Hajde da pokusam da sazmem sve sto je receno i da dodam par stvari.
Mere zastite koje IMAJU SMISLA:
1.
Ukljuci WPA2-PSK - izaberi komplikovan password - npr. "P2!f8aU0_v!6xXaJ". Duzina je ogranicena na 63 bajta, ali ti je vec 15 sasvim dovoljno.
2.
Iskljuci Wi-Fi Protected Setup (WPS) - potencijalnom uljezu WPS pruza precicu kojom zaobilazi WPA. Vise detalja o tome mozes da procitas
ovde.
3.
Ukljuci AES / Iskljuci TKIP - ako na ruteru mozes da biras izmedju AES i TKIP odaberi ovo prvo. TKIP ima dosta slabosti. Vise detalja o tome mozes da nadjes
ovde.
Dodatne mere, ne suvise efikasne, koje imaju smisla samo u kombinaciji sa tri prethodne:
4.
Iskljuci DHCP - koristi staticke IP adrese za uredjaje u stanu. Ali ne neke cesto koriscene (npr. 10.0.0.1 i sl.), vec uzmi nesto sto ljudi obicno ne koriste. Dobar primer su prosti brojevi kao drugi i treci bajt adrese (npr. 10.137.89.101, 102, 103 itd.). Ili jos bolje - par adresa iz opsega predvidjenog za testiranje rutera (RFC2544 - 198.18.0.0/15). Mrezni prefiks ogranici na uzak opseg - npr. ako imas samo jedan laptop koristi /31 (jedna adresa za ruter, jedna za laptop - RFC2031), a ne ceo /24! Uljez vise nece dobijati adresu automatski, vec ce morati da je podesi staticki i da zna tvoju mreznu adresu i next-hop. Nazalost, cak i ako se koristi WPA enkripcija IP adrese mogu da se otkriju iz inicijalne razmene ARP paketa sto moze da se sniffuje. Medjutim, za to je potrebno dosta znanja i vremena, tako da je ovo svakako dobra dodatna zastita.
Mere zastite koje NEMAJU SMISLA:
1.
WEP Authentication - razbijen je jos pre vise od 10 godina! O tome je napisan i naucni rad (vise detalja
ovde), na osnovu koga su razvijeni mnogi alati za razbijanje WEP-a. Potrazi na Guglu "How to crack WEP". Dobices oko 500,000 clanaka!
2.
MAC Address Filtering - mada vecina proizvodjaca WiFi rutera nudi opciju da eksplicitno navedes MAC adrese uredjaja koji mogu da pristupe mrezi ovo bas i nema smisla. Pakete koje tvoj ruter salje i prima moze da slusa svako ko ima antenu, WiFi ruter i wireless sniffer. Pokazno-takticku vezbu na tu temu mozes da nadjes
ovde. :-) Osim ako uljez nema IQ < 80.
3.
SSID Hiding - osim sto ce nekim uredjajima u tvojoj mrezi da zada glavobolju (recimo, jedan stari UTStarcom IP/WiFi Phone nisam uspeo da nateram da radi sa skrivenim SSID) - ovo nije uopste efikasna mera zastite. Sakriti SSID je isto kao i skinuti kucni broj sa fasade - kucu time ne mozes da sakrijes. :-) WiFi salje periodicne keepalive poruke (beacon frames) koje ne mogu da se iskljuce, a koje sadrze SSID. Detektuju se lako. Vise detalja o tome mozes da procitas
ovde.
Literatura
Guillaume Lehembre, Wi-Fi security – WEP, WPA and WPA2
[Ovu poruku je menjao B3R1 dana 09.03.2012. u 23:36 GMT+1]