Zdravím,

připojujete v dnešní době klientské jednotky 60/5GHz zákazníků ze svých AP na "otevřená" SSID?

Tz. bez použití WPA2(obecně)?

Jedná se mi o riziko odposlechu dat, zároveň tedy o lajdáctví takového ISP, kdy má snad toto nasazeno z nějakých historických důvodů, ať už to byl HW výkon prvků?

Takže jak vlastně na to z pozice bezpečnosti nahlížet?

Díky

    Kdyz jsme nepouzivali WPA tak jsme na vysilace museli nastavoval omezeni minimalniho prijimaneho signalu klientu aby se nepripojovali automaticky lidi s mobilama nebo resetovanyma routerama. Kdyz jsme nasadili WPA tak jsme se nahodnych pripojenych lidi zbavili ale omezeni sily prijimaneho signalu jsme stejne nechali proti lidem co se jim otoci nebo upadne antena. Kazdopadne WPA2 bych bral jako zaklad na vysilacich

      paul12 historicky to máme bez hesel. Je zapnutý access list a povolené klientské macovky. Co je nove tak hesluju přes WPA2. Nemám na to ucelený názor. Rád si poslechnu názory ostatních.

      paul12
      riziko odposlechu dat? No skus napisat nejake aplikacie ktore komunikuju cez internet nesifrovane, ak take vobec najdes? Doba pokrocila a casi ked hesla boli plain text su uz davno prec.

        WPA2 vsade, nevidim jediny dovod preco bezat bez hesla. Pripadne aj to WPAcko raz za cas zmenit globalne ale to musia hlavne ti ktori su pohnevaju zamestnancov 😃 Nechavat APcka bez hesla to je ako nechat hodeny zivy kabel na ulici. Zrovna u mna v dedine je jeden taky "garazovy" mikro isp ak sa to tak da nazvat...zdiela VDSL 100Mbit odhadom asi pre 30 klientov, vsesmer rocket bez hesla...pripojim sa tam hociakou ubnt antenou, nastavim si gateway a ip z toho rozsahu a voala, ide net zadarmo co to da...treba mat heslo vsade kde sa da.

          coitus
          Pokud nenarazíš na kaštana co má na core switchi zapnuty telnet ... Škoda že mi NDA nedovolí mluvit.

          O security se dá mluvit dlouho a mít zabezpečený bezdrát mi dává docela smysl. Evidentně proti vám ještě nestála zákeřná konkurence.
          Totožné heslo v celé síti + fluktuace techniku => špatný...
          Hesla per AP - slyším tu výmluvu, technici to nedávají není to user friendly...
          ACL na wirelesse - výmluva - servis není rychlý, je krkolomný, technik bez přístupu do sítě neudělá nic ( provisioning? ).

          gemb Podle mě je naprostý nonsense jet bez hesla i když tam bude MAC whitelist, není žádný problém odposlechnout si MAC adresu a už jsem tam. Kdo tohle provozuje, evidentně nemá páru ani o základech kyberbezpečnosti. Open síť nemá ve WISP co dělat. Kdo nevěříte, pohrajte si chvilku s Kali Linuxem.
          coitus Fůra věcí je stále obvykle nešifrovaných, např. DNS. Krásně můžeš špehovat kdo kam chodí.

          na APckach sifrovanie ani overovanie nepouzivame. je zapnuta izolacia klientov a pozadovany airmax. ziadny mobil ani nic podobne sa tam prepripoji. ak sa tam aj pripojil niekto cielene s kompatibilnym zariadenim, bez pppoe mena/hesla sa do internetu nedostane, a vcelku mu to bude nanic.

          v dlhodobom plane mame overovanie asociovania na AP cez RADIUS, ale popravde ked pozeram do kalendara a to-do listu, tak myslim ze skor nez sa k tomu dostaneme, uz to nebude kam nasadit.

          apropo, na GPON / EPON sifrujete tiez? lebo pri nom ma k prenosovemu mediu pristup taktiez kde-kto.. 😉

            Docela cumim, ze se tu objevila zprava o (ne)sifrovanych aplikacich. Spolehat se na toto, jako ISP, a s tim se i vymlouvat je naprosto spatne.

            1) ISP je dodavatel L1-L3 vrstev, pokud neni sjednano jinak (ruzne DDoS pracky aj. ktere z principu musi sahat i na vrstvy vyse). Z toho duvodu nema ISP co zajimat, jaka vyssi vrstva co jak sifruje nebo nesifruje a ma se zamerit konkretne na bezpecnost sve cinnosti. At uz je to zabezpecena a zprojektovana pokladka kabelu, nebo uzamceny rack, VLANy na switchi s L2 isolation nebo sifrovani provozu ve vzduchu, at se drzim kontextu, a tak dale az k routerum.

            2) Pustit do eteru packety bez sifrovani, si muze dovolit leda tak McDonald protoze je mu u pr*ele, co dela jeho zakaznik. Omezi mu porty na 80/443, rychlost shapne na 5Mb/s a sbohem. Od ISP povazuju za nutnost, aby pochopil, ze v ten moment nesifrovane behaji vzduchem broadcast, multicast, treba i takove veci jako mDNS pokud to neni vylozene "last-mile" ale napriklad nejaka interni sit (viz zkusenost kolegy s nesifrovanym Rocketem). O access listech s MAC ani nemluvim, to nebyla prekazka ani v dobe WEP klicu, ani WPA, ani WPA2, proste nikdy. MAC adresy zarizeni z principu 802.11 hlavicky behaji nezasifrovane a neni tedy problem si je odposlechnout v promiskuitnim rezimu dopredu.

