Faren ved å bruke andres Wi-Fi-nettverk. Trådløse nettverk: klassifisering, organisering, operasjonsprinsipp Innhenting av fullstendig informasjon om wifi-nettverket
Det trådløse Wi-Fi-nettverket til Tambov State Technical University er organisert i infrastrukturmodus. Det betyr at datamaskiner kobles til et trådløst aksesspunkt, som igjen er koblet til universitetets kablede nettverk.
Universitetets trådløse nettverksnettverksnavn (SSID) er TSTU.
For å sikre sikkerheten til universitetets trådløse nettverk, er tilgangspunkter konfigurert til å bruke:
- 802.11i autentiseringsstandard (WPA2 - Wi-Fi Protected Access 2) i Enterprise-bedriftsmodus; AES (Advanced Encryption Standard) krypteringsalgoritme; PEAP-MS-CHAPv2-protokoll (Microsoft Challenge Handshake Authentication Protocol versjon 2).
MERK FØLGENDE!
Kun to enheter er tillatt å operere under én pålogging! Andre enheter som opererer under samme pålogging er BLOKKERT!
For å finne ut om en spesifikk adaptermodell støtter WPA2, sjekk produsentens nettsted. Denne anbefalingen er spesielt relevant for enheter produsert før 2006.
Hvis datamaskinen din ikke har en nettverksadapter installert eller adapteren ikke støtter WPA2-standarden, vil du ikke kunne koble til universitetets trådløse nettverk.
Produsenten kan levere programvare for å kontrollere adapteren. Noen operativsystemer har imidlertid et innebygd administrasjonsgrensesnitt for nettverkskort.
- Windows 7 Professional;
- Windows XP Professional Service Pack 3.
Windows 7 Professional
Sjekker om datamaskinen har en nettverksadapter
For å sjekke om datamaskinen har en trådløs nettverksadapter, åpne komponenten Nettverkstilkoblinger i Kontrollpanel:
Start -> Kontrollpanel -> Nettverk og Internett -> Vis nettverksstatus og oppgaver -> Endre adapterinnstillinger
Det trådløse nettverkskortet er merket "wlan".
For å åpne vinduet Nettverkstilkoblinger på denne datamaskinen.
For å legge til et trådløst nettverk i listen over tilgjengelige nettverk, åpne "Administrer trådløse nettverk"-kontrollpanelkomponenten:
Start -> Kontrollpanel -> Nettverk og Internett -> Vis nettverksstatus og oppgaver -> Administrer trådløse nettverk
Klikk på knappen i vinduet som åpnes "Legg til":
Velg deretter "Opprett en nettverksprofil manuelt":
Fyll inn informasjonen om det trådløse nettverket som vist på bildet nedenfor:
Et vindu åpnes som indikerer at det trådløse nettverket er lagt til.
Konfigurere tilkoblingsinnstillinger
For å konfigurere tilkoblingsinnstillinger, klikk "Endre tilkoblingsinnstillinger" i vinduet vist ovenfor når du legger til et trådløst nettverk, eller åpne vinduet "Trådløst nettverksegenskaper" ved å velge linjen "Egenskaper" i kontekstmenyen for trådløst nettverk:
På fanene "Tilkobling" og "Sikkerhet" i vinduet "Egenskaper for trådløst nettverk" angir du innstillingene for tilkoblingsinnstillinger, som vist i figurene nedenfor:
|
|
Merk av for "Husk påloggingsinformasjonen min for denne tilkoblingen hver gang jeg logger på" hvis datamaskinen brukes av én bruker. Hvis datamaskinen brukes av flere brukere, er det bedre å deaktivere innstillingen.
Konfigurer egenskapene til den beskyttede EAP ved å ringe det tilsvarende vinduet ved å klikke på knappen "Alternativer" på "Sikkerhet"-fanen i "Trådløst nettverksegenskaper"-vinduet:
Bekreft valget av parametere med "OK"-knappen.
Nettverket vil bli lagt til listen over nettverk og vil bli tilgjengelig for tilkobling når datamaskinen er innenfor nettverkets rekkevidde.
Koble til et trådløst nettverk
Vinduet vil vise en liste over nettverk innenfor rekkevidden som datamaskinen faller i:
I listen over tilgjengelige trådløse nettverk kan du se et symbol som viser signalstyrken for hvert nettverk. Jo flere streker, jo sterkere er signalet. Et sterkt signal (fem streker) betyr at et trådløst nettverk er i nærheten eller at det ikke er forstyrrelser. For å forbedre signalnivået kan du flytte datamaskinen nærmere tilgangspunktet.
For å koble til et trådløst nettverk, klikk på "Koble til"-knappen:
Under tilkoblingsprosessen vil følgende meldinger vises:
For å komme inn i universitetsnettverket må du fylle ut brukerkontoinformasjonen i vinduet som er gitt, dvs. skriv inn login og passord.
Nedenfor er for eksempel et fullført vindu for en bruker med konto U0398:
Når tilkoplingen er vellykket, vil listen over trådløse nettverk vise "Tilkoblet" og ikonet vises i systemstatusfeltet.
