WPS - hvad er det?

[Bertel Lund Hansen]

Det er måske ikke et udbyderrelateret spørgsmål, men jeg har fået
fiber installeret for et par dage siden, og i den forbindelse fik
jeg et klistermærke med SSID, WPA-kode og WPS-pinkode.

Jeg ved godt hvad SSID og WPA er for noget, og jeg fik adgang
både kablet og med min mobil uden problemer, men hvad er WPS? Jeg
kan finde et sted i routerens opsætning hvor det optræder, men
hvad skal det gøre godt for?

Det er selvfølgelig smart med router indbygget i fiberboksen, men
jeg kan desværre ikke ændre dens adresserum selv om der er en
boks til det og en knap med "Gem ændringer". Den fastholder bare
det den er sat op med.

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Bertel Lund Hansen]

Bertel Lund Hansen skrev:

> Det er måske ikke et udbyderrelateret spørgsmål, men jeg har fået
> fiber installeret for et par dage siden, og i den forbindelse fik
> jeg et klistermærke med SSID, WPA-kode og WPS-pinkode.

Jeg burde have googlet først. Forklaringen er ligetil og nem at
finde på nettet.

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Axel Hammerschmidt]

Bertel Lund Hansen <gade...@lundhansen.dk> wrote:

> Bertel Lund Hansen skrev:
>
> > Det er måske ikke et udbyderrelateret spørgsmål, men jeg har fået
> > fiber installeret for et par dage siden, og i den forbindelse fik
> > jeg et klistermærke med SSID, WPA-kode og WPS-pinkode.
>
> Jeg burde have googlet først. Forklaringen er ligetil og nem at
> finde på nettet.

Slå det fra. WPS har en sikkerhedsfejl. Der er skrevet en del om det
rundt omkring.


--
Ikke ham på Facebook.

[Bertel Lund Hansen]

Axel Hammerschmidt skrev:

> Slå det fra. WPS har en sikkerhedsfejl. Der er skrevet en del om det
> rundt omkring.

Det kan jeg ikke. Routerens opsætning er låst på flere punkter,
og der er slet ikke en boks til at vælge WPS til eler fra. Men
jeg har ikke brugt det i opsætningen, og jeg har udskiftet
kodeordet (af anden årsag). Er sårbarheden så stadig til stede?

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Axel Hammerschmidt]

Bertel Lund Hansen <gade...@lundhansen.dk> wrote:

> Axel Hammerschmidt skrev:
>
> > Slå det fra. WPS har en sikkerhedsfejl. Der er skrevet en del om det
> > rundt omkring.
>
> Det kan jeg ikke. Routerens opsætning er låst på flere punkter,
> og der er slet ikke en boks til at vælge WPS til eler fra. Men
> jeg har ikke brugt det i opsætningen, og jeg har udskiftet
> kodeordet (af anden årsag). Er sårbarheden så stadig til stede?

Sårbarheden ligger i PIN koden. Muligvis kan du komme uden om den ved
ikke at bruge WPS og PIN koden.

[Axel Hammerschmidt]

Nej, det hjælper desværre ikke.

<http://arstechnica.com/business/2012/01/hands-on-hacking-wifi-protected
-setup-with-reaver>

Prøv at kontakte din udbyder og få dem til at slå WPS fra. Eller, hvis
du kan slukke for det trådløse signal i routeren, så tilslut din egen
AP.

[Bertel Lund Hansen]

Axel Hammerschmidt skrev:

> Sårbarheden ligger i PIN koden. Muligvis kan du komme uden om den ved
> ikke at bruge WPS og PIN koden.

Hvis jeg har forstået det rigtigt, skal det der WPS udveksle
koder automatisk, men når jeg så bruger en anden kode end den der
var sat op fra starten, så kan WPS vel ikke oplyse den korrekt -
eller hvad?

Men under alle omstændigheder vil jeg kontakte udbyderen.

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Bertel Lund Hansen]

Axel Hammerschmidt skrev:

> Prøv at kontakte din udbyder og få dem til at slå WPS fra. Eller, hvis
> du kan slukke for det trådløse signal i routeren, så tilslut din egen
> AP.

