Dom Torrent

Opasnost od korištenja tuđih Wi-Fi mreža. Bežične mreže: klasifikacija, organizacija, princip rada Dobijanje kompletnih informacija o wifi mreži

Bežična Wi-Fi mreža Tambovskog državnog tehničkog univerziteta organizovana je u infrastrukturnom režimu. To znači da su računari povezani na bežičnu pristupnu tačku, koja je zauzvrat povezana na žičanu mrežu univerziteta.

Naziv univerzitetske bežične mreže (SSID) je TSTU.

Kako bi se osigurala sigurnost bežične mreže univerziteta, pristupne tačke su konfigurisane da koriste:

802.11i standard za autentifikaciju (WPA2 - Wi-Fi zaštićeni pristup 2) u korporativnom načinu rada; AES (Advanced Encryption Standard) algoritam šifriranja; PEAP-MS-CHAPv2 protokol (Microsoft Challenge Handshake Authentication Protocol verzija 2).

PAŽNJA!

Samo dva uređaja smiju raditi pod jednom prijavom! Ostali uređaji koji rade pod istom prijavom su BLOKIRANI!

Da biste saznali podržava li određeni model adaptera WPA2, provjerite web stranicu proizvođača. Ova preporuka je posebno relevantna za uređaje proizvedene prije 2006. godine.

Ako vaš računar nema instaliran mrežni adapter ili adapter ne podržava WPA2 standard, nećete moći da se povežete na univerzitetsku bežičnu mrežu.

Proizvođač može obezbijediti softver za kontrolu adaptera. Međutim, neki operativni sistemi imaju ugrađeni interfejs za upravljanje mrežnim adapterom.

Windows 7 Professional;
Windows XP Professional Service Pack 3.

Windows 7 Professional

Provjera da li vaš računar ima mrežni adapter

Da biste provjerili ima li vaš računar bežični mrežni adapter, otvorite komponentu Mrežne veze na kontrolnoj tabli:

Start -> Control Panel -> Network and Internet -> View network status and tasks -> Change adapter settings

Adapter bežične mreže je označen kao "wlan".

Da biste otvorili prozor Mrežne veze na ovom računaru.

Da biste bežičnu mrežu dodali na listu dostupnih mreža, otvorite komponentu kontrolne ploče „Upravljanje bežičnim mrežama“:

Start -> Kontrolna tabla -> Mreža i Internet -> Pregled statusa mreže i zadataka -> Upravljanje bežičnim mrežama

U prozoru koji se otvori kliknite na dugme "Dodati":

Zatim odaberite “Kreirajte mrežni profil ručno”:

Unesite informacije o bežičnoj mreži kao što je prikazano na slici ispod:

Otvorit će se prozor koji pokazuje da je bežična mreža uspješno dodana.

Konfigurisanje postavki veze

Da biste konfigurisali postavke veze, kliknite na "Promijeni postavke veze" u prozoru prikazanom iznad kada dodajete bežičnu mrežu ili otvorite prozor "Svojstva bežične mreže" odabirom linije "Svojstva" u kontekstualnom meniju bežične mreže:

Na karticama „Veza” i „Sigurnost” prozora „Svojstva bežične mreže” postavite postavke veze, kao što je prikazano na slikama ispod:

Označite polje za potvrdu „Zapamti moje akreditive za ovu vezu svaki put kada se prijavim“ ako računar koristi jedan korisnik. Ako računar koristi više korisnika, bolje je onemogućiti postavku.

Konfigurišite svojstva zaštićenog EAP-a pozivanjem odgovarajućeg prozora klikom na dugme "Opcije" na kartici "Sigurnost" u prozoru "Svojstva bežične mreže":

Potvrdite odabir parametara tipkom “OK”.

Mreža će biti dodana na listu mreža i postat će dostupna za povezivanje kada se računar nađe u dometu mreže.

Povežite se na bežičnu mrežu

Prozor će prikazati listu mreža u čijem dometu se računar nalazi:

Na listi dostupnih bežičnih mreža možete vidjeti simbol koji prikazuje jačinu signala za svaku mrežu. Što je više crtica, jači je signal. Jak signal (pet crtica) znači da je bežična mreža u blizini ili da nema smetnji. Da biste poboljšali nivo signala, možete da pomerite računar bliže pristupnoj tački.

Da biste se povezali na bežičnu mrežu, kliknite na dugme "Poveži":

Tokom procesa povezivanja biće prikazane sledeće poruke:

Za ulazak u univerzitetsku mrežu potrebno je da popunite podatke o korisničkom računu u prozoru koji se pruža, tj. unesite svoju prijavu i lozinku.

Na primjer, ispod je završen prozor za korisnika sa računom U0398:

Nakon uspješnog povezivanja, na listi bežičnih mreža će se prikazati "Povezano" i ikona će se pojaviti u polju za obavještenja.

Ako veza ne uspije, ponovo provjerite konfigurirane postavke veze. Da biste to učinili, otvorite prozor “Svojstva bežične mreže” odabirom linije “Svojstva” u kontekstnom izborniku bežične mreže:

Da biste prekinuli vezu sa mrežom, kliknite na dugme "Prekini":

Za više informacija posjetite Windows 7 Professional centar za pomoć i podršku.

