Jak zabezpieczyc WiFi , da sie wogole ?



Widzisz wersję archiwalną tematu "Jak zabezpieczyc WiFi , da sie wogole ?" z forum pl.comp.security





Pawel Dziadowicz - 11 Sty 2005, 09:55

Witam

Mam dosc ogolne pytanie , jak zabezpieczyc WiFi ?
Da sie to wogole zrobic ?
Dwie male sieci polaczone dwoma D-Link DWL-900AP Plus.

pozdrawiam

Pawel



Daniel - 12 Sty 2005, 03:50


Witam

Mam dosc ogolne pytanie , jak zabezpieczyc WiFi ?
Da sie to wogole zrobic ?
Dwie male sieci polaczone dwoma D-Link DWL-900AP Plus.

pozdrawiam

Pawel



Teoretycznie da ale bywa róznie zalezy od sprzętu.klucze szyfrujące jak
najdłuższe autoryzacja dodatkowa itp.


BengBong - 12 Sty 2005, 05:23


Witam

Mam dosc ogolne pytanie , jak zabezpieczyc WiFi ?



Zastanow sie co chcesz tak naprawde zrobic - limitowac dostep do sieci
czy zabezpieczyc przed podslucahniem czy jedno i drugie.

Da sie to wogole zrobic ?
Dwie male sieci polaczone dwoma D-Link DWL-900AP Plus.



Mam ten sam problem polaczony z tym "jak zabezpieczyc siec aby klient
mogl sam to wyklikac".
Jak narazie dowiedzialem sie, ze:
-WEP jest g.... warty
-WPA jest ponoc lepszy, ale tez ma wady i jest dosc nowy wiec wiele
uzadzen go nie obsluguje
-VPN np. IPSec moze byc uzyty i jest to chyba rozwiazanie najbardziej
niezawodne. Szczegolnie, ze winda go obsluguje
-gdzies po drodze spotkalem sie z Radius itp, ale jak to sie je to nie
wiem - chetnie sie dowiem

Co do dostepu to widze, ze stosuje sie dwa rozwiazania rownolegle:
-pppoe (tutaj jak sie dowiedzialem slowami kluczami sa: rp-pppoe
kernel-mode server pppoe)
-filtracja MAC

A tak w ogole to wiedza w tym zakresie wyglada na tajna bo nikt nie chce
sie nia dzielic. Moze nikt na tym sie nie zna:P
Osobiscie wydaje mi sie (prosze mnie poprawic jesli sie myle) ze jak nie
zastosujesz VPN to w zasadzie podszycie jest mozliwe i latwe.


RusH - 12 Sty 2005, 06:16


Witam

Mam dosc ogolne pytanie , jak zabezpieczyc WiFi ?



WPA PSK 26 znakowe hasla
WPA TLS

Da sie to wogole zrobic ?



tak, tak samo jak kablowe

Dwie male sieci polaczone dwoma D-Link DWL-900AP Plus.



vpny tylko

Pozdrawiam.



Marek Kutyla - 12 Sty 2005, 10:41

Tego oto dnia 2005-01-12 12:16, Niejaki/a RusH bedac w stanie euforii
nagryzmolil/a co nastepuje:

WPA PSK 26 znakowe hasla



Tu trzeba jeszcze dodac, ze dobrze by bylo zeby byly to odpowiednie
hasla - czyli nie slownikowe, ze znakami specjalnymi, malymi i duzymi
lierami, cyframi itd. ...


Andrzej Adam Filip - 12 Sty 2005, 10:35



[...]
Co do dostepu to widze, ze stosuje sie dwa rozwiazania rownolegle:
-pppoe (tutaj jak sie dowiedzialem slowami kluczami sa: rp-pppoe
kernel-mode server pppoe)
-filtracja MAC

A tak w ogole to wiedza w tym zakresie wyglada na tajna bo nikt nie
chce sie nia dzielic. Moze nikt na tym sie nie zna:P
Osobiscie wydaje mi sie (prosze mnie poprawic jesli sie myle) ze jak
nie zastosujesz VPN to w zasadzie podszycie jest mozliwe i latwe.



PPPoE z wymuszaniem *obustronnej* autentykacji CHAP co kilka minut
czyni "przechwytywanie" cudzej sesji PPPoE mało użytecznym.


Krzysztof Halasa - 13 Sty 2005, 07:50


-VPN np. IPSec moze byc uzyty i jest to chyba rozwiazanie najbardziej
niezawodne. Szczegolnie, ze winda go obsluguje



IPSEC zalatwia tylko sprawe szyfrowania, natomiast nie ma chyba obrony
przed atakiem DoS?

gildor - 13 Sty 2005, 08:18


| -VPN np. IPSec moze byc uzyty i jest to chyba rozwiazanie najbardziej
| niezawodne. Szczegolnie, ze winda go obsluguje

IPSEC zalatwia tylko sprawe szyfrowania, natomiast nie ma chyba obrony
przed atakiem DoS?



bo IPSec to zbiór protokołów do szyfrowania danych, a nie IDS czy jakiś
filtr pakietów.

