D-Link • Просмотр темы - Как лучше настроить безопасность?

Сообщения без ответов | Активные темы

Список форумов » Беспроводные сети

Часовой пояс: UTC + 3 часа

Как лучше настроить безопасность?

Модераторы: Victor Kolosov, Sergei Asmankin, Sergik, Alexander Sderzhikov, Mikhail Lesnikov, Vladimir Degtyarev

Страница 1 из 1

[ Сообщений: 5 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

ArtiMind

Заголовок сообщения: Как лучше настроить безопасность?

Добавлено: Ср май 05, 2004 09:37

Зарегистрирован: Ср май 05, 2004 08:56
Сообщений: 11
Откуда: Moscow

Купил себе домой DI-714P+ для "разводки" по дому точки.ру. Десктоп подключил по Ethernet, а вот ноут по Wi-Fi (в ноуте встроенный Wi-Fi от Intel, соответственно Centrino). Не буду о трудностях подключения Conexant к D-Link, но вот вопрос безопасности стоит очень остро.
Собственно данные у меня не такие секретные, чтобы устраивать танцы с бубном, а вот за трафик я плачу и вовсе не хотел бы, чтобы кто ни будь на халяву им пользовался. Благо примеры есть, знакомая моих знакомы живет на Кутузовском и просто из дома имеет выход в несколько ничем не защищенных офисных сетей.
В общем пошел по мануалу. Решил отключить broadcast SSID. Отключаться-то он отключается, но после этого связь держится меньше минуты при расстоянии в 1 метр и отличном уровне сигнала. Потом падает и снова восстанавливается. Ладно, почитал форумы на этом сайте и понял, что прошивки еще не дошли до этого (у меня последняя 1.31b1). Включил.
Запустил WEP - 128 бит и фильтрацию по MAC адресам. Вроде какая никакая безопасность. Поставил "Open System - Shared Key - Both" галочку у Shared Key. В хелпе написано:

Цитата:

If Shared Key is selected, the Access Point will not be seen on the wireless network except to the wireless clients that share the same WEP key with MAC Addresses allowed access as specified in Filter List. If Open System is chosen, only the wireless clients with the same WEP key will be able to communicate on the wireless network, but the Access Point will be visible to all devices on the network.

Но вот читаю "Certified Wireless Network Administrator. Official Study Guide. Exam PW0-100" а там написано:

Цитата:

1. A client requests association to an access point – this step is the same as that of Open System authentication.
2. The access point issues a challenge to the client – this challenge is randomly generated plain text, which is sent from the access point to the client in the clear.
3. The client responds to the challenge – the client responds by encrypting the challenge text using the client’s WEP key and sending it back to the access point.
4. The access point responds to the client’s response – The access point decrypts the client's encrypted response to verify that the challenge text is encrypted using a matching WEP key. Through this process, the access point determines whether or not the client has the correct WEP key. If the client’s WEP key is correct, the access point will respond positively and authenticate the client. If the client’s WEP key is not correct, the access point will respond negatively, and not authenticate the client, leaving the client unauthenticated and unassociated.

И далее:

Цитата:

Shared Key authentication is not considered secure because the access point transmits the challenge text in the clear and receives the same challenge text encrypted with the WEP key. This scenario allows a hacker using a sniffer to see both the plaintext challenge and the encrypted challenge. Having both of these values, a hacker could use a simple
cracking program to derive the WEP key. Once the WEP key is obtained, the hacker could decrypt encrypted traffic. It is for this reason that Open System authentication is considered more secure than Shared Key authentication.

Собственно после такого длинного письма короткий вопрос. Как достичь оптимальной безопасности домашней сети, чтобы не тырили трафик?

_________________
WBR

Михаил

Вернуться наверх

Влад Волков

Заголовок сообщения:

Добавлено: Ср май 05, 2004 10:10

Сотрудник D-LINK

Зарегистрирован: Пт авг 08, 2003 09:23
Сообщений: 2003
Откуда: D-Link Saint-Petersburg

В принципе вы сделали уже достаточно. Если вам кажется что этого мало, на десктопе поднимайте RADIUS-сервер, включайте аутентификацию по протоколу 802.1х, на ноуте естественно тоже поднимайте клиента.

_________________
Влад Волков

Вернуться наверх

ArtiMind

Заголовок сообщения:

Добавлено: Ср май 05, 2004 10:18

Зарегистрирован: Ср май 05, 2004 08:56
Сообщений: 11
Откуда: Moscow

Ну, десктоп не всегда включен, так что Радиус поднимать не имеет смысла наверно. Он будет недоступен переодически.
А все таки. Какой вариант выбирать "Open System" или "Shared Key"? Как-то меня обеспокоило то, что при Shared Key открыто передается текст и его зашифрованный вариант. Зато при Open System все видят сетку и не проводится филтрация по MAC.

_________________
WBR

Михаил

Вернуться наверх

Влад Волков

Заголовок сообщения:

Добавлено: Ср май 05, 2004 10:50

Сотрудник D-LINK

Зарегистрирован: Пт авг 08, 2003 09:23
Сообщений: 2003
Откуда: D-Link Saint-Petersburg

Вы что-то не так поняли. Да и в руководстве немного не честно написано. В открытом виде передается не ключ, а контрольная сумма.
А в хелпе написано, перевожу: Если выбран Shared Key, то точка доступа не будет видна в сети за исключением клиентов использующих тот-же самый ключ И ПРИСУТСТВУЮЩИХ В СПИСКЕ РАЗРЕШЕННЫХ МАС-АДРЕСОВ. Если выбран Open System, то только клиенты с тем-же ключом смогут работать с этой точкой, но она будет видна всем устройствам в сети.

_________________
Влад Волков

Вернуться наверх

ArtiMind

Заголовок сообщения:

Добавлено: Ср май 05, 2004 11:18

Зарегистрирован: Ср май 05, 2004 08:56
Сообщений: 11
Откуда: Moscow

Э--э-э, в учебнике написано, что точка доступа посылает сгенерированный plain text. Компьютер шифрует его с помощью WEP key и передает обратно. Точка доступа разшифровывает его и проверяет соответствие его посланному. Так происходит идентификация.
Честоно говоря, я сильно сомневаюсь в этом. Сдается мне, что они чего то напутали т.к. это только в этом тексте такая уязвимость объявляется. Наверно мануал очень старый.
Собственно все остальные источники говорят об уязвимости, когда повтороно используется вектор иннициализации при шифровании. СКажем в наиболее популярном виде здесь http://www.computerra.ru/special/2003/12/31634/
Но меня эта защита устраивает. Стоимость специалиста, который может взломать 128-bit WEP гораздо выше выгод от кражи моего трафика. А мальчики пойдут искать незащищенную сеть, которых видимо невидимо вокруг

Конечно, лучше бы DI-714P+ поддерживала стандарт WPA, но на нет и суда нет. А вот багу с неустойчивой связью при отключении бродкаста SSID я бы с удовольствием исправил, кто бы не был виноват в висяках - интел или д-линк.

_________________
WBR

Михаил

Вернуться наверх

Страница 1 из 1

[ Сообщений: 5 ]

Список форумов » Беспроводные сети

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 26

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения