Bezpečnost Wi-Fi sítí v Praze je zatím tragická

-- LOL, ale 56% nezabezpečených sítí, to jsem fakt nečekal
Jo, autor by mohl opravit překlep: "Není žádný důvod si myslel"

Ja som teda osobne cakal ovela viac nezabezpecenych sieti. Toto je dost prijemne prekvapenie.

K bezpecnosti, preco sa vsetci otierate o nebezpecnost WPA (pod tym asi vsetci myslite WPA-PSK), ktore je dostatocne bezpece pre bezne pouzitie. Samozrejme ak si myslite ze vam potom staci 5 pismenovy passphrase tak sa mylite, ale pokial viem tak WPA sa neda rozbit inac ako slovnikovym utokom.

A cloveku co nizsie radi nasadit VPN na lepsiu bezpecnost. HAHA, mozem sa len pousmiat. Hlavne ked RADIUS splna vsetky jeho poziadavky. Ak je niekto taky paraniodny na neveri TKIP, tak nie je problem zapnut CCMP, ktory sa podla mna v pohode vyrovna PPTP aj L2TP/IPSec. Navyse setup VPN tunelu je zalostne pomaly, tak aj mate ak len trochu horsiu kvalitu WiFi spojenia tak je QoS uplne v srackach.

bezpecnost soucasnych wi-fi siti OBECNE je tragicka. a "sifrovat" (WEP a WPA v soucasne podobe jsou k nicemu) si pritom muzete, jak chcete. viz. napr. nedavna velice pekna prednaska na Java foru http://cz.sun.com/javaforum/sekce3.html
ponauceni? nepouzivejte wi-fi nebo sifrujte veskery prenos..pokud vam ovsem o neco jde.

5,63% Z-Com znamená 5,63% pro linux nebo jiné unixy...

Ale prosímtě.
Není jen Zcom 626 :)
Zcom dělá i AP :)) Víš :)) ?

a ze jsem tak smely, smim se zeptat, co asi tak bezi v APcku jako firmware? nevim o tom, ze by treba apple delal nejaky AP OS, ani jsem nevidel windows .11 edition. na apckcach se AFAIK pouziva nejaka mini distro linuxu. takze 100%

.. alebo skor nejaka odnoz BSD, co skor kvoli lepsej bussines-friendly licencii

Kdepak, pouziva se hlavne Linux 2.4.* a na GPL se jednoduse haze bobek. To ze se vyrobce dostane do gpl-violators.org je firmam opravnene vcelku jedno.

Firmware a s linuxem to nemá nic společného.
Věř mi, protože pár těch Zcomů jsem měl v ruce.
A linux v tom rozhodně nebyl.

Na světě není jen Linux.
V pračce taky není Windows XP.
Ani Linux.

Prostě tam je nějaký zákaznický firmware.
Tak tu neplaš malý děti.

Troufam si odhadovat, ze naprosta vetsina tech ZComu jsou sitove karty XI-626 v nejakem PC s Linuxem a s ovladacem "hostap". vicemene je to dnes "standard" pro AP, postavene na bazi PC. Hardwarovych AP od ZComu se u nas pouziva minimum. Dale bych si troufal odhadovat, ze i v AP jinych vyrobcu bezi velmi casto Linux - takove AP jsou bezne na trhu, spousta lameru je ma doma a ani o tom nevi.
Jinak se vysledkum nedivim . Lide dnes zachazeji s vecmi, o nichz nemaji ani tuseni jak funguji a podle toho pak zabezpeceni vypada.

tak tak svata prauda.Taky mam XI-626.Ve spojeni s hostap Je to velice spolehlive,prakticke a levne reseni

Přesně tak jsem to myslel.

Kdyz spoctes kolik elektriky sezere pcdlo a kolik hw apcko, tak to moc levne reseni neni.

