Sikring av trådløst nettverk ?

[kentis]

Benytter muligheten til å få noen råd fra dere om trådløst nettverk. Har instalert Dlink (DI-624) og dette fungerer glimrende. Vi har 4 bærbare pc'er i huset og har gjort følgende endringer på routeren: Byttet SSID navn og slått på kryptering 64 bit. Er dette ok?

 

Bruker nettet til kun surfing på internett og har ikke ordnet LAN.

[Torbjørn]

lan har du enten du har ordnet det eller ikke.

 

jeg ville anbefalt minimum 128 bits kryptering.

[kentis]

Ok. Jeg er ganske grønn på dette så jeg setter pris på god og detaljert veiledning. Dette forumet er forresten hel glimrende for oss ufaglærte. Det er fint at dere gidder å hjelpe til med noen gratisråd.

For å endre til 128 bits kryptering så må jeg vel logge meg inn på Di-624 ?

[notorled]

ja. det vet du sikkert hvordan. Har du husket å skjule ssid?

Mac filtrering er og et must.

[Frank2004]

ja. det vet du sikkert hvordan. Har du husket å skjule ssid?

Mac filtrering er og et must.

MAC-filtrering er slett ikke noe must når du har mulighet for å bruke kryptering, blir bare mer å knote med, og gir ingen ekstra sikkerhet.

 

'Skjule SSID'?? Disabling av ssid broadcast er bare til skade, og gir _null_ sikkerhet.

[dr_k]

Frank2004 da...

Les noe whitepaper fra wi-fi.org

Skjuling av SSID er et must det også, i tillegg til filtrering av mac. Skjuling av SSID sørger for at nettet ikke broadcaster ID'n sin til alle m ett wifi-kort i nærheten. Dermed, ikke til skade, heller til det bedre.

Hvis det er snakk om 4 pc'er burde det være en smal sak og sette opp mac'ene på disse som allowed og denied på resten. Om det er et must...vel, igjen, det er til det bedre. Og JA, det gir bedre sikkerhet.

 

Vil gjerne høre hvorfor du mener mac-filtrering ikke gir sikkerhet og hvorfor skjuling av SSID bare er til skade.

 

dR_k

Endret 29. juli 2004 av dr_k

[tyldum]

64(40) eller 128(104) bits kryptering spiller ingen rolle. Ingen vil angripe selve krypteringen, tar for lang tid uansett.

Benytt WEP og bytt WEP en gang i uka, eller når det har vært rundt 1GB trafikk. Er det mye trafikk og dette blir plagsomt kan du filtrere MAC-adresser. Er du lett paranoid kan sikkert sette opp logging på aksesspunktet og se når klienter assosierer seg, men det er neppe så mye vits i.

 

Å skjule SSID er meningsløst. Omtrent som å legge lommeboka i kjøleskapet, mens du roper ut i nabolaget at den ligger nettopp i kjøleskapet.

 

Teknisk prat:

Svakehten til WEP er ikke krypteringen, men noe som heter IV-frames. Disse 'rammene' skal være unike, men til slutt vil det ikke være flere unike å hente så da vil en gammel brukes på nytt. Dersom noen sniffer trafikken er de avhengige av å få noen slike pakker. Normalt sett krever det over 500MB med trafikk.

 

Har kjørt trådløst her med 40bits WEP, nøkkel '12345' og MAC-filtrering. Mange har prøvd (bor på studentby med mange bærbare i nabolaget), men ingen har lykkes å komme forbi WEP engang. De fleste har skrupler nok til å ligge unna når nettet er forsøkt sikret. En annen sak om man ikke bruker WEP eller noe

[tyldum]

Skjuling av SSID sørger for at nettet ikke broadcaster ID'n sin til alle m ett wifi-kort i nærheten. Dermed, ikke til skade, heller til det bedre.

Folk med peiling lytter ikke etter beacon frames for å finne nett

Er det trafikk på nettet er det en smal sak å sniffe frem SSID.