Windows XP Professional Service Pack 3

Da biste se povezali na univerzitetsku bežičnu mrežu, morate izvršiti sljedeće korake:

Proverite da li vaš računar ima adapter za bežičnu mrežu.
Dodajte bežičnu mrežu na listu dostupnih mreža.
Konfigurirajte postavke veze.
Povežite se na bežičnu mrežu.

Provjera da li vaš računar ima adapter za bežičnu mrežu

Da biste povezali računar na bežičnu mrežu, na vašem računaru mora biti instaliran bežični mrežni adapter.

Da biste provjerili ima li vaš računar bežični mrežni adapter, potrebno je da otvorite “Mrežne veze”: kliknite na dugme Počni, izaberite Postavke, onda Kontrolna tabla, pronađite odjeljak "mrežne veze":

Start -> Settings -> Control Panel -> Network Connections

Adapteri instalirani u računar će biti navedeni ovde. Bežični mrežni adapter ima oznaku „Bežična mrežna veza“.

Ako je uređaj isključen, morate ga uključiti. Da biste to učinili, desnom tipkom miša kliknite kontekstni izbornik i odaberite "Omogući" ili kliknite na zadatak "Omogući mrežni uređaj".

Da uključite ovaj uređaj, morate biti administrator na ovom računaru.

Kada je mrežni adapter uključen, ikona je vidljiva u traci poslova.

Dodavanje bežične mreže na listu dostupnih mreža

Da biste bežičnu mrežu dodali na listu dostupnih mreža, morate otvoriti “Mrežne veze”: kliknite na dugme Počni, izaberite Postavke, onda Kontrolna tabla, pronađite odjeljak "mrežne veze":

Kliknite desnim tasterom miša da otvorite kontekstni meni za bežičnu mrežnu vezu i izaberite liniju "Svojstva", ili kliknite na zadatak "Promjena postavki veze".

Otkrivanje ranjivih uređaja i usluga na ciljnoj mreži bez ostavljanja ikakvog traga može biti teško jer hakeri prvo napadaju ruter prije nego što dalje istražuju. Međutim, postoji način da tajno dešifrujete i vidite nečiju Wi-Fi aktivnost bez povezivanja na njihovu bežičnu mrežu.

Ako prvo pogledate šta hakeri rade s ruterima, oni obično uključuju razne napade grube sile za WPA rukovanje ili phishing lozinke za Wi-Fi. Nakon što dobiju akreditive, odmah počinju istraživati ugroženu mrežu koristeći različite alate i tehnike.

Skeneri portova stvaraju veliku buku na bežičnim mrežama. Napadi čovjeka u sredini mogu biti pretjerano agresivni i upozoriti korisnike i administratore na prisustvo hakera na mreži. Ruteri čuvaju evidenciju informacija o svakom uređaju koji se povezuje na mrežu. Svaka radnja koju poduzmete dok ste povezani na mrežu može na neki način dovesti do toga da budete otkriveni na kompromitovanom ruteru.

Stoga je najbolje da se uopće ne povezujete na Wi-Fi ruter. U ovom članku ćemo detaljnije pogledati kako hakeri presreću pakete (dok se prenose na ili sa rutera) i dešifriraju WPA2 promet u realnom vremenu. Ove informacije su važne za one od vas koji žele postati profesionalci u IT sigurnosti.

Kako ovaj napad funkcionira?

Podaci se šalju na i iz rutera putem prijenosnih računala i pametnih telefona putem šifriranih radio valova. Ovi radio talasi prenose podatke preko vazduha. Preneseni podaci nisu vidljivi ljudskom oku, ali se mogu prikupiti pomoću alata kao što je Airodump-ng. Prikupljeni podaci se zatim mogu analizirati pomoću Wiresharka.

Wireshark je najnapredniji i najrašireniji mrežni analizator na svijetu. Ovo korisnicima daje mogućnost da vide šta se dešava na mrežama na mikroskopskom nivou. Zbog toga je Wireshark alat za mrežnu inspekciju koji koriste komercijalne i neprofitne organizacije, vladine agencije i obrazovne institucije.

Jedna od sjajnih karakteristika Wireshark-a omogućava hakerima da dešifruju i vide aktivnost rutera koja se prenosi putem zraka u običnom tekstu, a upravo to je ono što ćemo pokriti u ovom članku.

Korak 1: Pronađite svoju ciljnu mrežu

Airodump-ng je dostupan na svim popularnim distribucijama Linuxa i radit će na virtuelnim mašinama i Raspberry Pi. Koristit ćemo Kali Linux za prikupljanje podataka koji pripadaju Wi-Fi ruteru kojim sami kontroliramo. Ako nikada prije niste koristili Airdodump-ng, tada možete naučiti osnove rada s njim iz naših članaka na web stranici.

Da biste omogućili način nadzora na bežičnom adapteru, koristite sljedeću naredbu:

Airmon-ng start wlan0

Pronađite svoju ciljnu mrežu. Da vidite sve dostupne Wi-Fi mreže u blizini, koristite naredbu ispod. Fokusiraćemo se na naš ruter "Null Byte" kao primjer.

Airodump-ng wlan0mon

Obratite pažnju na BSSID, CH i ESSID. Ove informacije su neophodne za prikupljanje podataka koji se šalju na ruter.

