Bezpečnost domácí bezdrátové sítě

Diskuze čtenářů k článku

John.Europe  |  12. 11. 2004 07:30  | 

Jen bych poradil všem co to opravdu zajímá, aby pokračovali na stránkách www.czfree.net nebo www.lbcfree.net a koukli se co o tom říkají profesionálové. Mimochodem existuje krabička od ASUSU jako HW VPN server za pár korun(3-4tis) pro cca 5 klientů. A pak budete úplně v pohodě(pokud jí dobře nastavíte). A nebo se koukněte na net, co to je POPTOP. POPTOP je PPPoE protokol. Z PC Pentium 133, 64mb ram uděláte Linuxový VPN server na který se budou moci bez problémů připojit klienti Woknows a vlastně všeho běžného operačního smetí. Je to jednoduché a bezpečné.

PS: WEP je možné prolomit za cca 30 minut a jsou prý i tací, co to zvládnou za 10.
Když už někdo používá WEP tak bych doporučil AP co umí měnit WEP klíče na základě seznamu každý den.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tlamik  |  12. 11. 2004 07:39  | 

ad prolomení WEP: To není otázka toho, kdo je větší borec, ale toho, za jak dlouho nachytá potřebné množství paketů (přes 10 milionů), za deset minut to je kravina (ani v zasekané síti neprojde tolik paketů za deset minut), ale jestli mluvíš o nalezení klíče z nachytaných paketů, tak to je otázka spíše vteřin než minut (ale i s nachytáním to jsou hodiny ...)

Souhlasím  |  Nesouhlasím  |  Odpovědět
John.Europe  |  12. 11. 2004 08:52  | 

Počet paketů záleží na délce šifry(jestli je to řečeno správně).
Pokud použiješ hodně slabý WEP(třeba 64?počet bitů) tak těch paketů vůbec nepotřebuješ 10 milionů.

A mluvil jsem samozřejmě o nalezení klíče z nachytaných paketů.

Mimochodem někdo mi tvrdil(kdo ví jestli to je pravda), že slabý WEP se mu podařilo prolomit za 40 minut i s nachytáním paketů. Tedy: Time: 0-40min byl na netu a jednalo se o síť bez zapnuté kontroly MAC adres.

Mimochodem by mě zajímalo, co by se stalo kdyby se v síti objevila dvakrát stejná mac adresa.
Určitě by došlo ke kolizím a asi by to odstavilo ty karty.

Takže tam kde je zapnutá kontrola MAC je potřeba u PCI karet použít prográmek SMAC - který softwarově změní MAC adresu. Po restartu je to zase zpět. Tedy: Zachycení použitých MAC adres - zachycení paketů - dekódovat WEP klíč a čekat až se nějaká MAC adresa uvolní - SMAC zadaná MAC adresa - zjištění jestli je zapnuté DHCP(usnadňujě práci hackerům :o) protože samo doplní IP a Bránu) - z dat výše uvedených není problém vykoukat výchozí bránu a nebo nějakou bránu kam pakety jdou.

Když jsem na naší síti - pokusně - sám jí provozuji - jsem se do ní pokusil nabourat, tak jsem se dostal přes WEP za 5 hodin, MAC jsem použil zachycenou která nebyla aktivní, IP adresu jsem použil tu u té MAC adresy, bránu jsem vykoukal z paketů a Internet šel. Jediné co jsem nevykoukal byl DNS server. Takže mi net šel pokusně pouze přes zadání přímé IP adresy. A od té doby používám VPN :o)

A radím to všem :o)

Souhlasím  |  Nesouhlasím  |  Odpovědět
John.Europe  |  12. 11. 2004 09:05  | 

Mimochodem kamarád se takhle napíchnul do jedné síťě, bez WEP zadal v IE 192.168.1.1 - vyjela mu stránka toho AP, kouknul se na jeho PAGE a zjistil defaultní heslo - ten co měl to AP se ho neobtěžoval změnit - přidal svou MAC do povolených MAC a přiřadil si IP adresu pro tenhle MAC. Od té doby má Internet Free. A to už asi rok a půl.
Jede přes nějakou firmu a vidí jejich sdílení, Intranet, Internet.

