Forum » Omrežja in internet » Varnost brezžičnega omrežja?
Varnost brezžičnega omrežja?
s1m0n ::
Zanima me ali je možno brezžično omrežje tako zaščitit, da nikako ni možno ga pretentat/vdret v njega ?
Toraj, da ni nikakršne možnosti, da bi kdo drug lahko prišel not pa vseeno na kak način!
Toraj, da ni nikakršne možnosti, da bi kdo drug lahko prišel not pa vseeno na kak način!
KoMar- ::
WPA2+AES je največ, kar lahko narediš.
Pa moč signala naštimaš tako, da ne sega do sosedov...
Pa moč signala naštimaš tako, da ne sega do sosedov...
Zgodovina sprememb…
- spremenil: KoMar- ()
techfreak :) ::
Če rečemo, da je vse implementirano brez napak, potem ni možno vdreti brez gesla.
Geslo se pa da pridobiti z dictionary napadom ali pa bruteforce-om. Če si izbral pravilno geslo, oba načina trajata kar nekaj časa.
Pa VPN preko SSLja preko SSHja. Ter redno spreminjanje gesla.
Geslo se pa da pridobiti z dictionary napadom ali pa bruteforce-om. Če si izbral pravilno geslo, oba načina trajata kar nekaj časa.
WPA2+AES je največ, kar lahko narediš.
Pa VPN preko SSLja preko SSHja. Ter redno spreminjanje gesla.
Zgodovina sprememb…
- spremenil: techfreak :) ()
s1m0n ::
No recimo, da imaš WPA2+AES in izvirno geslo, ki ga verjetno ni v slovarju
Pa kako varno je da je tudi omejeno na MAC naslov in, da točka ne oddaja SSIDja ?
Verjetno se oboje, da tudi brez kakšnih večjih problemov pridobit pa če tudi je skrito, ne ?
Pa kako varno je da je tudi omejeno na MAC naslov in, da točka ne oddaja SSIDja ?
Verjetno se oboje, da tudi brez kakšnih večjih problemov pridobit pa če tudi je skrito, ne ?
techfreak :) ::
Skrivanje SSIDa je nekoristno, MAC je malo bolj, ampak še vseeno ni težko zaobiti to zaščito.
overlord_tm ::
Kot so povedali, WPA2+AES in mocno geslo. Torej velike in male crke, stevilke ter simboli, dolzine vsaj 10 znakov. V primeru da gre za vecje podjetje z vec uporabniki lahko tudi WPA2 enterprise, ki dela s pomocjo certifikatov, da ne bo treba gesla menjati vsakic ko zamenjate zaposlenega. Skrivanje SSIDja in zaklepanje na MAC je dokaj nekoristno, koristi ti pa lahko kak IDS/IPS potem na omrezju, ki bi zaznal vlome in jih preusmeril na honeypot. Ce si zelo paranoicen lahko uporabis se usmerjene antene, tako da zmanjsas jakost izsevanega signala v okolico, kjer bi bil lahko sovraznik.
Prva stvar ki jo moras odmisliti je absolutna varnost. To ne obstaja. Druga stvar je to da je varnost vedno tradeoff usabilitya (torej, ce imas wifi ugasnjen si verjetno dosegel maksimalno stopnjo varnosti za wifi, ampak hkrati minimalno stopnjo uporabnosti :p). Tretja stvar, danasnja tehnologija omogoca, v kolikor je pravilno uporabljena/implementirana, dovolj visoko stopnjo varnosti za (skoraj) vsakogar. To pomeni, da bi cena napada na tako zascito presegala vrednost informacij, ki bi jih pridobil v primeru uspesnega vloma, torej se ne splaca. Sibki clen so ponavadi uporabniki.
Lahko pa hiso v alufolijo ovijes ;)
Prva stvar ki jo moras odmisliti je absolutna varnost. To ne obstaja. Druga stvar je to da je varnost vedno tradeoff usabilitya (torej, ce imas wifi ugasnjen si verjetno dosegel maksimalno stopnjo varnosti za wifi, ampak hkrati minimalno stopnjo uporabnosti :p). Tretja stvar, danasnja tehnologija omogoca, v kolikor je pravilno uporabljena/implementirana, dovolj visoko stopnjo varnosti za (skoraj) vsakogar. To pomeni, da bi cena napada na tako zascito presegala vrednost informacij, ki bi jih pridobil v primeru uspesnega vloma, torej se ne splaca. Sibki clen so ponavadi uporabniki.
Lahko pa hiso v alufolijo ovijes ;)
Zgodovina sprememb…
- spremenilo: overlord_tm ()
Law_Enforcer ::
Kot so ti že rekli, nastavi WPA2+AES in čim daljše (20+ znakov) najključno zgenerirano geslo. Ni ga junaka, ki ti bo vdrl v tako zaščiteno omrežje. Do takrat, ko bo v kombiju pred tvojo hišo uspel brute-forceat tvoje geslo, bomo mi že pri WPA4 in WiFi standardu P.
