Do diskuse momentálně není možné vkládat příspěvky. Děkujeme za pochopení.
Úvod > Diskuse > Technické otázky > Zabezpeceni wi-fi

Zabezpeceni wi-fi

MartinCZ (22.1.2007 18:49:18)

Zdravim, v pouzivani wi-fi jsem zacatecnik. Mam propojene se dve znamyma pocitace (internet) venkovni antenou 8dBi a tady na sidlisti to ma tedy slusny rozsah. Mam nastaven WPA klic k zabezpeceni, jde pouze o numericky kod, 10 cifer. Da se to pokladat jako dostatecne zabezpeceni? Rozumejte, nevim, nakolik lehce lze tuto ochranu prekonat. Uvazuju i o povoleni jen nasich MAC adres. Ale zas to nechci zbytecne paranoidne prehanet. Vim ze prekonat lze v podstate vse, ale berte mou otazku s ohledem na obycejne uzivatelske pouzivani na sidlisti, kde je jinak asi 15 dostupnych siti s ruznym zabezpecenim... Proste jestli je hodne pravdepodobne, ze by se na nas nekdo nejakym lehkym zpusobem napichnul (bruteforce, nejakej worm, nebo crack... ). Takze proste a jednoduse, zda mam byt s WPA vklidu, anebo jeste neco, pripadne co podniknout. Mam EDIMAX AR-7064SG+B, ADSL 2+ Diky moc.

Anonym (22.1.2007 20:10:02)

Dobrý večer, šifrování všeobecně zpomaluje a komplikuje komunikaci, takže toho nejsem přítelem (pokud to není nezbytně nutné!). Navíc pokud jdete např. na internetové bankovnictví či jen třeba mail na Seznamu (https), tak tam probíhá komunikace šifrovaným kanálem, tak proč to šifrovat ještě raz? Prostě záleží na tom, na kolik vám vadí (či nevadí) to, že by někdo mohl odposlouchávat ostatní komunikaci (WWW, nešifrovaný mail atd.) Každé bezpečnostní opatření má totiž svoji odvrácenou stránku (menší pohodlí pro uživatele, tzn. nastavování všelijakých hesel, klíčů apod.) Navíc dneska je toho provozu všude možně tolik, že kdo by se trápil s tunami zachycených paketů zrovna z Vašeho AP a dešifroval, co, kdo, jak, proč??? :-) Z vlastní zkušenosti bych doporučil následující: Přístup k Vašemu AP povolte pouze pro MAC adresy (SSID) Vašich známých. Dále můžete vypnout "Broadcast SSID" na Vašem AP, aby to někoho neprovokovalo pokoušet se připojit na Vaše AP. (Vaše AP nebude vidět v seznamu dostupných sítí.) A hlavně Vás prosím - jestli ten Edimax umí regulovat vyzařovací výkon pro to Wi-Fi, poregulujte to. Všude (hlavně ve městech) je tolik bezohledných "přehulovačů", všichni se navzájem ruší a celá technologie Wi-Fi tak pomalu upadá do kytek. :-( Zdravím! Přeji hezký večer!

kritizátor (22.1.2007 20:15:32)

...zapomněl jsem vyplnit své jméno

MartinCZ (22.1.2007 20:27:40)

Diky za odpoved. Ani nejde o odposlouchavani jako o to, aby se k nam nekdo nepripojil a nezatezoval nam linku. Nic vic. Ale to omezeni na MAC tedy udelam. Na regulaci se podivam, ale mame to tezke, nas panelak (vsichni tri jsme na jedne strane panelaku) je poctivy zelezobeton. Takze jediny zpusob sireni signalu je smerovou antenou (30°), ktera to posle naproti na budovu obchodniho strediska a ostatni tak chytaji odraz. Zatim nic lepsiho jsem nevymyslel ani nikde nenasel. Skrze elektriku jsme se nedostali a kabely nejdou v tomto pripade pouzit.

