Защита беспроводных сетей

[doc]

одно слово - антисемиты!

[igor7]

у меня d-link di-524 как его защитить хотя бы паролем или чем-нибудь еще?

Всем привет!!
Прочитав этот топик, я решил написать небольшой "How to" о том, как защитить свою домашнюю сеть с помощью WPA-PSK.
До недавнего времени, wired equivalent privacy (WEP) была главным 128-битовым дополнительным стандартом шифрования, используемым, чтобы защитить домашнюю беспроводную сеть. Хотя wireless routers, access points, и wireless computer adapters для домашнего использования, были снабжены WEP, большинство изготовителей устанавливали WEP отключенным по умолчанию. Многие пользователи домашних беспроводных сетей никогда не потрудились включать это, таким образом они не имели никакой безопасности и никакой защиты от злоумышленников.
Но даже те пользователи (и я в их числе), которые использовали WEP, не особо утруждались, чтобы когда-либо изменить ключ. Но все изменилось после выхода SP1 для Windows XP. Предшествующие слабости безопасности беспроводных сетей и проблемах конфигураций для домашнего пользователя были устранены благодаря новой спецификации безопасности под названием Wi-Fi Protected Access (WPA).
Далее я расскажу, как я настроил WPA защиту на моем конкретном примере. Ну, а после каждый сам сможет, опираясь на данный пример, настроить свою домашнюю сеть.
Мой домашний раутер фирмы Linksys Wireless B, BEFW11S4. К нему подключен один десктоп компьютер (посредством нетворк кабеля), два лэптопа (один мой, другой моей жены…), а также я иногда подключаю свой наладонник (PPC Asus My Pal A639) имеющий WI-Fi adapter. Но сначала я попробую немного рассказать о WPA.

WPA решает проблему слабой стороны WEP, которую называют initialization vectors (IV), и обеспечивает, способ застраховать целостность сообщений (пакетов) проходящих через MIC ((названный Майклом или проверкой целостности сообщения (message integrity check)) и использующий TKIP (Temporal Key Integrity Protocol - Временный Ключевой Протокол Целостности), чтобы увеличить качество шифрования данных. В крупных организациях используется более сложная структура WPA для проверки подлинности пользователей (authentication) : использование сертификатов, IEEE 802.1x authentication, опознавательный сервер и т д. Но для домашнего пользования тоже имеется решение - WPA-PSK(Pre-Shared Key). WPA-PSK - специальный способ WPA для домашних пользователей без опознавательного сервера и обеспечивает ту же степень защиты информации с помощью шифрования данных.
Выражаясь простыми словами, WPA-PSK - экстра-сильное шифрование, где ключи шифрования изменяются автоматически (этот процесс называется rekeying) и заверены между устройствами после указанного промежутка времени, или после того, как указанное число пакетов было передано. Это назывется rekey interval.
WPA-PSK намного лучше WEP и обеспечивает более сильную защиту для домашнего пользователя по двум причинам. Процесс, используемый, чтобы произвести ключ шифрования очень строг, и rekeying (или изменение ключа) происходит довольно быстро и часто. В принципе, как где-то уже здесь упоминалось, сломать можно любую защиту. Все, как всегда, упирается в цель и средства.… Для домашних сетей вполне достаточно и WEP, но, имея возможность усилить безопасность, не затрачивая при этом дополнительные средства, почему бы ее не использовать.
WPA-PSK использует последовательный, удобный метод, чтобы обеспечить безопасность сети. Этот метод использует passphrase (также названный shared secret), который должен быть введен и в роутере или точке доступа и в клиентах WPA. Этот shared secret может технически быть между 8 и 63 символами и может включить специальные символы (например: &, %, $ и т.д., а также допускаются пробелы. Сам ключ WPA должен быть случайной последовательностью любых символов клавиатуры , по крайней мере, 20 символов длинной или шестнадцатеричные цифры (числа 0-9 и буквы A-F) по крайней мере, 24 шестнадцатеричных символов длинной. Чем более случайный ваш WPA ключ, тем более безопасно его использовать.
После того как ключ введен на клиентах и на раутере Temporal Key Integrity Protocol (TKIP) берет ответственность за шифрование данных и за rekeying процесс.
Перед тем, как перейти к настройке, еще раз напоминаю, что WPA-PSK работает только на Windows XP SP1 и выше.
А если более конкретно, то нужно установить Recommended Update 815485. Как на счет предыдущих версий Windows,- не знаю, не пробовал. Нужно посмотреть на сайте Microsoft, что там об этом пишут…
Итак, от слов к делу.
Прежде всего нужно настроить раутер. Повторюсь, что в этом примере я основываюсь на своем раутере. Но, я думаю, что, даже если веб интерфейсы различных производителей отличаются , название страниц с настройками остается одинаковым более или менее...
1. Открываем броузер и вписываем туда адрес раутера,- в моем случае это:http://192.168.10.1. Введя данныe аутификации попадаем в веб интерфейс раутера. Затем нужно зайти в закладку "Wireless", далее выбираем закладку "wireless security" , и теперь все настраиваем как на картинках:
1. Wireless security: Enable
2. Security mode: WPA-PSK
2a. Вводим наш WPA Pre Shared Key подходящей длины. К примеру:ADJ76$@NKL90NLX%FFHJ.
3. Enter a Rekey Interval (normally the unit is seconds). У меня дефолтное значение 3600 т.е. каждый час ключ будет менятся.
4. Click Apply or Reset, в зависимости от требования производителя.
В моем случае это кнопка " Save settings":



