Sigurnost savremenih modema i routera

[srbin1]

Da li su savremeni modemi i routeri sigurni protiv spoljasnih napada?

1 Uvod

2006. godine je uveden novi sigurnosni standard za mreze koji se zove WPS, ili Wi-Fi Protected Setup. Ideja je bila da se uprosti nacin konektovanja na bezicne mreze, prvenstveno namenjeno ljudima koji nisu upoznati sa nacinom konfigurisanja mreza. Zbog toga se ovaj novi standard, u ovom slucaju i protokol, brzo prihvatio i danas se koristi u vecini modema i routera.  

Medjutim, 2011. godine je Stefan Viehböck otkrio jednu veliku rupu u dizajnu protokola, koja omogucava napadacu da sa samo 11,000 pokusaja provali osmocifreni PIN-kod koji se koristi pri konektovanju Wi-Fi mrezi putem WPS-a. Nakon tog otkrica je napravljen alat, reaver, koji koristi ti rupu u sistemu, i provaljuje PIN-kod putem tzv. “brute-force” napada. Buduci da je potrebno relativno mali broj pokusaja, PIN-kod se moze provaliti u roku od svega par sati.

2014. godine je doslo do novog otkrica od strane Dominika Bongarda. On je izmislio novi nacin napada koji se zove “Pixie Dust”, koji omogucava da se PIN-kod provali u roku od svega jednog minuta i trideset sekundi. Taj napad deluje iskljucivo na modele modema i routera koji koriste standardnu implementaciju WPS protokola, sto nije slucaj sa svim modelima. I u ovom slucaju je napravljen alat, pixiewps, koji koristi tu metodu napada.

Obe metode napada se mogu koristiti i dan danas. To predstavlja veliki rizik za sigurnost privatnih podataka fizickih lica, narocito zbog toga sto mnogi ne znaju za ove vrste napada, i zbog toga ne znaju kako se od njih zastiti.

[srbin1]

2 Teorijska pozadina

U ovom poglavlju ce ukratko biti objasnjena tehnicka teorija WPS-a i sigurnosne rupe tog protokola.


2.1 Sta je WPS i kako funkcionise?

Kao sto je prethodno vec bilo pomenuto, WPS je jedan sigurnosni standard za mreze. Postoje par metoda koje se koriste pri konektovanju na Wi-Fi mrezu putem WPS-a, ali dve glavne su pomocu PIN-koda od osam cifara, i pomocu pritiska na dugme na samom modemu ili routeru, koje uradjaj stavlja u rezim detekcije. Standard Wi-Fi Direct zahteva da obe metode budu implementirane.

WPS protokol kategorise bezicne uredjaje na sledeci nacin:

Enrollees: Uredjaji koji hoce da se konektuju na bezicnu mrezu.
Registrar: Uredjaji koji su ovlasceni da konektuju i diskonektuju druge uredjaje.
AP (Access Point, srp. Bezicna pristupna tacka): Jedan medijum koji funkcionise kao proxy, ili veza, izmedju enrollees i registrars sa istim sposobnostima kao jedan registrar.

Jedan AP koji je sertifikovan za koriscenje WPS-a, koristi PIN-kod i jedno dugme da konektuje uredjaje. PIN-kod se mora uneti ili na AP, ili na uredjaju sa koga se konektuje.Dugme moze da bude fizicko ili virtuelno.

[srbin1]

2.2 Sigurnosna rupa

Posto obe metode napada koriste PIN-kod metodu za hakovanje mreze, treba malo bolje pogledati kako se generise PIN-kod. Vec znamo da se PIN-kod sastoji od osam cifara od 0-9, sto dovodi do locignog zakljucka da postoje 10^8 razlicitih kombinacija, tj. 100 miliona. Buduci da se za svaki zahtev modemu/routeru (AP) sa kombinacijom PIN-kod mora sacekati i odgovor AP-a, znaci da se prakticno moze probati jedna kominacija u sekundi. To znaci da bi za probanje 100 miliona kombinacija PIN-koda trebalo ~27778 sati, ili ~1157 dana, ili ~3.17 godina, sto nikako nije prakticno. Medjutim, sam dizajn generisanja PIN-koda ima mane koje se mogu eksploatisati. Naime, PIN-kod se generise na sledeci nacin:

- Osma cifra PIN-koda je vrednost prethodnih sedam cifara koda. Znaci da je u tom slucaju potrebno 10^7 pokusaja kako bi sigurno dosli do tacne kombinacije. To bi trajalo otprilike dva meseca. Manje nego 3,17 godine, ali jos uvek nije prakticno.

