WPA2 edelleen turvallinen? Ja WiFi-reitittimen suojauksen muuta parantamista...

Liittynyt
12.10.2021
Viestejä
3 325
Ihmetellessäni 600Mbit/s kaapelimodeemiyhteyteni hidastelua (sain speedtest.net vain n. 200Mbit/s) havaitsin että wifi-tukiasemaani oli tunnistamieni koneiden ja tablettien lisäksi yksi nimetön, "Unknown" wifi-käyttäjä mitä en millään keksinyt mikä laitteeni olisi, IoT-telkkarini ja pyykinpesukoneenikin tunnistin. Tuossa yhteydenottajassa oli sekin outous että ilmeisesti sillä oli vain IPv6 käytössä, ainakaan reititin ei ollut jakanut sille mitään IPv4 NAT-osoitetta kuten kaikille muille laitteille.

Ainoaksi selitykseksi keksin että joku naapuri on onnistunut bruteforcettamaan wifi-salasanani, joten vaihdoin sen toiseen ei niin hirmuisen pitkään mutta mutta ei ihan lyhyeenkään. Myöhemmin sama "unknown" ilmestyi uudestaan, tällä kertaa laitoin MAC-osoitteen eston päälle mutta seuraavana päivänä tuli takaisin uudella MAC-osoitteella.

Aika turhaahan tuo MAC-filtteröinti tuntuu nykyaikana olevan, poikani tabletitkin ilmeisesti arpovat uuden MAC-osoitteen joka kerta ja ulkopuolinen pystyy näkemään reitittimessä kiinni olevat MAC-osoitteet ja käyttämään niitä, jos internettiä on uskominen...

Joten nyt sitten laitoin oikein tosi tosi pitkän ja monimutkaisen salasanan, katsotaan pysyykö tunkeilija nyt kauemmin poissa. Ainakin on nyt kaksi päivää pysynyt poissa, en halua kustantaa muiden Neflixin katsomista tai torrenttipiratismia.

Mutta mites turvallinen WPA2 enää on pitämään bruteforcettajat ulkona, onko kohta taas takaisin vaikka olisi 62-merkkinen salasana? Tässä operaattorin toimittamassa reitittimessä ei ole WPA3-tukea joten pitäisikö vaihtaa uudempaan jossa sellaisen tuki on, mutta osaavatko yhtään vanhemmat tabletit ja läppärit sitten ottaa yhteyttä reitittimeen ollenkaan? Käsitin Wikipediasta että WPA3 tuki tuli pakolliseksi "Wi-Fi Certified"-laitteille vasta 2020. Toki voisihan sitä asettaa että hitaampi 2G kaista olisi sitten WPA2 ja uudemmat laitteet voivat käyttää 5G/WPA3... Sitten kun kaikki omat laitteet ovat niin uusia että osaavat WPA3, voisi 2G/WPA2 sulkea kokonaan reitittimestä.

Mulle kelpaisi vaikka joku varmennesysteemi missä yhteyttä ottavalla laitteella pitää olla hyväksytty varmenne (vähän kuin ssh-avain), käsittääkseni WPA2:n (ja 3:n) yritysversiossa on tällainen mahdollisuus mutta kotiversiossa ei, siinä mennään vain salasanalla? Ei ole tarvetta päästää kuin omat tietyt laitteet wifillä nettiin, kaikilla vierailla on puhelimissaan jo omat nettiyhteydet niin ei tarvitse yhteyttä ulkopuolisille lainailla kuten joskus 10-15 vuotta sitten jolloin vieraat aina kysyivät wifi-salasanaa jollekin tuliterälle iPad 1:lleen.

Muita ideoita wifi-reitittimen koventamiseksi? Nykyinen reititin on pari vuotta vanha ja käsittääkseni mahdolliset firmispäivitykset tulevat operaattorilta, en tiedä milloin tullut viimeksi mutta ainakin valmistajan logossa on vuosiluku 2024 joten aiemmin tänä vuonna luullakseni päivittynyt. Operaattori myös myy WPA3-tuellista kaapelimodeemia, ehkä pitää kysäistä saako vanha asiakas sellaista jollain hyvällä diilillä vai uhkaanko vaihtaa toiselle operaattorille...