Hvis tilkoblingen mislykkes, kontroller de konfigurerte tilkoblingsinnstillingene på nytt. For å gjøre dette, åpne vinduet "Egenskaper for trådløst nettverk" ved å velge linjen "Egenskaper" i kontekstmenyen for trådløst nettverk:
For å koble fra nettverket, klikk på "Koble fra"-knappen:
For mer informasjon, besøk Windows 7 Professional Help and Support Center.
Windows XP Professional Service Pack 3
For å koble til universitetets trådløse nettverk må du fullføre følgende trinn:
- Sjekk om datamaskinen din har en trådløs nettverksadapter.
- Legg til et trådløst nettverk i listen over tilgjengelige nettverk.
- Konfigurer tilkoblingsinnstillinger.
- Koble til et trådløst nettverk.
Kontrollerer om datamaskinen har en trådløs nettverksadapter
For å koble datamaskinen til et trådløst nettverk, må datamaskinen ha en trådløs nettverksadapter installert.
For å sjekke om datamaskinen din har en trådløs nettverksadapter, må du åpne "Nettverkstilkoblinger": klikk på knappen Start, plukke ut Innstillinger, deretter Kontrollpanel, finn delen "Nettverkstilkoblinger":
Start -> Innstillinger -> Kontrollpanel -> Nettverkstilkoblinger
Adapterne som er installert på datamaskinen vil bli oppført her. Den trådløse nettverksadapteren er merket "Trådløs nettverkstilkobling".
Hvis enheten er slått av, må du slå den på. For å gjøre dette, høyreklikk på kontekstmenyen og velg "Aktiver", eller klikk på oppgaven "Aktiver nettverksenhet".
For å slå på denne enheten, du må være administrator på denne datamaskinen.
Når nettverksadapteren er slått på, er ikonet synlig i systemstatusfeltet.
Legge til et trådløst nettverk i listen over tilgjengelige nettverk
For å legge til et trådløst nettverk i listen over tilgjengelige nettverk, må du åpne "Nettverkstilkoblinger": klikk på knappen Start, plukke ut Innstillinger, deretter Kontrollpanel, finn delen "Nettverkstilkoblinger":
Høyreklikk for å åpne kontekstmenyen for den trådløse nettverkstilkoblingen og velg linjen "Egenskaper", eller klikk på oppgaven "Endre tilkoblingsinnstillinger".
Å oppdage sårbare enheter og tjenester på et målnettverk uten å etterlate spor etter seg kan være vanskelig fordi hackere først angriper ruteren før de undersøker videre. Det er imidlertid en måte å i hemmelighet dekryptere og se noens Wi-Fi-aktivitet uten å koble til deres trådløse nettverk.
Hvis du først ser på hva hackere gjør med rutere, involverer de vanligvis ulike brute force-angrep for WPA-håndtrykk eller phishing med Wi-Fi-passord. Når de har mottatt legitimasjonen, begynner de umiddelbart å undersøke det kompromitterte nettverket ved hjelp av ulike verktøy og teknikker.
Portskannere skaper mye støy på trådløse nettverk. Man-in-the-Middle-angrep kan være altfor aggressive og varsle brukere og administratorer om tilstedeværelsen av en hacker på nettverket. Rutere fører logger over informasjon om hver enhet som kobles til nettverket. Hver handling du tar mens du er koblet til nettverket kan på en eller annen måte føre til at du blir oppdaget på en kompromittert ruter.
Derfor er det best å ikke koble til Wi-Fi-ruteren i det hele tatt. I denne artikkelen skal vi se nærmere på hvordan hackere fanger opp pakker (ettersom de overføres til eller fra ruteren) og dekrypterer WPA2-trafikk i sanntid. Denne informasjonen er viktig for deg som ønsker å bli IT-sikkerhetsekspert.
Hvordan fungerer dette angrepet?
Data sendes til og fra ruteren av bærbare datamaskiner og smarttelefoner via krypterte radiobølger. Disse radiobølgene overfører data over luften. De overførte dataene er ikke synlige for det menneskelige øyet, men kan samles inn ved hjelp av verktøy som Airodump-ng. De innsamlede dataene kan deretter analyseres ved hjelp av Wireshark.
Wireshark er den mest avanserte og mest brukte nettverksanalysatoren i verden. Dette gir brukerne muligheten til å se hva som skjer på nettverk på et mikroskopisk nivå. Det er derfor Wireshark er et nettverksinspeksjonsverktøy som brukes av kommersielle og ideelle organisasjoner, offentlige etater og utdanningsinstitusjoner.
En av de flotte funksjonene til Wireshark lar hackere dechiffrere og se ruteraktivitet overført over luften i ren tekst, og det er akkurat det vi skal dekke i denne artikkelen.
Trinn 1: Finn målnettverket ditt
Airodump-ng er tilgjengelig på alle populære Linux-distribusjoner og vil kjøre på virtuelle maskiner og Raspberry Pi. Vi vil bruke Kali Linux til å samle inn data som tilhører en Wi-Fi-ruter som vi kontrollerer selv. Hvis du aldri har brukt Airdodump-ng før, kan du lære det grunnleggende om å jobbe med det fra artiklene våre på nettstedet.
