Защита беспроводных сетей

Все о софте.

Модератор: NetSkipper

Правила форума
Администрация не несет ответственности за размещенные на этом форуме сообщения.
Если сообщения как то ущемляют ваши права, обратитесь к администрации, и информация будет удалена с форума.
Аватара пользователя
doc
Пользователь
Сообщения: 10148
Зарегистрирован: 29.08.2005, 20:38
smartphone: iPhone 5с
Откуда: Rehovot

Участник покетовки

Даритель

Сообщение doc »

одно слово - антисемиты! :mrgreen:
"Если не ты за себя, то кто же? Но если ты
только для себя, то зачем ты?"
Аватара пользователя
igor7
Пользователь
Сообщения: 3182
Зарегистрирован: 13.01.2007, 11:43
smartphone: HTC ONE
Откуда: Israel

Даритель

Сообщение igor7 »

у меня d-link di-524 как его защитить хотя бы паролем или чем-нибудь еще?
Всем привет!!
Прочитав этот топик, я решил написать небольшой "How to" о том, как защитить свою домашнюю сеть с помощью WPA-PSK.
До недавнего времени, wired equivalent privacy (WEP) была главным 128-битовым дополнительным стандартом шифрования, используемым, чтобы защитить домашнюю беспроводную сеть. Хотя wireless routers, access points, и wireless computer adapters для домашнего использования, были снабжены WEP, большинство изготовителей устанавливали WEP отключенным по умолчанию. Многие пользователи домашних беспроводных сетей никогда не потрудились включать это, таким образом они не имели никакой безопасности и никакой защиты от злоумышленников.
Но даже те пользователи (и я в их числе), которые использовали WEP, не особо утруждались, чтобы когда-либо изменить ключ. Но все изменилось после выхода SP1 для Windows XP. Предшествующие слабости безопасности беспроводных сетей и проблемах конфигураций для домашнего пользователя были устранены благодаря новой спецификации безопасности под названием Wi-Fi Protected Access (WPA).
Далее я расскажу, как я настроил WPA защиту на моем конкретном примере. Ну, а после каждый сам сможет, опираясь на данный пример, настроить свою домашнюю сеть.
Мой домашний раутер фирмы Linksys Wireless B, BEFW11S4. К нему подключен один десктоп компьютер (посредством нетворк кабеля), два лэптопа (один мой, другой моей жены…), а также я иногда подключаю свой наладонник (PPC Asus My Pal A639) имеющий WI-Fi adapter. Но сначала я попробую немного рассказать о WPA.

