Zabezpečení Wi-Fi proti neautorizovanému přístupu

[pre.vit]

Mám takovej menší problém a to jak zajistit, aby se mi na moji malou wi-fi síť nemohl nikdo připojit.

Mám wi-fi router Ovislink WL-1000R. Wi-Fi síť je nastavená tak, že připojení je omezeno na MAC adresy, které jsem si zvolil, zabezpečení WPA-PSA (klíč má 32 znaků) a SSID jsem dal hide.
Bohužel i přes nastavení že SSID je skrytá, tak stejně když si dám vyhledat dostupné sítě tak vidím sítě 2 - 1. SSID not broadcast a 2. se správným jménem.
To opravdu nechápu. Protože, když se pak podívám do LOGu, tak se nestále někdo snaží připojit...

Tady dám pro příklad hodně zkrácený výpis:
27. května 2006 17:41:55 Unallowed access from WLAN 00-10-C6-35-32-7B
27. května 2006 17:43:07 Disassociated: 00-12-F0-84-29-9C
27. května 2006 17:44:24 Unallowed access from WLAN 00-10-C6-35-32-7B
27. května 2006 17:44:24 Unallowed access from WLAN 00-10-C6-35-32-7B
27. května 2006 17:44:26 Unallowed access from WLAN 00-10-C6-35-32-7B
27. května 2006 17:44:26 Unallowed access from WLAN 00-10-C6-35-32-7B
27. května 2006 17:44:28 Unallowed access from WLAN 00-10-C6-35-32-7B

Že by se někdo neustále snažil prolomit můj (teď už bývalý) WEP key? (btw. dá se zjistit podle MAC adresy IP adresa??)

Takže otázka zní, jak zajistit aby se na ni opravdu nikdo nemohl připojit? Fakt nechci totiž sdílet citlivá data s někým jiným...
Ještě přidám nastavení Wi-Fi.

[Gregy]

Zabezpečení je podle mě to nej co si moh udělat. Ani s tím ti ovšem nikdo nezajistí že se nepřipojí někdo neautorizovaný. Holt bezdrát je bezdrát. To s tím ssid nevím....to je nějaké divné. Mají obě ty sítě stejnou mac ap? S tím logem....podle mě se takto nikdo o prolomení nesnaží. Myslim že kdyby se snažil tak jen v klidu poslouchá a nesnaží se připojit (ovšem nevím jak je to u wpa). Možná je to nějaký notebook co sám hledá volné připojení k inetu jenže to by to nezkoušel asi takhle často..... Pomocí mac nelze v tomto případě ip zjistit....neproběhlo připojení.

[soooc]

Me podobne muj Ovis 5404AR detekuje sousedovi klienty jako Dos utok, protoze kdyz mu spadne AP tak se snazi pripojit nekam jinam

[HAVTOM]

Taky bych se nevzrusoval, evidentne se nekdo (mozna Widle) snazi, ale mala sance, ze by to prolomil, proste to uvidis jen jako pokus a on to casem (Widle teda ne ) vzda. To SSID je divny, ale zkus to scanovat z kompu (AP), co ho nema zadany rucne, treba si to k tomu samo priradi. Pak uvidis.

[pre.vit]

S tim SSIS. Když zkusím normálně vyhledat dostupné sítě na notebooku tak to právě najde tyhle 2, jednu bez SSID a druhou s ní. Když si u obou dvou dám vlastnosti, tak MAC adresa AP je stejná. Prostě to vypadá, jako by zapnutím této featurky začalo APčko jen navíc zobrazovat jednu síť bez SSID. Divné...
Co se týče toho LOGu je to stále stejné. Ten někdo se snaží cca 35x za minutu připojit k síti, takže každý den mažu docela slušný LOG. Popravdě to AP zas tak velkou paměť na log nemá, takže vždycky vidím jen posledních cca 15 minut. I to mě docela štve, protože pak nezjistím třeba i některé důležité věci..

Jinak díky, karma+.

[HAVTOM]

Aha no tak treba jses jedinej dostupnej v okoli a snazi se pripojit, takze zkousi ruzny klice. Mozna nevi, ze ho to vyhodi na zaklade MAC adresy. Zkus si dat SSID, podle kteryho pozna kdo jsi (treba email nebo web), mozna te pak kontaktuje, ze by chtel pripojit

[Kon]

nebo to udelej obracene. Zrus sifrovani a pockej, kdo se pripoji.

[chinook]

Dala by se nabourat wifi ve ktere bych se pripojil pres VPN (VPN by bylo nekde na internetu a zabezpecena pomoci certifikatu)? Spojeni by bylo sifrovane a pripadni utocnik by kod odposlechem nerozlomil nebo jo?

[Gregy]

To víš že jo......teda záleží na tom jak dlouho by to trvalo. Podle mě je každý šifrování jen o zdržení/omezení útočníků podle znalostí

[pre.vit]

nebo to udelej obracene. Zrus sifrovani a pockej, kdo se pripoji.

