Onbeveiligd netwerk zo beveiligd mogelijk maken.

kanaal 13 of 14 gebruiken

ImmortalSoul schreef op zaterdag 24 maart 2007 @ 19:44:
[...]

Wat scheelt dat, als ik het vragen mag?

In Nederland worden meestal kanalen 1t/m11 gebruikt. En de meeste netwerkkaartensoftware vindt met de standaard instellingen die kanalen niet.

Om je veiligheid te verhogen ben je best van SSID Broadcoasting enabled te zetten. Als er 2 netwerken zijn met dezelfde naam, waarvan één met SSID Broadcasten disabled en één met SSID enabled, dan zal windows steeds op het netwerk met SSID enabled gaan.

En gebruik WPA in plaats van WEP.

MAC-filtering is ook maar een halve oplossing. Iedereen die een beetje iets van netwerken kent omzeilt dit direct.

En DHCP uitzetten dient ook tot niet veel. Een beetje traffiek-analyse leert je direct wat de gateway in je netwerk is.

Het enige dat je echt kunt doen is je netwerk met WPA beveiligen. WEP is vrij makkelijk te kraken. Je vindt daar trouwens makkelijk tutorials voor op het net.

WEP is eigenlijk meer dan genoeg.
Bang dat er hackers in de buurt wonen ofzo?

Zelfs als je SSID uit zet blijft de AP uitzenden

Uh. Zet gewoon WPA(2) aan evt. met een MAC filter. SSID broadcasting uitzetten en al die andere onzin is compleet kansloos qua security. Maak je het jezelf lastiger mee, maar een haxx0rer niet echt.

[ Voor 18% gewijzigd door CyBeR op 24-03-2007 20:19 ]

Tja. de dingen die je al gedaan hebt helpen gewoon niet. Je hebt die WPA of desnoods WEP beveiliging gewoon nodig, dus daar zul je je op moeten concentreren.

MAC Filter is leuk tegen buren die niet weten hoe hun draadloos netwerk werkt, maar doet er verder echt niet toe. Een MAC adres is zo gespoofed, en bovendien standard practice.

SSID Broadcasting en die WEP key als SSID werkt net zo min. Een SSID wordt onbeveiligd verstuurd door de ether. Dus zodra jouw computer 1 pakketje verstuurd weet ik dat er een netwerk zit, inclussief de naam ervan. Je maakt het jezelf alleen moeilijker, aangezien Windows je netwerk nu niet kan vinden. De meeste hackers doen toch amper/niets met een SSID Broadcast.

Een ander kanaal selecteren is leuk, maar wat heb je eraan... Kanaal 1/13 zijn toegestaan in Europa. De meeste WIFI kaarten pakken die kanalen. Soms heb je er eentje die kanaal 12/13 niet kan pakken. Maar ik kan je verzekeren dat een hacker zorgt dat ie niet zo`n brak kaartje heeft. Kanaal 14 selecteren zou ik zeker niet doen, omdat dat niet is toegestaan in Europa.

DHCP uitschakelen, dat is het enigste waar ik nog wat in zie. Het maakt het wat lastiger. Maar zorg dan wel dat je geen standaard IP adres gebruikt. Dus geen 192.168.1.1


Tja, je kunt met VPN gaan werken, maar dat vergt waarschijnlijk redelijk wat hardware. Zorg in ieder geval dat je geen gegegens verzend, tenzij je gebruik maakt van een https adres. (Dus encrypted). Al je communicatie gaat nu onbeveiligd door de lucht. Als ik een straat verderop een beetje goeie antene heb kan ik dus al je mailverkeer lezen. Kijk dus goed uit!

[ Voor 22% gewijzigd door Nijn op 24-03-2007 20:28 ]

ImmortalSoul schreef op zaterdag 24 maart 2007 @ 20:21:
[...]

SSID Broadcasting staat toch al uit, dus dan kunnen ze hem zowiezo al niet zien.

Wel degelijk. Of denk je dat je datapakketjes ook in het niets verdwijnen als je SSID niet meer gebroadcast wordt?

Het feit dat jij geen WEP/WPA netwerk kunt joinen klopt gewoon niet. Dat moet ergens een bug fijn of foute instelling, want voor zover ik het kan zien moet het gewoon goed werken.

1. Heb je wel alle updates uitgevoerd? (XP SP2).
2. Heb je het al geprobeerd zowel met Windows zero nogwattes configuration als met de drivers van je fabrikant
3. Heb je al gezocht op bekende problemen met jouw hardware/software combinatie?

Zonder WEP (Of eigenlijk WPA), is het gewoon niet veilig te krijgen omdat al je data onbeveiligd verstuurd wordt. Welke truc je ook uithaalt, die pakketjes gaan onbeveiligd de lucht in. Dan mag het nog wel lastig zijn om op een redelijke afstand in te loggen op je netwerk, omdat de antene van de AP/Router niet zo goed zal zijn, de data is met een beetje antenne goed te onderscheppen.

