WiFi-s kalandjaim

Pár napja feltűnt, hogy változó a netem sebessége, főként a délutáni órákban. Azt hittem, hogy csak karbantartás van a szolgáltatónál (volt már olyan, hogy ideiglenesen visszatettek NAT-ra), de azért a biztonság kedvéért megnéztem a routert is. Nem hittem a szememnek: rajtam kívül még egy valaki használta a wifimet, ami azért is volt érdekes, mert a csatlakozást mac címhez kötöttem. Valaki jól felnyomta az egész routert, és a WPA2 kulcsot is. Na, gondoltam, annyi baj legyen, pwgen elő, jelszó generál (olyan 50 karakter körüli), látszatra minden megjavult. Ma reggel aztán jött a nagy meglepi: sztori ugyanaz, lassú net, stb., router néz, mit látok: rajtam kívül (én ekkor még a nagy gépről voltam, vezetéken lógva), 3 (!!!) WLAN eszköz lóg! MAC címekre rákattintva 1 Asus, 1 MSI,és 1 Cisco. Aztán MSI eltűnt, és 1 Asus, 2 Cisco lett az eredmény... :-(

Hamar írtam is muczynak, hogy wtf ilyenkor, s hamar ki is derült: Tomato-ban valószínűleg nem működik a WLAN MAC filter, és úgy tűnik, már a WPA/WPA2 felnyomása sem lehetetlen... :( Ajánlotta a DD-WRT Standard firmware-t, most az működik a routerben.

Ami viszont érdekes: DD-WRT-ben van olyan, hogy WPA2 Personal és WPA2 Personal Mixed. Ha a nem mixedet állítom be, és úgy próbálok csatlakozni, kernel panic. Mixed esetén a csatlakozás sikeres...

Gyanítom, hogy a Mixed az inkább sima WPA használatot jelent, amennyiben a WPA2 nem jönne össze. De akkor most mit tegyek?

( petya | 2009. 11. 19., cs – 15:45 )

A MAC filtering wifi halozatoknal hamis biztonsagerzetet ad, mert a wifi nem CSMA/CD, hanem CSMA/CA, igy nem baj, ha mar egy halozaton fent levo mac addresst hasznal, nem lesz utkozes. Tehat barmikor sniffeli a te mac addressed, es beallitja maganak, akkor tudja hasznalni a halozatodat.

Nem mindegyik router admin-felülete érhető el wireless segítségével. Bár én is leginkább erre gyanakszom.
Ui.: Az egy dolog, hogy hány karakteres, de meg lett-e változtatva a gyári alapértelmezettről? Gondolom ilyen alapértelmezett van a Tomatoban is.

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

( nevergone v | 2009. 11. 19., cs – 16:03 )

WPA2-TKIP feltörhető, igaz idő kell ahhoz is. WPA2-AES elég biztonságot ad egy kellően hosszú és összetett kulcsnál, én mellé 30 másodpercenkénti kulcscserét (Group Key Update Period) és rejtett SSID-t állítottam be.
Érdemes még a router admin felhasználónevét és jelszavát megváltoztatni az alapértelmezettről.

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

Nekem is TP-Linkem van, nemrég vettem, határ fos, x-edik hw revízió és legfrisebb fw mellett 1-2 naponta elejti a netkapcsolatot, ki kell húzni áramból és visszarakni, és rögtön visszajön. De legalább villamgyorsan bootol és dhcp-zik (kábelnet). Maga a netkapcsolat rendkívül megbízható, a modem meg egy Cisco cucc. Most beraktam az egész elé egy APC szünetmentest, hátha attól jobban érzi magát, hát nem. Megy vissza a boltba, aztán maximum embert ölök. :)

********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu

( elhasznalo | 2009. 11. 19., cs – 19:50 )

"Tomatoban nem müködik"

verzió?
bugreport?
más munkáját fikázni jó buli-e?
hobbilinuxosokat ezért rühellem.
____________________________
Az ellentetes velemenyek soha nem zavartak. Ami zavar az a tudatos rombolas es az onkontroll hianya.

Meg bizony a sok böfögéstől.
Nem müködik valami difolt lecseréljük másik nemmüködőre.
Közben harsogunk ,nagyvárosi legendákat generálunk.
ez egy beágyazott linuxot tartalmazo eszköz.
(kb ha linux=stabilitás,teljesitmény akkor az a Tomato fw.)
Ez a naponta másik linuxot fanatizalok mert minden szar speciel engem meg zavar,oszt jónapot.
____________________________
Az ellentetes velemenyek soha nem zavartak. Ami zavar az a tudatos rombolas es az onkontroll hianya.