For å aktivere overvåkingsmodus på den trådløse adapteren, bruk følgende kommando:
Airmon-ng start wlan0
Finn ditt målnettverk. For å se alle tilgjengelige Wi-Fi-nettverk i nærheten, bruk kommandoen nedenfor. Vi vil fokusere på vår "Null Byte"-ruter som et eksempel.
Airodump-ng wlan0mon
Vær oppmerksom på BSSID, CH og ESSID. Denne informasjonen er nødvendig for å samle inn data som sendes til ruteren.
Trinn 2. Samle inn Wi-Fi-data
For å begynne å samle inn data som tilhører målnettverket, skriv inn kommandoen nedenfor, og bytt ut de relevante delene med de du jobber med:
Airodump-ng --bssid MacTarget Address --essid Router Name -c Channel Number -w Hvor skal du lagre data wlan0mon
Vi vil lagre de innsamlede dataene i /tmp-katalogen i en fil kalt "null_byte" ved å bruke -w-argumentet. Airodump-ng vil automatisk legge til et nummer på slutten av filnavnet, slik at det faktisk blir lagret i /tmp-katalogen som "null_byte-01.cap".
Her er hva du kan forvente av en fungerende Airodump-ng-terminal:
Det viktigste å se nøye på er WPA-håndtrykket i øverste høyre hjørne. Wireshark må fullføre håndtrykket, slik at Wi-Fi-trafikk kan dekrypteres senere. For å tvinge enheter til å koble fra nettverket kan du bruke Aireplay-ng. Å fullføre denne oppgaven vil kreve å koble enheter til nettverket på nytt og fullføre WPA-håndtrykket, men dette kan vekke mistanke blant brukere som allerede er koblet til nettverket.
Så lenge Airodump-ng-terminalen kjører, vil data fortsette å samle seg. Airodump-ng-terminalen kan operere i timer eller til og med dager. I Airodump-ng-demoøkten vår tillot vi pakkeinnsamling i 15 minutter. Tiden Airodump-ng har vært i gang kan sees i øvre venstre hjørne av terminalen.
Legg merke til #Data-kolonnen i skjermbildet ovenfor. Dette tallet angir hvor mange datapakker som ble samlet inn. Jo høyere tall, desto mer sannsynlig er det at hackere vil oppdage sensitiv informasjon som kan brukes til å "pivot" inn i nettverket eller kompromittere målet ytterligere.
Når nok data er samlet inn, kan Airodump-ng-sesjonen stoppes ved å trykke Ctrl + C. Det vil nå være en fil "null_byte-01.cap" (eller en fil med navnet du valgte for den) i /tmp katalog. Denne .cap-filen må åpnes med Wireshark.
Trinn 3: Installer den nyeste versjonen av Wireshark
Som standard er Wireshark inkludert i nesten alle versjoner av Kali. Det er noen få versjoner som ikke inkluderer Wireshark, så her er en rask oversikt over hvordan du installerer den i Kali.
Kjør først kommandoen apt-get update for å sikre at den nyeste versjonen av Wireshark er tilgjengelig for nedlasting. Åpne en terminal og skriv inn kommandoen nedenfor:
Sudo apt-get oppdatering
Bruk deretter følgende kommando for å installere Wireshark:
Sudo apt-get install wireshark
Du kan bruke &&-tegn mellom to kommandoer som vist i skjermbildet ovenfor. Dette vil instruere terminalen om først å synkronisere pakkeindeksen med Kali-repositoriene. Og så, etter at oppdateringen er vellykket, vil hun installere Wireshark.
Trinn 4: Start Wireshark
Når dette er gjort, kan Wireshark bli funnet under kategorien Sniffing & Spoofing i applikasjonsmenyen. For å starte Wireshark, klikk ganske enkelt på ikonet.
Trinn 5: Konfigurer Wireshark til å dekryptere data
For å konfigurere Wireshark til å dekryptere data som finnes i en .cap-fil, klikk på Rediger-knappen på den øverste menylinjen, gå deretter til Innstillinger og utvide rullegardinmenyen Protocols.
Bla deretter ned og velg "IEEE 802.11". Avmerkingsboksen "Aktiver dekryptering" må være merket av. Klikk deretter på "Rediger"-knappen for å legge til dekrypteringsnøkler for et spesifikt Wi-Fi-nettverk.
Et nytt vindu vises. Her må du spesifisere passord og ruternavn. Du må angi legitimasjonen din ved å skille passordet og ruternavnet med et kolon (for eksempel passord: ruternavn).
Velg først nøkkeltype "wpa-pwd". Denne nøkkeltypen kreves for å angi WPA-passordet i ren tekst. "Null Byte" Wi-Fi-nettverkspassordet er en lang kodet streng, så vi skrev inn "bWN2a25yMmNuM2N6amszbS5vbmlvbg ==: Null Byte" i nøkkelkolonnen. Et annet eksempel vil være "Wonderfulboat555:NETGEAR72", der "Wonderfulboat555" er passordet til ruteren som heter "NETGEAR72".
Når du gjør dette, klikker du OK for å lagre legitimasjonen din. Wireshark vil nå automatisk begynne å dekryptere data som tilhører Wi-Fi-nettverket "Null Byte" når .cap-filen importeres.
