PDA i WLAN - bezpieczenstwo

Witam!
Chcialbym zainstalowac sobie WLAN, aby korzystac z PDA w obrebie mieszkania. PC mam podlaczony kabelkiem, wiec do tego nie trzeba mi WLANu. Chodzi tylko o problem ew. zhackowania polaczenia, czyli podlaczenia sie kogos nielegalnie. Z tego co wiem, Windows Mobile 2005, ktory mam na PDA, wspiera tylko WPA, ale niestety nie wspiera WPA2 (AES). Poniewaz WPA nie jest niestety super bezpiecznym zabezpieczeniem (jest troche narzedzi do hackowania), to chcialbym jednak miec polaczenie poprzez WPA2. Bo rozumiem, ze jesli ktos wlamie mi sie do sieci, to nie tylko bedzie mogl korzystac z mojego polaczenia internetowego, ale bedzie mogl mi "grzebac" po PC itd? Czy dobrze rozumiem?
I tu moje pytanie: czy istnieje jakis soft na Windows Mobile 2005, ktory wspiera WPA2?

Pozdrawiam!
Yazilim.

z tego co mi wiadomo to tak haker będzie mógł grzebać w PC
nie było by lepszym rozwiązaniem zakup karty wifi do PC + router do którego podłaczyłbys neta + pda z wifi
przy takim rozwiązaniu mógłbys korzystać z neta na pda nawet przy wyłączonym pC
z tego co sie orientuję to przecież dostęp do sieci wifi można zablokować na jakieś hasło czy cos takiego
a na PC zainstalować jakis firewall + jakis antivir i powinno być bezpiecznie

nie było by lepszym rozwiązaniem zakup karty wifi do PC + router do którego podłaczyłbys neta + pda z wifi

No wlasnie chyba to mialem na mysli, tzn internet podlaczony do routera WLAN, z routerka idzie kabelek do PC, a PDA laczy sie z routerkiem przez WLAN. No i wtedy oczywiscie PC moze byc wylaczony a WLAN dziala dalej i PDA moze byc podlaczony przez WLAN i faktycznie to zabezpiecza jakos PC przed wlamaniem, ale jak zapomne wylaczyc PC to wtedy gorzej ;(

z tego co sie orientuję to przecież dostęp do sieci wifi można zablokować na jakieś hasło czy cos takiego
a na PC zainstalować jakis firewall + jakis antivir i powinno być bezpiecznie

No tak, firewalla mam juz zainstalowanego ale co to firewall dla hackera
Jednak WPA2 to robi od razu blokade konkretniejsza i hacker sie zniecheca na poczatku

Pozdr,
Yazilim

no to moze dostęp do sieci na kompie zablokowac hasłem do tego jeszcze czytnik lini papilarnych i czytnik tęczówki oka
tego juz haker chyba tak łatwo nie obejdzie

Można sobie jeszcze w routerze włączyć filtrowanie MAC adresów.

no to moze dostęp do sieci na kompie zablokowac hasłem do tego jeszcze czytnik lini papilarnych i czytnik tęczówki oka
tego juz haker chyba tak łatwo nie obejdzie

No az takim fanatykiem zabezpieczen to nie jestem  

ale jak masz juz wpa to mozesz spac spokojnie. nie sadze, zeby sie komus chcialo lamac twoje domowe zabezpieczenie.

WPA i silny klucz, a po podlaczeniu PDA, filtrowanie po MAC:Adresie i wylaczenie SSID, siec wifi jest nie widoczna z zewnatrz. Jezeli sie tak boisz wlamania do komputera, to ja sie dziwie ze wogole korzystasz z internetu. A na marginesie, to przy podsluchaniu odpowiedniej ilosci pakietow, mozna poznac MAC:Adress komputera ktory sie laczy i klucz. tak ze na dobra sprawe lepiej zakopac komputer pod ziemie i odlaczyc od niego wszystko.

