Är jag säker?

[Abhor]

Hej!

 

Jag är rätt ny på detta med wlan, och jag har några frågor.

Jag kör krypterat i WPA, dolt mitt SSID samt låst så att enbart mina datorers MAC-adresser har tillgång till nätet.

Är jag säker då?

Kan någon sitta utanför min dörr med en dator och läsa av min datortrafik om jag tex går in på internetbanken?

 

Mvh

Stefan

 

[Walle^^]

Säkert en duktig hacker.

Har du brandvägg i routhern?

Har du brandvägg på datorn?

I såfall är du säker från det mesta.

 

[mk22gq]

Kör du WPA och så skall det mycket till för att någon ska få tillgång till din trafik. Så jag tycker att du kan känna dig säker, dessutom är trafik till din internetbank krypterad med SSL mellan webbläsaren och servern (lilla låset nere i hörnet indikerar detta).

 

Det går att hitta din router trots att SSID inte skickas ut, men frågan är hur mycket besvär någon skulle göra sig för att sedan försöka ta sig in. Du kan ju titta i loggen på routern då och då så kan du se om det är misslyckade försök till inloggning.

 

Jag hade massor av inloggningsförsök innan men jag ställde om uteffekten hos routern till det lägsta och nu verkar ingen nå den längre.

 

[Mr Andersson]

Jag har själv kört min bärbara på det sättet sen i våras och har inte haft påhälsning ännu. Dock har några polare fått "låna" passkey så att de kan köra sina datorer när de är hos mig (med speciella regler i brandväggen, så klart).

 

Dock, ingenting är helt säker och absolut inte något trådlöst, men det är tillräckligt säkert för att kunna sova ordentligt...

 

 

 

 

 

[lizardKng]

Det enda sätt jag känner till för att knäcka WPA är att spara en viss del av trafiken och därefter med olika metoder gissa den passphrase du har skrivit in. Om denna passphrase är uppbyggd av ord eller liknande kan det lyckas, är den däremot omöjlig (ok, inget är ju omöjligt) att gissa på annat sätt än att prova alla möjliga kombinationer och dessutom hyggligt lång kommer försöket inte att lyckas.

 

[lizardKng]

Säkert en duktig hacker.

 

Med vilken metod?

 

I såfall är du säker från det mesta.

 

Du kan ha hur många brandväggar du vill, är ditt Wlan öppet kan trafiken i alla fall avlyssnas.

 

[Codler]

hur döljer man sin SSID? jag har Netgear(router)

 

[lizardKng]

Vet ej.

 

I vår D-Link finns det en ruta alldeles under raden där man skriver in nätverket där man kan välja mellan "visible" och "invisible".

 

Med WPA är väl (extra) nyttan med dolt SSID inte så värst stor, lite som att sätta en tunn dörr gjord av papper bakom den 3 meter tjocka bankvalvsdörren.

 

[NWM]

hur döljer man sin SSID? jag har Netgear(router)

Det ger inget skydd att dölja SSID, jo kanske mot grannar som kopplar upp sig av misstag. Att bara tillåta vissa MAC-adresser ger inte heller något skydd.

 

Att knäcka en WPA-kryptering med en skapligt lång nyckel är mycket svårt då det krävs att man samlar in stora datamängder (det räcker egentligen inte bara med stora datamängder med det är en fråga vi lämnar därhän). I ett hemmanät är detta nästintill omöjligt men om man står utanför ett företag och lyssnar av trafiken när hundra datorer ansluter på morgonen så ökar chansen.

 

Om du vill ha en riktigt bra säkerhet byt WPA-nyckel en gång i månaden och använd så lång nyckel som din utrustning klarar, använd mjukvarubrandvägg på varje dator. Med dessa försiktighetsåtgärder så är det nog större risk att du får en Boeing 747 (flugen av en berusad flygkapten iklädd tomteluva) genom fönstret. Mycket osannolikt men inte omöjligt, men vad här i livet har en sannolikhet som är 0?