 

Edit:

Vil gjerne høre hvorfor du mener mac-filtrering ikke gir sikkerhet

MAC-filtrering bare høyner terskelen, det er ingen absolutt sikkerhet. Det kreves litt mer av en inntrenger å forfalske MAC-adresse, men det er ingen umulighet.

Endret 29. juli 2004 av tyldum

[dr_k]

greit nok, men folk m peil klarer å bryte seg inn i bilen min også, så da kan jeg bare la den stå ulåst? jajaja, dårlig exempel, men mener bare at alle monner drar. Har man peil kan man komme seg inn på en wep kryptert boks, men man bør jo legge alle mulige hindringer i veien hvis man kan...mener jeg da...litt paranoid bare.

 

dr_k

[tyldum]

Blir litt vel teknisk i forhold til det trådstarter ute etter så kentis kan få lov å skippe denne

 

WEP:

Høyere kryptering betyr ikke nødvendigvis bedre sikkerhet. Desto flere bits man bruker til kryptering desto flere svake IV får man. Så 128bits WEP er enklere å 'knekke' enn 40bits, dersom det er WEP-nøkkelen man er ute etter.

 

Dersom man sender mye sensitiv informasjon over nettet (mer sensitivt enn nettbanken din, den er ikke interesant nok) og du vil beskytte selve dataene dine ekstra, kan du benytte 128bits WEP. Dette sikrer i større grad mot at noen sniffer all trafikken og så bruker tid på å knekke selve dataene.

 

40bits WEP er nok i dette tilfellet og gir den sikkerheten vi ønsker, nemlig beskyttelse av WEP-nøkkelen.

 

For et vanlig hjemmenett vil jeg anbefale å bruke WEP (uansett antall bits) og bytte denne jevnlig, en gang i uka eller etter 500-1000MB med trafikk. Alt etter hva som er praktisk og hvor paranoid man er.

 

SSID:

Å slå av broadcast vil bare gjøre det vanskeligere for legitime brukere. En snoker henter SSID ut i fra pakkene som allerede er i lufta. Man trenger ikke WEP-nøkkel for å gjøre dette... Totalt meningsløst i en sikkerhetssammenheng.

 

MAC-filtrering:

Legger et hinder i veien for amatørene, men krever også administrasjon om man får en ny maskin eller en kompis på besøk. Dette vil ikke hindre noen som er bestemt på å komme seg inn på nettet, men vil trolig plage en eventuell snylter så mye at han ikke gidder. Det medfører litt problemer å rappe MAC-adresse til en node som er i bruk.

 

 

Jeg kjører som sagt 40bit WEP og MAC-filtrering, men det som gir meg sikkerhet er loggingen. Har bare 3 maskiner som bruker nettet og jeg vet når de logger på. Aksesspunktet mitt sender logg til en Linux-maskin jeg har stående og der analyseres loggene. Kommer den en MAC jeg ikke har autorisert får jeg alarm. Av og til tar jeg en 'stikkprøve' og sjekker at tidspunktene en MAC-adresse opptrer på stemmer over ens med forventet bruk. Høres kanskje tungvindt ut, men når man først er i gang med å rutinemessig lese logger krever det ikke allverden med innsats.

 

Beklager lang post og eventuelle (garanterte skrivefeil.

[kentis]

Er det da slik å forstå at krypteringen min på 64 bit er en grei måte å sikre nettverket mitt på? Er det dette dere kaller WEP ;-)

[RobinHood]

1 Skift SSID til noe vanskelig å gjette (ikke hjemmelan) eller noe slikt

2 Skjul SSID (broadcast disabled)

 

(SSID er navnet på det trådløse nettet som sende ut fra D-Linken)

Dette medfører at du må vite navnet for å kunne koble på en pc med det trådløse kortet og konfigurere det med dette navnet).

 

3 Bruk høyest mulig WEP kryptering (WEP er lik Wired Eqvivalent Privacy)

Du kan velge 64, 128 og 256 på D-Link tror jeg.

