Linksys Wireless - G Access Point WAP54G - Sikkerhed

AP'et du nævner understøtter WPA-kryptering som rigtig godt alternativ til WEP-standarden. Jeg vil anbefale dig at du benytter dette i stedet. Authentication Type bør sættes til Open System, da jeg har læst mig til at dette skulle yde en bedre grad af sikkerhed.
MAC-filtrering og disabling af SSID-broadcast er en form for sikkerhed, men jeg vil næppe mene at det er tilstrækkeligt, til at yde en grad af sikkerhed som kan betragtes som værende ansvarligt i en virksomhed.

Yup.

Man kan vælge mellem WPA Radius, og WPA Pre shared Key. Jeg har dog ikke umildbart kunne læse mig til hvordan det virker.

Problemet med WEP standarden, som jeg frygter jeg også får med WPA, er at man skal kunne huske en krypterings nøgle, som absolut ikke er sigende. 

Hvordan skulle det umildbart være muligt at "hacke" et AP med MAC filtrering?

Så er vi vel ude i noget hvor man sniffer trafik. Fordi det burde jo ikke være muligt at connecte til selve AP´et. Eller?

hej, det er mange spm, og når du har været i branchen i 5 år så ved du jo det meste i forvejen. Alligevel er der flere ting hvor det er lige så meget handler om holdning som om viden. så her får du min dagsorden:
1) ændre default password til udstyret
2) disable SSID (og ændre til noget som ingen andre har) - så identificeres netværket ikke umiddelbart, og man forhindrer at ens computere kommer til at logge på naboens netværk.
3) kryptering er absolut nødvendig, uanset brugen af netværket. i går på comon.dk udtaler en mand at det tager 6-8 timer at bryde ind i et netværk med WEP-kryptering. uden kryptering vil ssid og andre væsentligt oplysninger kunne sniffes alt for let og uden særlige kundskaber. altså shared key og min 128 bit WEP-kryptering. Du bestemmet jo selv om nøgled skal være sigende, det kunne være 12345678901234567890acbdeabc eller noget andet som er let at huske men sværere at gætte end min exempel.
hacke et AP med MAC-filter: skulle kunne gøres med en alm sniffer og lidt experimenteren. nogle netværksenheder tillader at klone MAC-adresser, så der er ikke meget sikkerhed i det alene. klart at man ikke kan connecte til selve APen direkte, men når først IPrange og en enkelt MAC-adresse er sniffet så er der fri adgang hvis der ikke er kryptering.
mht firewall i XP, så ville jeg da slå den til, det burde være muligt alligevel at få netværket til at køre.

Hej MR. Mox.

Tak for dit svar. Som du siger er det lige så meget holdning, som viden. Plus at Branchen er bred. Og IT sikkerhed er ikke det jeg har bevæget mig mest i. Jeg har kørt en del som Konsulent, i starten på Hardware siden, montering af Rack, servere osv. Fejlfinding osv. både 1 og 2 level support. osv osv osv.

Så jeg er taknemmling for de svar jeg får.

1) Den har jeg på min dagsorden.
2) Enig.

3)ok. Det var så her jeg var i tvivl. Om HVOR vigtigt kryptering egentlig er. Hvis jeg sætter WEP kryptering på, i 128bit, og sætter en Pass Phrase. Så danner den selv 4 WEP Key`s. Dem kan jeg så ændre selv, hvis jeg gerne vil ha noget der kan huskes.

Men jeg kan ikke få dem til at æde. Hvad er kriteriet for en 128bit WEP key?

mht MAC, så er der jo som du siger desværre rigt rum for at kopiere en mac, og tildele en netværks enhed, og så er man inde.

Mht FW, så er det bare så "dejlig nemt" at disable møget. Jeg synes desværre bestemt ikke det er særlig nemt at have med at gøre i XP. Men jeg må helre sætte mig ned og bruge lidt tid på at få den konfigureret op.

med programmet netstumbler kan du se alle netværk krypterede eller ej. Du kan også se ssid'et og så kan du jo bare gå i gang med at clone mac adresser til der er hul igennem så har du hacket det netværk, der er uden sikkerhed.

Derfor bør du som minimum have WEP 128 bit og hvis maskinerne køre XP ville jeg vælge WPA kryptering.

J;-)

I see. Godt input.