Zalezi na tom, jake mate potreby.
To PC totiz zpravidla jeste plni funkci postovniho serveru, WWW serveru, DNS serveru, PROXY, stavoveho firewallu, VPN brany a nekdy (vetsinou u lidi z CZFreenetu) i dynamickeho OSPF ci dokonce i BGP routeru(coz jednoduche AP vetsinou nezvladaji).
Samozrejme, pokud nekdo doma potrebuje pripojit 2 PC do Internetu pres nejaky NAT a jine potreby nema, je lepsi jednoduche AP.

A Apple ma 4,14%, ty vole brutalne trhove podiely

Ono je to taky mozna tim ze lidi proste nepotrebuji pouzivat MAC a sifrovani protoze zabezpeceni je az na jiny urovni ..

Jojo VPN je nutná.
- kontrola neplatičů
- bezpečnost
- správa

Ale je fakt že zapínáme i WPA nebo alespoň děravoučký WEP.
Vypínáme SSID a MAC access taky zapínáme.

Ovšem u sítí jako je CZfree asi nemůžou jet přes MAC access protože ta správa by byla šílená.

Kde najdu jaké který výrobce používá MAC adresy?
Asi to není špatný nápad je měnit tak, aby se nedalo identifikovat zařízení :)

Dík za odkaz :)

napriklad program netinfo to ma v sobe

No to by me taky zajimalo kde se daji MAC ADRESY najit a jak je menit!Poradte nekdo please

Jo moc dik za radu ale muzem mi napsat kde ty mac sdres najdu,nejsem moc zbehlej v pc.Dik

Ještě by sem mohli hodit odkaz na vyjádření firemního právníka E&Y, nakolik je tento výzkum legální a jaká právní rizika jsou s ním spojena. Dokonce by mě to zajímalo víc, než celý průzkum (který nebyl ničím jiným, než jedním z mnoha podobných průzkumů potvrzující to, co aspoň lidi pohybující se v oboru ví).

Vzhledem k tomu, že se jednalo o pasivní výzkum, tedy v podstatě srovnatelný s laděním rádia, tak nechápu, jaká právní rizika máte na mysli? Jiná věc by byla, pokud by se v rámci výzkumu provádělo i připojování či dokonce průnik do cizích sítí, což se samozřejmě nedělo.

http://pes.eunet.cz/clanky/2005/10/46430_0_0_0.html

no a k čemu takový pasivní výzkum je? Soudit zabezpečení jen podle přítomnosti či nepřítomnosti šifry je dost neúplné. ABych se v dané síti někam dostal, musím dostat IP adresu (nebo si ji upirátit a tím riskovat že budu odhalen na duplicitě anebo že mne bonzne první switch co bude mít nastanevou kontrolu IP/MAC.) A pak ještě mne musí pustit firewall ke kterému se musím přihlásit.  To se při pasivním sledování zjistit nedá.

56% nezabezpečených sítí!!!! tak to je jeste dobry u nas ve meste je asi 6 poskytovatelu a zabezpecene to ma jen jeden. Osobne mi to nevadi mam Z-COM XI-626 a alespon mam net zadarmo a neomezeny. Jo a ten jeden co to ma zabezpecene ma stejne jen WEP takze WIFI rulez!!!

Pokud mate Z-COM XI-626 tak.....

.......Zkuste Commview for wifi.Je to super program na zjisteni vsech duležitych udaju.Nastaví kartu do RFMON modu (passive neboli monitor mód). Umožnuje tedy passivně čmuchat všechny okolní signály, ideální pro lámání WEP, detekci skrytých AP (hidden BSSID). Prostě takový servisní driver, který se hodí. Umožnuje defacto to samé co HostAP driver v monitor modu v Linuxu. Jediný " problém " je ten, že když se použije tento driver, tak s kartou nejde nic jiného dělat.Ten "specialni" driver na monitor mod pro prism chipset si muzete naprosto bez problemu stahnout i s programem na kompletni pasivni monitorovani Wifi tady http://www.tamos.com

ze vzduchu vytahne IPcka, MAC adresy, i cislo bot. WEP to necrackuje-na to jsou jine programy.