Vær obs på at jo høyere WEP jo kortere når nettet. Så her kan hende du kan prøve å feile litt.

 

4 MAC filtrering:

Hver eneste nettverkskort trådløse og ikke trådløse har en UNIK mac-adresse

 

f.eks: 01:ab:e3:a2:ea:9a

Du kan stille inn ruter/aksesspunkt til å kun ta imot tilkoblinger fra kort som har den og den mac adressen

 

For å finne denne kan du starteDOS ledetekst og skrive IPCONFIG/all og du skal da få mac adressen på den pc`en/nettverkskortet du sitter på.

 

Lykke til

 

flyger/pilot ?

 

ps 64 bit ok- 128 bedre

Endret 29. juli 2004 av RobinHood

[kentis]

Takker og bukker.

Har et lite ekstraspørsmål: Hvordan setter jeg opp et LAN i tillegg til internett tilkoblingen.

 

På forhånd takk

[RobinHood]

Litt mer drtalj?

 

Ett trådløst og et kablet hver for seg eller i lag?

[Lyder85]

tyldum:

 

Blir iritert av å høre en sånn amatør utale seg om sikkerhet.

 

Skal ikke starte en detaljert diskusjon, det er meningsløst.

 

Her er det snakk om å benytte seg av den sikkerheten mann kan få fra Wlan og pc.

 

 

Sikkerhets innstillinger i prioritets rekkefølge:

 

1. Wpa eller

2. Wep

 

3.Mac -filtrering

 

4.Skjul SSID

5.Skift SSID

 

Hvis punkt 4 skaper problemer(stablitetsproblemer) Enable SSID broadkast.

[kentis]

RobinHood: Det er snakk om oppsett av et trådløst LAN. Junior gjorde et forsøk men da forsvant tilgangen til internett. Jeg måtte slette en nettverksbro som ble opprettet og da var vi på nett igjen.

 

Tar imot alle gode råd for å få et LAN oppe å gå. Maskinene vi har er Acer 8004LMi.

[tyldum]

@Lyder85

Du kan jo prøve å komme med noen _argumenter_. Argumenter er ikke detaljer, og langt i fra meningsløse.

 

Når det gjelder dette nettet og _tilstrekkelig_ sikkerhet ivaretas dette slik trådstarter allerede har det. Bytter vedkommende WEP-nøkkelen av og til er sikkerheten _tilstrekkelig_ ivaretatt. Det er ikke snakk om å sikre WLANet så langt det lar seg gjøre. Tilgjengelighet vs sikkerhet.

 

Og for nte gang: kryptisk SSID og skjult SSID gir _ingen_ sikkerhet. Dette er informasjon som ligger i luften likevel.

 

Dersom trådstarter føler seg eventyrlysten kan han gjerne sette opp MAC-filtrering, men dette er ikke nødvendig. Støtter utstyret WPA (noen eldre kort kan ha trøbbel med dette) kan det være verdt å kikke på. Det gir langt bedre sikkerhet enn WEP.

[RobinHood]

I tillegg: sjekk:

Navnet på nettverket på pc`ene - nettverksinnstillinger

 

Eventuelt gi de en fast IP i ruteren. Jeg mener - hver maskin får tildelt en bestemt IP hver gang

 

Dermed kan du legge til pc`ene i "Mine nettverksteder" eller med ftp://192.16xx.xx.xx (også i mine nettverksteder)

 

(Hvis du ikke finner de automatisk da?

 

Svarte jeg på spørsmålet nå?... litt travel avtale om 20 minutt

 

Får heller svare i morgen tidlig om dette ikke hjalp

 

Lykke til

Nettverksbro?? Hvorfor det mon tro?

 

Det skulle vel holde å gå mot aksesspunktet/ruteren - jaja...

[Frank2004]

Blir iritert av å høre en sånn amatør utale seg om sikkerhet.