Hvordan virker WPA kryptering? Og hvordan skal det sættes op? Kan nogen forklare det, eller henvise til noget materiale.

Det som linksys selv har er ubrugeligtb

kriteriet for en WEP-nøgle er ikke andet end at de skal være ens på de forskellige enheder (og hvis det er hexadecimal, hvilket det ofte er, kan du kun bruge 0-9 og a-f)
jeg har dog oplevet at jeg for at få enheder på netværk først skulle skabe forbindelse uden kryptering, og derefter slå kryptering til på både AP og netkort.
WPA: http://compnetworking.about.com/cs/wirelesssecurity/g/bldef_wpa.htm

kriteriet for en 128 bit wep kryptering er i alt 13 tal og bogstaver. (hvis du bruger passphrase, og den samme kode burde du kunne sætte in dpå computere pda uden problemer.)

du kan ikke bruge WPA hvis du ikke køre XP og fuldt opdaterede PDA hele vejen rundt da wpa f.eks. ikke er i win2k.

Ok. Rigtig godt.

Mht WPA, så har jeg umildbart XP på de aktuelle klienter. DOG kan det blive et problem i forhold til PDA`ere og gæste pc`ere. Så det må jeg se nærmere på.


Dvs hvis jeg laver SSID Brodcast disabled, mac adresse blokering, og WEP-KEY er jeg så rimeligt stillet?

jep, det sammen med at ændre standard passwords er netop det som anbefales her:
http://www.videnskabsministeriet.dk/fsk/div/itsoejlen/Traadlosenetvaerk.pdf
og især http://www.videnskabsministeriet.dk/fsk/div/itsoejlen/sikkerhedtraadlos.pdf

Hey

Hvis jeg sætter passphrase til : 123456789abcd

Så siger den at længden af den er forkert.

Why?

Kan i forklare hvorfor at man skal køre med Open autentication?

passphrase burde ikke have noget at sige, der kunne du skrive: dronningdagmar
hvis du udfylder din key direkte skal den have bestemt længde, og det der ligner en 64 bits kryptering. 128 bit er dobbelt så lang. en hexadecimal værdi består af to cifre
open autentication? tjek den her artikel - kunne kun finde den i googles cache. shared key er langt at foretrække www.microsoft.com/technet/community/columns/cableguy/cg1202.mspx+open+authentication+wireless&hl=da" target="_blank">http://www.google.dk/search?q=cache:Vy4rEO0kwVMJ:www.microsoft.com/technet/community/columns/cableguy/cg1202.mspx+open+authentication+wireless&hl=da

om man skal bruge shared key eller open system tjaaa mange oplever en mere stabil forbindelse hvis man bruger open system, hvor man har forvalgt koden og sat dem ind på både AP og computer (det er shared key).men man kan også vælge den uden open system men også med forvalgt kode, den er nemmere at bryde ind, da router så sender koden ukrypteret og så skal klient sende korrekt krytering tilbage, så det kan brydes hurtigere.

i See. Før stod den på Auto. Da den var fabriks konfigureret.

Hvis jeg kører med shared key, så taler vi om WPA, går jeg ud fra.

I WPA sætter jeg en key på access pointet, som kører med en key renewal på 300sec hvis man kører med standard TKIP settings.

Men når jeg definerer denne key på klienten, så tager den ikke forbindelsen.

Klienten jeg bruger nu er en XP pro, med SP2

vælg den næste på listen der skulle du kunne gøre således at den ikke udløber ;)

hvis jeg på AP`et vælger WPA-Pre shared Key.

Og TKIP, og sætter navnet på Key`en. og yderligere sætter authentication til Shared key.

Så skal jeg på pc`en under det gældende AP, sætte ....

bla bla never minde. Nu virker det pludselig (0:

thanks haha

Virker dette kun på en XP Pro?

Nu har jeg lige ville teste det på en XP home, og der er ikke mulighed for at vælge WPA shared key?

ja xp-home er slet ikke beregnet til netværk eller trådløst netværk!

Er du sikker på at den xp-home er helt opdateret? for der er en ikke kritisk opdatering som gør noget ved WPA på xp.

skal mig og mrmox2 så ikke lige smide nogle svar.

jamn gerne svar fra mig - og fint at det virker nu

Det virker kun på XP Pro. Så jeg er nok nød til at slå WPA fra. Tror vi får for meget besvær med det ellers.

