gwoli trochę dopowiedzenia tego co napisał @suprnova
według http://pl.wikipedia.org/wiki/AES
Cytat
Opublikowana została praca, w której twierdzi się, że AES nie jest w pełni odporny na atak XSL, ale oszacowanie ilości koniecznych obliczeń obarczone jest dużą niepewnością, w związku z tym oceny, na ile skuteczny jest ten atak, są różne.
w opisie TKIP nie widziałem żadnego info o ew. brakach odporności na jakieś ataki.
zatem faktycznie chyba najlepiej sprawuje się TKIP.
ps. próbowałem znaleźć jakąś tabelkę ze 'stopniowaniem' poziomu bezpieczeństwa ale niestety nic mi google nie wypluły :/
Edytowany przez VrooBell dnia 13-03-2007 12:41
ps. próbowałem znaleźć jakąś tabelkę ze 'stopniowaniem' poziomu bezpieczeństwa ale niestety nic mi google nie wypluły :/
Dołączę się do tematu. Jakiś czas temu miałem podobny problem. Szukałem informacji i nigdzie nie znalazłem kokretnej tabelki z wadami i zaletami. Tak aby kazdy mogl dobrac optymalne szyfrowanie dla siebie. Skonczylo sie na tym ze mam otwarta siec, nawet zabezp. po MAC nie wlaczylem .
Prosba do forumowiczow bieglych w temacie, a w szczegolnosci licze na adminow:
Wspolnymi silami opiszcie co z czym zastosowac, starcza nawet dwa zdania na opcje . Wiadomo ze zwyklych userow beda interesowaly konkrety. Czyli WEP, WPA i WPA2 bez zadnych radiusow i zaawansowanych opcji. Jaka jest postac klucza, jakiej moze/musi byc dlugosci itd. Po prostu z czego korzystac, co ma sens.
Z gory dzieki.
--
pzdr,
zdzichu
Edytowany przez zdzichu dnia 13-03-2007 14:37
Uzasadnienie:
1. Co do wyboru personal albo enterprise to oczywiście standardowo należy wybrać personal (jak ktoś jest zaawansowany na tyle, że wie co to RADIUS i ma go to oczywiście może wybrać Enterprise i skonfigurować go).
2. Co do standardu to na pewno najlepsze jest WPA2. Nie wiem co oznacza opcja WPA/WPA2, ale jeśli oznacza dopuszczanie trybu WPA (starszego i gorszego) to na pewno lepsze jest po prostu samo WPA2.
3. Jeśli chodzi o szyfrowanie to zdecydowanie TKIP/AES. Sam AES jest najlepszym algorytmem szyfrowania a TKIP daje jeszcze dodatkowe bezpieczeństwo bo powoduje automatyczną wymianę klucza używanego do szyfrowania co pewien okres czasu (np. w Tomato standardowo co godzinę).
4. Co do klucza to najlepiej wygenerować na AP klucz losowy (będzie miał maksymalną długość i będzie rzeczywiście trudny do zgadnięcia) i potem rozdystrybuować go bezpiecznie do klientów. Można go nagrać do pliku tekstowego na pendrive/dyskietkę i przejść się po stacjach albo też przy większej ilości lub odległości przekazać inaczej.
Router: Netgear R7000 + FreshTomato (latest) Wi-Fi: Ubiquiti U6-Lite NAS: AsRock BeeBox Fanless + Ubuntu 20.04 Server + WD My Book Essential 8TB Players: Odroid N2+ with Coreelec / Android TV (Nokia Streaming Box 8010)
Uzasadnienie:
3. Jeśli chodzi o szyfrowanie to zdecydowanie TKIP/AES. Sam AES jest najlepszym algorytmem szyfrowania a TKIP daje jeszcze dodatkowe bezpieczeństwo bo powoduje automatyczną wymianę klucza używanego do szyfrowania co pewien okres czasu (np. w Tomato standardowo co godzinę).
Dodam, że wg standardu TKIP klucz szyfrujący jest zmieniany co 10000 przesłanych pakietów. Jest to czas na tyle krótki, że nawet podczas podsłuchu sieci haker dysponując szybką maszyną nie będzie w stanie złamać klucza stosując choćby najprymitywniejszą metodę brute force.
Btw. Jeśli chodzi o zabezpieczenia to WPA jest również bardzo bezpieczne, a dodatkowo jest bardziej kompatybilne (czasami sprzęt mimo obsługi WPA2 ma z nim problemy) gdyż zostało stworzone w celu załataniu dziur WEPa przy zachowaniu max. kompatybilności.