Mam podobną sytuację. Tzn. mam router w domu i sieć WiFi zabezpieczona tym dłuższym kluczem WEP (więcej bitów, nie pamiętam ile), a mam do routera podłączony komputer i PDA via WiFi, a kompa przez kabel ethernet. Jednak na kompie mam udostępnione pliki w obrębie LANu (w tym wypadku WLAN), dlatego mogę je przeglądać z poziomu PDA i drugiego komputera. Oczywiście nie jest to cały dysk, a jedynie konkretne foldery, jednak wolałbym, by nikt nie miał do nich dostępu. Coprawda zasięg WiFi sięga zaledwie do trzech sąsiadów i nie sądzę, by ktoś z nich miał odbiornik WiFi i chciał kraść neta, ale ostrożności nigdy nie za wiele. Pytanie: czy jeśli ktoś mi się podepnie pod łącze to może w jakiś sposób dostać się do innych folderów niż udostępnione?

Scenariusz musiałby być taki:
– dowiedzenie się, że masz sieć oraz jaki jest jej SSID (zakładam, że masz wyłączone jego rozgłaszanie),
– atak typu man-in-the-middle, żeby poznać adres MAC Twojego PDA lub PC oraz klucz WEP — teoretycznie do przeprowadzenia w czasie wielomianowym, zwłaszcza że PC zapewne wymienia ilości danych kilka rzędów wielkości większe niż PDA,
– MAC spoofig,
– przełamanie zabezpieczeń routera, żeby zmienić np. forwarding portów dla usług systemowych,
– włam do PC i zmiana udostępnionych katalogów.

Raczej mało komu by się chciało (no chyba że coś Cię łączyło z Litwinienką:))).

Ja na wszelki słuczaj całą sieć w domu mam zrobioną na skrętce FTP, a AP włączam tylko na czas pracy z PDA czy laptopem. Potem po prostu wyłączam. Taka już nieufna jestem .

dowiedzenie się, że masz sieć oraz jaki jest jej SSID (zakładam, że masz wyłączone jego rozgłaszanie),

Zgadza się - mam ogólnowidoczny Ale jak mogę ustawić, żeby sieć była widoczna tylko dla drugiego PC i PDA? Czy jeśli tak bym zrobił, to nikt nie ma szans na włam?

Tak jak mówię - nikt w zasięgu raczej nie będzie miał nawet kompa z kartą WiFi, a co dopiero żeby mi się włamywać i to po sąsiedzku
Ale co jeśli ktoś ma antenę kierunkową w mojej mieścinie i sobie może mnie namierzyć? Jest jakaś możliwość przeglądania podłączonych komputerów?

Niestety jestem skazany na pracę z WiFi, z kablami mi nie wychodziło, no i mam PDA jeszcze

Po pierwsze wyłącz rozgłaszanie SSID . Jak nie widzą ze jest jakaś sieć to nie będą kopać . I tak Net stumbler znajdzie . WEP lub WPA włączasz . Niestety to mocno obciąża procesor kompa i tym bardziej pocketa więc olej 128 bitów i zostaw 64 . Najlepszym rozwiązaniem jest umieszczenie AP w centrum mieszkania . Wtedy sygnał poza mieszkaniem będzie mocno osłabiony i nikomu nie uda się nawiązać połączenia . Ja mam 6 kompów na WiFi 24h na dobe i nie cuduję . Jedno co mnie wkurza to szybkie "zapychanie się " 11Mbit . Jest dla mnie za wolne i chyba wrócę do kabli . 200 Mbit przy full dupleksie wymiata .

Po pierwsze wyłącz rozgłaszanie SSID

Zaraz to zrobię, pewnie jest taka opcja w administracji routerem

Niestety to mocno obciąża procesor kompa i tym bardziej pocketa więc olej 128 bitów i zostaw 64

O kompa i PDA się nie martwię, komp może być, bo i tak główna stacja jest podłączona kablem, więc jej to nie dotyczy, a co do PDA to faktycznie przy pracy na WiFi bardzo się męczy i np. przy połączeniu przerywa muzyczkę chwilami, ale ogólnie później jest stabilnie i nie narzekam A klucz sprawdziłem - mam 128 bitów i chyba tak zostawię, bo dłuższy

