[OT] zabezpeceni wifi

Martin Patka hwmp@semily.net
Pátek Leden 26 01:12:19 CET 2007 

Zdravim,

> Nedávno jsem si přečetl pár článků na téma "bezpečnost wifi sítí",
vyplynulo z nich, že šifrování WEP je natolik slabé, že je prakticky k
ničemu. Týká se to vlastně všech starších zařízení s max. rychlostí 11Mbit.

Prolomeni WEP je na AP, kde je trosku vetsi provoz, zalezitosti nekolika
desitek minut. Ale prolomit se da i WPA, jen to trva trosku dele. 

> Doma jsem si za ADSL router pověsil APčko, abych nemusel k notebooku tahat
kabel. Nastavil jsem WEP, blokování na MAC adresu, zakázal "SSID broadcast"
(což je k ničemu, Netstumbler si ho stejně našel). DHCP mám povolené (v tom
ADSL routeru, notebook z něj dostane přidělenou IP adresu). Asi jsem udělal
maximum. WPA to APčko neumí, ani karta v notebooku (obojí jen 11Mbit).

To zamykani na MAC adresy je dobra vec, proti vetsine beznych uzivatelu,
kteri si amatersky zkouseji menit IP adresy to plati. Ale ten, kdo dokaze
prolomit WEP/WPA, tak si z odposlechnutych paketu dokaze "vyseparovat" i
potrebne IP-MAC pary. 

> Jak řeší zabezpečení wifi místní odborníci? Nedávno jsem se projel po
městě s notebookem se zapnutým Netstumblerem a spousta lidí má doma třeba
ADSL router s wifi, v něm zapnuté default SSID, šifrování vypnuté. Nejspíš
maj i default login do nastavení routeru.

Ono s tim WEP/WPA je u vetsich siti problem - pokud si zakaznici kupuji pro
pripojeni sva koncova zarizeni a nedaji na doporuceni, tak na 100% minimalne
jedno z tech zarizeni si nebude rozumet z WEP na AP (a nektera zarizeni si z
AP nerozumi ani v pripade, ze ma "jen" skryte SSID....). Takze to nakonec
skoro vzdy opravdu skonci na viditelnem SSID a bez WEPu....


Ve Vasem pripade je snad jedina sance - umi to Vase zarizeni PPPoE?  Pokud
ano, tak je mozne do PC pouzit treba http://www.raspppoe.com/ (teda pokud se
jedna o WIN) a prihlasovat se jmenem/heslem (jako kdysi u  modemu :-)).
Vyzkouseno to mame proti AP Mikrotik a chodi to pekne. IP-Adresa se
prideluje pokazde jina, a priroutuje se az v okamziku zadani jmena/hesla, a
pokud se pro authentizaci jeste pouzije CHAP, tak uz to snad ani nejde
nabourat....

Zatim nashle


-- -------------------------------------------------------------------
Martin Patka                      network & server administrator
----------------------------------------------------------------------
Mikroservis v.o.s.                e-mail:     smartin@mikroservis.cz
Nerudova 45                       phone work: +420 481624301
51301, Semily 1
http://www.mikroservis.cz
-- -------------------------------------------------------------------

Další informace o konferenci Hw-list