Jeg tjekkede lige routeren. Under WPS er der to valgmuligheder,
"Puch button config" og "Pincode config". Der er prik ved "Push"
og pinkodefeltet er tomt.

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Mcwm]

Den 29-01-2015 kl. 00:12 skrev Bertel Lund Hansen:
> Men under alle omstændigheder vil jeg kontakte udbyderen.

Som muligvis slet ikke KAN slå det fra, men kun slukke for lyset i din
WPS-lampe;

The most obvious way to mitigate this threat would be to simply disable
WPS on your router or access point. Unfortunately a lot of routers don't
provide the ability to disable WPS and even those that do may disable
the little WPS light on the router but still allow an attacker to crack
your PIN because it's really still enabled. Some manufacturers have
released firmware to resolve this issue but when was the last time you
updated the firmware on your router?

Kilde: https://scotthelme.co.uk/wifi-insecurity-wps/

[Bertel Lund Hansen]

Bertel Lund Hansen skrev:

> Men under alle omstændigheder vil jeg kontakte udbyderen.

Nu har jeg fundet en "kontakt" hvor jeg kan disable WPS i
routeren - men så kan min smartphone ikke få forbindelse med den.

Jeg har disablet det på det almindelige trådløse net og så ladet
det være aktivt på 5 GHz-delen som er det smartphonen bruger.

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Axel Hammerschmidt]

Bertel Lund Hansen <gade...@lundhansen.dk> wrote:

> Bertel Lund Hansen skrev:
>
> > Men under alle omstændigheder vil jeg kontakte udbyderen.
>
> Nu har jeg fundet en "kontakt" hvor jeg kan disable WPS i
> routeren - men så kan min smartphone ikke få forbindelse med den.
>
> Jeg har disablet det på det almindelige trådløse net og så ladet
> det være aktivt på 5 GHz-delen som er det smartphonen bruger.

Jeg tror man skal ta' denne sårbarhed meget alvorligt.

Indtil videre har jeg slukket for Wi-Fi på alt mit udstyr med WPS og
tilsluttet ældre udstyr (AP) uden WPS. Jeg har så hentet Kali-Linux
(3,15GB) og tanken er at afprøve Reaver derfra fra min X60, der har et
trådløs netkort, der med Kismet kan sættes i passiv mode. Det har jeg
gjort før, da jeg knækkede WEP på een af mine ældre AP.

Hvis jeg ikke får det til at virke, må jeg til lommen (75 Euro) og
anskaffe en Reaver Pro. Der får man endvidere en trådløs "dims" der kan
forbindes via USB og afprøve sårbarheder på ens APer med WPS.

Jeg har flere lidt ældre (5 - 6 år) AP med WPS knapper, så de er
sandsynligvis udsat.

I dit tilfælde ville jeg checke producentens HP om hvordan udstyret er
sikret mod WPS sårbarheden. Ellers bruge ældre udstyr uden WPS.

[Bertel Lund Hansen]

Axel Hammerschmidt skrev:

> I dit tilfælde ville jeg checke producentens HP om hvordan udstyret er
> sikret mod WPS sårbarheden. Ellers bruge ældre udstyr uden WPS.

Uden WPS ingen wifi på mobilen.

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Hans himself]

Den 29-01-2015 kl. 17:14 skrev Bertel Lund Hansen:
> Axel Hammerschmidt skrev:
>
>> I dit tilfælde ville jeg checke producentens HP om hvordan udstyret er
>> sikret mod WPS sårbarheden. Ellers bruge ældre udstyr uden WPS.
> Uden WPS ingen wifi på mobilen.
>

Kan du ikke sætte mobilen, hvad mærke det så end er, manuelt op. Det gør
jeg da med min iPhone og også med tidligere telefoner jeg har haft. Evt.
finder jeg vejledningen hos min udbyder.

