Userbase

Users United
https://userbase.be/forum/

WPS uitzetten op Bbox3?

https://userbase.be/forum/viewtopic.php?t=48961

Pagina 1 van 1

WPS uitzetten op Bbox3?

Geplaatst: 12 dec 2016, 20:26
door Chris_147
Hey,

Ik lees overal dat WPS aanlaten op je router wel een zeer groot beveiligingsrisico is.
Echter staat dit default aan op de Bbox3.
Hoe zet ik dit uit?

Re: WPS uitzetten op Bbox3?

Geplaatst: 12 dec 2016, 20:31
door JoskeVermeulen
- http://192.168.1.1/
- settings Wi-Fi 2.4 > paarse balk met pijl naar beneden drukken > WPS
- settings Wi-Fi 5 > idem
- OK

Re: WPS uitzetten op Bbox3?

Geplaatst: 12 dec 2016, 21:23
door Chris_147
Amai, nu voel ik me dom :oops:

Ter verdediging:
- ik was op tablet bezig en die popup voor de settings komt maar op de helft van het scherm
- WPS staat onder security settings, maar het aanpassen moet je doen door inderdaad de paarse balk onder reset factory settings open te klappen (logisch toch?)

Bedankt voor de snelle reactie, nu voel ik me weeral iets veiliger.

Re: WPS uitzetten op Bbox3?

Geplaatst: 13 dec 2016, 09:03
door philippe_d
Wat is het "zeer groot" beveiligingsrisico van WPS dan?

Re: WPS uitzetten op Bbox3?

Geplaatst: 13 dec 2016, 09:29
door blaatpraat
philippe_d schreef:Wat is het "zeer groot" beveiligingsrisico van WPS dan?
Het is makkelijker om 2 blokken van 4 cijfers te bruteforcen, waarbij je router je ongelimiteerde pogingen laat ondernemen, dan om een wachtwoord van 64 tekens in WPA2/AES te bruteforcen.

Re: WPS uitzetten op Bbox3?

Geplaatst: 13 dec 2016, 10:21
door philippe_d
Dan moet er dus iemand voor mij deur staan, en daar blijven staan tot hij 2 blokken van 4 cijfers "gebruteforced" heeft? Waar hij enkele dagen voor nodig heeft ...
Wordt dat het "zeer groot" veiligingsrisico genoemd?

Je kan ook WPS laten aanstaan, maar de PIN authenticatie uitzetten? Zodat je toch nog het gemak van de push button authenticatie blijft behouden (waarbij het risico beperkt wordt tot personen die toegang hebben tot de modem) ?

Op mijn FritzBox kan ik kiezen tussen:
  • Push-Button method (WPS-PBC, Push Button Configuration)
  • PIN method (WPS-PIN), the FRITZ!Box specifies the PIN
  • PIN method (WPS-PIN), the wireless device specifies the PIN
In de laatste optie wordt de PIN gegeven door de client die zich wil verbinden, en moet dan bevestigd worden op de router. Hier dus ook geen mogelijkheid om een bestaande PIN te raden met brute force ...

Re: WPS uitzetten op Bbox3?

Geplaatst: 13 dec 2016, 14:32
door jackho
Die WPS PIN methode voor de b-box3 waar kan je die ergens terugvinden of is dit niet mogelijk bij de b-box3?

Re: WPS uitzetten op Bbox3?

Geplaatst: 13 dec 2016, 15:33
door blaatpraat
philippe_d schreef:Dan moet er dus iemand voor mij deur staan, en daar blijven staan tot hij 2 blokken van 4 cijfers "gebruteforced" heeft? Waar hij enkele dagen voor nodig heeft ...
Wordt dat het "zeer groot" veiligingsrisico genoemd?
4 cijfers: 10.000 combinaties.
Dit is de zwaarste stap, en 10.000 combinaties afvoeren vereist niet veel tijd.
Als je '1234 0000' stuurt, krijg je een antwoord dat 1234 en 0000 foutief zijn. De laatste 4 cijfers negeer je voorlopig.
Maximaal 10.000 pogingen om de eerste 4 cijfers te locken.

Vervolgens heb je nog maximaal 1000 pogingen nodig om de volgende 3 cijfers te bruteforcen.
Het laatste cijfer is een berekend getal op de voorgaande 7 cijfers, en kun je dus iedere poging berekenen.

