Privacy με 802.11

[Einherjar]

Πήρα ένα routerάκι που έχει και wifi. Υπάρχουν συγκριτικά αρκετές δυνατότητες για περιορισμό πρόσβασης στο wlan σε όσους δεν πρέπει να έχουν πρόσβαση και μπορεί να με ακούνε να εκπέμπω. Αυτές είναι:

1. Να μη κάνω broadcast το ssid
2. Να ενεργοποιήσω encryption (WEP/WPA-PSK)
3. Να κάνω MAC Address Filtering
4. Να απενεργοποιήσω το dhcp και να βάλω κάνα περίεργο subnet ώστε και να συνδεθεί κάποιος να μη μπορεί να κάνει κάτι

Θα ήθελα να ακούσω αν κάποιος έχει να προτείνει κάποια συγκεκριμένη μέθοδο (είτε από τις παραπάνω, είτε συνδυασμό τους, είτε κάτι άλλο) με επιχειρηματολογία.
Να σημειώσω ότι με ενδιαφέρει πρώτα η απόδοση (b/w) και τελευταίο το encryption καθώς δε θα μεταφέρω τίποτα κρατικά μυστικά... αυτά πάνε από το καλώδιο

[HdkiLLeR]

Πήρα ένα routerάκι που έχει και wifi. Υπάρχουν συγκριτικά αρκετές δυνατότητες για περιορισμό πρόσβασης στο wlan σε όσους δεν πρέπει να έχουν πρόσβαση και μπορεί να με ακούνε να εκπέμπω. Αυτές είναι:

1. Να μη κάνω broadcast το ssid
2. Να ενεργοποιήσω encryption (WEP/WPA-PSK)
3. Να κάνω MAC Address Filtering
4. Να απενεργοποιήσω το dhcp και να βάλω κάνα περίεργο subnet ώστε και να συνδεθεί κάποιος να μη μπορεί να κάνει κάτι

Θα ήθελα να ακούσω αν κάποιος έχει να προτείνει κάποια συγκεκριμένη μέθοδο (είτε από τις παραπάνω, είτε συνδυασμό τους, είτε κάτι άλλο) με επιχειρηματολογία.
Να σημειώσω ότι με ενδιαφέρει πρώτα η απόδοση (b/w) και τελευταίο το encryption καθώς δε θα μεταφέρω τίποτα κρατικά μυστικά... αυτά πάνε από το καλώδιο

Το 1,3 και 4 και λίγο το 2 είτε τα κάνεις είτε όχι είναι το ίδιο και το αυτό.

Να μη κάνω broadcast το ssid -> [Sniff attacks] Αυτό δεν σημαίνει κάτι θα το κάνεις sniff απο το traffic, απο τα control packets και γενικά οπιοσδήποτε sniffer (ακόμη και απλό tcpdump) θα στο δείξει.

Να κάνω MAC Address Filtering -> [Replay/Spoof Attack]. Ανοίγει έναν sniffer και περιμένει να δει traffic. Απο εκεί παίρνει την MAC ενός allowed user και την βάζει στην κάρτα του. Στην συνέχεια κάνει κανονικά assosiate στο AP.

Να απενεργοποιήσω το dhcp και να βάλω κάνα περίεργο subnet ώστε και να συνδεθεί κάποιος να μη μπορεί να κάνει κάτι -> Ξανά κάνει sniff απο το κανάλι και βλέπει τι subnet χρησιμοποιείς, το βάζει πιο μετά και είναι οκ. Αλλιώς κάνει inject ARP packets μέχρι να απαντήσει κάποιος ή ακόμη καλύτερα κάνεις RARP request απο την MAC του AP και παίρνει κανονικά την IP

Τώρα σχετικά με το WEP. Είναι σίγουρα στοιχειώδης η προστασία αλλά πάλι έχει probs. Εάν έχεις traffic κάνοντας sniff αρκετά data μπορεί να βρεί το key. Ο RC4 algo έχει probs. Αλλιώς εάν δεν έχεις traffic πάλι μπορεί να βρεί το WEP με μία πολύ ωραία μαγκιά. Έχεις δύο κάρτες και με την μία κάνεις inject packets και με την άλλη sniff. Με αυτόν τον τρόπο δημιουργεί την απαιτούμενη κίνηση ώστε να βρεί κάποιος το WEP key σου.

