» »

Zaščita Routerja

Zaščita Routerja

timm ::

Pozdravljeni.

Mene pa zanima, kako se naredi, da se ne bi na moj brezžični router povezovali še drugi?
Router je pa Linksys WRV 200.
Navodila sem dobil sicer zraven, ampak, ker se v sloveniji inšpektorji pač ne zmenijo za take zadeve, so samo v angleškem jeziku v slovenskem pa ne... :-(
Ne da se mi pa it nazaj v trgovino in jim težit. :-)

Lep pozdrav.

Gwanaroth ::

Lahko zakleneš dostop samo iz tvojih mrežnih kartic, lahko uporabiš WPA/WEP zaščito..

Priporočam branje na wlan-sat kjer imaš vse lepo opisano. Le malo pobrskaj.
Lights often keep secret hypnosis..

bili_39 ::

Nič drugega ne pomaga, kot vklopit WPA (WPA 2, če ti to omogoča vsa oprema) in uporabit dolgo geslo. Geslo naj bo sestavljeno iz 63 naključnih znakov (poguglaj za strong password generatorji).

Zatem lahko pozabiš na problem varnosti (vsaj v razumnih mejah - dokler ne stopiš na prst FBIju npr.) in se lotiš pomembnejših opravil.

Na zaklepanje MAC adres in posameznih računalnikov, ali WEP enkripcijo pozabi, so za povprečnega mulca mala malca.

martinsm3 ::

Zaklepanje na MAC addres + skriti SID , je kar dovolj dobra zaščita (razen , če je tisti , ki bi ti rad vdrl v sistem "sajkik" in bo uganil tvoj SID):D

Kami ::

+ še nekaj kar zmede druge :P

martinsm3 ::

Ja tudi fake SID-i znajo dodatno prispevat k varnosti (bi prav rad videl tistega , ki bi vlomil v omrežje , ki fizično ne obstaja) :D
He he , svojega lepo skriješ (da ne oddaja beacon signala z imenom omrežja) , namesto njega pa lansiraš par fantomskih SID-ov neobstoječih omrežij , tisti revež , ki bi se trudil vdreti , bi prej obupal. >:D

P.S.
Seveda pa moraš ime svojega omrežja čimprej spremenit iz "default" v nekaj bolj osebnega (ne tako kot moj sosed , ki ima SID=default , router pa brez passworda)

Zgodovina sprememb…

  • spremenilo: martinsm3 ()

Osprey ::

WEP, skrivanje SSID, zaklepanje na MAC naslove in večina ostalih idej tukaj je b***sh*t kar se tiče varnosti. Edino, kar RES pomaga, je, kot je že nekdo napisal WPA ali WPA2 s 63 naključnimi znaki kot geslo. Potem se nimaš kaj bati, vse ostalo ne bo ustavilo napadalca.

martinsm3 ::

Zanimljivo , experti , so pa ravno nasprotnega mnenja (bolj ko nekaj močno šifriraš , bolj dobi napadalec željo-izziv vdreti) , po njihovem so ravno te zelo enostavne in tudi učinkovite metode najboljše (kako bo nekdo vdrl v sistem , če pa sistem enostavno ni viden , poleg tega pa mu podtakneš še par lažnih).

Osprey ::

Hm, glede mnenj expertov imam jaz drugačne informacije.:P In jaz nekoga, ki bi se zanašal na voljo napadalca, ne bi imenoval varnostni "expert". V glavnem, kar se tiče tega, da omrežje ni vidno (skrivanje SSID) - to bo za hekerja s pravimi orodji hitro postalo vidno in ne nudi nikakršne zaščite. Fake AP sicer res do neke mere pomaga, vendar to ni enostavna rešitev, ker znajo imeti tudi legitimni klienti probleme pri povezavi na omrežje - to sem nekje zasledil. Na koncu koncev je tudi nepotrebno, zato ker ti nihče ne more vdreti, če nastaviš omrežje tako, kot sem napisal zgoraj. Je enostavno nemogoče, ker če imaš res 63 naključnih znakov za geslo, je možnih kombinacij preveč, da bi lahko uspel brute force napad pred iztekom življenjske dobe vesolja. :D
Računanje šifrirnega ključa seveda tudi ne pomaga, ker se le-ta (za razliko od WEP) sproti spreminja. Zato dejansko zaenkrat še nihče ni pogruntal načina, kako vdreti v tako zaščiteno mrežo. Če pa kdo ima kako tako informacijo, na plan z besedo, vendar sem sam 100%, da ni takega junaka. Vsi doslej znani uspešno izvedeni napadi na omrežje z WPA so namreč temeljili na neki vrsti brute force napada na geslo.

Zgodovina sprememb…

  • spremenilo: Osprey ()

martinsm3 ::

He he , glede da je ni stvari na svetu , ki bi bila 100% , ti tudi tvojih 63 ključev nič ne pomaga , če ima napadalec prava orodja.:D

1. Če skriješ , svoj SSID , da ga napadalec ne more videt , mu s tem otežiš delo , ker mora vedet , da na tistem območju , na tem in tem kanalu je eno omrežje .
2. Odkrit - uganit mora tvoj SSID , da sploh lahko začne napad.
3. Glede fake SSID-ov seveda ne smeš pretiravat :D , ker je število kanalov omejeno (13 v EU)
4. Zakleneš omrežje na svoje MAC naslove
5. Nobeden ti ne brani , da vsega skupaj tudi ne zakodiraš (kar pa je pri upoštevanju zgornjih predpostavk , irelevantno)
6. In najpomembneje , nekdo v tvoji bljižini mora imeti čas , voljo , sredstva (orodja , ki premostijo vse zgoraj opisane metode), da vse to izvede - kar je malo verjetno >:D

No pa mi sedaj povej , koliko je takih v bljižini tvojega , mojega in še od koga omrežja .... ki ima voljo in čas kaj takega izvest.
Ker kot sem že povedal , nič ni 100% ... tudi to se da hacknit - rabiš pa čas , s tem pa postane napadalec sumljiv (malo čudno bi zgledlo , da vsaki dan pred tvojo hišo stoji en in isti avto , noter pa en tip z laptopom na kolenih).:D

Zgodovina sprememb…

  • spremenilo: martinsm3 ()

Osprey ::

hehe, zanimivo. :D

No, pa začnimo:

He he , glede da je ni stvari na svetu , ki bi bila 100% , ti tudi tvojih 63 ključev nič ne pomaga , če ima napadalec prava orodja


Taka orodja NE obstajajo, no, res, zaenkrat ne. Sem že omenil, da ne obstajajo? :D Obstajajo samo orodja, ki izvajajo brute force napade.

1. Če skriješ , svoj SSID , da ga napadalec ne more videt , mu s tem otežiš delo , ker mora vedet , da na tistem območju , na tem in tem kanalu je eno omrežje .


No, tukaj pa res obstajajo orodja, za katera to ni noben problem.

2. Odkrit - uganit mora tvoj SSID , da sploh lahko začne napad.


Če ima prava orodja, ne rabi dosti ugibat.

4. Zakleneš omrežje na svoje MAC naslove


MAC naslove je mala malica ponarediti in tudi ugotoviti, kateri naslovi legitimno nastopajo v omrežju. Odpade.

5. Nobeden ti ne brani , da vsega skupaj tudi ne zakodiraš (kar pa je pri upoštevanju zgornjih predpostavk , irelevantno)


Se ne strinjam.

6. In najpomembneje , nekdo v tvoji bljižini mora imeti čas , voljo , sredstva (orodja , ki premostijo vse zgoraj opisane metode), da vse to izvede - kar je malo verjetno


Se strinjam. Vendar če že imamo debato o varnosti...

Prej si rekel, da so enostavnejše rešitve dovolj dobre.

Torej, še vedno trdim, da je najvarnejša nastavitev obenem tudi najenostavnejša, to je izjemno dolgo naključno geslo v WPA načinu. Tu pa res ni nič težkega.

Strinjam se, da prijemi, o katerih govoriš, bodo upočasnili napad, vendar ga ne bodo ustavili. Ustavilo ga bo samo kodiranje z dobrim geslom.

Zgodovina sprememb…

  • spremenilo: Osprey ()

bili_39 ::

Dajte no, čisto zares... vse razen WPA (še bolje WPA 2, če le oprema omogoča) z močnim passwordom (nad 20 znakov, bolje več) je za povprečnega mulca 5 min guglanja.