Trinn 6: Utfør Deep Packet Inspection (DPI)
For å importere en .cap-fil til Wireshark, klikk på Fil-menyen og klikk deretter på Åpne. Cap-filen finner du i /tmp-katalogen. Velg den, og klikk deretter "Åpne". Avhengig av hvor lenge Airodump-ng-terminalen har samlet inn data, kan det ta flere minutter for Wireshark å importere og dekryptere alle dataene.
Når .cap-filen er åpnet i Wireshark, kan du se tusenvis av linjer med rå nettrafikk. Dette synet kan være litt skremmende. Heldigvis har Wireshark skjermfiltre som du kan bruke til å kontrollere og filtrere ut pakker du ikke vil ha. Det er mange jukseark på nettet for disse visningsfiltrene for å hjelpe Wireshark-brukere med å finne relevante og sensitive data. Men i dag skal vi se på noen av de mest nyttige skjermfiltrene som hackere bruker for å sjekke aktiviteten som skjer på nettverket.
1. Søk etter POST-forespørselsdata
En HTTP POST-forespørsel brukes ofte når du laster opp en fil til en server eller overfører pålogginger og passord på nettsteder. Når noen logger på Facebook eller legger inn en kommentar nederst i denne artikkelen, gjøres det ved å bruke en POST-forespørsel.
POST-dataene i .cap-filen inneholder mest sannsynlig de mest kompromitterende og avslørende dataene. Hackere kan finne brukernavn (pålogginger), passord, ekte navn, hjemmeadresser, e-postadresser, chattelogger og mye mer. For å filtrere POST-forespørselsdata, skriv inn strengen nedenfor i skjermfilterpanelet:
Http.request.method == "POST"
I vårt eksempel registrerte vi oss for et tilfeldig nettsted vi fant på Internett. Det ville være naivt å tro at noen ville be om e-postvarsler fra sine favorittnyhetssider.
Hvis POST-forespørsler ble funnet i .cap-filen, vil Info-kolonnen vise hvilke rader som inneholder POST-forespørselsdata. Dobbeltklikk på en av linjene vil føre til at et nytt Wireshark-vindu vises med tilleggsinformasjon. Rull ned og utvid rullegardinmenyen "HTML-skjema" for å analysere dataene.
Etter å ha analysert de innsamlede dataene fra denne ene POST-forespørselen, fant vi mye informasjon som tilhører en bruker på nettverket.
De innsamlede dataene inkluderer fornavn, etternavn og e-postadresse, som senere kan brukes til phishing og målrettede hacks.
I tillegg har nettstedet et obligatorisk passordfelt som kan legges til passordlister eller for brute force-angrep. Det er ikke uvanlig at folk bruker passord for flere kontoer. Selvfølgelig er det mulig at passordet vil gi angriperen tilgang til Gmail-kontoen, som også kan finnes i POST-forespørselsdataene.
Vi ser også at det i disse dataene er navnet på selskapet der Christopher Hadnagy antagelig jobber. Denne informasjonen kan brukes av hackeren til påfølgende sosiale ingeniørtiltak.
Når du blar gjennom POST-forespørselsdataene litt lenger, vises enda mer interessant informasjon. Full hjemmeadresse, postnummer og telefonnummer. Dette kan gi hackeren informasjon om hvilket hus Wi-Fi-ruteren tilhører og telefonnummeret, som også senere kan brukes til social engineering dersom hackeren bestemmer seg for å sende for eksempel falske SMS-meldinger.
2. Søk etter GET-forespørselsdata
En HTTP GET-forespørsel brukes til å hente eller laste ned data fra webservere. For eksempel, hvis noen ser på Twitter-kontoen min, vil nettleseren deres bruke en GET-forespørsel for å hente data fra twitter.com-serverne. Å sjekke .cap-filen for GET-forespørsler vil ikke gi brukernavn eller e-postadresser, men det vil tillate hackeren å utvikle en omfattende profil av nettleservaner.
For å filtrere GET-forespørselsdata, skriv inn følgende linje i skjermfilterpanelet:
Http.request.method == "GET"
Mange nettsteder legger til .html eller .php på slutten av nettadressene. Dette kan være en indikator på at et nettsted blir sett av noen på et Wi-Fi-nettverk.
Det kan være nyttig å filtrere ut GET-forespørsler relatert til CSS og fonter, siden denne typen forespørsler skjer i bakgrunnen når du surfer på Internett. For å filtrere CSS-innhold, bruk dette Wireshark-filteret:
Http.request.method == "GET" && !(http.request.line matches "css")
Her betyr && bokstavelig talt "og". Utropstegnet (!) her betyr "nei", så Wireshark blir bedt om å kun vise GET-forespørsler og ikke vise de HTTP-forespørselslinjene som samsvarer med css på noen måte. Denne linjen filtrerer ut all ubrukelig informasjon knyttet til vanlige nettressurser.
Ved å klikke på en av disse linjene for å utforske HTTP-dataene, får du mer detaljert informasjon.
Vi ser at målet bruker en Windows-datamaskin hvis brukeragent er Chrome-nettleseren. Når det gjelder maskinvarerekognosering, er slik informasjon svært verdifull. Hackere kan nå med høy grad av sikkerhet generere den mest passende nyttelasten for denne brukeren, spesifikt for Windows-operativsystemet som brukes.