Όλα αυτά μπορεί να ακούγονται αδιανόητα αλλά σε πληροφορώ ότι όλα αυτά τα κάνεις με πολύ απλά tools για πλάκα με ένα αμάξι κάτω απο το σπίτι σου. Μετά μια χαρά access απο την DSL σου, defaces αλλού και τσιμπάνε εσένα .

Anw επι του πρακτέου εγώ προτείνω λύση με 802.1i authentication. Θα χρειαστείς ένα μηχανάκι όμως που να κάνει την δουλειά. Χρόνια σου λέω για το Firewall/NAT/QoS Box. Εκεί με free-radius και WPA θα κάνεις το authentication με 802.1i οπότε δεν κάνει ο intruder κάν assosiate στο AP.

[Einherjar]

Με WPA-PSK όμως δεν υπάρχει περίπτωση να κάνει κάτι αντίστοιχο με το wep, έτσι?
btw το ρουτεράκι υποστηρίζει wpa με radius (πρέπει να του δώσεις την ip του radius) αλλά δε μου περισσεύει κανένα μηχανάκι ήσυχο για το λόγο αυτό

[HdkiLLeR]

Κοίτα εάν καταφέρει να κάνει bypass το radius τότε τι να πω...Γενικά δουεύει έτσι όπως το λές. Θα χρειαστείς έναν spare free-radius server. Φτιάξε ένα απλό απο P-133~200. Και πάλι πολύ είναι για 4 users

[ablaz3r]

Όλα είναι ανάλογα με το τι θες να πετύχεις. Απο την στιγμή που δεν σε καίει το encryption με αυτές τις 4 επιλογές έχεις ένα αρκετά καλό επίπεδο προστασίας. Και να στο θέσω αλλιώς:

Κάτι κωλόπαιδα σαν εμένα και τον Βασίλη, όταν κάνουν wardriving και δούν wireless network με wep το προσπερνούν και ψάχνουν για κάποιο άλλο open. Ο άλλος πρέπει να είναι ψυχάκιας για να την στήσει κάτω από το σπίτι σου και να περιμένει να μαξέψει 500.000 πακέτα για να σπάσει το wep.

Πρόβλημα θα έχεις μόνο αν έχεις κάποιον ψυχάκια γείτονα, όπου δεν θα τον πειράζει να αφήνει το pc open και να μαζεύει πακέτα σου... Αλλά και σε αυτήν την περίπτωση ούτε το wpa θα σε σώσει. Γιατί το wpa (όχι το wpa2) χρησιμοποιεί wep, απλά αλλάζει το κλειδί σε κάθε session (TKIP). Οπότε μπορεί και πάλι ο ψυχάκιας να μαζεύει πακέτα, και κάθε φορά που θα περνάνε αρκετα data, να μπορεί να βρίσκει το temp κλειδί και να τα βλέπει plaintext.

Για να μην παιδεύεσαι λοιπόν, άστο όπως είναι, άλλαξε και το essid (αν το έχεις default) γιατί ονόματα όπως "wireless router", "netgear" κλπ φωνάζουν από μακριά "internet", και άλλαζε το wep key σου κάθε 15 μέρες, και (μάλλον) θα έχεις το κεφάλι σου ήσυχο.