Korak 2. Prikupite Wi-Fi podatke

Da biste započeli prikupljanje podataka koji pripadaju ciljnoj mreži, unesite naredbu ispod, zamjenjujući relevantne dijelove onim s kojima radite:

Airodump-ng --bssid MacTarget adresa --essid Ime rutera -c Broj kanala -w Gdje sačuvati podatke wlan0mon

Sakupljene podatke ćemo sačuvati u /tmp direktorijumu u datoteci pod nazivom “null_byte” koristeći argument -w. Airodump-ng će automatski dodati broj na kraj naziva datoteke, tako da će on zapravo biti sačuvan u /tmp direktorijumu kao "null_byte-01.cap".

Evo šta možete očekivati od funkcionalnog Airodump-ng terminala:

Najvažnija stvar koju treba pažljivo pogledati je WPA rukovanje u gornjem desnom uglu. Wireshark mora uspješno završiti rukovanje kako bi se Wi-Fi promet mogao kasnije dešifrirati. Da biste prisilili uređaje da se isključe iz mreže, možete koristiti Aireplay-ng. Završetak ovog zadatka će zahtijevati ponovno povezivanje uređaja na mrežu i uspješno dovršavanje WPA rukovanja, ali to može izazvati sumnju među korisnicima koji su već povezani na mrežu.

Sve dok Airodump-ng terminal radi, podaci će nastaviti da se akumuliraju. Airodump-ng terminal može raditi satima ili čak danima. U našoj Airodump-ng demo sesiji, dozvolili smo prikupljanje paketa 15 minuta. Vrijeme koje je Airodump-ng radio može se vidjeti u gornjem lijevom uglu terminala.

Obratite pažnju na kolonu #Data na gornjoj slici ekrana. Ovaj broj označava koliko je paketa podataka prikupljeno. Što je broj veći, veća je vjerovatnoća da će hakeri otkriti osjetljive informacije koje se mogu koristiti za „zakretanje“ u mrežu ili dalje kompromitovanje cilja.

Kada se prikupi dovoljno podataka, sesija Airodump-ng se može zaustaviti pritiskom na Ctrl + C. Sada će biti datoteka "null_byte-01.cap" (ili datoteka s imenom koje ste za nju odabrali) u /tmp imenik. Ovaj .cap fajl će se morati otvoriti pomoću Wiresharka.

Korak 3: Instalirajte najnoviju verziju Wiresharka

Podrazumevano, Wireshark je uključen u skoro sve verzije Kalija. Postoji nekoliko verzija koje ne uključuju Wireshark, pa evo kratkog pregleda kako ga instalirati u Kali.

Prvo pokrenite naredbu apt-get update kako biste osigurali da je najnovija verzija Wiresharka dostupna za preuzimanje. Otvorite terminal i unesite naredbu ispod:

Sudo apt-dobi ažuriranje

Zatim koristite sljedeću naredbu da instalirate Wireshark:

Sudo apt-get install wireshark

Možete koristiti && znakove između dvije komande kao što je prikazano na slici iznad. Ovo će naložiti terminalu da prvo sinhronizuje indeks paketa sa Kali repozitorijumima. A onda, nakon uspješnog ažuriranja, ona će instalirati Wireshark.

Korak 4: Pokrenite Wireshark

Kada se to uradi, Wireshark se može naći u kategoriji Sniffing & Spoofing u meniju Aplikacije. Da biste pokrenuli Wireshark, jednostavno kliknite na ikonu.

Korak 5: Konfigurirajte Wireshark za dešifriranje podataka

Da konfigurišete Wireshark da dešifruje podatke pronađene u .cap datoteci, kliknite na dugme Uredi na gornjoj traci menija, a zatim idite na Preferences i proširite padajući meni Protokoli.

Zatim se pomaknite prema dolje i odaberite "IEEE 802.11". Polje za potvrdu “Omogući dešifriranje” mora biti označeno. Zatim kliknite na dugme „Uredi“ da dodate ključeve za dešifrovanje za određenu Wi-Fi mrežu.

Pojavit će se novi prozor. Ovdje ćete morati navesti lozinku i ime rutera. Morate unijeti svoje vjerodajnice tako što ćete lozinku i ime rutera odvojiti dvotočkom (na primjer, lozinka: ime_rutera).

Prvo odaberite Tip ključa "wpa-pwd". Ovaj tip ključa je potreban za postavljanje WPA lozinke u obliku običnog teksta. Lozinka za Wi-Fi mrežu "Null Byte" je dugačak kodirani niz, tako da smo uneli "bWN2a25yMmNuM2N6amszbS5vbmlvbg ==: Null Byte" u kolonu Ključ. Drugi primjer bi bio "Wonderfulboat555:NETGEAR72", gdje je "Wonderfulboat555" lozinka rutera pod nazivom "NETGEAR72".

Kada to učinite, kliknite na OK da sačuvate svoje vjerodajnice. Wireshark će sada automatski početi dešifrirati podatke koji pripadaju Wi-Fi mreži "Null Byte" kada se uveze .cap fajl.

