Làm thế nào để ngăn chặn hack mạng WPA2-Enterprise


1

Mạng riêng của chúng tôi bao gồm bộ định tuyến Netgear được flash với DD-WRT, máy chủ QNAP, bộ chuyển đổi 8 cổng câm và một số máy tính xách tay kết nối Ethernet, máy tính để bàn và 2 x thiết bị di động WiFi.

Một thời gian trước, WiFi của chúng tôi đã bị hack bởi những người không có gì tốt hơn để làm với cuộc sống của họ. Chúng tôi nghi ngờ những người hàng xóm bên cạnh làm việc trong lĩnh vực CNTT nhưng không thể chứng minh bất cứ điều gì - ít nhất là từ quan điểm pháp lý. Không chắc chắn nếu điều này sẽ giúp dù sao.

Vào thời điểm đó, mạng của chúng tôi được bảo mật bằng lọc địa chỉ WPA2-AES và MAC. Ngay cả khi áp dụng các biện pháp bảo mật này, họ vẫn có được quyền truy cập bằng cách giả mạo địa chỉ MAC của họ và bẻ khóa mật khẩu của chúng tôi luôn có độ dài tối đa và chứa các ký tự / ký hiệu đặc biệt, trường hợp hỗn hợp và số.

Những người này giống như ma ma! Tôi nói điều này bởi vì chúng tôi không bao giờ có thể xác định các kết nối của họ từ nhật ký bộ định tuyến hoặc GUI. Chúng tôi đã thử sử dụng Angryip, whosonmywifi, cũng như các công cụ khác nhưng không có gì hiệu quả. Chúng tôi đã dành vô số giờ trên điện thoại với ISP của chúng tôi, IP của chúng tôi đã thay đổi, chạy các tracerts cho các tuyến đường giao thông, v.v. Bất chấp những nỗ lực này, thực ra máy tính Windows 10 của chúng tôi đã xác định chúng trên mạng của chúng tôi. Chúng tôi quản lý để có được ảnh chụp màn hình của thiết bị của họ với các chi tiết nhà sản xuất.

Dù sao, điều này đã diễn ra một thời gian và sau 6 tháng chơi mèo và chuột, tôi đã thiết lập lại tất cả các thiết bị trong mạng của chúng tôi và quyết định dùng thử WPA2-Enterprise với AES bằng khả năng RADIUS tích hợp trên máy chủ QNAP của chúng tôi . Ngoài ra, tôi cũng tắt radio 5ghz và giảm công suất TX trên radio 2.4ghz xuống 30 (mặc dù tôi biết rằng họ có thể tăng cường độ vô tuyến của chính mình để khắc phục điều này). Tôi đã đặt tần số gia hạn khóa thành 1800 và cũng giới hạn các máy khách được liên kết tối đa trên radio 2,4ghz chỉ còn 2 thiết bị.

Bất chấp những nỗ lực tốt nhất của chúng tôi, họ vẫn đang hack mạng của chúng tôi và các thiết bị di động của chúng tôi thường không thể kết nối hoặc bị bật khỏi mạng.

Chúng tôi đã thử mọi cách có thể và hoàn toàn vô hiệu hóa WiFi của chúng tôi, chúng tôi không biết phải làm gì và do đó đang tìm kiếm một số lời khuyên bên ngoài về cách hành động tốt nhất của chúng tôi. Mặc dù chúng tôi muốn bắt và phơi bày chúng, chúng tôi muốn ngăn chặn chúng hoàn toàn sử dụng thiết bị và phần mềm chúng tôi đã có.

Thông qua các kênh thích hợp, tôi rất vui được chia sẻ bất cứ điều gì để giúp bất cứ ai sẵn sàng giúp tôi giải quyết vấn đề này.

Xin vui lòng giúp đỡ.


1
Tại sao tất cả các phức tạp trên một mạng gia đình (ddrt, doanh nghiệp EPA, bán kính)? WPA2 Personal với AES và khóa mạng mạnh là rất nhiều để tránh hàng xóm của bạn. Với tất cả sự phức tạp không cần thiết của công nghệ "doanh nghiệp" đang được sử dụng trong nhà, không có gì đáng ngạc nhiên khi ai đó đã tìm thấy một lỗ hổng. Không xúc phạm, nhưng bạn có phải là quản trị viên CNTT có kinh nghiệm bảo mật wifi và bán kính máy chủ không? Bất kỳ bộ định tuyến gia đình hiện đại cơ bản thường là an toàn ra khỏi hộp ngày nay.
Appleoddity

Điều gì khiến bạn nghĩ rằng các thiết bị này không phải là thiết bị của riêng bạn? Đăng ảnh chụp màn hình. Vui lòng xóa nửa cuối của mỗi địa chỉ MAC, nhưng để lại nửa đầu hiển thị.
Spiff

1
@Appleoddity Bạn không được theo dõi tin tức bảo mật. Hầu hết các cổng nhà là không an toàn ra khỏi hộp. Lỗ hổng được tìm thấy tất cả các thời gian và hiếm khi được vá.
Spiff

Mạng của tôi không phức tạp chút nào nếu bạn xem xét mô tả của tôi về nó. Điều phức tạp duy nhất là tôi đã thêm một máy chủ RADIUS để xác thực WiFi và chỉ vì hack. Ngoài việc áp dụng các cài đặt bảo mật được đề xuất trong DD-WRT (vô hiệu hóa truy cập từ xa, vô hiệu hóa SSH, vô hiệu hóa UPnP, v.v., mọi thứ đều là tiêu chuẩn chứng khoán từ hộp. Tôi chỉ có một quy tắc được áp dụng cho tường lửa của mình đó là duy trì kết nối VPN tĩnh. đã được thực hiện với tường lửa bộ định tuyến của tôi.
tamosa

Câu trả lời:


1

Bất chấp những nỗ lực tốt nhất của chúng tôi, họ vẫn đang hack mạng của chúng tôi và các thiết bị di động của chúng tôi thường không thể kết nối hoặc bị bật khỏi mạng.

các cuộc tấn công deauth, ngăn chặn các thiết bị kết nối với wifi, rất dễ dàng và rẻ tiền: https://github.com/spacehuhn/esp8266_deauther

Hãy thử sử dụng 802.11w trên mạng wifi, ít nhất các cuộc tấn công deauth bị chặn.