Na koniec dodam, że korzystając z WPA/WPA2 najsłabszym ogniwem jest jak zwykle człowiek tzn. słabość tych systemów szyfrowania jest głównie jedna, a mianowicie podanie (za przeproszeniem) durnego klucza PSK np. mama, dom, 123 i dzięki temu sami wbjamy sobie gwoździe do trumny. Należy używać kluczy składających się z ciągu pseudolosowo wygenerowanych znaków alfanumeryccznych + znaki typu "<>?,./:"[]{}!@%#$%^&*()" i dopiero wtedy mamy silne zabezpieczenie sieci. Aha klucz nie powinien być krótszy niż 128 bitów (16 znaków).
pzdr
robsonn napisał/a:
Należy używać kluczy składających się z ciągu pseudolosowo wygenerowanych znaków alfanumeryccznych + znaki typu "<>?,./:"[]{}!@%#$%^&*()" i dopiero wtedy mamy silne zabezpieczenie sieci. Aha klucz nie powinien być krótszy niż 128 bitów (16 znaków).
pzdr
W tym celu warto wrzucic w google "wpa key generator" i przy pomocy jakiegos generatora online wygenerowac sobie losowy klucz dlugosci 63 znakow.
bez przesadyzmu. Wystarczy wkleić jakiś dług tekst z czegokolwiek, tak zrobiłem bo nie cjhciało mi się kombinować. Mozliwosć złamania i tak jest znikoma.
szlovak napisał/a:
bez przesadyzmu. Wystarczy wkleić jakiś dług tekst z czegokolwiek, tak zrobiłem bo nie cjhciało mi się kombinować. Mozliwosć złamania i tak jest znikoma.
Nikt tu nie przesadza. Jeśli masz sieć domową, w której nei masz nic oprócz filmów, mp3 i paru dokumentów worda to luzik. Ale są firmy, które muszą w pewnych lokacjach uzywać wifi, a nie wszyscy wiedzą co to VPN posiadając (przesyłając) przy tym ważne dane. A jesli chodzi o poziom doinformowania ludzi uzywających wifi to jest on drastycznie mały. Ze statystyk wynika, że ok 30 % sieci używa domyślnego SSIDa, a co 4 sieć bezprzewodowa na świecie nie jest zabezpieczona w żaden sposób... to daje do myślenia
Ja mówię tylko o haśle. Jak się ma tak długie hasło w WPA2 o długości kilkadziesiąt znaków (63), to co zasadniczo zmienia czy użyje się jakiegoś długiego tekstu czy losowego hasła? Tylko o to mi chodzi
Swego czasu w Cisco AIR-AP340 stosowałem SSID w postaci krzaków, tzn. otwierałem jakiś plik, np. jpg i wycinałem kawałek i dawałem jako ukryte SSID. Hyperwrt thibor nie przyjmuje czegoś takiego. Ale powiedzmy że ktoś snifuje to może się troche ździwić i pomyśleć że program się wywala jak zobaczy takie SSID I lekki problem może z takim SSID mieć.
Edytowany przez szlovak dnia 15-03-2007 08:03
Sposobów zabezpieczeń sieci jest bardzo wiele, ich skuteczność i złożoność zależy w głównej mierze od doświadczenia i pomysłowości administratora. W przypadku sieci WLAN pole do popisu jest odrobinę mniejsze, istnieje bowiem kilka ogólnie znanych i wykorzystywanych metod ochrony (nie oznacza to wcale, że nie ma sieci zabezpieczonych `nietypowo`).
Pierwszą czynnością zwiększająca bezpieczeństwo naszej sieci bezprzewodowej powinno być ustawienie hasła w AP. Jest to krok, którego nie możemy pominąć jeśli myślimy poważnie o ochronie Wi-Fi. Jeżeli mamy taką możliwość postawmy AP za firewallem. Niektóre Punkty Dostępowe posiadają opcję regulacji mocy. Możemy ją zmniejszyć, aby zasięg AP nie wychodził poza pomieszczenie, w którym jest ustawiony - nie ma potrzeby dzielenia się Internetem z sąsiadami.
Poniżej przedstawiam najbardziej znane metody zabezpieczeń sieci Wi-Fi
Wyłączenie rozgłaszania SSID (Service Set IDentifier)
[poziom bezpieczeństwa - zerowy]
Jest to jeden z najmniej skutecznych sposobów zabezpieczeń sieci bezprzewodowej. Osoba chcąca połączyć się z naszą siecią, musi podać jej nazwę. Ukrycie SSID ani odrobinę nie podnosi poziomu bezpieczeństwa, zdobycie ukrytej nazwy sieci to kwestia kilku minut. Wspominam o tym z czystej formalności.
