Offentliga och privata nätverk

[ApaKaka]

Nja. med MAC-lås har du säkrat dig mot 90 % av alla wlanare, för de vet ingenting om de program som finns för att sniffa upp mac-addresser och fejka dem. De letar bara efter öppna nät att gratissurfa på.

 

De återstående 10 % som wardrivear eller är tekniskt uttråkade som du beskriver det är en minoritet, och vill man även stänga ute dem kör man helt enkelt PSK AES.

 

[fhe]

för de vet ingenting om de program som finns för att sniffa upp mac-addresser och fejka dem.

Du får naturligtvis fortsätta att tro vad du vill men jag tycker inställningen låter lite som "det är bara de tekniskt kompetenta som klarar att piratkopiera en DVD-film med kryptering".

Det är möjligt att det var så för 6-7 år sedan men det är inte så nu och även om det fortfarande bara var 10% som fixade det så kan de övriga 90% lätt sprida kopian.

 

Det handlar inte bara om wardriving, det är ett minoritetsproblem (som du säger).

 

Men, det är enormt off topic. Jag har inte tid med den här tråden idag.

 

Edit:

och vill man även stänga ute dem kör man helt enkelt PSK AES.

Du har naturligtvis helt rätt i det... Problemet ligger i att en klar majoritet av de som sätter upp Wlan inte har en aning om vad PSK AES är för nåt eller hur man rangordnar olika grad av säkerhet. Om de invaggas i tron att "MAC-lås" hindrar andra än de egna datorerna att använda nätet så kan de mycket väl göra antagandet att det är tillräckligt eller "bättre än inget så det räcker nog" när allt de egentligen har gjort är att stänga dörren utan att låsa den.

[inlägget ändrat 2006-02-15 11:00:48 av fhe]

[ApaKaka]

Jo, men istället för att trolla i trådar om bristen på säkerhet så kan man väl föreslå hur man maximerar den relativt de verktyg och teknlogier som ändå finns tillgängliga på marknaden?

 

Vilket jag tror var poängen med frågan i den här tråden till att börja med.

 

Men du har rätt. Jag har inte heller tid att diskutera protokolldetaljer idag.

 

[Ö .]

MIC värdet är en Checksumma av MAC addresserna(Och resten av paketet oxå), men MAC addresserna sänds i klartext.

 

Michael (MIC) är dock "knäckt".

 

[Ö .]

ingen spoofare skulle kunna förklara sig på ett vettigt sätt om man kom på denne.

 

Jag har svårt att se hur man ska komma på det? Samma MAC address ger samma IP tilldelning, du kan alltså inte hålla reda på vem som gör vad....

 

[Ö .]

Frugans dator klarar dessutom bara WEP så han måste lämna den möjligheten påslagen.

 

WEP är säkrare än man kan tro, ett WPA-PSK nätverk med enkelt lösenord går att knäcka snabbare än ett WEP med "open system". Du behöver så mycket data för att kunna knäcka WEP att det oftast inte är värt att försöka.

 

Nisses arbetslösa grannen (som råkar vara en nyfiken typ) kör netstumbler regelbundet och upptäcker rätt snart vilka Mac-adresser som fungerar i nätet

 

Netstumbler tar bara MAC addresser från sk. "beacon packets", du behöver mer avancerad sniffer programvara för att sniffa klient MAC addresser.

 

-stumbler tar bara AP/Routerns MAC address, roligt att se när den skickar till sigsjälv sen:) Fast iofs det måste jag testa. Det kanske går.

 

[Ö .]

Jo, men istället för att trolla i trådar om bristen på säkerhet så kan man väl föreslå hur man maximerar den relativt de verktyg och teknlogier som ändå finns tillgängliga på marknaden?

 

Jag hävdar bestämt att bara du har WPA(2)(-PSK) i någon form så är alla andra trådlösa säkerheter onödiga. Wifi Protected Access höjer ribban så högt att MAC filtrering, SSID döljning och annat "låtsassäkerhet" blir onödigt och krångligt tillägg.

