1 Temat przez safe0101 (edytowany przez safe0101 2021-08-29 10:19:23)

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Temat: Evil Twin AP Attack

Cześć, czy w OpenWRT jest jakiś skuteczny mechanizm obrony na ten atak warstwy 2 modelu OSI ?

W skrócie, atakujący przy użyciu np. Pineapple od Hak5, znajduje się blisko mojego AP podając taką samą nazwę sieci bezprzewodowej oraz taki sam adres MAC interfejsu bardzo mocno boost'ując sygnał.
Teraz urządzenia, które próbują połączyć się z siecią WiFi, łączą się zawsze z tym AP, który posiada najsilniejszy sygnał.
Jeśli pojawią się 2 takie same AP, z tym samym MAC oraz takim samym SSID, urządzenia zaczną łączyć się z AP, który wysyła mocniejszy sygnał (w tym przypadku z AP atakującego).

Czytałem, że zagrożenie po części można wyeliminować poprzez postawienie freeradious3 ?
Mamy na rynku dostępne darmowe programowanie takie jak Bettercap lub Kismet, ale tutaj trzeba stawiać osobną maszynę.
Są również na rynku jakieś urządzenia np. AP od WatchGuard, posiadające wbudowane mechanizmy wykrywania ataków na sieci bezprzewodowe, ale na ten moment nie chciałbym rezygnować z mojego AP na OpenWRT.

Macie może jakieś doświadczenie z tym tematem ?

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: Evil Twin AP Attack

freeradius wprowadzi Ci tylko autoryzację po wpa enterpise i tyle.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez safe0101

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

Cezary napisał/a:

freeradius wprowadzi Ci tylko autoryzację po wpa enterpise i tyle.

Cześć Cezary, można temu jakoś zapobiegać ? Ja wiem, że to już przeszło 20 lat odkąd wprowadzono IEEE 802.11b wink ale .. człowiek ciągle się uczy i podnosi świadomość ..

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: Evil Twin AP Attack

Poza jawnym ustawieniem bssid w kliencie (jak potrafi) to chyba nie masz jak.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez safe0101

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

Dzięki, trzeba będzie zrobić przesiadkę na hardware WatchGuard'a ..

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

6 Odpowiedź przez andrut

  • andrut
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-05-11
  • Posty: 292

Odp: Evil Twin AP Attack

Ale... urządzenia żeby się połączyć (albo atakujący podstawić AP) muszą najpierw się z sukcesem zautoryzować.
Zakładasz, że atakujący zna hasło do sieci, tak?

prognoza pogody dla Warszawy

7 Odpowiedź przez safe0101 (edytowany przez safe0101 2021-08-29 15:19:26)

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

Nie mam 100% pewności czy zna, czy będzie musiał poznać, a jeśli będzie musiał poznać, ile czasu mu to zajmie ..

https://hostadvice.com/how-to/how-to-cr … -and-kali/

Pytanie co bym widział w logach swojego AP, pewnie mnóstwo deauthentication ?

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: Evil Twin AP Attack

Jest jeszcze gorzej - zwykły użytkownik jeżeli mu się nie połączy to klika w ikonkę, znajduje sieć o nazwie jaką widzi, nie patrzy że jest niezabezpieczona tylko się do niej łączy. Sprawdzone w praktyce smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez safe0101 (edytowany przez safe0101 2021-08-29 15:24:00)

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

Cezary napisał/a:

Jest jeszcze gorzej - zwykły użytkownik jeżeli mu się nie połączy to klika w ikonkę, znajduje sieć o nazwie jaką widzi, nie patrzy że jest niezabezpieczona tylko się do niej łączy. Sprawdzone w praktyce smile

To prawa, dodatkowo powinno się powyłączać automatyczne połączenie z ta samą siecią na wszystkich klientach.

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

10 Odpowiedź przez ad2014

  • ad2014
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-04
  • Posty: 1,139

Odp: Evil Twin AP Attack

@safe0101  chyba trochę przesadzasz   -  w ramach zabawy  ustaw sobie jakiegoś AP z OpenWrt  ustaw 14 znakowe hasło  skomplikowane WPA2 , potem użyj tych wszystkich  poradników z neta i pokaż  wyniki  czy uda Ci sie takie hasło złamać  i ile zajmnie to czasu  - powodzenia

11 Odpowiedź przez safe0101

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

ad2014 napisał/a:

@safe0101  chyba trochę przesadzasz   -  w ramach zabawy  ustaw sobie jakiegoś AP z OpenWrt  ustaw 14 znakowe hasło  skomplikowane WPA2 , potem użyj tych wszystkich  poradników z neta i pokaż  wyniki  czy uda Ci sie takie hasło złamać  i ile zajmnie to czasu  - powodzenia

W przyszłym tygodniu dotrze do mnie Pinapple do testów, pewnie trochę zostanę z tym tematem wink

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

12 Odpowiedź przez MrB (edytowany przez MrB 2021-08-30 11:26:17)

  • MrB
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-02-27
  • Posty: 84

Odp: Evil Twin AP Attack

Fajny temat.
Lecz stanowczo Cię poniosło, pineapple nie jest niczym wyjątkowym to samo uzyskasz na rpi + 2x AR9271 + https://github.com/v1s1t0r1sh3r3/airgeddon
Z resztą kto i po co miałby atakować Twoja sieć wifi?

Zamiast zmieniać AP na jakieś cudo rodem z amerykańskich poradników, wrzuć sobie na router na przykład telegrambot i wysyłaj kto, co i kiedy łączy Ci się z siecią.

13 Odpowiedź przez safe0101 (edytowany przez safe0101 2021-08-30 11:33:46)

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

MrB napisał/a:

Fajny temat. Lecz stanowczo Cię poniosło

ad2014 napisał/a:

@safe0101  chyba trochę przesadzasz

Brakuje jeszcze, żeby ktoś napisał, otwórz sieć bezprzewodową, przecież nic się nie stanie ..

MrB napisał/a:

Z resztą kto i po co miałby atakować Twoja sieć wifi?

No właśnie, po co szyfrować, skoro nikt nie będzie tego robić ..

MrB napisał/a:

Zamiast zmieniać AP na jakieś cudo rodem z amerykańskich poradników

Ale to moja decyzja, uszanuj ją smile
Firma tego cuda specjalizuje się w tym fajnym temacie..

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

14 Odpowiedź przez MrB

  • MrB
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-02-27
  • Posty: 84

Odp: Evil Twin AP Attack

Jak najbardziej szanuję, Twoje pieniądze Twoja sprawa smile

Parę ładnych lat się tym zajmuję, stąd moje pytanie kto i po co miałby być zainteresowany prywatną siecią Jana Kowalskiego, jedyne co mi przychodzi do głowy to darmowy dostęp do internetu (Sic!)

Wektorów ataków jest multum i nie mówię tylko warstwie programowej, Ty skupiłeś się w mojej opinii na najmniej istotnym.

15 Odpowiedź przez safe0101 (edytowany przez safe0101 2021-08-30 13:43:49)

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

MrB napisał/a:

kto i po co miałby być zainteresowany prywatną siecią Jana Kowalskiego

Zakładam, że dosłownie każdy, kto ma odrobine chęci, posiada wystarczającą ilość czasu oraz trochę środków na zakup odpowiedniego sprzętu.

Nie wchodząc w dalszą polemikę związaną z przesłankami, dla których ktoś decyduje się na takie lub inne działanie, dobrze mieć AP, posiadający troszkę więcej zabezpieczeń, skupiających się bezpośrednio na sieciach bezprzewodowych.

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

16 Odpowiedź przez ad2014

  • ad2014
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-04
  • Posty: 1,139

Odp: Evil Twin AP Attack

wiekszość ataków na routery to wykorzystanie  niezałatanych  systemów . Co jak co ale OpenWrt dostaje  poprawki  błyskawicznie  w porównaniu do producentów  którzy łataja z duzym opóźnieniem  lub w ogóle .  Jezeli ktoś pozna hasło  to nie ma  jak sie bronić  dlatego tak ważne jest silne hasło.
Przy okazji  - ciekawym przeżyciem  jest  przefiltrowanie bazy haseł o wielkosci np 5 milionów   na  windowsie   smile  , na linuxie  jako tako  wink  to daje  pewien obraz  skali problemu  tongue

17 Odpowiedź przez safe0101

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

ad2014 napisał/a:

wiekszość ataków na routery to wykorzystanie  niezałatanych  systemów . Co jak co ale OpenWrt dostaje  poprawki  błyskawicznie  w porównaniu do producentów  którzy łataja z duzym opóźnieniem  lub w ogóle .

Jestem świadomy, że podatności są celem ataków. Absolutnie nie wątpię w wolne oprogramowanie tworzone przez społeczność, do którego dostępny jest kod źródłowy i każdy może mieć do niego wgląd.

Mimo wszystko firmy specjalizujące się w bezpieczeństwie sieci bezprzewodowych, tworzą sprzęt oraz oprogramowanie, które skupia się na bezpieczeństwie sieci bezprzewodowych.

Jako główna brama OpenWRT pod względem możliwości konfiguracyjnych jest zdecydowanie ok, do sieci bezprzewodowej wolę jakiś dedykowany hardware, to też może po części wynikać z mojej niewiedzy, na co trzeba brać poprawkę wink

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: Evil Twin AP Attack

Ehm. Jako że "dedykowany hardware" to też soc z oprogramowaniem producenta to sugeruję poczytać takiego sekuraka czy niebezpiecznika i poszukać o podejściu producentów do aktualizacji i poprawek znalezionych dziur...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez safe0101 (edytowany przez safe0101 2021-09-05 17:01:40)

  • Skąd: Kraków
  • Zarejestrowany: 2011-07-28
  • Posty: 528

Odp: Evil Twin AP Attack

Czytałem trochę o sprzęcie WatchGuard'a, podobno reagują szybko i mają mocno rozbudowany team zajmujący się Sec ..
Ale pisać mogą, zdaje sobie z tego sprawę ..

Opinie mają dobre na sieci, tworzą różne mechanizmy przeciwdziałające atakom skierowanym na sieci bezprzewodowe, może w przypadku tej firmy nie jest tak źle ..

Cezary napisał/a:

Ehm. Jako że "dedykowany hardware" to też soc z oprogramowaniem producenta to sugeruję poczytać takiego sekuraka czy niebezpiecznika i poszukać o podejściu producentów do aktualizacji i poprawek znalezionych dziur...

Zakładam, że z uwagi na profesje jaką się zajmują starają się dobierać układy, kierując się względami bezpieczeństwa.

Hitron CGNv4 // Cisco Meraki-MR18
TL-WR1043NDv2, Mikrotik RB2011UiAS-2HnD-IN Pracują na LEDE
https://wiki.openwrt.org/toh/mikrotik/r … ll_openwrt

safe0101's Strona