zabezpečení wi-fi sítí

[f-m]

Zdravím, zajímal by mě názor na bezpečnost wifi síti.

1) jak je co nejlépe a nejbezpečněji zabezpečit?
2) jak chránit note/netbook proti napadení přes tyto wifi sítě (např. veřejné wifi atd.).

Jaké mi hrozí nebezpečí když se mi někdo dostane do moji špatně zabezpečené wifi? (kromě toho, že bude využívat internet)

Co jsem tak nějak pochopil, tak nejbezpečnější bude řešení wpa2-psk, šifrování AES, skryté ssid, filtrace mac adres, atd. Je tento způsob 100% bezpečný nebo už je možné i toto prolomit a nejlepší je kabel?

Zvládl by mi někdo poradit jak to nastavit na "Zyxel Prestige 660HW-T3"? Máte někdo zkušenosti s tímto modemem/routerem. Nějak se v tom nemůžu zorientovat a najít tam, zabezpečení WPA2-PSK. Nebo tam není?

Díky.

[computerman]

1) 100% zabezpečení není! To zabezpečení co jste popsal je skoro maximum co můžete udělat. Vynechal bych to skryté SSID (teď mě asi budou kamenovat). Považuji to za nezdvořilost vůči okolí. Router který uvádíte neznám, ale pokud podporuje Enable Auto Channel Scan, tak ho doporučuji zapnout. Router si potom vybere sám volný kanál. K šifrování kromě AES pokud to jde zapněte ještě TKIP. Samozřejmě nezapomeňte na silné heslo.
2) Ochrana NTB je následující, kvalitní a dobře nastavený antivir a firewall. A samozřejmě myslet při tom kam lezu!

[Vao02]

Já jen doplním tip ... v pravidelných časových intervalech měnit heslo sítě! ( kvalitní heslo samozřejmě ).

Pokud se týká těch MAC adres, tak to prý je prakticky k ničemu, protože se to prý dá prolomit během několika minut = ztráta času s nastavováním.

Pokud by člověk chtěl opravdu vyšší level zabezpečení, tak by musel přejít na politiku zabezpečení pomocí certifikátů atd. A to je pro domácnost asi zbytečné ( pokud to teda někdo neumí z voleje nastavit a nakonfigurovat a nemusí kvůli tomu dva dni googlit a hledat a s studovat co a jak )

Co je ale stěžejní a daleko důležitější je mít dobře nakonfigurovaný fw na jednotlivých počítačích doma. Tzn. pokud nemám čas, tak to málo času investovat do nastavení fw na ntb, desktopu.... Je lépe k tomu přistoupit jako kdyby byl ten daný komp. napojen rovnou do džungle netu. A pokud potřebuji něco sdílet,tak tomu "ušít" pravidlo na míru ve firewalu/lech těch jednotlivých kompů. Důvod je jasný, pokud by se někdo dostal do té sítě, tak ať narazí na zeď, kterou nepřeleze. Takto si myslím, že to pro domácnost stačí. Dokonce si myslím, že pro domácího uživatele je to maximum co je schopen udělat. Více už je záležitosti profi/very advanced user. Nejdůležitější ochrana je ale samozřejmě používat rozum ... teda pokud ho někdo má

WPA2-PSK by měl být dnes už standard a samozřejmost, pokud to není nějaký starší router, tak hledejte, někde to tam bude Buď se to konfiguruje stylem další další při zapnutých obou přístrojích a oni se automaticky spárují. Nebo se musí přepnout do manuálu a tam si potom navolíte heslo, typ šifrování sám. To si potom zadáte i při konfiguraci wifi na ntb. Vše přes webové rozhraní... někde tam bude wifi access x wireless setting atp.

Co se týká toho skrytého SSID, tak mám za to, že lidé co se zabývají hackingem si tu síť najdou ať je skrytá nebo ne ( možná to má význam proti puberťákům od vedle ), takže ona zdvořilost je věcí, která stojí za zvážení. Ale tohle by musel někdo, kdo se v tom opravdu vyzná, aby řekl skrýt je zbytečné, já to stejně najdu během minuty versus skryté SSID je pro mě problém a je to opravdu zásadní pro bezpečnost.