Se minkä option yritän myös löytää ettei reitittimen hallintasivulle pääsisi muulla kuin eth-kaapelilla, kuten edellisessä reitittimessä oli. Tässä pääsee mikä tahansa wifillä kiinni oleva kone hallintasivulle jos tietää salasanan, onhan se kätevää mutta mieluummin rajoittaisin pääsyn vain fyysisesti reitittimessä kaapelilla kiinni olevaan PC:seeni.
 
Viimeksi muokattu:
Kerro nyt toki, että mikä AP sulla on käytössä.

Jotenkin kuitenkin vähän epäuskottavalta kuulostaisi, että joku sun random-naapuri bruteforcettaisi juuri sun Wifin. Asutko okt/kt/rt/vaimikä?
Oliko tuolla tuntemattomalla laitteella edes verkkoliikennettä?

Itse menen vieläkin WPA2, kun ei tunnu vieläkään kaikki härvelit WPA3 tukea. Mutta eipä ole kyllä ylimääräisiä vierailijoita näkynyt, ja wifin passu nyt ei ole kuin yli 10 merkkiä, mutta alle 20.
 
Kerro nyt toki, että mikä AP sulla on käytössä.

Jotenkin kuitenkin vähän epäuskottavalta kuulostaisi, että joku sun random-naapuri bruteforcettaisi juuri sun Wifin. Asutko okt/kt/rt/vaimikä?
Oliko tuolla tuntemattomalla laitteella edes verkkoliikennettä?

Itse menen vieläkin WPA2, kun ei tunnu vieläkään kaikki härvelit WPA3 tukea. Mutta eipä ole kyllä ylimääräisiä vierailijoita näkynyt, ja wifin passu nyt ei ole kuin yli 10 merkkiä, mutta alle 20.
Siis laitteen merkki ja malli?

Kerrostalossa asun joten en viitsi heti mennä seinänaapurin ovea ringuttelemaan keskellä yötä kysymään että mitäs vettua. Varmasti kuitenkin tässä talossa, jos siis tunkeilija on. Ellei tuolla kadulla ole sitten joku Supon paku tarkkailemassa verkkoliikennettäni.

En minäkään hevin uskonut että joku ulkopuolinen olisi kiinni mutta kun en millään tunnistanut tuota "Unknown"-yhteydenottajaa jolle kelpasi vain IPv6 ilmeisesti, joka tuli viiveellä takaisin keskimittaisen salasanan vaihdon ja MAC-filtteröinnin jälkeen, ja joka nyt on pysynyt kauemmin poissa paljon pidemmän ja monimutkaisemman salasanan myötä. Ainakaan vielä en ole huomannut että joku kodin internet-laitteista olisi lakannut toimimasta, jopa Switch ja LG-telkkari ovat kiinni netissä, Miele-pyykinpesukonetta en ole jaksanut yhdistää takaisin reitittimeen pitkään aikaan.

Mitä netistä googletin, WPA2 salasanan bruteforcettaminen on kai ihan tätä päivää joten ei kai siihen muuta tarvita kuin joku nörtti naapuri. En tiedä kauanko menisi esim. 12-merkkisen ei erikoismerkkejä sisältävän heikohkon salasanan bruteforcettamiseen, päivä, viikko, vuosia?

Tietty jos tämä ratkesi nyt sillä että on vaan tarpeeksi pitkä WPA2 AES-salasana niin bruteforcettamiseen menisi miljoona vuotta, mennään sitten tällä... Tuon kyllä haluaisin vielä rajoittaa ettei hallintasivulle pääsisi wifi-yhteydellä, vaadittaisiin eth-kaapeli.

Ai niin ja sanottakoon että kun ekan kerran muutin salasanani (taisin tehdä muitakin muutoksia reitittimeen), netti tuntui nopeutuvan speedtest.net mukaan, aloit taas päästä jonnekin 580Mbit/s tasolle. En voi tietenkään varmaksi sanoa johtuiko mahdollisen tunkeilijan ulospotkimisesta vai muusta, mutta sattui sopivasti. En tullut tarkistaneeksi paljonko ko. yhteydenottaja siirsi, en totta puhuen helposti nähnytkään paljonko kukakin kone käyttää internettiä, ehkä sen jostain näkee.

