WEP and weep... - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Soutěž

Sponzorem soutěže je:

IDIF

 

Odkud pochází fotografka Anne Erhard?

V dnešní soutěži hrajeme o:

Seriály

Více seriálů



Informace

WEP and weep...

13. prosince 2006, 00.00 | V našem seriálu, v němž se podrobně zabýváme bezpečností operačního systému Mac OS X, se v současnosti zabýváme zabezpečením počítačové sítě. V předminulém dílu jsme si ukázali základy nastavení, jež platí pro libovolnou síť; minule jsme se seznámili s vhodným nastavením sítě bezdrátové, AirPortu.


Ovšem... pojem vhodné nastavení je zde přinejlepším diskutabilní. Dnes si řekneme proč – a jak to zlepšit.

V našem seriálu, v němž se podrobně zabýváme bezpečností operačního systému Mac OS X, se v současnosti zabýváme zabezpečením počítačové sítě. V předminulém dílu jsme si ukázali základy nastavení, jež platí pro libovolnou síť; minule jsme se seznámili s vhodným nastavením sítě bezdrátové, AirPortu.

Ovšem... pojem vhodné nastavení je zde přinejlepším diskutabilní. Dnes si řekneme proč – a jak to zlepšit.

Co je špatného na WEP?

V minulém dílu jsme si řekli, že při nastavení bezdrátové sítě AirPort vždy určíme, že síť má používat stodvacetiosmibitové šifrování WEP. To je do jisté míry rozumná rada – protože Mac se standardním hardware zahrnujícím pouze kartu AirPort a standardním software nic lepšího neumí! (Firma Apple udává, že problém není v Mac OS X, nýbrž v čipsetu; možná je to dokonce i pravda – musím se upřímně přiznat, že toto rozhodnout neumím, a definitivní odpověď se mi ani nepodařilo nalézt na Webu.)

Na druhou stranu však WEP není žádná zvláštní výhra. Vůbec nemá smysl hovořit o čtyřicetibitovém WEP; ostatně celou dobu jsme si jasně říkali, že budeme používat klíč délky 128 bitů. Bohužel ani ten naprosto neznamená, že by se naše komunikace nedala odposlouchávat: existují systémy, jež podporují WEP s klíčem délky 256 bitů (Mac OS X mezi ně nepatří), ale ty jsou jen o málo bezpečnější.

Aniž bychom zacházeli do teorie (již si zájemce může snadno nalézt na Webu), základní problém šifrování WEP spočívá – s trochou na této úrovni nepodstatného zjednodušení – v tom, že protokol je založen na čtyřiadvacetibitovém transportním klíči, odesílaném s každým paketem; tento klíč se zřetězí s klíčem WEP pro šifrování. Odtud, mimochodem, vyplývá na první pohled poněkud matoucí fakt že stodvacetiosmibitový WEP má ve skutečnosti klíč délky 104 bitů (104+24=128).

Transportní klíč by teoreticky měl být pro každý paket odlišný a náhodný; je ovšem celkem zřejmé, že při rozsáhlejším provozu na síti to není možné dodržet. Proto stačí odchytit relativně nízké množství paketů (řádově desítky tisíc) pro úspěšné prolomení šifry.

Řešením je WPA...

Novějším systémem šifrování bezdrátových sítí je WPA (mimochodem, WEP znamená "Wired Equivalent Privacy", zatímco WPA je zkratka za "Wi-Fi Protected Access").

Standard WPA řeší v podstatě všechna slabá místa šifrování WEP: transportní klíč je dvojnásobné délky – čtyřicet osm bitů namísto dvaceti čtyř – ale hlavně je systém WPA vybaven systémem, který v průběhu používání sítě dynamicky mění klíč (TKIP – "Temporal Key Integrity Protocol"). Díky němu není možné šifrování WPA zlomit týmž způsobem, jemuž WEP snadno podléhá.

Šifrování WPA nabízí řadu dalších možností a vylepšení, jež zahrnují lepší zajištění integrity, potenciální možnost využití autentifikačního serveru, který každému uživateli přidělí vlastní heslo, odlišné od všech ostatních (v Mac OS X je tato úroveň nazývána "WPA Enterprise"), a podobně.