Major ::
Vsi ti svetujejo da uporabi varno (beri: dolgo) geslo, vendar to ni dovolj. Če res želiš zvišati varnost WiFija, poleg vseh napotkov, ki so ti jih predhodniki svetovali, uporabi tudi zelo dolg (unikaten) SSID.
@Law_Enforcer: ne rabiš bit v kombiju pred hišo, da brute forcaš :). To lahko počneš 1000 km stran.
@Law_Enforcer: ne rabiš bit v kombiju pred hišo, da brute forcaš :). To lahko počneš 1000 km stran.
IT Developer & Photography enthusiast.
Law_Enforcer ::
Major: SSID verjetno zaradi rainbow tabel? Razloži pa mi prosi, kako lahko crackneš WiFi 1000 km stran.
Major ::
SSID zato, ker je vključen pri generiranju Pairwise Master keya. Glede brute forcanja pa kot napadalec potrebuješ le nekaj kb prestreženega prometa. Razbijanje ponavadi opravi zmogljivejši računalnik (ki se ga navadno ne vozi v kombiju).
IT Developer & Photography enthusiast.
blackbfm ::
No dejmo bit bolj realni. Noben računalnik ne bo skrekal kvalitetnega gesla v nekem normalnem času. Če pa redno menjaš geslo pa ni šanse sploh. Sploh pa obstaja še nekaj drugih, bolj verjetnih načinov za vdor v mrežo.
Zgodovina sprememb…
- spremenilo: blackbfm ()
x.sci ::
WPA2-Enterprise + certifikati. Ampak zate bo dovolj WPA2 + dobro geslo. Redna menjava, ce si paranoik.
amigo_no1 ::
Zakaj bi vsake 3 tedne menjal geslo max dolžine ala
Kdo bo to bruteforcal ?
^"XE&=/V7P\5$\*b>~lb`=ii<$jXp"9">d>3]66@DsCf0@`KJ;uhZ+Ga2!RLot$pri WPA2 aes enkripciji ?
Kdo bo to bruteforcal ?
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
Major ::
Tole si vi čisto napačno predstavljate. WiFi omrežja se ne hacka on-the-fly. Če pustiš default SSID, ti tudi teh 63 random znakov čisto nič ne pomaga.
IT Developer & Photography enthusiast.
Major ::
As you may already know, guessing the password used in a WPA(2)-PSK key-negotiation is a computational-intensive task. During this process, more than 99.9% of the CPU-cycles have to be spent to compute what is known as the Pairwise Master Key, a 256-bit key derived from the ESSID and a password using the PBKDF2-HMAC-SHA1-algorithm. One of the major weaknesses of WPA(2)-PSK is that the Pairwise Master Key has no elements that are unique to the moment of the key-negotiation between AccessPoint and Station. It is therefor possible to pre-compute the Pairwise Master Key and store it for later use. In the moment of attacking a key-negotiation, we are left with the remaining 0.1% of what depends on session-unique data. It is therefore extremely valueable for an attacker to pre-compute large tables of Pairwise Master Keys for common ESSIDs.
@blackclw: ti se kar sladko smej, več kot očitno je da si strokovnjak na področju.
IT Developer & Photography enthusiast.
blackbfm ::
During this process, more than 99.9% of the CPU-cycles have to be spent to compute what is known as the Pairwise Master Key, a 256-bit key derived from the ESSID and a password using the PBKDF2-HMAC-SHA1-algorithm.
Tako poenostavljeno loh rečemo
PMK = SSID + geslo
Rainbow tabela ima PMKje vnaprej izračunane na podlagi pogostih ssidjev in slabih easy to guess gesel. Torej če imaš neko unikatno geslo, si s tem postopkom nič ne moreš pomagat.
Problem pri tebi je da mešaš dictionary attack in brute force.
Major ::
Rainbow tabele so različnih velikosti. Ponavadi vsebujejo PMKje slovarja (ker to zadostuje za 99% vdorov), teoretično lahko tudi vse možne kombinacije. Ne govori, da ni mogoče. Se strinjam s tem, kar želiš povedati. Za povprečnega uporabnika WiFija vse to sploh ni pomembno, ker je dovolj že 20 znakov dolgo geslo. Vse kar sem želel povedati je bilo kako enostavno dosežti "najvišjo" varnost za PSK metodo. Unique SSID + dolgo (močno) geslo - najbolje, kot si že sam predlagal, 63 random znakov.
+1
Sploh pa obstaja še nekaj drugih, bolj verjetnih načinov za vdor v mrežo.
+1
IT Developer & Photography enthusiast.
Zgodovina sprememb…
- spremenil: Major ()
Major ::
Ravnokar sem izvedel, da že obstajajo RT, ki skoraj dosežejo 63 znakov. Še vedno je za to potrebno shit-load storaga :)
IT Developer & Photography enthusiast.
Zgodovina sprememb…
- spremenil: Major ()
overlord_tm ::
To je treba a big shitload of storage.