EDIT: Unohdin pojan kellopuhelimen, sekin taisi olla reitittimeen yhteydessä, mutta tuskin sekään olisi osannut ottaa yhteyttä uudestaan ekan salasanan vaihdon jälkeen...
 
Viimeksi muokattu:
Niin sen laitteen merkki ja malli.
FAST3686 V2.0

Yksi nimetön wifi-yhteydenottaja muuten on Nintendo Switch. Se ei tunnu kertovat reitittimelle muuta kuin MAC-osoitteensa, siinä missä kaikki muut, jopa telkkarini ja pojan kellopuhelin, antavat jonkin muunkin selväkielisen tunnisteen itsestään.

Mielestäni tuo ei kuitenkaan ole se aiempi "Unknown"-niminen jolla oli jostain syystä käytössä vain IPv6-osoite. Nintendo Switch nimikenttä on tyhjä ja se käyttää IPv4, ainakin nyt. Tunnistin MAC-osoitteen perusteella, en tiedä vaihteleeko Switch MAC-osoitettaan välillä mutta äsken ei niin tehnyt ainakaan kun ajoin sille power down ja takaisin ylös; voisi ehkä tarkistaa vaikka puhelimella internettiä jakamalla, vaihtaako se sen aina jos on uuteen wifiin yhteydessä.

No, ainakin nyt tunnistan jokaisen laitteen yhteyslistassa, katsotaan tuleeko sinne näiden (myös Switch) lisäksi mitään mitä en tunnista. Ja tulipahan nyt vaihdettua turvallisempaan salasanaankin.
 
Googlen eka osuma vei dna sivuille joka sanoo;
Laitteen ohjelmistoa ei enää päivitetä aktiivisesti. Suosittelemme vaihtamaan uuteen laitteeseen, jotta tietoturva ja suorituskyky ovat varmasti ajan tasalla.

onko sulla ipv6lle oikeasti käyttöä kun se päällä on?
 
Netin mukaan Nintendo Switch osaisi kyllä myös IPv6 joten periaatteessa mahdollista että se olisi aiemmin käyttänyt sitä. Tosin nyt se ei sitten varaa itselleen ilmeisesti ollenkaan IPv6 osoitetta vaan ainoastaan IPv4.

Pidän mahdollisena että Switch oli tuo tunnistamaton "tunkeilija"... mutta osaako se muka vaihtaa MAC-osoitettaan lennossa jos sen pääsyn estää MAC-filtteröinnillä?

No sama se, mennään näillä ja tarkistetaan välillä onko ketään (muuta) tunnistamatonta kiinni reitittimessä.
 
Googlen eka osuma vei dna sivuille joka sanoo;
Laitteen ohjelmistoa ei enää päivitetä aktiivisesti. Suosittelemme vaihtamaan uuteen laitteeseen, jotta tietoturva ja suorituskyky ovat varmasti ajan tasalla.

onko sulla ipv6lle oikeasti käyttöä kun se päällä on?
Katsoin että viimeksi tuolle olisi tullut päivitys 9.4.2024, DNA-sivujen mukaan.

Voishan sitä miettiä uudempaan vaihtamista, en tiedä mikä on DNA:n politiikka eli tarjoavatko he asiakkaalleen uutta koska tietoturva on niin tärkeää meille kaikille mummosta vaariin, vai pitääkö se aina osata ostaa heiltä. Maksaako saman verran jos ostaisi itse jostain, tosin en tiedä onko kaapelimodeemireitittimiä kuinka hyvin tarjolla. DNA:lla näyttäisi kyllä olevan joku WPA3-kykeneväinen kaapelimodeemi.
 
onko sulla ipv6lle oikeasti käyttöä kun se päällä on?
Ei taida olla. Mielestäni joskus sen disabloinkin joko reitittimellä tai jossain Wintoosassa (liekö tullut reitittimellä takaisin jonkun päivityksen yhteydessä?), voisi koittaa jos sen saa tuosta helposti pois.
 
WPA2:ssa käytettyä riittävän pitkää (yli 14 merkkiä) ja kryptistä salasanaa ei bruteforcella murreta nykypäivän kuluttajalaitteilla missään järkevässä ajassa.