            3) Veci jako KRACK nebo Deauth attack v pripade otevrene site budou vase smrt. Zatimco WPA3 (a snad krkolomne trochu i WPA2) resi PMF a chrani pripojene zarizeni pred temito utoky, na otevrene siti budou klienti vypadavat a mit timeouty stejne jako v dobach 802.11b a spatne naladenych RTS/CTS (jen si pekne zavzpominejte, kolik dnes mame usetreny prace 🙂)

            Jeste bych asi pochopil otevrenou sit, kam dvere otevira Radius server, ale i v tomto pripade to neni dobre (nechci rict, ze je to spatne - urcite to tak hromada z vas provozuje, protoze je to kompromis mezi shared key a treba neustalou obmenou studentu/zamestnancu/...)

              pixall Na GPON máš přístup k médiu o dost složitější než když vysíláš do prostoru. Navíc je defaultně šifrovaný pokud se nepletu.
              Odposlech na optice lze navíc snadno detekovat.

              • lkcz replied to this.

                lkcz Jen to ukazuje jak malé ponětí o kyberbezpečnosti tu mnozí mají, v segmentu ISP jsem to upřímně nečekal. Osobně ovládám spíš jen základy, ale i to stačí k tomu, aby člověk pochopil, jak snadno lze některé věci prolomit a začal brát bezpečnost vážně. U datových sítí by se mělo postupovat stejně jako (nejen) u silové elektriky, kde je funčnost až na druhém místě za bezpečností. Zbastlit síť tak aby byla "funkční" zvládne každý druhý, udělat tu síť i bezpečnou už jen velmi malé procento lidí.

                jcltm To ano, to se omlouvam vztahl jsem to vice k eteru nez k optice. Odposlechnout GPON si nedokazu predstavit jak by lehce slo, jelikoz modulace signalu a celkove TDMA pouzity napriklad u Huawei bude samo o sobe orisek, k desifrovani by muselo dojit az nasledne po sestaveni.

                Nebo se mozna mylim, mozna by se stacilo trefit do spravneho TDMA ramce ale nikdy jsem se k tomu v praxi nedostal, a tak bych vam odpovidal jen na teoreticke urovni. Urcite samotne provedeni je natolik slozite, ze vylucuje bezny utok.

                Naproti tomu u bezdratu je to temer klasika - konkurence, zvedavy soused, student co si zkousi, uzivatele telekomunikace.cz co sniffuji v Kali okoli... Zvedavost neni spatna, horsi je to s tou konkurenci ktera velice rada pouziva utoky typu deauth (na 2.4GHz v dnesni dobe vam na toto staci hloupy maly RISC SoC od Espressifu v cene 6€ pro interier, pro exterier by se nasly sofistikovanejsi metody i pro "petku").

                Trochu offtopic:
                Kdo delate bezdraty kolem vojenskych prostoru, urcite deauth utoky znate, namatkove to umi treba STAR COM nebo JAM-U od URC Systems - solidni firma, koho to zajima doporucuju si projit produkty celkove, dost toho pouziva ACR i PCR.
                https://www.urc-systems.cz/en/product/star-com/
                https://www.urc-systems.cz/en/product/jam-u/
                Krome toho ze to je jammer s vyzarovacim vykonem az 1.8kW to umi prave i sofistikovane veci jako deauth atp.

                  lkcz Tak deauth uděláš i na ESP8266 za dvacku, a účinně tím shodíš i WPA2. WPA3 už je tomu naštestí (zatím) imunní.
                  Přijde mi celkem podivné, jak málo se na bezpečnost ohlíží zákony a potažmo i ČTÚ. Za mě jde o výrazně důležitější věc než ty komedie okolo rychlostí a slovíčkaření ve smlouvách co řeší majoritně teď.
                  Technologie po které se přenáší potenciálně citlivá data zákazníků snad musí splňovat určité zásady bezpečnosti a musí se vyžadovat použití příslušných mechanizmů, to je jak jezdit v moderním autě bez připoutání se a s vypnutými airbagy.

                  • lkcz replied to this.

                    jcltm Je to tak, to jsem mel na mysli (Espressif je firma ktera vyrabi ESP8266 a ESP32). Na 5GHz potom dobre poslouzi obycejna Ubiquiti s preflashovanym OpenWRT - to uz je na urovni ssh bezny linux, a umozni delat ty spravne kouzla.

                    Z venku se potom tvari jako "obycejny bullet na stozaru". Armada ma StarCOM, ISP maji StarNET 🙂)

                    defender ale to funguje jen na connect ne? Kdyz je klient pripojeny a zhorší se mu signal, zůstane připojený. Nám o tom vyskočí hned info v systému, že ma někdo špatný signál. To samé na neautorizovane zařízení.

                      o 4 dny později

                      orel005 nepamatuju si to uplne presne ale myslim ze kdyz se nastavila minimalni hodnota signalu na pripojeni tak to vykoplo i pripojene lidi kterym se antena otocila nebo upadla. proste kazdej kdo klesnul pod uvedenou hodnotu byl z vysilace vykopnutej. Ale pouzivali jsme to hlavne kvuli tomu ze tenkrat jeste jsme nemeli zadnej dobrej system co by nas upozornoval na podobne problemy. WPAckem jsme vyresili to nahodne automaticke pripojovani zarizeni

                      📡 Telekomunikace.cz