24 Listopada 2024 10:52:31
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· DIR868l OFW asus vs ...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [9]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.225.56.78
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
Opcje polaczenia radiowego
Portal
Witam
Jaki system zabepieczenia najlepiej wybrac:
- WPA2 Personal
czy
-WPA / WPA2 Personal ?

oraz jaka opcje Enskryption wybrac:
-KIP
-AES
TKIP/AES ?

Moja siec to dwa komputery podpiete przez kabel + laptop korzystajacy przez WiFi
DASAN H645B (G-PON) <------->Asus RT-AX86U (FW Asus)
 
suprnowa
moim zdanem najlepiej i naltatwiej WPA2 Personal oraz TKIP.
Sam uzywam i jest ok.Do tego filtr po MAC
 
VrooBell
gwoli trochę dopowiedzenia tego co napisał @suprnova

według http://pl.wikipedia.org/wiki/AES

Cytat

Opublikowana została praca, w której twierdzi się, że AES nie jest w pełni odporny na atak XSL, ale oszacowanie ilości koniecznych obliczeń obarczone jest dużą niepewnością, w związku z tym oceny, na ile skuteczny jest ten atak, są różne.


w opisie TKIP nie widziałem żadnego info o ew. brakach odporności na jakieś ataki.

zatem faktycznie chyba najlepiej sprawuje się TKIP.

ps. próbowałem znaleźć jakąś tabelkę ze 'stopniowaniem' poziomu bezpieczeństwa ale niestety nic mi google nie wypluły :/
Edytowany przez VrooBell dnia 13-03-2007 12:41
 
zdzichu

Cytat


ps. próbowałem znaleźć jakąś tabelkę ze 'stopniowaniem' poziomu bezpieczeństwa ale niestety nic mi google nie wypluły :/


Dołączę się do tematu. Jakiś czas temu miałem podobny problem. Szukałem informacji i nigdzie nie znalazłem kokretnej tabelki z wadami i zaletami. Tak aby kazdy mogl dobrac optymalne szyfrowanie dla siebie. Skonczylo sie na tym ze mam otwarta siec, nawet zabezp. po MAC nie wlaczylem Wink.

Prosba do forumowiczow bieglych w temacie, a w szczegolnosci licze na adminow:
Wspolnymi silami opiszcie co z czym zastosowac, starcza nawet dwa zdania na opcje Smile. Wiadomo ze zwyklych userow beda interesowaly konkrety. Czyli WEP, WPA i WPA2 bez zadnych radiusow i zaawansowanych opcji. Jaka jest postac klucza, jakiej moze/musi byc dlugosci itd. Po prostu z czego korzystac, co ma sens.

Z gory dzieki.

--
pzdr,
zdzichu
Edytowany przez zdzichu dnia 13-03-2007 14:37
 
bigl
Oto moja opinia:

WPA2 Personal oraz TKIP/AES.

Uzasadnienie:
1. Co do wyboru personal albo enterprise to oczywiście standardowo należy wybrać personal (jak ktoś jest zaawansowany na tyle, że wie co to RADIUS i ma go to oczywiście może wybrać Enterprise i skonfigurować go).

2. Co do standardu to na pewno najlepsze jest WPA2. Nie wiem co oznacza opcja WPA/WPA2, ale jeśli oznacza dopuszczanie trybu WPA (starszego i gorszego) to na pewno lepsze jest po prostu samo WPA2.

3. Jeśli chodzi o szyfrowanie to zdecydowanie TKIP/AES. Sam AES jest najlepszym algorytmem szyfrowania a TKIP daje jeszcze dodatkowe bezpieczeństwo bo powoduje automatyczną wymianę klucza używanego do szyfrowania co pewien okres czasu (np. w Tomato standardowo co godzinę).