 

-nisse

Beauty is in the eye of the beer holder

 

[lizardKng]

Nu tror jag att du förväxlar WEP och WPA.

 

För att knäcka WEP vill man ha en viss mängd data av "rätt sort", sedan är det ett enkelt handgrepp att knäcka nyckeln.

 

Ska man komma åt ett WPA-skyddat nätverk behövs det (för den enda metod jag känner till) inte stora datamängder alls. Det som behövs är istället tid för att utföra sin "off-line dictionarybased attack". Med gott om tid brukar man prata om miljarders miljarder gånger universums livsläng eller liknande. Detta förutsatt att sin "grundnyckel" inte är uppbyggd på ett sätt som kan gissas genom ordlistor och att den är hyffsat lång, typ 15-20 tecken.

 

[NWM]

För att knäcka WEP vill man ha en viss mängd data av "rätt sort", sedan är det ett enkelt handgrepp att knäcka nyckeln.

Nja, det gör jag inte nog inte. Dekryptering underlättas när meddelandet blir längre och detta gäller i princip alla krypton. Har man dessutom kännedom om än bara en liten del av meddelandet (vilket man har när det gäller nätverkstrafik) så underlättar det ytterligare (därav "rätt sort").

 

Med gott om tid brukar man prata om miljarders miljarder gånger universums livsläng eller liknande.

Icke, men visst är det beroende på nyckellängd och hur den utformad. Om det var som du skriver så skulle man inte rekommendera nyckelbyten

 

GSM trafik ansågs länge som i princip oknäckbar då man använder både kryptering och frekvenshopp. Idag så knäcker vilken säkerhetstjänst som helst med lite självaktning dina mobilsamtal.

 

-nisse

Beauty is in the eye of the beer holder

 

[inlägget ändrat 2006-12-17 11:33:37 av NWM]

[lizardKng]

Dekryptering underlättas när meddelandet blir längre

 

För att knäcka WPA behöver du inte lyssna på några meddelanden alls. Den information som behövs för att kunna utföra en "offline dictionary based attack" skickas såvitt jag kommer ihåg åtminstone vid varje uppkoppling, kanske också vid varja byte av nyckel.

 

Knäcker man WEP lyssnar man på en massa data. Det går inte med WPA eftersom nyckeln byts så pass ofta att den metoden inte fungerar.

 

Icke, men visst är det beroende på nyckellängd och hur den utformad. Om det var som du skriver så skulle man inte rekommendera nyckelbyten

 

Nu blir det rätt off-topic men det där får du gärna utveckla. Med WPA byts ju nycklarna automatiskt och genereras utifrån den passphrase man ger. Vitsen med att byta krypteringsnycklar är ju att man INTE ska kunna knäcka krypteringen med samma metod som för WEP.

 

Vi har ju gått igenom detta ett otal gånger förut på Eforum, du kan ju kolla i några äldre trådar, där finns det länkar till uträlningar om hur lång tid det tar att prova alla kombinationer av t ex ett 20 tecken långt kodord. Det tar hemskt lång tid...

 

[inlägget ändrat 2006-12-17 11:53:03 av lizardKng]

[Codler]

Nu blir det rätt off-topic men det där får du gärna utveckla.

 

fortsätt, det är en intressant diskution:) tycker jag

 

[NWM]

Det går inte med WPA eftersom nyckeln byts så pass ofta att den metoden inte fungerar.

Visst är det så men det är väl något som WPA har gemensamt med de flesta moderna krypton. Själv har jag inte de kryptografiska kunskaper som krävs för att förstå hur det verkligen fungerar utan jag refererar bara det som jag har läst av välkända säkerhetsexperter.

 

Med WPA byts ju nycklarna automatiskt och genereras utifrån den passphrase man ger.

Jo med det bytet är inte sant slumpmässigt för sann slumpmässighet går inte att åstadkomma med elektronik (ohyggligt svårt kanske är mer korrekt). Det man använder är en "pseudorandom number generator".

