WEP en bruteforce

I&T -> NT idd

JaymzHetfield schreef op 03 september 2004 @ 21:52:
Ik vroeg me het een en ander af over WEP.
Als wardrivers toegang proberen te krijgen tot een met WEP beveiligde wifi AP, dan doen zij dit door tig miljoen encrypted packetjes te onderscheppen en de WEP code daaruit af te leiden zodra er genoeg packets gevangen zijn.

Maaaar... zo'n WEP code is als ik het goed begrepen heb OF 5 OF 13 karakters....
Is het dan niet gewoon veel sneller om zoiets brute force te doen? 5 karakters lijkt me zeker te makkelijk voor woorden want met het onderscheppen van packets ben je toch maar afhankelijk van hoeveel dataverkeer er is.

Tot zover deze gedachtendwaling... zeg ik iets zinnigs of klopt er iets niet in mijn beredenering?

Ten eerste: 5 of 13 karakters -> dit ligt niet vast.
Je kan meestal kiezen tussen Hex en ascii. Daarbij moet je ook nog eens rekening houden met de bit-lengte. Als je een wireless modem, ap of watdanook hebt dat 256 bits ondersteund, dan kan je maximaal 58 karakters ingeven (Hex modus)...
Als jij die code kan kraken laat je het me ff weten?

En daarbij duurt het testen van een string enorm lang denk ik. Als je een request om te connecten submit naar het AP, duurt dit meestal eventjes voor die de toegang ontzegt of toekent.
Daarbij zal je dus ook een progje moeten schrijven, waarbij je telkens een string kan testen en wanneer je connectie hebt, moet het progje die waarde opslaan enzovoort...

Wat ik al wel veel vernomen heb is dat WEP niet echt veilig zou zijn. Het zou beter zijn om WPA te kiezen.
Ik zie niet in waarom WPA beter zou zijn dan WEP, maar bon.

Wees gerust, ik ken weinig mensen waarvan het AP (mis-) gebruikt werd door derden. En diegene die het wel hebben meegemaakt, hadden geen enkele vorm van beveiliging geactiveerd...

Als je WEP en daarboven nog eens MAC-filtering activeerd, kan je volgens mij op je beide oren slapen hoor!

Wat ik al wel veel vernomen heb is dat WEP niet echt veilig zou zijn. Het zou beter zijn om WPA te kiezen.
Ik zie niet in waarom WPA beter zou zijn dan WEP, maar bon.

omdat er in WEP een ontwerpfoutje zit. vang een paar gig aan data af, gooi er een vrij verkrijgbaar algoritme overheen, en je krijgt de wep-sleutel.

met WPA kan dat (voorlopig??) niet.

WPA is gewoon automatisch de sleutel veranderen om de zoveel tijd....

Dus gewoon WEP met automatische sleutel wisseling. Dit verdedigt tegen het feit dat elke encryptie gekraakt kan worden, elke sleutel gekraakt kan worden.

Simpelweg is dat hoe langer de KEY, hoe zwaarder de encryptie ( hoe meer overhead ), en hoe langer het duurt om de breken.

Dus WPA wisselt de sleutel gewoon op een moment dat de WEP key nog niet gekraakt zou moeten zijn..redelijker wijs. Het is nog steeds niet 100% waterdicht maar een stuk moelijker te kraken dan WEP alleen!

Zodra er snellere kraak kitjes zijn die een key zouden kunnen kraken BINNEN de WPA tijd..dan moet WPA aangescherpt worden!

[ Voor 11% gewijzigd door swampy op 04-09-2004 12:24 ]

Maar zoals al eerder gezegd is: 128-bit WEP-encryptie in combinatie met een MAC-address filter zorgt ervoor dat niemand je netwerk op komt (behalve jijzelf dan he )
Als je dan ook nog een 1x in de maand je wep-key verandert, hoef je je echt nergens druk over te maken hoor

spone schreef op 04 september 2004 @ 12:33:
Maar zoals al eerder gezegd is: 128-bit WEP-encryptie in combinatie met een MAC-address filter zorgt ervoor dat niemand je netwerk op komt (behalve jijzelf dan he )
Als je dan ook nog een 1x in de maand je wep-key verandert, hoef je je echt nergens druk over te maken hoor

ben ik niet met je eens. met het downloadgedrag van mijn broertje moeten mijn ouders elke dag de key veranderen. ik heb het zelf getest met zo'n linux boot-cd

Verwijderd schreef op 04 september 2004 @ 12:36:
[...]

ben ik niet met je eens. met het downloadgedrag van mijn broertje moeten mijn ouders elke dag de key veranderen. ik heb het zelf getest met zo'n linux boot-cd

Of broertje op de kabel! Wireless IS wireless en heeft zijn snelheids limitaties, als je broertje constant volledige bandbreedte blijft zuipen haalt hij daarmee het hele netwerk naar beneden!

swampy schreef op 04 september 2004 @ 12:38:
[...]


