|
|
|
|
 |
WiFi – קצת על WEP וטיפ קטן...
Ori Lavee - 06/11/2005 | | |
|
WEP – מה ההבדל בין 64 ביט לבין 40 ביט או 128 ל-104 ?
WEP – למה הוא לא "עושה את העבודה" ?
802.11b, 802.11g ומה שביניהם...
רוצים לדעת את התשובות ?
המשיכו לכתבתו המצויינת של "שד"...
WEP – מה ההבדל בין 64 ביט לבין 40 ביט או 128 ל-104.
WEP – Wireless Equivalent Privacy הינו פרוטוקול + אלגוריתם הצפנה המיועד להקנות אבטחה לרשתות אלחוטיות. מי שהתעסק בעבר עם הצפנה יודע שככל שמפתח ההצפנה גדול יותר, כך ההצפנה קשה יותר לפיצוח. הסטנדרט מגדיר מפתחות בגודל של 64/ 128 ביט (חלק מהיצרנים הוסיפו גם תמיכה ב-256 ביט). אולם, לפעמים כאשר אנחנו באים לקנפג מכשיר כל שהוא לעבודה עם WEP, המכשיר מבקש מפתח בגודל של 40 ביט או 104 ביט במקום 64 או 128. אז מה קורה כאן?
התשובה לכך די פשוטה. אם נסתכל על מנגנון WEP עם 64 ביט, הרי שהמפתח שלו מורכב מ"shared secret" (מפתח סודי) ומ-"initialize vector" – רצף המגדיר מצב התחלתי כל שהוא. אנחנו, בתור יוזרים, יכולים לקנפג אך ורק את המפתח הסודי שהוא באורך של 40 ביט או 104 ביט. גודל וקטור האיתחול הוא תמיד 24 ביט. כאשר מחברים ביחד את שניהם מקבלים הצפנה עם מפתח של 64 או 128 ביט.
WEP – למה הוא לא "עושה את העבודה".
מי שקצת קרא יודע ש-wep ניתן לפריצה תוך דקות ספורות. הסיבה נעוצה בכשל בסיסי בפרוטוקול עצמו: בזמן "לחיצות הידיים" בין ה-access point לבין כל תחנה, ה-AP שולח לתחנה מידע כל שהוא ומבקש ממנה להצפין אותו תוך שימוש ב-WEP ובמפתח שלה. כאשר התחנה שולחת את התוכן המוצפן חזרה ל-AP, ה-AP יכול לבדוק האם ההצפנה בוצעה נכון (כלומר: האם התחנה השתמשה באותו מפתח או לא). הבעיה הקשה עם התהליך הזה היא שמי ש"מאזין" לאוויר יכול לקלוט גם את התוכן הלא מוצפן וגם את התוכן המוצפן. מכיוון שהוא יודע את אלגוריתם ההצפנה כל מה שנותר לעשות הוא כמה חישובים מתימטיים על מנת למצוא את המפתח.
אז מה עושים? משתמשים במנגנון מאובטח יותר- WPA עליו נרחיב את הדיבור בעתיד.
802.11b, 802.11g ומה שביניהם.
הנה תרחיש לא דמיוני שאני בטוח שיש עוד קוראים שנתקלו בו:
בביתי רשת אלחוטית 802.11b כבר מספר שנים. אישתי עובדת עם המחשב הנייד שלה, אני עובד עם המחשב שלי וכמובן גם עם הפאלם. לפני זמן מה החלטתי לשדרג את הרשת האלחוטית ל-802.11g על מנת לשפר את מהירות שיתוף הקבצים בין המחשב שלי, המחשב של אישתי ודיסק רשת.
שמח וטוב לב רכשתי ראוטר אלחוטי של לינקסיס, התקנתי אותו בבית, המחשבים התחברו אליו והכל תקתק כמו שעון.
הבעיה שנוצרה היא שברגע שאני מתחבר עם הפאלם או כל מחשב אחר שתומך ב-802.11b בלבד – כל הרשת יורדת לקצבים של 11b – כי זה מה שמגדיר התקן: עבודה במכנה המשותף הנמוך ביותר.