"Referer"-feltet forteller oss hvilket nettsted brukeren så rett før han så på tomsitpro.com. Dette betyr mest sannsynlig at de fant artikkelen «white hat hacker career» gjennom et søk på duckduckgo.com.
Et «Referrer»-felt som inneholder DuckDuckGo i stedet for det vanlige Google kan indikere at denne brukeren er ansvarlig for personvernet sitt, siden Google er kjent for å ha aggressive retningslinjer som er skadelige for kundene. Dette er informasjon som hackere vil ta hensyn til når de oppretter en målrettet nyttelast.
3. Slå opp DNS-data
Som standard vil kryptert internetttrafikk sendes på port 443. Du tror kanskje at for bedre å forstå hvilke nettsteder som vises, ville det være greit å bruke tcp.port == 443-skjermfilteret, men dette vises vanligvis som rå IP adresser i en kolonnedestinasjon, noe som ikke er veldig praktisk for raskt å identifisere domener. Faktisk er en mer effektiv måte å identifisere nettsteder som sender og mottar krypterte data å filtrere DNS-spørringer.
Domain Name System (DNS) brukes til å oversette vanlige nettstedsnavn til maskinlesbare IP-adresser som https://104.193.19.59. Når vi besøker et domene som google.com, konverterer datamaskinen vår det menneskelesbare domenenavnet til en IP-adresse. Dette skjer hver gang vi bruker et domenenavn når vi surfer på nettsider, sender e-post eller chatter på nettet.
Å analysere .cap-filen for DNS-spørringer vil ytterligere hjelpe hackere å forstå hvilke nettsteder som ofte besøkes av personer som er koblet til denne ruteren. Hackere kan se domenenavn som tilhører nettsteder som sender og mottar kryptert data til eller fra disse sidene, som Facebook, Twitter og Google.
For å filtrere DNS-data, skriv inn kommandoen nedenfor i skjermfilterfeltet:
Å se på DNS-spørsmål kan gi oss interessant informasjon. Vi kan tydelig se at denne brukeren surfet på reisenettsteder som expedia.com og kayak.com. Det kan bety at han snart skal på ferie for en lengre periode.
Disse dataene er kryptert slik at hackere ikke kan lære flyinformasjon eller avgangsdetaljer, men å bruke denne informasjonen til å sende phishing-meldinger kan hjelpe en hacker med sosialt å utvikle en bruker til å avsløre personlig eller økonomisk informasjon.
Hvis for eksempel DNS-forespørsler for en bestemt banks nettsted oppdages, kan hackere forfalske en e-post fra den banken og lure brukeren til å foreta en stor Expedia-kredittkorttransaksjon. Den falske e-posten kan også inneholde nøyaktig informasjon om målet, en lenke til et falskt banknettsted (kontrollert av hackere), etc.
Hvordan beskytte personlige data mot hackere
Ved første øyekast ser alle personopplysningene som finnes i .cap-filen ganske uskyldige ut. Men etter å ha analysert bare noen få pakker, lærte vi det virkelige navnet, påloggingen, passordet, e-postadressen, hjemmeadressen, telefonnummeret, maskinvareprodusenten, operativsystemet, nettleseren, surfevanene til visse nettsider og mye mer.
Alle disse dataene ble samlet inn selv uten å koble til en ruter. Brukerne hadde ingen mulighet til å vite at dette hadde skjedd dem. Alle disse dataene kan brukes av angripere til å starte et komplekst og svært målrettet hack mot selskaper eller enkeltpersoner.
Vær oppmerksom på at all personlig informasjon som avsløres i denne artikkelen, også er tilgjengelig for Internett-leverandører (ISP). Lesere bør være klar over at DPI utføres av Internett-leverandører hver dag. For å beskytte deg mot dette:
- Bruk sterkere passord. Å utføre brute force for å knekke lette passord er hovedmetoden for hackere for å få tilgang til Wi-Fi-rutere.
- Bruk en VPN. Ved å bruke en kryptert forbindelse mellom deg og VPN-leverandøren, vil ikke alle dataene vi fant i denne artikkelen være tilgjengelige for hackere. Men hvis VPN-leverandøren logger eller utfører DPI, vil alle dataene også være lett tilgjengelige for hackere.
- Bruk Tor. I motsetning til en VPN, er Tor-nettverket bygget på en annen sikkerhetsmodell som ikke overfører dataene våre til et enkelt nettverk eller ISP.
- Bruk SSL/TLS. Transport Layer Security - Transport Layer Security (HTTPS) vil kryptere nettrafikken din mellom nettleseren din og nettstedet. Verktøy som , kan hjelpe med å kryptere all nettlesertrafikken din.
Jeg er ikke så god til å publisere om temaet lovgivning og "papir"-sikkerhet, så jeg prøver meg i en annen sjanger - la oss snakke om praktisk sikkerhet. Temaet for dagens innlegg vil være farene ved å bruke andres Wi-Fi-nettverk.
Jeg tror mange eksperter allerede er kjent med dette emnet, men de kan også finne noe nytt for seg selv i denne artikkelen.