Vendar, zakaj bi nekaj naredil enostavno, če lahko kompliciraš ;)

martinsm3 ::

No pa da zaključimo , tisti zgoraj opisani načini so za povprečnega uporabnika čisto zadosti (razno šifriranje ti samo poje prepotrebno pasovno širino) , seveda če nimaš na disku kakih hudih skrivnost - kot naprimer "Kdo je ubil Kenediya" ... in podobni stuff ... potem si seveda dovolj zanimljiv za vdiranje.>:D
Tisto kar si napisal , da SSID in MAC ni težko odkriti (z pravimi orodji seveda) drži - RABIŠ ČAS ...
In kot sem že zapisal nobeden od nas tukaj prisotnih ni dovolj zanimljiv - pomemben , da bi bil vreden tega časa (napadalec mora dalj časa spremljat promet , da izlušči uporabne podatke - pridobi SSID in MAC naslove) , s tem pa se napadalec po nepotrebnem izpostavlja nevarnosti , da ga dobijo - VDOR V TUJE OMREŽJE SE PREGANJA Z ZAKONOM.
Razen če je napadalec neumen in bo zaradi par slik , muzike , filmov tvegal kazenski pregon.>:D (no ja tudi taki se najdejo , samo za take se navadno slabo konča , slej ko prej)

Zgodovina sprememb…

  • spremenilo: martinsm3 ()

Osprey ::

bili_39: tako je, kar max. 63 znakov in je to to. Dodal bi samo, da WPA2 RC4 zamenja z nekim drugim algoritmom - AES, ki pa je procesorsko precej zahtevnejši. Seveda je OK, vendar pri varnosti vseeno ni nič bistvenega. Tudi RC4 je čisto dovolj, ker se ključ tako ali tako dokaj hitro spreminja.

Zgodovina sprememb…

  • spremenilo: Osprey ()

jernejl ::

Neposredno tvoje podatke je morda res nepomembno ukrasti, lahko pa uporabi tvoje nezaščiteno omrežje za anonimni dostop do spleta in vdiranje naprej v ostala omrežja, ter tako zakrije svojo identiteto.

martinsm3 ::

Drži , da lahko zlorabi tvoje omrežje ... samo mora vedet , da neko omrežje sploh obstaja ( uporabit mora več kot pa samo NetStumbler in podobna orodja , da se mu razkrije tvoj skriti SSID , potem mora pa še kar nekaj časa spremljat promet na omrežju da izve katerega od uporabljenih MAC naslovov , šele potem lahko fejka svoj MAC in zlorabi tvoje omrežje).
Kot pa sem že napisal lahko vse naštete metode kombiniraš , pa tudi to ni 100% ziher (NIČ NA SVETU NI , vsaj za nekoga ki pozna te algoritme za šifriranje , in bo slej ko prej iznašel način , da pride noter).

Zgodovina sprememb…

  • spremenilo: martinsm3 ()

bili_39 ::

@martinsm3:

kar praviš je veljalo mogoče kakšni dve leti nazaj. Sedaj je na mreži že preveč podatkov in opisov vloma v nezaščitene mreže (skrivanje SSID ni zaščita - Netstumbler ti jo kar pokaže) . Orodja za llinux pa so precej močnejša.
WEP kodiranje bolj obremenjuje širino prenosa kot WPA in ga je nesmiselno uporabljati. MAC naslov pa se na mreži pojavi ob prometu vsakih nekaj sekund.

Zares, vse razen WPA je brez zveze. Edino, če imaš staro opremo (več kot dve ali skoraj tri leta, ki ne podpira WPA kodiranja) se lahko zafrkavaš s tem.

Kar se tiče interesa za vlom - nekateri bodo poskusili vse kar se le da. Za zabavo! Lahko pa tudi s slabim namenom.

martinsm3 ::

@billi_39
Vse kar si napisal drži(no ja razen tistega o NetStumblerju , program ti v najboljšem primeru prikaže prisotnost omrežja , ne pa tudi njegov SSID - ker ga router ne oddaja , kar je preverjeno).
Drži pa tudi , da nič ni 100% , samo takih ki bi se šli s tem zezat , pa razbit vse zaščite je zelo malo (če sploh) , tisti bodo raje navalili na popolnoma odprte mreže (verjemi takih , ki ne poskrbijo niti za osnovno zaščito ni malo "SSID pustijo kar tovarniški = default" , ne nastavijo si niti gesla za router).
Razen , da mu je to kot si napisal izziv ... hja pol pa >:D , ti tak praktično nič ne pomaga.
Je pa ena varijanta , nekje sem zasledil , da se z nekaterimi modificiranimi firmvareji , da dosečt , da ti vsako sumljivo konektanje router lepo javi - tudi na SMS če je potrebno.

