So verhindern Sie das Hacken des WPA2-Enterprise-Netzwerks

935
tamosa

Unser privates Netzwerk besteht aus einem Netgear-Router mit DD-WRT, einem QNAP-Server, einem dummen 8-Port-Switch und einer Reihe von über Ethernet verbundenen Laptops, Desktops und 2 x WLAN-Mobilgeräten.

Vor einiger Zeit wurde unser WLAN von Leuten gehackt, die nichts Besseres mit ihrem Leben zu tun hatten. Wir vermuten, dass unsere Nachbarn nebenan sind, die in der IT arbeiten, aber nichts beweisen können - zumindest aus rechtlicher Sicht. Nicht sicher, ob das sowieso helfen würde.

Zu diesem Zeitpunkt war unser Netzwerk mit WPA2-AES und MAC-Adressfilterung gesichert. Trotz dieser Sicherheitsmaßnahmen haben sie immer noch Zugriff erhalten, indem sie ihre MAC-Adressen gefälscht und Passwörter geknackt haben, die immer eine maximale Länge haben und die von der Sicherheitsbranche empfohlenen Sonderzeichen / -zeichen, gemischten Groß- und Kleinbuchstaben enthalten.

Diese Leute sind wie Cybergeister! Ich sage das, weil wir ihre Verbindungen niemals anhand unserer Router-Protokolle oder der GUI identifizieren können. Wir haben es mit Angryip, Whosonmywifi und anderen Tools versucht, aber nichts hat funktioniert. Wir haben unzählige Stunden mit unserem ISP telefoniert, unsere IP-Adresse geändert, Tracerts für Verkehrswege usw. durchgeführt. Trotz dieser Bemühungen waren es tatsächlich unsere Windows 10-Computer, die sie in unserem Netzwerk identifizierten. Es ist uns gelungen, Screenshots ihrer Geräte mit Herstellerangaben zu erhalten.

Jedenfalls dauerte es einige Zeit, und nach etwa sechs Monaten Katz und Maus mit ihnen spielte ich alle Geräte in unserem Netzwerk zurück und entschied mich für WPA2-Enterprise mit AES, wobei die integrierte RADIUS-Funktion auf unserem QNAP-Server verwendet wurde . Außerdem habe ich auch die 5-GHz-Funkgeräte ausgeschaltet und die TX-Leistung des 2,4-GHz-Radios auf 30 gesenkt (obwohl mir bekannt ist, dass sie ihre eigene Funkstärke erhöhen können, um dies zu überwinden). Ich habe die Schlüsselerneuerungsfrequenz auf 1800 eingestellt und auch die maximal verbundenen Clients des 2,4-GHz-Radios auf 2 Geräte begrenzt.

Trotz unserer größten Anstrengungen hacken sie immer noch unser Netzwerk, und unsere eigenen mobilen Geräte können sich häufig nicht verbinden oder werden vom Netzwerk zurückgeworfen.

Wir haben alles Mögliche ausprobiert, und wenn wir unser WLAN nicht vollständig deaktivieren, wissen wir nicht, was zu tun ist, und suchen daher nach externen Ratschlägen, wie unsere beste Vorgehensweise aussehen sollte. Wir möchten sie zwar einfangen und entlarven, aber wir möchten sie lieber daran hindern, sie mit den vorhandenen Geräten und Software vollständig zu erledigen.

Über geeignete Kanäle teile ich gerne alles, um jedem zu helfen, der mir bei der Lösung dieses Problems helfen möchte.