הפתרון: במקום להעיף את הראוטר האלחוטי הקודם, חיברתי אותו בכבל לראוטר החדש. את הראוטר החדש קינפגתי לעבוד במוד 802.11g בלבד, את הראוטר הישן קינפגתי לעבוד בתצורת AP ולא ראוטר.
בצורה כזו – מכשירי 802.11g מתחברים לראוטר החדש ונהנים מקצב גבוה. מכשירי 802.11b מתחברים לראוטר הישן, יכולים לגלוש באינטרנט ולשתף מידע עם מכשירי ה-11g אבל לא מאיטים את כל הרשת.
הערות:
חשוב לבצע הפרדת תדרים בין שני הראוטרים. האידיאל הוא שאחד יהיה בתדר 1 או 2 והשני בתדר 11 או 10.
חשוב לשמור על מרחק מינימלי של 1.25 מטר בין הראוטרים על מנת למנוע הפרעות הדדיות (גם כאשר ביצענו את הפרדת התדרים).
תודה רבה ל "שד" על הכתבה המלומדת והמלמדת.
|
|
|
|
הערות: 16 הערות
שד שכנעת אותי
עברתי ל wpa
האם אתה יכול להרחיב מעט בנושא
הגדרתי ברשת הביתית wpa
ההיתי צריך לבחור בין מספר שיטות \ פרמטרים (AES.....(
בסוף בחרתי משהו שה 4150 שלי תומך בו
ועכשיו הכל עובד.
מה הבדלים והמשמעויות בין הפרמטרים הנ"ל ?
תודה מראש
|
|
נרשם על ידי רני בתאריך 09/11/2005, בשעה 12:32AM לפי שעון ישראל
|
דווקא לא.
שימוש ב-wep משול לכספת שצריך כלי מיוחד כדי לפתוח אותה. את הכלי אפשר לקנות במספר חנויות ספציפיות.
שינוי כתובת מאק הוא פעולה פשוטה הרבה יותר מאשר פריצת wep, ואשר ניתן לבצע מכל מכשיר ללא קשר ליכולת חישוב (לצורך העניין גם מהפאלם TC אפשר לעשות את זה). לעומת זאת, פריצת wep דורשת מחשב עם כח חישוב מינימלי, וכמו כן - דורשת ביצוע sniff לזמן של בין כמה דקות (במקרה הטוב) לשעה (במקרה הנפוץ יותר).
אני ארחיב קצת בנוגע ל-WPA כשאתפנה.
|
|
נרשם על ידי Shed בתאריך 08/11/2005, בשעה 10:07AM לפי שעון ישראל
|
ושימוש ב-WEP לא משול לכספת בבית כשאתה שם דף עם המספרים מעל הכספת?
בכל מקרה, לשימוש ביתי זה נראה לי מוגזם. שוב, מי שיותר להסניף אוויר כדי למצוא SSID ו/או כתובות MAC ידע גם לפרוץ WEP.
בנוגע ל-WPA, למרות המגמה המסתמנת, עדיין לא כל הציודים תומכים בפרוטוקול ההצפנה הזה, מה שהופך אותו ל(עדיין) לא שימושי מספיק.
|
|
נרשם על ידי Scott בתאריך 08/11/2005, בשעה 08:30AM לפי שעון ישראל
|
סקוט,
הגבלת כתובות מאק, או ביטול שידור של SSID (כדי ש"לא יגלו שיש רשת אלחוטית") משולה להסתרת הכספת בבית עם שמיכת פיקה. עדיף לסמוך על WEP מאשר על הגבלת כתובות mac.
|
|
נרשם על ידי Shed בתאריך 08/11/2005, בשעה 07:46AM לפי שעון ישראל
|
|
אחלה כתבה באמת שד, רק שאלה אחת קטנה שבאה בעצם כהקדמה לכל העניין הזה.
כמו שאני רואה את זה, למשתמש הביתי אין שום צורך להתחיל להתעסק עם קנפוגי WEP, WPA וכו' כאשר הגבלת כתובות MAC פשוטה תעשה עבורו את העבודה.