[Proxenos]

Τι ρούτερ έχεις πάρει;

Η καλύτερη περίπτωση να θέλει κάποιος να βρει το κλειδί σου, είναι για να έχει τζάμπα Διαδίκτυο. Άρα θα είναι γείτονας και πίστεψέ με, υπάρχουν άνθρωποι που έχουν πολύ καιρό στη διάθεσή τους... Η ιδιωτικότητα (privacy) ποσώς ενδιαφέρει τους γύρω σου (ίσως ενδιαφέρει το government ).

Αν η λύση του Βασίλη σου φαίνεται υπερβολική και το WPA-PSK μια χαρά την κάνει τη δουλειά του. Μήπως έχεις Linksys; To WRT54G κάνει και WPA-PSK με AES και WPA2-PSK (με AES προφανώς). Δυστυχώς δεν τα έχω τεστάρει όλα για συμβατότητα με λειτουργικά και drivers. Πάντως πρόβλημα στην απόδοση δε θα έχεις, και αυτό γιατί το wireless κομμάτι είναι πολύ πιο γρήγορο από τη DSL (ακόμη ), οπότε ακόμη και με κρυπτογράφηση δε θα δημιουργήσει bottleneck. Εγώ - με...λίγο γρηγορότερη DSL- δεν καταλαβαίνω αισθητή διαφορά.

[mikem4600]

Εγώ βασικά στο δικό μου έχω κάνει απλώς disable SSID broadcast, περίεργο subnet, WPA-PSK (με αρκετά μεγάλο key), MAC address filtering και μόνο 802.11g (απόρριψη των b clients) και επειδή είναι το AP και στο δεύτερο όροφο (και στον πρώτο είμαι πάλι εγώ), νομίζω ότι οι υπόλοιποι (πιθανοί intruders) θα είναι και λίγο out-of-range. Έτσι, η ζωή όποιου κακομοίρη θέλει να μπεί νομίζω θα γίνει αρκετά δύσκολη.

Το DHCP το κράτησα γιατί βαριόμουν να αλλάζω τις ρυθμίσεις του laptop. Επίσης, μιας και το Linux δεν υποστηρίζει WPA (σε πολλές περιπτώσεις μάλιστα ούτε καν WEP), δεν μπορώ να το χρησιμοποιήσω wirelessly. Αλλά μιας και αυτό το σενάριο χρήσης είναι πολύ σπάνιο για εμένα βολεύομαι με καλώδιο αν σώνει και καλά το χρειάζομαι.

[Proxenos]

και επειδή είναι το AP και στο δεύτερο όροφο (και στον πρώτο είμαι πάλι εγώ), νομίζω ότι οι υπόλοιποι (πιθανοί intruders) θα είναι και λίγο out-of-range. Έτσι, η ζωή όποιου κακομοίρη θέλει να μπεί νομίζω θα γίνει αρκετά δύσκολη.

Δε θέλω να σε απογοητέυσω αλλά το γεγονός ότι είναι ψηλότερα, μάλλον αρνητικά επιδρά στην ασφάλεια. Όσο ψηλότερα, τόσο μεγαλύτερη εμβέλεια έχει το ΑP. Eκτός αν το είχες σε ουρανοξύστη...

[mikem4600]

και επειδή είναι το AP και στο δεύτερο όροφο (και στον πρώτο είμαι πάλι εγώ), νομίζω ότι οι υπόλοιποι (πιθανοί intruders) θα είναι και λίγο out-of-range. Έτσι, η ζωή όποιου κακομοίρη θέλει να μπεί νομίζω θα γίνει αρκετά δύσκολη.

Δε θέλω να σε απογοητέυσω αλλά το γεγονός ότι είναι ψηλότερα, μάλλον αρνητικά επιδρά στην ασφάλεια. Όσο ψηλότερα, τόσο μεγαλύτερη εμβέλεια έχει το ΑP. Eκτός αν το είχες σε ουρανοξύστη...

Δεν είμαι σε ουρανοξύστη αλλά μονοκατοικία. Άρα στον κάθετο άξονα δεν ανησυχώ, παρά μόνο στους x, z. Επίσης, στο ένα ημιεπίπεδο του z υπάρχει βουνό (Υμηττός) οπότε και πάλι αφαιρώ επικινδυνότητα.