Najlepszym rozwiązaniem jest umieszczenie AP w centrum mieszkania . Wtedy sygnał poza mieszkaniem będzie mocno osłabiony i nikomu nie uda się nawiązać połączenia

To jest oczywiste, ale AP mam obok głównego PC i zasięg na podwórku też mam, oczywiście słabszy, ale jest. Chyba się przejdę do sąsiada sprawdzić, czy jest u niego zasięg Oczywiście żartuję, bez jaj

Ja mam 6 kompów na WiFi 24h na dobe i nie cuduję . Jedno co mnie wkurza to szybkie "zapychanie się " 11Mbit . Jest dla mnie za wolne i chyba wrócę do kabli . 200 Mbit przy full dupleksie wymiata .

Heheh, ja mam 512kbit podzielone na te dwa kompy i PDA, gdzie główny PC ma większość łącza dostępnego i przejmuje wszystko jeśli PDA i drugi komp są odłączone i jakoś mi starcza

Ja u siebie mam ustawione tak:
- pokazanie SSID (niestety inaczej pda nie widzial sieci ;( )
- wpa-psk i dluugi klucz
- filtrowanie mac

Mi taki poziom bezpieczenstwa wystarcza. Dlaczego? Dlatego, ze jak ktos bardzo bedzie chcial sie wlamac do sieci to i tego zwyczajnie dokona. Jeydna rada to najlepiej nie udostepniac inaczej niz haslo waznych katalogow i koniec. Taka rzeczywistosc

Druga mozliwosc to tak jakLong Johnny wylaczanie i wlaczanie wlan na czas korzystania

Poniewaz WPA nie jest niestety super bezpiecznym zabezpieczeniem (jest troche narzedzi do hackowania), to chcialbym jednak miec polaczenie poprzez WPA2

Jedyna metoda na "zlamanie" WPA-PSK jest "brute force" (sprawdzanie kolejnych slow ze slownika lub kombinacji znakow), a taka metoda mozna teoretycznie zlamac kazde zabezpiecznie. Problem w tym, ze przy odpowiednio dlugim (w standardzie WPA zaleca sie z tego, co pamietam min. 20 znakow) i skomplikowanym hasle (a nie np. "telewizorek"), taka operacja trwalaby setki/tysiace lat. Tak wiec siec zabezpieczona WPA-PSK z odpowiednim haslem, jest bezpieczna (chyba, ze znasz jakas metode na WPA-PSK, oprocz brute force). Co innego WEP - tutaj istnieja metody zlamania hasla w kilka godzin/dni (bez wzgledu na dlugosc - 40, 104bit).

Jeszcze z zabezpieczeń, niektóre apki maja baze danych użytkowników, w której dla każdego użyszkodnika się ustala osobno login i hasło. Poza tym tak jak ktoś radził ustawić apka w takim miejscu, żeby sygnał obejmował dom, a poza nim, już był bardzo słaby. Co do filtracji mac/ip to to jest tylko zabawka, mnie zajeło złamanie tego 15 minut i już miałem kilkanaście różnych maców i ip sieci, a jestem zielony w tych sprawach. Co do WEPa, jak jest dobry wardriver z linuxem (win niestety się specjalnie nie nadaje:/) to po skompletowaniu odpowiedniej ilości pakietów zapuszcza program  i po jakimś czasie (różnie to bywa) ma gotowe hasło.  A ja mimo tego, że w routerze mam różne możliwości zabezpieczeń łącznie z serwerem RADIUS i tak używam tylko WEPA, żeby odstraszać tych nieopierzonych h4x00rów, z resztą wystarczy raz na jakiś czas przejrzeć logi z apka i już wiadomo czy ktoś coś tam nie próbuje. Na szczęście mieszkam na 10 piętrze i na dół sygnał prawie nie dochodzi (czasami w mieszkaniu ledwo:/) więc specjalnie się nie martwię. Jeden z wykładowców na polibudzie mówi, że nie ma zabezpieczeń nie do złamania, tylko im mocniejsze tym większą grupę potencjalnych włamywaczy eliminują.