נכון, גם זה ניתן לפריצה, ואפילו ללא מאמץ מיוחד, אבל כמו שאני רואה את זה, מי שכבר רוצה לפרוץ לך לרשת אלחוטית ביתית, סביר להניח שיצליח (גם אם זה עניין של זמן) ועבור רוב ההדיוטות, קנפוג של פילטר MAC בלבד יעשה את העבודה, בלי יותר מדי התעסקות.
|
|
נרשם על ידי Scott בתאריך 08/11/2005, בשעה 05:24AM לפי שעון ישראל
|
כתבה מצוינת!
תודה שד.
|
|
נרשם על ידי Herbie בתאריך 08/11/2005, בשעה 04:21AM לפי שעון ישראל
|
|
למקרה שלא קראת
עד פתח הבית ?
תקשיב נא בני...
אם אתה עושה עלי TRACE המקסימום שתוכל לקבל הוא הספק אינטרנט שלי
כך שאם לא קיבלת את פרטי מספק האינטרנט לא יהיה לך מושג מאיפה אני מחובר אז תפסיק לדבר שטויות
אני לא איזה ילד בן 15 שמאמין לשטויות שאתה כותב אני MCSE 2003 ומבין קצת יותר ממך בכל הנוגע לתיפעול DNS וכו'
ובקשר לספק האינטרנט ולכל העניין ...
האתר שלך באם תרצה או לא תרצה הוא לא שלך אז מה אם אתה ""משלם"" את הוצאות ההחזקה ... לא הסכמתי לשום תנאי בקשר לתגובותי כך שתגובותי לגיטימיות ....
אז את האיומיים שלך תשמור לעצמך
|
|
נרשם על ידי ביל גייטס בתאריך 07/11/2005, בשעה 11:23PM לפי שעון ישראל
|
שד
כרגיל תענוג לקרוא.
כתבתי על זה קצת לפני כשבוע בפורום (ואתה הוספת את הערותיך): http://tinyurl.com/abye5
אם יש לקח אחד שכדאי לקחת אותו בנושא אבטחה: רק WPA ועדיף WPA2 (רק שהוא עדיין חדש ולא קיים בכל המכשירים) .
אני שוב ממליץ למי ששולט באנגלית להאזין לשיחות המאלפות עם סטיב גיבסון בנושאי אבטחה:
http://www.grc.com/SecurityNow.htm
|
|
נרשם על ידי gumpy בתאריך 07/11/2005, בשעה 05:52PM לפי שעון ישראל
|
רני,
initilize Vector נקבע על ידי גורמים ברשת (AP או תחנות) בצורה רנדומלית, על מנת ליצור דינאמיות במפתח (לא להשתמש במפתח סטטי כל הזמן).
אחת החולשות של wep היא שהוא קצר יחסית (24 ביטים בלבד) ולכן אם אני אאזין לתעבורה במשך כשעה אני בטוח אצליח "לתפוס" פאקטים אשר הוצפנו עם אותו IV - מה שמקל מאוד על הפריצה.
הסקירה הזו היתה רק נסיון "לחוש את השטח" (הן מבחינת עניין והן מבחינת רמה טכנית). אם אכן יהיה עניין ורצון, אשמח לכתוב בעתיד גם על WPA, וכן הגבלות MAC ושאר נושאים הקשורים ל-WiFi, WiMax ועוד.
|
|
נרשם על ידי Shed בתאריך 07/11/2005, בשעה 10:30AM לפי שעון ישראל
|
אמיר,
אני חיברתי בין הנתבים בצורה קווית, לא אלחוטית. על מנת לחבר בין שני access points בצורה אלחוטית, אחד מה-APים צריך לעבוד במוד repeater. הפתרון הזה לא מומלץ על מנת לפתור את הבעיה שאני הצגתי (הורדת כל הרשת לקצבים של 11b) מהסיבות הבאות:
1. כל הרשת היתה יורדת לקצב של 11b (שכן AP אחד יודע לעבוד רק בקצב הזה).