Bitte helfen

1
Warum all die Komplikationen in einem Heimnetzwerk (ddrt, EPA-Unternehmen, Radius)? WPA2 Personal mit AES und einem starken Netzwerkschlüssel ist ausreichend, um Ihre Nachbarn fernzuhalten. Mit der unnötigen Komplikation der "Enterprise" -Technologie in einem Heim ist es nicht überraschend, dass jemand ein Loch gefunden hat. Keine Beleidigung, aber sind Sie ein IT-Administrator mit WLAN-Sicherheits- und Radius-Server-Erfahrung? Jeder grundlegende moderne Heimrouter ist heutzutage normalerweise sofort einsatzbereit. Appleoddity vor 6 Jahren 1
Warum denken Sie, dass diese Geräte keine eigenen Geräte waren? Poste die Screenshots. Fühlen Sie sich frei, die letzte Hälfte jeder MAC-Adresse auszublenden, aber lassen Sie die erste Hälfte sichtbar. Spiff vor 6 Jahren 0
@Appleoddity Sie dürfen die Sicherheitsnachrichten nicht verfolgen. Die meisten Gateways für den Heimgebrauch sind aus dem Kasten heraus lächerlich. Schwachstellen werden ständig gefunden und nur selten gepatcht. Spiff vor 6 Jahren 1
Mein Netzwerk ist überhaupt nicht kompliziert, wenn Sie meine Beschreibung davon betrachten. Die einzige Komplikation ist, dass ich einen RADIUS-Server für die WLAN-Authentifizierung hinzugefügt habe und nur wegen des Hackings. Abgesehen von den empfohlenen Sicherheitseinstellungen in DD-WRT (Deaktivieren des Remotezugriffs, Deaktivieren von SSH, Deaktivieren von UPnP usw.) ist alles standardmäßig auf Lager. Ich habe nur eine Regel für meine Firewall, die eine statische VPN-Verbindung aufrechterhält wurde an meiner Router-Firewall gemacht. tamosa vor 6 Jahren 0
@Spiff - angeforderte Screenshots wie folgt: https://www.screencast.com/t/baEI3tia7Sr https://www.screencast.com/t/kQCZelsto1 https://www.screencast.com/t/p6V0ARyYG https: / /www.screencast.com/t/M5ozuru12u4 https://www.screencast.com/t/Ajph0hY1 tamosa vor 6 Jahren 0
Beachten Sie, wie keines dieser Geräte mit einer IP-Adresse angezeigt wird. Sie sind * nicht * in Ihrem Netzwerk. Daniel B vor 6 Jahren 0
Sie können sich bei einem drahtlosen Netzwerk authentifizieren, ohne eine IP-Adresse zu haben, aber sie sind wahrscheinlich nicht im Netzwerk. Die Unfähigkeit, eine Verbindung herzustellen, sind wahrscheinlich deauth Angriffe, die trivial sind und schwer zu verfolgen sind, ohne dass mehr Protokollierung erforderlich ist, als dies bei den meisten Geräten möglich ist. Austin Hemmelgarn vor 6 Jahren 0
Vielen Dank @tamosa, diese Screenshots waren hilfreich. Siehe meine Antwort unten (die ich gerade wieder mit Informationen zum Deaktivieren von WPS und WCN aktualisiert habe, so dass Sie in der Nähe befindliche Smartphones und Dinge, die sich nicht in Ihrem Netzwerk befinden, im Fenster "Netzwerk" von Windows sehen können. Spiff vor 6 Jahren 0

2 Antworten auf die Frage

1
Spiff

Microsoft hat in Windows 7/8/10 den Fehler gemacht, dasselbe Netzwerkfenster zu verwenden, um nicht nur zu zeigen, was wirklich in Ihrem Netzwerk ist, sondern auch in der Nähe von drahtlosen Geräten, zu denen Sie drahtlose Peer-zu-Peer-Verbindungen herstellen können. Sie sehen also die Telefone Ihrer Nachbarn, weil Sie sich in der Wi-Fi-Reichweite befinden, die sich jedoch nicht in Ihrem Netzwerk befinden. Sie sind wahrscheinlich nur in der Lage, Wi-Fi Direct oder Wi-Fi Protected Setup oder verwandte Technologien wie Wireless Simple Config (WSC) oder Windows Connect Now (WCN) zu verwenden.

Willst du einen Beweis? Deaktivieren Sie die WLAN- und Bluetooth-Funkgeräte Ihres Windows-PCs vollständig und verbinden Sie sie über Ethernet mit Ihrem Netzwerk. Führen Sie einen Neustart durch, um alle Cache-Speicher zu löschen, und stellen Sie sicher, dass WLAN und Bluetooth weiterhin deaktiviert sind. Wenn Wi-Fi und Bluetooth deaktiviert sind, kann Ihr PC nicht drahtlos nach potenziellen Peer-Geräten in Reichweite suchen und kann Ihr Heim-LAN nur nach Geräten durchsuchen, die sich tatsächlich in Ihrem Netzwerk befinden. Ich wette, diese Telefone werden jetzt nicht angezeigt.