- PIN-kod je podeljen na dve polovine. To znaci da se samostalno mogu proveriti prva i druga grupa. Posto se prva grupa sastoji od cetiri cifre, broj mogucih kombinacija je 10^4, ili 10000. Druga grupa se sastoji od tri cifre (setite se da je zadnja cifra vrednost prethodnih), sto znaci da je broj mogucih kombinacija 10^3, ili 1000. Buduci da se grupe mogu proveriti samostalno, dolazi se do zakljucka da je totalan broj potrebnih pokusaja 10^4 + 10^3, ili 11000.

Ako se jos uvek vodimo prakticnog pravila da je moguc jedan pokusaj u sekundi, znaci da je za hakovanje PIN-koda potrebno 11000 sekundi, ili otprilike 3 sata. Prakticnije nego 3 godine, zar ne?

Medjutim, samo znajuci model PIN-koda nije dovoljno za njegovo krekovanje. U slucaju napada metodom pixiewps, koju cemo koristiti ovde, potrebno je znati par stvari. Dominik Bongard je otkrio da neki AP-ovi imaju nesigurne nacine za kreiranje proizvoljnih brojeva (u ovom slucaju E-S1 i E-S2), koji bi trebali biti tajni. Ako se nekako moze saznati koji su ti brojevi, lako se moze doci do WPS PIN-koda jednog AP-a, buduci da AP mora da ga posalje u jednom hashu, kako bi dokazao da i on zna PIN, i da klijent ne pokusava da se konektuje na pogresan AP. U sustini su E-S1 i E-S2 kljucevi koji “otvaraju kutiju” u kojoj se nalazi WPS PIN-kod. Moze se na to gledati kao problem iz algebre. Ako znamo sve promenljive sem jedne u jednoj jednacini, moramo samo resiti za x. X je u ovom slucaju WPS PIN-kod.

Zbog toga je takodje potrebno znati koje poruke AP vraca pri slanju svako kombinacije PIN-koda. Najvazniji delovi te poruke se zovu M1, M2, M3, kao i jedan deo poruke koji oznacujemo kao ostalo.

Svaki delovi se sastoje od nekoliko razlicitih informacija, ali pri hakovanju mreze su bitne samo sledece:

- M1:
       - Enrollee Nonce (proizvoljan broj koji se koristi samo jednom pri komunikaciji, kako se
         komunikacija ne bi mogla kopirati u tzv. replay napadu).
       - PKE Public Key (Enrollee Public Key).

- M2:
       - Registrar Nonce (isti princip kao Enrollee Nonce).
       - PKR Public Key (Registrar Public Key)

- M3:
       - E-Hash1 = HMAC-SHA-256(authkey) (E-S1 | PSK1 | PKE | PKR)
       - E-Hash2 = HMAC-SHA-256(authkey) (E-S2 | PSK2 | PKE | PKR)

- Ostalo:
       - Authkey (izveden iz KDK-a, Key Derivation Key)

Malo objasnjenje gore navede terminologije:

E-Hash1 je jedan hash koji napadamo i krekujemo brute-force metodom. Putem njega dobijemo prvu polovinu PIN-koda.

E-Hash2 je takodje hash od kojeg dobijamo drugi deo PIN-koda, na isti nacin kao sa E-Hash1.

E-S1 je jedan “nonce”, tj. proizvoljan broj, koji se koristi pri hashovanju E-Hash1.

E-S2 je takodje jedan prozivoljan broj, koji se koristi pri hashovanju E-Hash2.

HMAC je jedna funkcija koja hashuje sve podatke. Koristi algoritam SHA-256.

