Blokkere trådløse snikere på ASUS RT-N66U?

[rofl2]

Jeg har en stund vært plaget av inntrengere som ser ut til å benytte seg av mitt lokalnett for å koble seg til internett. foreløpig ikke noe som tyder på at de er ute etter noe annet, men likevel...

 

Jeg har forsøkt å blokkere de aktuelle MAC-adressene, men det ser i hvert fall ikke ut til virke for en av dem.

 

Jeg har lagt inn fast ip for alle mine egne enheter, men er det mulig å deaktivere DHCP? Jeg har funnet en brukbar metode men ville helst slippe:

 

Sette ned adresse-område for lokalnettet til kun det antall adresser jeg selv har okkupert. (som nå løper fra 2 og oppover til default 100)

 

Men da må jeg jo også legge inn de nye adressene på alle enheter. Det lar seg jo gjøre, men virker vel som en noe desperat utvei.

 

Dette må jo være et generelt problem så noen her skulle kanskje ha erfaring med dette?

[Mannen med ljåen]

Kan du ikke kryptere nettet, slik som alle andre gjør?

Hvis det allerede er kryptert, kanskje du kunne bytte passord?

Endret 2. desember 2014 av Mannen med ljåen

[Mr D]

Regner med at det er snakk om trådløst. Hva med å bytte til et nytt langt passord og bruke WPA2.

[Hellfury!]

Um, jeg må nesten stille det åpenlyse spørsmålet her: har du sikret nettverket ditt med f.eks. WPA2-Personal med en sterk nøkkel osv.?

[rofl2]

Um, jeg må nesten stille det åpenlyse spørsmålet her: har du sikret nettverket ditt med f.eks. WPA2-Personal med en sterk nøkkel osv.?

Joda, WPA-2 AES, WPA-PSK key på 17 tegn alfa/num. Jeg endret den nå for moro skyld, skulle være rart om den blir knekket så snart... Synes det er merkelig om den overhodet skulle være knekket, en slik wizard burde allerede ha all den tilgang han trenger. Kan det finnes noen annen forklaring?

 

Har det noen betydning om "hide SSID" er off eller on?

Endret 2. desember 2014 av rofl2

[Gjest Slettet-fsaSP0zV]

Hide SSID har ingen betydning. Dersom du skal slå av DHCP, bør du også sette opp hele nettverket ditt i en annen IP-range enn standard, ellers er det bare å prøve seg frem. Med en god WPA2-kode bør det være bra nok.

[Maxi1234]

Jeg har forsøkt å blokkere de aktuelle MAC-adressene, men det ser i hvert fall ikke ut til virke for en av dem.

Istedenfor å blokkere andres MAC-adresser, kan du kanskje helle KUN tillate dine egne MAC-adresser. Etter hva jeg har hørt, er det mulig å bytte MAC-adresser. Så hvis du da sperrer noen, kan de lage nye.

Men det er jo værre å lage en ny som bare du kjenner til.

 

Nå vet jeg som sagt ikke hvor mye hold det er i det jeg har hørt ang å lage MAC-adresser, har bare hørt det.

[Horrorbyte]

 

 

Jeg har forsøkt å blokkere de aktuelle MAC-adressene, men det ser i hvert fall ikke ut til virke for en av dem.

Istedenfor å blokkere andres MAC-adresser, kan du kanskje helle KUN tillate dine egne MAC-adresser. Etter hva jeg har hørt, er det mulig å bytte MAC-adresser. Så hvis du da sperrer noen, kan de lage nye.
Men det er jo værre å lage en ny som bare du kjenner til.

Nå vet jeg som sagt ikke hvor mye hold det er i det jeg har hørt ang å lage MAC-adresser, har bare hørt det.

 

MAC-adresser kan spoofes. Det er for øvrig slik at alle (innen rekkevidde) kan se MAC-adressen til hver enkelt enhet som er koblet til det aktuelle trådløse nettverket om de ønsker det (f.eks. med Kismet eller Wireshark). Å sperre MAC-adresser har altså ikke noe særlig poeng om noen virkelig vil inn, siden de kan se en oversikt over adresser som er godkjent – og spoofe en utvalgt adresse.

