Printable View
Chápu, že když zadám WPA-PSK, každý, kdo se chce připojit, zadá sítové heslo. Ale když zadám jen WPA, tak se na mně připojí kdokoliv, kdo taky zadá WPA a je nutná filtrace například MAC nebo IP? Slouží tedy čistě WPA(2) jen k šifrování samotného provozu a bez dodatečných pravidel se tedy kdokoliv připojí jen s výhodou, že komunikace je šifrována?
WPA(2)-PSK je s Pre-shared klíčem, jako síťové heslo
WPA(2) jako taková je autorizace přes Radius server, ale to se v domácím prostředí zas tak běžně nevyskytuje :)
Jasně, takže jsem to chápal dobře, že jakákoliv domácí sít je vždy PSK. A jak to potom je s prolomením? Názory na netu se diametrálně liší. Pochopil jsem z nich, že rozlousknout WPA2 není na 5 min spuštění programu. Ale jak je na tom WPA? Je jednoduché ho zjistit, nebo je použití silného hesla(malé,velké, číslice) dostatečnou ochranou?
WPA, natož WPA2 se crackuje údajně mnohem déle, ale nějak moc hluboko do toho nevidim, musel bych pohledat na netu.... použití WPA2-PSK, silného a dlouhého hesla by v kombinaci s MAC-adress control a vypnutym DHCP (a samozřejmě změněnym loginem na router :mweheh: ) mělo jako zabezpečení domácí WLAN stačit (aspoň já to tak mám :) )
Ptám se proto, protoče pořád častěji domácí sít instaluju, a u tolika lidí nelze vysvětlit, že když příjde bratranec s notebookem, musí se konfigurovat router. Chce přijít a s heslem se připojit. Proto počítám s DHCP a bez další filtrace a zajímá mne, jak moc je v tom případě sít bezpečná v kombinaci pouze se silným heslem(často používám 14 místné heslo s malým velkým písmem a dvěma číslicemi)
No bezpecna je do te chvile, nez nekomu prozradis to pre-shared heslo...coz musis komukoli, kdo se chce pripojit
Pri pouziti sifry AES a dlouheho, idealne nahodneho hesla, se potrebny procesorovy cas potrebny k prolomeni hrubou silou oshaduje v radu stovek a vice let. Preci jen to je 256-bit klic, vygenerovany hashem z hesla a SSID. vice zde: http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access
WPA a WPA2 je pozvazovano za velmi bezpecne.
tak tak... a k tomu ještě přičíst nějakou odezvu od zařízení, než k němu ten klíč doputuje, než to zpracuje atd. + klasickej ping a je z toho pár stovek let :)
Tak zase tak jednoduche to neni, jedna z metod prolomeni je ze se klient donuti k opetovne "autentifikaci", ktera se odposlechne a pak utok probiha offline, nicmene obecne, minimalne pro domaci pouziti a v soucasne dobe, se da WPA povazovat za bezpecne. Pri spravnem pouziti. Viz jiz zminena nutnost u PSK prozradit heslo...
samozřejmě by se takový útok prováděl offline.Citace:
Původně odeslal JejKey
Jo a nejsou to stovky let. Útok hrubou silou je prostě nemožný, už pro 128bit klíč ;)
mrkni http://wiki.airdump.cz/WEP http://wiki.airdump.cz/WPA
portal se tomu hodne venuje
"I když je ochrana sítě pomocí WPA-PSK silnějši jako WEP není pro zkušeného pentestera problém ochranu prolomit. Na webu Church of WiFi jsou k dispozici WPA-PSK hash tables (rainbow table) o velikosti zhruba 172 000 hesel které náleží k 1000 SSID"
:D:D to je hodne vtipne, jasne ze neni tezke prolomit WPA, kdyz pouziju jednoduche heslo ;) 172tis hesel je dost male cislo, kdyz pouziju 63 znakove nahodne heslo, tak jsou v haji :)
Navic neverim tomu, ze kdokoli bez znalosti potrebneho sifrovaciho klice donuti meho klienta, aby se odpojil od APcka, kdyz VESKERA komunikace mezi nim a AP je sifrovana, tedy by musel byt i pripadny pozadavek na novou autentifikaci. Tomu webu vubec neverim, vypada hodne neduveryhodne.