2. שימוש ברפיטר מוריד את רוחב הפס האפקטיבי ברשת לחצי באופן אוטומטי. (הרפיטר לא יכול לקלוט ולשדר בו זמנית).
|
|
נרשם על ידי Shed בתאריך 07/11/2005, בשעה 10:21AM לפי שעון ישראל
|
|
תודה על הכתבה המעניינת.
שאלה: כיצד ניתן לחבר בין שני הנתבים אלחוטית?
הם יש לך הפנייה למדריך כלשהו בנושא?
תודה.
|
|
נרשם על ידי אמיר בתאריך 07/11/2005, בשעה 09:52AM לפי שעון ישראל
|
קודם כל שד תודה על הכתבה המעניינת
ועכשיו שתי שאלות:
האם אתה יכול קצת להרחיב בנושא
-"initialize vector"
כיצד הוא נקבע והאם הוא מועבר בין האלמנטים המחוברים.
והדבר השני הוא הסברים טכניים דומים על WPA
וההיתרונות \ חסרונות של שימוש במסנן כתובות MAC עבור מניעת כניסה לא רצוייה לרשת הביתי.
ושוב תודה על ההשקעה.
|
|
נרשם על ידי רני בתאריך 07/11/2005, בשעה 09:18AM לפי שעון ישראל
|
|
איציק, כמו שסבתא שלי היתה אומרת: "מי שמתבייש לשאול נשאר טיפש".
לשאלתך:
ביט (או סיבית בעברית) זה יחידת נתונים בסיסית בעולם המחשבים. לביט יכולים להיות שני ערכם בלבד: אפס (0) או אחד (1).
כאשר אנחנו מתבקשים להכניס מפתח ל-WEP יש לנו 2 דרכים לעשות זו:
1. להכניס סיסמא ב-ASCII - כלומר ב"אותיות".
2. להכניס סיסמא ב-HEX - כלומר במספרים הקסדצימלים בהם כל "אות" או סיפרה" יכולים לקבל את הערכים 0-9 או A-F.
כדי לעשות את החיים קלים:
1. ב-ASCII כל אות היא שמונה (8) ביטים. כלומר: מפתח של 40 ביטים יהיה 5 אותיות ומפתח של 104 ביטים היה 13 אותיות.
2. ב-HEX כל סיפרה (או"אות") היא 4 ביטים, כלומר: במפתח של 40 ביטים 10 תווים ובמפתח של 104 ביטים 26 תווים.
מקווה שזה ענה על השאלה.
|
|
נרשם על ידי Shed בתאריך 07/11/2005, בשעה 03:34AM לפי שעון ישראל
|
אוקי, יופי של הסבר, אבל מפספס לדעתי משהו די בסיסי, שמעניין כמה אנשים לא יודעים אבל מתביישים לשאול.
מה זה 40 ביט? אני מתכוון באותיות,
SHALOM = 6 ביט? או יותר? או פחות?
104 אומר 104 אותיות?
לדעתי היה מקום להסבר על המונחים הבסיסים במאמר לפני התיאוריה.. שהוסברה בצורה נהדרת וברורה..
|
|
נרשם על ידי איציק בראל בתאריך 07/11/2005, בשעה 12:09AM לפי שעון ישראל
|
מה שאני אוהב אצל אורי שהוא תמיד נותן קרדיט לאחרים כשמגיע להם,
והפעם בטוח מגיע, שד כתב מאמר נהדר.
כל הכבוד
|
|
נרשם על ידי רפי שמיר בתאריך 06/11/2005, בשעה 11:18PM לפי שעון ישראל
|
|
כתבה מקיפה ומעננינת
|
|
נרשם על ידי צבי בתאריך 06/11/2005, בשעה 11:12PM לפי שעון ישראל
|
[ הקודם: "מכשיר חדש מבית HTC קבלו את הGalaxy" ] [לעמוד הראשי]
[ הבא: "בקשה מקוראי האתר" ]
|
|
|
|
|
|