PSK1 je prvi deo PIN-koda.

PSK2 je drugi deo PIN-koda.

PKE je Javni Kljuc (eng. Public Key) od Enrollee (uredjaj koji se konektuje na mrezu). Koristi se za verifikaciju WPS razmene.

PKR je Javni Kljuc od Registrar. Koristi se na isti nacin kao PKE.

[srbin1]

2.2.1 Implementacije proizvodjaca cipseta

Glavni proizvodjaci cipseta za bezicne uredjaje su:
  - Broadcom eCos
  - Realtek
  - Ralink
  - MediaTek
  - Celeno

Zbog cega je ovo bitno? Bitno je zato sto svaki proizvodjac cipseta (eng. chipset) koristi svoje metode pri generisanju E-S1 i E-S2, koji nam trebaju za krekovanje PIN-koda.

Broadcom eCos kreira ova dva broja odmah nakon Enrollee nonce-a (javni proizvoljan broj koji generise AP). Buduci da se zna koja funkcija vraca te podatke, moze se doci do odgovorajucih prozivoljnih brojeva, a potom i do E-S1 i E-S2. Znaci:

      E-S1 + E-S2  su generisani od istog PRNG (generator pseudo slucajnih brojeva) koji generise N1 Enrolle Nonce

Kod Realtekovih cipsetova, PRNG je funkcija koja koristi vreme u sekundama od 1. Januara 1970. godine do vremena kad pocne WPS razmena. To sto je podlozno napadu je da cipset koristi isti generator pri generisanju Enrollee nonce, kao pri generisanju E-S1 i E-S2. To znaci da ako se cela razmena podataka desi u istoj sekundi, E-S1 = E-S2 = Enrolle nonce. Ako se desi tokom par sekundi, jedino sto se treba uraditi je naci seed (slucajni broj ili druga vrednost koju generise program) u kome se nalazi Enrollee nonce, potom ga povecati i novi broj staviti kao E-S1 i E-S2. To je brute-force vise promenljivih, i moze malo da potraje, ali ne bi trebalo da uzme vise vremena od par minuta na modernim kompjuterima. To znaci da:

      E-S1 =E-S2 = N1 Enrollee nonce ili generisan sa seed-om = vreme


U Ralinkovim cipsetovima E-S1 i E-S2 nikad ne bivaju generisani, sto znaci da su uvek 0. Zbog toga je dovoljno samo izvrsiti brute-force na WPS PIN-kod, i to je to.

       E-S1 = E-S2 = 0

U cipsetovima MediaTek-a i Celeno-a vazi ista stvar, E-S1 i E-S2 se ne generisu i zato su uvek 0.

Pretpostavljajuci da znamo PKE, PKR, Authkey, E-Hash1 i E-Hash2, buduci da nam modem/router salje te podatke pri uspostavljanju komunikacije, i mozemo da saznamo vrednost E-S1 i E-S2 pomocu brute-force napada (ili znajuci da su 0), mozemo sve podatke hashovati funkcijom i probati svaku kombinaciju PIN-koda dok ne dodjemo do odgovarajuceg hasha (E-S1 i E-S2) koji nam je dao AP. Kad nam AP posalje nazad OK (nadjen je odgovorajuci hash), znacemo da je taj WPS PIN-kod tacan, i mozemo ga poslati AP-u koji ce odgovoriti sa svim svojim podatcima (Ime mreze, WPS PIN, ali i WPA kod). Kako to izgleda u realnom slucaju, mozete procitati u sledecem poglavlju.

[srbin1]

3 Izvrsavanje eksperimenta


3.1 Priprema

Da bi izvrsili eksperimento, potrebno je imati mrezni adapter koji podrzava tzv monitor rezim, sto u sustini znaci hvatanje paketa bez asociranja sa AP-om. Takodje mora podrzavati tzv packet injection, sto znaci konstruisanje paketa sa podatcima i njihove slanje AP-u tako da izgleda da su paketi ispravni i deo normalne mrezne komunikacije. U ovom eksperimentu ce se koristiti mrezni adapter AWUS036NHR od firme Alfa Network. Operativni sistem je Kali Linux, jer su svi potrebni alati na njemu vec instalirani.

