[info] WEP & WPA qual'è il migliore??

[Telemako]

un buongiorno a tutti...
premesso che nn sono proprio una cima in materia , xciò vi chiedo di spiegarmi, gentilmente ed in poche parole qual'è il miglior metodo di protezione wireless (tra: WEP open, WEP shared, WPA, WPA-PSK)
avrei anche un'altra piccola curiosità: potete spiegarmi la diff tra WEP open e WEP shared? li ho provati tutti 2, ma nn ho riscontrato particolari diff.. entrambi hanno 4 key a disposizione, e funzionano nello stesso modo.. allora qual'è la diff?

in conclusione, tutto sto' bel discorso solo al fine di conoscere: qual'è il metodo + semplice & sicuro x proteg. la mia rete WiFi da attacchi esterni
thx a tutti x la comprensione..

[wgator]

Ciao,

secondo il mio punto di vista, volendo combinare semplicità e sicurezza, il metodo migliore resta WPA-PSK. Il Wep può essere crakkato (da una persona esperta però) sniffando qualche centinaio di MB di traffico con software tipo "Airsnort" e simili.

Una volta assegnata una chiave, con WEP resta quella e analizzando gli handlers (la chiave viene trasmessa criptata in rete periodicamente) può essere identificata.

Usando WPA-PSK invece, la chiave di riferimento (quella che imposti sull'AP) viene trasmessa, sempre criptata, solo all'inizio della connessione, poi viene variata in continuazione dal sistema perciò Airsnort non riesce ad identificarla... almeno non in tempi ragionevoli. Non so se sniffando tutto il tuo traffico per mesi si possa violare ma credo che nessuno abbia tanta costanza... in fondo sul tuo pc (come del resto sul mio ) non trovano cose così interessanti

[wgator]

Ri-ciao,

piccola precisazione: in ufficio, vicino a me c'è un noto cracker (molto pgnolo) che mi sta dicendo che esistono software "euristici" che tentano di risalire alla PSK tramite dizionari specifici, scritti ad hoc... Il suo consiglio, se hai molte cose da nascondere, è quello di usare una pre shared key piuttosto lunga e assurda.

In pratica una parola imprevedibile, non presente sui dizionari delle principali lingue lunga almeno 20 caratteri o più. La PSK può contenere fino a 64 caratteri.
Sono quindi da escludere termini banali come il nome del cane o della fidanzata o parole di uso comune. Personalmente io uso una parola strana di 9 caratteri ed ho appena sfidato il noto piratone a crakkarla. Vi farò sapere

Tornando a cose più concrete, c'è una cosa molto importante che alcuni trascurano: è necessario cambiare la password di default del router perchè altrimenti chiunque può intervenire sul set-up e diventare padrone della rete w-lan

I più prudenti (o paranoici? ) in aggiunta potrebbero anche:

- disabilitare la trasmissione del SSID (non lo farò mai sulla mia rete)
- associare i mac address dei client autorizzati alla connessione
- collocare il router (o AP) in una posizione che non irradii molto segnale verso l'esterno
- ridurre la potenza del router (o AP) al minimo indispensabile
- se mi si permette la facezia, rivestire le pareti di casa con fogli di alluminio tipo "Domopak" e sostituire i vetri alle finestre con vetri trattati al piombo Esistono anche delle vernici speciali anti onde radio

[Telemako]

bene! l'ho proprio cambiata ieri da WEP a WPA-PSK
cmq thx x la risposta, adesso ho qlc nozione in + sull'argomento
ps: in giro ho sentito dire: ke x varcare un sistema crypt WEP, ci vogliono dai 700Mb a 1Gb di dati.. risulta anche a te?
bye...

[y2k#84]

Molto meglio WEP a 128 bit, ed ecco perkè:
come detto da wgator, il WPA-PSK è più sicuro (come progetto) perckè utilizza la tecnologia WEP eliminando la vulnerabilità della chiave statica.
Un piccolo problema è che è stato riconosciuto un piccolo bug nel progetto che permette la rottura del WPA-PSK in pochi secondi.
Per crakkare il WEP, si necessita di un limite da 1 ai 4 Gbyte di traffico , che relamente, nessuno sposterà mai su una WLAN in tempo breve, e una macchina dedicata.
Il mio consiglio: WEP 128 con aggiornamento della chiave ogni 2 settimane.
Se poi puoi permetterti un WPA Radius saresti più sicuro di un server FBI.

[alexmere]

Quote:

Originariamente inviato da y2k#84
Molto meglio WEP a 128 bit, ed ecco perkè:
come detto da wgator, il WPA-PSK è più sicuro (come progetto) perckè utilizza la tecnologia WEP eliminando la vulnerabilità della chiave statica.
Un piccolo problema è che è stato riconosciuto un piccolo bug nel progetto che permette la rottura del WPA-PSK in pochi secondi.
Per crakkare il WEP, si necessita di un limite da 1 ai 4 Gbyte di traffico , che relamente, nessuno sposterà mai su una WLAN in tempo breve, e una macchina dedicata.
Il mio consiglio: WEP 128 con aggiornamento della chiave ogni 2 settimane.
Se poi puoi permetterti un WPA Radius saresti più sicuro di un server FBI.

...a proposito di WEP e WPA-PSK, c'è il portatile di un mio amico (Toshiba Centrino 1,6 GHz con Windows XP SP2 Home Edition up-to-date) sul quale non c'è verso di memorizzare la password WEP (o WPA-PSK), perché, una volta inserita, non rimane memorizzata e, aprendo le proprietà di connessione della scheda Wi-Fi, si trova memorizzata una misteriosa password WEP da 7 byte.

Domande.
(1) C'è una procedura particolare per impostare la password WPA-PSK?
(2) Nelle proprietà della scheda Wi-Fi, dove si inserisce la password WEP, compare solo la voce "password WEP" e non la voce "password WPA-PSK" o una roba simile; devo attivare qualcosa per vedere la voce "password WPA-PSK" o va bene lo stesso?
(3) Il problema della non memorizzazione della password può essere causato dal software di gestione della scheda Wi-Fi (driver Toshiba)? Ricordo che, nonostante la presenza di un tool grafico che visualizza la presenza di eventuali reti Wi-Fi nelle vicinanze e la presenza dei client, la gestione della connessione avviene con i driver di Windows.

L'access point è un D-Link DWL-900AP+ con firmware 3.10 beta, che uso a casa mia e che non dà alcun problema. Devo ancora provare ad escludere il software di gestione D-Link e usare i driver di Windows sui PC con schede Wi-Fi D-Link a 22 Mbit/s per vedere se funziona WPA-PSK; il servizio clienti D-Link mi ha detto che per i prodotti AirPlus non è previsto il rilascio di driver e firmware per la WPA-PSK, ma se l'access point ha quella voce (WPA-PSK), significa che posso usarla... E siccome i software delle schede Wi-Fi non possono usare la WPA-PSK, mi affido ai driver di Windows... (4) Funzionera?

PS: mi è venuto in mente che il Centrino montato sul portatile Toshiba è solo 802.11b (11 Mbit/s) ...non è che magari non supporta WPA-PSK? Io penso che per il supporto di WPA-PSK sia sufficiente un aggiornamento dei driver ...(5) giusto?

[y2k#84]

viste le esperienze, gestirei il tutto con i driver proprietari (Windows WLAN al rogo!)
Non ho esperienza nello specifico con i prodotti da te indicati, ma per l'impostazione della chiave WEP o WPA-PSK, esistono 2 modi:
- Inserimento della chiave in HEX, (lunghezza 13 bit)
- inserimento della parola in ASCII nel campo PassPhrase, con relativa codifica in HEX da parte dei driver.

Riguardo al centrino, la tecnologia 802.11b supporta solo il WEP, il WPA-PSK è stato aggiunto nello standard 802.11g.
Anche se l'AP lo supporta perchè 802.11g, la scheda 802.11b non lo supporterà, nemmeno con aggiornamento dei driver.

[alexmere]

Quote:

Originariamente inviato da y2k#84
viste le esperienze, gestirei il tutto con i driver proprietari (Windows WLAN al rogo!)
Non ho esperienza nello specifico con i prodotti da te indicati, ma per l'impostazione della chiave WEP o WPA-PSK, esistono 2 modi:
- Inserimento della chiave in HEX, (lunghezza 13 bit)
- inserimento della parola in ASCII nel campo PassPhrase, con relativa codifica in HEX da parte dei driver.

Riguardo al centrino, la tecnologia 802.11b supporta solo il WEP, il WPA-PSK è stato aggiunto nello standard 802.11g.
Anche se l'AP lo supporta perchè 802.11g, la scheda 802.11b non lo supporterà, nemmeno con aggiornamento dei driver.

Ok l'access point è 802.11b+ (22 Mbit/s), ma il discorso non cambia, visto che la scheda Wi-Fi è 802.11b... Riguardo alla password WEP che non posso memorizzare: idee sulla causa?

[y2k#84]

questo mi sembra molto strano, effetivamente nella precedente risposta non l'ho saltato per dimenticanza ma perchè non saprei esserti utile.
La chiave viene salvata in HEX o in ASCII?
Imposti la chiave come Shared o Open?

[wgator]

Ciao,

per il crack delle WPA-PSK, ho letto qualcosa tempo fa e mi sembra che l'unico software in grado di farlo sia cowpatty me è solo per Linux... se qualcuno vuole fare un po' di esperimenti, riferisca i risultati

Io non ho sufficiente esperienza per provare

[Telemako]

bene! comincio a farmi un idea.. thx x le delucidazioni =)
PS. scusate la domanda un po' stupida: ma qual'è la diff tra open & shared?? (ovv in termini di protezione)

[y2k#84]

Solamente la sequenza di negoziazione.
In una, il cliente manda un frame all'AP per essere autenticato, nella seconda è il contrario.
Diciamo che stabilisce chi prende iniziativa per primo.
A livello pratico non cambia nulla,è solo un particolare in + a cui prestare attenzione durante la confgurazione.