 

"The choice of a good random seed is crucial in computer security - when a secret encryption key is pseudorandomly generated, a way to find it is to look for the seed used." "Seeden" är din passphrase men det behöver jag kanske inte säga.

 

http://en.wikipedia.org/wiki/Random_seed

 

-nisse

Beauty is in the eye of the beer holder

 

[lizardKng]

välkända säkerhetsexperter.

 

Det skulle vara intressant att veta vilka dessa välkända säkerhetsexperter är som påstår att WPA knäcks lättare om man avlyssnar "högvis" med trafik (d v s på det sätt som man knäcker WEP).

 

Det är väl så du menar?

 

Jo med det bytet är inte sant slumpmässigt

 

Att det skulle vara slumpmässigt har jag aldrig påstått.

 

Vitsen är ju att man byter så pass ofta att den vanliga insamlingsmetoden inte fungerar (som för WEP).

 

Den grundnyckel (eller vad du vill kalla det) ska vara så pass slumpmässig att den inte kan gissas på annat sätt än att prova alla möjliga kombinationer. Att gissa alla kombinationer av ett 20 tecken långt ord är inte en framkomlig väg, i alla fall inte under den tid vårt solsystem kann tänkas leva.

 

Räkna själv på hur många kombinationer du måste testa per sekud för att plöja igenom alla ord på 20 tecken under säg 10 år. Om man enbart använder sig av alfanumeriska tecken (säg 65 tecken) blir det

 

65^20 kombinationer. På 10 år blir det 5,7*10^27 kombinationer/sekund. När apparaten är uppfunnen som mäktar med det kommer nog inte WPA att vara intressant annat än för arkeologer i nån annan civilisation från nån annanstans i universum.

 

[NWM]

Det skulle vara intressant att veta vilka dessa välkända säkerhetsexperter är som påstår att WPA knäcks lättare om man avlyssnar "högvis" med trafik (d v s på det sätt som man knäcker WEP).

För det första så är tekniken för att knäcka inte alls samma som för WEP (som är ohyggligt enkelt att knäcka, även jag klarar det).

 

Det är egentligen inte mängden data i sig som är det intressanta (så som jag har förstått det) utan mängden känd data (vilken i viss mån ökar med datamängd) och hur ofta den upprepas. Känd data är utöver viss data i header saker som "knäckaren" känner till om de data som går över nätet t ex om vi lyssnar på IDG:s WLAN så kan vi utgå från att strängen "Mikrodatorn" återkommer (förvisso krypterad på olika sätt). Knäckaren har alltså kännedom om en liten del av data och om den algoritm som används för att från "passphrase" generera slumpmässighet till krypteringen.

 

Just kännedomen om algoritmen är kritisk, t ex pokersajter hade tidigare problem men just detta då det inte fanns/finns så många olika att välja mellan (visst kan man skriva en egen men det för med sig andra problem) och deras data upprepade sig. Pokersajter och deras säkerhet är inget som jag har fördjupat mig i men jag tror att man har "löst" problemet med ökad nyckellängd. Så länge nyckellängd < datalängd så är det teoretiskt knäckbart, sedan är det en annan sak att nyckeln inte behöver förlängs proportionellt mot datamängd för att behålla samma säkerhet.

 

Observera att min "förklaring" kanske skulle passa bättre i aftonbladet. Vad gäller referenser/länkar så skall jag försöka att plocka fram några. Jag blev intresserad av frågan när vi för ca ett år sedan diskuterade hur tillvida det var lagligt att använda andras oskyddade nät och de finns sedan länge inte bland mina bokmärken men de går att hämta från bkp.

 

 

-nisse

Beauty is in the eye of the beer holder

 

[Abhor]

Det var jätteintressant att läsa detta. Är det någon som har länkar till några bra sidor med information hur säkerheten i wlan går till och de andra sakerna som har diskuterats i den här tråden? Jag skulle uppskatta det jättemycket om de skulle kunna postas här.

 

Några korta frågor bara för att kolla så att jag har fattat rätt.

Om jag använder mig av dolt SSID, WPA och MAC-filtrering så kommer ingen in i mitt nät förutsatt att rätt info finns?

