POPPUR爱换

标题: 绝对蹭不到的无线网方案，个人设计实现，欢迎指正 [打印本页]

作者: sharptime 时间: 2009-4-13 14:54
标题: 绝对蹭不到的无线网方案，个人设计实现，欢迎指正
本帖最后由 sharptime 于 2009-4-13 20:44 编辑

虽然早就听说TKIP被破的消息，但是一直没见到相应的工具，再加上手工操作难度比较大，所以多少觉得网上的铺天盖地的宣传实在有些杞人忧天。802.15安全性那么烂，蓝牙不是一样大行其道；MD5算法都给破解了多少年了，现在不少论坛还是在用这个加密用户信息，想来WAP2应该也能撑住吧。可惜很遗憾，傻瓜版的TKIP破解工具还真被某些无聊人士搞出来了，无奈。虽然到目前为止，俺的网还没被人蹭过，不过未雨绸缪还是很重要的，尤其是对于我等7x24小时下载的狂人来说。

其实想想，蹭网的人之所以要来蹭，主要目的是想找一个免费接入Internet的通道，那么把这个无线AP的上网通道封死，无线路由纯粹当做三层交换来用，WAN口根本不接，就算被蹭进来也只能在局域网里面打转，再加上些小手段伪装一下，估计被蹭的机会就会大大减少，就算被蹭了也没啥损失，如果真遇到能破MPPE的高人……那我只能认命了。

拓扑如下，本来打算把局域网改成用IPV6，但是现在家用的无线路由似乎没有支持IPV6的。目前的解决方案是把BT机做成VPN Server，局域网中的其他主机通过这个VPN代理上网。

[attach]1028763[/attach]

Modem用的就是办ADSL时候电信送的，登陆密码已经破出来了，可以直接用它来拨号，起到一个隐藏内部IP的作用，当成简易防火墙用。

BT机用的是VIA的小版，集成CPU，功耗很低，当然性能也弱到一塌糊涂，装Gentoo的目的就是可以自己随意搭配系统，自己编译，运行起来能快一点。但这个主机实在是太慢了，用Stage3装还折腾了2天，好在没发疯用Stage1，直接用LiveCD装可能更方便点。该主机有两块网卡，网卡1直接连MODEM，IP设置为192.168.225.210/24，这个IP没啥意义，纯粹是随机生成的，目的就是为了不让别人猜到。网卡2连到无限路由的LAN1口，IP设置为10.10.10.7/22。

无线路由是Buffalo WHR-HP-AG108，反正WAP2也不安全了，所以这个没怎么设置，关DHCP，关SSID广播，WAP2，MAC过滤，IP设定成10.10.10.117/22。

HTPC和股票机分别接无线路由的LAN2和LAN3，笔记本用无线，IP参照BT机设置，需要上网就通过BT机的VPN Server 走VPN通道出去。

设定完成，这样无线路由实际上只起到了一个连接局域网各主机的作用，被蹭的话也不过是进入本局域网而已，想上外网除非破掉我的VPN。

这个系统的缺陷……VPN隧道模式，这个比较郁闷；加密系统没实现数字证书验证，本来还打算做上几十个证书，增强安全性，暂时是不行了。

作者: gamemanlyg 时间: 2009-4-13 15:23
貌似路由里加mac认证就已经不能蹭了吧？

作者: 下楼的睡莲 时间: 2009-4-13 15:59
mac绑定据说也能复制的。。。。

作者: gamemanlyg 时间: 2009-4-13 16:22
不知道原来的怎么复制？

作者: sharptime 时间: 2009-4-13 20:50
不知道主机的MAC，但是可以扫到路由的MAC，先破了再说

至于能不能进去，那就是之后的事情了

作者: machete 时间: 2009-4-13 23:18
搞这么复杂，斩脚趾避沙虫……

作者: sonicxz 时间: 2009-4-13 23:34
1MW，WPA2 的路过。。。。。你接千瓦级的网卡来蹭吧

作者: hundrix 时间: 2009-4-14 09:32
1. WPA2+AES没被破解吧 (AES-CCMP)
2. 放人家进了你的局域网，还有安全可言么 ...

