Sziasztok!
Lenne egy elég érdekes kérdésem. A WEP ugye könnyen törhető. A WPA szintén.
Na de akkor milyen biztonsági "eljárást" használjak? WPA-PSK-t?
Nekem jelenleg egy D-Link 714P+ router áll a rendelkezésemre, de az viszont nem támogatja a WPA-PSK2-t.
Mit tudtok ajánlani?
Vegyek egy AP-t vagy egy másik Wireless router-t, ami támogatja a WPA-PSK2-t? Vagy használjak valami nagyon bonyolult kulcsot, amit nyers erővel nagyon sok idő lenne feltörni?
Vagy valamilyen teljesen más titkosítási eljárásban gondolkodjak?
Gábor
- 6295 megtekintés
Hozzászólások
frissits firmware-t
[szerk: wpa2 psk mar jo]
t
- A hozzászóláshoz be kell jelentkezni
Szerintem a wpa-psk jó, persze ehhez még egy 64 karakter hosszú hexadecimális kulcs, plusz ha a lehető legtöbb kiskaput be akarod zárni, akkor MAC szűrés (ami alap ugye), ne legyen DHCP. Jobb routerekben ki lehet kapcsolni, hogy ne reklámozza BSSID-t, ez is egy hasznos dolog.
______
[É.N.]
- A hozzászóláshoz be kell jelentkezni
wpa psk != wpa2 psk
t
- A hozzászóláshoz be kell jelentkezni
Az ssid broadcast kikapcsolassal csak magadat szivatod, association request, reassociation request csomagokban pl. ugyanugy benne lesz az ssid. MAC szures szinten semmit nem er, sniffelek magamnak egy MAC addresst, beallitom, es kesz.
- A hozzászóláshoz be kell jelentkezni
és melyik tart tovább, az hogy egyből beenged, vagy nézned kell magadnak egy mac-et?
______
[É.N.]
- A hozzászóláshoz be kell jelentkezni
wpa-psk esetén nem tök 8? mac szűrés + essid broadcast bekapcsolva teljesen ok :)
- A hozzászóláshoz be kell jelentkezni
ssid broadcast => off
dhcp => off
mac address filtering => on
wpa => on
ez relatíve jó biztonságot szolgáltat. egyébként, ha jól emlékszem, wep feltöréséhez is kb 2 gb adatforgalmat kell lehallgatni.
van még 802.1x vagy mi, de ahhoz kell egy radius szerver is, vagy FIXME ha nem
- A hozzászóláshoz be kell jelentkezni
Ha kevés a forgalom, akkor meg felvesszük és visszajátsszuk
______
[É.N.]
- A hozzászóláshoz be kell jelentkezni
akkor radius-t a népnek :)
- A hozzászóláshoz be kell jelentkezni
wpa-psk esetén is elég 2-500 ezer csomag, ami könnyen összejöhet. wep esetén a töredéke.
- A hozzászóláshoz be kell jelentkezni
oke, hogy a wep torheto, nade a wpa? :)
azzal mi a gond? lemaradtam wifi security teren egy kicsit.
- A hozzászóláshoz be kell jelentkezni
elvileg ugyanaz pepitában, csak kicsivel több idő
bár amit ismerek támadási módot, csak szótári támadásal megy a wpa esetén, wep esetén meg nem csak úgy....
- A hozzászóláshoz be kell jelentkezni
TKIP eléggé megnehezítheti a dolgot
______
[É.N.]
- A hozzászóláshoz be kell jelentkezni
Uhh... Látom, közben itt ment az "észosztás" mindenféle hivatkozások nélkül, hogy mi törhető, mi nem...
WEP -> felejtős. Ahogy mondták, relative gyorsan, kevés adatforgalom lehallgatása után törhető.
WPA-PSK -> gyakorlatilag egy WEP, csak van egy kiindulási kulcs, hogy be tudj jelentkezni, majd meg kell adni a "PSK"-t, és utána rendszeresen cseréli a kulcsot. A ciki csak az, hogy hülyén van megtervezve a protokoll, és rá lehet kényszeríteni az AP-t ártószándékkal megkreált keretek segítségével, hogy visszaálljon a kiindulási kulcshoz, és újrakezdje a kulcsgenerálást. Itt a megtöréséhez nem elég csak hallgatózni, aktívan ártó szándékú csomagot is be kell juttatni a rendszerbe.
WPA, ill. WEP dinamikus kulccsal (meg persze mellé radius authentikáció) -> az AP gyakorlatilag egy WEP-szerű titkosítást (utóbbi esetben wep-et), csinál. A WPA gondoskodik a folyamatos kulccseréről. Minden egyes kliens felé más-más WEP kulcs generálódik a _RADIUS_ szerverben! És itt a kulcs a biztonság felé, hogy kliensenként más-más kulcs van, és az is a radius szerverben generálódik. A 802.1x-es beléptetési folyamat során a supplicant és a radius szerver pedig egy titkosított TLS csatornán beszél meg mindent. Emiatt a radius szerverre mindenképp kell egy cert, a kliensen opcionális. Minden innentől már attól függ, hogy milyen credentialokkal akarod a bejelentkeztetést végezni (pl. kliens certtel, user/pw-vel, ezek kombinációjával,...)
