
Защита беспроводных сетей
Модератор: NetSkipper
Правила форума
Администрация не несет ответственности за размещенные на этом форуме сообщения.
Если сообщения как то ущемляют ваши права, обратитесь к администрации, и информация будет удалена с форума.
Администрация не несет ответственности за размещенные на этом форуме сообщения.
Если сообщения как то ущемляют ваши права, обратитесь к администрации, и информация будет удалена с форума.
- igor7
- Пользователь
- Сообщения: 3182
- Зарегистрирован: 13.01.2007, 11:43
- smartphone: HTC ONE
- Откуда: Israel
-
Даритель
Всем привет!!у меня d-link di-524 как его защитить хотя бы паролем или чем-нибудь еще?
Прочитав этот топик, я решил написать небольшой "How to" о том, как защитить свою домашнюю сеть с помощью WPA-PSK.
До недавнего времени, wired equivalent privacy (WEP) была главным 128-битовым дополнительным стандартом шифрования, используемым, чтобы защитить домашнюю беспроводную сеть. Хотя wireless routers, access points, и wireless computer adapters для домашнего использования, были снабжены WEP, большинство изготовителей устанавливали WEP отключенным по умолчанию. Многие пользователи домашних беспроводных сетей никогда не потрудились включать это, таким образом они не имели никакой безопасности и никакой защиты от злоумышленников.
Но даже те пользователи (и я в их числе), которые использовали WEP, не особо утруждались, чтобы когда-либо изменить ключ. Но все изменилось после выхода SP1 для Windows XP. Предшествующие слабости безопасности беспроводных сетей и проблемах конфигураций для домашнего пользователя были устранены благодаря новой спецификации безопасности под названием Wi-Fi Protected Access (WPA).
Далее я расскажу, как я настроил WPA защиту на моем конкретном примере. Ну, а после каждый сам сможет, опираясь на данный пример, настроить свою домашнюю сеть.
Мой домашний раутер фирмы Linksys Wireless B, BEFW11S4. К нему подключен один десктоп компьютер (посредством нетворк кабеля), два лэптопа (один мой, другой моей жены…), а также я иногда подключаю свой наладонник (PPC Asus My Pal A639) имеющий WI-Fi adapter. Но сначала я попробую немного рассказать о WPA.
WPA решает проблему слабой стороны WEP, которую называют initialization vectors (IV), и обеспечивает, способ застраховать целостность сообщений (пакетов) проходящих через MIC ((названный Майклом или проверкой целостности сообщения (message integrity check)) и использующий TKIP (Temporal Key Integrity Protocol - Временный Ключевой Протокол Целостности), чтобы увеличить качество шифрования данных. В крупных организациях используется более сложная структура WPA для проверки подлинности пользователей (authentication) : использование сертификатов, IEEE 802.1x authentication, опознавательный сервер и т д. Но для домашнего пользования тоже имеется решение - WPA-PSK(Pre-Shared Key). WPA-PSK - специальный способ WPA для домашних пользователей без опознавательного сервера и обеспечивает ту же степень защиты информации с помощью шифрования данных.
Выражаясь простыми словами, WPA-PSK - экстра-сильное шифрование, где ключи шифрования изменяются автоматически (этот процесс называется rekeying) и заверены между устройствами после указанного промежутка времени, или после того, как указанное число пакетов было передано. Это назывется rekey interval.
WPA-PSK намного лучше WEP и обеспечивает более сильную защиту для домашнего пользователя по двум причинам. Процесс, используемый, чтобы произвести ключ шифрования очень строг, и rekeying (или изменение ключа) происходит довольно быстро и часто. В принципе, как где-то уже здесь упоминалось, сломать можно любую защиту. Все, как всегда, упирается в цель и средства.… Для домашних сетей вполне достаточно и WEP, но, имея возможность усилить безопасность, не затрачивая при этом дополнительные средства, почему бы ее не использовать.

WPA-PSK использует последовательный, удобный метод, чтобы обеспечить безопасность сети. Этот метод использует passphrase (также названный shared secret), который должен быть введен и в роутере или точке доступа и в клиентах WPA. Этот shared secret может технически быть между 8 и 63 символами и может включить специальные символы (например: &, %, $ и т.д., а также допускаются пробелы. Сам ключ WPA должен быть случайной последовательностью любых символов клавиатуры , по крайней мере, 20 символов длинной или шестнадцатеричные цифры (числа 0-9 и буквы A-F) по крайней мере, 24 шестнадцатеричных символов длинной. Чем более случайный ваш WPA ключ, тем более безопасно его использовать.
После того как ключ введен на клиентах и на раутере Temporal Key Integrity Protocol (TKIP) берет ответственность за шифрование данных и за rekeying процесс.
Перед тем, как перейти к настройке, еще раз напоминаю, что WPA-PSK работает только на Windows XP SP1 и выше.
А если более конкретно, то нужно установить Recommended Update 815485. Как на счет предыдущих версий Windows,- не знаю, не пробовал. Нужно посмотреть на сайте Microsoft, что там об этом пишут…
Итак, от слов к делу.
Прежде всего нужно настроить раутер. Повторюсь, что в этом примере я основываюсь на своем раутере. Но, я думаю, что, даже если веб интерфейсы различных производителей отличаются , название страниц с настройками остается одинаковым более или менее...
1. Открываем броузер и вписываем туда адрес раутера,- в моем случае это:http://192.168.10.1. Введя данныe аутификации попадаем в веб интерфейс раутера. Затем нужно зайти в закладку "Wireless", далее выбираем закладку "wireless security" , и теперь все настраиваем как на картинках:
1. Wireless security: Enable
2. Security mode: WPA-PSK
2a. Вводим наш WPA Pre Shared Key подходящей длины. К примеру:ADJ76$@NKL90NLX%FFHJ.
3. Enter a Rekey Interval (normally the unit is seconds). У меня дефолтное значение 3600 т.е. каждый час ключ будет менятся.
4. Click Apply or Reset, в зависимости от требования производителя.
В моем случае это кнопка " Save settings":



Все, раутер настроен. Теперь нам нужно настроить клиенты. В моем сслучае это два лептопа и Наладонник.
Для лептопа:
1. Идем в "Start">Control panel>Network connection и находим там значек нашего беспроводного сетевого адаптера:

далее правой кнопкой мыши кликаем по адаптеру и выбираем Properties. Должно появится такое окно:

Затем идем в закладку "Wireless Networks" как на картинке сверху, подсвечиваем нашу сеть(2Plus) и жмем на Properties. Попадаем в следующее окно:

Как видите, ранее я использовал WEP шифрование, атеперь перехожу на на WPA-PSK.
Для этого нужно:
1. Network Authentication: WPA-PSK:

Далее в Data encryption выбираем стандарт TKIP:

Затем в Network Key & Confirm Network Key вводим наше сочетание символов, о котором говорилось выше. К примеру:ADJ76$@NKL90NLX%FFHJ:

Ну и напоследок, нам нужно настроить наладонник для подключения к инету:
1. Тапаем на "Enable Wi-Fi"и затем на "Wi-Fi Manager" :

2.В появившемся окне выбираем закладку "Site Survey":

3. Находим в списке нашу сеть (2Plus) и тапаем по названию 2Plus,
попадаем в следующее окно:

4. Еще раз тапаем по названию нашей сети и мы в окне настройки доступа:

5. Здесь выбираем закладку " Network Key", затем настраиваем все точно так же как и на лептопе:
Authentication - WPA-PSK
Data Encryption - TKIP
Network Key - Вводим наш ключ: ADJ76$@NKL90NLX%FFHJ жмем на ОК, закрываем все окна:


Вот и все. Все настроено. Теперь можно жить спокойно,- относительно, конечно-же

Если у кого-нибудь что-либо не "срастается" с данным примером, но очень хочется обезопасить свою сеть - пишите, поможем