Korak 6: Izvršite duboku inspekciju paketa (DPI)

Da biste uvezli .cap datoteku u Wireshark, kliknite na meni Datoteka, a zatim kliknite na Otvori. Datoteka .cap se može naći u direktoriju /tmp. Odaberite ga, a zatim kliknite na "Otvori". Ovisno o tome koliko dugo Airodump-ng terminal prikuplja podatke, može proći nekoliko minuta da Wireshark uveze i dešifruje sve podatke.

Kada se .cap datoteka otvori u Wiresharku, možete vidjeti hiljade linija sirovog web prometa. Ovaj prizor može biti pomalo zastrašujući. Srećom, Wireshark ima Display filtere koje možete koristiti za kontrolu i filtriranje paketa koje ne želite. Na mreži postoji mnogo varalica za ove filtere za prikaz koji pomažu korisnicima Wiresharka da pronađu relevantne i osjetljive podatke. Ali danas ćemo pogledati neke od najkorisnijih filtera za prikaz koje hakeri koriste za provjeru aktivnosti koje se dešavaju na mreži.

1. Potražite podatke POST zahtjeva

HTTP POST zahtjev se često koristi prilikom učitavanja datoteke na server ili prijenosa prijava i lozinki na web-stranice. Kada se neko prijavi na Facebook ili objavi komentar na dnu ovog članka, to se radi pomoću POST zahtjeva.

POST podaci u .cap datoteci najvjerovatnije sadrže podatke koji najviše kompromituju i otkrivaju. Hakeri mogu pronaći korisnička imena (logine), lozinke, prava imena, kućne adrese, adrese e-pošte, dnevnike razgovora i još mnogo toga. Za filtriranje podataka POST zahtjeva, unesite niz ispod u panel filtera prikaza:

Http.request.method == "POST"

U našem primjeru, prijavili smo se za nasumično odabranu web stranicu koju smo pronašli na Internetu. Bilo bi naivno misliti da bi iko tražio obavještenja putem e-pošte sa svojih omiljenih web stranica s vijestima.

Ako su POST zahtjevi pronađeni u .cap datoteci, kolona Info će prikazati koji redovi sadrže podatke POST zahtjeva. Dvostruki klik na jednu od linija će uzrokovati da se pojavi novi Wireshark prozor koji sadrži dodatne informacije. Pomaknite se prema dolje i proširite padajući izbornik "HTML obrazac" da analizirate podatke.

Nakon analize prikupljenih podataka iz ovog jednog POST zahtjeva, pronašli smo dosta informacija koje pripadaju nekom korisniku na mreži.

Prikupljeni podaci uključuju ime, prezime i email adresu, koji se kasnije mogu koristiti za phishing i ciljane hakove.

Osim toga, web stranica ima obavezno polje za lozinku koje se može dodati na liste lozinki ili za napade grubom silom. Nije neuobičajeno da ljudi koriste lozinke za više naloga. Naravno, moguće je da će lozinka omogućiti napadaču pristup Gmail nalogu, koji se takođe nalazi u podacima POST zahteva.

Također vidimo da se u ovim podacima nalazi i naziv kompanije u kojoj vjerovatno radi Christopher Hadnagy. Ovu informaciju haker može koristiti za naknadne mjere socijalnog inženjeringa.

Skrolujući kroz podatke POST zahtjeva malo dalje, pojavljuju se još zanimljivije informacije. Puna kućna adresa, poštanski broj i broj telefona. Ovo može dati hakeru informaciju o tome kojoj kući pripada Wi-Fi ruter i broj telefona, koji se kasnije može koristiti i za društveni inženjering ako haker odluči poslati lažne SMS poruke, na primjer.

2. Potražite podatke GET zahtjeva

HTTP GET zahtjev se koristi za preuzimanje ili preuzimanje podataka sa web servera. Na primjer, ako neko pogleda moj Twitter nalog, njegov pretraživač će koristiti GET zahtjev za preuzimanje podataka sa twitter.com servera. Provjera .cap datoteke za GET zahtjeve neće dati korisnička imena ili adrese e-pošte, ali će omogućiti hakeru da razvije sveobuhvatan profil navika pretraživanja web stranica.

Da biste filtrirali podatke GET zahtjeva, unesite sljedeći red u panel filtera prikaza:

Http.request.method == "GET"

Mnoge web stranice dodaju .html ili .php na kraj svojih URL-ova. Ovo može biti pokazatelj da je neko pregledao web stranicu na Wi-Fi mreži.

Možda bi bilo korisno filtrirati GET zahtjeve koji se odnose na CSS i fontove, jer se ove vrste zahtjeva dešavaju u pozadini kada pretražujete Internet. Da filtrirate CSS sadržaj, koristite filter Wireshark kao što je ovaj:

Http.request.method == "GET" && !(http.request.line odgovara "css")

Ovdje && doslovno znači “i”. Znak uzvika (!) ovdje znači "ne", tako da Wireshark ima instrukcije da prikazuje samo GET zahtjeve i ne prikazuje one HTTP linije zahtjeva koji se na bilo koji način podudaraju sa css-om. Ova linija uspješno filtrira sve beskorisne informacije povezane s redovnim web resursima.

Klikom na jedan od ovih redova da istražite HTTP podatke, dobićete detaljnije informacije.