Anonym (22.1.2007 23:05:34)

No,pokud jste na stejný straně paneláku,tak stačí se trochu vyklonit z okna a uvidíte se.Takže stačí na okno přimontovat směrové antény,které budou cca o 30 cm vystrčené do prostoru ven z okna a pojedete napřímo a nemusíte nic chytat odrazem - to je totiž ta největší prasárna.

Martincz (22.1.2007 23:17:25)

To ale zvýší náklady, protože výhoda je v tom, že jim stačí karty, takhle by museli dát alespoň 10 metrový kabel plus anténu... nikdo nemá komp přímo u okna... Ale jinak to chápu a rád bych našel jiné řešení...

Anonym (23.1.2007 06:27:43)

Je mi jasný,že chceš ušetřit,ale tvůj způsob síření signálu je prasárna.Pokud by skutečně nebyla jiná technická možnost,tak to chápu,ale ty to řešení máš a není nijak složité,tak jsi normální wifi prase.Pak se všichni wifisti diví,že jim kdekdo nadává do grilovačů ptáků apod.Představ si,že někdo s protějšího domu by pouštěl wifi na váš dům a chytal to odrazem,tak si ani neškrtnete.Nevím co je nákladného na pár metrech kabelu a držáku s anténou (kabel ca 12,- Kč/m,konektor cca 60,- Kč/kus,anténa - plechovka od párků).Tímhle řešením nezarušíš půl města,bude stačit mnohem menší výkon a spojení bude stabilnější a rychlejší.

Anonym (23.1.2007 11:57:24)

Kabel vhodný pro WiFi za 12 jsem nikdy neviděl a plechovka se rozhodně nedá považovat za anténu.

Martincz (23.1.2007 14:16:46)

Jak zaridit aby se pri uziti anteny v podobe plechovky vyzaroval signal jen smerove. Ta plechovka je stineni a drat tvorici antenu je uvnitr? Jake musi mit rozmery, kdyz vlnova delka wifi je ~12cm? Dvojnasobek hadam?

Sergey (23.1.2007 15:30:47)

http://www.simandl.cz/stranky/czfreenet/anteny/anteny.htm

Martincz (23.1.2007 18:04:26)

diky, mrknu se

Anonym (30.1.2007 07:29:51)

Martine, tohle forum je převážně o ADSL, tvoje dotazy spíše směruj na forum na www.czfree.net, kde je plno wifistů a je tam i návod na výrobu antény z plechovky.....určitě ti tam poradí lépe než tady....na tvém místě bych se spíše pokoušel spojit po ethernetu, ale neznám konkrétní podmínky v paneláku

Martincz (31.1.2007 11:08:29)

Ahoj, diky ti! Mrknu i tam, tady to mam jen zazite, takze jsem se sel nejdriv poradit sem :-) Jinak eth. prave v tomto pripade mozny neni. Nelze vrtat.

Anonym (31.1.2007 12:25:36)

A venkem po fasádě pod okny to nejde?

Martincz (31.1.2007 15:05:20)

Prave ze nejde, probelmy se zateplenim, plastovymi okny a nutnosti projit pres prostredni chodbu a cesta je navic do tvaru Z. MAras. Ted to takto funguje jen to optimalizovat :-)

MartinCZ (23.1.2007 14:15:07)

Psal jsem hned na zacatku, ze jsem wi-fi zacatecnik. Ale tvoje vytky beru. Zkusim pohledat nekde navod na to, jak udelat ten kabel za 12/metr, protoze kupovany antenni kabel v delce 10 metru ma pry velky utlum signalu a rozhodne nestoji co pises. Pro delsi kabel to vidim na mensi utlum, aspon 0.22dB/m co jsem nejlevneji videl za 58,-Kc, tedy kabel (a i to mi pri tak dlouhem kabelu - 10metru - nedoporucovali) prijde na 580,- + cena anteny (nebo vyroba) a to pro kazdeho uzivatele. A mit prachy navic, nereknu, ale mit ty penize, nemusime se delit o net s ostatnima a poridime si kazdy svuj. Signal nechavam odrazet od budovy obchodniho strediska, nikoliv od panelaku. Jakmile se olisti stromy, bude se to odrazet od nich (20 metru od domu). Presto jine reseni hledam. Pokud bych se skutecne dopatral za levny peniz ke smerove antene, byl bych jen rad... Za kazdy navod budu vdecny...

