Как остановить взлом сети WPA2-Enterprise

961
tamosa

Наша частная сеть состоит из маршрутизатора Netgear, оснащенного DD-WRT, QNAP-сервера, 8-портового коммутатора и нескольких подключенных к Ethernet ноутбуков, настольных компьютеров и двух мобильных устройств WiFi.

Некоторое время назад наш WiFi был взломан людьми, которые не имели ничего общего с их жизнью. Мы подозреваем наших ближайших соседей, которые работают в сфере ИТ, но не могут ничего доказать - по крайней мере, с юридической точки зрения. Не уверен, поможет ли это в любом случае.

В то время наша сеть была защищена с помощью WPA2-AES и фильтрации MAC-адресов. Даже с учетом этих мер безопасности они все же получили доступ путем подмены своих MAC-адресов и взлома наших паролей, которые всегда имеют максимальную длину и содержат рекомендованные отраслью безопасности специальные символы / символы, смешанный регистр и цифры.

Эти люди как кибер призраки! Я говорю это потому, что мы никогда не сможем идентифицировать их соединения из журналов нашего маршрутизатора или графического интерфейса. Мы пытались использовать angryip, whosonmywifi, а также другие инструменты, но ничего не получалось. Мы провели бесчисленное количество часов с нашим провайдером по телефону, изменили наш IP, запустили трассировщики для маршрутов трафика и так далее. Несмотря на эти усилия, именно наши компьютеры с Windows 10 идентифицировали их в нашей сети. Нам удалось получить скриншоты своих устройств с подробностями производителя.

Как бы то ни было, это продолжалось некоторое время, и после примерно 6 месяцев игры в кошки-мышки с ними я сбросил все устройства в нашей сети до заводских настроек и решил попробовать WPA2-Enterprise с AES, используя встроенную возможность RADIUS на нашем сервере QNAP., Кроме того, я также выключил 5 ГГц радиостанции и снизил мощность передачи на 2,4 ГГц радиостанции до 30 (хотя я знаю, что они могут увеличить собственную мощность радиосвязи, чтобы преодолеть это). Я установил частоту обновления ключа на 1800, а также ограничил максимальное число связанных клиентов на радиостанции 2,4 ГГц только на 2 устройствах.

Несмотря на все наши усилия, они все еще взламывают нашу сеть, и наши собственные мобильные устройства часто не могут подключиться или выходят из сети.

Мы перепробовали все возможное, и, за исключением полного отключения нашего Wi-Fi, мы не знаем, что делать, и поэтому ищем несколько внешних советов о том, каким должен быть наш лучший курс действий. Хотя мы хотели бы их поймать и разоблачить, мы предпочитаем не давать им вообще делать это с использованием оборудования и программного обеспечения, которое у нас уже есть.

По соответствующим каналам я с удовольствием поделюсь чем-нибудь, чтобы помочь всем, кто хочет помочь мне с решением этой проблемы.

Пожалуйста помоги.

1
Почему все сложности в домашней сети (ddrt, EPA enterprise, radius)? WPA2 Personal с AES и надежным сетевым ключом достаточно, чтобы не пускать соседей. При всем ненужном усложнении «корпоративной» технологии, используемой в доме, неудивительно, что кто-то нашел дыру. Без обид, но вы ИТ-администратор с безопасностью Wi-Fi и радиусом действия сервера? В настоящее время любой базовый современный домашний маршрутизатор обычно безопасен из коробки. Appleoddity 6 лет назад 1
Что заставляет вас думать, что эти устройства не были вашими собственными устройствами? Разместите скриншоты. Не стесняйтесь очищать последнюю половину каждого MAC-адреса, но оставляйте первую половину видимой. Spiff 6 лет назад 0
@Appleoddity Вы не должны следить за новостями безопасности. Большинство домашних шлюзов смехотворно небезопасны из коробки. Вулны встречаются постоянно и редко залатываются. Spiff 6 лет назад 1
Моя сеть совсем не сложная, если учесть мое описание. Единственное осложнение заключается в том, что я добавил сервер RADIUS для аутентификации WiFi и только из-за взлома. Помимо применения рекомендуемых настроек безопасности в DD-WRT (отключение удаленного доступа, отключение SSH, отключение UPnP и т. Д., Все стандартно из коробки. У меня есть только одно правило, примененное к брандмауэру, которое заключается в поддержании статического VPN-соединения. Ничего другого было сделано для моего маршрутизатора брандмауэра. tamosa 6 лет назад 0
@Spiff - запрошенные скриншоты, как показано ниже: https://www.screencast.com/t/baEI3tia7Sr https://www.screencast.com/t/kQCZelsto1 https://www.screencast.com/t/p6V0ARyYG https: / /www.screencast.com/t/M5ozuru12u4 https://www.screencast.com/t/Ajph0hY1 tamosa 6 лет назад 0
Обратите внимание, что ни одно из этих устройств не отображается с IP-адресом. Они * не * в вашей сети. Daniel B 6 лет назад 0
Вы можете пройти аутентификацию в беспроводной сети без IP-адреса, но, возможно, их нет в сети. Невозможность подключения - это, вероятно, атаки по умолчанию, которые тривиальны, и их трудно отследить без большего количества регистрации, чем это возможно на большинстве устройств. Austin Hemmelgarn 6 лет назад 0
Спасибо @tamosa, эти скриншоты были полезны. См. Мой ответ ниже (который я только что снова обновил, предоставив информацию об отключении WPS и WCN, чтобы вы не видели близлежащие смартфоны и предметы, которых на самом деле нет в вашей сети) в окне «Сеть» Windows. Spiff 6 лет назад 0

