|
| Hvordan sikrer jeg mig mod uvedkommende.. Fra : pjl |
Dato : 23-03-05 20:24 |
|
Hej.
Har en stationær og bærbar som tråløst kommer på nettet via Linksys og
router fra CC
Starvoice SV1020N.
Begge mine maskiner er bag firewall og jeg har længe følt mig tilstrækkelig
tryg for uvedkommende.
Men pga. ombygning her i bebyggelsen til et større internt neværk, så lånte
jeg lidt bråndbredde og et trådløst netkort til min nabo. Jeg bemærkede at
han helt uden problemer fandt min Linksys og på den måde hurtigt kom på
nettet.
Det problem har jeg ikke fokuceret på før, nemlig at enhver gratis kan bruge
min Linksys, måske uden at jeg bemærker det, hvis trafikken da ikke er
overvældende stor.
Mit spørgsmål er derfor. : Hvad skal jeg gøre for at sikre min adgang
til min Linkys og dermed min router.
Hvilket software skal benyttes. ?
Mit system er WindowsXP, Norton Firewall, Sender/modtager er Linksys og min
router Starvoice.
mvh Per Juul Larsen
| |
Christian E. Lysel (23-03-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 23-03-05 22:17 |
|
pjl wrote:
> Mit spørgsmål er derfor. : Hvad skal jeg gøre for at sikre min adgang
> til min Linkys og dermed min router.
Hvilken type Linksys?
| |
pjl (23-03-2005)
| Kommentar Fra : pjl |
Dato : 23-03-05 22:33 |
|
Tak for hutigt svar..
Wap11
er det nok at konfigurere Linksys med password ?
mvh Per Juul Larsen
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:4241dcc6$0$264$edfadb0f@dread11.news.tele.dk...
> pjl wrote:
>> Mit spørgsmål er derfor. : Hvad skal jeg gøre for at sikre min adgang
>> til min Linkys og dermed min router.
>
> Hvilken type Linksys?
| |
Christian E. Lysel (23-03-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 23-03-05 23:45 |
|
pjl wrote:
> Tak for hutigt svar..
> Wap11
Ok, den kender jeg ikke, kan kun henvise til hvor du kan læse mere.
> er det nok at konfigurere Linksys med password ?
Linksys AP'en er af en ældre dato og understøtter kun WEP, der tager
mellem 1-60 min at bryde ind på.
Du bør slå WEP til.
Side 28 i ftp://ftp.linksys.com/pdf/wap11ug.pdf gennemgår det. Husk at
skrive WEP nøglen ned.
Derefter skal du rette det samme i dine klienter.
| |
Michael Rasmussen (23-03-2005)
| Kommentar Fra : Michael Rasmussen |
Dato : 23-03-05 23:48 |
| | |
Kent Friis (23-03-2005)
| Kommentar Fra : Kent Friis |
Dato : 23-03-05 23:56 |
|
Den Wed, 23 Mar 2005 23:47:51 +0100 skrev Michael Rasmussen:
> On Wed, 23 Mar 2005 23:45:24 +0100, Christian E. Lysel wrote:
>
>>
>> Du bør slå WEP til.
> Og slå broadcast af SSID fra.
Hvad skulle det hjælpe?
Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.
| |
Calle. (24-03-2005)
| Kommentar Fra : Calle. |
Dato : 24-03-05 00:22 |
|
Kent Friis wrote:
> Den Wed, 23 Mar 2005 23:47:51 +0100 skrev Michael Rasmussen:
>> On Wed, 23 Mar 2005 23:45:24 +0100, Christian E. Lysel wrote:
>>
>>>
>>> Du bør slå WEP til.
>> Og slå broadcast af SSID fra.
>
> Hvad skulle det hjælpe?
>
Det tager dan noget længere tid at gætte sig til dit broadcast end det tager
at lade PCen finde det
--
Calle.
| |
Michael Rasmussen (24-03-2005)
| Kommentar Fra : Michael Rasmussen |
Dato : 24-03-05 00:25 |
|
On Wed, 23 Mar 2005 22:55:51 +0000, Kent Friis wrote:
>
> Hvad skulle det hjælpe?
Mig bekendt svarer et AP ikke, hvis du ikke kalder det med dets SSID. Så
hvis det ikke broad castes, skal du altså til at gætte. Det kan jo godt
tage et stykke tid!
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
Kent Friis (24-03-2005)
| Kommentar Fra : Kent Friis |
Dato : 24-03-05 08:54 |
|
Den Thu, 24 Mar 2005 00:24:51 +0100 skrev Michael Rasmussen:
> On Wed, 23 Mar 2005 22:55:51 +0000, Kent Friis wrote:
>
>>
>> Hvad skulle det hjælpe?
