wireless állandóra
Zilahy Andra's
picard at hdsnet.hu
2006. Feb. 23., Cs, 17:33:01 CET
Hi!
Bálint István írta:
> Köszönöm a hozzászólásokat.
> A WEP-ről épp most olvastam, hogy könnyen törhető. Még a program is
> ingyen letölthető hozzá a netről. A MAC - addresst pedig demo céllal a
> minap mutatták be, hogyan lehet megszerezni és utána hamisítani (5
> perc alatt ment egy linuxos laptopon, ingyenes programmal -
> mac-spoofer(?).....).
> Egy éve voltam benn egy cégnél, ahol wireless ment, sima wepes
> titkosítással. A cégnél 8 gép volt. A hálózati kapcsolatokban 15 gépet
> számltunk össze.....
> Az egyik tanárom a főiskolán a SZTAKI-ból volt. Ott azóta váltogatják
> a kulcsokat naponta (állítólag), mióta többen róluk neteztek...
> Ez az, ami elbizonytalanított.
Nem vagyok WiFi-guru, de pár dolog, hogy visszatérjen az önbizalmad. ;-)
A WEP valóban kutyafülét ér - már a WiFi első napjaiban sikeresen
törték. Ma nem kell hozzá más, mint egy laptop, egy Linux (újabban már
Win alá is vannak jóféle kis progok), meg egy pár open source progi,
amivel pár perc alatt fel lehet nyomni egy WEP-es hálót.
Cikkek: http://www.huwico.hu/node/599 és http://www.huwico.hu/node/602
A fejlettebb titkosítás a korábban említett WPA-PSK, ami egy előre
meghatározott kódoló kulccsal titkosít minden forgalmat. Ha ez elég
bonyolult és hosszú, akkor sem vagy teljes biztonságban (ahogy sosem
:-)), de ezt már olyan macerás feltörni, hogy gyakorlatilag minek,
amikor ott van pl. a jól bevált "Social Engineering". Meg, hát azt se
feledjük, hogy nem nanotechnológiai kutatólabor vagytok, hanem egy
középsuli a sok közül... ;-)
Van még a "verébre ágyúval" lehetőség, amikor valamilyen authentikációt
alkalmazol a kliensek azonosítására (pl. RADIUS-server), ill.
PKI-rendszert valósítasz meg, de ez egy középiskolában talán soknak tűnik.
A fentiek persze kiegészíthetők még MAC-address ellenőrzéssel, az
SSID-broadcast tiltásával (ami nem is olyan jó ötlet), az eszközök
antennateljesítményének visszafogásával, irányított antennák
használatával, stb (ezek persze nem jelentenek többet, mint pár
másodpercnyi késleltetést a behatoló számára). DE: ugyan itt is igaz,
hogy minél több lakat, annál nehezebb bemenni; azt, aki igazán be akar
jutni, a legbrutálabb rendszerek sem fogják visszariasztani attól, hogy
újra és újra megpróbálja - amíg csak sikerül neki, vagy amíg meg nem
őszül a nagy próbálkozásban, bármelyik lesz is előbb...
Aki meg komoly védelem ellenére is bejut, az meg is érdemli. :-D
Nemsokára nálunk is lesz WiFi az egész épületben. A kiépítést végző cég
segít majd a biztonsági beállításokban, de imho a WPA-PSK és MAC-szűrés,
valamit az érzékenyebb hálózatok (pl. adminisztráció) szegmentálása
bőven elég lesz ide. ;-)
Hasznos cikkek:
http://www.huwico.hu/node/567
http://www.lanarchitect.net/Articles/Wireless/SecurityRating/ - angolul
van, de nagyon jó összefoglaló
A http://www.huwico.hu meg általánosságban is remek oldal sok hasznos
infóval.
Remélem, tudtam segíteni.
Bye,
Zilahy András
rendszergazda
Vörösmarty Mihály Ének-zenei Nyelvi Általános Iskola és Gimnázium
Budapest - azagy at freemail.hu
További információk a(z) Techinfo levelezőlistáról