Zajímavé, tak jsem udělal menší pokus, odpojil všechny počítače, kromě soukr. PC (kde nic není a nic tam ani není povoleno ) a zrušil veškeré šifrování, prostě dal na OPEN.
No v logu mi to neukázalo nic, že by se připojil nebo tak něco. Pak jsem vypnul wifi, nastavil vše zpět a od té doby ani jeden pokus o průnik. Tak teď vážně nevím, co si o tom myslet...

[HAVTOM]

A nebyla ta MAC adresa nahodou jednoho z tvejch pocitacu, kdy z nejakyho neznamyho duvodu, kdyz videl tu sit 2x (jednou s SSID a jednou bez), ale se stejnou MAC adresou, tak se snazil komunikovat s obema?

[pre.vit]

A nebyla ta MAC adresa nahodou jednoho z tvejch pocitacu, kdy z nejakyho neznamyho duvodu, kdyz videl tu sit 2x (jednou s SSID a jednou bez), ale se stejnou MAC adresou, tak se snazil komunikovat s obema?

Ne to opravdu nebyla.. (přeci jen podle MAC adres napevno přiřazuju IP, takže to by bylo abych si je alespoň trochu nepamatoval...)

[Hanz]

Řeším v podst. to samé, co na začátku pre.vit, akorát že zatím se mi sem nikdo dostat nesnaží (ale co neni, může být). Rozhodně se proti tomu chci ochránit a chtěl bych poradit, co mám ještě udělat a zda-li to, co dělám je správně, takže:

Mám kabelovej NET od Chella. Dalším článkem je router ASUS WL-500g Deluxe. Doma mám dva PC připojení přes LAN a jeden NTB připojení přes WLAN.

Co jsem pro zabezpečení udělal:
- mám samozřejmě aktivovanej firewall v routeru (teda v PC samo taky)
- vypnul jsem DHCP (adresy mám nastavený na pevno)
- skryl jsem SSID (mám v něm malá a velká písmena a číslice)
- zapnul jsem filtraci MAC adres
- defaultní LAN síť, kterou router dělá je 192.168.xx.xx jsem jí pro sichr změnil na 10.xx.xx.xx (aby bylo hledání těžší a hlavě je tam 256x víc kombinací)
- používám WEP-128bit, což je jak jsem pochopil ta největší slabina. Jenže já ho používat asi musím, protože ten NTB co se přes WLAN připojuje je poměrně starší IBM R40, který (mimochodem neumí ani "g"čkovou síť ) WPA asi neumí (což jsem tedy usoupil podle toho, že jsem ve WinXP dal "Nastavit bezdrátovou síť" a zadal jsem "Použít šifrování WPA namísto WEP....", tak mi to vyhodilo následující hlášku:
Vybrali jste šifrování WPA, ale síťový adaptér šifrování WPA nepodporuje....."
Jedná se o adaptér Intel(R) PRO/Wireless LAN 2100 3B Mini PCI Adapter (dle popisu WinXP) a je v NTB na boardu).

Takže moje dotazy zní?

1) - lze ještě v té situaci s mým současným vybavením (no firemního NTB si opravdu nebudu kupovat PCMCIA WI-FI, která by zvládla WPA) něco nastavit lépe, pro ochranu mojí sítě? Nebo to je maximum a teď mi zbývá jen doufat a sledovat log?

2) - existuje nějaká možnost, jak tu WI-FI síťovku v NTB "naučit" WPA. Nějak jí přehrát firmware nebo tak něco. Má s tím někdo zkušenost na noteboocích IBM?

[Anduril]

Imho tahle wifi sitovka WPA podporuje. Ujisti se, ze mas WXP SP2 a posledni driver pro tu wifinu.

[Hanz]

No jo vidiš, já jsem ale lama. Máš pravdu. Zkusil jsem tam šoupnout poslední driver co jsem na intel.com našel a hle. Už to umí i WPA.
Takže když jsem to se slávou rozchodil, tak se chci zeptat. Jak nejlépe WPA použít.
V mém routeru mám možnost použít: WPA, WPA-PSK a další...
Když zvolím WPA, tak si můžu dál vybrat TKIP nebo AES nebo TKIP+AES. Zvolím-li samostatné TKIP nebo AES, tak mi to klasicky nabídne zapsat WEP klíč a to buď 64 nebo 128-bitovej.
Když ale zvolím WPA-PSK a pak dám TKIP+AES, tak můžu zadat 64místnej WPA Pre-Shared Key. Což jsem udělal. Poté jsou všechny ostatní položky znepřístupněny až na Network Key Rotation Interval, kterej jsem nastavil na 60 (sek).
Je takhle (s ohledem na bezpečnost) nastavenej router dobře, nebo to mám nějak předělat?

V NTB mi to zase nebízí ať už zvolím WPA nebo WPA-PSK vždy jen šifrování buď TKIP nebo AES (nenabízí mi to TKIP+AES). Co je lepší zvolit. TIKP nebo AES společně s ověřením WPA-PSK? A popř. proč?