> Mig bekendt svarer et AP ikke, hvis du ikke kalder det med dets SSID. Så
> hvis det ikke broad castes, skal du altså til at gætte. Det kan jo godt
> tage et stykke tid!
Eller man bruger det samme som de andre maskiner på netværket, der
er jo nok at tage af når man har samlet den nødvendige trafik til
at bryde WEP.
Er der et reelt sikkerhedsmæssigt argument, eller er det blot det
samme pjat som mac-filtrering?
Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.
| |
Klaus Larsen (24-03-2005)
| Kommentar Fra : Klaus Larsen |
Dato : 24-03-05 10:09 |
|
Kent Friis wrote:
> Den Thu, 24 Mar 2005 00:24:51 +0100 skrev Michael Rasmussen:
>
>>On Wed, 23 Mar 2005 22:55:51 +0000, Kent Friis wrote:
>>
>>
>>>Hvad skulle det hjælpe?
>>
>>Mig bekendt svarer et AP ikke, hvis du ikke kalder det med dets SSID. Så
>>hvis det ikke broad castes, skal du altså til at gætte. Det kan jo godt
>>tage et stykke tid!
>
>
> Eller man bruger det samme som de andre maskiner på netværket, der
> er jo nok at tage af når man har samlet den nødvendige trafik til
> at bryde WEP.
>
> Er der et reelt sikkerhedsmæssigt argument, eller er det blot det
> samme pjat som mac-filtrering?
>
> Mvh
> Kent
Uagtet at man slår broadcast fra er det trådløse netværk jo kendetegnet
ved at det er et delt medium og alle enhver kan således se trafikken. Er
der trafik er der selvfølgelig informationer at analysere.
De standard programmer jeg benytter har ingen problemer med at høste de
nødvendige informationer.
Krumspringene kommer først hvis man reelt vil connecte til AP'et. Mac
adresser bestemmer man jo selv så det er ikke det store problem. Wep
kryptering er en større forhindring. Men igen. Der findes som sagt
programmer enhver kan starte op, der stille og roligt tapper trafikken
og som kan bryde krypteringen. Er det WPA er problemet større. Men jeg
har da iagttaget at nogle af mine utilities indeholder brute force
funktioner rettet mod WPA. Så er nøglen kort er WPA heller ikke umulig
at knække.
Så alt i alt er sikkerhed på trådløse net= WPA og en lang nøgle. (ja jeg
ved godt der er WPA2 men jeg tror nu ikke det er at finde i så mange
produkter)
Vh
Klaus
| |
Kasper Dupont (24-03-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 24-03-05 10:14 |
|
Kent Friis wrote:
>
> Den Thu, 24 Mar 2005 00:24:51 +0100 skrev Michael Rasmussen:
> > On Wed, 23 Mar 2005 22:55:51 +0000, Kent Friis wrote:
> >
> >>
> >> Hvad skulle det hjælpe?
> > Mig bekendt svarer et AP ikke, hvis du ikke kalder det med dets SSID. Så
> > hvis det ikke broad castes, skal du altså til at gætte. Det kan jo godt
> > tage et stykke tid!
>
> Eller man bruger det samme som de andre maskiner på netværket, der
> er jo nok at tage af når man har samlet den nødvendige trafik til
> at bryde WEP.
>
> Er der et reelt sikkerhedsmæssigt argument, eller er det blot det
> samme pjat som mac-filtrering?
Det betyder vel, at angrebet kun kan foretages mens
der er legitim trafik på netværket. I så fald
hjælper det lige så meget som rådet om at afbryde
netforbindelsen, når man ikke bruger den.
--
Kasper Dupont
| |
Kent Friis (24-03-2005)
| Kommentar Fra : Kent Friis |
Dato : 24-03-05 12:18 |
|
Den Thu, 24 Mar 2005 10:13:46 +0100 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Den Thu, 24 Mar 2005 00:24:51 +0100 skrev Michael Rasmussen:
>> > On Wed, 23 Mar 2005 22:55:51 +0000, Kent Friis wrote:
>> >
>> >>
>> >> Hvad skulle det hjælpe?
>> > Mig bekendt svarer et AP ikke, hvis du ikke kalder det med dets SSID. Så
>> > hvis det ikke broad castes, skal du altså til at gætte. Det kan jo godt
>> > tage et stykke tid!