Anonym (23.1.2007 16:21:34)

Zkus třeba www.wifishop.cz,tam mají ten kabel za 12,- /m a nebo zkus nějaké wifi forum,tady je to adsl forum a moc zkušeností s wifi tu nebude.

Martincz (23.1.2007 18:04:43)

diky, mrknu se

Paja (22.1.2007 22:34:03)

Tak nevim jestli je moudre vypnout SSID Broadcast protoze pak kdyz si nekdo postavi novou sit wi-fi tak to muze dat na stejny kanal a mohlo by se to dost rusit!

kritizátor (24.1.2007 11:01:31)

Dobrý den, vycházel jsem z faktu, že na sídlišti už bude prostředí zarušené tak, že základní 3 nerušící se kanály už budou obsazené a těch zbylých 10 s největší pravděpodobností také. Jinak máte jistě pravdu s tím, že by bylo vhodné, aby se všichni navzájem „viděli“, ale stejně - obávám se, že všeobecně je více těch přístupových bodů, které mají BSSID vypnuté. Zdravím!

radoch (24.1.2007 15:51:23)

Dobrý den, připojím se se svým dotazem - jak na seznamu dostupných wi-fi sítí poznám, na kterém kanále každá z nich jede, abychom se navzájem nerušili? Předem díky za odpověď!

Paja (24.1.2007 21:05:15)

Zalezi to na konkretnim vyrobci, treba Ovislink pise v seznamu dostupnych siti i kanal, ale d-link to tam nepise takze se musi vybrat sit u ktere chci zjistit kanal a pripojit, ono se to treba nepripoji na tu sit ale pak to pise na jakym kanalu to jede. Pokud mam wi-fi na notebooku tak muzu pouzit program Netstumbler, ten najde vsechny site i ty ktere nevysilaji SSID a taky vypise kanaly. Pro kritizatora: podle me je jednoduzsi nastavit u kazdeho zarizeni stejny klic nez pridavat vsechny MAC adresy. Jinak sifrovani bere z celkoveho vykonu v radech jednotek % a komunikaci nijak nekomplikuje.

kritizátor (25.1.2007 00:30:04)

Dobrý den, přinutil jste mě, abych se tímto zaobíral. :-) Nechci zde šířit nějaké bludy a vlastní zkušenost s šifrováním Wi-Fi komunikace nemám - nešifruji ji. Mám pouze teoretické odhady, takže jsem raději pohledal a pomocí Googlu jsem našel zajímavý elaborát po zadání těchto 4 slov: using WEP decrease throughput. Je to hned první odkaz (na PDF soubor). Jedná se o univerzitní projekt, takže věřím, že mu lze přikládat velkou váhu. Netřeba v něm dlouze listovat, stačí nahlédnout do abstraktu, kde se píše (cituji, překládám): "Výsledky ukázaly, že WEP šifrování výrazně degraduje výkon zatížených bezdrátových sítí. Výkon sítě se snižoval při rostoucím počtu klientů při všech bezpečnostních mechanizmech." Ve shrnutí lze pak ještě najít větu (cituji, překládám): "U nezatížené sítě se její výkon snížil při zvýšení bezpečnostních opatření." Pojďme to shrnout: Při použití WPA (což používá silnější algoritmy než WEP) lze předpokládat, že vliv šifrování na rychlost bude znát mnohem víc. Vliv šifrování se také projeví při více klientech na jednom AP a při zatížené síti. Udělal jsem ještě jednoduchý test - analogický testu „Wi-Fi se šifrováním VERSUS Wi-Fi bez šifrování“: https://www.seznam.cz (šifrováno, načtení stránky obnášelo 159 paketů) http://www.seznam.cz (nešifrováno, načtení stránky obnášelo 128 paketů) Zdravím!