Vidimo da cilj koristi Windows računar čiji je User-Agent Chrome pretraživač. Što se tiče hardverskog izviđanja, takve informacije su vrlo vrijedne. Hakeri sada mogu sa visokim stepenom sigurnosti da generišu najprikladnije opterećenje za ovog korisnika, specifično za operativni sistem Windows koji se koristi.

Polje „Referer“ nam govori koju je stranicu korisnik gledao neposredno prije nego što je pogledao tomsitpro.com. To najvjerovatnije znači da su pronašli članak "white hat hacker career" putem upita za pretraživanje na duckduckgo.com.

Polje “Referrer” koje sadrži DuckDuckGo umjesto uobičajenog Google-a moglo bi ukazivati na to da je ovaj korisnik odgovoran za svoju privatnost, budući da je Google poznat po agresivnim pravilima koja su štetna za njegove klijente. Ovo su informacije koje će hakeri uzeti u obzir prilikom kreiranja ciljanog tereta.

3. Potražite DNS podatke

Podrazumevano, šifrovani internet saobraćaj će se slati na port 443. Možda mislite da bi bilo dobro da koristite filter za prikaz tcp.port == 443 da biste bolje razumeli koje se sajtove gledaju, ali to se obično prikazuje kao sirova IP adresa adrese u odredištu kolone, što nije baš zgodno za brzo prepoznavanje domena. U stvari, efikasniji način za identifikaciju web lokacija koje šalju i primaju šifrirane podatke je filtriranje DNS upita.

Sistem imena domena (DNS) se koristi za prevođenje uobičajenih naziva web stranica u mašinski čitljive IP adrese kao što je https://104.193.19.59. Kada posjetimo domenu kao što je google.com, naš računar pretvara čovjeku čitljivo ime domene u IP adresu. To se događa svaki put kada koristimo ime domene kada pregledavamo web stranice, šaljemo e-poštu ili razgovaramo na mreži.

Analiza .cap datoteke za DNS upite dodatno će pomoći hakerima da shvate koje stranice često posjećuju ljudi povezani s ovim ruterom. Hakeri mogu vidjeti imena domena koje pripadaju web lokacijama koje šalju i primaju šifrirane podatke na ili sa ovih stranica, kao što su Facebook, Twitter i Google.

Da filtrirate DNS podatke, unesite naredbu ispod u polje filtera za prikaz:

Gledanje DNS upita može nam pružiti neke zanimljive informacije. Jasno možemo vidjeti da je ovaj korisnik pregledavao web stranice za putovanja kao što su expedia.com i kayak.com. To može značiti da će uskoro otići na godišnji odmor na duži vremenski period.

Ovi podaci su šifrirani tako da hakeri ne mogu saznati informacije o letu ili pojedinosti o polasku, ali korištenje ovih informacija za slanje phishing poruka može pomoći hakeru da društveno inženjerira korisnika da otkrije lične ili finansijske podatke.

Na primjer, ako se otkriju DNS upiti za web stranicu određene banke, hakeri bi mogli prevariti e-poštu te banke i prevariti korisnika da izvrši veliku transakciju Expedia kreditnom karticom. Lažna e-pošta također može sadržavati precizne informacije o meti, link do lažne bankarske stranice (koju kontroliraju hakeri) itd.

Kako zaštititi lične podatke od hakera

Na prvi pogled, svi lični podaci koji se nalaze u .cap fajlu izgledaju sasvim nevino. Ali nakon analize samo nekoliko paketa, saznali smo pravo ime, login, lozinku, email adresu, kućnu adresu, broj telefona, proizvođača hardvera, operativni sistem, pretraživač, navike pregledavanja određenih web stranica i još mnogo toga.

Svi ovi podaci su prikupljeni čak i bez povezivanja na ruter. Korisnici nisu ni znali da im se to dogodilo. Sve ove podatke napadači mogu koristiti za pokretanje složenog i visoko ciljanog hakovanja protiv kompanija ili pojedinaca.

Imajte na umu da su svi lični podaci otkriveni u ovom članku dostupni i Internet provajderima (ISP). Čitaoci bi trebali biti svjesni da DPI obavljaju ISP-ovi svaki dan. Da biste se zaštitili od ovoga:

Koristite jače lozinke. Sprovođenje grube sile za probijanje lakih lozinki glavni je metod hakera da dobiju pristup Wi-Fi ruterima.
Koristite VPN. Korištenjem šifrirane veze između vas i VPN provajdera, svi podaci koje smo pronašli u ovom članku neće biti dostupni hakerima. Međutim, ako VPN provajder evidentira ili izvodi DPI, tada bi svi podaci također bili lako dostupni hakerima.
Koristite Tor. Za razliku od VPN-a, Tor mreža je izgrađena na drugačijem sigurnosnom modelu koji ne prenosi naše podatke na jednu mrežu ili ISP.
Koristite SSL/TLS. Sigurnost transportnog sloja - Sigurnost transportnog sloja (HTTPS) će šifrirati vaš web promet između vašeg pretraživača i web stranice. Alati poput , mogu pomoći kod šifriranja cjelokupnog prometa vašeg web preglednika.

Poricanje odgovornosti: Ovaj članak je napisan samo u obrazovne svrhe. Autor ili izdavač nije objavio ovaj članak u zlonamjerne svrhe. Ako čitatelji žele koristiti informacije za ličnu korist, autor i izdavač nisu odgovorni za bilo kakvu štetu ili štetu.