Zum Hinzufügen bearbeitet: Sie müssen auch WPS (Wi-Fi Protected Setup) für alle Ihre APs und / oder den WCN-Dienst (Windows Connect Now) WCNCSVC unter Windows deaktivieren. WPS und WCN ermöglichen es dem AP, WPS-fähige Geräte wie Smartphones in Funkreichweite zu finden, die Sie möglicherweise in das Netzwerk aufnehmen möchten, und die Informationen zu diesen Geräten an Windows-Computer weiterleiten, die an der Administratorseite von WCN / WPS teilnehmen können, um zu helfen Holen Sie sich diese drahtlosen Geräte in das Netzwerk. Aufgrund dieser Technologien können sogar Computer, die nur über Kabel verfügen, im Windows-Fenster "Netzwerk" möglicherweise unbekannte Telefone sehen.

Siehe auch: Windows 10: Im Netzwerk erscheinende Telefone

Sie wurden nie gehackt, Sie wurden nur durch die schrecklichen Auswahlmöglichkeiten von Windows in die Irre geführt. Jetzt haben alle Änderungen, die Sie aufgrund eines Missverständnisses an Ihrem Netzwerk vorgenommen haben, Ihr Netzwerk unbrauchbar gemacht. Gehen Sie zurück zu reinem WPA2-PSK (nur AES-CCMP, kein TKIP) mit einer starken Passphrase und keiner MAC-Adressfilterung, voller Leistung und ohne Beschränkung für gleichzeitige Clientzuordnungen.

Mein Windows 10 sieht einige mobile Geräte wie in den Screenshots, aber ich habe kein BT und kein WLAN auf meinem Desktop. FarO vor 6 Jahren 0
@OlafM Einer ohne IP-Adressen und nicht in Ihrem Netzwerk, genau wie OP? Offenbar können WPS-fähige APs die Liste der WPS-fähigen Clients, die sie über Wi-Fi sehen, weiterleiten und diese Informationen über das Netzwerk an den WCN-Dienst unter Windows weiterleiten. Auf diese Weise kann der Windows-Computer dann WCN / WPS verwenden, um diesen Client ins Netzwerk zu bringen (falls es sich um ein Gerät von Ihnen oder eines Gastes handelt, das Sie in das Netzwerk aufnehmen möchten). Nach dem, was ich lese, sollte das Deaktivieren von WPS im Zugriffspunkt oder das Deaktivieren des WCN-Diensts unter Windows dazu führen, dass dies nicht mehr funktioniert. Spiff vor 6 Jahren 0
Hey danke Jungs, ich habe es geschafft, alle Vorschläge, die Sie hier gemacht haben, zu befolgen, und es scheint, dass es vorerst angehalten hat. Ich logge jetzt seit zwei festen Tagen und sehe in unserem Netzwerk nichts Ungewöhnliches, was ein gutes Zeichen ist. Danke noch einmal. tamosa vor 6 Jahren 0
Vielen Dank für das Followup @tamosa. Wenn Sie zu dem Schluss kommen, dass eine Antwort Ihr Problem gelöst hat, klicken Sie auf das Häkchen neben der Antwort, durch die Sie das Problem gelöst haben, um sie als offizielle Antwort zu akzeptieren, sodass das System diese Frage als gelöst anzeigt. Spiff vor 6 Jahren 0
1
FarO

Trotz unserer größten Anstrengungen hacken sie immer noch unser Netzwerk, und unsere eigenen mobilen Geräte können sich häufig nicht verbinden oder werden vom Netzwerk zurückgeworfen.

deauth-Angriffe, bei denen Geräte daran gehindert werden, eine WLAN-Verbindung herzustellen, sind einfach und kostengünstig: https://github.com/spacehuhn/esp8266_deauther

Versuchen Sie, 802.11w im WLAN-Netzwerk zu verwenden. Zumindest Deauth-Angriffe werden blockiert.

Andere Überflutungsangriffe (sie gelangen nicht in das Netzwerk, machen es jedoch für legitime WLAN-Clients unbrauchbar) sind weiterhin möglich.

Verwandte Probleme