 

[fhe]

WEP är säkrare än man kan tro

För all del, poängen var dock att så länge folk fortsätter att inbilla Svensson att det ger någon som helst säkerhet att filtrera på MAC-adresser så kommer folk att tro att de har iaf ett litet lås på dörren när de gör det, och bara det.

 

Netstumbler tar bara MAC addresser från sk. "beacon packets", du behöver mer avancerad sniffer programvara för att sniffa klient MAC addresser.

Tror dig, jag kör nästan uteslutande linux nuförtiden så jag tog bara ett windowsverktyg ur högen eftersom det bara var ett exempel.

 

 

[Ö .]

Rent generallt kan du säga att om nätverket har kryptering är det säkert, har det inte kryptering är det inte säkert.

 

När inte någon kryptering används kan vem som helst i närheten lyssna av trafiken och ta lösenord från Webbsidor som inte använder SSL, tex Eforum, Lunarstorm, och många andra. Det kvittar självklart då om du inte har SSID, elelr om du har MAC blockering, trafiken sänds i klartext och kan uppfattas av alla.

 

Så mitt råd är att sätta WPA(2)-PSK på ditt nätverket (Använd ett komplicerat nätvers lösenord) , döpa SSID namnet till något som kan geografisk identfiera dig (ifall någon skulle hamna i konflikt med ditt nätverk och då vet vem som ansvarar för nätverket så ni kan komma överens om lämpliga kanaler)

 

Strunta i MAC filtrering, dölj inte SSID namnet.

 

Nu kan du surfa säkert, eftersom en eventuell hackare måste knäcka WPA(2)-PSK för att komma åt ditt nätverk, vilket är mycket mycket svårt om inte nästintill omöjligt förutsatt att du valt ett bra lösenord.

 

WPA(2) = 802.1X + EAP + TKIP/AES + MIC

 

Där de första två används för att authorisera en klient och de andra två för att skydda datan som skickats.

 

För att generalisera ytterliggare:

WPA = Säkert trådlöst nätverket.

Inte WPA = Osäkert nätverk.

 

/Ö

 

[Ö .]

För all del, poängen var dock att så länge folk fortsätter att inbilla Svensson att det ger någon som helst säkerhet att filtrera på MAC-adresser så kommer folk att tro att de har iaf ett litet lås på dörren när de gör det, och bara det.

 

Amen! Precis så tycker jag också.

 

 

En rolig sak med WEP är att 2003 demostrerade FBI hur man knäcker WEP kryptering på mindre än 3 minuter

Fast då tror jag dom körde "shared key" system vilket kan stimuleras för att snabba upp processen.

 

Tror dig, jag kör nästan uteslutande linux nuförtiden så jag tog bara ett windowsverktyg ur högen eftersom det bara var ett exempel.

 

OK Till linux finns ju Ethereal som bör kunna sniffa trafik rätt bra, har bara kört det ett par gånger dock.

 

[lizardKng]

Till linux finns ju Ethereal som bör kunna sniffa trafik rätt bra, har bara kört det ett par gånger dock.

 

Finns även till WIndows.

 

[Ö .]

Gör det? Tackar för tipset:thumbsup:

 

[lizardKng]

Men läs detta:

 

http://www.ethereal.com/distribution/win32/

 

Aldrig får man vara helt nöjd :-(

 

[webbaccess.net]

jag har läst allt här och har en liten fråga..

 

varför får jag upp folk på min DHCP lista fasten dem inte använder min lina?

 

[Ö .]

och hur ser ditt nätverk ut?

 

[webbaccess.net]

en d-link 524+ och 2 trådlösa klienter

 

var det, det du menade?

 

MVH Peter

 

[Ö .]

DHCP tilldelad IP kan bara klienter få som kan utbyta trafik på IP nivå, dvs de som dyker upp som tilldelade IP addresser i din router måste ha kommit förbi eventuella säkerheter eftersom det är på en annan nivå.

 

Nolla loggarna så du vet det inte är routern som spökar med dig.

 

Och jag förutsätter du kör WPA eller WEP.

 

[inlägget ändrat 2006-02-17 22:12:00 av Ö .]

[webbaccess.net]

det är en 64 bit WEP kryptering och på kanal 13...

 

[Ö .]

Ok, vad är det då du inte förstod om du hade läst allt?