Za pocetak je potrebno videti koji interfejs je dodeljen mreznom adapteru na sistemu. Buduci da je ovaj mrezni adapter eksterni, i koristi se za bezicne mreze, imace prefix wlan. Kao sto se vidi na slici ispod, ovde ce se koristiti interfejs wlan1. Kako se zove interfejs se moze lako saznati ukucavanjem komande iwconfig u Linux terminalu.

[ Attachment: You are not allowed to view attachments ]

Sledeci korak je aktiviranje monitor rezim adaptera. To se radi pomocu alata airmon-ng, koji je preinstaliran na Kali Linux. Komanda koja se koristi je airmon-ng star <interfejs> gde je <interfejs> ime interfejsa mreznog adaptera. U ovom slucaju to je wlan1. Pri izvrsavanju komande dobija se rezultat kao na slici ispod.

[ Attachment: You are not allowed to view attachments ]

Kao sto se takodje vidi na slici, interfejs je promenio ime u wlan1mon kako bi oznacio da je sada u monitor rezimu. Priprema je gotova, i moze se preci na sledeci korak.


3.2 Pixie Dust

Kako bi se izvrsio napad, potrebno je imati dovoljno informacija o meti. Za pocetak je potrebno znati BSSID (Basic service set identification) koji je jedan jedinstven identifikator AP-a, takodje poznat kao MAC-adresa. Takodje je potrebno znati na kom kanalu se nalazi mreza. Standardne Wi-Fi mreze na frekvenciji 2.4GHz koriste kanale 1-13. Na kraju je potrebno znati da li AP ima implementiran WPS.

Ove informacije se dobijaju pomocu alata wash. Mogu se koristiti razne komande, ali obicno je dovoljna generalno komanda wash -i <intefejs>. Kao prethodno navedeno, interfejs je u ovom slucaju wlan1mon. Pri izvrsavanju komande, wash salje instrukcije mreznom adapteru da skenira okolinu i trazi AP-ove koji imaju implementiran WPS. Jedan primer kako to moze da izgleda mozete videti na sledecoj slici.

[ Attachment: You are not allowed to view attachments ]

U ovom eksperimentu ce meta napada biti mreza Lunar_eclipse, koja je jedna privremena lokalna mreza. Pomocu alata wash dobili smo sledece podatke:

- BSSID: 74:D0:2B:8C:40:48
- Kanal: 3
- WPS je aktiviran

Nakon stecanja svih potrebnih informacija, moze se nastaviti dalje i izvrsiti sam napad. U ovom slucaju ce se koristiti metoda napada Pixie Dust, zajedno sa alatom reaver. Reaver se moze koristiti na razne racine, i sa razlicitim parametrima, ali u ovom slucaju ce se koristiti standarda komanda za napad Pixie Dust metodom, a ona je sledeca:

Code:

reaver -i <interfejs> -b <BSSID> -c <kanal> -K <broj> -vv

- -i <interfejs> = ime interfejsa mreznog adaptera.
- -b <BSSID> = BSSID mete (AP-a).
- -c <kanal> = kanal na kojoj se nalazi meta
- -K <broj> = oznacava da ce se koristiti metoda Pixie Dust. Broj oznacava nacin napada,standardni je 1.
- -vv = oznaca da reaver pokaze sve ne-kriticne informacije, kako bi bolje videli sta se desava.

Kako bi izvrsili napad na metu Lunar_eclipse ukucavamo sledecu komandu:

Code:

reaver -i wlan1mon -b 74:D0:2B:8C:40:48 -c 3 -K 1 -vv

Rezultat se moze videti na sledecoj slici.

[ Attachment: You are not allowed to view attachments ]

U slici je oznacen WPS PIN-kod, a takodje se vidi da je pronadjena i sifra za WPA (WPA PSK). Od ukucavanja zadnje komando do rezultata, je trebalo skoro tacno osam sekundi.

