Hláška v Logu

[golismen]

Mno podle mě se ti tam někdo snaží dostat. Jelikož máš zaplé WPA tak dotyčný se snaží deautentifikovat klienta, tak aby se musel znovu připojit a proběhl handshake mezi klientem a AP , kde si útočník odchytí hash s heslem. Pak bude mit problem tu hash dekryptovat , jelikož si tu uváděl , že máš 40 místné heslo což se mu asi nepovede dekryptovat. Používat pro autentifikaci jen mac adresu klienta , je vůči klientu dost kruté , jelikož jeho data uvidí každej v nešifrovaném formátu . Pokuď možno alespoň WPA dlouhej kód a mac filtr.

[mashinepistole2]

Mno podle mě se ti tam někdo snaží dostat. Jelikož máš zaplé WPA tak dotyčný se snaží deautentifikovat klienta, tak aby se musel znovu připojit a proběhl handshake mezi klientem a AP , kde si útočník odchytí hash s heslem. Pak bude mit problem tu hash dekryptovat , jelikož si tu uváděl , že máš 40 místné heslo což se mu asi nepovede dekryptovat. Používat pro autentifikaci jen mac adresu klienta , je vůči klientu dost kruté , jelikož jeho data uvidí každej v nešifrovaném formátu . Pokuď možno alespoň WPA dlouhej kód a mac filtr.

Nevies ci toto nemoze robit aj nejaky virus , na spoji na optiku mi takto vykopavalo klienta na 5Ghz . Najprv to bolo nekodovane , potom som tam dal WPA2 PSK , nejaky tyzden bol pokoj a potom znova zacali deauth v logu . Tak som zmenil mac na APcku aj na klientovy a skryl SSID a doteraz sa spoj nereasocioval ani raz . A to su uz nejake 4 mesiace . Mam taky dojem ze by to mohol robit nejaky zavireny pc ktory ma priamo v sebe bezdratovu kartu .

[Petr S.]

Čili mám to chápat tak, že ty reasociace, co mi to dělá a hlásí to naprosto u všech uživatelů, by to dělat nemělo? Co ta reasociace vlastně znamená? To se ten klient odpojí od sítě a zase znovu připojí?

Jinak včera večer jsem zavedl povolení pouze na MAC adresy klientů, ale dělá to stále...

[mashinepistole2]

Čili mám to chápat tak, že ty reasociace, co mi to dělá a hlásí to naprosto u všech uživatelů, by to dělat nemělo? Co ta reasociace vlastně znamená? To se ten klient odpojí od sítě a zase znovu připojí?

Jinak včera večer jsem zavedl povolení pouze na MAC adresy klientů, ale dělá to stále...

Idealne by bolo keby reasociating nebol , hraci online hier cs cod atd ... budu z toho uzfaly , ak si este neskusal, tak nastav v klientskych zariadeniach rychlost na 2 mega a na MK apecku nahaj povolene vsetky rychlosti . Bude to fungovat tak ze klient bude mat Upload 2 mega a Down 11 , toto dost pomaha . Ak nepomoze toto, tak ak mas vsesmer budes to musiet rozdelit na sektory .

[hapi]

tohle pomůže leda tak do hrobu rychlosti na APčku.

Ta mac adresa je tvoje ve smyslu že je nějakýho tvýho klienta? nebo prostě nějaká uplně cizí?

Reasociace se může stát například když máš klienta co chybuje. Pak ho to odkopne, ale to by v logu bylo napsaný že byl deasociovanej a pak zase asociovanej takže to nebude tenhle případ.

Jinak stačí aby někdo poblíž bodu měl zapnutej počítač s wifinou na default a pak se to snaží k tobě připojovat furt dokola.

[Petr S.]

Ano, ta mac adresa je právě toho klienta, kterému padá čas od času internetové připojení. Ale je to trošku komplikovanější, jednalo se totiž o mac jeho síťové (LAN) karty, ne o mac adresu rozhraní Wi-Fi jeho routeru. Přitom nebylo nastavené žádné clonování mac adres. Teď jsem ho na zkoušku zkusil nastavit, ale zdá se bez výsledku.