4. Co do klucza to najlepiej wygenerować na AP klucz losowy (będzie miał maksymalną długość i będzie rzeczywiście trudny do zgadnięcia) i potem rozdystrybuować go bezpiecznie do klientów. Można go nagrać do pliku tekstowego na pendrive/dyskietkę i przejść się po stacjach albo też przy większej ilości lub odległości przekazać inaczej.
Router: Netgear R7000 + FreshTomato (latest)
Wi-Fi: Ubiquiti U6-Lite
NAS: AsRock BeeBox Fanless + Ubuntu 20.04 Server + WD My Book Essential 8TB
Players: Odroid N2+ with Coreelec / Android TV (Nokia Streaming Box 8010)
 
robsonn

Cytat

bigl napisał/a:
Oto moja opinia:

WPA2 Personal oraz TKIP/AES.

Uzasadnienie:
3. Jeśli chodzi o szyfrowanie to zdecydowanie TKIP/AES. Sam AES jest najlepszym algorytmem szyfrowania a TKIP daje jeszcze dodatkowe bezpieczeństwo bo powoduje automatyczną wymianę klucza używanego do szyfrowania co pewien okres czasu (np. w Tomato standardowo co godzinę).


Dodam, że wg standardu TKIP klucz szyfrujący jest zmieniany co 10000 przesłanych pakietów. Jest to czas na tyle krótki, że nawet podczas podsłuchu sieci haker dysponując szybką maszyną nie będzie w stanie złamać klucza stosując choćby najprymitywniejszą metodę brute force.

Btw. Jeśli chodzi o zabezpieczenia to WPA jest również bardzo bezpieczne, a dodatkowo jest bardziej kompatybilne (czasami sprzęt mimo obsługi WPA2 ma z nim problemy) gdyż zostało stworzone w celu załataniu dziur WEPa przy zachowaniu max. kompatybilności.

Na koniec dodam, że korzystając z WPA/WPA2 najsłabszym ogniwem jest jak zwykle człowiek tzn. słabość tych systemów szyfrowania jest głównie jedna, a mianowicie podanie (za przeproszeniem) durnego klucza PSK np. mama, dom, 123 i dzięki temu sami wbjamy sobie gwoździe do trumny. Należy używać kluczy składających się z ciągu pseudolosowo wygenerowanych znaków alfanumeryccznych + znaki typu "<>?,./:"[]{}!@%#$%^&*()" i dopiero wtedy mamy silne zabezpieczenie sieci. Aha klucz nie powinien być krótszy niż 128 bitów (16 znaków).
pzdr
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
 
SlyT

Cytat

robsonn napisał/a:
Należy używać kluczy składających się z ciągu pseudolosowo wygenerowanych znaków alfanumeryccznych + znaki typu "<>?,./:"[]{}!@%#$%^&*()" i dopiero wtedy mamy silne zabezpieczenie sieci. Aha klucz nie powinien być krótszy niż 128 bitów (16 znaków).
pzdr


W tym celu warto wrzucic w google "wpa key generator" i przy pomocy jakiegos generatora online wygenerowac sobie losowy klucz dlugosci 63 znakow.
Linksys E2000 Tomato 1.28 shibby's compilation
Linksys EA6700 FreshTomato
 
Portal

Cytat

SlyT napisał/a:

W tym celu warto wrzucic w google "wpa key generator" i przy pomocy jakiegos generatora online wygenerowac sobie losowy klucz dlugosci 63 znakow.


Toz tomato ma losowanie klucza.
DASAN H645B (G-PON) <------->Asus RT-AX86U (FW Asus)
 
szlovak
bez przesadyzmu. Wystarczy wkleić jakiś dług tekst z czegokolwiek, tak zrobiłem bo nie cjhciało mi się kombinować. Mozliwosć złamania i tak jest znikoma.
 
robsonn

Cytat

szlovak napisał/a:
bez przesadyzmu. Wystarczy wkleić jakiś dług tekst z czegokolwiek, tak zrobiłem bo nie cjhciało mi się kombinować. Mozliwosć złamania i tak jest znikoma.

