wireless állandóra

Zilahy Andra's picard at hdsnet.hu
2006. Feb. 23., Cs, 17:33:01 CET


Hi!

Bálint István írta:

> Köszönöm a hozzászólásokat.
> A WEP-ről épp most olvastam, hogy könnyen törhető. Még a program is 
> ingyen letölthető hozzá a netről. A MAC - addresst pedig demo céllal a 
> minap mutatták be, hogyan lehet megszerezni és utána hamisítani (5 
> perc alatt ment egy linuxos laptopon, ingyenes programmal - 
> mac-spoofer(?).....).
> Egy éve voltam benn egy cégnél, ahol wireless ment, sima wepes 
> titkosítással. A cégnél 8 gép volt. A hálózati kapcsolatokban 15 gépet 
> számltunk össze.....
> Az egyik tanárom a főiskolán a SZTAKI-ból volt. Ott azóta váltogatják 
> a kulcsokat naponta (állítólag), mióta többen róluk neteztek...
> Ez az, ami elbizonytalanított. 


Nem vagyok WiFi-guru, de pár dolog, hogy visszatérjen az önbizalmad. ;-)

A WEP valóban kutyafülét ér - már a WiFi első napjaiban sikeresen 
törték. Ma nem kell hozzá más, mint egy laptop, egy Linux (újabban már 
Win alá is vannak jóféle kis progok), meg egy pár open source progi, 
amivel pár perc alatt fel lehet nyomni egy WEP-es hálót.
Cikkek: http://www.huwico.hu/node/599 és http://www.huwico.hu/node/602

A fejlettebb titkosítás a korábban említett WPA-PSK, ami egy előre 
meghatározott kódoló kulccsal titkosít minden forgalmat. Ha ez elég 
bonyolult és hosszú, akkor sem vagy teljes biztonságban (ahogy sosem 
:-)), de ezt már olyan macerás feltörni, hogy gyakorlatilag minek, 
amikor ott van pl. a jól bevált "Social Engineering". Meg, hát azt se 
feledjük, hogy nem nanotechnológiai kutatólabor vagytok, hanem egy 
középsuli a sok közül... ;-)

Van még a "verébre ágyúval" lehetőség, amikor valamilyen authentikációt 
alkalmazol a kliensek azonosítására (pl. RADIUS-server), ill. 
PKI-rendszert valósítasz meg, de ez egy középiskolában talán soknak tűnik.

A fentiek persze kiegészíthetők még MAC-address ellenőrzéssel, az 
SSID-broadcast tiltásával (ami nem is olyan jó ötlet), az eszközök 
antennateljesítményének visszafogásával, irányított antennák 
használatával, stb (ezek persze nem jelentenek többet, mint pár 
másodpercnyi késleltetést a behatoló számára). DE: ugyan itt is igaz, 
hogy minél több lakat, annál nehezebb bemenni; azt, aki igazán be akar 
jutni, a legbrutálabb rendszerek sem fogják visszariasztani attól, hogy 
újra és újra megpróbálja - amíg csak sikerül neki, vagy amíg meg nem 
őszül a nagy próbálkozásban, bármelyik lesz is előbb...
Aki meg komoly védelem ellenére is bejut, az meg is érdemli. :-D

Nemsokára nálunk is lesz WiFi az egész épületben. A kiépítést végző cég 
segít majd a biztonsági beállításokban, de imho a WPA-PSK és MAC-szűrés, 
valamit az érzékenyebb hálózatok (pl. adminisztráció) szegmentálása 
bőven elég lesz ide. ;-)

Hasznos cikkek:
http://www.huwico.hu/node/567
http://www.lanarchitect.net/Articles/Wireless/SecurityRating/ - angolul 
van, de nagyon jó összefoglaló

A http://www.huwico.hu meg általánosságban is remek oldal sok hasznos 
infóval.

Remélem, tudtam segíteni.

Bye,

Zilahy András
rendszergazda
Vörösmarty Mihály Ének-zenei Nyelvi Általános Iskola és Gimnázium
Budapest - azagy at freemail.hu



További információk a(z) Techinfo levelezőlistáról