La oss starte samtalen med åpne Wi-Fi-nettverk, så elsket av mange for fraværet av passord, tilgjengelighet på mange offentlige steder og vanligvis god Internett-hastighet (sammenlignet med tilgang via mobilnettverk). Men åpne nettverk er fulle av stor fare - all trafikk bokstavelig talt "svever i luften", det er ingen kryptering eller beskyttelse mot avlytting. Enhver bruker uten spesiell kunnskap, ved hjelp av ferdige programmer, kan fange opp og analysere all trafikken din.
La oss se hvordan dette fungerer - for å demonstrere stiller jeg hjemmetilgangspunktet mitt til åpen nettverksmodus:
Deretter koblet jeg til dette nettverket fra en bærbar datamaskin og fra et Android-nettbrett, jeg installerte Intercepter-NG-applikasjonen på nettbrettet, det er også tilgjengelig for Windows. Applikasjonen krever superbrukerrettigheter; etter oppstart inviterer startvinduet deg til å skanne datamaskinene som er tilgjengelige i området for synlighet:
Etter å ha merket den bærbare datamaskinen min (IP 192.168.0.101), går jeg til neste skjerm og starter pakkeavlytting. Etter det åpner jeg Yandex på den bærbare datamaskinen min:
Snifferen fanget selvsikkert åpningen av sider, og hvis du går til fanen med informasjonskapselbildet, kan du se en liste over alle mine informasjonskapsler som nettleseren min på den bærbare datamaskinen sendte og mottok når du surfer på nettsteder. Samtidig, ved å klikke på en av linjene, åpner Intercepter-NG nettleseren og setter inn de avlyttede informasjonskapslene, og dermed kan du gå inn i den åpne økten uten å fange øyeblikket for autorisasjon av offeret på nettstedet av interesse. Denne typen angrep kalles "session hijacking" - "stjele" en økt.
Så jeg demonstrerte i praksis at det i prinsippet ikke er beskyttelse i et åpent Wi-Fi-nettverk. Men tittelen på dette innlegget sier "fremmede" Wi-Fi-nettverk, ikke "åpne". La oss gå videre til et annet aspekt ved trådløs sikkerhet – avskjæring av trafikk i et lukket nettverk. Jeg rekonfigurerte ruteren ved å aktivere WPA2 med en forhåndsdelt nøkkel (denne typen Wi-Fi-nettverksbeskyttelse brukes i 80 % av tilgangspunktene):
Jeg kobler til nettverket igjen fra den bærbare datamaskinen og nettbrettet og starter Intercepter-NG igjen - når den skanner ser den den bærbare datamaskinen igjen - jeg velger den og starter trafikkavlytting, parallelt fra den bærbare datamaskinen går jeg til flere nettsteder med HTTP-Basic-autorisasjon, og dette er hva jeg ser på nettbrettet:
Trafikken ble fanget opp - "angriperen" kjenner nå passordet mitt til ruterens nettgrensesnitt og et annet nettsted. I tillegg fungerer øktkapring på samme måte – tross alt blir all trafikk fanget opp.
Når du bruker WEP og WPA, er alt veldig enkelt; de samme nøklene brukes til å kryptere forskjellige enheter på samme nettverk. Siden "angriperen" også kjenner denne nøkkelen og sitter på samme nettverk, avskjærer han fortsatt all trafikk og dekrypterer den med en kjent nøkkel.
Jeg brukte WPA2, der dette problemet ble løst og klienter bruker forskjellige krypteringsnøkler, men den inneholder en alvorlig sårbarhet, og når du kjenner autorisasjonsnøkkelen og fanger opp et visst sett med pakker, kan du avsløre den såkalte Pairwise Transient Key - nøkkelen som krypterer trafikken for trafikken vi er interessert i klienten.
Som praksis har vist, kan problemet delvis løses ved å aktivere alternativet AP Isolation, som støttes av de fleste moderne Wi-Fi-rutere:
Dette er imidlertid ikke et universalmiddel; muligheten til å avskjære ved å bruke Intercepter-NG for Android forsvinner, men mer funksjonelle verktøy, for eksempel Airodump-ng, fortsetter å fungere. Jeg studerte ikke mer detaljert forskjellen i driften av disse verktøyene og årsakene til at Intercepter-NG ikke fungerer, og utsetter dette emnet til senere. I tillegg er det umulig å finne ut om isolering er aktivert på nettverket som du kobler til (for eksempel på en kafé eller på et arrangement) uten en praktisk sjekk.
Vi har funnet ut farene ved å bruke andres Wi-Fi-nettverk, men spørsmålet om beskyttelse gjenstår. Det er ganske mange metoder, hovedideen er ekstra kryptering av all trafikk, og det er nok implementeringsmetoder - streng bruk av SSL der det er mulig (HTTPS, SSH, SFTP, SSL-POP, IMAP4-SSL, etc.), tilkobling via VPN , bruk av et distribuert krypteringsnettverk som TOR og så videre. Dette emnet er ganske omfattende og fortjener et eget innlegg.
For å beskytte Wi-Fi-nettverket og angi et passord, må du velge typen trådløs nettverkssikkerhet og krypteringsmetode. Og på dette stadiet har mange mennesker et spørsmål: hvilken skal de velge? WEP, WPA eller WPA2? Personlig eller bedrift? AES eller TKIP? Hvilke sikkerhetsinnstillinger vil best beskytte Wi-Fi-nettverket ditt? Jeg vil prøve å svare på alle disse spørsmålene innenfor rammen av denne artikkelen. La oss vurdere alle mulige autentiserings- og krypteringsmetoder. La oss finne ut hvilke sikkerhetsparametere for Wi-Fi-nettverk som er best angitt i ruterinnstillingene.
Vær oppmerksom på at sikkerhetstype, eller autentisering, nettverksautentisering, sikkerhet, autentiseringsmetode er det samme.
Autentiseringstype og kryptering er de viktigste sikkerhetsinnstillingene for et trådløst Wi-Fi-nettverk. Jeg tror at vi først må finne ut hva de er, hvilke versjoner det er, deres evner osv. Deretter vil vi finne ut hvilken type beskyttelse og kryptering vi skal velge. Jeg skal vise deg ved å bruke eksemplet på flere populære rutere.
Jeg anbefaler på det sterkeste å sette opp et passord og beskytte det trådløse nettverket ditt. Still inn maksimalt beskyttelsesnivå. Hvis du lar nettverket være åpent, uten beskyttelse, kan hvem som helst koble seg til det. Dette er først og fremst utrygt. Og også en ekstra belastning på ruteren din, et fall i tilkoblingshastighet og alle slags problemer med å koble til forskjellige enheter.
Wi-Fi-nettverksbeskyttelse: WEP, WPA, WPA2
Det er tre beskyttelsesalternativer. Selvfølgelig, ikke teller "Åpen" (Ingen beskyttelse).
- WEP(Wired Equivalent Privacy) er en utdatert og usikker autentiseringsmetode. Dette er den første og ikke særlig vellykkede metoden for beskyttelse. Angripere kan enkelt få tilgang til trådløse nettverk som er beskyttet med WEP. Det er ikke nødvendig å angi denne modusen i innstillingene til ruteren din, selv om den er til stede der (ikke alltid).
- WPA(Wi-Fi Protected Access) er en pålitelig og moderne type sikkerhet. Maksimal kompatibilitet med alle enheter og operativsystemer.
- WPA2– en ny, forbedret og mer pålitelig versjon av WPA. Det er støtte for AES CCMP-kryptering. For øyeblikket er dette den beste måten å beskytte et Wi-Fi-nettverk på. Dette er det jeg anbefaler å bruke.
WPA/WPA2 kan være av to typer:
- WPA/WPA2 – Personlig (PSK)– Dette er den vanlige autentiseringsmetoden. Når du bare trenger å angi et passord (nøkkel) og deretter bruke det til å koble til et Wi-Fi-nettverk. Det samme passordet brukes for alle enheter. Selve passordet lagres på enhetene. Hvor du kan se den eller endre den om nødvendig. Det anbefales å bruke dette alternativet.
- WPA/WPA2 - Enterprise- en mer kompleks metode som hovedsakelig brukes til å beskytte trådløse nettverk på kontorer og ulike virksomheter. Gir et høyere beskyttelsesnivå. Brukes bare når en RADIUS-server er installert for å autorisere enheter (som gir ut passord).
Jeg tror vi har funnet ut autentiseringsmetoden. Det beste du kan bruke er WPA2 - Personal (PSK). For bedre kompatibilitet, slik at det ikke er problemer med å koble til eldre enheter, kan du stille inn WPA/WPA2 blandet modus. Dette er standardinnstillingen på mange rutere. Eller merket som "Anbefalt".
Kryptering av trådløst nettverk
Det er to måter TKIP Og AES.
Det anbefales å bruke AES. Hvis du har eldre enheter på nettverket ditt som ikke støtter AES-kryptering (men bare TKIP) og det vil være problemer med å koble dem til det trådløse nettverket, så sett den til "Auto". TKIP-krypteringstypen støttes ikke i 802.11n-modus.
I alle fall, hvis du installerer strengt tatt WPA2 - Personal (anbefalt), vil kun AES-kryptering være tilgjengelig.
Hvilken beskyttelse bør jeg installere på Wi-Fi-ruteren min?
Bruk WPA2 - Personlig med AES-kryptering. I dag er dette den beste og sikreste måten. Slik ser sikkerhetsinnstillingene for trådløst nettverk ut på ASUS-rutere:
Og slik ser disse sikkerhetsinnstillingene ut på rutere fra TP-Link (med gammel firmware).
Du kan se mer detaljerte instruksjoner for TP-Link.
Instruksjoner for andre rutere:
Hvis du ikke vet hvor du finner alle disse innstillingene på ruteren din, så skriv i kommentarene, jeg skal prøve å fortelle deg det. Bare ikke glem å spesifisere modellen.
Siden eldre enheter (Wi-Fi-adaptere, telefoner, nettbrett osv.) kanskje ikke støtter WPA2 - Personal (AES), må du stille inn blandet modus (Auto) i tilfelle tilkoblingsproblemer.