... pokud je k dispozici

Mac OS X samozřejmě WPA podporuje; nikoli však v režimu, jímž jsme se až dosud zabývali, kdy je počítač vybavený kartou AirPort využíván pro vytvoření nové bezdrátové sítě: v takovém případě nezbývá, než se držet stodvacetiosmibitového WEP (a zároveň dodržovat důsledně ostatní možnosti zabezpečení, případně – je-li bezpečnost komunikace důležitá – použít kupříkladu tunelování prostřednictvím VPN; těmito možnostmi se budeme zabývat později).

Pokud ovšem je bezdrátová síť založena na AirPort Base Station, na stanici AirPort Express, nebo na (víceméně libovolném) 3rd party bezdrátovém routeru, máme šifrování WPA k dispozici – a také je pak můžeme zvolit.

Mac OS X se do takové sítě samozřejmě jako klient připojit dokáže: potřebujeme-li to, spustíme aplikaci Internet Connect, při výběru sítě zvolíme "Other", a pak již můžeme požadovanou úroveň šifrování zvolit pomocí nabídky "Wireless Security":

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Tipy a Triky  

 » Rubriky  » Začínáme s  

Diskuse k článku

 

Vložit nový příspěvek   Sbalit příspěvky

 

WEPorWPA

Autor: Sectoid Muž

Založeno: 13.12.2006, 00:21
Odpovědí: 0

Opět výborný článek v zajímavém seriálku(v ČR bych nějaké podobné texty tisknul a balil ke každému prodanému WIFI routeru).

Jen mne napadá, v části:

* 3rd party bezdrátovém routeru, máme šifrování WEP k dispozici – a také je pak můžeme zvolit*

by mělo být WPA místo WEP, pokud tomu dobře rozumím.Pletu se?

Odpovědět na příspěvek

RE: WEPorWPA

Autor: OC Muž

Založeno: 13.12.2006, 00:29

Jojo, omlouvám se za překlep :(

Odpovědět na příspěvek

RE: RE: WEPorWPA

Autor: Gillan Muž

Založeno: 13.12.2006, 10:07

Jeste tady...
"Díky němu není možné šifrování WEP zlomit týmž způsobem, jemuž WPA snadno podléhá." nemelo by to byt opacne? Ale mozna jsem se jeste neprobudil ;]

Odpovědět na příspěvek

RE: RE: RE: WEPorWPA

Autor: OC Muž

Založeno: 13.12.2006, 10:15

Ne, mně se ty zatracené TLA prostě pletou, jako by to nemohli nazývat nějak po lidsku, WEP, WPA, WTF!

Snad mi to pan Mára opraví, až se vrátí z dovolené. Já se bohužel do RS na editaci již vydaného článku nedostanu :(

Moc se omlouvám za ty zmatky :(

Odpovědět na příspěvek

Děkuji OC

Autor: sundevil Muž

Založeno: 13.12.2006, 08:18
Odpovědí: 0

Opet super článek. Bez Vás by to tady bylo mrtvé. děkuji.

Odpovědět na příspěvek

Rychlost

Autor: JirSoft Muž

Založeno: 13.12.2006, 11:41
Odpovědí: 0

Jsem v oblasti bezdrátových sítí nováček, mám Wifi-router a v iBooku Airport kartu. Hned při prvních pokusech jsem nastavil WPA, firewall v routeru omezil na iBook a na stolní PM připojený k routeru pomocí ethernetu. Překvapila mne velmi nízká rychlost (iBook a router jsou u sebe, takže signál je dobrý) oproti mnou odhadované. Nevím, jak vhodně rychlost měřit, sleduji jen info v MenuMeters při kopírování velkého souboru, ale nemůže být například WPA výrazně pomalejší než třeba WEP?

Odpovědět na příspěvek

RE: Rychlost

Autor: OC Muž

Založeno: 13.12.2006, 18:00

No, daleko spíše to bude kvalitou signálu -- jedna věc je, že počítače jsou u sebe; druhá je, co se děje v éteru: není tam třeba WiFi na témže či blízkém kanálu, nebo tak něco?