Последний раз редактировалось igor7 09.03.2007, 20:02, всего редактировалось 1 раз.
- igor7
- Пользователь
- Сообщения: 3182
- Зарегистрирован: 13.01.2007, 11:43
- smartphone: HTC ONE
- Откуда: Israel
-
Даритель
Это не зависит от WEP или от WPA, а скорее от настроек доступа к инету. У тебя раутер делает дозвон к провайдеру или модем?стал чаще терять сеть
Лучше всего настроить доступ к инету черз модем, а на раутере настроить только NAT ну и все что касается безопасности. У меня настроено именно так,- доступ к инету никогда не теряетя. Разве только отключть раутер от електричества


- Sinbalat_
- Пользователь
- Сообщения: 2636
- Зарегистрирован: 27.12.2004, 22:40
- smartphone: iPhone4/32Gb
- Откуда: Villach, Austria
-
Участник покетовки
у меня ещё веселееBigWig писал(а):нет настроек для подключения к VPN провайдера, типа PPTP или L2TP
в дурацком 3СОМе поддержка есть, но если сервер принудительно меняет айпи, то усё - тушим свет, идём спать
пока ручками в раутере его не пропишу - "нэт болшэ малэнкава Гоги"

"блажен кто верует" (c)igor7 писал(а):доступ к инету никогда не теряетя

Пешаварская оппозиция 

- BigWig
- Модератор
- Сообщения: 5807
- Зарегистрирован: 19.02.2006, 20:24
- smartphone: LG G2
- Откуда: от тель-авивского верблюда
-
Участник покетовки
Sinbalat_
Попроси статический IP, но скорее всего попросят денег.
В таком случае в фирме, которая предоставляет интернет-инфраструктуру попроси, чтобы выделили постоянный IP, который привязан к MAC адресу. В этом случае тебе придется изменять настройки только в том случае, если поменялся раутер, а с ним и MAC адрес.
Попроси статический IP, но скорее всего попросят денег.
В таком случае в фирме, которая предоставляет интернет-инфраструктуру попроси, чтобы выделили постоянный IP, который привязан к MAC адресу. В этом случае тебе придется изменять настройки только в том случае, если поменялся раутер, а с ним и MAC адрес.
- Sinbalat_
- Пользователь
- Сообщения: 2636
- Зарегистрирован: 27.12.2004, 22:40
- smartphone: iPhone4/32Gb
- Откуда: Villach, Austria
-
Участник покетовки
BigWig писал(а):попроси, чтобы выделили постоянный IP, который привязан к MAC адресу
просил, чего-то не склалось у них, да я и не настаивал
поставил в комп ВиФи карту , всё равно он пашет 24/7
покрытие в квартире конечно стало хуже чем у раутера, зато глюков и ступоров на порядок меньше чем у 3СОМа
этот зверюга любил подвисать (причём до такой степени что с компа его не видно - помогало тока выдергивание питанки)

Пешаварская оппозиция 

- dymm
- Пользователь
- Сообщения: 241
- Зарегистрирован: 12.02.2005, 11:50
- smartphone: Нет
- Контактная информация:
Sinbalat_ думаю, у тебя чего-то не так настроено. Когда раутер работает как раутер, внутри сети все-равно какой внешний IP. Еще принято серверам давать статические ИП (внутренние). 3СОМ - хорошая марка.
Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?
Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?
The Land Rover
- dymm
- Пользователь
- Сообщения: 241
- Зарегистрирован: 12.02.2005, 11:50
- smartphone: Нет
- Контактная информация:
Что значит "меняется"? Раутер (или модем) сам его и получает. Объясни, что у тебя за конфигурация.Sinbalat_ писал(а):конечно всё равноdymm писал(а):внутри сети все-равно какой внешний IP
просто когда внешний айпи меняется этот дебильный раутер не может его заапдейтить у себя, продолжая считать что он (айпи) старый - в итоге теряется гейт
The Land Rover
- Hackguru
- Даритель
- Сообщения: 1081
- Зарегистрирован: 23.03.2004, 13:00
- smartphone: Commodore 64
- Откуда: Toronto, Canada
- Благодарил (а): 9 раз
- Поблагодарили: 14 раз
-
Даритель
dymm
Проверь без WPA и будешь приятно удивлён.
11 Мбит никто не сможет добиться. Никогда. Это всего лишь максимум, на что способен стандарт. В WiFi дохрена служебного трафика, а использование шифрования ещё больше утяжеляет пакеты.Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?
Проверь без WPA и будешь приятно удивлён.

