Draadloos netwerk beveiligen

128-bit WEP key... daar heb ik mijn verbinding mee beveiligd

Daar moet je er inderdaad eentje van kiezen.
WPA is volgens mij het veiligst.
Hoe je het moet opzetten staat waarschijnlijk wel in de handleiding die erbij kwam.

WEP (zowel 64 als 128 bit) is gekraakt, icm mac filtering houd je wel het een en ander tegen, maar echt veilig is dat niet.
WPA is tot zo verre ik weet nog niet gekraakt en de veiligste oplossing op dit moment. Het kan wel weer gezeik geven als je netwerkkaartje het niet ondersteund terwijl WEP zowat overal mee wordt ondersteund.

[ Voor 23% gewijzigd door robbert op 28-10-2005 15:18 ]

Toevallig deze link vandaag nog op GoT gevonden:
http://www.xs4all.nl/~jejansen/wireless/

(WEP is te kraken, WPA is nog niet gekraakt)

[ Voor 9% gewijzigd door trigger808 op 28-10-2005 15:19 ]

He da's mijn site

WPA-PSK moet je dus hebben. WEP is gekraakt </spuit11>

Om je key te genereren is dit een handige tool.

[ Voor 55% gewijzigd door havana op 28-10-2005 15:21 ]

WPA2, mits ondersteund door je netwerkkaart in je PC.

maar jongens toch, alles is te kragen.. boeven komen binnen als ze willen, hoe dan ook.. als we over die boeg beginnen kunnen we ook wel vermelden dat mac adressen te clonen zijn, dus ook niet uniek

Wat heeft een gemiddelde particulier te verbergen? Ik blijf gewoon lekker bij m`n 64bit WEP..

Kan aan mij liggen maar ik vind het allemaal een beetje paranoia die extra beveiliging. Thuis heb ik een prachtige voordeur met glazen ruiten. Omdat glas in te gooien is zet ik er toch ook geen stalen platen achter. Als ik een gracht om m`n huis zou graven vinden boeven het alleen maar interessanter, dan heb ik wat te beveiligen...

Vroeger had ik (vond ik) een heel mooi bureautje, ik zette dat altijd op slot.. mijn vader vroeg toen waarom ik dat deed.. als een boef binnenkomt en ziet dat het bureautje op slot is zal hij er erg graag in willen en hem desnoods slopen... om er dan achter te komen dat er maar wat pennen en papiertjes in lagen, kon hem dus beter niet op slot doen....

havana schreef op vrijdag 28 oktober 2005 @ 15:19:
He da's mijn site

ik heb het nog niet gebruikt (wel doorgelezen) maar alvast hartelijk bedankt voor de duidelijke uitleg

@ Zerveza: Als je 3 sloten op je deur hebt en je gebruikt er slechts één ben je toch ook niet lekker bezig

[ Voor 6% gewijzigd door havana op 28-10-2005 15:29 ]

Zerveza schreef op vrijdag 28 oktober 2005 @ 15:27:
maar jongens toch, alles is te kragen.. boeven komen binnen als ze willen, hoe dan ook.. als we over die boeg beginnen kunnen we ook wel vermelden dat mac adressen te clonen zijn, dus ook niet uniek

Wat heeft een gemiddelde particulier te verbergen? Ik blijf gewoon lekker bij m`n 64bit WEP..

Kan aan mij liggen maar ik vind het allemaal een beetje paranoia die extra beveiliging. Thuis heb ik een prachtige voordeur met glazen ruiten. Omdat glas in te gooien is zet ik er toch ook geen stalen platen achter. Als ik een gracht om m`n huis zou graven vinden boeven het alleen maar interessanter, dan heb ik wat te beveiligen...

Vroeger had ik (vond ik) een heel mooi bureautje, ik zette dat altijd op slot.. mijn vader vroeg toen waarom ik dat deed.. als een boef binnenkomt en ziet dat het bureautje op slot is zal hij er erg graag in willen en hem desnoods slopen... om er dan achter te komen dat er maar wat pennen en papiertjes in lagen, kon hem dus beter niet op slot doen....

Omdat WPA nou eenmaal een kleine extra moeitje is en nog niet gekraakt is in tegenstelling tot WEP. MAC adres filtering heeft inderdaad geen nut, het houd alleen pottenkijkers tegen (maar dat gaf ik al aan).

De vergelijking zou eerder zijn dat jij niet ook zomaar een zak geld op straat legt, waarom dan wel je draadloos netwerk open laten staan voor iedereen.

Je kan natuurlijk ook even hier checken voor wat je wilt doen: FAQ - Network Troubleshooting

Daar staat veel info, en ook de search. Dit is denk ik wel een beetje basic stuf. En daarbij zitten er bij je router etc. neem ik aan ook boekjes bij waar het haarfijn instaat wat je waar moet instellen en invullen...