Nisam baš dobar u objavljivanju na temu zakonodavstva i “papirne” sigurnosti, pa ću se okušati u drugom žanru – hajde da pričamo o praktičnoj sigurnosti. Tema današnjeg posta bit će opasnosti korištenja tuđih Wi-Fi mreža.
Mislim da su mnogi stručnjaci već upoznati s ovom temom, ali će možda u ovom članku pronaći i nešto novo za sebe.

Započnimo razgovor s otvorenim Wi-Fi mrežama, mnogima tako omiljenim zbog odsustva lozinki, dostupnosti na mnogim javnim mjestima i, obično, dobre brzine interneta (u poređenju sa pristupom putem mobilnih mreža). Ali otvorene mreže pune su velike opasnosti - sav promet doslovno "lebdi u zraku", nema enkripcije ili zaštite od presretanja. Svaki korisnik bez posebnog znanja, koristeći gotove programe, može presresti i analizirati sav vaš promet.

Da vidimo kako ovo funkcionira - da bih pokazao, postavio sam svoju kućnu pristupnu tačku na otvoreni mrežni način:

Zatim sam se spojio na ovu mrežu sa laptopa i sa Android tableta, instalirao sam Intercepter-NG aplikaciju na tablet, dostupna je i za Windows. Aplikacija zahtijeva prava super-korisnika; nakon pokretanja, početni prozor vas poziva da skenirate računare koji su dostupni u području vidljivosti:

Nakon što sam označio svoj laptop (IP 192.168.0.101), idem na sljedeći ekran i počinjem presretanje paketa. Nakon toga otvaram Yandex na svom laptopu:

Sniffer je pouzdano hvatao otvaranje stranica, a ako odete na karticu sa slikom kolačića, možete vidjeti listu svih mojih kolačića koje je moj pretraživač na laptopu poslao i primio prilikom pregledavanja stranica. Istovremeno, klikom na bilo koji od redova, Intercepter-NG otvara pretraživač i ubacuje presretnute kolačiće, tako da, čak ni ne uhvativši trenutak autorizacije žrtve na sajtu od interesa, možete ući u njegovu otvorenu sesiju. Ova vrsta napada se naziva „otmica sesije“ – „krađa“ sesije.

Dakle, pokazao sam u praksi da u otvorenoj Wi-Fi mreži u principu nema zaštite. Ali naslov ovog posta kaže „strane“ Wi-Fi mreže, a ne „otvorene“. Pređimo na drugi aspekt bežične sigurnosti – presretanje saobraćaja unutar zatvorene mreže. Rekonfigurisao sam ruter tako što sam omogućio WPA2 sa unapred deljenim ključem (ovaj tip zaštite Wi-Fi mreže se koristi u 80% pristupnih tačaka):

Ponovo se povezujem na mrežu sa laptopa i tableta i ponovo pokrećem Intercepter-NG - prilikom skeniranja ponovo vidi laptop - biram ga i pokrećem presretanje saobraćaja, paralelno sa laptopa idem na nekoliko sajtova sa HTTP-Basic autorizacijom, a evo šta vidim na tabletu:

Saobraćaj je uspješno presretan - "napadač" sada zna moju lozinku za web sučelje rutera i drugu stranicu. Osim toga, otmica sesije funkcionira na isti način - na kraju krajeva, sav promet se presreće.
Kada koristite WEP i WPA, sve je vrlo jednostavno; isti ključevi se koriste za šifriranje različitih uređaja na istoj mreži. Budući da „napadač“ također poznaje ovaj ključ i sjedi na istoj mreži, on i dalje presreće sav promet i dešifruje ga poznatim ključem.
Koristio sam WPA2, u kojem je ovaj problem riješen i klijenti koriste različite ključeve za šifriranje, ali sadrži ozbiljnu ranjivost i, znajući autorizacijski ključ i presretanje određenog skupa paketa, možete otkriti takozvani Pairwise Transient Key - ključ koji šifrira promet za promet koji nas zanima klijent.

Kao što je praksa pokazala, problem se može djelomično riješiti omogućavanjem opcije AP Isolation, koju podržava većina modernih Wi-Fi rutera:

Međutim, ovo nije lijek; mogućnost presretanja pomoću Intercepter-NG za Android nestaje, ali funkcionalniji uslužni programi, na primjer, Airodump-ng i dalje rade. Nisam detaljnije proučavao razliku u radu ovih uslužnih programa i razloge zašto Intercepter-NG ne radi, odlažući ovu temu za kasnije.Osim toga, nemoguće je saznati da li je omogućena izolacija na mreži na koju povezujete se (na primjer, u kafiću ili na nekom događaju) bez praktične provjere.

Shvatili smo opasnosti korištenja tuđih Wi-Fi mreža, ali ostaje pitanje zaštite. Postoji dosta metoda, glavna ideja je dodatno šifriranje cjelokupnog prometa, a postoji dovoljno metoda implementacije - striktno korištenje SSL-a gdje god je to moguće (HTTPS, SSH, SFTP, SSL-POP, IMAP4-SSL, itd.), povezivanje preko VPN-a, korištenje distribuirane mreže za šifriranje kao što je TOR i tako dalje. Ova tema je prilično opsežna i zaslužuje poseban post.