A WPA2 ehhez képest annyiban újítás, hogy ott már nem csak DES alapú titkosítás megy, mint a WEP-nél, hanem lehet AES alapú titkosítást is választani. Ez kevesebb v. nagyjából hasonló számításigény és töredék méretű kulcs mellett, legalább olyan szintű biztonságot nyújt. Pontosabban az AES-t ha jól emléxem az RSA-val (asszimetrikus!) szokták összehasonlítani, és egy kb. 1024 bites rsa-val egy kb. 374 bithosszúság körüli AES ér fel...
Hogy az inicializáló kulcsra visszaállítást mint gyengeséget a WPA2-PSK-ból kiküszöbölték-e, vagy hogyan van benne kiküszöbölve, arról már nincs információm.
De ha valódi biztonságról van szó, akkor *-PSK felejtős, radius szerver alapkövetelmény!
- A hozzászóláshoz be kell jelentkezni
Uhh... Látom, közben itt ment az "észosztás" mindenféle hivatkozások nélkül,
Én nem osztom az észt (nincs mit :-) ), inkább linkelek:
http://www.linuxvilag.hu/node/3002421
http://www.linuxvilag.hu/node/3002472
--
A gazdagság legnagyobb forrása a két füled között van.
- A hozzászóláshoz be kell jelentkezni
Mi a füttyfene az a RADIUS? (tudom, gugli a barátom, de annyira keveset tudok a wlan-ról, hogy a felbukkanó cikkek túl bonyik buta kis agyamnak).
Én eddig úgy tudtam, hogy a WPA-PSK feltörése egy 25 karakter kürüli jelszóval jó sokáig eltart....
- A hozzászóláshoz be kell jelentkezni
A RADIUS nem wlan specifikus. RADIUS már akkor is volt, amikor wlan még nem is létezett.
Remote Authentication Dial In User Service
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ha valakinek szüksége van RADIUS segítségre, és nem akar RFC-ket olvasgatni, akkor hozzám fordulhat nyugodtan!
Sikerült némi tapasztalatot szereznem belőle az utolsó 1.5 évben :-)
- A hozzászóláshoz be kell jelentkezni
Hali!
Nekem szükségem lenne a tapasztalataidra. Éppen egy ilyen összerakásával szenvedek. Megjegyzem, ha tudtam volna, hogy valamilyen helyi anomália miatt ekkora szívással fog járni nálunk a WiFi, hiába volt olcsóbb, bele nem mentem volna...
Már a 3-ik kártyával probálkozunk, az 50 rugós 3Com Officeconnect AP-kkel azonban sehogy nem akar menni normálisan. Ha WPA-PSK-t állítottam be, amíg össze nem rakom a radius-t, kb minden órában 5-10 percre vagy tovább eldobálták az XP-s kliensek a kapcsolatot, és eltartott egy darabig amire újraszinkronizáltak. Nem segített semmi se. Akár fix channel-re állítottam az AP-t, és hozzáigazítottam minden kártyát, akkor is ugyanezt csinálta minden WLAN kártyával. További csatorna keresés ugyanezzel az eredménnyel járt. Ha csak WEP-et állítottam be és MAC filtert, akkor még csak meg se szakadt a net mint WPA-PSK-nál, hanem egész egyszerűen semmilyen hálózati kommunikáció nem ment, noha látszólag minden rendben volt. Most valahogy elműködget, félóránként-óránként le kell menni és manuálisan letiltani/engedélyezni a WiFi kártyát XP alól, hogy újra megtalálja az AP-t. Rohadt idegesítő, de védelem nélkül nem akarom hagyni azért a netet.
Remélem, a Radius megoldaná a problémát. A egyik korábbi hozzászólásban belinkelt Linuxvilág leírás alapján próbálkoztam a freeradius-al én is, de igazság szerint olyan megoldást szeretnék, ahol Samba PDC + freeradius össze lenne kapcsolva valamilyen adatbázisban (pl OpenLDAP vagy MySQL). Google nem addot értékelhető megoldást, vagy legfeljebb külön-külön mindkettőre, és pont az összekapcsolás lenne a lényeg.
Ha nem találok semmilyen más megoldást, akkor csinálok egy OpenVPN gateway-t, minden WiFi-s gépre felteszek egy kliens programot és azon keresztül fogom titkosítani a kommunikációt...
Ha valakinek van erre bármilyen ötlete vagy működő megoldása, megköszönöm.
- A hozzászóláshoz be kell jelentkezni
Ezt persze én is olvastam, csak lassú felfogású vagyok. Ez azt jelenti, hogy be kellene állítani egy szervert, ami felhnév-jelszó párossal még külön extra authentikál, MIUTÁN a WPA-PSK kulcsos beléptetés már megtörtént?
- A hozzászóláshoz be kell jelentkezni