In het slechtste geval moeten er 11.000 aanvragen verzonden worden.
Laten we er even van uitgaan dat je ze niet simultaan verzendt, maar sequentieel.
Na pakweg 1 seconde heb je een antwoord.
In 11.000 seconden, oftewel 183 minuten, oftewel afgerond 3 uur heb je jezelf toegang verschaft tot de wifi.
En dit is worst-case scenario.
Je kan ook WPS laten aanstaan, maar de PIN authenticatie uitzetten? Zodat je toch nog het gemak van de push button authenticatie blijft behouden (waarbij het risico beperkt wordt tot personen die toegang hebben tot de modem) ?
De WPS specificatie laat dit niet toe.
Als je WPS gebruikt, is PIN altijd verplicht, en push optioneel.
Op mijn FritzBox kan ik kiezen tussen:
  • Push-Button method (WPS-PBC, Push Button Configuration)
  • PIN method (WPS-PIN), the FRITZ!Box specifies the PIN
  • PIN method (WPS-PIN), the wireless device specifies the PIN
In de laatste optie wordt de PIN gegeven door de client die zich wil verbinden, en moet dan bevestigd worden op de router. Hier dus ook geen mogelijkheid om een bestaande PIN te raden met brute force ...
Dat lijkt mij al iets veiliger, maar is dus niet conform wat de WPS specificatie bepaalt.

Er is alvast een reden dat er minder en minder toestellen WPS ondersteunen, en dat is omdat de markt zich serieus verzet tegen WPS.
Mijn smartphone werkt er niet mee, mijn AP's hebben het niet in hun, dus er zal wel iets van waarheid in zitten.

Je moet inderdaad al iemand hebben die specifiek op jouw wifi wilt inbreken, maar laat ik zo bezien: we beveiligen die ook al met een WPA2/AES beveiliging, dus we willen toch iets van veiligheid. Waarom dan iets toelaten die de beveiliging om zeep helpt?
Of als: ik heb een heel zwaar veiligheidsslot, en ik heb 11.000 sleutels waarvan er 1 op past, en ze liggen allemaal onder de mat.

Re: WPS uitzetten op Bbox3?

Geplaatst: 13 dec 2016, 17:10
door JoskeVermeulen
jackho schreef:Die WPS PIN methode voor de b-box3 waar kan je die ergens terugvinden of is dit niet mogelijk bij de b-box3?
In mijn TC b-box 3 is ook de enige WPS optie in- of uitschakelen. Eenmalig gebruikt bij een familielid thuis om eens te proberen en daar bleef het ook bij.

Ik heb zo'n anderhalf jaar geleden eens een security check up gedaan met de security tools van een populaire Linux distro en in samenspraak eens getest bij een vriend met Telenet abo. Via WPS bruteforce was ik toch vrij rap binnen op zijn wifi maar het werkte niet altijd, bij mijn Px modem geen probleem daar geraakte ik niet in.

Re: WPS uitzetten op Bbox3?

Geplaatst: 16 jan 2017, 19:37
door agrendath
philippe_d schreef:Dan moet er dus iemand voor mij deur staan, en daar blijven staan tot hij 2 blokken van 4 cijfers "gebruteforced" heeft? Waar hij enkele dagen voor nodig heeft ...
Wordt dat het "zeer groot" veiligingsrisico genoemd?
Sorry, (ethical) hacker hier. Het zeer grote risico is dat wie dan ook, zelfs met een telefoon, in een paar minuten je pin kan cracken. Natuurlijk 2 blokken van 4 cijfers zal lang duren maar daarom zijn er speciefiekere en betere tools voor hackers (bv. pixiewps). Hij hoeft niet altijd per se je pincode te bruteforcen. Maar zolang je geen belangrijk persoon bent, een bedrijf hebt of een buurman die weet hoe het moet en zelf geen internet heeft zou ik me niet te veel druk maken hierover. Gewone mensen zijn niet vaak het doelwit van hackers, laat staan slimme hackers. Als je het niet gebruikt zou ik het toch maar uitzetten, je weet maar nooit.

Re: WPS uitzetten op Bbox3?

Geplaatst: 16 jan 2017, 21:48
door flupke19
voor de Technicolor b-box3 is het simpel: na 10 pogingen gaat de b-box3 de WPS zelf blokkeren, tot je een nieuwe PIN via de GUI instelt, of de modem reboot. Uiteraard bestaat nog steeds de kans dat je binnen 10 pogingen toch de juiste combinatie hebt gevonden; ik laat aan wiskundeknobbels de berekening hoe groot die juist is.
Alle tijden zijn UTC+02:00
Pagina 1 van 1

Powered by phpBB® Forum Software © phpBB Limited

Nederlandse vertaling door phpBB.nl.