Filtracja w BT3

[miki_v6]

Mam zapytanie, na laptopie mam BT3 i Edimaxa 7318 , na PC Xp oraz prowadze rozmowe GG, komp zabezp WPA2 (ale to chyba nie ma znaczenia).
Na BT3 uzylem Airodump z zapisem do pliku rozmowagg, otwieram plik w wireshark , wpisuje : tcp.port == 8074 i nic nie ma, choc prowadzilem rozmowe GG.
Moze wie ktos dlaczego? Czy mozna to zrobic inaczej?
Uzywajac samego Wiresharka , wpisujac w filtrze to samo, nic nie widac.

[TQM]

Jesli snifowales podlaczony do sieci to wiele nie zobaczysz - zaleznie od AP kazdy klient ma swoj klucz szyfrujacy siec wifi... bedziesz widzial tylko czesc danych szyfrowanych kluczem grupowym.
Jak sluchales na BT w trybie monitor to widzisz zaszyfrowane pakiety - musialbys zdeszyfrowac WPA2 - powodzenia, daj znac jak skonczysz, moze jeszcze bede zyl aby o tym przeczytac.

Proponuje dowiedziec sie czegos wiecej o sieciach wifi zanim po raz kolejny ruszysz "z motyka na slonce".

P.S.
A tak przypadkiem zapytam... gg nie szyfruje rozmow dodatkowo swoim sposobem jakos?

[miki_v6]

Jesli snifowales podlaczony do sieci to wiele nie zobaczysz - zaleznie od AP kazdy klient ma swoj klucz szyfrujacy siec wifi... bedziesz widzial tylko czesc danych szyfrowanych kluczem grupowym.
Jak sluchales na BT w trybie monitor to widzisz zaszyfrowane pakiety - musialbys zdeszyfrowac WPA2 - powodzenia, daj znac jak skonczysz, moze jeszcze bede zyl aby o tym przeczytac.

Proponuje dowiedziec sie czegos wiecej o sieciach wifi zanim po raz kolejny ruszysz "z motyka na slonce".

P.S.
A tak przypadkiem zapytam... gg nie szyfruje rozmow dodatkowo swoim sposobem jakos?

Czyli mozna sniffowac tylko jesli siec jest WEP?
Uruchamiam Wireshark, podsluchuje swojego routera ktory jest WEP, widze pakiety ale jak wlacze filtrowanie na port 8074 to nie ma nic.
Czemu?
Kiedys taka filtracja mi sie udawala tylko nie pamietam jak.

[TQM]

Pytanie czy sluchasz w trybie promiscous i czy sluchasz po podlaczeniu do sieci czy bez podlaczania sie do sieci. Oto cala filozofia.

[ma~]

zakladajac, ze sluchales w trybie monitor, to zgodnie z 802.11 pakiety z danymi sa zaszyfrowane odpowiednia metoda, natomiast pakiety kontrolne i zarzadzajace nie sa (jednak sa one malo istotne). tak wiec nie mozesz widziec warstw wyzszych nie majac hasla i odpowiednich pakietów.

jednak ja chce sie zapytac o cos podobnego, nie zakladajac nowego watku. otoz zalozmy, ze jest siec zlozona z AP i kilku uzytkownikow. siec jest zabezpieczona dowolnym protokolem (np. TKIP) i kazdy z uzytkownikow zna haslo. i teraz jeden z uzytkownikow (A) uruchamia program do zbierania pakietow (karta w trybie monitor). podczas wylapywania tych pakietow, inny z uzytkownikow (B) przylacza sie do sieci, tzn. nastepuje wymiana pakietow: najpierw authentication (razy 2), potem association request i association response, a nastepnie jest wymiana kluczy za pomoca protokolu 802.1X (EAPOL Key) i dopiero wtedy zaczyna wysylac "wlasciwe" dane odpowiednio zaszyfrowane. po chwili uzytkownik A wylacza program i zaczyna przegladac pakiety w wiresharku. poniewaz obaj znajduja sie w tej samej sieci i posiadaja te same hasla, uzytkownik A wlacza opcje w wiresharku aby odszyfrowywalo pakiety i podaje haslo oraz SSID. dzieki temu mozliwe staje sie przegladanie odszyfrowanych pakietow (czyli warstwy wyższe). a teraz pytanie:

(1) czy da sie temu jakos zapobiegac nie stosujac zabezpieczen warstw niskich (IPSec)?
(2) czy z tego wynika, ze zadne zabezpieczenia zwiazane z protokolem 802.11 nie sa w stanie pomoc, gdy zna sie haslo i wylapie sie odpowiednie pakiety?

z gory dzieki.