UF. Kdyby se to stalo mě ve firmě a ten člověk byl nějaký vtipálek se zájmem nejen o net, tak mě asi klepne.
ALe já mám svou síť alespoň trochu zabezpečenou.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Alf  |  12. 11. 2004 11:42  | 

Ty jsi nejaky chytry. Zajimalo by mne kolik WEPu uz jsi prolomil

Souhlasím  |  Nesouhlasím  |  Odpovědět
Brnak  |  15. 11. 2004 11:53  | 

Zrovna ted o vikendu jsem si s tim hral, na 128 bit wep bezpecne staci prohnat wifi jeden ISO image a pochytat to kismetem. Asi by stacilo i mene dat. Zkouseno na 2 ruzne klice - jednou aircrackem 3 min, podruhe 10 sec.
Ted ovsem nevim, jak tu wifinu zabezpecit :(

Souhlasím  |  Nesouhlasím  |  Odpovědět
Miko, Miko  |  15. 11. 2004 12:14  | 

to je na pendrek :(

Souhlasím  |  Nesouhlasím  |  Odpovědět
Michal Kára  |  12. 11. 2004 07:41  | 

No, ja bych to jeste doplnil... WEP jde prolomit pomerne v pohode prakticky kazdy, zalezi ciste na tom, aby utocnik stihl nachyta dostatek packetu se stejnym klicem. WPA je na tom o dost lip.

Jinak ty veci uvedene v clanku sice trochu pomohou, ale pokud nepouzivate WPA, tak je stejne mozne se do site nabourat.

A pridal bych jeste jednu radu: Pouzivejte sektorove/smerove anteny, aby vas signal byl dostupny pokud mozno jen tam, kde ho potrebujete. To take omezi utocniky.

Souhlasím  |  Nesouhlasím  |  Odpovědět
napalm  |  12. 11. 2004 08:04  | 

Osobne mam SW, kterym v pohode desifruju pakety litajici mezi klientem a Access Pointem. Takze vidim vsechnou komunikaci, ktera cez "hlidanej" Access Point jde . Doporuciji, zapomente na WEP a pouzivejte minimalne WPA.

Souhlasím  |  Nesouhlasím  |  Odpovědět
John.Europe  |  12. 11. 2004 09:12  | 

Jo to máš pravdu.
Proto všichni ČUR..NI používají síta 24db napíchlé pigtailem do AP s max. výkonem - aby měli dobrý příjem....
to že i o kilometry dál vzrůstá rušení a net blbne nikomu nejde.

To je pak super, kdy máte na jedné i druhé straně dva takovéhle ČUR..NY.
Obě AP jedou na stejném kanálu s kombinovaným b/g.

Nejprve mějí svoje plechovky a vše je OK.
Ale pak jedni dostanou někoho kdo je dál, tak pořídí větší anténu.
Ti na druhé straně mají najednou horší signál a když nepomůže hýbání s kanálama tak pořídí větší antény.
To se ale zhorší signál zase těm první, proto si také pořídí ještě větší antény.

Ve výsledku to jede jim oboum, ale vy uprostřed máte tak hrozně zarušené pásmo že by se z toho jeden pos.
A pokud nechcete volat na ČTU a nebo také pořizovat anténu s větším ziskem nezbývá Vám nic jiného než se napíchnout na nějakou tu bandu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mysel, Mysel  |  12. 11. 2004 13:27  | 

Na zarušení wi-fi bohatě stačí mít v okolí 2-3 byndy plechovkářů. Pokud jsou dost šikovní, stačí i jedna. Pak už si bez větších antén neškrtnete. Můžete taky přejít na breeze (pokud na to máte), ale oni Vás upgradem antén stejně zase vyšachují.
Opravdu nechápu lidi, kteří ve wi-fi spatřují dobré řešení do budoucna. Nové pásmo na nějakou dobu sice pomůže, ale za dva roky budou všichni na 2G4 i 5G8 v háji. :o(

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tlamik  |  12. 11. 2004 07:35  | 