Na, gulag álljál lefele!

Ad1: Amikor megvettem a routert, egyből első dolgom volt, hogy root pass-t megváltoztattam 9 karakeresre. Ámbár szinte azonnal leszűrtem, hogy a gyári Linksys fw elég hiányos, konkrétan még statikus DHCP-t sem tud... Ezért nézelődtem másik után, így itt a HUP-on olvastam a Tomatoról. 1.22-től 1.25-ig volt rajta, semmi blogban írt problémát nem tapasztaltam. Aztán, hogy mi lelte, magam sem tudom, de azt igen, hogy a WPA2 jelszó sem volt "ezajelszo" szintű...

Ad2: Nem fikáztam sosem a Linuxot! Maximum 1-1 disztribúciót. :-) Ez a szólás szabadsága, nem?

Ad3: A Tomato firmware-t sem fikáztam, csak megjegyeztem, hogy nem működik a MAC szűrés a wlan hálózatokon. Ha ez fikázás, akkor mea culpa... :S

Egyébként tisztában vagyok vele, hogy ha GPL, ha nem, 1 oprendszer, nincs rá garancia, hogy flottul működik...

Amúgymeg: nem mindegy az neked, hogy ki mi okból használ Linuxot?

--
Charlos

-- http://www.uvegcsont.hu -- / -- http://ganyikaroly.net --
Jól csak a szívével lát az ember. Ami igazán érdekes, az a szemnek láthatatlan. - by A Kisherceg

Egy gonddal kevesebb. :-)

Egyébként nem hiszem, hogy eddig is pisztollyal a halántékodon kényszerítettek a blogom olvasására. :-)))

--
Charlos

-- http://www.uvegcsont.hu -- / -- http://ganyikaroly.net --
Jól csak a szívével lát az ember. Ami igazán érdekes, az a szemnek láthatatlan. - by A Kisherceg

( asd | 2009. 11. 20., p – 10:10 )

teljesen mindegy, hogy mi a wpa2 meg a router adminjelszava, ha mar ott figyel rajta egy backdoor ami minden nap kikopi ezeket valahova...

uj firmware is kene arra a routerre

"OWRT-be fos a WPA (linuxos kliensek nem tudnak kapcsolodni)"

Nálam OpenWRT WPA1+AES-szel működik. (WPA2-vel azt hiszem, a windowsos laptopnak volt problémája.) Úgy emlékszem, a WPA+TKIP töréses hírnél azt írták, így biztonságos, bár úgy tűnik, semmiben nem lehetünk biztosak.

Nem tartozik szorosan ide, de pl. az előző munkahelyemen a szervizesek nem voltak hajlandóak wpa2-t beállítani a telepített - egyébként jobbára alsó kategóriás - cuccokra, mert tapasztalatuk szerint a gépek random fele nem tudott kapcsolódni különböző okok miatt (egyszerű fail-tól a router fagyásig minden elő tudott jönni állításuk szerint) Nekem csak a saját smc routeremmel volt olyan, hogy röhögve kapcsolódott rá wpa2-vel több wines gép is, az én linuxos laptopom az istennek se tudott, se az asztali gép pci-os wifi kártyával (az egyik intel, a másik rt chip) szintén linux alól. És ezek csak gyári firmware-k, semmi haxolt "megbízhatatlan" open fw.
A jelenlegi vacak dlink meg megy wpa2-n mindennel. Ki érti ezt? :-)

Ha nehogy mar olyan bonyolult legyen. 

config wifi-device  wl0
        option type     broadcom
        option channel  5

        # REMOVE THIS LINE TO ENABLE WIFI:
        # option disabled 1

config wifi-iface
        option device   wl0
        option network  lan
        option mode     ap
        option ssid     myssid
        option encryption psk2
        option key "MyVerySecretKeyWhichIsNotThisOne"

nekem nem voltak gondjaim a csatlakozassal

( msandor v | 2009. 11. 20., p – 16:46 )

csak egy tipp: mivel a wifi hatótávolsága korlátozott, pláne falakon keresztül, ezért elgondolkodnék, hogy van-e olyan szomszédod, akinek van wifis eszköze és tudása a töréshez...

esetleg csökkentsd a teljesítményét az adónak, így csökken a ható távolság is...

--
by Mikul@s