Zgodovina sprememb…

  • spremenilo: martinsm3 ()

Tero ::

Tak bom reko.
"wardriving je moj velik hobi... In lahko rečem da glede na to koliko odprtih mrež je po sloveniji se je brezveze zajebavat s tem :)
Jaz imam namensko odprto mrežo(imam nareto na MAC blokado) in se mi logira kdo je bil vse na moji mreži in še nikoli ni bilo nobenega:) Pravzaprav kaj bi koga motlo če bi recimo nekdo hotel odpret kaki page, ali pogledat kake maile. Mene nebi. Edini problem je pač zloraba povezave za kakšna nelegalna početja.(zato imam v mojem SSID napisano telefonsko da me lahko mrebitini uporabnik neta pokliče)

Seveda drugače je če bi hotel določenemu osebku/podjetju vdret v sistem preko wifi... WPA se da tudi nahekat(sem nekaj bral na netu) Najboljša rešitev je pomojem uporaba žične mreže :) Vendar mislim da nekomu ki bi mel interes vdret v sistem da si pridobi kakšne informacije lahko stori tudi na druge(lažje) načine kot preko wifija.
Give a man a fish, he'll be fed for a day.
Teach a man to fish and he'll drown himself.

martinsm3 ::

@Tero
Točno tako kot si napisal , preveč je takih , ki vzamejo router iz škatle , ga prikjučijo na omrežje , osnovne nastavitve IP-jev , odpiranje portov za P2P - IN JE ZA NJIH TO DOVOLJ.
Tisti pa ki ima zle namene se pa najbrž ne bo še šel zajebavat z vdiranjem , če pa ima servirano odprto mrežo za svoje kaznivo početje.

Zgodovina sprememb…

  • spremenilo: martinsm3 ()

Tero ::

Hmja meni je pa to ql.. Recimo zadnjič ko sem se nekaj rabil net, sem v mariboru zapelal na najbljižje parkirišče, vzel mojo orinoco pcmcia kartico, laptop in zunanjo anteno z magnetnim podnožjem ki jo daš na sterho avta, in izbral na katero izmed petih mrež se bom povezal>:D
Give a man a fish, he'll be fed for a day.
Teach a man to fish and he'll drown himself.

Zgodovina sprememb…

  • spremenil: Tero ()

martinsm3 ::

Ja saj .. po eni strani je pa dobro ... net na vsakem koraku >:D , zato res ne vem zakaj bi se zafrkaval z šifriranjem , če je pa tolko odprtih mrež , da te glava peče (samo vzameš dlančnik iz žepa pa se malo sprehodiš po bljižnih ulicah ... samo strelajo :D , ker je folk enostavno LEN vsaj za osnovno zaščito poskrbet)

Zgodovina sprememb…

  • spremenilo: martinsm3 ()

Tero ::

Sicer smo rahlo offtopic...
Je še nekaj zanimivo.. Vprašanje je ali je to nelegalno početje ali ne. (če se ne internet povežeš)
Namreč nekje sem bral da je nekdo zagovarjal če nekdo pusti odprto mrežo ti da s tem povedat da se lahko gor povežeš...
No če predvidevamo da je prejšni primer nelegalen. Ampak ali je nelegalno če si recimo izklopiš ip protokol in imaš samo netstumbler ali kismet in iščeš mreže?
Give a man a fish, he'll be fed for a day.
Teach a man to fish and he'll drown himself.

martinsm3 ::

Dobro vprašanje , verjetno to spada v sivo območje , če pa povzročaš škodo je pa itak kaznivo.
Po moje to ni nelegalno , če samo iščeš mreže ki so odprte , ker s tem ne delaš škode.Lahko bi to primerjal z radioamatersko postajo , ki lovi tudi druge frekvence - dokler samo poslušaš je OK ... ko pa prestopiš to mejo (se z podatki okoristiš ... itd.) ... potem pa si že na drugi strani zakona :D

Zgodovina sprememb…

  • spremenilo: martinsm3 ()

ERGY ::

Vse od nastetga je prelahko za tistega, ki se spozna na to.

Osprey ::

Kaj se delate pametni? Najdite mi orodje, ki bo prej ko v milijon letih prišlo v WPA zaščiteno omrežje s 63 naključnimi znaki. Pozabite. V WPA omrežje je možno vdret, ampak le, če je geslo šibko, sicer nimate šans. Kdo od vas tu, ki trdite nasprotno, je to že uspel? Če ste, ste prvi na svetu. Seveda teoretično je mogoče, praktično pa zahteva preveč računske moči oziroma predvsem časa, da bi bilo izvedljivo. Ne rečem, da bo ta zaščita vedno 100%, ampak trenutno je.