[golismen]

Někdo si zapl stroj a nechal tam běžet deautentifikaci klientů na tvém AP je to ta nejhorší možnost jelikož, přesně nevím jak se proti tomu dá bránit ? Leda si zjistit dotyčného a dat mu výprask !

[Petr S.]

Reasociace se může stát například když máš klienta co chybuje. Pak ho to odkopne, ale to by v logu bylo napsaný že byl deasociovanej a pak zase asociovanej takže to nebude tenhle případ.

Hapi: No, ale mě to dělá, že ho to odpojí a pak znovu připojí. Nebo myslíš, že tam musí být napsáno deassociate a associate?

Někdo si zapl stroj a nechal tam běžet deautentifikaci klientů na tvém AP je to ta nejhorší možnost jelikož, přesně nevím jak se proti tomu dá bránit ? Leda si zjistit dotyčného a dat mu výprask !

Golismen: Jak může někdo nějakou deautentifikaci provést? Víš o nějakých materiálech k tomuto?

[golismen]

Mno jasně je to jednoduché jak facka http://www.aircrack-ng.org/doku.php?id=deauthentication&DokuWiki=337fcf999d554765ecf7e7864b343a0d tady to máš , používá se programek aireplay-ng . Deautentifikace se využívá hlavně u WPA , kdy potřebuješ získat handshake s heslem pak už jen silnej stroj a jde se bruteforcem decryptovat .

[Petr S.]

Tak to je krutý, já myslel, že tohle jde dělat akorát u WEP. A ono ne. Jak ale můžu rozlousknout klíč u WPA, u toho se přeci šifra automaticky mění, ne?

[golismen]

Šifra u wpa se da prolomit jak jsem již psal . Při počátečním spojení klienta s AP si vymění zaheshované heslo , poté se šifra dynamicky mění a už by měla být neprolomitelná , ikdyž teď jsem někde četl že wpa už bylo prolomeno . Mno a až máš hash tak už záleží jen na tom jak uživatel použil složité heslo , pokud použiješ čísla znaky atd. tak je to teoreticky nerozluštitelné jelikož by si potřeboval obrovský výkon na vygenerování rainbow table nebo bruteforcem.

[Maxik]

kazda sifra jde prolomit ale myslim ze s WPA muzeme byt v klidu protoze obtiznost ziskani wpa klice je vysoka, je dobre pouzivat slozita hesla cisla,pismena, mala velka special znaky # apod. Pokud nekdo prave louska moje WPA2 + WPA preju mu hodne stesti a trpelivosti u bruteforce Pro nase potreby je to bez problemove zabezpeceni. Horsi uz to je s moznosti deautentifikovat klienta to je prasecina.

[travel21]

No já nevím, ale není to tak, že když je ten Connect list prázdný, tak se to bere jako že je filtrování vypnuté?

Filtrování je vypnuté až tehdy, pokud je ve Wireless v založce Security profile a profilu default, pokud nepoužíváš jiný, nezaškrtnuta volba MAC Authentication. Najdeš to tak, že vlezeš do nastavení toho default profilu záložka RADIUS. Ale každá karta to nemá uplně stejně nic méně dá se to dohledat. Např. CM9 ma ty záložky trochu jinak. Pokud Tato volba je zaškrtnuta, tak se přípojí pouze klienti uvedení v Access listu nezavisle na Conection listu. Conection list nepoužívám, jelikož se přístup do MK dá nastavit pohodlně několika pravidly ve firewalu pro všechny rozhraní individuálně. WEB šifrování je už min. používané a algoritmus šifrovaní byl prolomen dávno, takže není problém se do sítě dostat i bez znalosti kódu. Znalejší člověk se tam dostane razdva.

[Petr S.]

Díky vyzkouším Jak to ve FW nastavuješ?

[mashinepistole2]

Díky vyzkouším Jak to ve FW nastavuješ?

Ak ti to niekto deautentifikuje tak ti nepomoze kodovanie, ak ti to robi konkurencia , tak moze pomoct pouzivanie takeho SSID ktore by si konkurencia stebov nespajala . Cize , aby utocnik nemohol mat ani sainu, ktore apecko je tvoje a tiez je dobre zmenit MAC, aby ho podla nej nepoznali .