[Einherjar]

Μήπως έχεις Linksys; To WRT54G κάνει και WPA-PSK με AES και WPA2-PSK (με AES προφανώς). Δυστυχώς δεν τα έχω τεστάρει όλα για συμβατότητα με λειτουργικά και drivers. Πάντως πρόβλημα στην απόδοση δε θα έχεις, και αυτό γιατί το wireless κομμάτι είναι πολύ πιο γρήγορο από τη DSL (ακόμη ), οπότε ακόμη και με κρυπτογράφηση δε θα δημιουργήσει bottleneck. Εγώ - με...λίγο γρηγορότερη DSL- δεν καταλαβαίνω αισθητή διαφορά.

Έχω ένα 3com router (3CRWDR100B-72). Βασικά η απόδοση με ενδιαφέρει για την κίνηση εσωτερικά στο lan και όχι τόσο για την πρόσβαση στο dsl. Σιγά μη δω διαφορά στο μισό mbit που έχω

Δοκίμαζα το WPA και παρατήρησα ότι μετά από κάποια ώρα το laptop σταματούσε να επικοινωνεί με το wlan, δεν αποσυνδεόταν όμως. Αυτό μάλλον είναι πρόβλημα με την καρτούλα του laptop όμως, ε?

Πάντως mikem Μου αρέσει η προσέγγιση σου Τα έχεις βάλει όλα!!!

[HdkiLLeR]

Εγώ βασικά στο δικό μου έχω κάνει απλώς disable SSID broadcast, περίεργο subnet, WPA-PSK (με αρκετά μεγάλο key), MAC address filtering και μόνο 802.11g (απόρριψη των b clients) και επειδή είναι το AP και στο δεύτερο όροφο (και στον πρώτο είμαι πάλι εγώ), νομίζω ότι οι υπόλοιποι (πιθανοί intruders) θα είναι και λίγο out-of-range. Έτσι, η ζωή όποιου κακομοίρη θέλει να μπεί νομίζω θα γίνει αρκετά δύσκολη.

Το DHCP το κράτησα γιατί βαριόμουν να αλλάζω τις ρυθμίσεις του laptop. Επίσης, μιας και το Linux δεν υποστηρίζει WPA (σε πολλές περιπτώσεις μάλιστα ούτε καν WEP), δεν μπορώ να το χρησιμοποιήσω wirelessly. Αλλά μιας και αυτό το σενάριο χρήσης είναι πολύ σπάνιο για εμένα βολεύομαι με καλώδιο αν σώνει και καλά το χρειάζομαι.

Μπορείς να κάνεις lock και το rate σε ένα αρκετά μεγάλο νούμερο ώστε πρακτικά κάποιος απ' έξω να μην μπορεί να συνδεθεί γιατί τώρα πρέπει να το έχεις στο auto. Εάν κάποιος είναι γύρω σου τότε σίγουρα το g κάνει fall-back με b και ρίχνει το rate. Εάν όμως το κάνεις lock στα 34Mbps πχ τότε κανένας έξω απο δύο τοίχους (και βάλε) δεν θα έχει αρκετά ισχυρό σήμα για τέτοιο thput οπότε δεν θα μπορεί να κάνει τπτ (θα περιορίσεις ακόμη περισσότερο το access area).

Κάτι κωλόπαιδα σαν εμένα και τον Βασίλη, όταν κάνουν wardriving και δούν wireless network με wep το προσπερνούν και ψάχνουν για κάποιο άλλο open. Ο άλλος πρέπει να είναι ψυχάκιας για να την στήσει κάτω από το σπίτι σου και να περιμένει να μαξέψει 500.000 πακέτα για να σπάσει το wep.

Εχμ...σε ποιούς αναφέρεσαι;