Skal ha fundet en anden løsning. Jeg er nok nød til at bruge en WEP Key alligevel. Men  Jeg roder stadig med at få genereret en key som kan huskes.

med wep kan du jo også bruge open system og pharase! den skal være på 13 tegn eks. en sætning!

Det er meget muligt. I så fald har jeg ikke fundet ud af hvordan det skal konfigureres.

Om authentication står som Auto, Open system, eller Shared key, har umildbart ingen indflydelse på opsætningen af kryptering.

jeg er lidt i tvivl om hvad det er præcis der menes med de forskellige termer. kan I ikke lige melde tilbage om der er noget jeg har misforstået. det forekommer mig at jeg har mødt ialt tre måder at sætte 128 WEP kryptering op på: PassPhrase, ASCII og HEX. se ex:
Passphrase: danmark  (lægnde ligegyldig, bare nemt at huske, genererer selv nøgler)
ASCII: tutteerdejlig    (13 karakterer fra alfabetet)
HEX: 7475747465657264656a6c6967    (26 karakterer 0-9 og a-f)
og så er jeg enig i at opsætning af kryptering er en ting, open/shared key er en anden (kan ændres uafhængig af hinanden)

jeps fuldstændig korrekt! men normalt er ascii og passphrase normalt ens! men kan være forskellige metoder alt efter mærke.

Well hvis jeg feks sætter den til 128bit WEP kryptering, og skrive en passphrase. Så danne den nøglen ud fra denne Passphrase. Dvs selvepassphrasen er så vidt jeg kan se uden betydning. Det er de key`s der blivet dannet ud fra Passphrasen der skal bruges på klicnterne til at accesse access pointet.

Kan man ikke selv definere en key?

du vil selv lave en hex key? det kan jeg ikke lige huske om du selv kan få lov til.

Ja det er vel umildbart den eneste måde man kan få en Key der er til at huske.

Men umildbart kan det ikke lade sig gøre.

Så hvordan kan man på en sikker måde lave en "key" eller lign som man nemt kan huske. WPA ville kunne bruges, hvis alle pc´ere var XP pro.

hvis du laver den ud fra passphrase så kan du jo huske den! og på de fleste trådløse kort kan du jo også vælge at bruge passphrase så skulle det virke (det gør det ihvertfald hos mig)

Hmm i så fald ved jeg ikke hvordan det skal sættes op.

Når jeg har sat en passphrase på access pointet, hvordan indtaster jeg så samme passphrase på net kortet? Fordi den spørg efter en WEP Key og ikke en passphrase

dit indlæg 02/10-2004 20:17:39 er helt korrekt
det er forskelligt om du kan vælge "create with passphrase" eller ej, og jeg ville kun bruge det ved udstyr af samme fabrikat.
"enter key manually" har været standard de gange jeg har sat noget op.
hvis du kan få lov til at lave en ASCII-kode skal den kun være på 13, og kan være noget der er let at huske. Oftest er du nødt til at lave den i HEX, og der har du ikke så mange valgmuligheder. jeg vælger nogle gange forkortelser og gentagelser, fx:
abeabeabeabeabeabe12345678

Ok. Thanks.

Vil det sige at når vi taler pc`ere med XP Home, på et netværk uden en DC, som bare kører workgroup, hvor vi kører Linksys AP, og lidt forskellige producenter af Netkort grundet bla indbyggede kort m.m umildbart kun har WEP Key som krypterings mulighed, og at vi her ikke har mulighed for at definere vores Key selv?

Jeg går ud fra ovenstående er korrekt, jeg skriver kun for at dobbelt tjekke.

Fordi så vil jeg opgive jagten på en løsning og blot definere en WEP key i dokumentationen.

jep, sådan ser det ud
dog tænker jeg på hvad du mener med "ikke har mulighed for at definere key selv"
du har jo altid mulighed for at lave den lange i hex-format, men den er selvfølgelig irriterende at huske
god arbejdslyst med det

Ok. Så er vi enige.


Med "ikke muligt at definere key selv" mener jeg at lave en sigende sætning som feks password2004 eller Mitaccesspoint eller noget andet savl. Men er nød til at bruge noget i hex format.

Men i skal alle sammen have tak. Rart at kunne tale med folk som har lidt kendskab til hvad de taler om.


jeg deler point ud om lidt.