- gildor


Pawel Dziadowicz - 13 Sty 2005, 08:38

bo IPSec to zbiór protokołów do szyfrowania danych, a nie IDS czy jakiś
filtr pakietów.

- gildor



devnull - 13 Sty 2005, 17:45


Dwie male sieci polaczone dwoma D-Link DWL-900AP Plus.



Na pewno DWL-900AP+, a nie DWL-800AP+ ???
Na stronach DLinka nie ma 900AP+, więc odnoszę się do 800AP+
Może pracować w dwóch trybach, jako Access Point i jako repeater, max
szybkość 22Mb/s. Jak rozumiem, chodzi o tryb reapeater, czyli
połączenie 2 LANów, a nie mobilnych użytkowników. Jeśli tak, to
niestety został wybrany nie ten sprzęt.

Do połączenia 2 LANów powinny być zastosowane 2 urządzenia
obsługujące VPN-y. Z routerów WiFi są to np. (dane mam z marca
2004, pewnie są już nowsze sprzęty) DrayTek Vigor2600G (drogi! jako
jedyny w zestawieniu CHIP-a ma VPN i detekcję DoS, ale np. wbudowany
modem xDSL chyba nie jest tu potrzebny), kilka urządzeń Linksysa
(WAG54G, WRT54G). Wszystkie wymienione z max. prędkością 54Mb/s (w
przypadku Acces Pointa ma to małe znaczenie, ale przy łączeniu LANów
większe).
Z DLinka DI-784 (do 108Mb/s), DI-624 (po upgrade firmware do 108Mb/s, ale
nie każdy można uaktualnić).

Tak czy inaczej, w tej chwili najlepszym rozwiązaniem jest zestawienie
VPN - może tu wystarczyć VPN site-to-site. Pewnie 2 maszynki linuksowe
byłyby przydatne...
Najbezpieczniejszym jest zestawienie połączeń szyfrowanych pomiędzy
każdą parą stacji, wymieniającą dane (zabezpiecza też np. przed
sniffowaniem w sieciach LAN) - ale to chyba jak na razie rzadkość.

pozdrawiam
Adam Szast

-----------
Uwaga:
poczta na adres w nagłówkach przekierowana na /dev/null

wytnij killera :)
----------


Krzysztof Halasa - 13 Sty 2005, 19:54


bo IPSec to zbiór protokołów do szyfrowania danych, a nie IDS czy
jakiś filtr pakietów.



Atak DoS = denial of service, nie ma to nic wspolnego z zadnym
IDSem czy filtrem pakietow, a z tym, ze atakujacy moze uniemozliwic
korzystanie z polaczenia.

Michal Kawecki - 14 Sty 2005, 07:07




[...]
Do połączenia 2 LANów powinny być zastosowane 2 urządzenia
obsługujące VPN-y. Z routerów WiFi są to np. (dane mam z marca
2004, pewnie są już nowsze sprzęty) DrayTek Vigor2600G (drogi! jako
jedyny w zestawieniu CHIP-a ma VPN i detekcję DoS, ale np. wbudowany
modem xDSL chyba nie jest tu potrzebny), kilka urządzeń Linksysa
(WAG54G, WRT54G). Wszystkie wymienione z max. prędkością 54Mb/s (w
przypadku Acces Pointa ma to małe znaczenie, ale przy łączeniu LANów
większe).



[...]

Tu mała uwaga - wymieniony Linksys WAG54G dysponuje mocą 100 mW tylko w
trybie 802.11b. Przy prędkości transmisji 54 Mbit/s spada ona do 22 mW,
co może już nie być wystarczające. Wady tej pozbawiony jest np.
USRobotics 999106, który ponadto może przesyłać dane z prędkością 110
Mbit/s przy połączeniu z drugim USRoboticsem...


devnull - 14 Sty 2005, 17:04


Mam dosc ogolne pytanie , jak zabezpieczyc WiFi ?



Cały PC-World Komputer Special nr 2/2004 (aktualnie dostępny) jest
poświęcony sieciom WiFi, w tym zabezpieczeniom.

pozdrawiam
Pawel



Pozdrawiam
Adam Szast

-----------
Uwaga:
poczta na adres w nagłówkach przekierowana na /dev/null

wytnij killera :)
----------


RusH - 16 Sty 2005, 03:24


Tu mala uwaga - wymieniony Linksys WAG54G dysponuje mocą 100 mW
tylko w trybie 802.11b. Przy predkości transmisji 54 Mbit/s spada
ona do 22 mW, co moze juz nie byc wystarczające. Wady tej
pozbawiony jest np. USRobotics 999106, który ponadto moze
przesylac dane z predkością 110 Mbit/s przy polączeniu z drugim
USRoboticsem...



skad te bajki ?  bo tak sie sklada ze mam gdzies fotki z baadn FCC i
zarowno WAP, WRT jak i WAG maja to samo radio o tych samych parametrach    
(oczywiscie przy tych samych rev.), powiem wiecej - WAG to praktycznie
TEN SAM hardware i firmware co ten USR :)))
Dales sie nabrac  na bajki RRC (polski dystrybutor, ludzie tam
pracujacy nie maja pojecia o sprzecie) ?

