Re: Asus WL520G - nejlepší nastavení

Fighter | 16. 8. 2006 15:30:45 | Odpovědí: 1

WPA je pro použití s RADIUS serverem (zabezpečení 802.1X). WPA-PSK (WiFi protected access - PreShared Key) je pro použití bez RADIUS serveru.
WPA je standard, který zahrnuje WEP + TKIP a umí i broadcast key rotation.
TKIP ... temporary key integrity protocol. Obsahuje PPK (per packet keying) a MIC (message integrity check)
PPK ... každý packet je šifrován jiným WEP klíčem. Ten je odvozen od WEP klíče a IV. Pokud dojde k vyčerpání unikátních IV (16,7 milionů kombinací), jsou opět použity stejné WEP packet klíče. Proto se do této doby musí změnit základní WEP klíč pomocí 802.1X (WPA si základní klíč mění také každých 10 000 paketů)
MIC ... kontroluje, zda packety dorazily ve správném pořadí a pokud ne, pak je zahazuje

Broadcast key rotation ... rotace brodcastového key klíče je zde dosazen proto, že TKIP může ochraňovat pouze unicast klíče. Proto je možné zaútočit odposlechnutím broadcastových packetů a využitím těchto WEP klíčů k útokům pomocí broadcastu. (Je možné, že tuto techniku používají pouze zařízení Cisco, proto ji dále nebudu popisovat)

Teď k nastavení WPA-PSK (WPA2-PSK jsem ještě nezkoušel, ale stačí použít místo TKIP AES+CCMP)
Na AP:
Nastavit šifrování TKIP
Nastavit Broadcast key rotation - pokud to AP umí
Nastavit otevřenou authentifikaci
Nastavit PSK

Na Clientovi:
Nastavit WPA-PSK
Nastavit šifru TKIP
Nastavit PSK

Co se týče Intel PROSet/Wireless, pak nové verze zvládají více druhů zabezpečení než většina ostatních karet, jelikož spolupracuje s Cisco. Z tohoto důvodu umožňuje i spoustu druhů authentifikace pomocí EAP, které jiné karty neumí. Používám Integrovanou kartu 2100 802.11B, mám možnost používat také 2200BG 802.11G. Každopádně je nutné udržovat tyto ovladače a software aktualizované (legální windows se většinou stará o aktualizace sám, proto tam už máte možnost WPA) nejen kvůli novým možnostem zabezpečení, ale také kvůli bezpečnostním dírám (byla objevena velká bezpečnostní díra pro všechny WiFi karty - nejen pro Intel).
K nastavení Intel PROSet/Wireless na WPA-PSK:
Na první záložce je třeba zrušit zaškrtnutí "Enable Cisco compatibility extension" (myslím, že to bylo třeba zaškrtnout jen pokud jsem měl skryté SSID nebo filtrování MAC adres)
Na další záložce je třeba nastavit Network Authentification: WPA-Personal, Data Encryption: TKIP a Pass Phrase:

Toť vše!!!

Jméno:

E-mail (nepovinné, adresa bude v zabezpečené podobě zobrazena u přezdívky):

Odeslat

Pravidla diskuzí v Poradně webu Živě.cz

Zasláním příspěvku do Poradny souhlasíte s těmito pravidly:

Podmínky užívání služby informační společnosti
Informace o zpracování osobních údajů
Příspěvky se musí týkat tématu otázky.
Příspěvky nesmí obsahovat vulgární výrazy a slovní útoky na jiné osoby. Příspěvky nesmí poškozovat web Živě.cz ani jeho provozovatele.
Je zakázáno vkládat do příspěvků odkazy na stránky nabízející obsah porušující autorská a jiná práva.
Příspěvky nelze využívat k propagaci.
Příspěvky, které porušují pravidla diskuzí, budou odstraněny. Případně budou upraveny tak, aby neporušovaly pravidla diskuzí. V textu bude následně uvedeno, že příspěvky byly ze strany moderátorů upraveny.
Právo moderovat Poradnu mají pouze zástupci vybraní redakcí Živě.cz. Základní kontrola příspěvku probíhá ještě před jeho zveřejněním.
Živě.cz je soukromý web a provozovatel má při řešení sporů, které se týkají příspěvků v Poradně, vždy konečné slovo.

Kdy vám můžeme smazat příspěvek?

Když budete vulgární.
Když budete slovně útočit na ostatní.
Když se nebudete držet tématu dotazu.
Když budete poradnu zneužívat pro reklamu.
Když záměrně zneužijete cizí přezdívku.
Když budete porušovat zákony.
A když budete na takové příspěvky reagovat, protože se vždy mažou včetně odpovědí ve stromu.