Tko krade wireless...?

Evo pošto sam se zadnjih par dana bavio zaštitom routera, a sad sam nabasao na ovu temu, želim čuti vaše mišljenje o onome što je napravljeno.

Zaštitu sam podijelio u 5 faza:

1. S obzirom da je za spajanje bitan SSID, prva faza je bila promjena defaultnog SSID.

2. Drugi bitan čimbenik je enkripcija wirelessa. U ovoj fazi je enkripcija postavljena na WPA2-PSK.

3. Sad, zanimalo me što (ako netko uspije probiti zaštitu) mogu dalje napraviti. S obzirom da svaki uređaj koji se spaja ima svoju MAC adresu, odlučio sam dopustiti spajanje samo poznatim uređajima (komp -> LAN, wireless adapter; smartphone; tablet). Njihove MAC adrese sam unio u router i samo tim adresama dopustio pristup internetu.

4. ALI! Ako netko probije on lako može pristupiti routerima jer su im IP adrese uglavnom poznate (mome preko 192.168.0.1) i ukloniti ove postavke vezane uz MAC adrese. Zbog toga sam postavio obvezu logiranja za pristup  postavkama routera. Naravno, defaultnu šifru za logiranje sam izmjenio i postavio svoju.

5. Pošto opet postoji mogućnost logiranja (makar brute forceom, iako neznam ko bi imao volje to raditi, u susjedstvu sigurno postoji netko sa slabijom zaštitiom) malo me kopkalo i odlučio sam promjeniti IP adresu za pristup routeru sa defaultne 192.168.0.1 na xxx.xxx.x.x

Sad, da bi netko pristupio internetu preko mog routera mora imati sve navedene podatke.

I u slučaju da netko probije wireless enkripciju, nemože pristupiti netu zbog MAC-a, a da bi to zaobišao mora doći do routera (za to mora znati novu IP adresu routera), ako sazna adresu opet mora proći logiranje... Ovo mi izgleda kao savršena zaštita.

...Jedini problem je što (pretpostavljam) je ipak moguće saznati novu IP adresu routera (osim pukim pogađanjem)???

ipconfig će vrlo vjerojatno izbaciti tu adresu, jesam u pravu?

@dy_renny: znači nemoguće je potpuno zaštiti mrežu?!

WPS mi je po defaultu bio isključen. Bi li se dalo još što napraviti?

 -gore navedene 'zaštite' (prvo post) su nikakve, npr MAC filter samo usporava probijanje zbog potrebe za kloniranjem MACa, ali se sve sazna iz snifanja. To je osnova wirelessa jer podatci da bi stigli od A do B moraju imati adrese... tako da je jedina zaštita sama enkripcija. WPA2 je OK, potrebno je superračunalo da bi brutanjem u nekom smislenom vremenu probio.

WPS može biti aktivan, tj. nema šanse da netko čeka da stisneš button za WPS pa da se prošverca.

Problem s 'normalnim' routerima (modemima, ISPovim) je u njihovim ograničenjima, šlampavom softwareu. Originalni uređaji (ne ISPOvi) nude i kvalitetnije postavke i recimo ne 'zaboravljaju' logove. Log file je važan ako je važna zaštita, ISPov se povremeno resetira i obriše sve podatke.. ili to (namjerno) napravi operater.

Postoji i priča, da zaposlenici operiraju po kvartovima, spajaju na 'susedove' mreže. Protiv tog nema zaštite jer su oni s druge strane žice i imaju potpunu kontrolu. Pa kome je važno, ne koristi njihov uređaj osim za samu liniju.

- to samo dokazuje koliko je loš firmware u takvim uređajima, indirektno i odgovornost ISPa (jer je njihova obaveza pružiti adekvatnu zaštitu), međutim ne daju ni admin pristup, korisnik ne može npr nadograditi firmware itd. Tu bi ih trebalo pravno stisnuti ali nikom se ne petlja s tim. Pravi uređaji daju i odgovarajuću zaštitu, uz pridržavanje pravila za password i enkripciju bruteforce je neefikasan.

- Sve se može probiti, pitanje je samo potrebnih resursa. Ako cilj nije važan (banka, institucije..) tad nije za očekivati da će noob s BTom uspjeti.

Zaključujem da je normalna zaštita OK za normalnog usera. Problem je što se useri ne pridržavaju ni minimuma standarda, još manje razumiju o čemu se radi.

Evo pošto sam se zadnjih par dana bavio zaštitom routera, a sad sam nabasao na ovu temu, želim čuti vaše mišljenje o onome što je napravljeno.

Zaštitu sam podijelio u 5 faza:

1. S obzirom da je za spajanje bitan SSID, prva faza je bila promjena defaultnog SSID.

2. Drugi bitan čimbenik je enkripcija wirelessa. U ovoj fazi je enkripcija postavljena na WPA2-PSK.

3. Sad, zanimalo me što (ako netko uspije probiti zaštitu) mogu dalje napraviti. S obzirom da svaki uređaj koji se spaja ima svoju MAC adresu, odlučio sam dopustiti spajanje samo poznatim uređajima (komp -> LAN, wireless adapter; smartphone; tablet). Njihove MAC adrese sam unio u router i samo tim adresama dopustio pristup internetu.

4. ALI! Ako netko probije on lako može pristupiti routerima jer su im IP adrese uglavnom poznate (mome preko 192.168.0.1) i ukloniti ove postavke vezane uz MAC adrese. Zbog toga sam postavio obvezu logiranja za pristup  postavkama routera. Naravno, defaultnu šifru za logiranje sam izmjenio i postavio svoju.

5. Pošto opet postoji mogućnost logiranja (makar brute forceom, iako neznam ko bi imao volje to raditi, u susjedstvu sigurno postoji netko sa slabijom zaštitiom) malo me kopkalo i odlučio sam promjeniti IP adresu za pristup routeru sa defaultne 192.168.0.1 na xxx.xxx.x.x

Sad, da bi netko pristupio internetu preko mog routera mora imati sve navedene podatke.

I u slučaju da netko probije wireless enkripciju, nemože pristupiti netu zbog MAC-a, a da bi to zaobišao mora doći do routera (za to mora znati novu IP adresu routera), ako sazna adresu opet mora proći logiranje... Ovo mi izgleda kao savršena zaštita.

...Jedini problem je što (pretpostavljam) je ipak moguće saznati novu IP adresu routera (osim pukim pogađanjem)???

ipconfig će vrlo vjerojatno izbaciti tu adresu, jesam u pravu?

- WPA2 je bolja (novija verzija) koristi je ako ti svi uređaji podržavaju, WPA koristiš ako te na to prisiljava npr mobitel (koji možda nema WPA2). Mix je samo mogućnost uređaja, ali je sigurnosno lošije tj jednako kao da ostaviš samo WPA (za obične juzere jednako neprobojno, pa je zapravo svejedno ipak je WPA2 bolji.).

- WPS nije zaštita, to je upravo suprotno.., gumb (button) kojim cca minutu dozvoljavaš pristup svakom uređaju koji to zatraži (pošalje mu potreban pass). To služi samo zato da bi Štefica^TM (noob-juzer) spojila wireless.

Da li ti je ikad policija došla na vrata kad si kaj skinuo? I onda ne pričaj bez veze