[alexmere]

Quote:

Originariamente inviato da y2k#84
questo mi sembra molto strano, effetivamente nella precedente risposta non l'ho saltato per dimenticanza ma perchè non saprei esserti utile.
La chiave viene salvata in HEX o in ASCII?
Imposti la chiave come Shared o Open?

Inserisco la chiave come Open. Può centrare qualcosa il SSID broadcast disattivato? Credo che sia opportuno configurare in Open con SSID broadcast disattivo, giusto?

[wgator]

Quote:

Originariamente inviato da alexmere

....

PS: mi è venuto in mente che il Centrino montato sul portatile Toshiba è solo 802.11b (11 Mbit/s) ...non è che magari non supporta WPA-PSK? Io penso che per il supporto di WPA-PSK sia sufficiente un aggiornamento dei driver ...(5) giusto?

Ciao Alex,

io possiedo un Toshiba centrino 1.6, modello M30-941 ma ha una scheda wireless Intel Pro 2200 b/g quindi va anche a 54 Mbps.

Per la gestione della rete wireless utilizzo windows (non ho mai installato il software di Intel o di Toshiba) e non ho problemi nè con WEP nè con WPA-PSK. I miei drivers sono gli 8.1.0.26 del 24/06/04

Non so se il modello del tuo amico è un prodotto più anziano e monta una 2100. Comunque Toshiba normalmente monta schede Intel: http://support.intel.com/support/wireless/wlan/ e qui puoi trovare tutti i drivers Intel

[y2k#84]

Riguardo al Boradcast è corretto, senno ogni client ke si vuole connettere deve conoscere a priori l'SSID della tua WLAN.
Può essere una sicurezza in più il disabilitarlo, ma se lo usi domestico va bene cosi, almeno non perdi tempo a configurare profili sui client

[wgator]

hehe, sto leggendo alcune FAQ sul link Intel che ho postato prima...

ci sono anche patch per WPA sulla Intel 2100. Quale mini pci c'è su quel notebook?

[recoil]

Quote:

Originariamente inviato da wgator
- disabilitare la trasmissione del SSID (non lo farò mai sulla mia rete)
- associare i mac address dei client autorizzati alla connessione

buona idea, si può fare spoofing del MAC ma intanto è un ostacolo in più

Quote:

- collocare il router (o AP) in una posizione che non irradii molto segnale verso l'esterno
- ridurre la potenza del router (o AP) al minimo indispensabile

buona idea pure questa, nei limiti del possibile. spesso bisogna mettersi vicino alla presa del telefono o fin dove arriva il cavo ethernet ecc.

Quote:

- se mi si permette la facezia, rivestire le pareti di casa con fogli di alluminio tipo "Domopak" e sostituire i vetri alle finestre con vetri trattati al piombo Esistono anche delle vernici speciali anti onde radio

beh dai non penso che qualcuno dei lettori di questo thread debba mettere in sicurezza gli uffici della CIA

secondo me va bene il WPA, possibilmente con un'autenticazione basata su server se si è in una piccola azienda. per casa anche il semplice WEP potrebbe bastare, possibilmente cambiando la chiave di tanto in tanto

y2k#84 la vulnerabilità di cui parli è quella delle chiavi PSK "facili" o è qualcosa d'altro?

[alexmere]

Quote:

Originariamente inviato da wgator
hehe, sto leggendo alcune FAQ sul link Intel che ho postato prima...

ci sono anche patch per WPA sulla Intel 2100. Quale mini pci c'è su quel notebook?

Non lo so, devo controllare; non ho il notebook sotto mano, è di un amico che lavora in uno studio di architettura nel quale ho installato una piccola rete con un router Cisco . Gli utenti di questa rete non hanno bisogno di tanta protezione (in realtà non si pongono nemmeno il problema di proteggere i loro dati), però capite che per fare andare in Internet il mio amico ho dovuto togliere la password WEP. Ho messo il filtro dei MAC ADDRESS, ma lasciare la WLAN de-criptata mi fa sentire comunque poco tranquillo... Allora sto cercando di risolvere questo problema, che pare più essere di Windows che di impostazioni della WLAN.
Volevo usare la WPA-PSK per migliorare la sicurezza, ma, a parte il fatto che la scheda Wi-Fi a 11 Mbit/s non supporta il WPA-PSK, il problema a quanto pare è proprio nel fatto che il notebook Toshiba (tra l'altro, fresco di formattazione) non tiene in memoria la password WEP (e solo questa, le altre sono memorizzate correttamente, boh ?). Non appena mi capita sotto mano il notebook, faccio un po' di controlli. Nel frattempo mi leggo il link postato da wgator ....grazie!