IPv6 kannattaa ottaa reitittimen asetuksista pois käytöstä, jos sitä ei erityisesti tiedä tarvitsevansa. Windowsissa sen poistaminen ei auta.
 
Käytitkö MAC-filtterissä deny-asetusta?

Onko mahdollista käyttää allow-asetusta, jolloin vain tiedossasi olevat MACit saavat yhteyden auki?
 
WPA2:ssa käytettyä riittävän pitkää (yli 14 merkkiä) ja kryptistä salasanaa ei bruteforcella murreta nykypäivän kuluttajalaitteilla missään järkevässä ajassa.

IPv6 kannattaa ottaa reitittimen asetuksista pois käytöstä, jos sitä ei erityisesti tiedä tarvitsevansa. Windowsissa sen poistaminen ei auta.
Joo löysin vihdoinkin mistä IPv6 sai pois, laitoin pelkkään IPv4 router modeen. Joskus muistaakseni tappelin jonkun Windowsin kanssa saadakseni siitä IPV6 tuen pois kun se tuntui jotain outoa häikkää aiheuttavan yhteyteen.

Lisääkö IPv6 poisto tietoturvaa vai miksi se kannattaa poistaa? Kumma juttu kyllä tuo IPv6, sen tulosta on puhuttu vaikka kuinka kauan mutta silti IPv4 edelleen tunnutaan käytettävän "kaikkialla", IPv6 on enintään siinä rinnalla häiritsemässä...

Hmm nyt alan epäillä että ehkä se tunnistamaton laite oli sittenkin Nintendo Switch. Nyt se nimittäin näkyy "Unknown"-nimisenä, ja IPv4-osoitteena on pelkkiä viivoja (aiemmin sen rinnalla näkyi myös IPv6-osoite kun se oli vielä enabloituna), MAC-osoite näkyy edelleen. Ehkä se näkyy näin kun Switch siirtää itsensä sleep-moodiin tms.

Ainoa mitä ihmettelen että aiemmalla "Unknown"-laitteella oli eri MAC-osoite jonka aiemmin laitoin filtteriin, mutta lienee mahdollista että Switch päättää itse joskus vaihtaa MAC-osoitettaan, vaikka en googlettamalla tällaisesta ominaisuudesta löytänytkään todisteita. Jotkut Android-tabletit kai saattavat defaulttina vaihdella MAC-osoitettaan yhdistäessään itsemsä uusiin tukipisteisiin, lisännee yksityisyyden suojaa ettei kukaan pysty seuraamaan missä jonkin MAC:n omaava mobiili laite liikkuu...
 
Viimeksi muokattu:
Lisääkö IPv6 poisto tietoturvaa vai miksi se kannattaa poistaa? Kumma juttu kyllä tuo IPv6, sen tulosta on puhuttu vaikka kuinka kauan mutta silti IPv4 edelleen tunnutaan käytettävän "kaikkialla", IPv6 on enintään siinä rinnalla häiritsemässä...
Tähän ei ole olemassa simppeliä kyllä /ei -tason vastausta. IPv6 on monellakin tavalla hieno asia ja askel parempaan, mutta vain jos kaikki laitteet alusta loppuun tukevat sitä ja käyttäjä ymmärtää mitä on tekemässä. Perinteinen IPv4 on tässä mielessä helpompi konsepti ymmärtää. Jos esim. palomuurilla tehdään vain IPv4-protokollaa koskevia sääntöjä, voi IPv6-liikenne unohtua kokonaan jne.

IPv6 on luotu IPv4-verkko-osoitteiden rajallista määrää ja loppumista varten, mutta yhden julkisen osoitteen takana olevat "natatut" privaattiverkot helpottavat tässä ja siksi vielä ei olla siinä tilanteessa että siirtymä pitäisi toteuttaa heti.

