Wat is een "veilige" wifi router

mvandek2 schreef op zondag 18 december 2005 @ 11:24:
Wat maakt een router veilig ?

Ik ken sitecom als een consumenten-merk maar zie dat MAC/IP filtering, WPA encyptie, enz. hier nu ook allemaal inzit. Deze zijn dan toch ook veilig in te zetten in een zakelijke omgeving ?

Ik wil een paar notebooks draadloos toegang kunnen geven tot het netwerk.

Mark

Jij zelf maakt de router veilig. Door MAC filtering toe te passen, broadcast ID uit te zetten, geen DHCP en een ongebruikelijke IP range te gebruiken bijvoorbeeld

Toevallig stond er een test van Wifi-routers in de C'T. De beste beveiliging van het heden is WPA2 met nog andere beveiligings maatregelen die door VisaRider genoemd worden.
Bijv. Linksys WRT54GX ondersteunt WPA2 en komt redelijk goed uit de test.

[ Voor 3% gewijzigd door Packardhell op 18-12-2005 12:44 ]

Hang hem aan je AD met iets als secure2w'. Iedere 10 minuten de wepkey automatisch laten wijzigen zonder dat iemand het merkt...

Ik geloof niet dat er iemand is die eenvoudig mijn E-tech router van 50 euro kan 'hacken'. Dit door een WPA beveiliging met een key van 20+ tekens (random), mac-filtering en SSID broadcasting uit. Daarnaast zou VPN zelfs nog een mogelijkheid zijn.

Ook is het veel eenvoudiger om gebruik te maken van faciliteiten van mijn (diverse) buren die géén enkele beveiliging hebben, of zelfs de andere buren die 'slechts' WEP encryptie gebruiken.

Moraal van deze post: zorg dat je een betere beveiliging hebt dan je buren. Maar goed, WPA2 is op het momenteel vrij veilig ja.

[ Voor 10% gewijzigd door LoneGunman op 18-12-2005 12:55 ]

Best case scenario is volgens mij:
- DHCP uit, vaste IP's in vreemde range
- MAC Filtering aan
- SID broadcast uit
- WPA2 (vereist speciale hardware waardoor het niet mogelijk is met een firmware upgrade)
- Geen pre shared key maar een koppeling met Radius server

Bovenstaand verhaal is veilig maar niet erg praktisch, in mijn ogen is de volgende configuratie een goede balans tussen praktisch en veilig:
- DHCP aan
- SID broadcast uit
- Mac Filtering aan
- WPA of WPA2 met een pre shared key die niet in een woordenboek voorkomt, zoals bijvoorbeeld de hierboven genoemde:

WPA beveiliging met een key van 20+ tekens (random)

Extra info bij Wikipedia: Wireless security

MAC-filtering en het disablen van SSID broadcast's zijn leuk, maar niet echt effectief.
Beiden zijn makkelijk op te sporen.
MAC-filtering: MAC adressen zijn te spoofen, iedereen kan zichzelf een ander mac-adres geven --> weg beveiliging.
Opvangen internetverkeer: SSID komt toch wel langs.

Het enige dat echt een beveiliging biedt is toch de WPA encryptie ( NIET WEP!!! ).

Daarnaast gewoon een firewall draaien op zo'n access point en zorgen dat ze alleen maar datgene kunnen doen wat ze moeten kunnen ( alleen poort 80 & 20,21 voor HTTP en FTP openzetten bijvoorbeeld ).

speed24 schreef op zondag 18 december 2005 @ 17:55:
Daarnaast gewoon een firewall draaien op zo'n access point en zorgen dat ze alleen maar datgene kunnen doen wat ze moeten kunnen ( alleen poort 80 & 20,21 voor HTTP en FTP openzetten bijvoorbeeld ).

Of juist die blokkeren, en alles via vpn/ssl doen.

DaPoztMaster schreef op zondag 18 december 2005 @ 17:42:
Best case scenario is volgens mij:
- DHCP uit, vaste IP's in vreemde range
- MAC Filtering aan
- SID broadcast uit
- WPA2 (vereist speciale hardware waardoor het niet mogelijk is met een firmware upgrade)
- Geen pre shared key maar een koppeling met Radius server

Bovenstaand verhaal is veilig maar niet erg praktisch, in mijn ogen is de volgende configuratie een goede balans tussen praktisch en veilig:
- DHCP aan
- SID broadcast uit
- Mac Filtering aan
- WPA of WPA2 met een pre shared key die niet in een woordenboek voorkomt, zoals bijvoorbeeld de hierboven genoemde:

[...]

Ik heb anders laatst WPA2 ondersteuning gekregen op mijn Linksys WRT54g na het updaten van de firmware.

Ik heb anders laatst WPA2 ondersteuning gekregen op mijn Linksys WRT54g na het updaten van de firmware.

Er zijn inderdaad uitzonderingen. Dan is het product op de markt gezet met een (hardwarematige) overcappaciteit wat later benut is door middel van een firmware update.