[srbin1]

4 Rezultat

Rezultat eksperimenta pokazuje da savremeni modemi i routeri nisu sigurni protiv napada hakera. Medjutim, u ovom eksperimentu je iskoriscena samo jedna metoda napada, protiv specificne mete koja je podlozna takvom napadu. Realna situacija je takva da ova metoda moze da uspe na ne vise od 70% modela modema i routera, sto je doduse ipak prevelika cifra za danasnji nivo tehnologije. Naravno, postoje i druge metode koje se koriste ako Pixie Dust ne uspe, koje nisu demonstrirane u ovom sastavu, ali nijedna nema uspeh od 100%. Razlog za to je sto su neki cipsetovi jednostavno neranjivi za bilo koji napad na WPS PIN-kod. Na zalost, takvih cipsetova danas nema mnogo, i u glavnom se modemi i routeri koriste starijim cipsetovima koji su podlozni napadu WPS PIN-koda.

Da li onda postoji nacin da se obican korisnik zastiti protiv ovakvih napada? Na svu srecu, postoji jedan vrlo jednostavan nacin, a to je kompletno deaktiviranje WPS funkcije u modemu ili routeru. To se uradi tako sto se udje na graficki interfejs modema/routera putem Veb-pregledaca. Obicno se nalazi na nekoj od adresa 192.168.0.1, 192.168.1.1, 192.168.2.1, 192.168.10.1 itd. Koja je adresa moze se videti jednostavnom komandom u Linux terminalu (isto je za Mac kompjutere) i u Windowsovom cmd-promptu. Na Linux i Mac je komanda ifconfig, a trazena adresa je oznacena kao Bcast. Na Windows-u se do istog rezultat dolazi komandom ipconfig, a trazena adresa je oznacena kao Default Gateway.

[srbin1]

Svrha ovog sastava je da ukaze na sigurnosni rizik danasnjih modema i routera, i pomoci obicnim korisnicima da taj rizik razumeju i sprece. Nadam se da ste nesto novo naucili i da vam je citanje bilo zanimljivo. Ako ima bilo kakvih pitanja u vezi terminologije, ili ako sam nesto lose objasnio, slobodno pitajte. Inace, ovo je malo kraci prevod sastava koji trenutno pisem za faks, tako da je svaki komentar dobrodosao, kako bih ga poboljsao.

[dzumba]

Нисам баш схватио. Кажеш да је одбрана да се комплетно дезактивира WPS функција модема? Добро, како онда модем наставља да ради, односно како даље ради?

Друго, ушао сам поменутом комадом у графички интерфејс, видим која је ИП адреса  и  шта онда? Видим да пише: Media state: media diconnected. Дакле, командом сам дисконектовао WPS. Како га вратити ако затреба? истом командом?

[srbin1]

WPS je samo jedna od mnogih funkcija modema (isto vazi i za routere). U sustini, to je samo jedan laksi nacin konektovanja na Wi-Fi mrezu, ali je pun sigurnosnih rupa. Iskreno, ne razumem zasto je aktiviran po defaultu u skoro svim novijim modemima. Nego, dezaktiviranje WPS-a je odbrana protiv ovakve vrste napada, sto nikako ne osigurava neprobojnost mreze, jer se jos uvek moze hakovati WPA sifra (ona sifra sto se obicno ukucava pri konektovanju na Wi-Fi mrezu), s tim sto uspeh napada na WPA zavisi od kompleksnosti sifre, kao i od liste reci koju napadac poseduje (tzv. rainbow table ili dictionary). Mogu i o tome da napravim temu ako ima zainteresovanja.

Nakon dezaktiviranja WPS-a, modem nastavlja da radi normalno, s tim sto vise ne postoji mogucnost konektovanja na mrezu preko WPS PIN-koda ili pritiskom na dugme koje se nalazi na modemu. U sustini, nista se nece promeniti, samo sto cete ukloniti jedan sigurnosni rizik.