Da biste zaštitili svoju Wi-Fi mrežu i postavili lozinku, morate odabrati vrstu sigurnosti bežične mreže i metod šifriranja. I u ovoj fazi, mnogi ljudi imaju pitanje: koju odabrati? WEP, WPA ili WPA2? Lično ili Enterprise? AES ili TKIP? Koje sigurnosne postavke će najbolje zaštititi vašu Wi-Fi mrežu? Na sva ova pitanja pokušat ću odgovoriti u okviru ovog članka. Razmotrimo sve moguće metode provjere autentičnosti i šifriranja. Hajde da saznamo koji su sigurnosni parametri Wi-Fi mreže najbolje postavljeni u postavkama rutera.

Imajte na umu da su tip sigurnosti ili autentikacija, mrežna autentikacija, sigurnost, metoda provjere autentičnosti ista stvar.

Vrsta provjere autentičnosti i šifriranje su glavne sigurnosne postavke za bežičnu Wi-Fi mrežu. Mislim da prvo treba da shvatimo šta su, koje verzije postoje, njihove mogućnosti itd. Nakon toga ćemo saznati koju vrstu zaštite i enkripcije izabrati. Pokazat ću vam na primjeru nekoliko popularnih rutera.

Toplo preporučujem postavljanje lozinke i zaštitu bežične mreže. Postavite maksimalni nivo zaštite. Ako ostavite mrežu otvorenu, bez zaštite, tada se svako može spojiti na nju. Ovo je prvenstveno nesigurno. I dodatno opterećenje vašeg rutera, pad brzine veze i sve vrste problema s povezivanjem različitih uređaja.

Zaštita Wi-Fi mreže: WEP, WPA, WPA2

Postoje tri opcije zaštite. Naravno, ne računajući "Otvoreno" (bez zaštite).

WEP(Wired Equivalent Privacy) je zastarjela i nesigurna metoda provjere autentičnosti. Ovo je prva i ne baš uspješna metoda zaštite. Napadači mogu lako pristupiti bežičnim mrežama koje su zaštićene WEP-om. Nema potrebe da postavljate ovaj način rada u postavkama vašeg rutera, iako je tamo prisutan (ne uvijek).
WPA(Wi-Fi zaštićeni pristup) je pouzdana i moderna vrsta sigurnosti. Maksimalna kompatibilnost sa svim uređajima i operativnim sistemima.
WPA2– nova, poboljšana i pouzdanija verzija WPA. Postoji podrška za AES CCMP enkripciju. U ovom trenutku, ovo je najbolji način zaštite Wi-Fi mreže. Ovo je ono što preporučujem da koristite.

WPA/WPA2 može biti dva tipa:

WPA/WPA2 - Lični (PSK)- Ovo je uobičajena metoda autentifikacije. Kada trebate samo postaviti lozinku (ključ) i zatim je koristiti za povezivanje na Wi-Fi mrežu. Ista lozinka se koristi za sve uređaje. Sama lozinka je pohranjena na uređajima. Gdje ga možete pogledati ili promijeniti ako je potrebno. Preporučuje se korištenje ove opcije.
WPA/WPA2 - Enterprise- složenija metoda koja se uglavnom koristi za zaštitu bežičnih mreža u uredima i raznim ustanovama. Omogućava viši nivo zaštite. Koristi se samo kada je instaliran RADIUS server za autorizaciju uređaja (koji daje lozinke).

Mislim da smo otkrili metod autentifikacije. Najbolja stvar za korištenje je WPA2 - Personal (PSK). Za bolju kompatibilnost, kako ne bi bilo problema sa povezivanjem starijih uređaja, možete postaviti WPA/WPA2 mješoviti način rada. Ovo je zadana postavka na mnogim ruterima. Ili označeno kao "Preporučeno".

Šifriranje bežične mreže

Postoje dva načina TKIP I AES.

Preporučljivo je koristiti AES. Ako imate starije uređaje na mreži koji ne podržavaju AES enkripciju (već samo TKIP) i biće problema pri povezivanju sa bežičnom mrežom, postavite ga na "Auto". Tip TKIP enkripcije nije podržan u 802.11n modu.

U svakom slučaju, ako instalirate striktno WPA2 - Personal (preporučeno), tada će biti dostupna samo AES enkripcija.

Koju zaštitu da instaliram na svom Wi-Fi ruteru?

Koristi WPA2 - Lični sa AES enkripcijom. Danas je ovo najbolji i najsigurniji način. Ovako izgledaju bezbednosne postavke bežične mreže na ASUS ruterima:

A ovako izgledaju ove sigurnosne postavke na ruterima iz TP-Link-a (sa starim firmverom).

Možete vidjeti detaljnije upute za TP-Link.

Upute za ostale rutere:

Ako ne znate gdje pronaći sve ove postavke na vašem ruteru, napišite u komentarima, pokušat ću vam reći. Samo ne zaboravite navesti model.

Budući da stariji uređaji (Wi-Fi adapteri, telefoni, tableti itd.) možda neće podržavati WPA2 - Personal (AES), u slučaju problema sa vezom, postavite mješoviti način rada (Auto).

