ניסיון פריצה לרשת אלחוטית?

[sikl]

LOG של הנתב שלי מלא בהודאות כאלה:

Thursday April 05, 2007 18:15:00 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:00 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:00 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:01 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:01 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:01 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:02 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:02 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:02 Unallowed access from 00-60-B3-F6-37-EE

Thursday April 05, 2007 18:15:03 Unallowed access from 00-60-B3-F6-37-EE

כתובת Mac זו לא שייכת למחשבים שלי.

זה אומר שמישהו מנסה להתחבר לרשת האלחוטית שלי אבל לא מצליח, נכון?

אם כן אז מה הסיכוי שזה לא ניסיון פריצה בזדון או שבוודאות מנסים לפרוץ?

[ExploiT]

כול עוד אתה נותן הראשות לפי Mac אין בעיה, כול עוד לא ינסו לזייף תכתובת שלך, בכול מקרה זה לוג של שניות סה''כ הוא ניסה לעשות כנראה retry או משהו כזה, אולי אוטמתי בחייגן, בכול מקרה אם הייתה מביא לוגים מכמה ימים שונים ושעות שונות, אז יש ממה לחשוש.

[sikl]

בכול מקרה זה לוג של שניות

לא, זה נמשך כבר הרבה ימים בלי הפסקה. אני הרי לא יכול לצרף את כל 100000 שורות של LOG להודאה בפורום, לכן רשמתי את כמה השורות האחרונות בשביל להדגים.

[The Coolest]

ההיתי ממליץ להפעיל Mac Filtering ולהוסיף רק את המחשבים שלך לרשימה.

לדעתי זאת אפשרות דיי בטוחה. אפילו אם מישהו יודע איך לשנות כתובת Mac, הוא עדיין צריך לדעת איזו כתובת לתת לכ.רשת שלו...

[sikl]

MAC Filtering ולהוסיף רק את המחשבים שלך לרשימה.

את זה עשיתי עוד בהתקנה ראשונית של הנתב. ואני גם מצפין בשיטת WPA\WPA2.

[pig_750]

ההיתי ממליץ להפעיל MAC Filtering ולהוסיף רק את המחשבים שלך לרשימה.

לדעתי זאת אפשרות דיי בטוחה. אפילו אם מישהו יודע איך לשנות כתובת MAC, הוא עדיין צריך לדעת איזו כתובת לתת לכ.רשת שלו...

לצערי אתה טועה, זה כן עובר ב clear text , כל script kiddie עם Kismet או Airodump יכול תוך זמן קצר לדעת את הכתובות Mac

ברשת שלך, ויותר מזה אם אין הצפנה הוא יוכל לעשות לדוגמה passive sniffing (תחשוב HTTP וסיסמאות... ).

sikl - כנראה ה LOG הזה קשור לעובדה שה WAP שלך עושה broadcast ל SSID שלו וכנראה האות של הרשת שלך

די חזק בגלל זה המחשב של אחד השכנים מנסה את הרשת הזאת קודם.

דבר אחד אני יכול לומר לך בוודאות: זה לא ניסיון פריצה כי ההתקפה היחידה (שידועה לי) שעובדת נגד WPA-PSK מתרחשת offline.

אה כן, אם הסיסמה שלך קטנה מ 8 תווים או/ו היא מילה מהמילון, זה זמן טוב לשנות אותה למשהו באורך לפחות 20

תווים או לפחות 8 תווים בלי מילים המילון.

[sikl]

ההתקפה היחידה (שידועה לי) שעובדת נגד WPA-PSK מתרחשת offline.

למה בדיוק אתה מתכוון OFFLINE? כאשר רשת פועלת אבל אני לא גולש באינטרנט ולא מעביר קבצים?

אגב, מישהו יודע איך אפשר להקטין את עוצמת השידור של WIFI מבלי להעביר נתב אלחוטי למקום אחר?