Si Vis Pacem, Para Bellum.
- dymm
- Пользователь
- Сообщения: 241
- Зарегистрирован: 12.02.2005, 11:50
- smartphone: Нет
- Контактная информация:
Я и спрашиваю: сколько?Hackguru писал(а):dymm11 Мбит никто не сможет добиться. Никогда. Это всего лишь максимум, на что способен стандарт. В WiFi дохрена служебного трафика, а использование шифрования ещё больше утяжеляет пакеты.Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?
Проверь без WPA и будешь приятно удивлён.
Без WPA можно только проверить, а для постоянного включения недопустимо.
The Land Rover
- Hackguru
- Даритель
- Сообщения: 1081
- Зарегистрирован: 23.03.2004, 13:00
- smartphone: Commodore 64
- Откуда: Toronto, Canada
- Благодарил (а): 9 раз
- Поблагодарили: 14 раз
-
Даритель
dymm
Твой результат очень даже ничего.
Учитывая, что шифрованием/дешифрованием занимается CPU, а на покете он не ахти какой, то узким местом является именно он, проц.
На ноутах/десктопах это не так нагружает камень, но замедление работы в шифрованной сетке всё равно имеет место.
У меня 802.11b на HP2210 позволяет гонять на покет файлы со скоростью 250 КБ/сек (2 Мбит). Опен систем.Я и спрашиваю: сколько?
Твой результат очень даже ничего.
Учитывая, что шифрованием/дешифрованием занимается CPU, а на покете он не ахти какой, то узким местом является именно он, проц.
На ноутах/десктопах это не так нагружает камень, но замедление работы в шифрованной сетке всё равно имеет место.
Это утверждение, или твой, частный случай?Без WPA можно только проверить, а для постоянного включения недопустимо.
Si Vis Pacem, Para Bellum.
- Sinbalat_
- Пользователь
- Сообщения: 2636
- Зарегистрирован: 27.12.2004, 22:40
- smartphone: iPhone4/32Gb
- Откуда: Villach, Austria
-
Участник покетовки
dymm писал(а):Что значит "меняется"? Раутер (или модем) сам его и получает
как только получает, так сразу и в интернет топаем?
после получения он должен его у себя заапдейтить внутри
чтоб знал куда трафик перенаправлять
а он новый получать не желает (не царское это дело), и пытается пакеты наружу слать через старый...