Nikt tu nie przesadza. Jeśli masz sieć domową, w której nei masz nic oprócz filmów, mp3 i paru dokumentów worda to luzik. Ale są firmy, które muszą w pewnych lokacjach uzywać wifi, a nie wszyscy wiedzą co to VPN Wink posiadając (przesyłając) przy tym ważne dane. A jesli chodzi o poziom doinformowania ludzi uzywających wifi to jest on drastycznie mały. Ze statystyk wynika, że ok 30 % sieci używa domyślnego SSIDa, a co 4 sieć bezprzewodowa na świecie nie jest zabezpieczona w żaden sposób... to daje do myślenia Wink
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
 
szlovak
Ja mówię tylko o haśle. Jak się ma tak długie hasło w WPA2 o długości kilkadziesiąt znaków (63), to co zasadniczo zmienia czy użyje się jakiegoś długiego tekstu czy losowego hasła? Tylko o to mi chodzi

Swego czasu w Cisco AIR-AP340 stosowałem SSID w postaci krzaków, tzn. otwierałem jakiś plik, np. jpg i wycinałem kawałek i dawałem jako ukryte SSID. Hyperwrt thibor nie przyjmuje czegoś takiego. Ale powiedzmy że ktoś snifuje to może się troche ździwić i pomyśleć że program się wywala jak zobaczy takie SSID Grin I lekki problem może z takim SSID mieć.
Edytowany przez szlovak dnia 15-03-2007 08:03
 
zip
Zainteresowanych zachęcam do poczytania:

Cytat

Wstęp

Sposobów zabezpieczeń sieci jest bardzo wiele, ich skuteczność i złożoność zależy w głównej mierze od doświadczenia i pomysłowości administratora. W przypadku sieci WLAN pole do popisu jest odrobinę mniejsze, istnieje bowiem kilka ogólnie znanych i wykorzystywanych metod ochrony (nie oznacza to wcale, że nie ma sieci zabezpieczonych `nietypowo`).

Pierwszą czynnością zwiększająca bezpieczeństwo naszej sieci bezprzewodowej powinno być ustawienie hasła w AP. Jest to krok, którego nie możemy pominąć jeśli myślimy poważnie o ochronie Wi-Fi. Jeżeli mamy taką możliwość postawmy AP za firewallem. Niektóre Punkty Dostępowe posiadają opcję regulacji mocy. Możemy ją zmniejszyć, aby zasięg AP nie wychodził poza pomieszczenie, w którym jest ustawiony - nie ma potrzeby dzielenia się Internetem z sąsiadami.

Poniżej przedstawiam najbardziej znane metody zabezpieczeń sieci Wi-Fi

Wyłączenie rozgłaszania SSID (Service Set IDentifier)
[poziom bezpieczeństwa - zerowy]

Jest to jeden z najmniej skutecznych sposobów zabezpieczeń sieci bezprzewodowej. Osoba chcąca połączyć się z naszą siecią, musi podać jej nazwę. Ukrycie SSID ani odrobinę nie podnosi poziomu bezpieczeństwa, zdobycie ukrytej nazwy sieci to kwestia kilku minut. Wspominam o tym z czystej formalności.

Filtrowanie adresów MAC
[poziom bezpieczeństwa - bardzo niski]

Technika ta polega na ustawieniu w Punkcie Dostępowym listy adresów kart sieciowych, które legalnie mogą korzystać z sieci. Jeżeli adres MAC klienta nie znajduje się na tej liście, nie uzyska on połączenia z siecią. Przy tym rodzaju zabezpieczenia, często stosuje się usługę DHCP, która przydziela konkretne IP danemu adresowi MAC. Jeżeli w swojej sieci planujesz wprowadzić filtrację MAC pomyśl też o innych zabezpieczeniach, gdyż to jest niewystarczające.