יש נתבים שבהם מותקן מתג ואפשר לווסת את עוצמת האות אבל בשלי אין. פעם למדתי קורס "שדות אלקטרומגנטיים"ואפילו עברתי אבל זכרון של זה עדיין מכאיב אז אין לי מושג איך אבל חייבת להיות שיטה. אולי לשים איזה מכסה על אנטנה כדי להטין את מרחק האפקטיבי של הרשת? בעקרון אני בעד רשתות פתוחות אבל האינטרנט שלי גם ככה לא מהיר במיוחד (750) ויש לי קבצים רגישים על המחשב אז את הרשת הזו אין בכוונתי לפתוח לזרים.

[pig_750]

OFFLINE הכוונה שהוא לוכד את הפריימים שמשתתפים ב handshake עצמה ועושה עליהם

(לרוב) dictionary attack בשביל לנסות לגלות איזה PSK השתתפף ביצירה שלהם (זה קצת יותר מורכב...),

כלומר בזמן הפריצה הוא לא צריך שום גישה לרשת שלך (זה הכוונה ב OFFLINE ) ולכן כל ההודאות שאתה מקבל

זה לא נראה לי כמו ניסיון פריצה, אלא כמו שכן מתוסכל שלא מבין למה לוקח לו הרבה זמן להתחבר...

אתה לא צריך ךהקטין את הטווח של הרשת שלך, פשוט תכבה את האופציה של ה SSID broadcast , או פשוט תשאיר אותו ככה.

ואם יש לך "קבצים רגישים" (למרות שאני תמיד בעד לשתף את הפורנו שלי עם השכנים...) תשתמש בסיסמה מאוד ארוכה,

אני אישית בכלל ממליץ על 64 תווים של HEX, ככה יהיה מאוד מאוד מאוד מאוד מאוד מאוד מאוד מאוד מאוד מאוד קשה לפרוץ WPA-PSK .

[zuma]

pig_750 תמיד תענוג לקרוא את ההסברים שלך .

רק לא הבנתי מה הקשר בין הסיסמה של הנתב לפורנו שבמחשב (שלך 8) ).

תקן אותי אם אני טועה אך חדירה לנתב עדיין לא מאפשרת כניסה למחשבים ברשת ,כמובן ללא שיתוף.

[sikl]

pig_750, תודה לך על ההסבר .

זה לא נראה לי כמו ניסיון פריצה, אלא כמו שכן מתוסכל שלא מבין למה לוקח לו הרבה זמן להתחבר...

פשוט תכבה את האופציה של ה SSID broadcast

יש י בעיה עם זה. משום מה מחשב נייד לא מצליח להתחבר לרשת כשאני מבטל את שידור SSID. גם כשאני מגדיר את כל הפרמטרים של הרשת ידנית הוא לא מצליח למצוא אותה (ואני כן בחרתי באופציה "התחבר גם כשרשת לא משדרת" בהגדרות). אגב, אני יודע שכולם ממליצים לכבות את השידור של SSID ואני מבין הגיון מאחורי זה אבל פעם קראתי הודאה רשמית של מיקרוסופט על כך שכיבוי של SSID דווקא יכול להקל על הפורץ. http://ms.helifan.net/technet/network/evaluate/hiddennet.mspx

יש בכלל משהו קצת מוזר בכרטיס WIFI של מחשב נייד של מחשב נייד שלי. למשל:

מצב 1 - נתב (WPA2), מחשב נייח (WPA2), מחשב נייד (WPA2) - תוצאה: נייח מתחבר אבל נייד לא מצליח.

מצב 2 - נתב (מצב משולב WPA\WPA2), מחשב נייח (WPA2), מחשב נייד (WPA2) - כולם מצליחים להתחבר.

ואם יש לך "קבצים רגישים" (למרות שאני תמיד בעד לשתף את הפורנו שלי עם השכנים...)

לשתף פורנו אין שום בעיה אבל לשתף קבצים שכוללים מידע בנקאי לא בא לי.

תקן אותי אם אני טועה אך חדירה לנתב עדיין לא מאפשרת כניסה למחשבים ברשת ,כמובן ללא שיתוף.