Все, раутер настроен. Теперь нам нужно настроить клиенты. В моем сслучае это два лептопа и Наладонник.
Для лептопа:
1. Идем в "Start">Control panel>Network connection и находим там значек нашего беспроводного сетевого адаптера:

далее правой кнопкой мыши кликаем по адаптеру и выбираем Properties. Должно появится такое окно:

Затем идем в закладку "Wireless Networks" как на картинке сверху, подсвечиваем нашу сеть(2Plus) и жмем на Properties. Попадаем в следующее окно:

Как видите, ранее я использовал WEP шифрование, атеперь перехожу на на WPA-PSK.
Для этого нужно:
1. Network Authentication: WPA-PSK:

Далее в Data encryption выбираем стандарт TKIP:

Затем в Network Key & Confirm Network Key вводим наше сочетание символов, о котором говорилось выше. К примеру:ADJ76$@NKL90NLX%FFHJ:


Ну и напоследок, нам нужно настроить наладонник для подключения к инету:
1. Тапаем на "Enable Wi-Fi"и затем на "Wi-Fi Manager" :

2.В появившемся окне выбираем закладку "Site Survey":

3. Находим в списке нашу сеть (2Plus) и тапаем по названию 2Plus,
попадаем в следующее окно:

4. Еще раз тапаем по названию нашей сети и мы в окне настройки доступа:

5. Здесь выбираем закладку " Network Key", затем настраиваем все точно так же как и на лептопе:
Authentication - WPA-PSK
Data Encryption - TKIP
Network Key - Вводим наш ключ: ADJ76$@NKL90NLX%FFHJ жмем на ОК, закрываем все окна:


Вот и все. Все настроено. Теперь можно жить спокойно,- относительно, конечно-же
Если у кого-нибудь что-либо не "срастается" с данным примером, но очень хочется обезопасить свою сеть - пишите, поможем

[Hackguru]

igor7, круто, только 3600 сек. это 1 час.
У тебя покет вааще шевелится при использовании WPA?:)

[igor7]

igor7, круто, только 3600 сек. это 1 час.

Да, спасибо, уже поправил. Когда писал, думал почему-то о 360 секундах...

У тебя покет вааще шевелится при использовании WPA?

Все нормально, никаких изменений по сравнению с WEP я не замечал...