WEP (Wired Equivalent Privacy)
[poziom bezpieczeństwa - bardzo niski]

Szyfrowanie połączenia z użyciem klucza WEP jest jednym z najczęsciej stosowanych rodzajów zabezpieczeń i obecnie dostępne jest w każdym AP. Polega ono na ustawieniu hasła, które każdy klient musi podać zanim uzyska dostęp do sieci. Jeżeli zdecydujesz się na stosowanie tego typu zabezpieczenia i twój AP posiada taka opcję, użyj klucza 128 (13-znakowe hasło) zamiast 64 bitowego. Fakt, iż sieć jest zabezpieczona w widoczny sposób (każdy skaner sieci bezprzewodowej to pokaże) odstraszy przynajmniej część osób chcących się do niej dostać. Z pozoru może wydawać się to skuteczną metodą ochrony sieci, jednak WEP podatny jest na różne formy ataków (ze względu na wektor inicjujący (IV) (czytaj więcej w artykule aircrack). Co prawda są to techniki czasochłonne, jednak napewno znajdzie się ktoś kto zechce przełamać to zabezpieczenie. Oprócz tego ta metoda szyfrowania, w pewnym stopniu, obciąża naszą sieć (czytaj więcej w artykule Test wydajności zabezpieczonych sieci WLAN). Jeśli jednak masz wybierać pomiędzy szyfrowaniem WEP lub jego brakiem, wybierz to pierwsze - uchronisz swoje hasła i inne ważne informacje przed dostaniem się w niepowołane ręce. Pomimo wad szyfrowania WEP nadaje się ono znakomicie jako jedna z warstw chroniących twoją sieć.

WPA (Wi-Fi Protected Access)
[poziom bezpieczeństwa - wysoki*]

WPA zostało wprowadzone jako następca szyfrowania WEP, bezpieczniejsze i pozbawione wad poprzednika. Jedynym minusem tego zabezpieczenia jest dosyć spore obciążanie sieci (czytaj więcej w artykule: Test wydajności zabezpieczonych sieci WLAN).

WPA dzieli się na dwa rodzaje: Personal (opiera się na kluczu PSK (długość od 8 do 63 znaków), bez którego nie nawiążemy połączenia z siecią) oraz Enterprise (korzystający z serwera RADIUS). Niestety szyfrowanie WPA nie jest dostępne w każdym AP, jeśli jednak twój Punkt Dostępowy oraz karty klienckie je obsługują i dla bezpieczeństwa sieci zrobisz wszystko - użyj właśnie WPA.

Należy wspomnieć też o WPA2, które poza inną metodą szyfrowania (AES-CCMP) nie różni się niczym w porównaniu do WPA (RC4/TKIP).

*Szyfrowanie WPA jest bezpieczne tylko przy stosowaniu długich, niestandardowych haseł (najlepiej maksymalnej długości), bowiem inne są podatne na ataki słownikowe.

RADIUS (Remote Authentication Dial-In User Service)
[poziom bezpieczeństwa - wysoki]


RADIUS jest protokołem, umożliwiającym autentykację, autoryzację oraz rozliczanie (AAA - Authencication, Authorization, Accounting). Schemat działania jest bardzo prosty: klient chcący uzyskać dostęp, np. do Internetu wysyła do urządzenia NAS (Network Access Server, którego rolę w sieciach bezprzewodowych pełni Access Point) swój adres MAC. Jest on przesyłany do serwera RADIUS, na którym zapisane są informacje o wszystkich autoryzowanych użytkownikach (login, hasło, adres MAC). Jeżeli dany adres MAC znajdował się na serwerze, zostaje wysłana prośba o podanie loginu i hasła. Gdy weryfikacja przebiegnie poprawnie klient uzyska dostęp do sieci.