WPA решает проблему слабой стороны WEP, которую называют initialization vectors (IV), и обеспечивает, способ застраховать целостность сообщений (пакетов) проходящих через MIC ((названный Майклом или проверкой целостности сообщения (message integrity check)) и использующий TKIP (Temporal Key Integrity Protocol - Временный Ключевой Протокол Целостности), чтобы увеличить качество шифрования данных. В крупных организациях используется более сложная структура WPA для проверки подлинности пользователей (authentication) : использование сертификатов, IEEE 802.1x authentication, опознавательный сервер и т д. Но для домашнего пользования тоже имеется решение - WPA-PSK(Pre-Shared Key). WPA-PSK - специальный способ WPA для домашних пользователей без опознавательного сервера и обеспечивает ту же степень защиты информации с помощью шифрования данных.
Выражаясь простыми словами, WPA-PSK - экстра-сильное шифрование, где ключи шифрования изменяются автоматически (этот процесс называется rekeying) и заверены между устройствами после указанного промежутка времени, или после того, как указанное число пакетов было передано. Это назывется rekey interval.
WPA-PSK намного лучше WEP и обеспечивает более сильную защиту для домашнего пользователя по двум причинам. Процесс, используемый, чтобы произвести ключ шифрования очень строг, и rekeying (или изменение ключа) происходит довольно быстро и часто. В принципе, как где-то уже здесь упоминалось, сломать можно любую защиту. Все, как всегда, упирается в цель и средства.… Для домашних сетей вполне достаточно и WEP, но, имея возможность усилить безопасность, не затрачивая при этом дополнительные средства, почему бы ее не использовать. :wink:
WPA-PSK использует последовательный, удобный метод, чтобы обеспечить безопасность сети. Этот метод использует passphrase (также названный shared secret), который должен быть введен и в роутере или точке доступа и в клиентах WPA. Этот shared secret может технически быть между 8 и 63 символами и может включить специальные символы (например: &, %, $ и т.д., а также допускаются пробелы. Сам ключ WPA должен быть случайной последовательностью любых символов клавиатуры , по крайней мере, 20 символов длинной или шестнадцатеричные цифры (числа 0-9 и буквы A-F) по крайней мере, 24 шестнадцатеричных символов длинной. Чем более случайный ваш WPA ключ, тем более безопасно его использовать.
После того как ключ введен на клиентах и на раутере Temporal Key Integrity Protocol (TKIP) берет ответственность за шифрование данных и за rekeying процесс.
Перед тем, как перейти к настройке, еще раз напоминаю, что WPA-PSK работает только на Windows XP SP1 и выше.
А если более конкретно, то нужно установить Recommended Update 815485. Как на счет предыдущих версий Windows,- не знаю, не пробовал. Нужно посмотреть на сайте Microsoft, что там об этом пишут…
Итак, от слов к делу.
Прежде всего нужно настроить раутер. Повторюсь, что в этом примере я основываюсь на своем раутере. Но, я думаю, что, даже если веб интерфейсы различных производителей отличаются , название страниц с настройками остается одинаковым более или менее...
1. Открываем броузер и вписываем туда адрес раутера,- в моем случае это:http://192.168.10.1. Введя данныe аутификации попадаем в веб интерфейс раутера. Затем нужно зайти в закладку "Wireless", далее выбираем закладку "wireless security" , и теперь все настраиваем как на картинках:
1. Wireless security: Enable
2. Security mode: WPA-PSK
2a. Вводим наш WPA Pre Shared Key подходящей длины. К примеру:ADJ76$@NKL90NLX%FFHJ.
3. Enter a Rekey Interval (normally the unit is seconds). У меня дефолтное значение 3600 т.е. каждый час ключ будет менятся.
4. Click Apply or Reset, в зависимости от требования производителя.
В моем случае это кнопка " Save settings":
Изображение Изображение Изображение


Все, раутер настроен. Теперь нам нужно настроить клиенты. В моем сслучае это два лептопа и Наладонник.
Для лептопа:
1. Идем в "Start">Control panel>Network connection и находим там значек нашего беспроводного сетевого адаптера:
Изображение
далее правой кнопкой мыши кликаем по адаптеру и выбираем Properties. Должно появится такое окно:
Изображение
Затем идем в закладку "Wireless Networks" как на картинке сверху, подсвечиваем нашу сеть(2Plus) и жмем на Properties. Попадаем в следующее окно:
Изображение
Как видите, ранее я использовал WEP шифрование, атеперь перехожу на на WPA-PSK.
Для этого нужно:
1. Network Authentication: WPA-PSK:
Изображение
Далее в Data encryption выбираем стандарт TKIP:
Изображение
Затем в Network Key & Confirm Network Key вводим наше сочетание символов, о котором говорилось выше. К примеру:ADJ76$@NKL90NLX%FFHJ:
Изображение

Ну и напоследок, нам нужно настроить наладонник для подключения к инету:
1. Тапаем на "Enable Wi-Fi"и затем на "Wi-Fi Manager" :
Изображение
2.В появившемся окне выбираем закладку "Site Survey":
Изображение
3. Находим в списке нашу сеть (2Plus) и тапаем по названию 2Plus,
попадаем в следующее окно:
Изображение
4. Еще раз тапаем по названию нашей сети и мы в окне настройки доступа:
Изображение
5. Здесь выбираем закладку " Network Key", затем настраиваем все точно так же как и на лептопе:
Authentication - WPA-PSK
Data Encryption - TKIP
Network Key - Вводим наш ключ: ADJ76$@NKL90NLX%FFHJ жмем на ОК, закрываем все окна:
Изображение Изображение

Вот и все. Все настроено. Теперь можно жить спокойно,- относительно, конечно-же :lol:
Если у кого-нибудь что-либо не "срастается" с данным примером, но очень хочется обезопасить свою сеть - пишите, поможем ;)
Последний раз редактировалось igor7 09.03.2007, 20:02, всего редактировалось 1 раз.
Аватара пользователя
Hackguru
Даритель
Даритель
Сообщения: 1081
Зарегистрирован: 23.03.2004, 13:00
smartphone: Commodore 64
Откуда: Toronto, Canada
Благодарил (а): 9 раз
Поблагодарили: 14 раз

Даритель

Сообщение Hackguru »

igor7, круто, только 3600 сек. это 1 час.:)
У тебя покет вааще шевелится при использовании WPA?:)
Si Vis Pacem, Para Bellum.
Аватара пользователя
igor7
Пользователь
Сообщения: 3182
Зарегистрирован: 13.01.2007, 11:43
smartphone: HTC ONE
Откуда: Israel

Даритель

Сообщение igor7 »

igor7, круто, только 3600 сек. это 1 час.

Да, спасибо, уже поправил. Когда писал, думал почему-то о 360 секундах...
У тебя покет вааще шевелится при использовании WPA?
Все нормально, никаких изменений по сравнению с WEP я не замечал...
Аватара пользователя
Sinbalat_
Пользователь
Сообщения: 2636
Зарегистрирован: 27.12.2004, 22:40
smartphone: iPhone4/32Gb
Откуда: Villach, Austria

Участник покетовки

Сообщение Sinbalat_ »

зато я заметил
стал чаще терять сеть :roll:
Аватара пользователя
igor7
Пользователь
Сообщения: 3182
Зарегистрирован: 13.01.2007, 11:43
smartphone: HTC ONE
Откуда: Israel

Даритель

Сообщение igor7 »

стал чаще терять сеть
Это не зависит от WEP или от WPA, а скорее от настроек доступа к инету. У тебя раутер делает дозвон к провайдеру или модем?
Лучше всего настроить доступ к инету черз модем, а на раутере настроить только NAT ну и все что касается безопасности. У меня настроено именно так,- доступ к инету никогда не теряетя. Разве только отключть раутер от електричества :D :wink:
Аватара пользователя
BigWig
Модератор
Сообщения: 5807
Зарегистрирован: 19.02.2006, 20:24
smartphone: LG G2
Откуда: от тель-авивского верблюда

Участник покетовки

Сообщение BigWig »

igor7
У модема нет настроек для подключения к VPN провайдера, типа PPTP или L2TP. В последние несколько лет все почти все интернет-провайдеры обезопасили себя (и клиентов) с помощью VPN.
Аватара пользователя
Hackguru
Даритель
Даритель
Сообщения: 1081
Зарегистрирован: 23.03.2004, 13:00
smartphone: Commodore 64
Откуда: Toronto, Canada
Благодарил (а): 9 раз
Поблагодарили: 14 раз

Даритель

Сообщение Hackguru »

BigWig ну это смотря у какого модема....
У Alcatel ST home/pro очень даже есть.:)

igor7
доступ к инету никогда не теряетя
Это тебе кажется, т.к. раутер восстанавливает коннект прозрачно для тебя. Загляни в его, раутера, логи.:)
Si Vis Pacem, Para Bellum.
Аватара пользователя
Sinbalat_
Пользователь
Сообщения: 2636
Зарегистрирован: 27.12.2004, 22:40
smartphone: iPhone4/32Gb
Откуда: Villach, Austria

Участник покетовки

Сообщение Sinbalat_ »

BigWig писал(а):нет настроек для подключения к VPN провайдера, типа PPTP или L2TP
у меня ещё веселее
в дурацком 3СОМе поддержка есть, но если сервер принудительно меняет айпи, то усё - тушим свет, идём спать
пока ручками в раутере его не пропишу - "нэт болшэ малэнкава Гоги" :lol:
igor7 писал(а):доступ к инету никогда не теряетя
"блажен кто верует" (c) :mrgreen:
Пешаварская оппозиция :hi:
stas
Пользователь
Сообщения: 478
Зарегистрирован: 02.11.2006, 01:02
smartphone: Mio P550
Откуда: Jerusalem

Сообщение stas »

igor7а как эту операцию провернуть если на лептопе или на ББ 98 винда?

прочитав еще раз твой пост понял что на 98 нет wpa
iPad 16Gb Wi-Fi
Аватара пользователя
BigWig
Модератор
Сообщения: 5807
Зарегистрирован: 19.02.2006, 20:24
smartphone: LG G2
Откуда: от тель-авивского верблюда

Участник покетовки

Сообщение BigWig »

Sinbalat_
Попроси статический IP, но скорее всего попросят денег.
В таком случае в фирме, которая предоставляет интернет-инфраструктуру попроси, чтобы выделили постоянный IP, который привязан к MAC адресу. В этом случае тебе придется изменять настройки только в том случае, если поменялся раутер, а с ним и MAC адрес.
Аватара пользователя
Sinbalat_
Пользователь
Сообщения: 2636
Зарегистрирован: 27.12.2004, 22:40
smartphone: iPhone4/32Gb
Откуда: Villach, Austria

Участник покетовки

Сообщение Sinbalat_ »

BigWig писал(а):попроси, чтобы выделили постоянный IP, который привязан к MAC адресу

просил, чего-то не склалось у них, да я и не настаивал
поставил в комп ВиФи карту , всё равно он пашет 24/7
покрытие в квартире конечно стало хуже чем у раутера, зато глюков и ступоров на порядок меньше чем у 3СОМа
этот зверюга любил подвисать (причём до такой степени что с компа его не видно - помогало тока выдергивание питанки) :D
Пешаварская оппозиция :hi:
Аватара пользователя
igor7
Пользователь
Сообщения: 3182
Зарегистрирован: 13.01.2007, 11:43
smartphone: HTC ONE
Откуда: Israel

Даритель

Сообщение igor7 »

igor7
Цитата:
доступ к инету никогда не теряетя

Это тебе кажется, т.к. раутер восстанавливает коннект прозрачно для тебя. Загляни в его, раутера, логи.
igor7 писал(а):
доступ к инету никогда не теряетя

"блажен кто верует" (c)
Ну, нельзя же так к словам цепляться :D
Я в курсе как все это работает... ;)
;) ;)
Аватара пользователя
Hackguru
Даритель
Даритель
Сообщения: 1081
Зарегистрирован: 23.03.2004, 13:00
smartphone: Commodore 64
Откуда: Toronto, Canada
Благодарил (а): 9 раз
Поблагодарили: 14 раз

Даритель

Сообщение Hackguru »

igor7
Ну, нельзя же так к словам цепляться
Я в курсе как все это работает...
То, что в курсе - это супер, но не забывай о других, которые тоже в курсе, и они воспринимают всё серьёзнее, чем леминги.:)
Si Vis Pacem, Para Bellum.
Аватара пользователя
dymm
Пользователь
Сообщения: 241
Зарегистрирован: 12.02.2005, 11:50
smartphone: Нет
Контактная информация:

Сообщение dymm »

Sinbalat_ думаю, у тебя чего-то не так настроено. Когда раутер работает как раутер, внутри сети все-равно какой внешний IP. Еще принято серверам давать статические ИП (внутренние). 3СОМ - хорошая марка.

Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?
The Land Rover
Аватара пользователя
Sinbalat_
Пользователь
Сообщения: 2636
Зарегистрирован: 27.12.2004, 22:40
smartphone: iPhone4/32Gb
Откуда: Villach, Austria

Участник покетовки

Сообщение Sinbalat_ »

dymm писал(а):внутри сети все-равно какой внешний IP
конечно всё равно
просто когда внешний айпи меняется этот дебильный раутер не может его заапдейтить у себя, продолжая считать что он (айпи) старый - в итоге теряется гейт :D
Пешаварская оппозиция :hi:
Аватара пользователя
dymm
Пользователь
Сообщения: 241
Зарегистрирован: 12.02.2005, 11:50
smartphone: Нет
Контактная информация:

Сообщение dymm »

Sinbalat_ писал(а):
dymm писал(а):внутри сети все-равно какой внешний IP
конечно всё равно
просто когда внешний айпи меняется этот дебильный раутер не может его заапдейтить у себя, продолжая считать что он (айпи) старый - в итоге теряется гейт :D
Что значит "меняется"? Раутер (или модем) сам его и получает. Объясни, что у тебя за конфигурация.
The Land Rover
Аватара пользователя
Hackguru
Даритель
Даритель
Сообщения: 1081
Зарегистрирован: 23.03.2004, 13:00
smartphone: Commodore 64
Откуда: Toronto, Canada
Благодарил (а): 9 раз
Поблагодарили: 14 раз

Даритель

Сообщение Hackguru »

dymm
Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?
11 Мбит никто не сможет добиться. Никогда. Это всего лишь максимум, на что способен стандарт. В WiFi дохрена служебного трафика, а использование шифрования ещё больше утяжеляет пакеты.
Проверь без WPA и будешь приятно удивлён.:)
Si Vis Pacem, Para Bellum.
Аватара пользователя
dymm
Пользователь
Сообщения: 241
Зарегистрирован: 12.02.2005, 11:50
smartphone: Нет
Контактная информация:

Сообщение dymm »

Hackguru писал(а):dymm
Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?
11 Мбит никто не сможет добиться. Никогда. Это всего лишь максимум, на что способен стандарт. В WiFi дохрена служебного трафика, а использование шифрования ещё больше утяжеляет пакеты.
Проверь без WPA и будешь приятно удивлён.:)
Я и спрашиваю: сколько?
Без WPA можно только проверить, а для постоянного включения недопустимо.
The Land Rover
Аватара пользователя
Hackguru
Даритель
Даритель
Сообщения: 1081
Зарегистрирован: 23.03.2004, 13:00
smartphone: Commodore 64
Откуда: Toronto, Canada
Благодарил (а): 9 раз
Поблагодарили: 14 раз

Даритель

Сообщение Hackguru »

dymm
Я и спрашиваю: сколько?
У меня 802.11b на HP2210 позволяет гонять на покет файлы со скоростью 250 КБ/сек (2 Мбит). Опен систем.

Твой результат очень даже ничего.
Учитывая, что шифрованием/дешифрованием занимается CPU, а на покете он не ахти какой, то узким местом является именно он, проц.
На ноутах/десктопах это не так нагружает камень, но замедление работы в шифрованной сетке всё равно имеет место.
Без WPA можно только проверить, а для постоянного включения недопустимо.
Это утверждение, или твой, частный случай?
Si Vis Pacem, Para Bellum.
Аватара пользователя
Sinbalat_
Пользователь
Сообщения: 2636
Зарегистрирован: 27.12.2004, 22:40
smartphone: iPhone4/32Gb
Откуда: Villach, Austria

