Debatt: Wifi-sikkerhet

[geir_thomas]

Vi har i denne artikkelen latt Geir Thomas Nordskog gi en gjennomgang av de ulike trådløse standardene, og komme med sitt syn på trådløs sikkerhet. Er du enig eller uenig? Si din mening i artikkelens forumtråd.Les mer

[Gronz]

Bruker ikke kryptering e.l, men MAC-filtrering. Er det like sikkert/en erstatning som/for kryptering? Bør det brukes sammen med WEP/WPA?

[Goophy]

Mac-filtrering tar 2 sec å komme seg gjennom.

WEP tar 20-30 min om det er mye trafikk.

WPA tar en del lengre tid.

Du burde bruke MAC-filter sammen med WEP eller WPA ja.

[Gronz]

Mac-filtrering tar 2 sec å komme seg gjennom.

WEP tar 20-30 min om det er mye trafikk.

WPA tar en del lengre tid.

Du burde bruke MAC-filter sammen med WEP eller WPA ja.

Hvilken gir best sikkerhet av de to WPA-"typene"?

[GeirNord]

WPA 2 har klare forbedringer over WPA, og det finnes ennå ikke så mange kjente hull eller verktøy for WPA 2. Bruk derfor WPA 2 om du kan.

 

Det beste å kombinere flere protokoller. Bruk IPSec sammen med WPA 2, 802.1x og MAC-filtrering.

 

Det anbefalles også sterkt å nette inn eventuelle trådløse nett i en bedrift i en egen DMZ.

[Calm]

Bruker ikke kryptering e.l, men MAC-filtrering. Er det like sikkert/en erstatning som/for kryptering? Bør det brukes sammen med WEP/WPA?

Både avsender og mottakers MAC-adresse kan leses fra en nettverkspakkes header i klartekst. Med riktig programvare kan pakker snappes opp, MAC-adresser leses av, og videre brukes som faket MAC (spoofet i software) for et WLAN kort for å få tilgang.

 

Så MAC-list alene gir så godt som ingen sikkerhet.

[Gronz]

Da var det nok tid for å aktivere WPA ja. Blir spurt om "Lifetime" i WPA-konfigurasjonspanelet på ruteren. Hvor lang bør den være?

[GeirNord]

Da var det nok tid for å aktivere WPA ja.  Blir spurt om "Lifetime" i WPA-konfigurasjonspanelet på ruteren. Hvor lang bør den være?

 

Lifetime indikerer hvor ofte klienten og routeren må bli enige om en ny nøkkel. Denne prosessen krever mye av routeren, og bør derfor ikke være for ofte. Jeg antar at din router spør om et antall sekunder, og da kan f.eks. 3600 (1 time) være passelig.

 

Noen andre som har erfaringer med at routeren blir treg når den må regenererre nøklene for ofte? Hva tåler de forskjellige modellene der ute?

[Krapylet]

Eg jobbar i ei bedrift som har Cisco Basestasjonar, og brukar 802.11x rammeverket. med RADIUS protokollen med Eap-Leap. Med autentisering mot AD.

 

Dette fungerer veldi bra. Enkelt og greit.

[Krapylet]

Vi køyrer foresten ny WEP nøkkel per sesjon.

[Gronz]

Lifetime indikerer hvor ofte klienten og routeren må bli enige om en ny nøkkel. Denne prosessen krever mye av routeren, og bør derfor ikke være for ofte. Jeg antar at din router spør om et antall sekunder, og da kan f.eks. 3600 (1 time) være passelig.

Takk for svar Har til opplysning en TOPCOM-ruter.

[G]

Kommer det mer om Wifi-sikkerhet på HWB.no ?

 

Er det noen nye sikkerhetsstandarder på trappene?

[sumptrollet]

Eg jobbar i ei bedrift som har Cisco Basestasjonar, og brukar 802.11x rammeverket. med RADIUS protokollen med Eap-Leap. Med autentisering mot AD.

 

Sikker på at du ikke mener 802.1x ?

 

Uio bruker tilnærmet samme løsningen, står noe teknisk informasjon, hva av kort/operativsystemer som støtter det osv på linken nedenfor:

 

http://www.usit.uio.no/it/wlan/

Endret 14. mai 2005 av sumptrollet

[sumptrollet]

Er det noen nye sikkerhetsstandarder på trappene?

802.11i. Man har endelig innsett av RC4 kombinert med hjernedøv håndtering av IV'er suger hardt og implementert AES istedenfor.

[sumptrollet]

Vi har i denne artikkelen latt Geir Thomas Nordskog gi en gjennomgang av de ulike trådløse standardene, og komme med sitt syn på trådløs sikkerhet. Er du enig eller uenig?

Kommentarer:

 

WEP – Wired Equivalent Privacy

Dette er en krypteringsprotokoll som alle WiFI sertifiserte produkter må kunne benytte. Algoritmen som benyttes er RC4, en algoritme med kjente svakheter. WEP benyttes i hovedsak med en nøkkellengde på 64 eller 128 biter.

 

WEP ble designet da USA fremdeles hadde eksportrestriksjoner på krypto, nøkkelen er kun på 40 bit + 24 bit IV, 128bits versjonen som kom senere har også N-24 bit nøkkellengde.

 

Se f.eks:

http://www.netstumbler.org/printthread.php?t=5325

 

RC4 har som kjent svakheter, men det store problemet med WEP er heller bruken av IV. Idet man har to meldinger med samme IV så er det kurant å finne det ukrypterte innholdet.

Endret 15. mai 2005 av sumptrollet

[B4stian]

Etter hva jeg har skjønt er det mulig å komme seg igjennom alt mulig sånne ting... man kan jo klone MAC-adresser osv. så hvordan beskytte det mest mulig da? Benytte kombinasjoner?

[Goophy]

Etter hva jeg har skjønt er det mulig å komme seg igjennom alt mulig sånne ting... man kan jo klone MAC-adresser osv. så hvordan beskytte det mest mulig da? Benytte kombinasjoner?

WPA med "lifetime" på relativt korte intervaller vil være temmelig krevende å komme seg gjennom. Vil ta uendelig mye lengre tide enn MAC+WEP o.l.

[kpolberg]

Eventuelt kjøre RADIUS + VPN, burde da fungere bra, uansett om man kjører wlan med pptp, l2ip eller IPSec.