Är jag säker med trådlöst?

Hmmf, vad rekonmenderar ni för bra server för 1200 kr då? Ett måste är MAC-filter och WPA2-kryptering.

Många som har den lite märkliga uppfattningen att MAC-låsning är en bra lösning.

Den är helt värdelös.

Resonemanget att eftersom de flesta inte kan ta sig runt en MAC-låsning så är det en bra lösning är ju helt bakvänt. Det är inte de som inte kan ta sig runt en MAC-låsning man vill stänga ute till att börja med, dessa kan ju oftast inte orsaka någon skada ens om de vill.
De man vill stänga ute är just de som _kan_ ta sig runt en MAC-låsning.

En annan villfarelse är att de som faktist vill ta sig in på ett WLAN skulle vara intresserade av det lokala nätet...det är anslutingen mot internet man är ute efter.

Det förekommer att WLAN knäcks och används för diverse brottslig verksamhet (och nu pratar vi inte piratkopiering eller andra småbrott) och även om det sällan är svårt att visa att man sannolikt inte är skyldig så är det ändå otrevligt att ö.h.t. behöva göra det.

Dock så är det bättre att ha dålig säkerhet än att inte ha någon säkerhet alls. Eftersom det är så lätt att hitta helt oskyddade nät så är det sällan någon större mening med att krångla med skyddade nät men det betyder ju inte att det inte förekommer så om man nu försöker skydda nätet så kan man lika gärna göra det så bra som möjligt.

Jag kan hålla med om att Mac-låsning inte är nåt vidare, då allt man behöver göra för att ta sig förbi är att spofa till en mac-adress som faktiskt associerars med nätverket man försöker ansluta till.
Dock har det ett stort värde till försäljarna som kan använda det till starkt säljargument till kunder som kallar monitorn för datan. #; )

Okej, där ser man

Du råkar föresten inte veta om man kan välja bort PSK och sådan där slumpvald nyckel i denna router?

Jag är inte säker på att jag hänger med. Spoofa betyder väl att man
fejkar sin egen macadress så att man blir anonym. Däremot
kan en spoofare aldrig bli osynlig i någon annans router. Macadressering
innebär dessutom högre fart i routern. Jag är tveksam till att
någon kan sno mitt nätverskorts macadress. Hur ska det gå till?

"förklara varför"
Hastigheten blir högre eftersom krypteringen uteblir.

"Man behöver inte ens knäcka någon kryptering för att se den"
Vad jag säger är att ingen kan göra intrång i min router utan att jag
ser det. Vad har inkräktaren för nytta av min macadress?
Han kan väl inte byta den mot min egen utan att jag märker det?

Jag har talat med Netgear support idag. De bekräftar att
hastigheten blir lägre med kryptering. De tycker i likhet
med HP att macfiltrering är ett hyfsat alternativ till kryptering.

http://aguiden.com/diverse/MAC%20Adress%20Accesslist%20Guide....

Sa aldrig att man blir osynlig.
Här får en länk som förklarar vad spoofing är:
http://en.wikipedia.org/wiki/Spoofing_attack

Med spoofa menade jag helt enkelt att lossas ha en mac-adress som router/AP känner till.

Sen finns det smidiga program som visar din mac adress, i windows har du netstumbler och i linux har du kismet.

Nu förstår jag inte? Vill du köra enteprise-läget? Då behövde du ju en radius-server. Menar du om det finns någon 3:e parts firmware som innehåller det?
Troligen vet jag inte eftersom jag inte är så insatt i dgl4300, enda jag hört är att den faktiskt är bra till skillnad mot andra d-link produkter men det hjälper ju inte så mycket.

http://h41111.www4.hp.com/gomobile/se/sv/solutions/wireless_o...
http://www3.idg.se/tjanster/artikelforum/svara.asp?cid=281564...
http://eforum.idg.se/viewmsg.asp?EntriesId=785168&c=2&ErrNum=...
http://itsakerhet.fpgroup.se/arkiv/itsakerhet20050322.asp
http://www.nyteknik.se/art/28013

Aphex skrev "mac-filtrering vs. kryptering", i länkarna du posta kunde jag inte se någonstans att personer rekommenderade mac-filter istället för kryptering.
Men visst, kör du med enbart mac-filtrering om du känner att det ökar prestandan och strunta i krypteringen. #: P

Mac-filtrering är ett hyfsat alternativ till ingenting. Det är inte ett alternativ om man vill skydda sig mot någonting utöver slumpmässiga anslutningar.

Varför envisas du med att försvara en felaktig ståndpunkt? Det är som att du skulle gå till en läkare med ett 10cm långt jack i magen som du har förslutit med ett plåster där läkaren säger att du behöver sys men där du hävdar att det räcker med ett plåster och att någon på plåstertillverkarens support håller med dig.

Hej Aphex,
Din debatteknik går tydligen ut på att jag ska ta reda på om du har rätt.
Det vore klädsamt av dig om du nu presenterar några länkar
med hög status som visar att macadressering inte är ett alternativ
för en privatperson som bor i ett område som inte dräller av
hackers.
Jag har gjort ett försök men du vill uppenbarligen inte ta till
dig vad HP skriver eller vad supporten på Netgear säger.