 

Slik bør du sette opp nettverket:

WPA2 med CCMP (ofte står det AES, så velg i så fall det)

Godt, langt passord. Skriv det gjerne ned, men ikke heng lappen i vinduet...

Eget, unikt ESSID (nettverksnavn. ofte står det kun SSID)

Deaktiver WPS (og sjekk at det faktisk er deaktivert)

Sjekk jevnlig etter oppdatering av firmware om den ikke automatisk oppdateres

[rofl2]

Finner ikke WPS.

WPA2/AES ok.

passord ok.

SSID bør nok endres tenker jeg.

Enable ruter assignment er on, det bør jeg vel sette off etter å ha byttet ruternavn.

 

Det ser ut som MAC adressen til de to som har vært inne kommer fra enheten selv så da er det vel neppe spoofing.

[Mr D]

WPS er vel andre fanen fra venstre under Trådløs.

[rofl2]

Aha, jeg har satt WPS på men har ikke satt inn klient passord. Det er kanskje bare det som skal til?

[nas700]

mac adresser kan spoofes, jeg har selv spoofet min mac adresse, mac adressen kan spore deg som person dersom du ikke endrer den. Så ja, mac filtrering tilbyr null sikkerhet. Det tar meg 5 sekunder å endre mac adressen min og dermed logge på nettet ditt.

 

Her er hva du må gjøre:

 

1: Slå av SSID broadcast på den trådløse ruteren.

2: Slå på WPA2 kryptering.

3: Sett opp en ukonvensjonell ip adresse for ruteren din.

4: Sett opp en ukonvensjonell ip adresse for maskinen din.

5: Endre din egen mac adresse til en helt tilfeldig verdi (kanskje noen vet om din gamle)

6: Sett opp mac filtrering til å kun tillate dine egne mac adresser (og blokkere resten)

7: Slå gjerne av DHCP på ruteren, men det beste er å ha DHCP på og heller reservere ip adresser

8: Slå på port og ip endpoint filtrering på ruteren

9: Slå av dns serveren på ruteren din, dersom du ikke ønsker å bli hacket

10: Sett opp statisk dns servere i group policy i windows

11: Still inn group policy slik at ingen innstillinger kan endres uten en reboot (hvis du har dette på, så kan ikke hackere endre på systemet ditt uten at det krever en reboot)

12: Sett opp et bios passord (som forhindrer automatisk reboot inn i windows igjen, i tilfelle du har blitt hacket)

[Chris93]

Ikke slå av SSID broadcast. Det er en tulleting siden den ikke forhindrer noe og du risikerer man in the middle attacks dersom den slås av. MAC filtering er også en tulleting da det hller ikke kan holde de som vil inn ute.

 

SLÅ AV WPS. Det er usikkert.

[rofl2]

Nå har jeg fått så supre svar så jeg er helt målløs! Jeg skal gå igjennom det hele og føler meg trygg på at jeg nå skal bli kvit både nåværende og fremtidige besøkere.

[Horrorbyte]

 

 

mac adresser kan spoofes, jeg har selv spoofet min mac adresse, mac adressen kan spore deg som person dersom du ikke endrer den. Så ja, mac filtrering tilbyr null sikkerhet. Det tar meg 5 sekunder å endre mac adressen min og dermed logge på nettet ditt.

 

Her er hva du må gjøre:

 

1: Slå av SSID broadcast på den trådløse ruteren.

2: Slå på WPA2 kryptering.

3: Sett opp en ukonvensjonell ip adresse for ruteren din.

4: Sett opp en ukonvensjonell ip adresse for maskinen din.