Sudeci po tome sta pise (Media state: media disconnected), rekao bih da je to nakon komande ipconfig u Windows-u. To nije graficki interfejs koji vama treba, nego se tu samo nalazi IP adresa za graficki interfejs modema. Verovatno sam to trebao malo bolje da objasnim. Znaci, korak po korak:

1. Uci u cmd-prompt (Windows dugme + R, nakon toga ukucati cmd u polje koje se pojavi i kliknuti OK/Enter).
2. U crnom prozoru koji se pojavi, ukucati komandu ipconfig.
3. Pojavice se lista dostupnih mreznih adaptera. Ako je kompjuter prikopcan na mrezu putem kabla, gleda se adapter sa prefiksom Ethernet. Ako je prikopcan bezicnim putem, gleda se adapter sa prefiksom Wireless. Moguce je da ih ima vise. U tom slucaju se gleda adapter gde postoje sledeca polja:

- IPv4 Address
- Subnet Mask
- Default Gateway

Adapter koja ima sva tri polja (IPv4 Address se takodje moze zvati samo IP Address), je trenutno aktivan adapter. Za pristup na graficki interfejs modema je potrebna adresa koja je oznacena kao Default Gateway.

4. Nakon pronalazenja IP adrese (Default Gateway), treba se ubaciti ta adresa u web browser. Nakon toga se treba pojaviti stranica koja trazi Username i Password. E sad, to zavisi od modema do modema/routera. Ovde se mogu naci default lozinke za mnogo razlicith modela. Obicno je admin/admin, admin/1234, admin/prazno, itd.

5. Pri unosenju tacne lozinke, dolazi se do grafickog interfejsa za modem/router. E sad, gde se nalazi funkcija za gasenje WPS-a zavisi takodje od modema do modema. Kod mene se nalazi medju opcijama za Wireless Network. trebali bi da je nesto slicno i kod drugih modela. Obicno je to samo jedno dugme ili slicno, i nakon sacuvanja novih podesavanja, modem ce se restartovati bez aktiviranog WPS-a. Ako 'pak budete nekad zeleli da ponovo aktivirate WPS, potpuno je ista procedura kao i ova.

Koraci 4 i 5 mogu da budu zeznuti, ponekad je tesko naci lozinku za admin korisnika grafickog interfejsa modema, a ponekad je cak i internet provajder promeni, pa ih se mora zvati kako bi dali novu sifru. Tu sam da pomognem ako nesto nije jasno

[Bozo13]

Odlična tema.  

Sam koristim protokol wpa2-psk, sa 20+ karaktera u wi-fi lozinki.
Jedino što mi smeta (ali to je generalno ne samo u toj temi), je to, da se pogrešno koristi naziv modem. Modem je po definiciji MOdulator-DEModulator. Koristi se za pretvaranje signala iz telefonske linije/koax linije na ETH (protokol koji koriste PC za komunikaciju). "Modem" koji se spaja preko optike, nije modem, več ruter/switch.

Znači da stavimo prave definicije:

MODEM (MOdulator - DEModulator)
Koristi se za povezivanje LAN (Local Area Network / Lokalna računarska mreža) na "internet". Ima  dva porta, jednog za liniju i jednog za klienta.  Po OSI modelu to je L1 uređaj.

SWITCH (Mrežni prekidač)
Koristi se za povezivanje PC u istoj mreži. Svi IP moraju biti u istoj "mreži" (networku). Uređaj možemo prepoznati, jer je krcat LAN portovima. Po OSI modelu to je L2 uređaj.

ROUTER (mrežni usmerivač)
je računarski uređaj koji služi za međusobno povezivanje računarskih mreža. Uređaj ima dva LAN porta. Po OSI modelu to je L3 uređaj.
 

To što kod kuče zovemo "modem" je kutija, koja ima funcionalnost modema, rutera i switcha.

Možda če ova slika lakše pojasniti.

[ Attachment: You are not allowed to view attachments ]

Znači to o čemu ovde pričamo je konekcija između Switcha i PC.

Najnovije bežični ruteri imaju sledeće karakteristike:

LAN priključci koji funkcionišu na isti način kao i običnom mrežnom sviču
VAN port za konekciju na spoljašnju mrežu, obično priključak na Internet.
Bežična antena omogućava veze sa drugim bežičnim uređajima (mrežne kartice, bežične pristupne tačke itd.), obično koristeći WiFi standard.
Neki bežični ruteri takođe uključuju ADSL ili kablovski modem pored svojih drugih komponenti.