Co z toho, kdyz zakážu SSID a v netstumbleru je stejně vidět

Souhlasím  |  Nesouhlasím  |  Odpovědět
touchwood, touchwood  |  12. 11. 2004 08:18  | 

co? odfiltruješ aspoň ty největší lamy.
Ono se to nezdá, ale nabourávání bezdrátů se věnují i sociálky se základním vzděláním, které jinak moc rozumu nepobraly (viděl jsem na vlastní oči)

Souhlasím  |  Nesouhlasím  |  Odpovědět
John.Europe  |  12. 11. 2004 08:58  | 

To je fakt :o)
Nejlepší je hackout takovéhleho ,,hackera" :o)
Potěší mu změnit heslo v SAM u jeho woken :o) !!
Kor když ti měsíc kradl net :o)

Souhlasím  |  Nesouhlasím  |  Odpovědět
tmiso  |  12. 11. 2004 14:33  | 

klasickych 20/80%
na 80% ulohy potrebujes 20% namahy(/penazi/...)
a zvysnych 20% ulohy potrebujes zvysnych 80% namahy

Souhlasím  |  Nesouhlasím  |  Odpovědět
zajdee, zajdee  |  12. 11. 2004 09:56  | 

No, ja kdyz na svem domacim AP nastavim Invisible rezim, tak ten accesspoint ani v netstumbleru nevidim
Pod Windows mi ho zobrazi jen Airsnort, a to jeste bez nazvu ESSID (zobrazi jen MAC toho AP), jinak z klientskeho AP, kterym se pripojuji na net, je to videt uplne stejne (jen MAC adresa). Takze ESSID je opravdu skryto ;)

Domaci AP je Ovislink WL-5420AP, klientsky adapter je Alfa AWAP 201+ (doporucuji).

Jinak doma pouzivam MAC filtr, skryte ESSID, WPA a uvazuji o Radius serveru (ja vim, jsem trosku paranoidni

Souhlasím  |  Nesouhlasím  |  Odpovědět
-lefti-  |  12. 11. 2004 13:15  | 

To me prijde spis jako zdravej rozum nez paranoia pouzit radius, jinak snad ani wifi zabezpecit nejde, jeste WPA je trosku pouzitelny no.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Noname, Noname  |  12. 11. 2004 22:31  | 

pro tvojí informaci, ochcat ivisible režim jde jedna dvě. To znamená jen že AP nevysílá beacon se svým SSID, ovšem stačí poslat zprávu, že se chceš připojit a každé AP musí odpovědět (existují softíky).
filtr MAC adres je samozřejmě také hračka,
šifrování je otázka času, při nejjednodušším způsobu jde o o maximálně jednotky hodin (je nesmysl to co tu někdo píše o tom jak to narůstá s délkou šifry - zde se odchytává IV a ten je vždy stejně dlouhý, pak se jen o pár sekund liší vlastní luštění). Existují ale i lepší způsoby, kdy lze posílat na AP mraky falešných mikro paketů s podvrženým obsahem, AP odpoví (se správnou šifrou), že paket je nesprávný a velmi výrazně tak zajistíte, aby sítí protekl dostatečný počet IV (max. jednotky desítek minut, často i pět minut).
Radius server se většinou nabourává MITM útokem.
Hlavně jak to tak chápu, tak třeba nemáte nastavený packet forwarding resp. intra-cell blocking, takže kdokoliv může odchytávat pakety uživatelů na bezdrátové síti, protože všechna pravidla se uplatňují až na přechodu bezdrát/ethernet.
Prostě udělat hodně zabezpečenou síť je trochu složitější.
Já to řeším obráceně - mám AP přidělané venku ze sítě, nemám jej ani nijak výrazně zabezpečné (loguji přístupy, nicméně dokud není problém s konektivitou, tak je mi to jedno, ať si je tam kdo chce, nepotřebuji tak speciální SW na klientech), přístup dovnitř sítě je klasický šifrovaný tunel. A pak ještě pár speciálností, to je na dýl