Glöm inte förutsättningarna för Tronte som startade denna tråd.
Ska Tronte byta sitt modem eftersom det bara klarar wepkryptering?

Berätta gärna för oss noviser dina förutsättningar som privatperson.
Vad har du för utrustning, brandvägg, operativ m.m. Hur har du ställt
in din router? Berätta lite mer i detalj hur du gör för att kliva rakt in
i min dator alternativt surfa på min bekostnad.

När du presenterat din lösning för att undvika intrång kanske jag
lättare kan förstå och acceptera dina argument.

Berätta gärna hur du ser på val av brandvägg. Räcker den
brandvägg som finns i routern eller ska jag komplettera med
Windows egen brandvägg eller rekommenderar du antivirusprogrammets
brandvägg? (Ja, jag vet att dessa frågor delvis ligger utanför
Trontes frågeställning, men det kan kanske vara bra att reda
ut denna typ av funderingar).

Jag tackar på förhand för din medverkan.
Slutligen citerar jag lite av den enda länk du rekommenderat:
"Does this mean wireless networks cannot be secured, and therefore, should not be used? Not at all, but you need to take certain steps to secure your wireless network. Turn off broadcasting of the SSID. This will keep someone (including you) from just coming in range (remember the antenna I mentioned) and “seeing” your AP. Instead they will first have to configure their wireless client with the “secret” SSID so it can look for it. This will help a great deal in a home network. However, in a school setting, you are probably going to give your SSID to your users (i.e. students) who often turn out to be your biggest cracking threat".

Som sagt, vi får titta lite på de olika miljöer vi befinner
oss i och anpassa säkerheten därefter, eller hur?

1. Det var inget modem utan en trådlös router.
2. Problemet verkar inte finnas längre, för Tronte har inte kommit tillbakat och frågat mer.
Jag rekommenderade bland mina första posts att kolla in zyxels hemsida och länkade till där han kan ladda ner firmwares. Vi vet ju inte vilken zyxel-apparat han har så mer kunde jag inte ge då.
Sen visar Tronte upp den här skärmdumpen:
http://forum.sweclockers.com/showthread.php?s=&postid=6185590...
Som visar att han kan köra WPA (om han hittade det i routern eller om det kom med en firmwareuppgradering vet jag inte).
Jag försökte föreslå att plocka bort det och skriva in lösenordet igen (om han bara i routern ändrat WEP till WPA utan att ändra windowsinställningarna) och vi har inte hört av Tronte efter det.
Så tills att han (ev) kommer tillbaka och vill ha mer hjälp tycker jag ordet kan vara fritt och vi diskuttera det vi nu är så djupt inne i.

Sant, kismet hittar exempelvis dolda SSID:s (där den också säger till att SSID ifråga är dolt), jag är dock inte så säker om netstumbler kan detta.

//Anders

Hittar inte källan nu, har faktiskt letat länge.
Det var en blogg tror jag där en person tog upp de 6 värsta "säkerhetsskydden" för trådlösa nätverk, alla som gick att förbigå inom 1 minut (var iaf). Så wep var inte med men det handlar väl om tre minuter i bra fall (?).
Iaf jag har för mig läste att även om man stänger av SSID broadcast så finns det ett antal andra meddelanden som SSID-namnet är med i, därför man kan få fram det även om man har det "dolt".

Tiden det tar att knäcka ett wep skyddat nätverk beror helt på graden av krypteringen. Jag har själv lyckats knäcka 64-bitars wep kryptering på cirka 15 minuter, av dessa gick större delen av tiden till att samla "valida paket" och bara en 2-3 minuter till att faktiskt knäcka koden.
Har inte testat 256-bitars kryptering men 128-bitars går att knäcka på cirka 40 minuter.

//Anders

Tog siffran från när FBI gjorde en presentation.
Ok en agent sa där "usually it takes 5 to 10 minutes" så 3 minuter är väl lite tur också.
http://www.tomsnetworking.com/Sections-article111.php

Oj, uttryckte mig visst lite fel.

Det jag menar är, Hur kan ma göra för att välja bort PSK och använda en av routern slumpvald nyckel (som sades vara säkrare)?

Kör du inte i PSK måste du ju köra WPA-enterprise (med radius osv). PSK är ju det som används WPA-personal.

Jag tror du får fixa en väldigt slumpad nyckel själv

Råkade dock läsa lite om de här quick setup knapparna att både nätverkskort och router skulle komma överrens om en nyckel. Vilka tillverkare som har det är jag osäker på men jag hittade en knapp på routern jag hade (linksys) iaf.

Aha, ok, får fixa en egen då.

Det går med alla tecken eller? Maxlängd?

ingen av er riktigt lärda som är sugen på att skriva en faq ang. konfigurering av trådlösa nätverk? Tror att det är många som är osäkra på hur man gör och därför kör allting på "fabriksinställning"...

Jag hade en linksys WRT54G v5 över jullovet (sålde sen så men den funka bra), kostar väl 700 kr (däromkring). Jag uppdaterade till senaste firmware nästan direkt men iaf då så fanns WPA2 med.