Pak staci ze zjistenych udaju nastavit wifi ve windows na lamani wep je dobry tohle...http://wepattack.sourceforge.net/

Napadlo nekoho, ze vetsina "verejnych" siti jako je CZFree je nezabezpecena umyslne? Proc mam sifrovat verejny hotspot, kdyz je tu od toho aby se kdokoliv mohl propojit???

však jo mas pravdu.Ale u nas to nemaji zabezpeceni ani poskytovatele internetu pro ktere je to vlastne obziva.Maji tam jen MAC filtr a v dnešní dobe si MAC adresu dokaže změnit i 10lety dítě je to celkem na hovno

Taky si myslim, osobne mam taky nezabezpecene AP, nevidim duvod.

Jsem na tom stejne.

je tragická ve všech aspektech. Máme to v práci a tam je to pomalý, nespolehlivý, 100 let než vám to přidělí IP adresu a deklaruje to nějakou ujetou teoretickou rychlost typu 34 MBps, ve skutečnosti to jede tak 0.5 MBps a to ještě ne vždy. To samé když jsme to chtěli doma, signál tak naprd, že to bylo nepoužitelné. Přihlásit s noťasem kdekoli kde deklarovali že je volná veřejná síť se mi nepodařilo. Jen tak dál.

0,5MBps = 4Mbit/s je na wifi pro koncoveho uzivatele velmi vysoka rychlost, to zavidím, kdo ji má.

nevim kde jsi se docetl o 34Mbps (mozna nejakej wifi-mutant), a pokud vam to nejede, tak to mate rozesrany, pro B site je max rychlost do 0.7MB/s , pro G site je az 2.4MB/s . Provozuji wifi sit zatim pro 30pc a vsechno jede abs. bez jedineho problemu 24/7 . Na teoretickou rychlost zapomente, to je rychlost, jakou mezi sebou komunikuji wifiny, ale realny prenos dat je nekde jinde.

Takže jedna otázka. Když mám skryté SSID a mám nastavené MAC adresy, které se jako jedinné smějí připojit k routeru, je ještě nutné používat šifrování?

Jiste, protoze ten skryty ESSID zase neni tak uplne skryty a MAC si dokaze zmenit i dite materskou skolkou povinne.

samozřejmě. Nechtěl bych byt vašim klientem Do vasi site bych se naboural za 1hodin a to nejsem zadny expert a mel bych pristup ke vsem heslum (ftp,http,telnet,icq,pop3).

Zase jeden rozumbrada. Nejsem žádná firma. Mám takto propojený doma pro děti, které na tom hrajou hry. A když nevím, jako že jsem nevěděl, tak se raději zeptám.

OK.To jsi ale nenapsal.V tom pripade jestli to mas pro deti a mas skryte SSID a filtrovani pomoci MAC tak te moc chvalim.To se totiž jen tak nevidi

ono i kdyz to ma takto zabezpecene firma co poskytuje internet tak to neni problem. Jednak dany "hacker" musi zjistit MAC adresu, kterou ma pouzit. Coz neni uplne trivialni. Ale ani tezke. No a pak taky musi spolehat na to , ze dany provider je imbecil a nepozna, ze ma dve stejne MAC adresy v jedne siti. Pak uz providerovi staci zamerit smerovkou. Nacez ma dve volby, bud monitoruje provoz a az "skoda" prekroci udanou hranici pro trestny cin, preda policii i s podklady. Nebo rovnou k "hackerovi" posle nekoho s fakturou. To obvykle zabira nejlip :o)

Nevim jestli ma provider sanci sledovat MAC adresy lidi v sitich.Myslim ze moc ne.Jestli si myslis ze providerovi stacit zamerit smerovkou a najde hackera tak to se opravdu mylis.A o jaky tresny cin se podle tebe jedna to by me fakt zajimalo a myslim ze policie by to ani neumela resit

a pokud ten hacker co pulroku zmeni poskytovatele a kazdy tyden si zmeni MAC adresu (otazka 30sekund) je provider bezmocny navic zamerit nekoho smerovkou neni tak lechke jak si myslite.Policie je vetšinou bezmocna protoze povoleni k domovni prohlidce vetsinou nedostane bez povereni nejake statniho organu a bez domovni prohlidky policie nema vetsinou sanci.Takze tu spis jen mlzis.Nejlepsi je sifrovat to Hackery odradi znam to z vlastni zkusenosti.Prave ze Poskytovatele by meli mit nejakou odpovednost zato ze si nedokazi zabezpecit sit.Protoze pak neni problem se dostat k vasemu firemni mailu. Takze sifrovat,sifrovat,sifrovat !!!

