WEP ikke sikkert i det hele tatt

[hifiking]

Jeg hadde hørt rykter om at WEP til trådløst ikke er sikkert i det hele tatt. Så jeg tenkte jeg skulle finne ut om det var lett å finne koden til mitt wlan. Det tok meg akkurat 3 timers arbeid å finne den, inkl søking på goggle etter hvordan det skal gjøres. Skremmende, skal opp å sette på MAC filtrering nå. Det er sikkert det?

[Goophy]

Nei, mac-filter tar bare ett sekund å "cracke".

Eneste du trenger er å sniffe en pakke og clone MAC-adressen som allerede er i bruk.

WPA derimot er temmelig greit.Tar lang til å komme gjennom.

[Inc]

Jeg hadde hørt rykter om at WEP til trådløst ikke er sikkert i det hele tatt. Så jeg tenkte jeg skulle finne ut om det var lett å finne koden til mitt wlan. Det tok meg akkurat 3 timers arbeid å finne den, inkl søking på goggle etter hvordan det skal gjøres. Skremmende, skal opp å sette på MAC filtrering nå. Det er sikkert det?

hvor mange bits var nøkkelen på ??

brukte du IV (Initialisation Vector)? sekvensiel eller random?

Endret 3. mai 2005 av regga

[Jankee]

WEP med fast nøkkel tar ikkje så lang tid med Der ein kan bruke autoriseringstjenester som dermed kan skifte WEP-nøkkelen stadig så blir det ein del sikrare.

Men WPA med 128bits nøkkel og autoriseringstjeneste i tillegg så er du vel litt sikker.

[hifiking]

128 bits nøkkel. Har en D-Link 614+, tror ikke den støtter WPA. Kan man bytte MAC addresse på en PC, eller er det bare et program som lurer nettet til å tro at du har en annen MAC?

[Terrasque]

Hvis du skal ha et sikkert nett må du vel opp med noe a la VPN i tillegg.

[Goophy]

VPN og WLAN-sikkerhet har vel ikke så mye med hverandre å gjøre?

[RattleBattle]

VPN og WLAN-sikkerhet har vel ikke så mye med hverandre å gjøre?

Joa, brukes sammen det. Man bruker f.eks WPA og VPN sammen. I et slikt tilfelle får man med WPA kun kontakt med aksesspunktet, men for å få tilgang til Internett og det lokale nettverket må man gjennom en VPN-tunnel i tillegg

[Goophy]

Krever ikke det en veldig sær ruter?

Må sette opp VPN-tunnell inni ruteren da?

Kanskje det var noe å prøve ut, har jo en gammel PC jeg bruker som ruter uansett. Takk for tips.

[Terrasque]

Exactly. WEP eller MAC filtrering (eller til og med åpent nett?) inn til AP'et, og en slem firewall som bare godtar vpn tilkoblinger, og først da får man tak i nettet og internett. En ekstra fordel er at du har sentral brukerdatabase, og hver har eget brukernavn/passord.

[RattleBattle]

Testet ut Mac-filtrering nå på mitt eget nett. Tok meg ett minutt med sniffing med ethereal og en kommando i linux-konsollet. Nå surfer jeg med fake mac.

[Inc]

Testet ut Mac-filtrering nå på mitt eget nett. Tok meg ett minutt med sniffing med ethereal og en kommando i linux-konsollet. Nå surfer jeg med fake mac.

åssen foregår det, jeg tenker da på hvis routeren finner to like mac adresser, hva gjør den da?

[RattleBattle]

åssen foregår det, jeg tenker da på hvis routeren finner to like mac adresser, hva gjør den da?

Jeg ble kastet ut noen ganger, men det gikk greit. Trykke på "koble til" og var på igjen på 1 sek. Det tok litt tid mellom hver gang jeg ble koblet ut av nettet, så man kan gjøre mye f...skap på den tida.

 

Skal ikke si det helt sikkert om det var fordi det var to MAC-adresser, men det virket som det ble litt konflikt av det, men ikke av veldig stor betydning.

