Trådløs sikkerhet i hjemmenettverk

[G2Petter]

Hei.

Skal sette opp et trådløst nettverk, bestående av to maskiner, en router, og en ADSL-linje.

Hvordan sikrer jeg denne linja for å hindre at uvedkommende evt skulle tappe neeverket og snylte på download-grensa fra Telenor/stjele leksene til de jeg setter det opp for?

 

Er det mulig kun å gi bestemte MAC-addresser tilgang til routeren?

Jeg vet ennå ikke hva slags utstyr jeg skal kjøpe, men det står noe i denne og denne tråden...

[MorePower]

Ja, det er mulig å angi hvilke mac-adresser som har tillatelse til å koble seg til routeren. Elers er vel wep-nøkkel eller wpa standarder som skal gi større sikkerhet. Man kan også sette hvor mange ip-adresser routeren maksimalt skal gi ut.

Endret 15. januar 2004 av MorePower

[G2Petter]

Takk skal du ha!

 

Er det noen andre tips for å øke sikkerheten i et trådløst nettverk?

[adams]

Du sier ikke noe om Firewall (hardware). Ville sikret meg med det i allefall! Er ingen guru ellers på området, men 128-bits WEP og god passordskikk sikrer deg godt mot det meste skulle jeg mene!

 

Lykke til!

[pantrax]

WEP er meningsløst i disse dager. Har selv testet hvor enkelt det er å komme seg forbi WEP krypteringen, skummelt faktisk.

 

WPA og MAC limitering er nok det som gir best sikkerhet over det trådløse nettverket. Opperer du til gjengjeld med ruteren som DHCP er det nok smart å begrense antall ip adresser som blir gitt ut.

 

Hvis du ikke gjør det kan du velge utradisjonelle ip adresser og lage trøbbel for de som eventuelt kom seg forbi første steg.

 

Brannmur blir litt smør på fleks siden de fleste ruterne idag kan stenges til MAC (noe færre har WPA) og inneholder mer eller mindre alle disse brannmur instillingene med unntak av enkelte spesifikke angrep og tendenser - disse til gjengjeld kan du finne i loggen på ruteren (en som kan sende loggen til deg er å foretrekke). Det du vinner med å bruke programvare brannmur er at du slipper å plage ruteren med enda mer å gjøre.

 

Og glemm for all del ikke å stenge av SSID.

[G2Petter]

Den routeren jeg vurderer har i følge den brukeren som anbefalte meg den (agvg, eller er det avgv?) innebygd brannmur.

Jeg har tenkt på både å stenge til MAC, og å begrense antall IP'er.

 

Hva mener du med SSID?

Endret 16. januar 2004 av G2Petter

[titus]

Hmm, Pantrax, jeg trodde det holdt lenge å gi tilgang kun til egne MAC-adresser.

 

Når det gjelder WEP, er vel formålet her å hindre at andre får tilgang til den informasjon som man sender trådløst? Dvs at det ikke har betydning for snylting på linja?

 

Pantrax: Hvor lang krypteringsnøkkel har du testet WEP med? Det finnes fra 40 til 256 bits nøkler...

Endret 16. januar 2004 av titus

[KydeX]

Hva gjør man dersom man skal koble X-boxen i trådløst nett, for å sikre sikkerheten. Kan man finne mac adressen på den også? Eller gjør man noe annet?

[pantrax]

Vel. Å tillate bare de MAC adressene man vet skal inn til nettverket holder lenge, men det holder ikke inn i evigheten. Det finnes til eksempel programmer som etterligner andre MAC adresser, altså faker de. Da er bare snakk om å finne MAC adressene som er tillatt. Dette kan være enkelt hvis klientene med tilgang gir det ifra seg enten ved dårlig sikkerhet av egen ruter, eller lignende som at de viser seg åpen (sender sin SSID). Den andre metoden er brute force, lykke til sier jeg egentlig bare - men det finnes de som gjør det.

 

Konklusjonen er at MAC adresser ikke holder om en er paranoid, men det er mer enn nok for at enkelte bare skal ramle inn å finne ting. Det er som regel mye arbeid lagt inn for å finne mac adressene som blir brukt.

 

Annet enn det er det verdt å nevne at kablet lan som bruker MAC adresser som eneste måte å skille på legitime brukere er mye mer utsatt hvis det sitter noen med over gjennomsnittlige kunnskaper og vil inn. Dette fordi at de kan finne MAC adressene som allerede blir brukt på nettverket og simulere disse.

 

WEP fungerer i den praksisen at det krypterer linjen for at uønskede skal få tilgang til nettverket. Man kan si det fungerer i en slags passord form, der du må skrive passordet hver gang du skal ha tilgang til nettverket. Altså fungerer det som begge delene, men det tillater ikke snylting av linja med mindre du bryter WEP beskyttelsen.

 

Nå har jeg selv test en 128 bit kryptering, men har hørt at 256 ikke er noen umulighet. Dette kommer av naturen i WEP som faktisk sender nøkkelen ved hver request. Altså passordet ligger i luften og kan snappes opp av de som kan slikt.

 

Det ligger også andre svakheter i WEP som gjør at mange ikke vil ta det i bruk. Som til eksempel dårlige muligheter for å skrive inn passordet. Noen produkter tillater bare å skrive inn passordet i hexadecimal mens andre tar bare alphanumeriske passphraser. På toppen av alt dette kommer det at enkelte produkter mister opp til så mye som 50% throughput ved å aktivere WEP.

 

Men glemm for all del ikke å legge til risikofaktoren her. Hvor avhengig er du av et system som er absolutt kjempe vanskelig å komme inn på eller trenger du bare noe som holder de fleste ute i ett par timer slik at de gir opp. Jeg for min del trenger ikke mer en MAC for hjemmebruk. Men det bedriftsnettverket jeg var med på og sette opp trengte mer.

 

Når det kommer til SSID så er det om du vil broadcaste at du finnes her i området. Dvs. at andre ser at du har satt opp en basestasjon, dette forhindrer de aller fleste i å hele tatt prøve å komme seg inn på deg, da de ikke finner deg i utgangspunktet.

 

Alle nettverksenheter har MAC adresser. Det finnes ett drøss av muligheter for å finne de. Men la meg bare lime inn noe ifra en artikkel angående MAC adresser og konsoller.

 

"Turn on your Xbox console with no game disc in the disc tray.

From the Xbox Dashboard, choose Xbox Live.

From the Connect Status screen, select Settings.

The 12-digit number at the bottom-right corner of the Network Settings screens is the MAC address of your Xbox console. Do not change your Xbox console MAC address, just write it down so that you can use it later.

 

The following steps assume you cannot connect to Xbox Live until you finish configuring your Xbox console to use your PC's MAC address. Therefore, you should receive the following message: "Could not connect to Xbox Live. Do you want to troubleshoot your network connection?"."

Endret 16. januar 2004 av pantrax

[G2Petter]

Veldig bra og lærerikt innlegg!

 

Neida, det er ikke noe stort poeng å gjøre nettverket ugjennomtrengelig, vil bare kunne si til han jeg setter det opp for at "nå er det trygt."

De bor ikke i noe blokkområde, så sjansen for at noen i det hele tatt tenker på å ta turen dit med utstyr for å spore opp trådløse nettverk er tilnærmet null...

[KydeX]

Til Pantrax: Takk for meget bra innlegg, det dekket det meste innen trådløs sikkerhet, ihvertfall for amatører og hjemmebrukere.