Filtrowanie adresów MAC
[poziom bezpieczeństwa - bardzo niski]
Technika ta polega na ustawieniu w Punkcie Dostępowym listy adresów kart sieciowych, które legalnie mogą korzystać z sieci. Jeżeli adres MAC klienta nie znajduje się na tej liście, nie uzyska on połączenia z siecią. Przy tym rodzaju zabezpieczenia, często stosuje się usługę DHCP, która przydziela konkretne IP danemu adresowi MAC. Jeżeli w swojej sieci planujesz wprowadzić filtrację MAC pomyśl też o innych zabezpieczeniach, gdyż to jest niewystarczające.
WEP (Wired Equivalent Privacy)
[poziom bezpieczeństwa - bardzo niski]
Szyfrowanie połączenia z użyciem klucza WEP jest jednym z najczęsciej stosowanych rodzajów zabezpieczeń i obecnie dostępne jest w każdym AP. Polega ono na ustawieniu hasła, które każdy klient musi podać zanim uzyska dostęp do sieci. Jeżeli zdecydujesz się na stosowanie tego typu zabezpieczenia i twój AP posiada taka opcję, użyj klucza 128 (13-znakowe hasło) zamiast 64 bitowego. Fakt, iż sieć jest zabezpieczona w widoczny sposób (każdy skaner sieci bezprzewodowej to pokaże) odstraszy przynajmniej część osób chcących się do niej dostać. Z pozoru może wydawać się to skuteczną metodą ochrony sieci, jednak WEP podatny jest na różne formy ataków (ze względu na wektor inicjujący (IV) (czytaj więcej w artykule aircrack). Co prawda są to techniki czasochłonne, jednak napewno znajdzie się ktoś kto zechce przełamać to zabezpieczenie. Oprócz tego ta metoda szyfrowania, w pewnym stopniu, obciąża naszą sieć (czytaj więcej w artykule Test wydajności zabezpieczonych sieci WLAN). Jeśli jednak masz wybierać pomiędzy szyfrowaniem WEP lub jego brakiem, wybierz to pierwsze - uchronisz swoje hasła i inne ważne informacje przed dostaniem się w niepowołane ręce. Pomimo wad szyfrowania WEP nadaje się ono znakomicie jako jedna z warstw chroniących twoją sieć.
WPA (Wi-Fi Protected Access)
[poziom bezpieczeństwa - wysoki*]
WPA zostało wprowadzone jako następca szyfrowania WEP, bezpieczniejsze i pozbawione wad poprzednika. Jedynym minusem tego zabezpieczenia jest dosyć spore obciążanie sieci (czytaj więcej w artykule: Test wydajności zabezpieczonych sieci WLAN).
WPA dzieli się na dwa rodzaje: Personal (opiera się na kluczu PSK (długość od 8 do 63 znaków), bez którego nie nawiążemy połączenia z siecią) oraz Enterprise (korzystający z serwera RADIUS). Niestety szyfrowanie WPA nie jest dostępne w każdym AP, jeśli jednak twój Punkt Dostępowy oraz karty klienckie je obsługują i dla bezpieczeństwa sieci zrobisz wszystko - użyj właśnie WPA.
Należy wspomnieć też o WPA2, które poza inną metodą szyfrowania (AES-CCMP) nie różni się niczym w porównaniu do WPA (RC4/TKIP).
*Szyfrowanie WPA jest bezpieczne tylko przy stosowaniu długich, niestandardowych haseł (najlepiej maksymalnej długości), bowiem inne są podatne na ataki słownikowe.
RADIUS (Remote Authentication Dial-In User Service)
[poziom bezpieczeństwa - wysoki]
RADIUS jest protokołem, umożliwiającym autentykację, autoryzację oraz rozliczanie (AAA - Authencication, Authorization, Accounting). Schemat działania jest bardzo prosty: klient chcący uzyskać dostęp, np. do Internetu wysyła do urządzenia NAS (Network Access Server, którego rolę w sieciach bezprzewodowych pełni Access Point) swój adres MAC. Jest on przesyłany do serwera RADIUS, na którym zapisane są informacje o wszystkich autoryzowanych użytkownikach (login, hasło, adres MAC). Jeżeli dany adres MAC znajdował się na serwerze, zostaje wysłana prośba o podanie loginu i hasła. Gdy weryfikacja przebiegnie poprawnie klient uzyska dostęp do sieci.
