Làm thế nào để ngăn chặn hack mạng WPA2-Enterprise

Mạng riêng của chúng tôi bao gồm bộ định tuyến Netgear được flash với DD-WRT, máy chủ QNAP, bộ chuyển đổi 8 cổng câm và một số máy tính xách tay kết nối Ethernet, máy tính để bàn và 2 x thiết bị di động WiFi.

Một thời gian trước, WiFi của chúng tôi đã bị hack bởi những người không có gì tốt hơn để làm với cuộc sống của họ. Chúng tôi nghi ngờ những người hàng xóm bên cạnh làm việc trong lĩnh vực CNTT nhưng không thể chứng minh bất cứ điều gì - ít nhất là từ quan điểm pháp lý. Không chắc chắn nếu điều này sẽ giúp dù sao.

Vào thời điểm đó, mạng của chúng tôi được bảo mật bằng lọc địa chỉ WPA2-AES và MAC. Ngay cả khi áp dụng các biện pháp bảo mật này, họ vẫn có được quyền truy cập bằng cách giả mạo địa chỉ MAC của họ và bẻ khóa mật khẩu của chúng tôi luôn có độ dài tối đa và chứa các ký tự / ký hiệu đặc biệt, trường hợp hỗn hợp và số.

Những người này giống như ma ma! Tôi nói điều này bởi vì chúng tôi không bao giờ có thể xác định các kết nối của họ từ nhật ký bộ định tuyến hoặc GUI. Chúng tôi đã thử sử dụng Angryip, whosonmywifi, cũng như các công cụ khác nhưng không có gì hiệu quả. Chúng tôi đã dành vô số giờ trên điện thoại với ISP của chúng tôi, IP của chúng tôi đã thay đổi, chạy các tracerts cho các tuyến đường giao thông, v.v. Bất chấp những nỗ lực này, thực ra máy tính Windows 10 của chúng tôi đã xác định chúng trên mạng của chúng tôi. Chúng tôi quản lý để có được ảnh chụp màn hình của thiết bị của họ với các chi tiết nhà sản xuất.

Dù sao, điều này đã diễn ra một thời gian và sau 6 tháng chơi mèo và chuột, tôi đã thiết lập lại tất cả các thiết bị trong mạng của chúng tôi và quyết định dùng thử WPA2-Enterprise với AES bằng khả năng RADIUS tích hợp trên máy chủ QNAP của chúng tôi . Ngoài ra, tôi cũng tắt radio 5ghz và giảm công suất TX trên radio 2.4ghz xuống 30 (mặc dù tôi biết rằng họ có thể tăng cường độ vô tuyến của chính mình để khắc phục điều này). Tôi đã đặt tần số gia hạn khóa thành 1800 và cũng giới hạn các máy khách được liên kết tối đa trên radio 2,4ghz chỉ còn 2 thiết bị.

Bất chấp những nỗ lực tốt nhất của chúng tôi, họ vẫn đang hack mạng của chúng tôi và các thiết bị di động của chúng tôi thường không thể kết nối hoặc bị bật khỏi mạng.

Chúng tôi đã thử mọi cách có thể và hoàn toàn vô hiệu hóa WiFi của chúng tôi, chúng tôi không biết phải làm gì và do đó đang tìm kiếm một số lời khuyên bên ngoài về cách hành động tốt nhất của chúng tôi. Mặc dù chúng tôi muốn bắt và phơi bày chúng, chúng tôi muốn ngăn chặn chúng hoàn toàn sử dụng thiết bị và phần mềm chúng tôi đã có.

Thông qua các kênh thích hợp, tôi rất vui được chia sẻ bất cứ điều gì để giúp bất cứ ai sẵn sàng giúp tôi giải quyết vấn đề này.

Xin vui lòng giúp đỡ.

Bất chấp những nỗ lực tốt nhất của chúng tôi, họ vẫn đang hack mạng của chúng tôi và các thiết bị di động của chúng tôi thường không thể kết nối hoặc bị bật khỏi mạng.

các cuộc tấn công deauth, ngăn chặn các thiết bị kết nối với wifi, rất dễ dàng và rẻ tiền: https://github.com/spacehuhn/esp8266_deauther

Hãy thử sử dụng 802.11w trên mạng wifi, ít nhất các cuộc tấn công deauth bị chặn.

Các cuộc tấn công lũ lụt khác (chúng không xâm nhập vào mạng, nhưng làm cho nó trở nên vô dụng đối với các máy khách wifi hợp pháp) vẫn có thể xảy ra.

Microsoft đã phạm sai lầm trong Windows 7/8/10 khi sử dụng cùng một cửa sổ Mạng để không chỉ hiển thị những gì thực sự trong mạng của bạn, mà cả các thiết bị không dây gần đó mà bạn có thể kết nối không dây ngang hàng với nhau. Vì vậy, bạn đang nhìn thấy điện thoại hàng xóm của mình vì bạn ở trong phạm vi Wi-Fi của chúng, nhưng chúng không có trên mạng của bạn. Chúng có lẽ chỉ có khả năng Thiết lập được bảo vệ Wi-Fi Direct hoặc Wi-Fi hoặc các công nghệ liên quan Wireless Simple Config (WSC) hoặc Windows Connect Now (WCN).

Muốn chứng minh? Vô hiệu hóa hoàn toàn radio Wi-Fi và Bluetooth trên PC Windows của bạn và cắm nó vào mạng của bạn thông qua Ethernet. Khởi động lại nó để có biện pháp tốt để xóa mọi bộ nhớ cache và đảm bảo Wi-Fi và Bluetooth vẫn chưa tắt. Khi Wi-Fi và Bluetooth bị tắt, PC của bạn sẽ không thể quét không dây cho các thiết bị ngang hàng tiềm năng trong phạm vi và sẽ chỉ có thể quét mạng LAN gia đình của bạn để tìm các thiết bị thực sự trên mạng của bạn. Tôi cá là những điện thoại đó sẽ không xuất hiện bây giờ.

Đã chỉnh sửa để thêm: Bạn cũng cần phải tắt WPS (Thiết lập được bảo vệ Wi-Fi) trên tất cả các AP của bạn và / hoặc vô hiệu hóa dịch vụ WCN (Windows Connect Now), WCNCSVC, trên Windows. WPS và WCN cho phép AP tìm các thiết bị có khả năng WPS như điện thoại thông minh trong phạm vi radio mà bạn có thể muốn đưa lên mạng và chuyển thông tin về các thiết bị đó sang các máy Windows có thể tham gia vào phía quản trị viên của WCN / WPS để trợ giúp đưa các thiết bị không dây lên mạng. Vì vậy, vì những công nghệ đó, ngay cả các PC chỉ có dây cũng có thể thấy các điện thoại lạ gần đó trong cửa sổ "Mạng" của Windows.

Xem thêm: Windows 10: Điện thoại xuất hiện trong Mạng

Bạn chưa bao giờ bị hack, bạn chỉ bị đánh lừa bởi các lựa chọn UI khủng khiếp của Windows. Bây giờ tất cả các chỉnh sửa bạn đã thực hiện đối với mạng của mình dựa trên sự hiểu lầm đã khiến mạng của bạn không thể sử dụng được. Quay trở lại WPA2-PSK thuần túy (chỉ AES-CCMP, không có TKIP) với cụm mật khẩu mạnh và không lọc địa chỉ MAC, toàn bộ sức mạnh và không giới hạn đối với các liên kết máy khách đồng thời.