Czytając instrukcję routera co do panelu admina dowiedziałem się, że w tym panelu nawet jest lista podłączonych komputerów i tam można zrobić praktycznie wszystko. Nigdy nie musiałem z niego korzystać, ale teraz jak chciałem wejść na 192.168.1.1 to było OK - wysokoczyło mi logowanie, ale po zalogowaniu strona ładuje się bez końca. Nie wiecie co to może być?

Cześć!

Scenariusz musiałby być taki:
– dowiedzenie się, że masz sieć oraz jaki jest jej SSID (zakładam, że masz wyłączone jego rozgłaszanie),

Wyłączenie rozgłaszania SSID w zasadzie nic nie daje. Wystarczy użyć chociażby Kismet (pod Linuksem), aby owe SSID poznać. Zatem zabezpieczenie niewiele warte. Inna sprawa, że często PDA nie "widzą" sieci z wyłączonym rozgłaszaniem SSID (np. mój LOOX n560).

– atak typu man-in-the-middle, żeby poznać adres MAC Twojego PDA lub PC oraz klucz WEP — teoretycznie do przeprowadzenia w czasie wielomianowym, zwłaszcza że PC zapewne wymienia ilości danych kilka rzędów wielkości większe niż PDA,

Atak typu "man-in-the-middle" nie ma związku z poznaniem adresów MAC ani klucza WEP. Proponuję ponownie Kismet - natychmiast można poznać adresy MAC pracujących urządzeń. A do łamania klucza WEP użyć AirSnort. W przypadku sieci, w której przechodzi wiele pakietów mogą wystarczyć nawet pojedyncze godziny na poznanie hasła.

– MAC spoofig,

Jeżeli na routerze (access poincie) jest włączone filtrowanie po adresach MAC, to wystarczy poczekać aż jedno z urządzeń przestanie pracować i podszyć się pod jego adres. Żaden to problem. Na PC jest np. taki programik jak MacMakeUp.

– przełamanie zabezpieczeń routera, żeby zmienić np. forwarding portów dla usług systemowych,

A tego to już nie rozumiem... Jaki jest związek z forwardowaniem portów na routerze z włamaniem do sieci Wi-Fi?

Ja na wszelki słuczaj całą sieć w domu mam zrobioną na skrętce FTP, a AP włączam tylko na czas pracy z PDA czy laptopem. Potem po prostu wyłączam. Taka już nieufna jestem .

Moim zdaniem zupełnie niepotrzebnie. Zabezpieczenie sieci za pomocą protokołu WPA z autentykacją Preshared Key (czyli WPA-PSK) jest w warunkach domowych aż nadto wystarczające.

Pozdrowienia!

Cześć!

Jeszcze z zabezpieczeń, niektóre apki maja baze danych użytkowników, w której dla każdego użyszkodnika się ustala osobno login i hasło.

Zgadza się, ale to niestety tylko w lepszych (a zatem i droższych) urządzeniach (np. AP Cisco Aironet). Wtedy mamy do czynienia z protokołem WPA Enterprise (inaczej WPA korporacyjne, albo po prostu WPA). Niestety, nie podnosi to siły szyfrowania, zabezpiecznie jest równie mocne co przy WPA-PSK. Korzyść ze stosoania takiego rozwiązania jest taka, że jeżeli w firmie zwolni się jeden pracownik, to nie trzeba wszystkim pozostałym zmieniać klucza, wystarczy zablokować konto na serwerze autentykującym (RADIUS, ew. TACACS).

Jeden z wykładowców na polibudzie mówi, że nie ma zabezpieczeń nie do złamania, tylko im mocniejsze tym większą grupę potencjalnych włamywaczy eliminują.

Oczywiście. Dlatego uważam, że w warunkach domowych możemy mówić o dobrze zabezpieczonej sieci gdy używamy WPA-PSK. Oczywiście, zawsze można na sesję nałożyć VPN, ale w ten sposób dochodzimy do paranoi... Inna sprawa, że tak postępuję, gdy zdarza mi się łączyć z internetem w hotelach przez Wi-Fi - po uzyskaniu połączenia uruchamiam VPN do swojej firmy i wszelkie dane "latające" w powietrzu są silnie zaszyfrowane. Siakoś nie mam zaufania do nie-swoich sieci.