Često primjećujem da nakon promjene lozinke ili drugih sigurnosnih postavki uređaji ne žele da se povežu na mrežu. Računari mogu dobiti grešku "Mrežne postavke sačuvane na ovom računaru ne ispunjavaju zahtjeve ove mreže." Pokušajte izbrisati (zaboraviti) mrežu na uređaju i ponovo se povezati. Napisao sam kako se to radi na Windows 7. Ali u Windowsu 10 vam treba .

Lozinka (ključ) WPA PSK

Koju god vrstu sigurnosti i metode šifriranja odaberete, morate postaviti lozinku. Također poznat kao WPA ključ, bežična lozinka, sigurnosni ključ Wi-Fi mreže itd.

Dužina lozinke je od 8 do 32 karaktera. Možete koristiti slova latinice i brojeve. Također specijalni znakovi: - @ $ # ! itd. Bez razmaka! Lozinka je osjetljiva na velika i mala slova! To znači da su "z" i "Z" različiti znakovi.

Ne preporučujem postavljanje jednostavnih lozinki. Bolje je kreirati jaku lozinku koju niko ne može pogoditi, čak i ako se jako trudi.

Malo je vjerovatno da ćete moći zapamtiti tako složenu lozinku. Bilo bi lijepo to negdje zapisati. Nije neuobičajeno da se lozinke za Wi-Fi jednostavno zaborave. Napisao sam u članku šta učiniti u takvim situacijama: .

Ako vam je potrebna još veća sigurnost, možete koristiti vezivanje MAC adrese. Istina, ne vidim potrebu za ovim. WPA2 - Lični uparen sa AES-om i složena lozinka je sasvim dovoljna.

Kako štitite svoju Wi-Fi mrežu? Pišite u komentarima. Pa postavljaj pitanja :)

Potreba za stvaranjem virtuelne pristupne tačke na laptopu može se pojaviti iz različitih razloga. Za neke je važno dijeliti pristup internetu putem 3G ili WiMax modema za druge bežične uređaje. I neko želi da napravi lažnu pristupnu tačku (Rogue AP) i, mame klijente, otme njihov saobraćaj. Ali malo ljudi zna da je mogućnost da se to uradi ugrađena u sam Windows!

Pojavom pokrivenosti 3G mrežom mobilnih operatera, počeo sam sve češće koristiti mobilni internet. Ako radite preko USB modema, često možete postići prilično podnošljivu vezu. Štoviše, takvi uređaji su vrlo jeftini i prodaju se u kompletu sa vrlo povoljnim tarifama koje vas neće uništiti prvog dana korištenja. Jedan od problema koji me je zbunio nakon kupovine 3G modema bio je organizovanje pristupne tačke sa mog laptopa kako bih mogao da distribuiram mobilni internet na druge bežične uređaje putem Wi-Fi mreže.

Mac OX X

U Mac OS X-u vjerovatno neće biti moguće učiniti da standardni adapter radi u infrastrukturnom načinu rada. Ali možete dijeliti internet za jednog klijenta koji se povezuje na MacBook putem bežične mreže čak i bez ulaska u konzolu.

Kako olakšati život?

Dakle, da bismo podigli punu pristupnu tačku, trebalo nam je samo nekoliko komandi u konzoli i nekoliko klikova mišem. Ali žurim da vas razočaram: odmah nakon ponovnog pokretanja ili odjavljivanja sa sistema (čak i u režimu mirovanja), sve operacije će se morati ponoviti. Nezgodno je i zamorno. Srećom, bilo je mnogo programera koji su pročitali MSDN članak o bežičnoj hostiranoj mreži i implementirali uslužne programe kako bi postavljanje softverske pristupne tačke učinili lakšim i razumljivijim.

Preporučujem dva: Virtual Router i Connectify. Oba su besplatna i omogućavaju vam da odaberete vezu preko praktičnog GUI interfejsa koji želite da delite pomoću softverske pristupne tačke, a zatim podignite pristupnu tačku u dva klika. U ovom slučaju, ne morate svaki put unositi SSID i mrežni ključ: sve će raditi čak i nakon ponovnog pokretanja.

Virtuelni ruter pruža minimum funkcionalnosti i nije razvijen dugo vremena, ali se distribuira kao open source (dobar primer korišćenja odgovarajućih API poziva sistema). Ovo je u suštini grafička verzija netsh komandi.

Uslužni program Connectify je mnogo sofisticiraniji. Da bi implementirao dodatne funkcije koje nisu obezbeđene standardnim mogućnostima Windows-a, on čak mora da instalira virtuelne uređaje i drajvere u sistem. I to donosi plodove. Na primjer, ne morate vezati tip šifriranja WPA2-PSK/AES za ožičenu bežičnu hostiranu mrežu: ako želite, stvorite barem otvorenu pristupnu tačku. Ovo je posebno važno za kloniranje parametara postojeće bežične mreže (na primjer, za proširenje njenog dometa ili stvaranje lažne pristupne točke). Osim toga, Connectify ima ugrađeni UPnP server i omogućava vam da dijelite svoju VPN vezu (uključujući OpenVPN). Sa takvim mogućnostima, vaša virtuelna pristupna tačka će sigurno naći primenu.

Ali da bismo lakše razumjeli u kojim situacijama je to potrebno, pripremili smo za vas izbor najpopularnijih slučajeva. O njima možete pročitati na bočnoj traci.