3. "Unknown"-laitteella oli eri MAC-osoite (tuli kirjoitettua se ylös kun laitoin MAC filtteriin). Toki on mahdollista että Switch vaihtaa itse joskus MAC-osoitettaan (jotkut tabletit ilmeisesti tekevät näin yksityisyyden suojan takia) mutta googlettamalla en ole löytänyt tällaisesta ominaisuudesta tietoa. Jossain oli ohjeita kuinka Switch MAC-osoitteen saa itse muutettua mutta siitä myös varoiteltiin ettei sitä välttämättä kannata yrittää, Nintendo saattaa bännätä Switchin jonka MAC on muokattu tms.
Laitteen omasta toimesta vaihtama MAC on aika erikoinen skenaario. Se on toki teknisesti mahdollista, mutta en ole sellaiseen törmännyt itse koskaan.
 
Kurkkaapa täältä mitä sanoo valmistajaksi tuolle MAC-osoitteen takaa löytyvälle tuntemattomalle laitteelle.

 
Laitteen omasta toimesta vaihtama MAC on aika erikoinen skenaario. Se on toki teknisesti mahdollista, mutta en ole sellaiseen törmännyt itse koskaan.
En ole itsekään tällaiseen kiinnittänyt huomiota, toki tiedän että esim. Linux-koneilla/läppäreillä voi käyttää esim. macchanger ohjelmaa MAC-osoitteensa arpomiseen vaikka joka buutissa jos katsoo tarpeelliseksi.

Satuin vain jokin aika sitten huomaamaan pojan Samsung tabletin verkkoasetuksissa kohdan "MAC-osoitteen tyyppi" josta voi valita "Satunnainen MAC" tai "Tablet-laitteen MAC", ja satunnainen on ilmeisesti default-arvo.

Oletan tarkoituksena olevan yksityisyyden suojan lisääminen mobiililaitteella, esim. ettei mikään taho pysty kartoittamaan missä kaikissa verkoissa tablettiasi käytetään. Ja toki sillä saa kierrettyä jos on joutunut jostain syystä MAC-filtteriin. Ei tuon ominaisuuden kuvauksessa kylläkään kerrottu vaihteleeko se MAC-osoitetta useinkin vai ainoastaan kerran arpoo sille jonkun uuden MAC:n, laitteen ns. virallisen MAC-osoitteen sijaan?
 
Oletan tarkoituksena olevan yksityisyyden suojan lisääminen mobiililaitteella, esim. ettei mikään taho pysty kartoittamaan missä kaikissa verkoissa tablettiasi käytetään. Ja toki sillä saa kierrettyä jos on joutunut jostain syystä MAC-filtteriin. Ei tuon ominaisuuden kuvauksessa kylläkään kerrottu vaihteleeko se MAC-osoitetta useinkin vai ainoastaan kerran arpoo sille jonkun uuden MAC:n, laitteen ns. virallisen MAC-osoitteen sijaan?
Yksityisyys siinä tosiaan on tarkoituksena. Tuossa oletetaan, että verkon ylläpitäjä tekee etukäteen päätöksen siitä onko dynaamisesti mille tahansa laiteosoitteelle jaettu IP ok vai ei.

Minä olen yleensä tehnyt niin, että tuntemattomille laitteille on oma vierasverkkonsa omalla internet-yhteydellä ja muille sitten omansa, jossa nämä voivat jutella myös keskenään. Kotiverkon laitteet sitten sanelevat sen onko tällainen järjestely ylipäätään mahdollista. MAC-osoitteen vaihtaminen on loppujen lopuksi sen verran triviaalia, ettei pelkästään sillä saada mitään syvällistä suojaa miltään.
 
En ole itsekään tällaiseen kiinnittänyt huomiota, toki tiedän että esim. Linux-koneilla/läppäreillä voi käyttää esim. macchanger ohjelmaa MAC-osoitteensa arpomiseen vaikka joka buutissa jos katsoo tarpeelliseksi.

Satuin vain jokin aika sitten huomaamaan pojan Samsung tabletin verkkoasetuksissa kohdan "MAC-osoitteen tyyppi" josta voi valita "Satunnainen MAC" tai "Tablet-laitteen MAC", ja satunnainen on ilmeisesti default-arvo.

Oletan tarkoituksena olevan yksityisyyden suojan lisääminen mobiililaitteella, esim. ettei mikään taho pysty kartoittamaan missä kaikissa verkoissa tablettiasi käytetään. Ja toki sillä saa kierrettyä jos on joutunut jostain syystä MAC-filtteriin. Ei tuon ominaisuuden kuvauksessa kylläkään kerrottu vaihteleeko se MAC-osoitetta useinkin vai ainoastaan kerran arpoo sille jonkun uuden MAC:n, laitteen ns. virallisen MAC-osoitteen sijaan?
Juu, tuolla MAC-osoitteen vaihtamisella mobiililaitteissa koitetaan hankaloittaa esimerkiksi laitteen seuraamista, mitään todellista tietoturvaa sillä ei haeta. Ja ainakin omissa laitteissa tuo MAC-osoite arvotaan sillä hetkellä kun yhteys luodaan ja se pysyy samana koko sen session ajan, jos tuo satunnais-MAC -asetus on päällä. Keskenkaiken vaihtuva MAC-osoitehan kivasti sekoittaisi verkkoliikennettä jos sitä vaihdettaisiin esim 5min välein kun reitityshän perustuu MAC-osoitteisiin. Yleensä juuri mitkään muut laitteet kuin kännykät ja tabletit eivät MAC-osoitettaan randomisoi, vaan käyttävät sitä verkkopiiriin määriteltyä MACciaan, ellet itse manuaalisesti sitä vaihda.
 
Applen laitteissa on kanssa tuo Private Wi-Fi address.
1734681495225.png


Laitteen on Wi-Fi-verkossa kommunikointia varten tunnistauduttava verkossa käyttämällä Media Access Control (MAC) -osoitteeksi kutsuttua yksilöllistä verkko-osoitetta. Jos laite käyttää aina samaa Wi-Fi-verkon MAC-osoitetta kaikissa verkoissa, verkko-operaattorit ja muut verkon tarkkailijat voivat ajan myötä helpommin yhdistää kyseisen osoitteen laitteen verkkotoimintaan ja sijaintiin. Tämä mahdollistaa eräänlaisen käyttäjien seurannan tai profiloinnin, ja se vaikuttaa kaikkiin laitteisiin kaikissa Wi-Fi-verkoissa. Yksityinen Wi-Fi-osoite -ominaisuus on suunniteltu vastaamaan tähän ongelmaan.
 
Jos WiFi verkon salasanan vaihdat, joudut päivittämään myös salasanan kaikkiin laitteisiin,ellet sitten käytä wps painiketta.

Jotkut ihmiset eivät oikeasti tiedä wps painikkeen tarkoitusta ja luulevat että siitä reititin bootataan. Enkä sano , että aloittaja näin tekisi.

Tuskinpa naapurilla on päätelaitetta jossa olisi wps päällä jatkuvasti kalastelemassa yhteyksiä.
 
Jos WiFi verkon salasanan vaihdat, joudut päivittämään myös salasanan kaikkiin laitteisiin,ellet sitten käytä wps painiketta.

Jotkut ihmiset eivät oikeasti tiedä wps painikkeen tarkoitusta ja luulevat että siitä reititin bootataan. Enkä sano , että aloittaja näin tekisi.

Tuskinpa naapurilla on päätelaitetta jossa olisi wps päällä jatkuvasti kalastelemassa yhteyksiä.
Luonnollisesti salasana pitää vaihtaa kaikille laitteille. Kuluttajalaitteissa ei ole mitään muuta turvallista vaihtoehtoa kuin WPA2+PSK (AES) ja siinä pitkä ja vahva salasana.

WEP ja myös WPA2:n edeltäjä WPA on murrettu jo vuosikausia sitten, eikä niitä kannata käyttää missään tilanteessa sekuntiakaan. WPS oli ajatuksena kiva, mutta siinä on perustavaa laatua olevia suunnitteluvirheitä, jonka vuoksi sitä voi käyttää hyväksi hyvinkin helposti, eli myös se kuuluu mustalle listalle jos haluaa turvallisen kotiverkon. Näin suosittelee myös Kyberturvallisuuskeskus.
 
WPS aiheuttaa myös ongelmia, että mitä tapahtuu vaikka sitä ei käytä.
Petteri myös törmännyt aiheeseen :)
 
Viimeksi muokattu:

Uusimmat viestit

Statistiikka

Viestiketjuista
262 150
Viestejä
4 545 336
Jäsenet
74 935
Uusin jäsen
pyrtsä

Hinta.fi

Back
Ylös Bottom