לדעתי זה תלוי בהגדרות הפאירוול שמותקן במחשבים. בעקרון אפשר לפתוח את הרשת כדי שכולם יכלו לגלוש באינטרנט דרכה אבל לסגור טוב את הגישה מרשת זו למחשבים אישיים שלך.

[pig_750]

pig_750 תמיד תענוג לקרוא את ההסברים שלך .

רק לא הבנתי מה הקשר בין הסיסמה של הנתב לפורנו שבמחשב (שלך 8) ).

תקן אותי אם אני טועה אך חדירה לנתב עדיין לא מאפשרת כניסה למחשבים ברשת ,כמובן ללא שיתוף.

תודה על המחמאה.

לא הבנת אותי, אני לא מדבר על הסיסמה בנתב (זאת שמאפשרת לך לשנות הגדרות), אני מדבר על ה passphrase

ש WPA-PSK משתמש בה.

ברגע שאתה מגלה אותה יש לך גישה רגילה לרשת, זה בדיוק כמו לחבר את המחשב שלך ל switch/hub ברשת חוטית.

הדרך משם עד לפריצה למחשבים הרבה הרבה יותר קצרה ממה שנדמה לך, במיוחד שמדובר ברשת בייתית, מספיק

שבאחד המחשבים אין את הכל העידכונים האחרונים והוא שלך תוך 40 דקות (כולל קפה...) אתה רק צריך גישה למשהו

כמו metasploit בלי יותר מדי ידע, חוץ מזה יש הרבה דברים שאתה יכול לעשות על החוט (או על האויר במקרה הזה...)

תחשוב DNS... או תחשוב התקפות MITM... ותאמין לי זאת רק ההתחלה, אני לא רוצה להכניס אנשים לפאניקה כי לעשות חלק גדול

מהדברים האלה צריך קצת ידע וחוסר מצפון רוב האנשים לא ידעו או לא ירצו לעשות דבר כזה (לפחות לא בשביל לגנוב), אבל

מצד שני רוב האנשים לא יגנבו לך דברים מהבית ועדין זה רעיון חכם לשים מנעול כי כשזה קורה זה מאוד לא כיף.

pig_750, תודה לך על ההסבר . יש י בעיה עם זה. משום מה מחשב נייד לא מצליח להתחבר לרשת כשאני מבטל את שידור SSID. גם כשאני מגדיר את כל הפרמטרים של הרשת ידנית הוא לא מצליח למצוא אותה (ואני כן בחרתי באופציה "התחבר גם כשרשת לא משדרת" בהגדרות). אגב, אני יודע שכולם ממליצים לכבות את השידור של SSID ואני מבין הגיון מאחורי זה אבל פעם קראתי הודאה רשמית של מיקרוסופט על כך שכיבוי של SSID דווקא יכול להקל על הפורץ. http://ms.helifan.net/technet/network/evaluate/hiddennet.mspx

MS די צודקים, אבל זה לא כלכך משנה גם אם מוצאים את הרשת שלך ואתה משתמש ב WPA בצורה נכונה אין להם הרבה מה לעשות עם זה...

התכוונתי שאתה יכול לכבות את ה broadcast אם ה log הזה מציק לך, אתה יכול בקלות להשאיר אותו ככה.

ואין לי מושג למה הוא לא מתחבר, כנראה משהו בהגדרות...

יש בכלל משהו קצת מוזר בכרטיס WIFI של מחשב נייד של מחשב נייד שלי. למשל:

מצב 1 - נתב (WPA2), מחשב נייח (WPA2), מחשב נייד (WPA2) - תוצאה: נייח מתחבר אבל נייד לא מצליח.

מצב 2 - נתב (מצב משולב WPA\WPA2), מחשב נייח (WPA2), מחשב נייד (WPA2) - כולם מצליחים להתחבר.