provedeni iteto "galerie" velice presne vypovida o technickych dovednostech komunity :-Dhttp://www.churchofwifi.org/slidesho...GID=48&PID=100Citace:
Původně odeslal Petrik
nemyslel jsem church ale airdump.net
tak, tak.Citace:
Původně odeslal Petrik
WPA se afaik prolomit da, pokud se nemeni klic a na siti je dostatecne velky provoz - je potreba daleko vic zachycenejch packetu nez u wepu
to by bylo hrozny kvantum.Citace:
Původně odeslal admix
Zlehka jsem WPA/WPA2 PSK nastudoval a v pripade pouziti TKIP je miziva sance, ze to prolomit pujde, v pripade AES to je vpodstate vyloucene, to je alespon nazor odborniku v oboru kryptografie. Pokud tomu dobre rozumim, v pripade TKIP se prenasena data sifruji 128-bit stream sifrou RC4 s 48-bit inicializacnim vektorem (IV), pro kazdy packet je sifrovaci klic jiny. Prave IV o prilis male velikosti 24bitu se stal kamenem urazu sifrovani WEP, dvojnasobna velikost silne omezuje podobny utok, ale neni to na 100%. V pripade AES u WPA1/2 je cely sifrovanci algoritmus postaven na bazi AES a je povazovan za zcela bezpecny. Pokud tam neni nejaka zasadni chyba v navrhu ci implementaci, melo by to byt dostatecne bezpecne.
Zajimave je, ze AES je u WPA nepovinne, zato u WPA2 povinne. Ve windows XP vsak WPA2 nefunguje vubec, nebo hodne spate, WPA1 s AES pritom funguje vpohode. AES by pritom mel byt hlavni rozdil mezi WPA1 a 2.
EDIT: hodne zajimavy odkaz: http://www.informationweek.com/news/...leID=177105338
WPA s AES zajistuje 100% integritu dat - dalsi duvod, proc to pouzivat :)
bych rek ze tkip pomoci MICHAELu takyCitace:
Původně odeslal Petrik
2Petrik. Díky, dostatečně jsi mi i odpověděl, proč se mi zatím WPA2 nepodařilo korektně rozchodit:)
SP3 by pry mela WPA2 resit, prakticky vyzkousene to ale nemam. Jinak kombinace mikrotik + AirCA8-Pro nebo nanostation 5GHz funguje s WPA2+AES vpohode :) ale to vsechno bezi na linuxu...
Jasne, s AES to ma byt snad jeste o neco lepsi, ale TKIP to umi take :)Citace:
Původně odeslal beavel
Není potřeba SP3, už hodně dlouho existuje aktualizace, která WPA2 zprovozňuje. Dlouhodobě doma použiváno bez problémů (šifrování AES).Citace:
Původně odeslal Petrik
http://support.microsoft.com/kb/893357
Existuje, ale nefunguje...zkousel jsem ji na 4 pocitacich, poradne to nefungovalo ani na jednom. MS o tom zrejme vi a proto neni v oficialnich updatech a proto to resi az ted v SP3...
V oficialnich updatech neni, protoze to neni update...ale pridani funkce
Nicmene tohle by si mely osetrovat ovladace k wifi
Jak myslíš to pořádně nefungovalo (ať vím, jestli jsem se s tím někdy setkal)? Nešlo se připojit, padalo to nebo nějaké jiné symptomy?Citace:
Původně odeslal Petrik
Dovolim si nesouhlasit, sice wifi neprovozuji nejak zavratne dlouho, asi od listopadu 2006, ale uz v te dobe nebyl zadny problem s WPA2, at uz enterprise pres radius, tak WPA2-PSK pod WindowsXP a ani do dnes jsem zadny neobjevil. Mozna pokud nebyly aktualizace, tak se neni cemu divit, kdyz WPA2 je novejsi dokonce i nez XP SP2.Citace:
Původně odeslal Petrik
WPA2 se mi v XPckach budto vubec nepripoji, nebo vypada v intervalu cca 1 minuta. Je mozne, ze to byla i chyba APcka, ale zrvona vcera jsem se trapil s jednim noutasem, ktery jsem proste nepremluvil aby se pripojil k TP-LINKu s atheros chipsetem, ktery jinak WPA2 bez problemu zvlada. Sitovka v noutasu je intel 2200BG, posledni ovladace a XPcka s SP3 a tim patchem na WPA2.
UPDATE: zase jsem se trapil s WPA2 vs. Win XP SP3 a znovu bez uspechu. Ty dva stare patche do SP3 aplikovat nejdou, zrejme tam uz jsou, ale proste se to na WPA2 APcko linksys skrz tu wokenni utilitu nepripoji. Pomohlo az nainstalovani ridici utilitky intel pro 2200BG, ta se pripojila. Na druhem stroji s broadcom WLAN to vsak dat nejde, takze jsem musel rezignovat a hodit tam bezproblemovy mod WPA1+AES.