[Sinbalat_]

зато я заметил
стал чаще терять сеть

[igor7]

стал чаще терять сеть

Это не зависит от WEP или от WPA, а скорее от настроек доступа к инету. У тебя раутер делает дозвон к провайдеру или модем?
Лучше всего настроить доступ к инету черз модем, а на раутере настроить только NAT ну и все что касается безопасности. У меня настроено именно так,- доступ к инету никогда не теряетя. Разве только отключть раутер от електричества

[BigWig]

igor7
У модема нет настроек для подключения к VPN провайдера, типа PPTP или L2TP. В последние несколько лет все почти все интернет-провайдеры обезопасили себя (и клиентов) с помощью VPN.

[Hackguru]

BigWig ну это смотря у какого модема....
У Alcatel ST home/pro очень даже есть.

igor7

доступ к инету никогда не теряетя

Это тебе кажется, т.к. раутер восстанавливает коннект прозрачно для тебя. Загляни в его, раутера, логи.

[Sinbalat_]

нет настроек для подключения к VPN провайдера, типа PPTP или L2TP

у меня ещё веселее
в дурацком 3СОМе поддержка есть, но если сервер принудительно меняет айпи, то усё - тушим свет, идём спать
пока ручками в раутере его не пропишу - "нэт болшэ малэнкава Гоги"

доступ к инету никогда не теряетя

"блажен кто верует" (c)

[stas]

igor7а как эту операцию провернуть если на лептопе или на ББ 98 винда?

прочитав еще раз твой пост понял что на 98 нет wpa

[BigWig]

Sinbalat_
Попроси статический IP, но скорее всего попросят денег.
В таком случае в фирме, которая предоставляет интернет-инфраструктуру попроси, чтобы выделили постоянный IP, который привязан к MAC адресу. В этом случае тебе придется изменять настройки только в том случае, если поменялся раутер, а с ним и MAC адрес.

[Sinbalat_]

попроси, чтобы выделили постоянный IP, который привязан к MAC адресу

просил, чего-то не склалось у них, да я и не настаивал
поставил в комп ВиФи карту , всё равно он пашет 24/7
покрытие в квартире конечно стало хуже чем у раутера, зато глюков и ступоров на порядок меньше чем у 3СОМа
этот зверюга любил подвисать (причём до такой степени что с компа его не видно - помогало тока выдергивание питанки)

[igor7]

igor7
Цитата:
доступ к инету никогда не теряетя

Это тебе кажется, т.к. раутер восстанавливает коннект прозрачно для тебя. Загляни в его, раутера, логи.

igor7 писал(а):
доступ к инету никогда не теряетя

"блажен кто верует" (c)

Ну, нельзя же так к словам цепляться
Я в курсе как все это работает...

[Hackguru]

igor7

Ну, нельзя же так к словам цепляться
Я в курсе как все это работает...

То, что в курсе - это супер, но не забывай о других, которые тоже в курсе, и они воспринимают всё серьёзнее, чем леминги.

[dymm]

Sinbalat_ думаю, у тебя чего-то не так настроено. Когда раутер работает как раутер, внутри сети все-равно какой внешний IP. Еще принято серверам давать статические ИП (внутренние). 3СОМ - хорошая марка.

Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?

[Sinbalat_]

внутри сети все-равно какой внешний IP

конечно всё равно
просто когда внешний айпи меняется этот дебильный раутер не может его заапдейтить у себя, продолжая считать что он (айпи) старый - в итоге теряется гейт

[dymm]

внутри сети все-равно какой внешний IP

конечно всё равно
просто когда внешний айпи меняется этот дебильный раутер не может его заапдейтить у себя, продолжая считать что он (айпи) старый - в итоге теряется гейт

Что значит "меняется"? Раутер (или модем) сам его и получает. Объясни, что у тебя за конфигурация.

[Hackguru]

dymm

Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?

11 Мбит никто не сможет добиться. Никогда. Это всего лишь максимум, на что способен стандарт. В WiFi дохрена служебного трафика, а использование шифрования ещё больше утяжеляет пакеты.
Проверь без WPA и будешь приятно удивлён.

[dymm]

dymm

Вопрос - раутер работает в режиме b+g, покет - b (hx4700). WPA-PSK.
Почему-то скорость даже близко не 11мегабит, а всего 50 кбайт (400 кбит) при копировании файлов.
Это нормально? Может, покет не способен по шине больше пропустить? Какая у кого скорость?