Med ovanstående skydd så kan någon med rätt kunskaper snappa upp data som skickas mellan min dator och router, men den personen kan inte tolka vad som skickas?

Passphrasen, används den bara som "kodord" så att förbindelsen mellan datorn och routern kan upprättas, och sedan krypteras datan på nytt sätt efter det? I så fall, byts krypteringen efter hand, så att om jag skickar exakt samma data vid två olika tillfällen (tex några dagars mellanrum) så ser den olika ut utan att jag behöver byta passphrase?

Rekomenderas det att byta passphrase efter hand?

 

Mvh

Stefan

 

[NWM]

Om jag använder mig av dolt SSID, WPA och MAC-filtrering så kommer ingen in i mitt nät förutsatt att rätt info finns?

Det är WPA som skapar skyddet, dölja SSID och MAC-filtrering är mycket lätta att gå förbi. WPA är mycket säkert, det som jag skrev tidigare är mer en teoretisk diskussion.

 

I så fall, byts krypteringen efter hand, så att om jag skickar exakt samma data vid två olika tillfällen (tex några dagars mellanrum) så ser den olika ut utan att jag behöver byta passphrase?

Ja den skickade datan kommer att se annorlunda ut (men det rör sig om en mycket kortare tid än några dagar).

 

Rekomenderas det att byta passphrase efter hand?

Nja, själv gör jag det inte och jag sover väldigt gott på nätterna. Men om du har tänkt att hantera försvarshemligheter och bor nära rysska ambassaden så kanske det inte skadar.

 

-nisse

Beauty is in the eye of the beer holder

 

[PPC]

lizardKng skrev:

 

För att knäcka WPA behöver du inte lyssna på några meddelanden alls. Den information som behövs för att kunna utföra en "offline dictionary based attack" skickas såvitt jag kommer ihåg åtminstone vid varje uppkoppling, kanske också vid varja byte av nyckel.

 

LizardKng har helt rätt, NVM är ute och cyklar i det här fallet. Man samlar inte en massa data för att knäcka WPA-PSK på samma sätt som vid WEP-knäckning.

 

Det enda man behöver för att knäcka WPA-PSK är de fyra EAPOL-paketen som skickas vid den första handskakningen. För att vara säker på att få tag i dem skickar man därför en deauthentication-frame och spelar sedan in handskakningen som följer med valfri protokoll-analysator, t ex Airopeek eller Ethereal. Sedan kör man en dictionary attack med CowPatty. En passphrase för WPA-PSK kan vara 8-63 tecken lång, men redan vid relativt få teckens längd pratar vi om ordlistor motsvarande många GB textfil vilket tar en bra stund att generera själv. Finns färdiga ordlistor att köpa på nätet men de flesta är för engelska språket.

-------------------------------------------------

"I was doing wireless when wireless wasn´t cool."

 

[lizardKng]

saker som "knäckaren" känner till om de data som går över nätet t ex om vi lyssnar på IDG:s WLAN så kan vi utgå från att strängen "Mikrodatorn" återkommer

 

Det här är ju såvitt jag vet en beskrivning av hur man gör för att knäcka WEP. WPA knäcker man (som jag försökt förklara) på ett helt annat sätt, se kommentaren PPC gjorde längre ner.

 

Jag kommer ihåg de äldre trådarna, det blev rätt mycket teknikaliteter då vilket var mycket intressant!

 

[lizardKng]

Tack PPC, det var så det var ja.

 

Angående längden: Jo, det rinner iväg ganska snabbt. Med långa "slumpmässiga" nycklar torde man kunna känna sig rätt säker.

 

[lizardKng]

[Edit]Var menat som en kommentar direkt till Abhor...

 

Angående SSID så rekommenderar en del t o m att sätta ett SSID som tydligt talar om var ditt nätverk är, adress eller liknande. Ungefär som att ha halsband med telefonnummer på sin utekatt, händer det något finns det ju i alla fall en möjlighet att göra något åt saken.

