Безопасный тип шифрования

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Rastamanka, 28 Jan 2010.

  1. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    443
    Likes Received:
    11
    Reputations:
    7
    Какой на данный момент тип шифрований Wifi самый надежный?
     
  2. Kastor

    Kastor Elder - Старейшина

    Joined:
    19 Jan 2010
    Messages:
    129
    Likes Received:
    19
    Reputations:
    13
    WPA2 (он же 802.11i). Есть два вида: Enterprise (для этого нужен отдельный RADIUS сервер) и Pre Shared Key (PSK - подходит для домашних сетей так как не требуется никаких серверов). Задаете пароль длиной от 8 до 63 символов и пользуетесь.

    WEP уже давно надежным не считается.
     
  3. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    443
    Likes Received:
    11
    Reputations:
    7
    Ну я использую WPA2-Personal.
    С использованием TKIP+AES и паролем длиной 16 символов.
    Плюс с доступом по MAC адресу
    Какова вероятность его взлома?
     
  4. Kastor

    Kastor Elder - Старейшина

    Joined:
    19 Jan 2010
    Messages:
    129
    Likes Received:
    19
    Reputations:
    13
    Я знаю, что бы взломать такую защиту необходимо перехватить пакет который передается в сети только при подключении клиента к сети. То есть надо ждать пока клиент подключиться или деаутентифицировать его специально. Потом еще придется подбирать пароль по словарю, и если чесно, я даже не знаю где можно взять словари в которых будут пароли по 16 символов. Можно их конечно самому сгенерировать, но количестко комбинаций будет огромным.
    Доступ по маку это тоже хорошо. Если ты так сильно переживаешь за свою сеть, то могу еще посоветовать снизить мощность сигнала на точке доступа, чтобы ее не было видно за стенами помещения и скрыть SSID. Ну, в общем стандартный набор, ничего нового.
     
    1 person likes this.
  5. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    443
    Likes Received:
    11
    Reputations:
    7
    SSID у меня скрыт постоянно. Сигнал дальше моей квартиры почти не уходит :)
     
  6. F&D

    F&D Member

    Joined:
    6 Nov 2008
    Messages:
    341
    Likes Received:
    8
    Reputations:
    5
    Вообще в идеале конечно же WPA2 (или стандарт 801.11i) – это финальный вариант стандарта безопасности беспроводных сетей. В качестве основного шифра был выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также как и в WPA, в WPA2 есть два варианта аутентификации WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом.

    А вообще для большей безопасности:
    - Отключение широковещательной рассылки ESSID
    - Фильтрация MAC-адресов

    В первом случае точка доступа не передаёт в открытую свой ESSID. Для подключения к такой сети нужно знать её ESSID. Если не знаешь – то подключиться не можешь. Во втором случае возможны три варианта конфигурации.
    1. Точка доступа принимает соединения во всеми беспроводными устройствами, вне зависимости от их MAC-адреса.
    2. Точка доступа НЕ принимает соединения с беспроводными устройствами, MAC-адреса которых заданы в списке на самом устройстве. Все остальные устройства МОГУТ подключаться.
    3. Точка доступа принимает соединения ТОЛЬКО с теми устройствами, MAC-адреса которых заданы в списке на точке доступа. Все остальные устройства НЕ МОГУТ подключаться.

    И в итоге - шифрование WPA2, отключение широковещательной рассылки ESSID, и фильтрация MAC-адресов по третьему пункту.
     
  7. Kastor

    Kastor Elder - Старейшина

    Joined:
    19 Jan 2010
    Messages:
    129
    Likes Received:
    19
    Reputations:
    13
    Ну, осталось тебе только систему обнаружения вторжений поставить IDS и злобным вардрайверам вобще деваться некуда :)
     
  8. sotoneev

    sotoneev New Member

    Joined:
    25 Jan 2010
    Messages:
    8
    Likes Received:
    2
    Reputations:
    5
    "Спрятанный" SSID лишь дополнение к защите от дурака, чтоб не долбились блондинки c розовых ноутов, да не дергали точку все подряд, но не более.
    Странно вот почему китайцы не докнокали до того чтоб воткнуть хыть в одну свою даже самую дорогую но всё же SOHO (домашне-офисный ширпотреб) поделку хотябы простейший радиус-сервачек, для параноиков :)
    Всяки глючные VPN-сервера, USB, кастрированные Самбы, мульти-SSID :eek: и т.п. хлам впихивают влёт, попутно ужирняя цветастые кнопочки и без того тормознутых веб-интерфейсов... а вот серверная часть радиуса в этом классе оборудования прям в тотальном игноре. Создал бы акаунты в базе радиуса прям на роутере, и порядок :)
     
    #8 sotoneev, 29 Jan 2010
    Last edited: 29 Jan 2010
  9. Kastor

    Kastor Elder - Старейшина

    Joined:
    19 Jan 2010
    Messages:
    129
    Likes Received:
    19
    Reputations:
    13
    Ну, блондинок как раз можно пустить и одарить халявным инетом)

    Хм, я об этом никогда не задумывался. Может на то есть причина? Допустим, когда сервер и АР независимы друг от друга, то это как то повышает безопасность? (как то по детски сказал, надо еще раз детально изучить все про аутентификацию на RADIUS)
     
Loading...