11 Мбит никто не сможет добиться. Никогда. Это всего лишь максимум, на что способен стандарт. В WiFi дохрена служебного трафика, а использование шифрования ещё больше утяжеляет пакеты.
Проверь без WPA и будешь приятно удивлён.

Я и спрашиваю: сколько?
Без WPA можно только проверить, а для постоянного включения недопустимо.

[Hackguru]

dymm

Я и спрашиваю: сколько?

У меня 802.11b на HP2210 позволяет гонять на покет файлы со скоростью 250 КБ/сек (2 Мбит). Опен систем.

Твой результат очень даже ничего.
Учитывая, что шифрованием/дешифрованием занимается CPU, а на покете он не ахти какой, то узким местом является именно он, проц.
На ноутах/десктопах это не так нагружает камень, но замедление работы в шифрованной сетке всё равно имеет место.

Без WPA можно только проверить, а для постоянного включения недопустимо.

Это утверждение, или твой, частный случай?

[Sinbalat_]

Что значит "меняется"? Раутер (или модем) сам его и получает

как только получает, так сразу и в интернет топаем?
после получения он должен его у себя заапдейтить внутри
чтоб знал куда трафик перенаправлять
а он новый получать не желает (не царское это дело), и пытается пакеты наружу слать через старый...

[igor7]

как только получает, так сразу и в интернет топаем?
после получения он должен его у себя заапдейтить внутри
чтоб знал куда трафик перенаправлять
а он новый получать не желает (не царское это дело), и пытается пакеты наружу слать через старый...

У тебя дозвон на раутере настроен? Какой фирмы твой раутер?

[dymm]

Hackguru
Процессор на 4700 600 мегагерц, не самый слабый.
Проверю без шифрования - напишу.
Утверждение.

Sinbalat_
У тебя неправильно (неоптимально) что-то настроено. Еще раз: опиши свою конфигурацию.

[Hackguru]

dymm

Процессор на 4700 600 мегагерц, не самый слабый.
Проверю без шифрования - напишу.

Смотря для чего.
"Тянуть" саму Винду + приложения это уже работа.
А шифрование трафика это серьёзная нагрузка.

Утверждение.

Некорректно.
Требования к производителям железа включать поддержку WPA для получения WiFi сертификата беспроводный альянс выдвинул только в 2004 году, а реально всё это вступило в силу только в 2005-ом.
Так что-же, раньше всё было так плачевно?
Нет разумеется. Просто опасность 802.11 заключается не в возможности подключения к беспроводному устройству или сниффинге трафика, а в возможности получения доступа к незащищённой домашней/корпоративной сетке. Но дело в том, что цеплять беспроводную точку пряменько к рабочей сетке нельзя (скажем мягко не рекомендуется) и в случае, когда применяются все виды шифрования, за исключением некоторых случаев (школа, библиотеки и т.д) где речь идёт о совсем другом оборудовании.

ЗЫ. Всем, кто секъюрят свою домашнюю сетку, забивая весь канал распухшими от шифрования пакетами, ради того, чтобы сидя на горшке ползать в инете посредством покета/ноута, очень советую просто оглянуться. ЗА ВАМИ НИКТО НЕ ГОНИТСЯ. Враг дремлет и ваша пипка с антенками и двумя компами с вечнозапущенным "мулом" никому нахрен не нужна.

[dymm]

Hackguru
Да, было плачевно. Потому что взлом был меньше распространен, оборудования не было, алгоритмы были неразвиты. FTP/POP/SMTP передает пароли открытым текстом. И что? Теперь на каждом компе без файрволла в сеть ни ногой, RSA 220 бит ломается за час. Раньше вообще и сахар был слаще и женщины моложе.

Нафик надо, что бы кто-то залез мне в даже домашнюю сеть...
Да и канал не такой широкий, чтобы раздавать всем желающим.
WPA достаточно хорошо защищает для домашнего уровня.

"Если у вас нет паранойи, то это не значит, что за вами никто не следит"