Mimo, że login oraz hasło, których używamy przy logowaniu się do serwera RADIUS są szyfrowane (MD5), należałoby zabezpieczyć także całe nasze połączenie (WEP/WPA). Minusem RADIUSa jest konieczność postawienia dodatkowego serwera, na którym mógłby on działać oraz to, że nie każdy AP potrafi z nim współpracować. Jednym z najbardziej znanych serwerów RADIUS jest freeradius (http://www.freeradius.org).
[poziom bezpieczeństwa - wysoki]

VPN (Virtual Private Network)
[poziom bezpieczeństwa - wysoki]

Dzięki VPN, za pośrednictwem publicznej sieci (Internetu), możemy utworzyć bezpieczny tunel pomiędzy dwoma klientami/sieciami prywatnymi/klientem a siecią prywatną. (PPTP (Point-to-Point Tunneling Protocol)). W celu autentykacji stosuje się zazwyczaj kombinację login oraz hasło/certyfikaty/klucze prywatne.

Jednym ze sposobów podniesienia bezpieczeństwa sieci VPN jest zastosowanie zbioru protokołów kryptograficznych znanych jako IPsec. Gwarantuje on, że dane które przesyłamy przez Internet pozostają w niezmienionej formie oraz są praktycznie nie do odczytania dla nikogo poza adresatem/odbiorcą (użycie szyfrowania). Na chwilę obecną jest to najbezpieczniejszy i najskuteczniejszy sposób zabezpieczania sieci bezprzewodowych.

Przedstawione tu metody ochrony sieci WLAN zostały opisane skrótowo, bez zagłębiania się w konfigurację aplikacji, urządzeń czy serwerów.


Artykuł zaczerpnięty z www.zielonaszkolka.pl
Autor: Michał Lubicz
WRT54GL v1.1 Tomato v1.11
WRT54GL v1.1 Tomato v1.11
PAP2t Stock firmware 5.1.3-LS + IPFON
Script Generator 1.00 robsonn'a Smile
 
morte

Cytat

bigl napisał/a:
Oto moja opinia:

WPA2 Personal oraz TKIP/AES.

3. Jeśli chodzi o szyfrowanie to zdecydowanie TKIP/AES. Sam AES jest najlepszym algorytmem szyfrowania a TKIP daje jeszcze dodatkowe bezpieczeństwo bo powoduje automatyczną wymianę klucza używanego do szyfrowania co pewien okres czasu (np. w Tomato standardowo co godzinę).



Ja jednak proponuje WPA2 Personal i tylko AES.

TKIP (wykorzystywany w WPA) używa szyfru strumieniowego RC4 (który to jest również używany w WEP). RC4 aktualnie uważany jest za przestarzały i podatny na ataki.
Za to CCMP (wykorzystywany w WPA2) używa szyfru blokowego AES. AES jest o wiele bardziej bezpieczny.

Gdy ustawisz TKIP/AES oznacza to że dopuszczas oba protokoły TKIP i CCMP (to co napisałeś czyli TKIP z AES-em, nie istnieje, jest albo TKIP albo CCMP), czyli masz większą kompatybilność za cenę bezpieczeństwa. Jedynie ustawienie WPA2 Personal z AES-em zapewnia najlepszy poziom ochrony.

Dla bardziej dociekliwych polecam:
Wikipedia - WPA, TKIP, RC4, WPA2, CCMP, AES
http://www.openxtra.co.uk/articles/wpa-vs-80211i.php
http://www.blindedbytech.com/2005/12/22/which-wireless-encryption-to-choose/

EDIT: Dodam jeszcze że w WPA TKIP jest obowiązkowy za to AES opcjonalny, ale w WPA2 CCMP (AES) jest obowiązkowy, a TKIP opcjonalny. Więc gdy mamy urządzenia zgodne z WPA2 to wybranie AES-a nie dość że daje lepsze szyfrowanie to jeszcze mamy pewność że każde urządzenie musi to szyfrowanie obsługiwać.
Edytowany przez morte dnia 25-03-2007 00:25
 
szlovak
a poza tym ma się większa prędkość kiedy będzie sam AES http://www.smallnetbuilder.com/conten...49/96/1/8/
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 85

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,561,123 unikalnych wizyt