Tack för ditt inlägg.
Jag bor i ett radhusområde. Om någon tillfälligt besöker
en av mina grannar får jag väl bjuda på att han tillfälligt
surfar på min bekostnad ;-). För han kan ju inte gärna
stå på vårt område med en dator utanför mitt hus. Det
skulle se mycket misstänkt och konstigt ut.

Jag återkommer till frågan med en dåres envishet. Om någon
nu knäcker mitt SSID, hur bär sig sedan personen åt för att
surfa på min bekostnad utan att jag märker det i "attached devices"
Kan personen ändra i min Netgearmeny etcetera?

Jag kör bara WAN och inget LAN (tror jag Kan någon
enkelt via min router komma in i min dator?

Frågorna kan bli många. Jag bad Aphex om lite detaljer i
mitt förra inlägg, men vissa svar har uteblivit.

Knäcker ditt SSID?
SSID:et är med på varje paket (källa wikipedia), någon som avlyssnar nätverk får snabbt reda på det.

Det är inte så svårt att inte se misstänkt ut, bara parkera en bil en bit bort. Räcker inte signalen så har man en extra antenn, då kan man vara så långt bort att du inte misstänker något. Och det handlar om småsummor för det (t.ex. davido.se säljer antenner).

En sådan här snubbe skulle ju inte "bo" i bilen där ute för jämnan. Hur vet du att du tittar på listan "attached devices" just då? Har du inte ändrat lösenordet till webbkonfigen så kan han ju gå in och ändra vilka inställningar han vill.

Nog har du ett LAN, om än väldigt litet, från delen i routern som adressöversätter till WAN-porten och till interna switchen och accesspunkten. Den router jag använde hade ingen (förinställd iaf) åtskilning mellan trådlösa och trådbundna klienter. Så förövaren och din dator sitter i samma LAN då, och vilka sårbarheter i Operativsystemet eller brandväggen du nu har som han kan utnyttja kan ju utnyttjas.

Jag kan inte förstå varför man vill hålla på med mac-filtrering och gömma SSID. Det måste ju vara en pain in the ass att hålla på och "attached devices"-listan och loggar om vilka som anslutit sig. Och den aspekten som man inte på något sätt (förutom högre nivå i protokollstacken, typ VPN) kan skydda sig mot, avlyssning.
Med god kryptering på så kande inte avlyssna mig (och se vad datan egentligen innebär), inte använda min uppkoppling och inte komma åt min dator.

Edit:
Vi får iaf vara överrens om att det finns två sorters wlananvändare, de som inte bryr sig så mycket om säkerheten och "det händer inte mig" principen om att någon skulle använda deras uppkoppling. Den andra som vidtar åtgärder som gör det omöjligt för någon att kunna göra något. Kan de inte göra något så kan de inte orsaka någon skada.

Ursprungligen inskrivet av blue berry

Jag återkommer till frågan med en dåres envishet. Om någon
nu knäcker mitt SSID, hur bär sig sedan personen åt för att
surfa på min bekostnad utan att jag märker det i "attached devices"
Kan personen ändra i min Netgearmeny etcetera?

Som sagt så är ditt SSID alltid synligt på ett eller annat sätt. Det i sig är inte ens menat som ett skydd utan bara som en unik identifierare för just ditt WLAN (jämför med domännamn t.ex.).

Du märker inte om någon ansluter såvida du inte sitter och tittar i "attached devices" hela tiden och även om du i efterhand märker att någon har anslutit så är det för sent. Eventuell skada är redan skedd.
Kör du med MAC-filter så ser du inte ens om någon annan ansluter eftersom det då kommer att se ut som att du själv har anslutit då den tänkte angriparen använder din MAC-adress

Jag kör bara WAN och inget LAN (tror jag Kan någon
enkelt via min router komma in i min dator?

Du har med stor sannolikhet ett LAN också...om du inte sitter med en internetansluten router som prydnadsföremål. Alla datorer som är anslutna till din router sitter anslutna på ditt/dina LAN.

Det går inte som default att ta sig in i en dator bakom en router (nu pratar vi ju om dessa NAT-burkar...inte "riktigta" routrar) på ett enkelt sätt som inte innebär att din dator tar initiativet till kontakten. Det krävs att du har öppnat för trafik till din dator och att din dator lyssnar på den eller de portarna och att det finns någon slags svaghet att utnyttja just där.

Däremot, om någon ansluter sig till ditt trådlösa nät så är de redan bakom din router och behöver således inte ta sig igenom den. Då är det mycket enklare att ta sig in i din dator också men det är inte så troligt att vår tänkta angripare skulle vara speciellt intresserad av just din dator så det är antagligen internetanslutningen han är ute efter.

Du verkar sitta och titta i attached devices-listan rätt mycket vilket förmodligen innebär att du loggar in på din router ofta (vi antar att du ivf har satt ett lösenord där). Om du gör det via WLANet och såvida du inte kör https mot routern så är det då en trivial sak att få tag i lösenordet och därmed kan vår WLAN-anslutna angripare ändra fritt i routerns inställningar om han vill.