Безопасность трафика внутри WI-FI сети

1

2

Когда захожу в админку роутера, то вижу что моё соединение по IP 192.168.1.1 не защищённое и захожу я в админку довольно таки часто и именно по WI-FI а не через кабель. У меня есть роутер на openwrt который почти каждый день используется для разных задач (подключение к разным провайдерам, режим репитера) и у меня есть бэкапы на все необходимые варианты его подключения. Так вот через WI-FI я эти бэкапы и заливаю в роутер, после чего он перезагружается и готов к работе. Все WI-FI подключения в нём происходят через WPA2 и устойчивый к брутфорсу пароль. Предполагаю, что внутри сети роутера сниферы могут перехватывать соединение по ip 192.168.1.1 в незашифрованном виде т.е пароли ловить без проблем и это в моем случае не страшно (в сети чужаков нет). А что может споймать снифером неприятель неподключенный к моему роутеру по WI-FI в момент когда я заливаю в роутер очередной бэкап в котором записаны пароли и остальные конфиги? Тоесть сама суть вопроса такая: Что видит неприятель если снифает мой WI-FI трафик если внутри сети он не зашифрован, он его тоже видит не зашифрованным или как?

Ссылка

←	Скрыть\зашифровать учетные данные

Wireshark не ловит пакеты

→

что может споймать снифером неприятель неподключенный к моему роутеру по WI-FI в момент когда я заливаю в роутер очередной бэкап

кашу из шифрованных данных

пароль необязательно брутфорсить, неприятель может выполнить деаутентификацию, перехватить хендшейк и слить пароль

BLOBster ★★★
(03.04.19 15:06:06 MSK)

Ответ на: комментарий от BLOBster 03.04.19 15:06:06 MSK

если неприятель уже проник в сеть, то видит всё тоже что и ты

BLOBster ★★★
(03.04.19 15:07:28 MSK)

Ссылка

Ответ на: комментарий от BLOBster 03.04.19 15:06:06 MSK

Спасибо за инфу.

пароль необязательно брутфорсить, неприятель может выполнить деаутентификацию, перехватить хендшейк и слить пароль

Да, знаю что можно делать деаутентификацию и ловить хендшейки. Затем брутфорсить их и если повезет получать пароль от точки доступа. Но позволь спросить что значит перехватить хендшейк и слить пароль?

Arch37096
(03.04.19 15:12:33 MSK) автор топика

Ответ на: комментарий от Arch37096 03.04.19 15:12:33 MSK

именно то что ты описал

BLOBster ★★★
(03.04.19 15:37:32 MSK)

Ссылка

ты как льёшь? если через ssh - отключи ауиентифакацию по паролю и оставь только по ключу, залей id_rsa.pub и соединение зашифровано.
если через Luci, поставь хотя бы пакет luci-ssl-openssl, чтобы соединение было зашифровано. это усложнит.
у тебя соединение беспроводное, идеальной защиты нет. проверяй подключенных клиентов, отправляй логи на почту. поставь фильтр по мак адресам. они спуффаются, но это всё дополнительные сложности и с проверками можешь спать относительно спокойно.

fehhner ★★★★★
(03.04.19 15:55:41 MSK)

Ответ на: комментарий от Arch37096 03.04.19 15:12:33 MSK

Если будешь использовать PMF, то никто тебя насильно отстрелить не сможет.

anonymous
(03.04.19 16:21:02 MSK)

Ответ на: комментарий от anonymous 03.04.19 16:21:02 MSK

Если будешь использовать PMF, то никто тебя насильно отстрелить не сможет.

Это значит сделать деаунтефикацию по WI-FI не получится? Правильно ли я понял?

Arch37096
(03.04.19 18:54:27 MSK) автор топика

Ссылка

Ответ на: комментарий от fehhner 03.04.19 15:55:41 MSK

ты как льёшь?

Через интерфейс Luci в браузере.

Arch37096
(03.04.19 18:55:43 MSK) автор топика

Ссылка

Прошивка свежая? В 2017 году вроде обнаружили KRACKs https://www.krackattacks.com/ Можно слушать если дыра не закрыта, касается старых сматрфонов под которые не выпускают прошивки и роутеров которые не обновляют.

anonymous
(03.04.19 19:17:04 MSK)

Ответ на: комментарий от anonymous 03.04.19 19:17:04 MSK

Прошивка свежая? В 2017 году вроде обнаружили KRACKs https://www.krackattacks.com/ Можно слушать если дыра не закрыта, касается старых сматрфонов под которые не выпускают прошивки и роутеров которые не обновляют.

В OpenWrt в настройках соединения Interface Configuration -> Wireless Security, есть как раз галочка «Enable key reinstallation (KRACK) countermeasures»

fehhner ★★★★★
(03.04.19 19:21:25 MSK)

Ответ на: комментарий от anonymous 03.04.19 16:21:02 MSK

Если будешь использовать PMF, то никто тебя насильно отстрелить не сможет.

Можно подробнее? Я как понял, это стандарт 802.11w. У меня ac, как проверить поддержку? Или это независимо какой-то промышленный дополнительно в роутерах?

fehhner ★★★★★
(03.04.19 19:23:03 MSK)

Ответ на: комментарий от fehhner 03.04.19 19:21:25 MSK

В OpenWrt в настройках соединения Interface Configuration -> Wireless Security, есть как раз галочка «Enable key reinstallation (KRACK) countermeasures»

Типо для повышения секьюрности нужно эту галочку всегда держать включенной?

Arch37096
(03.04.19 19:39:48 MSK) автор топика

Ответ на: комментарий от Arch37096 03.04.19 19:39:48 MSK

КО

fehhner ★★★★★
(03.04.19 19:48:55 MSK)

Ссылка

Ответ на: комментарий от fehhner 03.04.19 19:23:03 MSK

В OpenWrt, если есть аппаратная поддержка и установлен полный wpad вместо wpad-mini, появится пункт 802.11w с опциями в Wireless Security. Но клиенты тоже должны это поддерживать.

solipse
(03.04.19 21:26:42 MSK)