作者: clawhammer 时间: 2009-4-14 09:41
MD5哪里破解了，只有那种暴力运算各种密码的MD5值再让你逆向查找的网站

作者: 偶是小Q 时间: 2009-4-14 09:45
魔和道。。。谁高一尺

作者: 樱桃小二子 时间: 2009-4-14 11:03
至今还没被蹭过的路过。。我一直开着也没有人进来，太不可思议了，不过我是关闭了SSID，也就设了个WEP。

作者: alex1986 时间: 2009-4-14 11:03
w我还想去蹭个网呢～～

作者: sharptime 时间: 2009-4-14 16:40

MD5哪里破解了，只有那种暴力运算各种密码的MD5值再让你逆向查找的网站
clawhammer 发表于 2009-4-14 09:41

MD5是算法级的破解，不过没有相应的工具公布

原文引用自http://www.md5crk.com/ 2004年8月17日宣布：“中国研究人员发现了完整MD5算法的碰撞；Wang, Feng, Lai与Yu公布了MD5、MD4、HAVAL-128、RIPEMD-128几个 Hash函数的碰撞。这是近年来密码学领域最具实质性的研究进展。使用他们的技术，在数个小时内就可以找到MD5碰撞。……由于这个里程碑式的发现，MD5CRK项目将在随后48小时内结束”。

作者: 黑色会 时间: 2009-4-14 16:43
楼上的搞错了。

并没有破解。

作者: sharptime 时间: 2009-4-14 16:47

1. WPA2+AES没被破解吧 (AES-CCMP)
2. 放人家进了你的局域网，还有安全可言么 ...
hundrix 发表于 2009-4-14 09:32

AES目前还没听说被破掉，不过一般路由默认加密都是TKIP

我这个局域网却是不怕别人进的，一个是没什么可偷的，另外，想偷我的东西也没那么容易，安全防御的问题自然有其他的解决方法。

本来打算在内部使用IPV6，那就确保无忧，不过现在没找到支持IPV6的家用路由

作者: celajohn 时间: 2009-4-14 16:55
据说可以隐身蹭。。被蹭了都不知道

作者: sharptime 时间: 2009-4-14 17:00

楼上的搞错了。

并没有破解。
黑色会发表于 2009-4-14 16:43

基于MD5的身份验证技术却是被破掉了，Linux的登陆验证，论坛的密码验证等等，都在其中

MD5本身不过是种摘要算法，这种特殊性决定了要破解它并不需要找到原文，只要能找到碰撞就足以让它失效了

作者: hundrix 时间: 2009-4-14 17:08

AES目前还没听说被破掉，不过一般路由默认加密都是TKIP

我这个局域网却是不怕别人进的，一个是没什么可偷的，另外，想偷我的东西也没那么容易，安全防御的问题自然有其他的解决方法。

本来打算在内部使用IPV6，那就确保无忧，不过现在没找到支持IPV6的家用路由

目前来说WPA2+AES是最方便的解决方案，别人进不来，更谈不上蹭了，况且现在出售的无线路由应该没有不支持AES的。默认设置不是问题，无论哪个路由器买回来都需要设置，无非是点几下鼠标的功夫。除非要用PSP,NDSL上网... 这也是我现在郁闷的地方

不得不临时多接一个无线路由，不用的时候再拔掉

作者: sharptime 时间: 2009-4-14 17:21
AES虽说从理论来说是不可能破解的，但这事也没准

同郁闷，手机也用不了WPA2-PSK

作者: hu2107747 时间: 2009-4-14 20:13
LZ这世界上没有破布了的盾，这样太累了！！！

作者: sumandeng 时间: 2009-4-14 20:48
WPA 加密，不广播无线ID，让你破

作者: 默痕 时间: 2009-4-14 20:52
教你个笨办法，不过貌似很管用～
那就是～限定IP范围～～～比如说你有两台机，那就限定为XXX.XXX.XXX.1到XXX.XXX.XXX.3～看谁能加进来～

作者: sharptime 时间: 2009-4-14 21:41

WPA 加密，不广播无线ID，让你破
sumandeng 发表于 2009-4-14 20:48

……WAP2都破了，WAP更简单

SSID不广播只是WIN下看不到而已，一样可以扫描到

作者: sharptime 时间: 2009-4-14 21:43

教你个笨办法，不过貌似很管用～
那就是～限定IP范围～～～比如说你有两台机，那就限定为XXX.XXX.XXX.1到XXX.XXX.XXX.3～看谁能加进来～
默痕发表于 2009-4-14 20:52