Mimo, że login oraz hasło, których używamy przy logowaniu się do serwera RADIUS są szyfrowane (MD5), należałoby zabezpieczyć także całe nasze połączenie (WEP/WPA). Minusem RADIUSa jest konieczność postawienia dodatkowego serwera, na którym mógłby on działać oraz to, że nie każdy AP potrafi z nim współpracować. Jednym z najbardziej znanych serwerów RADIUS jest freeradius (http://www.freeradius.org).
[poziom bezpieczeństwa - wysoki]
VPN (Virtual Private Network)
[poziom bezpieczeństwa - wysoki]
Dzięki VPN, za pośrednictwem publicznej sieci (Internetu), możemy utworzyć bezpieczny tunel pomiędzy dwoma klientami/sieciami prywatnymi/klientem a siecią prywatną. (PPTP (Point-to-Point Tunneling Protocol)). W celu autentykacji stosuje się zazwyczaj kombinację login oraz hasło/certyfikaty/klucze prywatne.
Jednym ze sposobów podniesienia bezpieczeństwa sieci VPN jest zastosowanie zbioru protokołów kryptograficznych znanych jako IPsec. Gwarantuje on, że dane które przesyłamy przez Internet pozostają w niezmienionej formie oraz są praktycznie nie do odczytania dla nikogo poza adresatem/odbiorcą (użycie szyfrowania). Na chwilę obecną jest to najbezpieczniejszy i najskuteczniejszy sposób zabezpieczania sieci bezprzewodowych.
Przedstawione tu metody ochrony sieci WLAN zostały opisane skrótowo, bez zagłębiania się w konfigurację aplikacji, urządzeń czy serwerów.
3. Jeśli chodzi o szyfrowanie to zdecydowanie TKIP/AES. Sam AES jest najlepszym algorytmem szyfrowania a TKIP daje jeszcze dodatkowe bezpieczeństwo bo powoduje automatyczną wymianę klucza używanego do szyfrowania co pewien okres czasu (np. w Tomato standardowo co godzinę).
Ja jednak proponuje WPA2 Personal i tylko AES.
TKIP (wykorzystywany w WPA) używa szyfru strumieniowego RC4 (który to jest również używany w WEP). RC4 aktualnie uważany jest za przestarzały i podatny na ataki.
Za to CCMP (wykorzystywany w WPA2) używa szyfru blokowego AES. AES jest o wiele bardziej bezpieczny.
Gdy ustawisz TKIP/AES oznacza to że dopuszczas oba protokoły TKIP i CCMP (to co napisałeś czyli TKIP z AES-em, nie istnieje, jest albo TKIP albo CCMP), czyli masz większą kompatybilność za cenę bezpieczeństwa. Jedynie ustawienie WPA2 Personal z AES-em zapewnia najlepszy poziom ochrony.
Dla bardziej dociekliwych polecam:
Wikipedia - WPA, TKIP, RC4, WPA2, CCMP, AES
http://www.openxtra.co.uk/articles/wpa-vs-80211i.php
http://www.blindedbytech.com/2005/12/22/which-wireless-encryption-to-choose/
EDIT: Dodam jeszcze że w WPA TKIP jest obowiązkowy za to AES opcjonalny, ale w WPA2 CCMP (AES) jest obowiązkowy, a TKIP opcjonalny. Więc gdy mamy urządzenia zgodne z WPA2 to wybranie AES-a nie dość że daje lepsze szyfrowanie to jeszcze mamy pewność że każde urządzenie musi to szyfrowanie obsługiwać.
Edytowany przez morte dnia 25-03-2007 00:25
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Adooni
26-04-2024 14:41
jaki router RMerlin nie pociagne, tomato/ openwrt tak non hilink,
tamtosiamto
23-04-2024 12:35
modem bez smilocka?
man1
22-04-2024 23:27
Czy próbował ktoś uzywac karty voice (z nolimit GB) od tmobile w modemie /routerze? Da się jakoś to zrobić? Bo u mnie neta brak. E3372
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone
' target='_blank'>Link
.
. Wiadomo ze zwyklych userow beda interesowaly konkrety. Czyli WEP, WPA i WPA2 bez zadnych radiusow i zaawansowanych opcji. Jaka jest postac klucza, jakiej moze/musi byc dlugosci itd. Po prostu z czego korzystac, co ma sens.
I lekki problem może z takim SSID mieć.
