Comments 12
Оке, теперь давайте статью как настроить роутер что бы все описаные дейсвия (кроме дедоса понятное дело) не работали
White list по MAC адресу и пароль можно не ставить !?
Вредные советы по Остеру.
Немного капитанства:
MAC адреса летают по воздуху, их легко перехватить и сэмулировать
«Не ставить пароль» в этом контексте оставляет вас не только без аутентификации, но и без шифрования трафика, который летает по тому же воздуху
без шифрования трафика, который летает по тому же воздуху
https же. В 2024, надо постараться найти что-то без шифро-траффика.
Проблема в другом, имея открытую ТД, любой желающий может начать постить/раздавать/качать всякое. Достаточно будет пары призывов/дискредитаций чтобы к обладателю ТД пришли вежливые люди, и доказать им что это были не вы будет оооочень не просто.
У вас трафик это только тело WEB?
У меня в домашней сети трафик это и DNS, и SAMBA и управление тупыми домашними устройствами.
А, кстати, вопрос на засыпку: ваш роутер тоже работает по HTTPS? У меня ни роутер, ни пылесос, ни бытовая техника не шифрованы.
У вас трафик это только тело WEB?
Вторую часть абзаца вы намеренно пропустили?
У меня в домашней сети трафик это и DNS, и SAMBA и управление тупыми домашними устройствами.
DNS over HTTPS (DoH) уже вроде как давно является необходимостью, а не блажью
SAMBA, опять таки 2024 год на дворе, пора бы перейти на SMBv3 который:
Windows Server 2022 and Windows 11 introduce AES-256-GCM and AES-256-CCM cryptographic suites for SMB 3.1.1 encryption. Windows automatically negotiates this more advanced cipher method when connecting to another computer that supports it. You can also mandate this method through Group Policy. Windows still supports AES-128-GCM and AES-128-CCM. By default, AES-128-GCM is negotiated with SMB 3.1.1, bringing the best balance of security and performance.
ну а в линуксах:
[global]
server signing = mandatory
server min protocol = SMB3
server smb encrypt = requiredhttps://manpages.ubuntu.com/manpages/focal/man5/smb.conf.5.html
server smb encrypt (S)
This parameter controls whether a remote client is allowed or required to use SMB
encryption. It has different effects depending on whether the connection uses SMB1 or
SMB2 and newer:
• If the connection uses SMB1, then this option controls the use of a
Samba-specific extension to the SMB protocol introduced in Samba 3.2 that
makes use of the Unix extensions.
• If the connection uses SMB2 or newer, then this option controls the use of
the SMB-level encryption that is supported in SMB version 3.0 and above and
available in Windows 8 and newer.
Возможно, у староверов любителей win7 и SMBv1, есть проблемы, но странно уповать на самбу не имея секьюрити фиксов в ОС.
Про IoT, есть давняя шутка что буква S-означает безопасность. Так вот если оно у вас в принципе не по https'у работает, то как бы любой желающий и после вашего роутера может делать что угодно с траффиком. Тут проблема не в канале, а в железке.
А ничего нового, за 5-7 лет ничего не появилось. Сложный пароль (благо сейчас его можно передавать QR-кодом) и шифрование WPA2 или 3.WPS (тот самый pin-код) отключить если роутер(точка доступа) старая. В новых устройствах во-первых уже лет 5 используется защита от брута (точка перестает принимать пины на 2-3-24 часа) во-вторых, пины на заводе, начали генерировать динамически, в третьих некоторые производители физическую кнопку делают - пока не нажимаешь пин приниматься не будет. Но повторюсь, смысл WPS потерялся когда стало возможным сгенерировать QR-код подключения.
Либо... упарываться в махровый энтерпрайз с поднятием RADIUS-сервера, включением 802.1х и приправлять все это IDS/IPS. Но придется повеселиться ... особенно с гостевыми устройствами.
Махровый энтерпрайз это хорошо. Проблемы гостей, это проблемы гостей.
На самом то деле, защитить АР сложно, но возможно и без RADIUS`а 1. Сложный пароль ар. 2. Пароль от сети WIFI должен быть сильным из генератора паролей, согласитесь что ломать 8 букв или цифр куда проще чем 16 букв в разном регистре цифры и символы. 3. Если есть возможность отключайте WPS. 4. Настройте мощность ар под вашу квартиру/дом, чем слабее будет ваша ар тем сложнее поймать качественный хендшейк. И обновляйте ар.
Проблемы гостей, это проблемы гостей.
Нет, это станет вашей проблемой когда к жене придет подруга и попросит подключить свой самсунг/ксяоми/айфон.
Второе, попробуйте подключить какой-нибудь IoT, типа телека, робота-пылесоса и прочих увлажнителей.
согласитесь что ломать 8 букв или цифр куда проще чем 16 букв в разном регистре цифры и символы. 3
не сложно, а дороже. С учетом того, что условно безлимитное количество GPU можно взять в аренду, вопрос лишь в стоимости. Пару лет назад делал расчет, так вот взлом как раз таки 16 символов обошёлся бы в 500 т.р. на то ли 50 то ли 100 Nvidia 1080 за месяц (цифры пишу по памяти, в деталях могут быть ошибки, но порядки примерно такие). Сейчас, очевидно, цифра будет меньше(видяхи стали дешевле, мощнее, хешрейт вырос, а сложность осталась той же)
Свежая прошивка где исправлены уязвимости WPA2/WPA3 + пароль символов на 20+
С сегодняшнего дня запускаю новую рубрику моих статей «Без про‑v-ода»
Далее переведём наш адаптер в режим мониторинга
Нещитово. A как же "Лучший Wi-Fi адаптер для Kali Linux"?
Batwing antenna 2.4 GHz, 5.2-6GHz из пивной банки.
Deauth атаки, да еще и на 100 - ну это прям как кирпичом в окно кинуть, с прилепленной запиской "Дай свой вафляй!". Многие виды атак уже не актуальны, если только оборудование не совсем старое. Многих деталей не хватает конечно, но в целом годно, для новичков. Предлагаю автору все же не проходить мимо деталей, если статьи пишутся для раскрытия темы, которая может показаться несколько щепетильной, но по факту уже давно раскрытой. По моему мнению, производители уже давно могли бы решить множество этих проблем, но как-то не особо торопятся)
Начало Aircrack-ng и WEF