[Doffenduck]

MAC-sperring er noe av det sørgeligste som finnes:) Jeg vil faktisk påstå av WEP er sikrere i og med at tiden det tar å knekke WEP-nøkkel avhenger av hvor mye trafikk som går på nettet... du sier at det tok 3 timer... dette er faktisk umulig med mindre du brukte full båndbredde hele denne tiden.

 

Med MAC-filtring er det den minste sak å komme inn, både wep og mac gjør det "tyngre" å komme inn iog med at det sikkert finnes andre nett i nærheten som er enklere. WPA er bra, men gamle rutere og kort støtter ikke dette. VPN er også en mulighet, men du da bør du ha tålmod med å sette det opp, samt jeg vil tro du bør ha noe å skjule....

 

DucK

 

[Kahuna]

Hvordan var det der igjen? 128bit WEP har ca 2 mill angrepsvektorer? Dvs egentlig 21bit :!:

 

3 timer er litt lite ja, det tilsvarer 185 pakker i sekundet, men han kan jo selvfølgelig ha hatt litt flaks, evt "tilpasset" nettverkstrafikken litt for å korte ned tiden på hacket.

[Doleo]

Vitsen for meg når jeg har på wep kryptering er å vise at nettverket ikke er åpent for alle og enhver.

 

Hvis dere har så sensitiv informasjon på lokalnettet burde ikke bruke wlan i samme level.

 

Men tviler egentlig på at det er mange som har så senstiv informasjon her.

Hvis man vil lese mer om sikkerhet finnes det en del uklassifiserte dokument fra NSA på http://www.nsa.gov/snac/downloads_all.cfm?MenuID=scg10.3.1

 

Om du har en gammel pc du bruker som router kan du sette den opp som domene kontroller også slik at tilgangen til nettverket styres av den.

 

Ingen ting er umulig å "bryte" seg inn i. På 10 timer kan man finne hull i de fleste system.

Endret 22. mai 2005 av Doleo

[Kahuna]

Vitsen for meg når jeg har på wep kryptering er å vise at nettverket ikke er åpent for alle og enhver.

Veldig godt poeng. Selv svak kryptering er nok til å få "hobby-hackeren" til å prøve seg et annet sted.

 

Siden WPA stort sett er "sikkert nok" og er innebygget i alt av billig-løsninger bør du gå for det istedet for WEP hvis mulig.

 

 

Hvis du *virkelig* har ting du vil beskytte kreves tyngre saker. For eksempel et nett som overhodet ikke er koblet til internett og hvor alt går på fiber. I tillegg bør du vurdere ting som fysisk adgangskontroll, TEMPEST-trussel, konfigurasjonskontroll og sikkerhetsvurdering av de som har tilgang til systemet

[Goophy]

Hvis du *virkelig* har ting du vil beskytte kreves tyngre saker. For eksempel et nett som overhodet ikke er koblet til internett og hvor alt går på fiber. I tillegg bør du vurdere ting som fysisk adgangskontroll, TEMPEST-trussel, konfigurasjonskontroll og sikkerhetsvurdering av de som har tilgang til systemet

Hvis man har skikkelig hemmelige greier på lokalnettet vil jeg nok tro det er lurest å ta seg råd til å legge kabler.

Da er man ihvertfall 100% sikret mot angrep "utenifra" om det er et LAN.

[roac]

Veldig godt poeng. Selv svak kryptering er nok til å få "hobby-hackeren" til å prøve seg et annet sted.

Som jeg sier når jeg foreleser innen emnet: Man må bestemme seg for hvem man ønsker å beskytte seg mot.

 

Hvis du vil beskytte deg mot den utvitende (og uinteresserte) naboen, så kan MAC-filtrering, disable SSID broadcast og WEP være løsningen.

 

Hvis du vil beskytte deg mot noen som kan sine saker kan du vurdere om du stoler på WPA, men jeg vil anbefale VPN, helst med med Quarantine.