Wat betreft DHCP, zet die helemaal uit en laat je computers gebruik maken van een statisch IP. Op deze manier heb je nog steeds een DHCP server die het adres van je gateway uitgeeft. Dat is nou juist wat je niet wilt. De IP range die aan de clients wordt uitgedeeld doet er eigenlijk niet zo veel toe. Die gateway, daar gaat het om.

Verder, er zijn maar 2 MAC adressen die toegelaten worden. Maar als ik kwaad wil maak ik binnen een minuut gebruik van een van die 2 MAC adressen

[ Voor 6% gewijzigd door Nijn op 24-03-2007 21:02 ]

Nijn schreef op zaterdag 24 maart 2007 @ 21:01:
Zonder WEP (Of eigenlijk WPA), is het gewoon niet veilig te krijgen omdat al je data onbeveiligd verstuurd wordt.

Da's niet helemaal waar: de beveiliging kan nog een laag hoger gezet worden door alleen VPN connecties toe te laten (maar dit kost wel veel werk om in te stellen en is waarschijnlijk complexer dan WPA aan de praat krijgen) die zelf voldoende vercijferd zijn...

WPA met Radius ?

Nijn schreef op zaterdag 24 maart 2007 @ 20:21:
Tja, je kunt met VPN gaan werken, maar dat vergt waarschijnlijk redelijk wat hardware.

Er zijn zat methodes om de boel nog veiliger te krijgen. Maar TS bevind zich niet bepaald in een professionele omgeving met beveiligingsbudget. Een VPN server lijkt mij dan ook geen echte optie. Radius is misschien nog te doen met een gratis online radius server, maar de kans dat dat gaat werken als WPA zelf niet werkt...

[ Voor 50% gewijzigd door Nijn op 25-03-2007 01:15 ]

Gooi je MAC tabel eens leeg en dan een WPA key erop, dit heb ik ook wel eens gehad, daardoor deed die het niet. Give it a try!

Ey, sorry om je topic iets of wat te kapen, maar als je WPA/WEP aan hebt staan wordt data toch versleuteld verstuurd en kan je toch juist niet zomaar sniffen? Of ben ik nu gek...

Zsub schreef op maandag 26 maart 2007 @ 15:14:
Ey, sorry om je topic iets of wat te kapen, maar als je WPA/WEP aan hebt staan wordt data toch versleuteld verstuurd en kan je toch juist niet zomaar sniffen? Of ben ik nu gek...

Het is bij allebei mogelijk om de pakketjes te onderscheppen en om te zetten naar bruikbare data. Bij WEP is dat een werkje van 5 minuten maar bij WPA doe je daar veel langer over (veel langer). Maar de ts heeft geen WEP of WPA dus weer ontopic

Zsub schreef op maandag 26 maart 2007 @ 15:14:
Ey, sorry om je topic iets of wat te kapen, maar als je WPA/WEP aan hebt staan wordt data toch versleuteld verstuurd en kan je toch juist niet zomaar sniffen? Of ben ik nu gek...

Dat vind ik ook een beetje onduidelijk, hoe kan je een mac adres spoofen als je het verkeer niet kan lezen?

Overigens is het wel zo dat je met een speciaal programma en 1,5 GB aan data van het netwerk de WEP key kan vinden. Dan kan je ook het mac adres vinden, maar zonder mac adres is het ook lastiger om aan de data te komen.

[ Voor 30% gewijzigd door Mr_gadget op 26-03-2007 15:19 ]

Mr_gadget schreef op maandag 26 maart 2007 @ 15:18:
[...]


Dat vind ik ook een beetje onduidelijk, hoe kan je een mac adres spoofen als je het verkeer niet kan lezen?

Overigens is het wel zo dat je met een speciaal programma en 1,5 GB aan data van het netwerk de WEP key kan vinden. Dan kan je ook het mac adres vinden, maar zonder mac adres is het ook lastiger om aan de data te komen.

En dat verkeer kun je ook nog eens zelf genereren. Dus WEP valt weldegelijk makkelijk te kraken. Een keer dat je de sleutel weet kun je perfect het verkeer sniffen.

Mr_gadget schreef op maandag 26 maart 2007 @ 15:18:
[...]


Dat vind ik ook een beetje onduidelijk, hoe kan je een mac adres spoofen als je het verkeer niet kan lezen?

Overigens is het wel zo dat je met een speciaal programma en 1,5 GB aan data van het netwerk de WEP key kan vinden. Dan kan je ook het mac adres vinden, maar zonder mac adres is het ook lastiger om aan de data te komen.

Houd er rekening mee dat niet alle data wordt versleuteld. SSID wordt in ieder geval niet versleuteld. MAC volgens mij ook niet.