[ Voor 7% gewijzigd door Shaggy op 28-10-2005 15:35 ]

Voor wat betreft je eerste vraag lijkt mij de laatste optie het best.

Voor wat betreft de 2e vraag levert Google op:

Er zijn twee coderingsopties voor WPA Pre-Shared Key: TKIP en AES. TKIP staat voor Temporal
Key Integrity Protocol. TKIP gebruikt een krachtigere coderingsmethode en Message Integrity
Code (MIC) om betere bescherming tegen hackers te bieden. AES staat voor Advanced
Encryption System, dat een symmetrische 128-bit gegevenscodering gebruikt.

TKIP is dus beter. Zal dit ook even toevoegen aan mijn site.

[ Voor 18% gewijzigd door havana op 28-10-2005 15:36 ]

Overdreven of niet als je wat kiest kies dan voor WPA als het ondersteund word. Als je niet beveiligd moet je ook niet zeuren als ze een keer je C schijf formateren ofzo. Lukt het je zelf niet moet je iemand er bij roepen of niet draadloos gaan werken of de risico's voor lief nemen.
Verder zijn er veel mensen die nog niet eens de standaard dingen aanpassen zoals het ww van de router. Is leuk als je WEP en WPA aanzet maar de inlog van je router ongemoeid laat dan ben ik zo binnen en zet het hele zooitje in je router uit en zorg dat ikzelf kan internetten en jij niet.
Standaard IP wijzigen van de router
Inlog ww veranderen
SID naam wijzigen
Wireless managen van de router uitzetten
Eventueel sid broadcast uitzetten
Firewall van de router aanzetten
WPA+PSK aanzetten
Dan ben je al een heel eind.

@ woodywood: over dat routerpassword daar heb je gelijk in, maar een beetje router is niet wireless te configgen.

Standaard IP van de router wijzigen heeft geen enkele zin.

havana schreef op vrijdag 28 oktober 2005 @ 15:44:
@ woodywood: over dat routerpassword daar heb je gelijk in, maar een beetje router is niet wireless te configgen.

Standaard IP van de router wijzigen heeft geen enkele zin.

Is idd slim om uit tezetten. (Dat wireless config bedoel ik)

Bij veel merken kan het niet eens. Je kunt het dus ook niet aanzetten

robbertkrebbers schreef op vrijdag 28 oktober 2005 @ 15:31:
[...]

Omdat WPA nou eenmaal een kleine extra moeitje is en nog niet gekraakt is in tegenstelling tot WEP. MAC adres filtering heeft inderdaad geen nut, het houd alleen pottenkijkers tegen (maar dat gaf ik al aan).

De vergelijking zou eerder zijn dat jij niet ook zomaar een zak geld op straat legt, waarom dan wel je draadloos netwerk open laten staan voor iedereen.

De vergelijking van 3 sloten of 1 gaat nog wel iets op.. maar die zak geld snap ik niet zo.

Door het over een zak met geld te hebben zou er op duiden dat mijn gegevens erg waardevol zijn... voor mij wel, maar voor een ander.??

Daarnaast, dat WEP gehacked is.. vertelt google me ook, maar om van die exploit gebruik te kunnen maken moet je een guru zijn op het gebied van linux/wifi en die zijn er niet zoveel.

havana schreef op vrijdag 28 oktober 2005 @ 15:49:
Bij veel merken kan het niet eens. Je kunt het dus ook niet aanzetten

Das best goede zaak. Waarschijnlijk zijn dat toch de buget routers/AP's.

@Zervesa
Dat is idd zo. Daarom is voor huis gebruik WEP 64 bits al voldoende. Met een simpele MAC beveiliging hou je de noob-buren al buiten.

Welke router heet de TS eigenlijk?

[ Voor 69% gewijzigd door My-life op 28-10-2005 15:58 ]

Als je router het ondersteunt, is MAC-adres beveiliging ook een goede optie toch?

Dat ondersteunen 95% van alle routers en 100% van alle routers die nu verkocht worden. Zelfs Sweex

Daarnaast, dat WEP gehacked is.. vertelt google me ook, maar om van die exploit gebruik te kunnen maken moet je een guru zijn op het gebied van linux/wifi en die zijn er niet zoveel.

Dat valt nogal mee. Zoek maar eens op 'wardriver' en je kunt zo een tooltje downloaden. Compleet met Nederlandstalige uitleg erbij. Kijk bijvoorbeeld dit artikel van Planet.

[ Voor 76% gewijzigd door havana op 28-10-2005 16:13 ]

Ik snap die waarom je een slechtere beveiliging (WEP) zou gebruiken als er momenteel een betere mogelijk is (WPA). Als je apparatuur geen WPA ondersteund is het natuurlijk een ander verhaal en zul je toch WEP moeten gebruiken maar als het wel wordt ondersteund waarom zou je het dan niet gewoon aanzetten

Ik heb gewoon niet graag dat andere mensen gebruik "kunnen" maken van mijn internetverbinding en toegang kunnen krijgen tot mijn netwerk. Daarom zorg ik gewoon dat ik de momentele beste beveiliging gebruik die er zonder al te veel extra moeite mogelijk is.
Om die reden draai ik ook een secure imap server en een ssh server ipv een telnet server. Het kost nauwelijks extra moeite en geeft een stuk meer zekerheid.