MAC复制都可以实现，破掉IP过滤更是轻而易举

作者: sharptime 时间: 2009-4-15 10:56
120.0.0.x是回环IP，肯定不能当成路由IP用

作者: sonicxz 时间: 2009-4-15 11:13

AES目前还没听说被破掉，不过一般路由默认加密都是TKIP

我这个局域网却是不怕别人进的，一个是没什么可偷的，另外，想偷我的东西也没那么容易，安全防御的问题自然有其他的解决方法。

本来打算在内部使用I ...
sharptime 发表于 2009-4-14 16:47

要IPV6还不简单。。刷个DD-WRT就支持了

作者: sharptime 时间: 2009-4-15 11:18
本帖最后由 sharptime 于 2009-4-15 11:23 编辑

要IPV6还不简单。。刷个DD-WRT就支持了
sonicxz 发表于 2009-4-15 11:13

试验过，刷了改成IPV6之后性能暴降至少50%

标准版的dd-wrt似乎放弃IPv6的支持了

作者: aibai 时间: 2009-4-15 11:26
学习一下准备蹭网

作者: pillow 时间: 2009-4-15 12:31

据说可以隐身蹭。。被蹭了都不知道
celajohn 发表于 2009-4-14 16:55

还可以这样？
倒是想学学，嘿嘿~~

作者: 默痕 时间: 2009-4-15 13:35
本帖最后由默痕于 2009-4-15 13:45 编辑

....................

作者: 2314 时间: 2009-4-16 13:26
哈有人探讨无线网络安全问题感兴趣
我觉得按照目前这个设置应该是没有问题的
模拟一下攻击方式：
1.无线网络监听
2.获取无线ap和客户端ip地址、mac地址，收集数据包破解无线网络登录类型和密码
3.仿冒客户端ip和mac，大功率信号覆盖，打掉实际客户端或者利用客户端不在线的时候连接无线ap
4.嗅探局域网内其他机器
5.获取vpn服务器地址
不过好像也仅此而已了

如果黑客足够强大，那么应该还能破解无线ap的登录，进一步了解具体设置情况，但是vpn的话我估计没得破了这个还够安全

我比较感兴趣的是 vpn协议的选择，看样子应该是在一个机器上提供vpn连接和认证，vpn机器自身的安全性是下一个需要担心的问题，特别想了解lz关于 vpn协议和身份认证协议的选择

作者: tianlan 时间: 2009-4-16 13:55
本帖最后由 tianlan 于 2009-4-16 13:57 编辑

真正的破解高手恐怕也不会在乎破您的网络吧，况且现在有几个真正这样的高手呢？怕蹭网的有点杞人忧天了，呵呵！我自己也不过是隐藏SSID WPA 密匙3600秒更新，外加MAC认证，再外加IP地址限定。退一万步来说破的了的我很乐意和人家共享，哈哈

作者: 火箭飞机头 时间: 2009-4-16 14:43
关闭SSID啊,然后限制DHCP,我就是这样只开了2个DHCP,一台笔记本一台台式机

作者: qq236251699 时间: 2009-4-16 16:19
开启MAC地址过滤，绑定MAC

作者: pott1 时间: 2009-4-16 21:56
提示: 作者被禁止或删除内容自动屏蔽

作者: sharptime 时间: 2009-4-17 09:19
做这个东西有两个目的

首先路由本身的处理能力很弱，用QOS来控制BT机的连接数就有点力不从心，另外并发连接数量比较大的时候路由的响应会变慢。换成这种拓扑之后，就不用考虑这个问题了，流量控制由BT机的系统来解决，能够很好地实现动态流量限制

另外就是安全问题了，这个系统的VPN实现并不完善，在这里做VPN的目的一是加密无线广播的数据，防止监听破解；再有就是万一WAP被破掉，蹭网者也无法接入Internet。协议采用的PPTP，安全性方面比IPSec要弱，但是好在实现简单。