Pozdrawiam.


Lechus - 18 Sty 2005, 15:02


Witam

Mam dosc ogolne pytanie , jak zabezpieczyc WiFi ?
Da sie to wogole zrobic ?
Dwie male sieci polaczone dwoma D-Link DWL-900AP Plus.

pozdrawiam

Pawel



autoryzacja na serwerze radius


BengBong - 19 Sty 2005, 04:44



| [...]
| Co do dostepu to widze, ze stosuje sie dwa rozwiazania rownolegle:
| -pppoe (tutaj jak sie dowiedzialem slowami kluczami sa: rp-pppoe
| kernel-mode server pppoe)
| -filtracja MAC

| A tak w ogole to wiedza w tym zakresie wyglada na tajna bo nikt nie
| chce sie nia dzielic. Moze nikt na tym sie nie zna:P
| Osobiscie wydaje mi sie (prosze mnie poprawic jesli sie myle) ze jak
| nie zastosujesz VPN to w zasadzie podszycie jest mozliwe i latwe.

PPPoE z wymuszaniem *obustronnej* autentykacji CHAP co kilka minut
czyni "przechwytywanie" cudzej sesji PPPoE mało użytecznym.



Hmmm, a nie ma mozliwosci podsluchania/odszyfrowania loginu/hasla co
potem powoduje, ze nic nie trzeba przechwytywac tylko wystarczy sie
zalogowac?


BengBong - 20 Sty 2005, 03:25



| Witam

| Mam dosc ogolne pytanie , jak zabezpieczyc WiFi ?
| Da sie to wogole zrobic ?
| Dwie male sieci polaczone dwoma D-Link DWL-900AP Plus.

| pozdrawiam

| Pawel

autoryzacja na serwerze radius



IMHO RADIUS to tylko serwer z danymi userow i bez np. 802.1X nic nie
jest wart.


Michal Kawecki - 6 Lut 2005, 15:36



| Tu mala uwaga - wymieniony Linksys WAG54G dysponuje mocą 100 mW
| tylko w trybie 802.11b. Przy predkości transmisji 54 Mbit/s spada
| ona do 22 mW, co moze juz nie byc wystarczające. Wady tej
| pozbawiony jest np. USRobotics 999106, który ponadto moze
| przesylac dane z predkością 110 Mbit/s przy polączeniu z drugim
| USRoboticsem...

skad te bajki ?  bo tak sie sklada ze mam gdzies fotki z baadn FCC i
zarowno WAP, WRT jak i WAG maja to samo radio o tych samych
parametrach (oczywiscie przy tych samych rev.), powiem wiecej - WAG
to praktycznie TEN SAM hardware i firmware co ten USR :)))
Dales sie nabrac  na bajki RRC (polski dystrybutor, ludzie tam
pracujacy nie maja pojecia o sprzecie) ?



Podłączałem tego Roboticsa i Linksysa do dokładnie tego samego sprzętu w
dokładnie tym samym pomieszczeniu. Różnica w pokryciu sygnałem była...
no, po prostu nieporównywalna. Zacząłem szukać przyczyny. Sam popatrz -
w większości sklepów moc wyjściowa WAG54G podawana jest jako 13 dBm przy
802.11g i 18 dBm przy 802.11b. Szperając dalej natknąłem się na
informację, że wewnątrz tego routera znajduje się karta pcmcia o symbolu
WET54G. Jeśli założymy, że w innym urządzeniu Linksysa o tym samym
symbolu, czyli WET54G, znajduje się ta sama karta - to sprawa się

udowodnienia.

A co do fotek - znajdziesz je tu:
http://wireless.gumph.org/content/4/4/011-wag54g-insides.html .

Ludzi z RRC nie znam, ale wiem skądinąd, że router WAG54G został
zaprojektowany i produkowany przez tajwańską firmę Cybertan, a więc
powinien być raczej zbliżony do
http://www.cybertan.com.tw/product/wg_615b.asp niż do USRoboticsa. No
chyba że obie firmy podzlecają produkcję temu samemu wykonawcy.

P.S. Pomyliłem się. Ten Linksys ma tylko 64 mW mocy przy 802.11b, a nie
100 mW
jak wcześniej sugerowałem.

Czy pliki MS Access 95, sa dobrze zabezpieczone przed niepowolanym dostepem ?
czy mozna jakims programem zabezpieczyc dysk twardy przed odczytem?
zabezpiecznie w2k srv - server ftp - publiczny adres IP
Program zabezpieczajacy haslem HDD w W95 z 32bit FATem
  • biura;podrozy;wodzislaw
  • mistrz klawiatury 2 full
  • komitologia
  • indeks 400
  • j bagnet oleju do forda fiesty
  • Katalog wypowiedzi z for internetowych ^^ Strona Główna