2 ответа на вопрос

1
Spiff

Microsoft допустила ошибку в Windows 7/8/10, использовав то же самое окно «Сеть», чтобы показать не только то, что действительно находится в вашей сети, но и близлежащие беспроводные устройства, с которыми вы можете установить беспроводное одноранговое соединение. То есть вы видите телефоны своих соседей, потому что вы находитесь в зоне действия Wi-Fi, но их нет в вашей сети. Вероятно, они просто поддерживают Wi-Fi Direct или Wi-Fi Protected Setup или связанные технологии Wireless Simple Config (WSC) или Windows Connect Now (WCN).

Хотите доказательства? Полностью отключите радиомодули Wi-Fi и Bluetooth на ПК с Windows и подключите его к сети через Ethernet. Перезагрузите его, чтобы очистить все кеши и убедиться, что Wi-Fi и Bluetooth по-прежнему отключены. Если Wi-Fi и Bluetooth отключены, ваш компьютер не сможет сканировать беспроводные соединения на наличие потенциальных одноранговых устройств в радиусе действия, а сможет сканировать домашнюю локальную сеть на наличие устройств, которые действительно подключены к вашей сети. Держу пари, эти телефоны не появляются сейчас.

Отредактировано для добавления: Вам также необходимо отключить WPS (Wi-Fi Protected Setup) на всех ваших точках доступа и / или отключить службу WCN (Windows Connect Now), WCNCSVC, в Windows. WPS и WCN позволяют точке доступа находить устройства с поддержкой WPS, такие как смартфоны, в диапазоне радиосвязи, которые вы, возможно, захотите подключить к сети, и передавать информацию об этих устройствах на компьютеры Windows, которые могут участвовать на стороне администратора WCN / WPS, чтобы помочь подключите эти беспроводные устройства к сети. Таким образом, благодаря этим технологиям даже ПК, подключенный только к проводной сети, может видеть незнакомые соседние телефоны в окне «Сеть» Windows.

Смотрите также: Windows 10: телефоны появляются в сети

Вас никогда не взламывали, вы были просто введены в заблуждение ужасным выбором пользовательского интерфейса Windows. Теперь все изменения, которые вы сделали с вашей сетью из-за недопонимания, сделали вашу сеть непригодной для использования. Вернитесь к чистому WPA2-PSK (только AES-CCMP, без TKIP) с надежной парольной фразой и без фильтрации MAC-адресов, полной мощности и без ограничения одновременных сопоставлений клиентов.

Моя Windows 10 видит некоторые мобильные устройства, как на скриншотах, но у меня на рабочем столе нет BT и Wi-Fi. FarO 6 лет назад 0
@OlafM Единицы без IP-адресов и не в вашей сети, как OP? Очевидно, что AP с поддержкой WPS могут ретранслировать список клиентов с поддержкой WPS, которые они видят через Wi-Fi, и передавать эту информацию по сети службе WCN в Windows. Это позволяет машине Windows затем использовать WCN / WPS, чтобы предложить подключить этого клиента к сети (в случае, если это ваше устройство или гость, которого вы хотите подключить к сети). Из того, что я читаю, отключение WPS в точке доступа или отключение службы WCN в Windows должно сделать это. Spiff 6 лет назад 0
Привет, спасибо, ребята, мне удалось следовать всем предложениям, которые вы предоставили здесь, и, кажется, на данный момент это прекратилось Я веду журнал уже два дня и не вижу в нашей сети ничего ненормального, что является хорошим знаком. Еще раз спасибо. tamosa 6 лет назад 0
Спасибо за продолжение @tamosa. Если вы пришли к выводу, что ответ разрешил вашу проблему, нажмите на флажок галочки (галочка) рядом с ответом, который разрешил его для вас, чтобы принять его в качестве официального ответа, чтобы система показала этот вопрос как решенный. Spiff 6 лет назад 0
1
FarO

Несмотря на все наши усилия, они все еще взламывают нашу сеть, и наши собственные мобильные устройства часто не могут подключиться или выходят из сети.

Атаки по умолчанию, которые блокируют подключение устройств к Wi-Fi, просты и дешевы: https://github.com/spacehuhn/esp8266_deauther

Попробуйте использовать 802.11w в сети Wi-Fi, по крайней мере атаки по умолчанию заблокированы.

Другие атаки от наводнения (они не попадают в сеть, но делают ее бесполезной для легитимных клиентов Wi-Fi) все еще возможны.

Похожие вопросы