Souhlasím  |  Nesouhlasím  |  Odpovědět
zajdee  |  13. 11. 2004 14:33  | 

ovsem, ale tim, ze AP neni videt v netstumbleru, odfiltruji 90% lidi, filtrem MAC (je povolena jedna adresa) dalsich 9% lidi (jak tu adresu zjisti, kdyz kartu mam jen ja a nikomu ji nepujcuji? , sifrovani je prolomitelne, ale u WPA to neni tak jednoduche, jako u WEPu, tim odfiltruji dalsich 0,9% otravu, coz je dohromady 99,9% lidi a to jedno promile je tak male cislo, ze me to az tolik netrapi... ale ja vim, nejjistejsi ochrana pred utokem je vytahnout z PC vsechny kabely, vcetne tech napajecich .-)

jinak k tomu blokovani provozu mezi klienty, napr ten muj zmineny Ovislink to nepodporuje, v tomhle pripade bych to zrejme aktivoval, ale v pripade wifi site, kterou pouzivame na pripojeni k internetu, je to problematicke, protoze si klienti obcas chteji zahrat, atp., takze se na sva pc potrebuji dostat... takze blokovani je jen jejich omezeni.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jarda  |  14. 11. 2004 10:43  | 

Zdravim,
bylo by mozne dat odkazy na nejake stranky zabyvajici se timto druhem hackingu, pripadne programky, co umoznuji nabouravani do site, snifovani, lusteni MAC adres a IP apod?
Rad bych zkusil zabezpeceni sve site a rad bych se o tom vice dozvedel, jak zabezpecit pripadne sit.
Kdyztak mi ty odkazy muzete poslat na muj mail: mixaj@mymail.cz 
Diky.

Souhlasím  |  Nesouhlasím  |  Odpovědět
touchwood, touchwood  |  12. 11. 2004 08:15  | 

RC4 není snadno prolomitelné šifrování, prolomitelné je pouze na WEPu, neboť jeho design umožňuje díky často se opakujícímu inicializačnímu vektoru (IV jenž má hodnoty 0-255) "uhodnout" hesla na základě odposlechu cca 5-10 milionů paketů.
 
Když už napíšete jinak vcelku fundovaný článek (jichž na živě není až tak mnoho), tak takováhle "minela" kdy pomícháte hrušky a jabka docela zamrzí...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Miko  |  12. 11. 2004 08:36  | 

http://shop.computershop.cz/StoreCSVS1/ProductDetails.aspx?productID=8480
nemá WPA, ale má nějakou omáčku okolo ohledně kryptování, zajímá mě jak ovlivní provoz, bezpečnost, potažmo kompaktibilitu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Rosťa  |  12. 11. 2004 18:51  | 

Dobrý den, neznám problematiku téměř vůbec. Zeptám se vás na dvě věci:

zda je řešením zařazení zařízení SMC7004VBR V2 mezi AP (Ovislink WL-1120AP) a mé dva PC s W98, kde už by asi firewaly "nedýchaly". Zařízení stálo cca 1400 Kč - toto mám doma.
Ta opatření, která uvádíte potřebují (alespoň tak to tuším) odpovídajcí nastavení poskytovatele. Ten se však k jakémukoli zabezpečení staví v podstatě pohrdavě. Říká, že žijeme na vesnici, kde se známe.
Příklad jejich zapojení. Na výše uvedené AP se dvěma huby jsou připojeny samostatně dva PC  (XP) a sdílí tiskárnu a některé složky. Původně tam byl (při komutovaném přiojení) server 602LanSuite, resp je tam i te´d, ale nevím proč. Nyní je každý PC (XP) chráněn jejich vestavěným FW. Toto je stav na obecním úřadě. Co mi doporučíte? Mám se tam o to starat - dosud jsem tak činil, dokud mi to hoši poskytovatelé nerozhodili, neboť oni jsou odborníci. Nyní nemám moc chuti, připadám si při svém oponování, jako bych byl paranoik. Děkuji.
Rostislav.Riha@amt est-tm.com

Souhlasím  |  Nesouhlasím  |  Odpovědět
d  |  25. 01. 2005 10:36  | 

ty kabely odpojit i sitovy

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky