Zabezpieczenia WLAN TKIP/AES

[mit]

Witam,
mam takie pytanie do znawców tematu sieci komputerowych. Od niedawna mam w domu minisieć 2 komputerów. Łączę się za pomocą routera TP-LINK (model chyba nie istotny). Chodzi o to by dobrze zabezpieczyć sieć przed włamaniem. Mam w bloku kilku domorosłych "hakierów" którzy chyba za cel postawili sobie włam do mojej sieci. Nic nie daje MAC address filtering, zakładanie firewalli i innych zabezpieczeń jakie znam. Znalazłem w moim routerze opcję zabezpieczenia właśnie jednym z tych protokołów (czy to protokoły? wybacznie mój laicyzm w temacie...) TKIP lub AES. Który lepszy? Na innych forach wyczytałem że AES jest "silniejszy" i dla przeciętnego zjadacza chleba praktycznie nie do złamania. Z resztą VISTA na lapku taką właśnie opcję domyślnie wybrała. Jak na razie użyłem tej opcji i włamań nie widzę, ale obawiam się że może to być kwestią czasu bo bachory na wakacjach nie mają co robić więc siedzą w chałupach i wymyślają jak tu się mitowi włamać. Nie wiem założyli się czy co...?
Oczywiście hasło wybrałem niesłownikowe i składające się z kilkunastu znaków - literki i cyfry.
Będę wdzięczny za rozwinięcie tematu.
Z góry dzięk.
Pozdrawiam.

[Koniu]

sam korzystam z TKIP i bardzo długiego klucza + mac filtering. oczywiście nie są to zabezpieczenia nie do złamania.....
by utrudnić ludkom życie zmień nazwę sieci i daj na ukrytą, zmień adresy na mniej standardowe i daj by nie ustawiały się automatycznie, a musiały być wpisane ręcznie.

[mit]

hmm zmienić nazwę ok, to nie problem ale jak zrobić żeby była ukryta? nie bardzo widzę tę opcję. Co do adresów to nie jestem pewien czy ich zmiana cokolwiek da. Bo jak przecież już dostaną się do routera to sieć widać jak na dłoni włącznie z adresami.
Oczywiście mogę się mylić - jestem początkujący w tych sprawach i uczę się na własnych błędach.

[Koniu]

tak jak się dostaną, ale jeśli zmienisz adres routera z domyślnego 192.168.1.1 na np. 111.222.333.444 to już tak łatwo nie wpadną na pomysł by sprawdzić taki adres. nie wiem jak jest w tp-linkach, ja w d-linku i linksysie mam opcje "ukryj sieć", "wyłącz/włącz rozgłaszanie sieci/SSID" więc popatrz w ustawieniach sieci bezprzewodowej. wtedy w swoich komputerach dajesz by połączyły się z siecią, podajesz nazwe i łączą się, pomimo tego że sieci nie widać

[thomas.night]

Wróćmy do ksiąg: http://pl.wikipedia.org/wiki/TKIP
TKIP ma zapewniać zgodność wstecz ze sprzętem nie wyposażonym w obsługę AES (z winy producenta czy też niewystarczalnej wydajności).

A co do sieci... przede wszystkim potrzebujesz szyfrowania WPA2 (to podstawa)
- mocne hasło (zmieniane w regularnych odstępach czasu)
- MAC filtring (może znacząco utrudnić włam)
- ukrycie sieci (czyli ukrywanie broadcastingu SSID... czynność raczej kosmetyczna, ale zamyka oCka n00bom)
i (dla desperatów) wyłączenie DHCP... o ile nie jest Ci tak naprawdę potrzebne.

Ostatnio w nowszych routerach D-linka zauważyłem opcję isolation mode przy parametrach wifi, oznacza to uruchomienie AP w trybie bramy niepozwalającej łączenie się z jakimkolwiek userem sieci wewnętrznej (to również może się przydać), można też stworzyć kilka wirtualnych APków (dla mnie bomba).

A teraz kroki dla hardkorowców. Odpalasz sobie na jakimś laptopie NetworkStumbler'a.
Zadaniem tego progsa jest zlistowanie wszystkich AP w zasięgu i pokazanie ich mocy.
Dzięki temu będziesz miał obraz tego jak możesz zmniejszyć moc nadawania sygnału urządzenia, tak by nikt go nie wykrył (i nie wziął w obroty )


Teraz jak to złamać...
Liczenie WPA2 to w normalnych warunkach dość ciężkie zadanie, aczkolwiek dzięki nieszablonowemu wykorzystaniu
technologii Nvidia PhysiX i odpowiednio ATI Havoc (tak, tak, symulacji fizyki nam się zachciało , aczkolwiek to działa tylko na silnych układach GFX w/w firm) można znacząco usprawnić cały proces.
Jak bardzo? Tak bardzo: http://www.elcomsoft.com/ewsa.html
... bądź też klasycznie z użyciem livecd z linuxem http://www.remote-exploit.org/backtrack.html aczkolwiek tutaj domortosły hakier napotka na problem niedostatku mocy swego narzędzia zagładyyyy (tzn kompa ) chyba że będzie miał sygnał w zaciszu własnego domostwa, ale o ukrucaniu sygnału pisałem już wyżej.

Na wstęp do tematu chyba powinno wystarczyć, w razie problemów służę radą...

[mit]

thomas liczyłem że wypowiesz się w tym temacie. Twoja wiedza zawsze wprawiała mnie w podziw. Żebym miał jej choć dziesiątą część...
To tyle wazelinki, co do tematu to chyba okazało się że domorośli hakierzy nie są tacy mocni jak im się wydaje bo:
1) WPA2
2) MAC filtering
3) kilkunastoznakowe hasło
4) wyłączenie SSID
na razie wystarczyło. DHCP wyłączać się boję gdyż nie wiem jakie to będzie miało skutki. Po prostu jestem cienki i nie chcę nic namieszać. Sieć działa mi ładnie i wolałbym nic nie zmieniać w ustawieniach o ile nie będzie to konieczne.
W każdym razie wielkie dzięki wszystkim. Myślę że temat ciekawy i godny szerszej dyskusji. Ja na razie mam spokój (albo to co zrobiłem wystarczyło albo gnojarstwo gdzieś wyjechało). W razie dalszych problemów pozwolę sobie zawrócić Wam jeszcze raz głowę.
Pozdrawiam i jeszcze raz THX!

[Trescom]

mit podaj Ty lepiej dokładny model swojego routera Komu jak komu, ale mi ułatwi to określenie jakie opcje zabezpieczeń dla Ciebie będą dostępne, a jakie nie (sądzę, że nightowi również).
Generalnie dodawać do posta nighta wiele nie muszę, poza małą drobnostką, która jest imo bardzo przydatna (aczkolwiek medal ma dwie strony), mianowicie blokowanie pingowania WAN IP.
Pingowanie publicznego adresu IP WAN jest często wykorzystywaną metodą "hakierów" w celu sprawdzenia poprawności/dostępności Twojego adresu (na przykład urządzenia). Dlatego, jeśli urządzenie na to pozwala, dobrze jest tą opcję włączyć.