Пешаварская оппозиция 

- igor7
- Пользователь
- Сообщения: 3182
- Зарегистрирован: 13.01.2007, 11:43
- smartphone: HTC ONE
- Откуда: Israel
-
Даритель
У тебя дозвон на раутере настроен? Какой фирмы твой раутер?как только получает, так сразу и в интернет топаем?
после получения он должен его у себя заапдейтить внутри
чтоб знал куда трафик перенаправлять
а он новый получать не желает (не царское это дело), и пытается пакеты наружу слать через старый...
Homo hominis lupus est. Ipso factum!
- Hackguru
- Даритель
- Сообщения: 1081
- Зарегистрирован: 23.03.2004, 13:00
- smartphone: Commodore 64
- Откуда: Toronto, Canada
- Благодарил (а): 9 раз
- Поблагодарили: 14 раз
-
Даритель
dymm
"Тянуть" саму Винду + приложения это уже работа.
А шифрование трафика это серьёзная нагрузка.
Требования к производителям железа включать поддержку WPA для получения WiFi сертификата беспроводный альянс выдвинул только в 2004 году, а реально всё это вступило в силу только в 2005-ом.
Так что-же, раньше всё было так плачевно?
Нет разумеется. Просто опасность 802.11 заключается не в возможности подключения к беспроводному устройству или сниффинге трафика, а в возможности получения доступа к незащищённой домашней/корпоративной сетке. Но дело в том, что цеплять беспроводную точку пряменько к рабочей сетке нельзя (скажем мягко не рекомендуется) и в случае, когда применяются все виды шифрования, за исключением некоторых случаев (школа, библиотеки и т.д) где речь идёт о совсем другом оборудовании.
ЗЫ. Всем, кто секъюрят свою домашнюю сетку, забивая весь канал распухшими от шифрования пакетами, ради того, чтобы сидя на горшке ползать в инете посредством покета/ноута, очень советую просто оглянуться. ЗА ВАМИ НИКТО НЕ ГОНИТСЯ.
Враг дремлет и ваша пипка с антенками и двумя компами с вечнозапущенным "мулом" никому нахрен не нужна.
Смотря для чего.Процессор на 4700 600 мегагерц, не самый слабый.
Проверю без шифрования - напишу.
"Тянуть" саму Винду + приложения это уже работа.
А шифрование трафика это серьёзная нагрузка.
Некорректно.Утверждение.
Требования к производителям железа включать поддержку WPA для получения WiFi сертификата беспроводный альянс выдвинул только в 2004 году, а реально всё это вступило в силу только в 2005-ом.
Так что-же, раньше всё было так плачевно?
Нет разумеется. Просто опасность 802.11 заключается не в возможности подключения к беспроводному устройству или сниффинге трафика, а в возможности получения доступа к незащищённой домашней/корпоративной сетке. Но дело в том, что цеплять беспроводную точку пряменько к рабочей сетке нельзя (скажем мягко не рекомендуется) и в случае, когда применяются все виды шифрования, за исключением некоторых случаев (школа, библиотеки и т.д) где речь идёт о совсем другом оборудовании.
ЗЫ. Всем, кто секъюрят свою домашнюю сетку, забивая весь канал распухшими от шифрования пакетами, ради того, чтобы сидя на горшке ползать в инете посредством покета/ноута, очень советую просто оглянуться. ЗА ВАМИ НИКТО НЕ ГОНИТСЯ.


Si Vis Pacem, Para Bellum.
- dymm
- Пользователь
- Сообщения: 241
- Зарегистрирован: 12.02.2005, 11:50
- smartphone: Нет
- Контактная информация:
Hackguru
Да, было плачевно. Потому что взлом был меньше распространен, оборудования не было, алгоритмы были неразвиты. FTP/POP/SMTP передает пароли открытым текстом. И что? Теперь на каждом компе без файрволла в сеть ни ногой, RSA 220 бит ломается за час. Раньше вообще и сахар был слаще и женщины моложе.
Нафик надо, что бы кто-то залез мне в даже домашнюю сеть...
Да и канал не такой широкий, чтобы раздавать всем желающим.
WPA достаточно хорошо защищает для домашнего уровня.
"Если у вас нет паранойи, то это не значит, что за вами никто не следит"
Да, было плачевно. Потому что взлом был меньше распространен, оборудования не было, алгоритмы были неразвиты. FTP/POP/SMTP передает пароли открытым текстом. И что? Теперь на каждом компе без файрволла в сеть ни ногой, RSA 220 бит ломается за час. Раньше вообще и сахар был слаще и женщины моложе.
Нафик надо, что бы кто-то залез мне в даже домашнюю сеть...
Да и канал не такой широкий, чтобы раздавать всем желающим.
WPA достаточно хорошо защищает для домашнего уровня.
"Если у вас нет паранойи, то это не значит, что за вами никто не следит"
The Land Rover