5: Endre din egen mac adresse til en helt tilfeldig verdi (kanskje noen vet om din gamle)

6: Sett opp mac filtrering til å kun tillate dine egne mac adresser (og blokkere resten)

7: Slå gjerne av DHCP på ruteren, men det beste er å ha DHCP på og heller reservere ip adresser

8: Slå på port og ip endpoint filtrering på ruteren

9: Slå av dns serveren på ruteren din, dersom du ikke ønsker å bli hacket

10: Sett opp statisk dns servere i group policy i windows

11: Still inn group policy slik at ingen innstillinger kan endres uten en reboot (hvis du har dette på, så kan ikke hackere endre på systemet ditt uten at det krever en reboot)

12: Sett opp et bios passord (som forhindrer automatisk reboot inn i windows igjen, i tilfelle du har blitt hacket)

Her var det en del ting som gikk utover trådens tema. Jeg orker ikke kommentere alt, men jeg kan ta noe:

 

1: Dette gir ingen reell sikkerhet.

3 og 4: Følg konvensjonene, for de er der av en grunn. Bak en NAT skal du IKKE dele ut/bruke IP-adresser som kan routes.

5: Hvorfor? Eneste poenget er om du bytter jevnlig, og er så paranoid at du er redd for slike ting.

6: Selvmotsigelse, for du sier selv at dette ikke gir noen reell sikkerhet.

[Gjest Slettet-fsaSP0zV]

For 3 og 4: Bruk en annen IP-range for nettet og annen IP-adresse for router enn den som er standard, men bruk ikke-routbare adresser: http://en.wikipedia.org/wiki/Private_network . Du kan også endre subnet mask innenfor konvensjon.

 

Edit: Nå er vi langt utover det som trenges, og det som det forventes at vanlige brukere kan, eller trenger å kunne.

 

Kortversjon:

- Sjekk at router har nyeste FW, ev. oppgrader

- Det kan være lurt å resette router til fabrikkinstillinger før og etter oppgradering

- Sett komplekst passord på adminkonto på router

- Slå av WPS

- Velg WPA2-PSK AES og sett et komplekst passord

Endret 3. desember 2014 av Slettet-fsaSP0zV

[rofl2]

mac adresser kan spoofes, jeg har selv spoofet min mac adresse, mac adressen kan spore deg som person dersom du ikke endrer den. Så ja, mac filtrering tilbyr null sikkerhet. Det tar meg 5 sekunder å endre mac adressen min og dermed logge på nettet ditt.

 

Her er hva du må gjøre:

 

1: Slå av SSID broadcast på den trådløse ruteren.

2: Slå på WPA2 kryptering.

3: Sett opp en ukonvensjonell ip adresse for ruteren din.

4: Sett opp en ukonvensjonell ip adresse for maskinen din.

5: Endre din egen mac adresse til en helt tilfeldig verdi (kanskje noen vet om din gamle)

6: Sett opp mac filtrering til å kun tillate dine egne mac adresser (og blokkere resten)

7: Slå gjerne av DHCP på ruteren, men det beste er å ha DHCP på og heller reservere ip adresser

8: Slå på port og ip endpoint filtrering på ruteren

9: Slå av dns serveren på ruteren din, dersom du ikke ønsker å bli hacket

10: Sett opp statisk dns servere i group policy i windows

11: Still inn group policy slik at ingen innstillinger kan endres uten en reboot (hvis du har dette på, så kan ikke hackere endre på systemet ditt uten at det krever en reboot)

12: Sett opp et bios passord (som forhindrer automatisk reboo

t inn i windows igjen, i tilfelle du har blitt hacket)

 

Jeg fulgte råd nr. 6. og har ikke merket noen ukjent aktivitet siden det.

[Chris93]

Har du lest hva vi har skrevet? Det gir deg ingen sikkerhet.

[rofl2]

Joda, det har jeg. Men dette tror jeg iikke har vært noe sofistiekrt angrep, bare tilfeldige 'brukere'. Jeg har selvfølgelig passord og slikt på plass så inntil videre nøyer jeg meg med dette.

 

Så sjekker jeg status hver dag og vil kunne se om det har vært ny trafikk. Men jeg har tatt vare på alle gode forslag så jeg er rustet for en ny dyst.