bukaj (23.1.2007 15:10:28)

Filtrovani MAC a SSID hidding je ztrata casu. Reseni je WPA2 a silny klic (A-Z, a-z, 0-9, vsechny ostatni znaky) Takovy klic pak vypada asi takto: ^'Zmj3p{Kai_hbK&NWf09'W'u?e30A{B@j5?~?hWQv`)PH~,-A(LNT{T$uq#kA3

MartinCZ (23.1.2007 18:05:03)

ok, diky ti!

bramborka (24.1.2007 01:19:04)

bukaj: Není to trochu paranoia? Co takhle klíč složenej z malých+velkých písmen a číslic - to je myslím 62 různých znaků. Pokud bude mít heslo celkem 10 znaků, tak počet různých kombinací je 62^10=839299365868340224. Pokud by se při lámání toho hesla zadařilo už dejme tomu při vyzkoušení pouhé desetiny kombinací a pokud by se lámalo tryskovým tempem milion kombinací za sekundu, tak doba k prolomení hesla je 2661 let!

kritizátor (27.1.2007 12:09:02)

Dobrý den, tady je totiž samý paranoik a Wi-Fi hacker :-), budu jmenovat: autor: Anonym, napsáno: 26. ledna 2007 v 14:02 autor: tark, napsáno: 25. ledna 2007 v 18:58 autor: bukaj, napsáno: 23. ledna 2007 v 15:10 autor: Anonym, napsáno: 26. ledna 2007 v 22:22 Jednou jsem viděl nějaký dokument, že v USA (skoro) všichni zamykají baráky (což pro našince je asi samozřejmost), ale v Kanadě se dá normálně komukoliv vejít do domu, protože tam se (skoro) nezamyká. Hádejte, v které z těchto dvou zemí je nižší zločinnost? :-) Má to nějakou souvislost se zabezpečením Wi-Fi, které se zde ve fóru řeší? :-) Zdravím!

bukaj (1.2.2007 00:28:33)

odpoved: ne, zadnou souvislost to nema...

kritizátor (24.1.2007 10:52:08)

Pane Bukaj, to jak jste smetl moji reakci pouze poukazuje na fakt, že jste problém pana MartinaCZ absolutně nepochopil, nemáte o něj zájem a využil jste ho akorát k tomu, abyste poukázal na svoji "moudrost". Shrnu to pro Vás ještě jednou: Šifrování ZPOMALUJE a KOMPLIKUJE komunikaci, znamená MENŠÍ POHODLÍ pro uživatele, tzn. nastavování všelijakých hesel, klíčů apod. Panu MartinoviCZ jde zřejmě hlavně o to, aby se do jejich sítě nepřipojil nějaký náhodný Wi-Fista, odposlouchávání běžného provozu (např. HTTP) mu až tak nevadí. K tomuto stačí MAC filtrování. Skrytí BSSID má sloužit pouze jako prostředek pro NEupozorňování na sebe v seznamu dostupných sítí. (Vámi zmíněné "SSID hidding" nevím co znamená - to je asi nějaké Vaše interní označení.) Jinak z Vašeho příspěvku odezírám, že si život komplikujete nejen složitými a zbytečnými klíči, ale i tím, že jste uvedl svoji e-mailovou adresu ve tvaru něco[at]něco[dot]něco. Pro Vaši informaci: Spamboti nemají s přelouskáním takovéhoto tvaru žádný problém! Zdravím, přeji pěkný den.

Martincz (24.1.2007 17:40:53)

Diky za pomoc i rekaci, pockam jeste tedy na par odpovedi a uvidim, jak to zaridim. Zda se v tuto chvili, ze 1/ mam nevhodne sireny signal, podle zdejsich reakci asi dost rusim okoli distruibuci odrazem od steny protejsi budovy, zkusim to napravit. 2/ se musim rozhodnout, jake zabezpecni zvolim, zda klic, nebo jen MAC adresy...