Участник покетовки

Сообщение Sinbalat_ »

dymm писал(а):Что значит "меняется"? Раутер (или модем) сам его и получает

как только получает, так сразу и в интернет топаем?
после получения он должен его у себя заапдейтить внутри
чтоб знал куда трафик перенаправлять
а он новый получать не желает (не царское это дело), и пытается пакеты наружу слать через старый... :D
Пешаварская оппозиция :hi:
Аватара пользователя
igor7
Пользователь
Сообщения: 3182
Зарегистрирован: 13.01.2007, 11:43
smartphone: HTC ONE
Откуда: Israel

Даритель

Сообщение igor7 »

как только получает, так сразу и в интернет топаем?
после получения он должен его у себя заапдейтить внутри
чтоб знал куда трафик перенаправлять
а он новый получать не желает (не царское это дело), и пытается пакеты наружу слать через старый...
У тебя дозвон на раутере настроен? Какой фирмы твой раутер?
Homo hominis lupus est. Ipso factum!
Аватара пользователя
dymm
Пользователь
Сообщения: 241
Зарегистрирован: 12.02.2005, 11:50
smartphone: Нет
Контактная информация:

Сообщение dymm »

Hackguru
Процессор на 4700 600 мегагерц, не самый слабый.
Проверю без шифрования - напишу.
Утверждение.

Sinbalat_
У тебя неправильно (неоптимально) что-то настроено. Еще раз: опиши свою конфигурацию.
The Land Rover
Аватара пользователя
Hackguru
Даритель
Даритель
Сообщения: 1081
Зарегистрирован: 23.03.2004, 13:00
smartphone: Commodore 64
Откуда: Toronto, Canada
Благодарил (а): 9 раз
Поблагодарили: 14 раз

Даритель

Сообщение Hackguru »

dymm
Процессор на 4700 600 мегагерц, не самый слабый.
Проверю без шифрования - напишу.
Смотря для чего.
"Тянуть" саму Винду + приложения это уже работа.
А шифрование трафика это серьёзная нагрузка.
Утверждение.
Некорректно.
Требования к производителям железа включать поддержку WPA для получения WiFi сертификата беспроводный альянс выдвинул только в 2004 году, а реально всё это вступило в силу только в 2005-ом.
Так что-же, раньше всё было так плачевно?
Нет разумеется. Просто опасность 802.11 заключается не в возможности подключения к беспроводному устройству или сниффинге трафика, а в возможности получения доступа к незащищённой домашней/корпоративной сетке. Но дело в том, что цеплять беспроводную точку пряменько к рабочей сетке нельзя (скажем мягко не рекомендуется) и в случае, когда применяются все виды шифрования, за исключением некоторых случаев (школа, библиотеки и т.д) где речь идёт о совсем другом оборудовании.

ЗЫ. Всем, кто секъюрят свою домашнюю сетку, забивая весь канал распухшими от шифрования пакетами, ради того, чтобы сидя на горшке ползать в инете посредством покета/ноута, очень советую просто оглянуться. ЗА ВАМИ НИКТО НЕ ГОНИТСЯ.:) Враг дремлет и ваша пипка с антенками и двумя компами с вечнозапущенным "мулом" никому нахрен не нужна.:)
Si Vis Pacem, Para Bellum.
Аватара пользователя
dymm
Пользователь
Сообщения: 241
Зарегистрирован: 12.02.2005, 11:50
smartphone: Нет
Контактная информация:

Сообщение dymm »

Hackguru
Да, было плачевно. Потому что взлом был меньше распространен, оборудования не было, алгоритмы были неразвиты. FTP/POP/SMTP передает пароли открытым текстом. И что? Теперь на каждом компе без файрволла в сеть ни ногой, RSA 220 бит ломается за час. Раньше вообще и сахар был слаще и женщины моложе.

Нафик надо, что бы кто-то залез мне в даже домашнюю сеть...
Да и канал не такой широкий, чтобы раздавать всем желающим.
WPA достаточно хорошо защищает для домашнего уровня.

"Если у вас нет паранойи, то это не значит, что за вами никто не следит"
The Land Rover
Ответить

Вернуться в «Софт (SOFTWARE)»