Pozdrowienia!

Cześć!

Cytat: "Wicked"

Jeszcze z zabezpieczeń, niektóre apki maja baze danych użytkowników, w której dla każdego użyszkodnika się ustala osobno login i hasło.

Zgadza się, ale to niestety tylko w lepszych (a zatem i droższych) urządzeniach (np. AP Cisco Aironet). Wtedy mamy do czynienia z protokołem WPA Enterprise (inaczej WPA korporacyjne, albo po prostu WPA). Niestety, nie podnosi to siły szyfrowania, zabezpiecznie jest równie mocne co przy WPA-PSK. Korzyść ze stosoania takiego rozwiązania jest taka, że jeżeli w firmie zwolni się jeden pracownik, to nie trzeba wszystkim pozostałym zmieniać klucza, wystarczy zablokować konto na serwerze autentykującym (RADIUS, ew. TACACS).

Wcale nie musi to być drogie urządzenie. Kupiłem zyxel prestige 660 za 300 zł i ma i RADIUSA i bazę użytkowników. Do tego wbudowany modem adsl, wydaje mi się, że to nie jest dużo. Jego wadą jest to, że ma słabą antenę:/.

Cześć!

Cytat: "BogdanG"

Zgadza się, ale to niestety tylko w lepszych (a zatem i droższych) urządzeniach (np. AP Cisco Aironet).

Wcale nie musi to być drogie urządzenie. Kupiłem zyxel prestige 660 za 300 zł i ma i RADIUSA i bazę użytkowników. Do tego wbudowany modem adsl, wydaje mi się, że to nie jest dużo. Jego wadą jest to, że ma słabą antenę:/.

O proszę, znaczy że tańsze też już wprowadzają tę funkcjonalność. Z ciekawości - ilu użytkowników można wprowadzić?

Ale żeby nie było OT - to już nie ma znaczenia na bezpieczeństwo używania PDA w sieci Wi-Fi.

Pozdrowienia!

Cześć!

Cytat: "Wicked"

Cytat: "BogdanG"

Zgadza się, ale to niestety tylko w lepszych (a zatem i droższych) urządzeniach (np. AP Cisco Aironet).

Wcale nie musi to być drogie urządzenie. Kupiłem zyxel prestige 660 za 300 zł i ma i RADIUSA i bazę użytkowników. Do tego wbudowany modem adsl, wydaje mi się, że to nie jest dużo. Jego wadą jest to, że ma słabą antenę:/.

O proszę, znaczy że tańsze też już wprowadzają tę funkcjonalność. Z ciekawości - ilu użytkowników można wprowadzić?

Ale żeby nie było OT - to już nie ma znaczenia na bezpieczeństwo używania PDA w sieci Wi-Fi.

Pozdrowienia!

Do bazy danych można wprowadzić 32 użytkowników. Dodatkowo apek ma QoS i sztywny podział łącza. Chciałem napisać ci na pw, ale stwierdziłem, że napiszę na publicznym, bo może ktoś będzie kupował apka i te informacje mu się do czegoś przydadzą.

Na razie to jestem ciekaw czy sa takie routery najlepiej z modemem adsl, zeby mozna bylo dla kazdego adresu IP czy MAC przypisac inne zabezpieczenia np dla PDA - WPA-PSK a dla drugiego kompa zalozmy WPA 2. A dla kolejnego jeszcze inne.

Na razie to jestem ciekaw czy sa takie routery najlepiej z modemem adsl, zeby mozna bylo dla kazdego adresu IP czy MAC przypisac inne zabezpieczenia np dla PDA - WPA-PSK a dla drugiego kompa zalozmy WPA 2. A dla kolejnego jeszcze inne.

Aż tak dobrze to nie jest. Do jednego SSID można przypisać tylko jeden sposób zabezpieczenia. Ale są access pointy, które pozwalają na rozgłaszanie kilku SSID. Wtedy można ustawić np. WPA-PSK na sieci o nazwie wifi1 i WPA Enterprise dla sieci wifi2.

Pozdrowienia!