作者: sharptime 时间: 2009-4-17 09:25

真正的破解高手恐怕也不会在乎破您的网络吧，况且现在有几个真正这样的高手呢？怕蹭网的有点杞人忧天了，呵呵！我自己也不过是隐藏SSID WPA 密匙3600秒更新，外加MAC认证，再外加IP地址限定。退一万步来说破的了的我 ...
tianlan 发表于 2009-4-16 13:55

WPA2-PSK基本上安全性是够用了，但是兼容问题还是比较麻烦，尤其是对于很多移动设备，手机，PSP等等

作者: mengduo 时间: 2009-4-17 10:57
39# sharptime

在你那破bt机上直接搞个radius 启用个802.1x认证就好了哈

作者: hcgxp 时间: 2009-4-17 11:38
直接无线关掉，接网线。

作者: ljfbb 时间: 2009-4-17 13:18
高手。看的我云里雾里。。WAN口不接。自己不是都上不了网了吧。。

作者: cybernik 时间: 2009-4-17 13:50
搭个radius服务器,用radius认证,保证进不来,哈哈,运营级的做法.....

作者: ghw 时间: 2009-4-17 14:30
在路由器上设MAC过滤不行么？

作者: sharptime 时间: 2009-4-17 14:40

搭个radius服务器,用radius认证,保证进不来,哈哈,运营级的做法.....
cybernik 发表于 2009-4-17 13:50

radius只管登陆，通信过程中的数据没有加密，被监听之后容易被破解

论安全性不如VPN

作者: ghw 时间: 2009-4-17 15:52
实在不行，和我们公司一样搞个windows的域用户认证。

作者: cybernik 时间: 2009-4-17 16:04

radius只管登陆，通信过程中的数据没有加密，被监听之后容易被破解

论安全性不如VPN
sharptime 发表于 2009-4-17 14:40

登不上如何监听啊?

据我所知,电信和移动现在做wlan覆盖都是开放式认证,然后radius认证......
MESH似乎也是这么做......

作者: cybernik 时间: 2009-4-17 16:07
不过移动和电信已经准备强制厂家加入WAPI了.....

作者: GZ_Ranger 时间: 2009-4-18 00:09
越看越看不懂。越看不懂越不想看。

作者: buddyli 时间: 2009-4-20 18:21
只要别太过分，蹭就蹭吧，别便宜了中国电信

作者: reynold 时间: 2009-4-20 22:02
搞这么麻烦做什么……
太平点用mac过滤好了，复制mac很容易不过如果你在用就会有显示冲突，这样蹭网就给人知道了；当然我不用的时候你蹭进来也无所谓，反正都包月的不能让电信happy了~

radius服务器是企业级使用的，服务器和AP通过有线连接，认证信息是由AP本身发送给radius服务器之间完成的，除非你进有线网络，无线上是抓取不到其登录信息的

作者: sharptime 时间: 2009-4-21 19:35
纯粹是做个试验，最近正在从Ubuntu转到Gentoo下，练练手而已

作者: panghwi 时间: 2009-4-21 20:03
这样太累了！！！

作者: aboutblank 时间: 2009-4-22 18:46
AES 这种对称加密算法被破也是早晚的事...
其实楼主何必呢, 我的做法是自己用的隐藏 SSID 关 DHCP WPA+TKIP, 另外再开个不认证不加密的 Guest SSID 单给它划个 VLAN, 限速64kbps并发连接数10条独立IP网段开 DHCP, 要蹭就蹭呗, 反正上网绝对不卡, 只要不大量占用我的带宽, 给人家免费上一上网又有什么, 与人方便于己方便嘛, 朋友来了要上网也不麻烦, 人家一看有不用破的也还懒得破你加密去了呢. VLAN 又能保证内网安全性. 咱都这么仗义了再破我无线也就太说不过去了吧.
不过最怕就是有人用手机连, 然后手机还只支持 802.11b, 他一连上全变 11b, 就傻眼了...

作者: flankye 时间: 2009-4-22 19:51
我什么安全性都没设,也没见有人蹭网.

作者: workwork 时间: 2009-4-23 13:40
提示: 作者被禁止或删除内容自动屏蔽

作者: aboutblank 时间: 2009-4-23 20:38

VLAN是虚拟网络吗？虚拟分区域？
workwork 发表于 2009-4-23 13:40

说白了就是一台交换机人格分裂成N台互不相干的交换机

欢迎光临 POPPUR爱换 (https://we.poppur.com/)