[Vladimir Ivanović]

A taman sam htio da spomenem Boštjana i da ga pitam koliko ima znakova na šifri z  Wi Fi.

Pozdrav

Vlado

[Bozo13]

Hehe

Pa znas jih. 

[torpedo011]

Све што је привезано на ''мрежу'' је несигурно.

[Karlo]

Kao laik u mnogim oblastima pa i u ovoj, imao bih poneko pitanje.

Mislim da je tema interesantna ali i usko stručna.Koliko sam kao laik uspio da razaberem najbliže mi je @torpedo-va konstatacija,no ne može se izbjeći priključenje na mrežu,barem ne za nas obične konzumente.
Kod mene i sam "priključak" ne ovisi o meni nego o onome preko koga se "ide" na mrežu a samim tim i kvalitet "priključka"(modema,rutera i switcha).
Da ne duljim evo i pitanja:
S obzirom na gore navedeno,ako sam dobro razumeo,koliko puta je potrebno mijenjati šifru (ako se radi o manje zaštićenom "priključku")?
Koliko je to korisno za manje "interesantnog" konzumenta bez obzira što će biti provaljena?
Da li nije lakše tražiti kvalitetniji "priključak" ili ga sam kupiti i koji su kvalitetniji (proizvođač) i uticaj cijene na zaštićenost?
 mislim da je za sada dosta.Zahvaljujem na temi i vjerujem da je ona za stručnjake bitna i interesantna no evo i laici pokušavaju naći za sebe koristnost u tom okviru.

Poz.

[srbin1]

Odlična tema. 

Sam koristim protokol wpa2-psk, sa 20+ karaktera u wi-fi lozinki.

Haha takodje! Ukljucio sam i MAC-filter, tako da samo ovlasceni uredjaji mogu da se konektuju na Wi-Fi. Jes' da moram da ulazim u router kad mi dodje neko od prijatelja, ali sto je sigurno, sigurno je.

Jedino što mi smeta (ali to je generalno ne samo u toj temi), je to, da se pogrešno koristi naziv modem. Modem je po definiciji MOdulator-DEModulator. Koristi se za pretvaranje signala iz telefonske linije/koax linije na ETH (protokol koji koriste PC za komunikaciju). "Modem" koji se spaja preko optike, nije modem, več ruter/switch.

Znači da stavimo prave definicije:

MODEM (MOdulator - DEModulator)
Koristi se za povezivanje LAN (Local Area Network / Lokalna računarska mreža) na "internet". Ima  dva porta, jednog za liniju i jednog za klienta.  Po OSI modelu to je L1 uređaj.

SWITCH (Mrežni prekidač)
Koristi se za povezivanje PC u istoj mreži. Svi IP moraju biti u istoj "mreži" (networku). Uređaj možemo prepoznati, jer je krcat LAN portovima. Po OSI modelu to je L2 uređaj.

ROUTER (mrežni usmerivač)
je računarski uređaj koji služi za međusobno povezivanje računarskih mreža. Uređaj ima dva LAN porta. Po OSI modelu to je L3 uređaj.
 

To što kod kuče zovemo "modem" je kutija, koja ima funcionalnost modema, rutera i switcha.

Možda če ova slika lakše pojasniti.

[ Attachment: You are not allowed to view attachments ]

Znači to o čemu ovde pričamo je konekcija između Switcha i PC.

Najnovije bežični ruteri imaju sledeće karakteristike:

LAN priključci koji funkcionišu na isti način kao i običnom mrežnom sviču
VAN port za konekciju na spoljašnju mrežu, obično priključak na Internet.
Bežična antena omogućava veze sa drugim bežičnim uređajima (mrežne kartice, bežične pristupne tačke itd.), obično koristeći WiFi standard.
Neki bežični ruteri takođe uključuju ADSL ili kablovski modem pored svojih drugih komponenti.

Je l' mogu ovo da iskoristim u sastavu?