לא יודע מה הבעיה, אני רק יכול לדעת שהנייד לא יכול לדבר WPA2 עם הנתב, תנסה אולי לבדוק עידכון לדריוורים של הכרטיס בנייד.

לשתף פורנו אין שום בעיה אבל לשתף קבצים שכוללים מידע בנקאי לא בא לי.

זה גם מה שהם אמרו:

http://www.ynet.co.il/articles/0,7340,L-3385319,00.html

[zuma]

לא הבנת אותי, אני לא מדבר על הסיסמה בנתב (זאת שמאפשרת לך לשנות הגדרות), אני מדבר על ה passphrase

ש WPA-PSK משתמש בה.

ברגע שאתה מגלה אותה יש לך גישה רגילה לרשת, זה בדיוק כמו לחבר את המחשב שלך ל switch/hub ברשת חוטית.

הדרך משם עד לפריצה למחשבים הרבה הרבה יותר קצרה ממה שנדמה לך, במיוחד שמדובר ברשת בייתית, מספיק

שבאחד המחשבים אין את הכל העידכונים האחרונים והוא שלך תוך 40 דקות (כולל קפה...) אתה רק צריך גישה למשהו

כמו metasploit בלי יותר מדי ידע, חוץ מזה יש הרבה דברים שאתה יכול לעשות על החוט (או על האויר במקרה הזה...)

תחשוב DNS... או תחשוב התקפות MITM... ותאמין לי זאת רק ההתחלה, אני לא רוצה להכניס אנשים לפאניקה כי לעשות חלק גדול

מהדברים האלה צריך קצת ידע וחוסר מצפון רוב האנשים לא ידעו או לא ירצו לעשות דבר כזה (לפחות לא בשביל לגנוב), אבל

מצד שני רוב האנשים לא יגנבו לך דברים מהבית ועדין זה רעיון חכם לשים מנעול כי כשזה קורה זה מאוד לא כיף.

דווקא הבנתי אותך וכוונתי היתה לסיסמת ההצפנה.

אכן לא ניסחתי נכון את שאלתי ולכן אנסה לשאול זאת שוב:

נניח ואותו שכן הצליח לעקוף את ההגנות (MAC Filters וההצפנה) האם העובדה שבכל המחשבים ברשת לא הוגדר כלל שיתוף במערכת

ההפעלה (לצורך העניין XP מעודכנות) לא תקשה על אותו האקר חובב שעושה שימוש בכלים שלרב אין לו מושג כיצד ליצור כאלו בעצמו ?

דבר שני האם תוספת של פיירוול כגון ZA יכולה לספק שקט נפשי כמעט מוחלט?

אפרופו קפה אני מבין שה"תוך 40 דקות" זה נתון בדוק

[pig_750]

קודם כל אני מצטער על התגובה האיטית, פשוט הייתי קצת עסוק בזמן האחרון...

"האקר" חובב (כלומר ילדי ה" point click and exploit") כנראה לא יצליח לפרוץ את ההצפנה עצמה.

אבל אם הוא כן, במקרה שנתת לא נראה לי שהוא יצליח לעשות משהו חוץ אולי מהתקפת DOS.

למעשה זה די מורכב לפרוץ מערכת עם כל העידכונים, אלא אם אתה במקרה יודע על כמה 0days או היצרן

פשוט לא טורח לתקן פירצות אבטחה ידועות ומתועדות. אגב, לא רק ה OS עצמה חייבת להיות עם העידכונים

האחרונים אלא גם כל תוכנה אחרת שמקשיבה, כן גם אלה שמקשיבות ב promiscuous mode.

הבעיה הכי גדולה לדעתי בלתת גישה לרשת הפנימית שלך זה הקטע שאתה נותן (או לפחות עושה את זה קל יותר) לתוקף

אפשרות לבצע המון התקפות רשת שיכולות לגרום לך הרבה כאב ראש, דברים כמו arp spoofing , DNS poisoning

tcp hijacking וכו'

ואני לא מדבר בכלל על sniffing או passive/active fingerprinting (שזה לא ביג דיל ברשת SOHO קטנה),

port scanning , בקיצור אני יכול להמשיך את הרשימה... אני ממליץ שתוריד את Ettercap (אחת התוכנות האהובות עלי...),

תשחק קצת ותראה איזה דברים מגניבים אפשר לעשות רק עם הפילטרים של הכלי הזה...

אגב, אם כל השמות האלה ( arp spoofing , tcp hijacking, etc ) לא נשמעים לך מוכר תעשה חיפוש

גולגל או תגיד ואני יסביר לך...(זה ממש לא מורכב).

לגבי ZA לא הייתי מגזים ואומר "שקט נפשי" אבל host based firewall זאת בהחלט תוספת נחמדה (לא יותר מזה ולא פחות)

לרשת (אם הוא מוגדר נכון), אבל קח בחשבון שזה לא בלתי אפשרי לעקוף אותו זה פשוט יותר קשה.

מה שמזכיר לי שפעם שאלתי מישהו לגבי host based IDS VS network based IDS ואז אמרתי לו: "אם נשים host based IDS

בכל שרת למה אנחנו צריכים NIDS? ", הוא ענה לי ב 3 אותיות: DNS .

טוב, זה לא קשור ישירות לפיירוולים אבל זאת אחלה השוואה בקטע של הגישה השונה בין host based firewall ל network based,

האחד לא בא על חשבון השני ושניהם לא תמיד עוזרים...

בעיקרון אם אתה משתמש בייתי כל העסק הזה לא אמור כלכך להטריד אותך, אבל עדיין זה מעניין.

אה כן, לגבי ה 40 דקות, האמת שזה די איטי בדרך כלל זה 10-15 אם אתה לא צריך לעשות fingerprinting מהיר

ויש לך את ה exploit מוכן...

וחשוב לי להגיד שאני לא פורץ לרשתות של אחרים בלי הסכמה, אני 100% white hat בקטע הזה (טוב אולי 90%...).

[עמיר]

יש לך איזה המלצות ל IDS קל לתפעול ופשוט שאפשר להריץ על מערכת לינוקס שרצה על מחשב די ישן ?

[pig_750]

זה תלוי מה אתה מתכוון כשאתה אומר קל לתפעול, בעיקרון יש IDSים מאוד בסיסיים הבעיה איתם שהם בדרך כלל באים

כחלק מחבילת אבטחה והם כולם HIDSים מאוד מאוד מוגבליים ולדעתי לפעמים גם חסרי טועלת.

אם אתה מחפש NIDS יש לך כמובן את snort , הוא ממש משוכלל, קוד פתוח ויש לו המון מדריכים, ספרים, תוספים, GUIים וכו'

IDS הוא יעיל רק אם מגדירים אותו מאוד נכון ומתוכנן. סמוך עלי אם אתה לא מגדיר אותו נכון הוא יהיה חסר טועלת

רק במקרה הטוב, במקרה הגרוע הוא יתן לך הרבה false positives מעצבנים ובמקרה הכי הכי גרוע (לדעתי) הוא יתן לך תחושת

ביטחון מדומה (קרה לי פעם שחיברתי sensor ל switch...).

הנה כמה לינקים:

http://sourceforge.net/projects/aide

http://www.prelude-ids.org/spip.php?rubrique13

http://www.snort.org/docs/

http://www.securityfocus.com/infocus/1852 (ישן אבל מעניין)

http://base.secureideas.net/ - תורם הרבה לקלות התפעול של snort

http://www.turbosnortrules.org/

http://www.geschke-online.de/FLoP/ - לא ניסיתי אבל נשמע רעיון מגניב.

לרוב מחשב ישן זאת לא בעיה (כל עוד הוא עומד בדרישות המינימום של ה OS ויש לו מספיק RAM ), אבל מאוד מאוד מאוד מומלץ

לעשות התקנה נקייה לפני שמתקינים את ה IDS וכמובן לעדכן אותו ולא להריץ עליו דברים לא נחוצים.