Come rilevare se si sta tentando di crackare la chiave della mia rete?

7

Uso la crittografia WPA2. Ma so anche che può essere rotto con la suite aircrack. E molti utenti non possono usare password complesse. Ho letto che mentre si scricchiolavano le chiavi WIFI l'unica differenza evidente è la velocità del traffico. Quindi c'è un modo per rilevare se la mia rete è sotto attacco da tali strumenti?

P.S: sarà apprezzata una soluzione senza l'uso di IDS. Inoltre, la maggior parte degli ID è in grado di rilevare questi attacchi?

    
posta Grim Reaper 13.07.2013 - 16:48
fonte

3 risposte

6

Sì, se stanno cercando di entrare nella tua rete in modo particolarmente ovvio, ma no per il metodo generale di attacco a WPA2 con una chiave pre-condivisa debole.

Se stanno provando a forzare la forza nella rete da tentativi ripetuti di accesso (ad esempio, sfruttano i difetti di WPS - Wifi " Protetto "Setup ), è possibile ascoltare il traffico di rete, si vedrà la grande frazione di tentativi di accesso non riusciti. (O ancora più semplice il tuo AP wireless registra tentativi di accesso wifi falliti).

Ciò richiederebbe l'impostazione di wireshark su un computer dotato di una scheda wifi in grado di ascoltare in modalità promiscua il traffico. Ho sentito che questo non può essere fatto in Windows (non è un utente Windows quindi non ne sono sicuro), quindi potresti dover usare Linux o Mac.

Garantito che la maggior parte degli attacchi su WPA2 non funziona in questo modo (esclusi quelli su WPS). La maggior parte degli attacchi funziona osservando l'handshake WPA2 di successo di qualcun altro (ascolto in modalità promiscua) a un determinato punto di accesso (conoscendo il BSSID). Quindi eseguire localmente prendere quella stretta di mano attraverso un programma di cracking della password fino a quando non trovano una corrispondenza. Questo cracking è fatto interamente da intercettazioni e cracking offline, quindi non sarebbe rilevabile.

Tuttavia, questi attacchi sono computazionalmente costosi e funzioneranno solo in pratica contro password deboli o password leggermente più forti con un SSID comune (come NETGEAR / linksys / default / dlink / wireless / Home). Questo perché la password utilizzata è una combinazione della chiave SSH + precondivisa. Le tabelle Rainbow (tabelle precompilate) vengono generate per SSID comuni e, se utilizzate, aumentano la velocità di recupero della password. Si consiglia di cambiare il proprio SSID di rete in qualcosa di unico.

Se hai una passphrase che è alta entropia (non è probabile che si trovi in un attacco di dizionario) e uno ssid unico, questi attacchi offline contro la tua rete non avranno successo.

    
risposta data 13.07.2013 - 17:55
fonte
3

Sfortunatamente, se qualcuno sta attaccando la tua chiave, tutto può essere fatto in modo molto passivo. Come attaccante, tutto ciò di cui ho bisogno di osservare è l'handshake a cinque vie utilizzato per eseguire l'autenticazione iniziale quando si entra nella rete, ottenendo in tal modo la chiave di gruppo corrente. Ecco un video che illustra / dimostra: link

Se sono paziente, posso semplicemente sedermi con il mio sniffer in attesa che riavvii un computer o attendi che un computer si unisca. A quel punto ho davvero tutto il necessario per rompere la chiave.

Se sono meno paziente, posso accelerare questo processo. Allo stesso tempo, tuttavia, mi sto rendendo più visibile. Se inizio a licenziare i pacchetti di deautenticazione sugli host, perderanno temporaneamente la connettività. Quando si ricollegano automaticamente, posso nuovamente ottenere l'handshake. Tuttavia, questo ti permette di avere un indicatore del fatto che qualcuno ha almeno un problema con te o forse anche il tentativo di violare la tua chiave; diverse disconnessioni, nonostante nessun cambiamento nella potenza del segnale.

In definitiva, rompere la chiave è tutto offline. Ciò significa che ci sono pochissime indicazioni. Se dopo aver infranto la chiave l'attaccante è passivo, semplicemente raccogliendo dati, non c'è modo di rilevarlo poiché non irradia alcuna RF.

    
risposta data 13.07.2013 - 19:35
fonte
2

Potrebbe anche essere prudente esaminare periodicamente il registro dei dispositivi connessi per verificare se eventuali indirizzi MAC sconosciuti si sono uniti alla rete (non interamente fattibile in reti di grandi dimensioni).

    
risposta data 03.06.2014 - 16:14
fonte

Leggi altre domande sui tag