>>
>> Eller man bruger det samme som de andre maskiner på netværket, der
>> er jo nok at tage af når man har samlet den nødvendige trafik til
>> at bryde WEP.
>>
>> Er der et reelt sikkerhedsmæssigt argument, eller er det blot det
>> samme pjat som mac-filtrering?
>
> Det betyder vel, at angrebet kun kan foretages mens
> der er legitim trafik på netværket. I så fald
> hjælper det lige så meget som rådet om at afbryde
> netforbindelsen, når man ikke bruger den.
Hvis jeg ikke husker helt galt, snakkede vi om WEP, så der skal i
forvejen høstes lidt trafik før den kan knækkes.
Vil disabling af SSID broadcast i det tilfælde sløve angriberen mere
end de to minutter det tager at findet det rigtige sted at sætte
kryds?
Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.
| |
Kasper Dupont (24-03-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 24-03-05 13:51 |
|
Kent Friis wrote:
>
> Hvis jeg ikke husker helt galt, snakkede vi om WEP, så der skal i
> forvejen høstes lidt trafik før den kan knækkes.
Så vidt jeg har forstået kan den nødvendige trafik
til at bryde WEP fremprovokeres. Men er det stadig
tilfældet, hvis ikke du kender det anvendte SSID?
--
Kasper Dupont
| |
Kent Friis (24-03-2005)
| Kommentar Fra : Kent Friis |
Dato : 24-03-05 16:22 |
|
Den Thu, 24 Mar 2005 13:51:14 +0100 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Hvis jeg ikke husker helt galt, snakkede vi om WEP, så der skal i
>> forvejen høstes lidt trafik før den kan knækkes.
>
> Så vidt jeg har forstået kan den nødvendige trafik
> til at bryde WEP fremprovokeres. Men er det stadig
> tilfældet, hvis ikke du kender det anvendte SSID?
Hmm, nu begynder det at blive interessant...
(Indtil ti sekunder senere når en Windows-maskine på rj45-siden
broadcaster en netbios name resolution pakke... Game over).
Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.
| |
Kasper Dupont (24-03-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 24-03-05 20:46 |
|
Kent Friis wrote:
>
> (Indtil ti sekunder senere når en Windows-maskine på rj45-siden
> broadcaster en netbios name resolution pakke... Game over).
Så må man jo hellere lade være med at sætte maskiner på
rj45 siden, de er jo bare til fare for sikkerheden
--
Kasper Dupont
| |
Christian E. Lysel (24-03-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 24-03-05 10:27 |
|
Michael Rasmussen wrote:
> On Wed, 23 Mar 2005 23:45:24 +0100, Christian E. Lysel wrote:
>
>
>>Du bør slå WEP til.
>
> Og slå broadcast af SSID fra.
Hvis det skal have en effekt skal du også huske ikke at bruge AP'et!!!
| |
Michael Rasmussen (24-03-2005)
| Kommentar Fra : Michael Rasmussen |
Dato : 24-03-05 14:41 |
|
On Thu, 24 Mar 2005 10:27:26 +0100, Christian E. Lysel wrote:
>
> Hvis det skal have en effekt skal du også huske ikke at bruge AP'et!!!
Jeg ved godt, at det er som at tisse i bukserne, men diskussionen gik på,
at gøre dit AP sværere tilgængeligt end naboen. Hvis jeg laver en
scanning over et tilfældigt område, vil jeg koncentrere mig om de helt
åbne først. 100% sikkerhed findes ikke i åbne kredsløb.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
pjl (25-03-2005)
| Kommentar Fra : pjl |
Dato : 25-03-05 11:15 |
|
Hej
Min netværk er nu sikre med en nøgle (WEB) efter gode anvisninger her fra
gruppen, men jeg kan læse her af
tråden at der skal mere til...
Det er usansynligt at jeg skulle få besøg af en "snylter" så jeg vil ikke
foretage mig videre,
men flere af Jer foreslår dog at tilføje yderligere parametre.
1. Hvilket værktøj bruger en durkdreven snylter for at komme på mit netværk?
Som det er nu, skal der indtastes en flercifret nøgle. Uden den skal der
forsøges et antal gange før man kan komme på nettet, eller også er skal man
være usansynlig god til at gætte.
Jeg har forsøgt med min egen bærbare at gå rundt her i kvarteret, og det
viser sig at jeg skal stå endda meget tæt på min bolig for at kunne se mit
netværk. Intruder ville ganske givet blivet opdaget med mindre han
camuflerer sig i et arbejdstelt.
Men selvfølgelig er der forskel på trådløse netkort.
mvh Per juul larsen
"Michael Rasmussen" <mir@miras.org> skrev i en meddelelse
news:pan.2005.03.24.13.41.18.721759@miras.org...
> On Thu, 24 Mar 2005 10:27:26 +0100, Christian E. Lysel wrote:
>
>>
>> Hvis det skal have en effekt skal du også huske ikke at bruge AP'et!!!
> Jeg ved godt, at det er som at tisse i bukserne, men diskussionen gik på,
> at gøre dit AP sværere tilgængeligt end naboen. Hvis jeg laver en
> scanning over et tilfældigt område, vil jeg koncentrere mig om de helt
> åbne først. 100% sikkerhed findes ikke i åbne kredsløb.
>
> --
> Hilsen/Regards
> Michael Rasmussen
> http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
>
| |
Christian E. Lysel (25-03-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 25-03-05 11:55 |
|
pjl wrote:
> Hej
>
> Min netværk er nu sikre med en nøgle (WEB) efter gode anvisninger her fra
(WEP)
> 1. Hvilket værktøj bruger en durkdreven snylter for at komme på mit netværk?
http://www.securityfocus.com/infocus/1824#ref1
> Som det er nu, skal der indtastes en flercifret nøgle. Uden den skal der
> forsøges et antal gange før man kan komme på nettet, eller også er skal man
> være usansynlig god til at gætte.
Problemmet er at alt trafik du laver bruger den samme lille nøgle.
Endvidere indholde din trafik nogle helt faste oplysninger, da du sender
via protokoller. Således er nogle af felterne i der krypteret data
identiske og man kan derfor antage en række ting når man søge efter
krypteringsnøglen.
Der skal normalt en hvis mængde data til for at finde nøglen. Tilhængere
for det er sikkert nok, vil argumentere for du ikke generere nok data.
Men prøv først at læse denne artikel
http://www.securityfocus.com/infocus/1824 beskriver hvordan man selv kan
generere denne mængde data, ved at afspille de trafik man ser.
> Jeg har forsøgt med min egen bærbare at gå rundt her i kvarteret, og det
> viser sig at jeg skal stå endda meget tæt på min bolig for at kunne se mit
> netværk. Intruder ville ganske givet blivet opdaget med mindre han
> camuflerer sig i et arbejdstelt.
>
> Men selvfølgelig er der forskel på trådløse netkort.
Der en konkurrence i en amerikansk ørken, der går på hvor langt trådløst
udstyr for forbrugere kan række med kun modificeret antenner. Det sidste
hold blærede sig med de ikke gad at køre længere i bil og kom op på
70-80 km's afstand!!!
(De køre dog også rundt med anhænger træk med store paraboler og pejle
udstyr)
Har endvidere hørt om en englænder der for 4-5 år siden der lavede en
retningsbestemt modtager antenne der kunne lytte i 24 km's afstand.
For 1 år siden, hørte jeg i fjernsynet Allan Fisher-Madsen, fra Rådet
for IT-sikkerhed, udtale at et AP kun kan række 200-250 meter!?!?!
| |
Asbjorn Hojmark (25-03-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 25-03-05 22:39 |
|
On Fri, 25 Mar 2005 11:15:07 +0100, "pjl" <juul@larsen.dk> wrote:
> Min netværk er nu sikre med en nøgle (WEB) efter gode anvisninger her fra
> gruppen, men jeg kan læse her af tråden at der skal mere til...
Ja, WEP (ikke WEB) er fuldstændig utilstrækkeligt.
> 1. Hvilket værktøj bruger en durkdreven snylter for at komme på mit netværk?
http://securityfocus.com/infocus/1814
> Som det er nu, skal der indtastes en flercifret nøgle. Uden den skal der
> forsøges et antal gange før man kan komme på nettet, eller også er skal man
> være usansynlig god til at gætte.
Nej, det er meget nemmere end som så at knække WEP.
-A
--
http://www.hojmark.org/
| |
pjl (26-03-2005)
| Kommentar Fra : pjl |
Dato : 26-03-05 08:07 |
|
Hmm...
Nu fik du sku da ødelagt min Påske.
Latterligt let at leje intruder.
Hvis jeg skal undgå at få paronia, hvilken sender/modtager kan I
anbefales.???
Med indbygget sikkerhedforanstaltninger som er bedre end WEB nøgle.!!!
Alternativt kunne man måske bygge en "støjgenerator" og lade den forvirre
fjenden.
En lille box som kunne rundsende en fast bærebølge for at kvæle
netværkssnyderne.
Tak for de gode indformationer, som har virket nedslående, men lærerige.
mvh Per Juul Larsen
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:c41941d1klvh4n6vf87dgul0kbm5bsthcq@news.cybercity.dk...
> On Fri, 25 Mar 2005 11:15:07 +0100, "pjl" <juul@larsen.dk> wrote:
>
>> Min netværk er nu sikre med en nøgle (WEB) efter gode anvisninger her fra
>> gruppen, men jeg kan læse her af tråden at der skal mere til...
>
> Ja, WEP (ikke WEB) er fuldstændig utilstrækkeligt.
>
>> 1. Hvilket værktøj bruger en durkdreven snylter for at komme på mit
>> netværk?
>
> http://securityfocus.com/infocus/1814
>
>> Som det er nu, skal der indtastes en flercifret nøgle. Uden den skal der
>> forsøges et antal gange før man kan komme på nettet, eller også er skal
>> man
>> være usansynlig god til at gætte.
>
> Nej, det er meget nemmere end som så at knække WEP.
>
> -A
> --
> http://www.hojmark.org/
| |
Klaus Larsen (26-03-2005)
| Kommentar Fra : Klaus Larsen |
Dato : 26-03-05 09:23 |
|
pjl wrote:
> Hmm...
> Nu fik du sku da ødelagt min Påske.
> Latterligt let at leje intruder.
> Hvis jeg skal undgå at få paronia, hvilken sender/modtager kan I
> anbefales.???
> Med indbygget sikkerhedforanstaltninger som er bedre end WEB nøgle.!!!
>
> Alternativt kunne man måske bygge en "støjgenerator" og lade den forvirre
> fjenden.
> En lille box som kunne rundsende en fast bærebølge for at kvæle
> netværkssnyderne.
> Tak for de gode indformationer, som har virket nedslående, men lærerige.
>
> mvh Per Juul Larsen
>
Du skal sørge for at det udstyr du køber understøtter WPA PSK og at det
understøtter en nøgle/password længde på mindst 64 hex. I praksis
betyder det at du på den trådløse sender banker 64 forskellige hex cifre
ind og gør det samme på klient maskinen. Nogle AC'ere vil kun tillade
dig at banke en passphrase ind der således bliver konverteret, hvilket
kan foranledige nogle til at benytte for korte password (passphrase). En
for kort passphrase vil gøre dit trådløse net sårbart for brute force
angreb for at finde passwordet.
Jeg kender ikke noget til støj generatorer udover svigermor. Men du kan
betragte krypteringen som en "støjgenerator". WEP larmer ikke nok. WPA +
64 nøgle larmer tilstrækkeligt.
Du kan læse lidt mere her hvis du ønsker det mere teknisk korrekt:
http://www.nwfusion.com/reviews/2004/1004wirelesswpa.html
http://www.nwfusion.com/reviews/2004/1004wirelesswep.html
http://www.lanarchitect.net/Articles/Wireless/SecurityRating/
http://www.icsalabs.com/html/communities/WLAN/wp_ssid_hiding.pdf
Eller følge nogle af de links der altid følger disse diskussioner
Vh
Klaus
| |
Christian E. Lysel (26-03-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 26-03-05 09:41 |
|
pjl wrote:
> Hmm...
> Nu fik du sku da ødelagt min Påske.
> Latterligt let at leje intruder.
> Hvis jeg skal undgå at få paronia, hvilken sender/modtager kan I
> anbefales.???
Netværkskabler, de er billige og angriberen skal bruge noget dyre udstyr
de fleste ikke har råd til.
> Med indbygget sikkerhedforanstaltninger som er bedre end WEB nøgle.!!!
Hvis det skal være trådløst, så kik på WPA.
| |
pjl (24-03-2005)
| Kommentar Fra : pjl |
Dato : 24-03-05 08:31 |
|
Imponeret over alle hurtige svar..
Tak for dem...
mvh Per Juul Larsen
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:4241f181$0$264$edfadb0f@dread11.news.tele.dk...
> pjl wrote:
>> Tak for hutigt svar..
>> Wap11
>
> Ok, den kender jeg ikke, kan kun henvise til hvor du kan læse mere.
>
>> er det nok at konfigurere Linksys med password ?
>
> Linksys AP'en er af en ældre dato og understøtter kun WEP, der tager
> mellem 1-60 min at bryde ind på.
>
> Du bør slå WEP til.
>
> Side 28 i ftp://ftp.linksys.com/pdf/wap11ug.pdf gennemgår det. Husk at
> skrive WEP nøglen ned.
>
> Derefter skal du rette det samme i dine klienter.
>
| |
|
|