RagingR2 schreef op vrijdag 28 oktober 2005 @ 15:59:
Als je router het ondersteunt, is MAC-adres beveiliging ook een goede optie toch?

MAC filtering is niet eens een beveiliging te noemen. MAC adressen zijn zo te faken en je kan ook zo uit vinden welke MAC adressen er wel gebruik van mogen maken, welke jij vervolgens kan faken.

[ Voor 25% gewijzigd door robbert op 28-10-2005 16:19 ]

Hmm... nou ja ik zal het zelf voorlopig iig nog effe met WEP + MAC beveiliging moeten doen, want WPA wordt op mijn router niet ondersteund volgens mij.

Welke heb je? Firmware up-to-date?

En als hij echt geen WPA ondersteund dan moet je een server neerzetten en dan alleen uitgaande verbindingen accepteren die voldoen aan een cert (CACert, VeriSign, etc). Via OpenVPN een tunnel bouwen en dan kunnen ze pas je gewone netwerk benaderen.

Maar nou serieus: Firmware updaten. Of je doet iets fout. Als je ergens WPA op je router ziet staan dan ondersteund hij het iig wel (zou moeten ).

havana schreef op vrijdag 28 oktober 2005 @ 15:35:
Voor wat betreft je eerste vraag lijkt mij de laatste optie het best.

Voor wat betreft de 2e vraag levert Google op:


[...]


TKIP is dus beter. Zal dit ook even toevoegen aan mijn site.

Niet alles wat op internet staat is waar, TKIP is cryptografisch gezien inferieur aan AES.

Niet voor niets dat WPA2 op AES is gebaseerd.

[ Voor 8% gewijzigd door Verwijderd op 28-10-2005 21:09 ]

Hmmm volgens mij is WPA ook gekraakt, je kan ook in windows IPSEC aanzetten dit verhoogt de veiligheid

Als alle communicatie beveiligd is met IPSec dan kan je wel inbreken maar kan je nog nergens bij.
Een andere keuze is met VPN te gaan werken.

In windows kan je ook aan DHCP een classid geven



hoe gebruik je class ID ?
simpel je hebt 2 DHCP servers (nodig)
bv een wireless router
1 windows DHCP server

de wireless router geeft de range 127.0.0.2 t/m 127.0.0.100 uit
met als router/gateway/dns server adres 127.0.0.1 (zichzelf aka localhost)
dus kraakt men het wep/wpa dan weten ze nog niks over het netwerk.

hebben ze het juiste classID (dan reageert de windows DHCP server)
en krijgen ze een goed IP met de juiste adressen.
MAAR ze moeten zich ook aanmelden bij de radius server om een IPSec verbinding te kunnen maken dus ...

Verwijderd schreef op vrijdag 28 oktober 2005 @ 15:42:
Standaard IP wijzigen van de router
SID naam wijzigen
Eventueel sid broadcast uitzetten

Security through obscurity Alle 3 worden gewoon gevonden door iedere willekeurige wardrive-tool Niet dat je er jan modaal niet mee buitenhoudt, maar broadcast uitzetten is (ook) lastig voor jezelf en ip aanpassen is alleen nuttig als je dat zelf beter uitkomt, men kan toch niet in je admin (als het goed is).

SID wijzigen is wel een goede tip overigens, zo kun je je eigen netwerkje tenminste terugvinden in de lijst als je een beetje IT-buren hebt en (zeker in een flat) een stuk of 20 netwerkjes vindt

My-life schreef op vrijdag 28 oktober 2005 @ 19:38:
Welke heb je? Firmware up-to-date?

Ik heb een Draytek Vigor 2200we
Ik heb firmware versie 2.3.8.
Als er een nieuwe versie is die wel WPA ondersteunt zal ik die er eens overheen gooien.

EDIT: de 2200we dus. Ff gecheckt; nee er is geen nieuwe firmware voor; 2.3.8. is nog steeds de nieuwste versie en ik kan in mijn router menu niets over WPA vinden helaas.
Bij Wireless setup zie ik alleen:
- General Settings (kujje wireless aan/uit zetten en je SSID instellen)
- WEP Settings
- Acces Control (MAC-adres beveiliging dus).

[ Voor 39% gewijzigd door RagingR2 op 28-10-2005 23:32 ]

Mja, dit is wel duidelijk dus. Er is meer dan zat te vinden over hoe en wat de boel werkt en dit topic begint een beetje te verzanden in de eeuwige netwerk-huis analogie qua beveiliging.