Zgodovina sprememb…

  • spremenilo: Osprey ()

Osprey ::

Da ne boste rekli, da samo na pamet govorim. Preberite si malo, kaj piše v tem članku: Unbreakable Wifi security. Ta tip ve o teh stvareh več, kot mi vsi skupaj in tudi sledi nova odkritja. Zaenkrat še ni prišlo do kakega preboja, da bi te trditve popravil.

En citat iz članka:

The reason I make this point is that WPA, even the weakest form of WPA encryption, if it's done properly, is absolutely uncrackable as long as no one gets your key

Zgodovina sprememb…

  • spremenilo: Osprey ()

matildas ::

Se popolnoma strinjam s tem, kar je napisal Grudge.
Na www.grc.com imate tudi "Perfect Passwords" Generator, ki zgenerira geslo iz 63 znakov.
To vpišete in ni več potrebe po spreminjanju ali vnašanju novega gesla.


karafeka ::

A obstaja kak howto ( v slovenščini po možnost) kako nastaviti zaščito za wifi na tomatu ?

Tam imaš na voljo kup zaščit (wep, wpa(2) enterprise, wpa(2) personal, radius). Pa še cel kup nastavitev za vsako posamezno zaščito.
Trenutno imam sicer MAC filter, samo po vašem pisanju, sem se odločit, da še malo bolj zaščitim mrežo.

KoMar- ::

WPA2 Personal + AES je najbolje.

Mr.B ::

WPA2 + Radius s Certifikatom na na klientu, s katerim se authenticiraš na radius.
Za SSID, pa je bilo tudi na Slo-techu enkrat novica, in skrivanje le tega je zgolj za res lene uporabnike. Bistveno več dela je z WPA2, kot pa minutko za SSID...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

KoMar- ::

- Zakaj bi postavil RADIUS server, če bi rad samo zavaroval domač router?
- SSID skrivat je čisto dobra ideja, sploh, da napadalec ne ve, koga napada.

Mr.B ::

Za SSID napišeš ZELJe, PA mi povej koga napada. Moraš res biti zelo specifičen da v SSID daš svoje ime in priimek...
Zakaj Radius, zato, ker morajo najprej radius, ali pa klienta hekniti, da padejo v omrežje. Verjetno je laže najti exploit ruterja, kot pa hakniti RADIUS, do katerega razen s fizičnim kablom nimaš dostopa, ali pa pobrati certifikat na mašini klienta...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

madmitch ::

Samo malo, nekak imam občutek, da tale timm ni ena od oseb v Sloveniji, ki se jo varuje po uradni dolžnosti, ni kakšen sila pomemben direktor niti ni podtalni član ene od organizacin osi zla - Sova, CIA, Mosad, NK Tomačevo... Torej tudi ni nevarnosti, da bi se krdelo zlih mladcev spravilo na njegovo brezžično obrežje (kakšen besedni absurd). Poba naj spremeni ime omrežja, določi dovoljene MACe in da eno od zaščit - WPA/WEP. Ne pa da mu svetujete ne vem kakšne silne sisteme, za katere se mu niti sanja ne, kaj so. Naj mu nekdo, ki ima enako ali podobno škatlo, lepo korak po korak napiše, kako in kaj, pa bo. Saj vidite, da je poba obupal in se verjetno v strahu pred apokalipso skril v kot in odklopil vse, še elektriko.
Nobody is perfect, my name is Nob Ody

5er--> ::

WPA2 Personal + AES je najbolje.

+1

gokky ::

Tudi IMO zadošča WPA2 PSK+AES

jan01 ::

blackbfm ::

Mac filtering je bv, ni neka prava zaščita poleg tega moraš pa potem na spisek dodajat še vsako napravo. Sploh je najbolš ko pride kakšen znanec k bratu/sestri/whatever (ki itak nima pojma o kompih na splošno) in se hoče prilopit brezžično s kakšnim netbookom..potem te pa kliče kaj je treba narest..totalni nesmisel v glavnem.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Anketa: Uporaba brezžičnih omrežij

Oddelek: Loža
385110 (4375) Yacked2
»

Varnost domačega brezžičnega omrežja

Oddelek: Omrežja in internet
281842 (1341) Yacked2
»

Kronično vdiranje v router - problem. (strani: 1 2 )

Oddelek: Omrežja in internet
7416621 (14115) Vanadium
»

Varnost brezžičnega omrežja?

Oddelek: Omrežja in internet
272469 (1981) blackbfm
»

Teroristi uporabljajo tuja nezaščitena brezžična omrežja

Oddelek: Novice / Zasebnost
496295 (3898) madviper

Več podobnih tem