[computerman]

Loni na jednom školení o zabezpečení WiFi jsme i prolamovali zabezpečení. Najít skryté SSID trvá asi jednu minutu. Prolomit WEB do pěti minut. WPA do 15 minut, WPA2 jednu až dvě hodiny. Odposlechnout MAC do pěti minut. Vše za předpokladu, že danou sítí tečou data. Samozřejmě čím kratší a jednodušší heslo tím je průnik jednodušší. Heslo by mělo vypadat asi nějak takto KJU578*dsf_bhr523vcsdretEDEG658\sew+g,j. Do hesla dejte velká a malá písmena, číslice, zvláštní znaky (-+_/,.).
U toho prolomení WPA2 nemusíte mít až takový strach, protože je to velmi náročné, používá se placený SW, který využívá výpočetní sílu grafické karty. Ze svého okolí neznám nikoho, kdo by to zvládl.

[sudanec]

Loni na jednom školení o zabezpečení WiFi jsme i prolamovali zabezpečení. Najít skryté SSID trvá asi jednu minutu. Prolomit WEB do pěti minut. WPA do 15 minut, WPA2 jednu až dvě hodiny. Odposlechnout MAC do pěti minut. Vše za předpokladu, že danou sítí tečou data. Samozřejmě čím kratší a jednodušší heslo tím je průnik jednodušší. Heslo by mělo vypadat asi nějak takto KJU578*dsf_bhr523vcsdretEDEG658\sew+g,j. Do hesla dejte velká a malá písmena, číslice, zvláštní znaky (-+_/,.).
U toho prolomení WPA2 nemusíte mít až takový strach, protože je to velmi náročné, používá se placený SW, který využívá výpočetní sílu grafické karty. Ze svého okolí neznám nikoho, kdo by to zvládl.

Prosim vas, vy viete prelomit wpa2 za 1-2 hodiny, alebo poznate niekoho, kto ano? Ak hej, chcem s nim hovorit. Ak mate dostatocne nahodne a dostatocne dlhe heslo na WPA2, tak utokom uplnym preberanim to proste nezlomite v realnom case (urcite to nie je otazka par hodin). Ak ste naozaj boli na prednaske, kde vam to tvrdili, hodte mi, prosim, kontakt na prednasajuceho.

[computerman]

Na přednášce jsem byl, prolomení WPA2 bylo ukázáno na jednom stroji a trvalo to necelé dvě hodiny. Běžel tam ruský SW, který využívá GK. Pravdou je, že heslo bylo krátké, ale ne slovo. Kontakty nesbírám, ale zeptám se kolegy.

[Vao02]

... jak to nastavit na "Zyxel Prestige 660HW-T3"? Máte někdo zkušenosti s tímto modemem/routerem. Nějak se v tom nemůžu zorientovat a najít tam, zabezpečení WPA2-PSK. Nebo tam není?

No podle mě by to měl umět, hledejte... výpis z tech. specifikace dodávané výrobcem

WLAN:
802.11g s rychlostí až 54Mbps
802.11b
64/128/256 Bits WEP šifrování
Dynamický WEP klíč
802.1x Port-based ověření
WPA(Wi-Fi Protected Access),WPA2
WPA-PSK,TKIP
Podpora externího RADIUS Serveru
Filtrování MAC adres

[f-m]

Co znamená položka "Block traffic between WLAN and LAN" v nastavení wireles lan? Pokud jsem to pochopil, tak by to měl být nějaký přenos mezi lan a wifi, takže třeba nějaký záškodník na wifi nebo nějaký nebezpečný nakažený počítač na wifi, nebude mít přístup do pc připojených kabelem a nemůže jej tak nijak ohrozit?

Nebo se pletu? Slouží to k něčemu jinému? K čemu?

[sudanec]

V podstate ano. Ide o to, ze WLAN je prakticky rizikovejsi ako LAN, pretoze nad tym, kto Vam stuchne kabel do krabicky, mate trochu lepsiu kontrolu. Teda, takto sa predchadza potencialnemu riziku pri zdielani suborov/tlaciarni v sieti, atp.

[f-m]

V podstate ano. Ide o to, ze WLAN je prakticky rizikovejsi ako LAN, pretoze nad tym, kto Vam stuchne kabel do krabicky, mate trochu lepsiu kontrolu. Teda, takto sa predchadza potencialnemu riziku pri zdielani suborov/tlaciarni v sieti, atp.

Jasně, takže když to zaškrtnu, tak se nikdo připojený přes wifi nedoste k pc připojeným LAN.

Jde i o to, že pokud budu mít přes lan pc pro přístup např. do banky, tak aby se tam nikdo přes wifi nijak nenaboural...

P.S.:Když si v AP vypnu vysílání SSID, jak se pak k tomuto AP budu moc připojit? Windows jej přece neuvidí...
Jak to funguje?

[sudanec]

Tomu s argumentom ohladom banky asi nerozumiem, pretoze ak ste pripojeny cez kabel, tak komunikacia medzi vami a bankou tecie cez kabel do routru, a potom do sveta. Komunikacia je asymetricky sifrovana, takze snad by to nemal byt problem.
Naburat v zmysle napadnut samotny pocitac - okay.. ono by to malo byt osetrene na trochu inej urovni, pretoze ak pripustite, ze Vam vadia utoky niekoho z WLAN, ak by ste komunikaciu LAN/WLAN mali povolenu, tak Vam musia vadit aj tie celkom z vonku - a treba si to osetrit prislusnym nastavenim firewallu a dalsich bezpecnostnych prvkov PC.

Vypinat vysielanie SSID sa neoplati - paradoxne to znizuje bezpecnost siete (argument preco nie je celkom trivialny, tak ho sem nepisem). Teda to radsej nerobte ak nemusite. (windows by takto nenasiel priamo siet s jej nazvom, ale upozornil by Vas, ze su dostupne dalsie siete, ku ktorym nepozna SSID - teda by ste to SSID museli napisat rucne)

[f-m]

Jen ještě taková otázečka. Zabezpečení wep, wpa a wpa2 je vlastně to samé, jen že wep je starší a wpa(2) jsou už novější a bezpečnější.?
Jen totiž nechápu proč se to v routeru nastavuje tak divně, že wep se nastavuje jinde a pokud chci místo wep zapnout wpa nebo wpa2 tak to musím nastavit jinde, což je pak divné...
Nebo je to něco jiného a jde zapnout i wep a wpa?

[sudanec]

Nad WEP radsej ani nerozmyslajte, je to zabezpecenie, ktore aj menej skuseny pouzivatel zlomi s pomocou prislusnych nastrojov za par minut vratane ich stiahnutia a instalacie.
WPA/WPA2 je nove zabezpecenie, ktore nema chyby, ktore mal WEP.
Nie je to to iste len s novym nazvom, je to fakt nieco ine.
Ako sa to nastavuje v routri - to je uz vec skor vyrobcu routru.. a nerad by som sa k tomu vyjadroval.
Oboje naraz nepojde zapnut.

[f-m]

...
Ako sa to nastavuje v routri - to je uz vec skor vyrobcu routru.. a nerad by som sa k tomu vyjadroval.
Oboje naraz nepojde zapnut.

No našel jsem toto, konkrétně tuto možnost. Pokud jsem to správně pochopil, tak tedy wpa2 se dá zapnout a je potřeba nejprve zvlášť vypnout wep. Nechápu proč je to tak blbě řešené a nastavuje se to na dvou místech...

Popřípadě možná přemýšlím nad nákupem lepšího routeru nebo AP, kde by bylo větší možnosti zabezpečení. I když možná třeba toto bude stačit, co ale nikde nemůžu najít, je zakázání přístupu do administrace routeru přes wifi.

P.S.: je nějaký rozdíl mezi SSID a ESSID

[sudanec]

Ten router je pre domacu siet v pohode, neviem, preco by ste ho menili. Normalne si date WPA a je to vybavene. Administracia z wifi.. velmi by som to neriesil, aj ked podla mna to nejak nastavit pojde (mozno to bude kdesi okolo obmedzenia komunikacie wifi/newifi).
SSID a ESSID je v podstate to iste; videl som rozlisovat klientsku a serverovsku autentifikaciu, ale netreba to riesit.