Nejprve bych zkusil změnit kanál. Nepomůže-li to, hm, těžko říci...

Jinak WPA by to výrazně zpomalovat nemělo, nicméně nejsnazší je to zkusit -- totiž vypnout WPA a podívat se, jestli se to zlepší. Já bych osobně čekal že ne, ale mohu se zásadně mýlit :)

Odpovědět na příspěvek

RE: Rychlost

Autor: Jozo Remen Muž

Založeno: 13.12.2006, 18:51

kanal moze byt problem ale skusil by som tiez nastavit rucne IP adresu. Vyjadrenie "velmi nizka rychlost" je konkretne co? Z internetu do iBooku alebo medzi pocitacmi? O ake WiFi sa jedna, 802.11b alebo g? Ono udavana rychlost (11 Mbit resp. 54 Mbit) je len papierova, realita u 802.11b je okolo 600 kB/s a tak 2 MB/s u 802.11g…

Odpovědět na příspěvek

RE: Rychlost

Autor: hastroš Muž

Založeno: 14.12.2006, 02:15

Mám podobnou zkušenost, jakékoli šifrování snižovalo znatelně rychlost, proto používám jen skrytou síť a přiřazené MAC adresy. Nebydlím zrovna vedle univeristy nebo kolejí ale na dědině, krom toho ve 2. patře a nastavením sily signálu je příjem možný víceméně jen na patře kde jsou 2 byty, takže mi to naprosto stačí.

Odpovědět na příspěvek

RE: RE: Rychlost

Autor: r00t Muž

Založeno: 14.12.2006, 10:59

na tento sposob "zabezpecenia" by som sa vobec nespoliehal, byvam v bratislavskej Petrzalke na 6-poschodi v panelaku, kde je predpoklad pomerne prazdneho eteru, je tam plnych vsetkych 13 kanalov (vdaka domacim wifi routrom) a vela ludi naivne pouziva "zabezpecenie" cez MAC adresu, pri zapnutom airsnorte resp. ethereale nie je ziadny problem tuto MAC adresu zistit, fakenut ju a pripojit sa

Odpovědět na příspěvek

RE: RE: RE: Rychlost

Autor: hastroš Muž

Založeno: 15.12.2006, 02:24

vzhledem k tomu, že vím kdo vedle mne bydlí a jak se "vyzná" tak mi je opravdu rychlost milejší než se zbytečně omezovat. Navíc by dotyčný potřeboval i volnou IP adresu. Na dálnici také nejezdím v pravém pruhu za ostatními, jsou li vlevo 3 volné, přestože doporučená bezpečná rychlost je 130km/h. ;-)
Krom toho jsou v dosahu 3-4 naprosto nezabezpečené sítě se silnějším signálem, takže by se muselo jednat opravdu o ctižádostivého hackera kterému by stálo za to se věnovat zrovna mé síti.

Odpovědět na příspěvek

RE: RE: Rychlost

Autor: OC Muž

Založeno: 14.12.2006, 11:45

Hmmm... a dveře od bytu také ponecháváte otevřené, neboť přístup je pouze z onoho patra kde jsou jen 2 byty, takže to naprosto stačí? ;)

Zajisté de gustibus non est disputandum, a nadto já tak nějak filosoficky hluboce *souhlasím* s thesí, že je morálně špatné vycházet zlodějům (libovolného typu) vstříc tím, že budu investovat energii, čas a peníze do zámků (libovolného typu). Správné je nic nezamykat, neboť slušní lidé nekradou a gentlemani nečtou cizí dopisy. Jen je to, obávám se, poněkud nepraktické, obzvláště v dnešní době, kdy je mírně problematické případného zloděje na místě odstřelit...

No nic, odbočuji, filosofické aspekty sem rozhodně nepatří. Vězte tedy pouze, že po ryze technické stránce je Vaše zabezpečení asi tak stejně dobré jako žádné.

Odpovědět na příspěvek

 

 

Vložit nový příspěvek

Jméno:

Pohlaví:

,

E-mail:

Předmět:

Příspěvek:

 

Kontrola:

Do spodního pole opište z obrázku 5 znaků:

Kód pro ověření

 

 

 

 

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: