Oppsett av nettverk til liten bedrift i privathus

[Hans Erling]

Det er et firma som leier en større villa, det er to problemer med nettverk her.

Huset er laget i gammeldags tømmerstil og veggene er tykkere enn vanlig som gjør at ikke trådløst nettverk dekker hele huset med en router.

 

Vi har internett fra GET 120/10 og de har levert en Cisco Docsis 3.0 uten trådløst og med kun èn nettverksport. Videre har vi en Cisco E4200 som deler internett. Så har vi en Cisco E2500 som ikke er i bruk. Jeg antar at jeg blir å trekke en kabel bak noen lister og setter opp et trådløst nettverk til med denne routeren. E2500 støtter ikke å bare være accesspoint.

 

MEN, lederene for dette firmaet skal ha et eget kontor i huset, der vil de ikke ha trådløst, men kablet nettverk. Han ene av de er også noe paranoid når det kommer til trådløst nettverk generelt, så han vil at det skal være "umulig" å komme seg inn på deres firma datamaskiner for folk som måtte prøve å bryte seg inn i det trådløse nettverket. Det hadde vel vært mulig å kjøpe en firewall til kontoret, men hva om man slår av SSID broadcast og aktiverer MAC filtrering samtidig som man kjører WPA2 på det trådløse. Hva tror dere om det? Det er jo ikke Secret Service som bor her, men et tømrer firma.

[Occi]

Du bruker gjerne routern som firewall. Kombiner gjerne MAC-filtering med WPA2, det holder lenge. SSID broadcast kan også skrus av, men er jo litt upraktisk hvis det er folk innom, folk vil bruke mobilen slik o.l.

[Hans Erling]

Hehe, han viste meg her en dag på den bærbare maskinen hans at han kunne se det trådløse nettverket i huset ved postkassen, der alle andre går/kjører forbi for å komme til andre hus i nabolaget. Så jeg tipper han hadde satt pris på å kjøre uten SSID. Det blir bare mere jobb for meg da det er 9 soverom i huset og stort sett alle som bor der har en pc og en telefon. Noen må jo få tak i og legge til alle disse mac adressene.

[Lars Dongeri Oppholdsnes]

WPA2 med et godt unikt passord skal være sikkert nok. Skjult SSID og macadresse hjelper egentlig ikke mot inntrengere, da det vises og kan spoofes med rett software.

 

Du kan sette opp E2500 med gjestenettverk (som kun har tilgang til internett og ikke til LAN).

Du bør da sette opp E2500 i et annet subnett enn E4200. Gir du E2500 192.168.2.1, så slipper du konflikt med E4200s 192.168.1.1.

[Hans Erling]

Med rett software så knekker du også WPA2 på 10 minutter.

[Lars Dongeri Oppholdsnes]

Nei det gjør du ikke. De kjente metodene er vel å angripe Wifi Protected Setup eller bruke ordbok.

Brute force på et godt passord er i praksis bortkastet energi, da det tar flere år å cracke.

[Hans Erling]

Om du ikke tror på dette får være ditt problem.

 

En kollega av meg brukte 10 minutter på å komme inn på naboens WPA2 beskyttede nettverk. Det eneste kravet var at det fantes utgående trafikk der. Samt at du må ha en linux maskin og to eller tre spesifikke programmer for å få det til. Jeg vet ikke hvor vanskelig passord naboen hadde, men det gikk ikke mer enn 10 minutter.

 

Om du fortsatt nekter å tro på det så er det begrenset hvor mye du kan hjelpe meg.

Endret 11. juli 2012 av Hans Erling

[Lars Dongeri Oppholdsnes]

Du kommer jo med udokumenterte påstander. Jeg har ingen tro på at et fornuftig passord med WPA2 kan crackes om man sikre seg mot WPS-exploiten. http://www.tomshardware.com/reviews/wireless-security-hack,2981-10.html

[Trene Arnholdt]

Det jeg tror Hans Erling sikter til her oppe er WPS.

WPS er noe du vil deaktivere..

Kjører man et brute force her skal man bare imellom max 10000 kombinasjoner av tall for å få tilgang til routeren.. Det kan ta opp til 45 min hvis hackeren er uheldig og faktisk ikke treffer jackpot før etter 10000 forsøk.

WPA2 er fortsatt trygt, hvis man holder seg til sikre passord.

Bruker man store, små bokstaver, tall og spesialtegn i passordet kombinert med mange tegn vil et brute force angrep ta mangfoldige århundrer med de beste maskinene som finnes pr dd.

Kan være litt pain å taste inn 64 tegn for hver maskin som skal kobles på nettet, så det er jo et spørsmål om hvor sikker man føler man trenger å være...

[Hans Erling]

"Unfortunately, most of us use passwords that include words. As such, those passwords are vulnerable to dictionary-based attacks. The number of words in conversational English is in the tens of thousands. A single GeForce GTX 590 can manage at least 50 000 passwords per second against a WPA-protected network."

 

Uansett så var ikke metoden han brukte å prøve alle mulige kombinasjoner av passord for da hadde ikke utgående trafikk vært et must. Det hadde noe at programmene snappet opp pakker å leste informasjon ut fra disse. Jeg vet at dette ikke burde gå an når alle pakkene er kodet forskjellig ved bruk av WPA2. Som sagt vet jeg ikke detaljene, men det var ikke brute force han brukte.

Endret 11. juli 2012 av Hans Erling

[Trene Arnholdt]

Med "ingen" regner jeg med at du mener mann i gata..

Er man litt over gjennomsnittet interisert i sikkerhet så har man et SIKKERT passord..

50 000 passord pr sekund er under optimale forrhold..

Skal du få en maskin til å knekke et wpa2 passord, så ma den teste et og et passord.

Dvs skrive, godkjenne og vente på at router skal godkjenne eller ikke godkjenne før den kan teste neste passord..

For å gi deg et lite innblikk i hvor mange kombinasjoner som må testes ved å bruke et sterkt passord:

How much security do 512 binary bits provide? Well, 2^512 (2 raised to the power of 512) is the total number of possible combinations of those 512 binary bits — every single bit of which actively participates in determining this page's successive password sequence. 2^512 is approximately equal to: 1.34078079 x 10^154, which is this rather amazing number.

Les mer på grc.com og følg med på securety now podcasten hver uke hvis du er interesert..

 

Pakkene han kunne snappe opp var pga at WPS var enabled..

Nettverket er ikke sikrere enn det svakeste ledd..

[process]

Det finnes ett offlineangrep mot CCMP i WPA/WPA2 som kan øke hastigheten betydelig, spesielt på nyere prosessorer med nye instruksjonssett som er tilrettelagt for AES-NI. Det er ikke nødvendig å forsøke ett og ett passord mot router. Dette ligner på måten WEP angripes: Brute-force angrepet gjøres ikke direkte mot routeren, men mot enkrypterte nettverkspakker som er fanget opp fra nettverket, fullstendig passivt. Det går også an å fremprovosere trafikk fra nettet, men da gjør angriperen seg mer synlig. Jeg har ikke satt meg ned og lest noe kryptoanalyse eller paper på WPA/WPA2 angrep, men 10 minutter hørtes vel raskt ut. Det er meg bekjent ingen så store svakheter ved WPA/WPA2 som er publisert enda, her må du referere til en kryptoanalyse, dette er i såfall svært interessant.

 

Bruk gode passord.

 

WPS er grusomt, ikke bare sikkerhetsteknisk, men jeg har også opplevd at implementasjonene har vært så ulike at de ikke har fungert sammen. I tillegg er det routere (type clas ohlson) som ikke gjør det mulig å skru av WPS selv om web interfacet påstår at det er deaktivert, selv med nyeste firmware (spesifikt Gigabyte GN-BR32L-RH).

 

Separer trådløstnett og kablet nett med en brannmur, bruk helst VPN trådløst, eventuelt RADIUS på hele nettet. Gjester kan bruke gjestenett. MAC-adressefilter og skjult SSID har ingenting for seg dersom du først er bekymret for at det trådløse nettet skal knekkes, det ligger ingen virkelig sikkerhet i disse mekanismene.

 

Avveiningen blir som alltid brukervennlighet og ressurser til administrasjon vs sikkerhet.

 

Til slutt dreier det seg om penger. Hva er sikkerheten verdt, hvor mye risikerer dere å tape ved ett innbrudd og hvor attraktivt mål er dere?

Endret 12. juli 2012 av process