 

MAC-filtrering blir mer som ett skydd hemma hos dig så ingen taskig kompis kopplar in sin dator (med kabel) och gör nåt dumt, eller nåt sånt. Hmmm, kan det finnas nån annan anledning att ha MAC-filtrering?

 

Ditt trådlösa nätverk skyddas av WPA.

 

[inlägget ändrat 2006-12-18 07:49:44 av lizardKng]

[fhe]

MAC-filtrering blir mer som ett skydd hemma hos dig så ingen taskig kompis kopplar in sin dator (med kabel) och gör nåt dumt, eller nåt sånt. Hmmm, kan det finnas nån annan anledning att ha MAC-filtrering?

Eh? MAC-filtret brukar bara gälla WLAN-delen av routern så något skydd mot folk som kopplar in kablar tror jag inte du kan se det som.

 

MAC-filtret fungerar rätt bra som ett hänglås på förrådet, vill man ta sig förbi är det rätt lätt men det är ännu lättare att välja en AP som inte har något dylikt.

 

Jag brukar surfa lite med telefonen (som har wifi) när jag är ute och går med hunden på kvällen. Naturligtvis är det då inte praktiskt att snylta på de som har ett filter på MAC-adresser, de som inte har det får ibland snällt låna ut sin lina så att jag kan hämtar 200kilo aftonbladet.se (eller vad jag nu går och läser rubriker på för sajt). I det läget är MAC-adress-filter ett minst lika effektivt "skydd" som 64-bitars WEP eller något annat.

Det (eller de flesta andra) duger naturligtvis inte långt om jag skulle vilja komma åt vad som är på insidan av routern jag lånar men de som bara har ett MAC-filter kanske inte har något större behov av det (man kanske har en annan brandvägg, allt som finns på insidan kanske är en Xbox och en laptop med mjukvarubrandvägg).

 

 

[PPC]

Angående SSID så rekommenderar en del t o m att sätta ett SSID som tydligt talar om var ditt nätverk är, adress eller liknande. Ungefär som att ha halsband med telefonnummer på sin utekatt, händer det något finns det ju i alla fall en möjlighet att göra något åt saken.

 

Hmmm, kan det finnas nån annan anledning att ha MAC-filtrering?

 

Jag har faktiskt svårt att se någon fördel att skylta med vems nät det är?

 

När det gäller broadcast eller ej av SSID så kan man göra en jämförelse med låt säga en vanlig bank. Om man tar ner skylten utanför som det står "Bank" på så syns det inte direkt att det är just en bank. Men om man analyserar "trafiken", i det här fallet kunderna med bankboken i handen som går in och ut genom dörren, så klurar man rätt lätt ut att det ändå är en bank. Dvs nätverket skriker inte ut sin existens men om man tittar efter så syns det ändå. Det är bara i beacon som SSID:et inte syns när man disablar broadcast men det är fortfarande inkluderat i t ex probe requests och probe responses som lätt kan avlyssnas med lämpligt program.

 

Filtrering på MAC-adress sållar om inte annat bort obehöriga 802.11-autentiseringsförsök (ej att förväxla med 802.1x-autentisering!)

 

WPA skriver du men för de flesta hemanvändare är det egentligen WPA-PSK det handlar om för att slippa ha en RADIUS.

-------------------------------------------------

"I was doing wireless when wireless wasn´t cool, when were YOU doing it?"

 

[lizardKng]

Eh? MAC-filtret brukar bara gälla WLAN-delen av routern så något skydd mot folk som kopplar in kablar tror jag inte du kan se det som.

 

Det är väl olika då, på vår burk gäller det alla.

 

MAC-filtret fungerar rätt bra som ett hänglås på förrådet, vill man ta sig förbi är det rätt lätt men det är ännu lättare att välja en AP som inte har något dylikt.

 

Det kanske inte framgick av det jag skrev men jag menar att om man har WPA så ger inte MAC-filter nån extra säkerhet (relativt sett, som en extra tunn papdärr bakom bankvalvsdörren då).