Anonym (26.1.2007 14:02:43)

Jenom, taková poznámka. Pokud se spolehnete pouze na MAC filtering, průměrně zkušenému člověku bude trvat asi tak 5s, než odsniffuje vaši MAC, naklonuje ji a píchne se na vás. Šifrování pomocí WEP nebo WPA je dobré minimálně k tomu, že to odradí různé podnikavce, kteří radši zkusí jinou, méně zabezečenou síť. Jinak, pokud bydlíte na sídlišti, bezpečnost bych ROZHODNĚ nepodceňoval. Minimum, co by se vám mohlo stát je, že přes vás začne někdo rozesílat spam...

Martincz (27.1.2007 10:20:18)

Troufám si tvrdit, že na tento příspěvek jsem čekal. Skutečně jsem vlastně chtěl vědět, co se z dnes běžně dostupných prostředků nedá využít k nabourání. Takže WPA ponechám, pro jistotu zvolím nové pass. Tak teď snad už jen vhodně vymyslet omezení antény...

Anonym (26.1.2007 22:22:49)

:) mac filtrovanie je velmi slaba ochrana, staci snifferom zistit mac adresy nastavit si mac adresu a je to! :) BSSID aj ked je "skryte" sa da zisti NetStumblerom, takze opat sa to neda povazovat za ochranu. Jedina realna ochrana je WPA-WPA + RADIUS

tark (25.1.2007 18:58:51)

Rozhodne nesouhlasim s Anonymovym nazorem, ze se nevyplati sifrovat... Sam mam docela silne sifrovanou i blbou domaci sit.. http://continuer.nfo.sk/67-asus-wl500g-jak-zapezpecit-wifi.html

Anonym (28.1.2007 19:01:12)

prosimvas ty co radi nezabezpecovat wifi site vsechny vystrilejte .. to jsou kreteni prvotridni .. jeste napise ze kdyz mas el. bankovnictvi tak uz neni treba dalsi sifrovani ..

kritizátor (28.1.2007 19:10:45)

:-D

kritizátor (28.1.2007 19:13:01)

:-D Taky dobré! Přidávám si vás do seznamu (vizte můj příspěvek): autor: kritizátor napsáno: 27. ledna 2007 v 12:09

Anonym (30.1.2007 07:32:19)

vážený pane kritizátore, až někdo z vaší nezabezpečené wifi sítě udělá nějakou lumpárnu...a že takových lidí je u nás dost...tak potom vše padne na vás, vy jste jako vlastník sítě povinen ji zabezpečit, tak tady nevykládejte nesmysly a nepleťte začátečníky.

Anonym (28.1.2007 19:01:12)

prosimvas ty kreteny co radi nezabezpecovat wifi site vsechny vystrilejte .. to jsou kreteni prvotridni .. jeste napise ze kdyz mas el. bankovnictvi tak uz neni treba dalsi sifrovani .. co jsou to za magori tohle??

rejnss (30.1.2007 19:51:26)

nejlepsi zabezpeceni je zakazane DHCP a povolovani mac adres. A rozsahy ip adres nejakej netypicke zaden 192.168.0.0. ale treba 10.20.2.0/24 :o) Myslim ze takoveto zabezpeceni vam nikdo cizí který vasi sít nezna neprolomí

Anonym (30.1.2007 22:58:48)

Ano neprolomí. Asi tak pět minut. Stačí odposlechnout pár paketů a končíš.

tark (31.1.2007 20:50:32)

Ja bych to udelal maximalne jak jde, to u me znamena WPA-PSK (30 znakovy klic ruznych znaku...) + TKIP + omezeni MAC + skryte SSID... Jen vypnute DHCP nechci, staticke adresy nechci i za ukor mensiho zabezpeceni.. :-)

Nargon (1.2.2007 00:48:40)

Podle me, nejlepsi zabezpeceni je vypnuti wifi a natazeni kabelu.

Anonym (1.2.2007 01:15:27)

Tak to každopádně... Bohužel, ne vždy se to dá použít.