Propojeni 2 siti - citliva data (bezdrat+VPN)

[sasha]

v situaci kdy uzivatel pristupuje na server pres TLS a authentikuje se, traffic je zabalen v IPSecu tak se zly_man musi stejne napred dostat pres wifi? Obe strany se museji authenticovat i na urovni IPSecu takze max muze zkusit spoofnout par paketu nebo DDoS ale data neziska a jeho traffic bude zahozen....

nevim jestli bych se tady bal botnetu, zalezi jak je pripojeni te site do internetu... jak budes s botnetem crackovat wifi - jeste ke vsemu kdyz pravidelne menis klice a nebo pouzivas tkip?

[Fox!MURDER]

v situaci kdy uzivatel pristupuje na server pres TLS a authentikuje se, traffic je zabalen v IPSecu tak se zly_man musi stejne napred dostat pres wifi? Obe strany se museji authenticovat i na urovni IPSecu takze max muze zkusit spoofnout par paketu nebo DDoS ale data neziska a jeho traffic bude zahozen....

nevim jestli bych se tady bal botnetu, zalezi jak je pripojeni te site do internetu... jak budes s botnetem crackovat wifi - jeste ke vsemu kdyz pravidelne menis klice a nebo pouzivas tkip?

jak ty data jednou ziskas, mas uz celej zivot na to, abys je rozsifroval ....

[sasha]

jak ty data jednou ziskas, mas uz celej zivot na to, abys je rozsifroval ....

tak to mas pravdu, ale pokud jsou data opravdu citliva viz banky, army apod tak takova komunikace nepujde pres wifi a zcela jasna investice je do privatniho okruhu u nejakeho ISP a data tecou stejne pres sifrovany kanal.

navic nejsem si jisty jestli by botnety a tvuj zivot stacil na rozsifrovani 3 ruznych cipher vrstev
sifrovana data > sifrovany authentikovany kanal > sifrovany transportni tunel > sifrovane wifi

to uz je moc scifi - teda spon myslim, jestli tohle nekdo rozlouskne brute forcem behem pul roku tak uz nema sifrovani zadnou cenu

[Petrik]

Panove, je potreba si uvedomit, ze v naproste vetsine realnych pripadu prolomenych sifer se to delalo jinak, nez lamanim te sifry (social engineerig etc). Osobne si myslim, ze daleko pravdepodobnejsi je hacknuti tech kompu, na kterych se ta data nachazeji (pokud tam jsou vidle tak se o bezpecnosti moc bavit nelze) ci routeru, pres ktere to tece (pokud tam neni sifrovany tunel), nez ze nekdo uspesne hackne AES sifrovani ty wifiny a nebo snad dokonce nejaky VPNky, to je vazne scifi. Ja osobne bych, pokud je alespon trochu mozne, volil radeji nez VPN nebo dokonce IPsec SSH tunel (s 2048bit RSA klicem), ktery je IMO daleko bezpecnejsi a asi tak 100x jednoduzsi na konfiguraci, za predpokladu, ze alespon cilovy stroj je nejaky UNIX.

jen pro informaci: 63 nahodnych znaku full ASCII u AES+WPA2 passphrase = 10^457 kombinaci (63^254). GPUcka pry dokazi vyzkouset az 500.000 kombinaci za vterinu, takze to vychazi na cca 4x10^445 let.
2048bit klic u SSH/VPN je 10^616, 4096bit je 10^1233 kombinaci, takze tudy asi cesta nevede

[sasha]

ano tak jak rikas, pokud pres takovy server nebo klienta tecou cena data, mel by mit take omezeny pristup kam muze a nemuze = zadny pristup na web do internetu apod...

co se unixu nebo linuxu pro sifrovani dat asi nesouhlasim, ale to uz je vec toho kdo ma s cim jake zkusenosti....

[Jezevec]

Mimochodem, z hlediska bezpecnosti je mnohem lepsi to routovat nez bridge. PLne transparentni bridge ti totiz umozni primy pristup do LAN jakmile prolomis tu wifi a pak uz ti nejaky sifrovani prenosu pres tu wifi muze byt casto sumafuk, protoze se dostanes primo ke zdroji. Navic pres to lezou vsemozny broadcasty a dalsi hnusy.

[jimmy]

sit je od internetu uplne odrizla, pro vyssi bezpecnost Wifi by oba protejsky mely jet v rezimu BRIDGE