IMO najprostszą metodą sprawdzenia, czy owy/owi "hakierzy" ewidentnie chcą się do nas "przyczepić" jest tylko wyłączenie nadawania SSID. Jeśli pomimo tego zauważysz w logach obce połączenia, wtedy dopiero bawiłbym się w filtrowanie MAC, zmniejszenie ilości połączeń poprzez DHCP (w zależności ile masz w domu urządzeń tudzież na ile maksymalnie połączeń chcesz zezwolić), zaawansowane skrypty szyfrowania.
Dlaczego? Ano dlatego, że na przykład w przypadku szyfrowania WPA2 nie wszystkie urządzenia sieciowe są z nim kompatybilne Ale to już tylko moje skromne, mało znaczące zdanie na ten temat

Z drugiej strony, jeśli obecne ustawienia nie sprawiają problemów (głównie szyfrowanie) to znaczy, że zamierzony efekt został osiągnięty i nie warto tego ruszać

[mit]

model mojego routera to TP-LINK TL-WR340G W logach obecnie nie widzę żadnych prób, przynajmniej od wczoraj... Jak pisałem powyżej SSID wyłączyłem. W domu mam 2 komputery, z tym że tylko w lapku korzystam z wifi, drugi - pecet - jest podłączony przez kabel.
Mam ustawione rozdzielenie na tylko 2 adresy i często miewałem tak, że po prostu wywalało mnie bo był konflikt adresów. Tak się działo właśnie w momentach gdy ktoś właził mi na router.
Jeszcze co do filtrowania, to mam możliwość wpisania tylko 16 adresów i już wszystko zapełnione...

[Trescom]

Jeśli wszystko działa to zostaw tak jak jest.
Generalnie zawęź przedział połączeń dla DHCP.
Np. pula xxx.xxx.xxx.100 - xxx.xxx.xxx.105 (naturalnie klasa według swojego upodobania).

[thomas.night]

W domu mam 2 komputery, z tym że tylko w lapku korzystam z wifi, drugi - pecet - jest podłączony przez kabel

... więc łatwo zapanujesz nad siecią po wyłączeniu DHCP


Przykład (załóżmy, że...)


IP Routera: 192.168.1.1

dla WinXP
Start -> Panel sterowania -> Połączenie sieciowe->prawy klik w połączenie, Właściwości
Protokół TCP/IP -> Właściwości

dla Visty
Start -> Panel sterowania -> Centrum sieci i udostępniania->
teraz odszukaj plecenie, które pokaże Ci wszystkie połączenia->prawy klik w połączenie, Właściwości
Protokół TCP/IP -> Właściwości


Komp1 (np. kabel)
Adres IP 192.168.1.2 (bądź dowolny, inny z puli 192.168.1.X)
Maska podsieci: 255.255.255.0 (pozostaje niezmiennie dla puli 192.168.1.X)
Brama domyślna: 192.168.1.1 (musi wskazywać na router)

DNS1: 192.168.1.1 (może wskazywać na router, choć nie musi)
DNSy (alternatywnie, czyli OpenDNS)
DNS1: 208.67.222.222
DNS2: 208.67.220.220


Komp2 (np. wifi)
Adres IP 192.168.1.3 (bądź dowolny, inny z puli 192.168.1.X)
Maska podsieci: 255.255.255.0 (pozostaje niezmiennie dla puli 192.168.1.X)
Brama domyślna: 192.168.1.1 (musi wskazywać na router)

DNS identycznie jak dla Kompa1.
To by było na tyle odnośnie DHCP

Jeszcze co do filtrowania, to mam możliwość wpisania tylko 16 adresów i już wszystko zapełnione...

Z tego co widziałem w specyfikacji routera możesz ustalić listę o odwrotnym działaniu, tzn wpuszczać tylko kompy z listy, a resztę odrzucać.
Przyjrzyj się dokładnie http://img138.imageshack.us/i/macwifiwh8.jpg/
Pozdro

[mit]

Z tego co widziałem w specyfikacji routera możesz ustalić listę o odwrotnym działaniu, tzn wpuszczać tylko kompy z listy, a resztę odrzucać.

HAH widzisz jak to lajkonik ma trudno w życiu rzeczywiście jest jak piszesz a tak proste rozwiązanie nie przyszło mi do głowy.
Dzięki wielkie dla Ciebie i Tresa. Ustawiam wszystko tak jak poradziliście i niech no mi tu teraz który podskoczy