En hash je 22.5B, pri 63 znakih, recimo da imas samo male crke in stevilke je to 22.5*25^63 bajtov .... to je ... just fckin huge
Recimo 351616833908884097852486475463777045136744099106444333381016607932215608690.327254864 yobibytov. Kar je zelo malo verjetno, ker je bil neki tedbnov vazaj objavljen clanek, da je kolicina podatkov ki smo jih ustvarili nekaj sto exabytov pomoje :)
PS: popravu stevilke, sem najprej za sha512 racunal.
En hash je 22.5B, pri 63 znakih, recimo da imas samo male crke in stevilke je to 22.5*25^63 bajtov .... to je ... just fckin huge
Recimo 351616833908884097852486475463777045136744099106444333381016607932215608690.327254864 yobibytov. Kar je zelo malo verjetno, ker je bil neki tedbnov vazaj objavljen clanek, da je kolicina podatkov ki smo jih ustvarili nekaj sto exabytov pomoje :)
PS: popravu stevilke, sem najprej za sha512 racunal.
Zgodovina sprememb…
- spremenilo: overlord_tm ()
SkyEye90 ::
Koliko časa pa recimo porabi računalnik da pretuhta geslo? Kaj gre vse svetovne kombinacije skozi?
Zakaj je recimo geslo "krneki" lažje ugotoviti kot "k54b4n6d58ew-??++-f465hh"?
Saj besede krneki itak ni v slovarju, sploh če dodaš še eno bogo številko. 1krneki ne bo nobeden ugotovil na pamet, torej kako bo računalnik prišel do tega?
Zakaj je recimo geslo "krneki" lažje ugotoviti kot "k54b4n6d58ew-??++-f465hh"?
Saj besede krneki itak ni v slovarju, sploh če dodaš še eno bogo številko. 1krneki ne bo nobeden ugotovil na pamet, torej kako bo računalnik prišel do tega?
x.sci ::
Vse ali pa samo doloceno podgrupo. Splaca se recimo najprej probat samo vse male crke + stevilke (tuki pade 1krneki, ker je pac vecina gesel take oblike), ce ne rata, razsiris nabor znakov. Seveda to pozre vec casa.
Sicer pa kje pise, da 'krneki' ni v slovarju? V tem primeru je slovar poljubna mnozica "pogostih" gesel, tipa secret123.
Sicer pa kje pise, da 'krneki' ni v slovarju? V tem primeru je slovar poljubna mnozica "pogostih" gesel, tipa secret123.
overlord_tm ::
Koliko časa pa recimo porabi računalnik da pretuhta geslo? Kaj gre vse svetovne kombinacije skozi?
Zakaj je recimo geslo "krneki" lažje ugotoviti kot "k54b4n6d58ew-??++-f465hh"?
Saj besede krneki itak ni v slovarju, sploh če dodaš še eno bogo številko. 1krneki ne bo nobeden ugotovil na pamet, torej kako bo računalnik prišel do tega?
Sprobava vse moznosti. Ce mas abecedo veliko recimo 35 znakov, in dolzino gesla n, potem obstaja 35^n razlicnih variacij gelsa. In v navadnem bruteforcu preizkusi vse. Obstajajo tudi take metode, ki preverijo samo bolj verjetna gesla in take, ki preverijo neka pogosta gelsa iz "slovarja".
Hitrost je pa odvisna od hardwara. openssl speed pri meni pravi da lahko naredi 700000 sha1 hashov na sekundo. Potem moras dodati se rezijo, kot je branje z diska, testiranje enakosti, bi rekel da je za kako cetrtino toliko gesel na sekundo mozno preizkusiti.
blackbfm ::
No cifre so bolj take, s povprečnim pcjem okoli 1000 gesel / sekundo (plus minus). Če preračunavaš z grafo zna bit dost hitreje. Ampak še vedno prepočasno za kakršnokoli praktično uporabo.
Driver_2k ::
Nekoč sem na netu zasledil neko tabelo, kjer so bili časi za razbijanje različnih vrst enkripcij za
vojaški in povprečni "domač" HW. Je bilo za WPA2 - AES kar impresivno videt, ampak čas kopni iz dneva v dan
ob hitrem napredku.
Pa nikjer ne najdem več linka...
vojaški in povprečni "domač" HW. Je bilo za WPA2 - AES kar impresivno videt, ampak čas kopni iz dneva v dan
ob hitrem napredku.
Pa nikjer ne najdem več linka...
blackbfm ::
Za geslo dolgo 10 alfanumeričnih znakov (male črke+cifre) povprečen pc rabi če sem prav izračunal maksimalno cca 115000 let da testira vse kombinacije.
Zgodovina sprememb…
- spremenilo: blackbfm ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Ojačanje zaščite domačega omrežja (strani: 1 2 )Oddelek: Omrežja in internet | 11346 (9673) | Yacked2 |
» | Odkrita ranljivost v WPA2Oddelek: Novice / Varnost | 10052 (8373) | denial |
» | Teroristi uporabljajo tuja nezaščitena brezžična omrežjaOddelek: Novice / Zasebnost | 6465 (4068) | madviper |
» | Slabost Wireless-aOddelek: Omrežja in internet | 3385 (3101) | Vice |
» | Wifi in varnostOddelek: Omrežja in internet | 2631 (2424) | amigo_no1 |