Yo uso el cifrado WPA2. Pero sé que incluso eso se puede romper con la suite de Aircrack. Y muchos usuarios no pueden usar contraseñas seguras. He leído que mientras se descifran las claves WIFI, la única diferencia notable es la tasa de tráfico. Entonces, ¿hay una manera de detectar si mi red está siendo atacada por tales herramientas?
P.S: Se apreciará una solución sin el uso de IDS. Además, ¿la mayoría de los IDS pueden detectar estos ataques?
Sí, si intentan penetrar en su red de una manera particularmente obvia, pero no para el método general de atacar WPA2 con una clave precompartida débil.
Si están intentando atacar con fuerza bruta en su red mediante intentos de inicio de sesión repetidos (por ejemplo, explotar las fallas de WPS - Wifi " Protegido "Configuración ), puede escuchar el tráfico de la red, vería la gran fracción de intentos fallidos de inicio de sesión. (O incluso más fácil que tus registros de AP inalámbrico hayan fallado en los intentos de inicio de sesión wifi).
Esto requeriría la configuración de Wirehark en una computadora que tenga una tarjeta wifi que pueda escuchar el tráfico en modo promiscuo. He oído que esto no se puede hacer en Windows (no es un usuario de Windows, así que no estoy seguro de esto), por lo que es posible que tenga que usar Linux o Mac.
Por supuesto, la mayoría de los ataques en WPA2 no funcionan así (excluyendo los de WPS). La mayoría de los ataques funcionan al observar el exitoso saludo de WPA2 (escuchar en modo promiscuo) a un punto de acceso dado (conocer el BSSID). A continuación, ejecute el protocolo de enlace local mediante un programa de descifrado de contraseñas hasta que encuentren una coincidencia. Este craqueo se realiza completamente mediante escuchas ilegales y craqueo fuera de línea, por lo que no sería detectable.
Sin embargo, estos ataques son computacionalmente costosos y solo funcionarán en la práctica contra contraseñas débiles o ligeramente más fuertes con un SSID común (como NETGEAR / linksys / default / dlink / wireless / Home). Esto se debe a que la contraseña real utilizada es una combinación de la clave previamente compartida SSID +. Las tablas Rainbow (tablas precomputadas) se generan para los SSID comunes y, cuando se usan, aumentan la velocidad de recuperación de su contraseña. Se recomienda cambiar el SSID de su red a algo único.
Si tiene una frase de contraseña que es de alta entropía (no es probable que esté en un ataque de diccionario) y un ssid único, estos ataques sin conexión contra su red no tendrán éxito.
Desafortunadamente, si alguien está atacando tu clave, todo puede hacerse de manera muy pasiva. Como atacante, todo lo que debo observar es el protocolo de enlace de cinco vías utilizado para realizar la autenticación inicial al unirse a la red, obteniendo así la clave de grupo actual. Aquí hay un video que discute / demuestra: enlace
Si soy paciente, puedo simplemente sentarme con mi rastreador a la espera de que reinicies una computadora o esperar a que una computadora se una. En ese momento realmente tengo todo lo necesario para romper la clave.
Si soy menos paciente, puedo acelerar este proceso. Al mismo tiempo, sin embargo, me estoy haciendo más visible. Si comienzo a disparar paquetes de autenticación en los hosts, perderán temporalmente la conectividad. Cuando se vuelven a conectar automáticamente, una vez más puedo obtener el apretón de manos. Sin embargo, esto le permite tener un indicador de que alguien está jugando un mínimo con usted o posiblemente tratando de romper su clave; varias desconexiones a pesar de no cambiar la intensidad de la señal.
En última instancia, romper la clave se hace sin conexión. Esto significa que hay muy pocas indicaciones. Si después de romper la clave, el atacante es pasivo, simplemente está recopilando datos, no hay forma de detectarlo ya que no está irradiando ningún RF.
Lea otras preguntas en las etiquetas encryption wifi