Jeg legger ofte merke til at etter å ha endret passordet eller andre sikkerhetsinnstillinger, ønsker ikke enheter å koble til nettverket. Datamaskiner kan få feilmeldingen "Nettverksinnstillingene som er lagret på denne datamaskinen oppfyller ikke kravene til dette nettverket." Prøv å slette (glemme) nettverket på enheten og koble til på nytt. Jeg skrev hvordan du gjør dette på Windows 7. Men i Windows 10 trenger du .
Passord (nøkkel) WPA PSK
Uansett hvilken type sikkerhet og krypteringsmetode du velger, må du angi et passord. Også kjent som WPA-nøkkel, trådløst passord, sikkerhetsnøkkel for Wi-Fi-nettverk, etc.
Passordlengden er fra 8 til 32 tegn. Du kan bruke bokstaver i det latinske alfabetet og tall. Også spesialtegn: - @ $ # ! osv. Ingen mellomrom! Passordet skiller mellom store og små bokstaver! Dette betyr at "z" og "Z" er forskjellige tegn.
Jeg anbefaler ikke å sette enkle passord. Det er bedre å lage et sterkt passord som ingen kan gjette, selv om de prøver hardt.
Det er usannsynlig at du vil være i stand til å huske et så komplekst passord. Det hadde vært fint å skrive det ned et sted. Det er ikke uvanlig at Wi-Fi-passord ganske enkelt blir glemt. Jeg skrev i artikkelen hva jeg skal gjøre i slike situasjoner: .
Hvis du trenger enda mer sikkerhet, kan du bruke MAC-adressebinding. Riktignok ser jeg ikke behovet for dette. WPA2 - Personlig sammenkoblet med AES og et komplekst passord er nok.
Hvordan beskytter du Wi-Fi-nettverket ditt? Skriv i kommentarfeltet. Vel, still spørsmål :)
Behovet for å lage et virtuelt hotspot på en bærbar datamaskin kan oppstå av ulike årsaker. For noen er det viktig å dele Internett-tilgang via et 3G- eller WiMax-modem for andre trådløse enheter. Og noen ønsker å lage et falskt tilgangspunkt (Rogue AP) og, lokke kunder, snappe trafikken deres. Men få mennesker vet at muligheten til å gjøre dette er innebygd i selve Windows!
Med ankomsten av 3G-nettverksdekning fra mobiloperatører, begynte jeg å bruke mobilt Internett oftere og oftere. Jobber du via et USB-modem kan du ofte oppnå en ganske tålelig tilkobling. Dessuten er slike enheter veldig billige og selges komplett med svært rimelige tariffer som ikke vil ødelegge deg på den første bruksdagen. Et av problemene jeg ble forvirret over etter å ha kjøpt et 3G-modem var å organisere et hotspot fra den bærbare datamaskinen min slik at jeg kunne distribuere mobilt Internett til andre trådløse enheter via Wi-Fi.
Mac OX X
I Mac OS X vil det sannsynligvis ikke være mulig å få en standard adapter til å fungere i infrastrukturmodus. Men du kan dele Internett for én enkelt klient som kobler til en MacBook via et trådløst nettverk uten engang å gå inn i konsollen.
Hvordan gjøre livet enklere?
Så, for å opprette et fullverdig hotspot, trengte vi bare noen få kommandoer i konsollen og et par museklikk. Men jeg skynder meg å skuffe deg: umiddelbart etter omstart eller utlogging av systemet (selv i hvilemodus), må alle operasjoner gjøres på nytt. Det er upraktisk og slitsomt. Heldigvis var det mange utviklere som leste MSDN-artikkelen om Wireless Hosted Network og implementerte verktøy for å gjøre det enklere og mer forståelig å sette opp en programvarehotspot.
Jeg anbefaler to: Virtual Router og Connectify. Begge er gratis og lar deg velge en tilkobling gjennom et praktisk GUI-grensesnitt som du vil dele ved hjelp av et programvaretilgangspunkt, og deretter heve hotspotet med to klikk. I dette tilfellet trenger du ikke skrive inn SSID og nettverksnøkkel hver gang: alt vil fungere selv etter en omstart.
Virtual Router gir et minimum av funksjonalitet og har ikke blitt utviklet på lenge, men den distribueres som åpen kildekode (et godt eksempel på bruk av de tilsvarende API-kallene til systemet). Dette er egentlig en grafisk versjon av netsh-kommandoer.
Connectify-verktøyet er mye mer sofistikert. For å implementere tilleggsfunksjoner som ikke leveres av standardfunksjonene til Windows, må den til og med installere virtuelle enheter og drivere i systemet. Og det bærer frukter. Du trenger for eksempel ikke å binde WPA2-PSK/AES-krypteringstypen til det fastkablede trådløse vertsnettverket: hvis du vil, opprette minst et åpent hotspot. Dette er spesielt viktig for å klone parametrene til et eksisterende trådløst nettverk (for eksempel for å utvide rekkevidden eller opprette et falskt tilgangspunkt). I tillegg har Connectify en innebygd UPnP-server og lar deg dele VPN-tilkoblingen din (inkludert OpenVPN). Med slike evner vil ditt virtuelle hotspot definitivt finne applikasjoner.
Men for å gjøre det lettere å forstå i hvilke situasjoner det trengs, har vi utarbeidet et utvalg av de mest populære sakene for deg. Du kan lese om dem i sidefeltet.