[TQM]

Swego czasu tez mnie to bardzo ciekawilo, bo zauwazylem ze jesli podlacze sie do sieci zabezpieczonej WPA-PSK (TKIP) i slucham w promisc to slysze co przesylaja inne stacje i mam calosc juz zdekodowana... szczerze mowiac nie mialem czasu sie nad tym wiecej zastanawiac. Bede musial sprobowac w wolnej chwili jak to sie ma do WPA2-AES-CCMP. Zauwazylem ze stosujac WPA2-AES-CCMP jest uzywane do szyfrowania transmisji AP-CLI, natomiast do adresowania ogolnego ruchu jest najczesciej TKIP - moze po prostu ja mam jakis dziwny sprzet, ale zawsze gdy wylaczylem TKIP w unicast-cipher to nie moglem sie podlaczyc w ogole a po podlaczeniu szyfrowanie wskakiwalo w AES-CCMP.

Wniosek moj jest taki, ze TKIP stosowany w WPA to nastepca WEP (i tak jest - z zalozenia mial to byc upgrade softu do AP zamiast wkladania mocniejszego sprzetu), stosuje wiec te same zasady co WEP - jesli znasz klucz, widzisz wszystko co leci po sieci. Dopiero w przypadku zastosowania WPA2 widac ze mozna uzywac WPA2 (TKIP) i WPA2 (AES-CCMP)... przy czym TKIP to group cipher a AES-CCMP to unicast cipher (do szyfrowania ruchu AP-CLI). TKIP od autoryzacji stacji a pozniej EAPOL i podniesienie AES z CCMP.

Moge sie mylic... musze w wolnej chwili (oj nie bedzie to predko...) sprawdzic co i jak. To co podalem powyzej to moje dotychczasowe obserwacje, choc ciekawi mnie fakt, ze niektore sieci pokazuja WPA2 ale nie pokazuja ze maja TKIP - zglaszaja tylko WPA2 AES CCMP i koniec.

Opdowiedz na pytania:
#1 - jesli mam racje powyzej, to nie da sie - bedzie potrzebny jakis VPN
#2 - gdy zna sie odpowiedni haslo to nic nie pomoze... w przypadku CCMP klucze sa zmieniane o wiele czesciej niz w TKIP i uzywaja mocniejszych prymitywow kryptograficznych (AES zamiast RC4 i SHA1 zamiast MD5, do tego zmiana klucza co jednostke czasu lub 64k pakietow - zaleznie co nastapi wczesniej - a nie jedynie co 64k pakietow).

Odpalic VPN na wifi to dobry pomysl tak czy inaczej... tylko pomyslmy... WPA2-AES-CCMP + VPN... to bedzie dosc powolne :-(

[miki_v6]

Moze to ktos podsumowac.
Do podsluchu wybranego portu (np GG) w sieci WEP lub WPA znajac klucz i ustawieniu karty w tryb monitora trzeba byc podlaczonym do sieci ?
Probowalem podsluchac moj drugi komp bedac podlaczonym do sieci poprzez polecenie:
tcpdump -X -s 2000 'port 8074&&host 192.168...'


Ale nic sie nie pokazuje. Wydajac polecenie:
tcpdump -X -s 2000 dane leca ale sa jakby zakodowane.

Nie probwalem jeszcze z WEPem ale czy to ma znaczenie? Jesli jest klucz i GG jest niekodowane to chyba nie ma znaczenia?

[TQM]

Nie da sie ustawic karty w tryb monitora i podlaczyc do sieci.

Albo sie podlaczasz do sieci i wtedy tcpdump czy co tam masz pokaze Ci pakiety ethernet, juz zdekodowane (wiec odpada Ci zabawa z WEPem) albo w trybie monitor i wtedy masz gole ramki wifi, ktore musisz sobie najpierw zdekodowac (WEP) a dopiero pozniej szukac w tym co uzyskasz.

[miki_v6]

To fakt, polaczylem sie z moja siecia WPA poprzez karte wbudowana w laptopie a EDIMAX USB probowalem Monitoringu. Wyszla lipa.
Pytanie moje, jak to zrobic poprawnie
Mozesz mi podac blizsze wskazowki(polecenia) Bede wdzieczny

[TQM]

Jesli znasz klucz WEP to snifujesz w trybie monitor np tcpdump'em, pozniej otwierasz taki plik w wireshark'u - tam jest opcja dekodowania pakietow (podajesz klucz WEP) i widzisz wtedy jakbys sluchal pakietow na kablu w sieci ethernet...