostapd.sh i można by mieć stały pin + całkowity lock. Ja może do nich napiszę, by mi tę opcję zaimplementowali w configu openwrt, tak to będzie tylko przestawienie tego locka na 1 i jedno polecenie resetu wifi i lock będzie zdjęty i pin aktywny. xD
Offline
No to na openwrt się wypieli na mnie z tą blokadą WPS -- "Please provide a patch adding this feature if you need it." -- czy ja wyglądam na programistę? Ja jetem bardziej jak "security advisor". xD Może jeszcze napiszę na forum openwrt, może mi to ktoś zaimplementuje. xD
Ostatnio edytowany przez morfik (2016-03-24 16:59:07)
Offline
Znów mam problem z siecią. Kilka tygodni temu była burza i w firmie udostępniającej nam Internet spalona została instalacja. Po miesiącu naprawili (założyli światłowody) i teraz znów nie mogę się połączyć, bo pewnie konfiguracja się zmieniła.
Teraz nawet na kablu nie chce mi działać :( Piszę więc z komputera żony i nie mam jak skopiować wyników poleceń, by je tu wkleić.
network-manager nie jest zainstalowany.
"iwlist wlan0 scanning" zwraca:
- ESSID:"KJ_Pietro " (ze spacją na końcu)
- Mode:Master
- Encryption key:on
- Channel:7
- Quality:46/70
Do wpa_supplicant.conf wpisałem więc fragment wygenerowany przez wpa_passwd "KJ_Pietro " "haslo".
Dodatkowe info:
# iwconfig wlan0 mode Master Error for wireless request "Set Mode" (8B06) : SET failed on device wlan0 ; Invalid argument.
Proszę o pomoc.
Próbowałem też przez wifi-radar się połączyć, ale bez skutku. Gdy potem chciałem zrobić "ifup wlan0" to pojawiło się:
wpa_supplicant: wpa_action in managing ifup/ifdown state of wlan0 ...
Zrobiłem więc "ifdown --force wlan0" wg zalecenia, które uciąłem przez wpisanie wyżej "..." i pojawiło się m.in.:
send_packet: Network is unreachable
ifconfig nie pokazywało się wlan0. Spróbowałem więc "ifup wlan0" lecz:
wpa_supplicant: wpa-roam can only be used with the "manual" inet METHOD run-parts: /etc/network/if-pre-up.d/wpasuuplicant exited with return code 1 Failed to bring up wlan0.
Offline
Nie używaj spacji w nazwach sieci WiFi, na linuxach to powoduje jakieś dziwne problemy. xD
A co do problemu z łącznością, to musiałbyś podać konfigurację w /etc/network/interfaces i konfigurację dla wpasupplicant. Do tego zajrzyj w log i zobacz co się tam dzieje.
Ostatnio edytowany przez morfik (2016-08-06 13:08:55)
Offline
A jak zmienić nazwę sieci WiFi? Ja jej nie ustawiałem. iwlist scanning taką zwraca.
Gdzie mogę znaleźć logi?
Offline
Niestety nie działa u mnie polecenie:
# journalctl -f bash: journalctl: nie znaleziono polecenia
Chciałem zainstalować, ale w aptitude też nie mogę znaleźć.
Offline
Skąd wziąć ten journalctl?
Offline
Z systemd.
Offline