Các cuộc tấn công lũ lụt khác (chúng không xâm nhập vào mạng, nhưng làm cho nó trở nên vô dụng đối với các máy khách wifi hợp pháp) vẫn có thể xảy ra.


1

Microsoft đã phạm sai lầm trong Windows 7/8/10 khi sử dụng cùng một cửa sổ Mạng để không chỉ hiển thị những gì thực sự trong mạng của bạn, mà cả các thiết bị không dây gần đó mà bạn có thể kết nối không dây ngang hàng với nhau. Vì vậy, bạn đang nhìn thấy điện thoại hàng xóm của mình vì bạn ở trong phạm vi Wi-Fi của chúng, nhưng chúng không có trên mạng của bạn. Chúng có lẽ chỉ có khả năng Thiết lập được bảo vệ Wi-Fi Direct hoặc Wi-Fi hoặc các công nghệ liên quan Wireless Simple Config (WSC) hoặc Windows Connect Now (WCN).

Muốn chứng minh? Vô hiệu hóa hoàn toàn radio Wi-Fi và Bluetooth trên PC Windows của bạn và cắm nó vào mạng của bạn thông qua Ethernet. Khởi động lại nó để có biện pháp tốt để xóa mọi bộ nhớ cache và đảm bảo Wi-Fi và Bluetooth vẫn chưa tắt. Khi Wi-Fi và Bluetooth bị tắt, PC của bạn sẽ không thể quét không dây cho các thiết bị ngang hàng tiềm năng trong phạm vi và sẽ chỉ có thể quét mạng LAN gia đình của bạn để tìm các thiết bị thực sự trên mạng của bạn. Tôi cá là những điện thoại đó sẽ không xuất hiện bây giờ.


Đã chỉnh sửa để thêm: Bạn cũng cần phải tắt WPS (Thiết lập được bảo vệ Wi-Fi) trên tất cả các AP của bạn và / hoặc vô hiệu hóa dịch vụ WCN (Windows Connect Now), WCNCSVC, trên Windows. WPS và WCN cho phép AP tìm các thiết bị có khả năng WPS như điện thoại thông minh trong phạm vi radio mà bạn có thể muốn đưa lên mạng và chuyển thông tin về các thiết bị đó sang các máy Windows có thể tham gia vào phía quản trị viên của WCN / WPS để trợ giúp đưa các thiết bị không dây lên mạng. Vì vậy, vì những công nghệ đó, ngay cả các PC chỉ có dây cũng có thể thấy các điện thoại lạ gần đó trong cửa sổ "Mạng" của Windows.

Xem thêm: Windows 10: Điện thoại xuất hiện trong Mạng


Bạn chưa bao giờ bị hack, bạn chỉ bị đánh lừa bởi các lựa chọn UI khủng khiếp của Windows. Bây giờ tất cả các chỉnh sửa bạn đã thực hiện đối với mạng của mình dựa trên sự hiểu lầm đã khiến mạng của bạn không thể sử dụng được. Quay trở lại WPA2-PSK thuần túy (chỉ AES-CCMP, không có TKIP) với cụm mật khẩu mạnh và không lọc địa chỉ MAC, toàn bộ sức mạnh và không giới hạn đối với các liên kết máy khách đồng thời.


Windows 10 của tôi thấy một số thiết bị di động như trong ảnh chụp màn hình được hiển thị, nhưng tôi không có BT và không có Wifi trên máy tính để bàn của mình.
FarO

@OlafM Những người không có địa chỉ IP và không có trên mạng của bạn, giống như OP? Rõ ràng các AP có khả năng WPS có thể chuyển tiếp danh sách các máy khách có khả năng WPS mà họ nhìn thấy qua Wi-Fi và chuyển thông tin đó qua mạng đến dịch vụ WCN trên Windows. Điều này cho phép máy Windows sau đó sử dụng WCN / WPS để cung cấp ứng dụng khách đó lên mạng (trong trường hợp đó là thiết bị không phải của bạn hoặc của một khách mà bạn muốn đưa lên mạng). Từ những gì tôi đang đọc, việc vô hiệu hóa WPS trong AP hoặc vô hiệu hóa dịch vụ WCN trên Windows sẽ khiến điều này biến mất.
Spiff

Xin cảm ơn các bạn, tôi đã xoay sở để làm theo tất cả các đề xuất mà bạn cung cấp ở đây và dường như nó đã dừng lại cho đến bây giờ. Tôi đã đăng nhập được hai ngày và tôi không thể thấy bất cứ điều gì bất thường trên mạng của chúng tôi, đó là một dấu hiệu tuyệt vời. Cảm ơn một lần nữa.
tamosa

Cảm ơn đã theo dõi @tamosa. Nếu bạn kết luận rằng một câu trả lời đã giải quyết vấn đề của bạn, vui lòng nhấp vào phác thảo dấu kiểm (dấu kiểm) bên cạnh câu trả lời đã giải quyết cho bạn, để chấp nhận nó là câu trả lời chính thức để hệ thống hiển thị câu hỏi này như đã giải quyết.
Spiff
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.