Cau, nejsem zadnej odbornik na site ale nutnost me prinutila domu poridit wifi router od Asus WL-500g. Kdyz uz se tady mluvi o zapezpeceni, staci v jeho nastaveni nahodit pouziti WEP klice? Nebo se da zabezpecit i nejak vic? A nevite nahodou kde by se dalo najit nejaky info ohledne firewallu v tomhle routeru? Manual je zalostne strucnej :) Dik za rady

http://wl500g.info/, firewall jsou tam normalne iptables, ale bez modernejsich vecicek jako je treba ipp2p a htb mi tak taky blblo, pro cokoliv pokrocilejsiho doporucuju OpenWRT: http://openwrt.org/

Mam doma router ap, mam zaplej 128 Bit WEP, na DHCP mam nastavenej rozsah pridelovani ip jen takovej aby to bylo akorat na pocet pripojenejch pc, ke kazdymu pc je prirazena jedna ip ktera se dava podle MAC adresy. Je to dostatecne zabespeceni?

O Wi-Fi moc nevim, ale chci si tohle připojení pořídit. Řekněte mi, v čem je nebezpečí nešifrovanýho přenosu po Wi-Fi. Přece každej program, kde trochu záleží na bezpečnosti, si vytvoří vlastní šifrovanej kanál, třeba pomocí SSL3 a přes ten komunikuje. Vždyť klasická linka se dá odposlouchávat úplně stejně. Neni tohle trochu paranoia?

Uplne s tebou souhlasim, wep klice se daji nabourat odposlouchanim komunikace po par hodinach (zalezi na poctu odchycenych paketu).
jedine SSL (a na stejnem principu podobne) jsou bezpecne metody.

OK, ale na klasický Ethernet sa ti pripojí len ten kto si zapne kábel do tvojho routera. Na nezabezpečenú WiFi sieť sa ti pripojí každý. Mám doma AP a nechcel by som, aby mi po domácej LANke behal sused. Ak by som si aj filtroval MAC adresy, tak pri nešifrovanom prenose si ich každý vie prečítať a pripojiť sa so zmenenou MAC.

aspon vam vypovidaci hodnota z nula nul nic stoupne na uplne o nicem.
Modra Lavicka - roh Opletalova a Ruzova ma free hotspot (primarne pro zakazniky restaurace - ale pochopitelne to sviti kousek do ulice). Ta je nezabezpecena zamerne.

no teda nevím,ale když mám wifinou připojený 2 pc dětí v podkroví baráku,přes net nelezu do banky a v pc mám tak leda fotka mýho auta ,tchýně a učení do školy,můžete mi někdo říct,co by u mě kdo našel???? Mejly? ať si je přečte

Pokud ti nevadí, že přes tvoje připojení = za tvoje peníze bude někdo jiný stahovat data z internetu... A třeba že ti tvůj počítač shodí,.. tak proč šifrovat. Ta šifra tam není pro utajení přenášených dat, ale proti "únosu spojení".
Mimochodem: pro prolomení WEPu stačí nasbírat asi 0,5GB dat + 5 sekund na lousknutí klíče. WPA je na tom líp, hlavně verze 2. ZATÍM.
TM

Wep jsem zkusil jednou, kdyz jsem videl to zpomaleni a zatizeni cpu, tak jsem to zase vypnul. A za dva roky jsem zazil jenom jednu lamu co to zkousela. Za to celkem uspesne, ale nakonec jsme ho nasli a vysvetlili mu to :).