--
MVH
Hans himself

[Bertel Lund Hansen]

Hans himself skrev:

> Kan du ikke sætte mobilen, hvad mærke det så end er, manuelt op. Det gør
> jeg da med min iPhone og også med tidligere telefoner jeg har haft. Evt.
> finder jeg vejledningen hos min udbyder.

Ikke mere manuelt end jeg gør det. Jeg vælger mit trådløse net og
får en boks til kodeordet som jeg så udfylder. Hvis WPS er
deaktiveret får jeg så lidt efter en besked med "Der er problemer
med forbindelsen".

Hvis jeg derimod aktiverer WPS (på routeren altså), så kommer der
hul igennem.

Jeg har ikke adgang til at pille vedandre ting ud over at jeg kan
slå DHCP fra og jeg kan vælge en proxy.

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Axel Hammerschmidt]

Bertel Lund Hansen <gade...@lundhansen.dk> wrote:

> Axel Hammerschmidt skrev:
>
> > I dit tilfælde ville jeg checke producentens HP om hvordan udstyret er
> > sikret mod WPS sårbarheden. Ellers bruge ældre udstyr uden WPS.
>
> Uden WPS ingen wifi på mobilen.

Prøv at checke hos producenten.

Sådan her kan man gøre med Netgear:

<http://kb.netgear.com/app/answers/detail/a_id/19824/~/how-do-netgear-ho
me-routers-defend-wifi-protected-setup-pin-against-brute-force>

Klicker man på:

"This answer applies to the following products (Click to Expand):"

- forneden kommer der en liste frem. Mine Netgear AP er desværre for
gamle.

Derfor skal de checkes med Reaver inden jeg tænder for APerne igen.

[Bertel Lund Hansen]

Axel Hammerschmidt skrev:

> Sådan her kan man gøre med Netgear:

Tak for den opskrift. På min router kan jeg vælge mellem at
aktivere Push button eller Pin, så jeg går ud fra at
pin-problemet nu er deaktiveret.

--
Bertel
bertel.lundhansen.dk fiduso.dk

[Axel Hammerschmidt]

Axel Hammerschmidt <hl...@hotmail.com> wrote:

> Bertel Lund Hansen <gade...@lundhansen.dk> wrote:
>
> > Bertel Lund Hansen skrev:
> >
> > > Men under alle omstændigheder vil jeg kontakte udbyderen.
> >
> > Nu har jeg fundet en "kontakt" hvor jeg kan disable WPS i
> > routeren - men så kan min smartphone ikke få forbindelse med den.
> >
> > Jeg har disablet det på det almindelige trådløse net og så ladet
> > det være aktivt på 5 GHz-delen som er det smartphonen bruger.
>
> Jeg tror man skal ta' denne sårbarhed meget alvorligt.
>
> Indtil videre har jeg slukket for Wi-Fi på alt mit udstyr med WPS og
> tilsluttet ældre udstyr (AP) uden WPS. Jeg har så hentet Kali-Linux
> (3,15GB) og tanken er at afprøve Reaver derfra fra min X60, der har et
> trådløs netkort, der med Kismet kan sættes i passiv mode.

Det gik ret smertefrit med Kali-Linux. Der er en vejledning her

<http://www.kalitutorials.net/2014/04/hack-wpawpa2-wps-reaver-kali-linux
.html>

Ingen steder dukke mine AP op i søgningen med Wash, så de ville kunne
angribes. WPS er slukket godt og grundigt. Jeg scannede nabolaget lidt
overfladisk med Wash og der dukkede to AP op, hvor Wash melder om WPS v
1.0 og at de ikke var WPS Locked.

Jeg har 2 Netgear WNHDE111 AP og en Netgear router med DD-WRT firmware.
Sidstnævnte er indrettet sådan, at man kan slukke (og tænde) for AP
signalet ved at trykke på WPS knappen. Det er jo alternativ F/W.

Kali-Linux på 3,15GB er godt nok en stor mundfuld hvis man bare vil
teste sikkerheden i sine AP, men jeg har haft BackTrack 3 liggende på en
USB nøgle og den var ved at blive for gammel. Så det var alligevel på
tide at opgradere.