Of broertje op de kabel! Wireless IS wireless en heeft zijn snelheids limitaties, als je broertje constant volledige bandbreedte blijft zuipen haalt hij daarmee het hele netwerk naar beneden!

dat heb ik zo ook al gezegd, maar dat boeit ze niet, ze zitten zelf namelijk wel via kabel (hebben geen wireless). verder zal het me een rotzorg wezen, ik woon daar niet meer.

maargoed, binnenkort krijgen ze 10/10 breedband, en dan gaat dat pruts adsl wifi geval toch richting kliko. dan komt er een fatsoenlijke wifi router

Verwijderd schreef op 04 september 2004 @ 12:36:
[...]

ben ik niet met je eens. met het downloadgedrag van mijn broertje moeten mijn ouders elke dag de key veranderen. ik heb het zelf getest met zo'n linux boot-cd

je kunt natuurlijk ook overdrijven. Ik weet niet hoeveel jouw broertje downoad maar er zijn echt huge veel weak packets nodig om de key te decrypten...
Wat jij zegt gaat wel op voor 64bit encryptie (daar heb je maar iets van 1 of 2 gig aan weak packets nodig).

Verwijderd schreef op 04 september 2004 @ 12:40:
[...]

dat heb ik zo ook al gezegd, maar dat boeit ze niet, ze zitten zelf namelijk wel via kabel (hebben geen wireless). verder zal het me een rotzorg wezen, ik woon daar niet meer.

maargoed, binnenkort krijgen ze 10/10 breedband, en dan gaat dat pruts adsl wifi geval toch richting kliko. dan komt er een fatsoenlijke wifi router

Ach ja, zelf heb ik wel Wireless maar het is meer voor bepaalde situaties, ik zit nog fijn via CAT6 bekabelling..op 100Mbit netwerk... he..het werkt perfect... en meer heb je niet nodig :-p

Er is niet zoiets als ongeveer veilig. Iets is veilig of onveilig ! WEP is onveilig punt. Zelfs in combinatie met MAC filters enzo. (Die zijn zo te achterhalen...) Ook authentication 802.1x zonder authentication server (RADIUS server) zou op goedkopere accesspoints een probleem kunnen vormen.

AES zou beterschap moeten brengen.

LEAP van CISCO is een light versie van PEAP security... Wel ook LEAP is weer niet veilig genoeg. De "light" versie neemt weer shortcuts in de encryptie, met als gevolg dat uw security niet waterdicht is.

Toegegeven, met WPA en LEAP moet je al een doorwinterde hacker zijn, maar om WEP keys te "kraken"... eenvoudiger dan een lekke autoband vervangen. Gewoon de juiste tools vinden en een paar drukken op de knop (bij een autoband moet je nog staan sleuren met die moersleutel ).

Verwijderd schreef op 04 september 2004 @ 13:14:
Er is niet zoiets als ongeveer veilig. Iets is veilig of onveilig ! WEP is onveilig punt. Zelfs in combinatie met MAC filters enzo. (Die zijn zo te achterhalen...) Ook authentication 802.1x zonder authentication server (RADIUS server) zou op goedkopere accesspoints een probleem kunnen vormen.

AES zou beterschap moeten brengen.

LEAP van CISCO is een light versie van PEAP security... Wel ook LEAP is weer niet veilig genoeg. De "light" versie neemt weer shortcuts in de encryptie, met als gevolg dat uw security niet waterdicht is.

Toegegeven, met WPA en LEAP moet je al een doorwinterde hacker zijn, maar om WEP keys te "kraken"... eenvoudiger dan een lekke autoband vervangen. Gewoon de juiste tools vinden en een paar drukken op de knop (bij een autoband moet je nog staan sleuren met die moersleutel ).

Ik vind dit een beetje overdreven.

Voor thuisgebruikers is WEP meer dan voldoende.
De meeste misbruiken gebeuren met open access point (die er genoeg te vinden zijn, nl 75% van al de access points).
Vooral spammers, virusscrijvers, ... kunnen hier misbruik van maken.

Een echte hacker gaat nooit een week voor een huis parkeren om je WEP te kraken met de bedoeling op jou internet te kunnen surfen...

Het is goed tegenwoordig een beetje paranoïa te zijn, maar overdrijven moet je nu ook niet...

Ik heb alleen MAC adress filtering gebruikt. Als je niet in MAC lijst staat die approved is dan zie je met een gewone windows het netwerk niet eens. Ik ben ook niet bang dat iemand er misbruik van zal maken. En zoals Avanger al zegt. Je kan ook te paranoide zijn natuurlijk.

spone schreef op 04 september 2004 @ 12:44:
[...]


je kunt natuurlijk ook overdrijven. Ik weet niet hoeveel jouw broertje downoad maar er zijn echt huge veel weak packets nodig om de key te decrypten...
Wat jij zegt gaat wel op voor 64bit encryptie (daar heb je maar iets van 1 of 2 gig aan weak packets nodig).

Helaas, maar voor 64bits zit je op ca 200-300MB, 128bit rond de 1,5GB (+-).

Vrij makkelijk te breken dus

Avenger 2.0 schreef op 04 september 2004 @ 13:22:
[...]


Ik vind dit een beetje overdreven.

Voor thuisgebruikers is WEP meer dan voldoende.
De meeste misbruiken gebeuren met open access point (die er genoeg te vinden zijn, nl 75% van al de access points).
Vooral spammers, virusscrijvers, ... kunnen hier misbruik van maken.

Een echte hacker gaat nooit een week voor een huis parkeren om je WEP te kraken met de bedoeling op jou internet te kunnen surfen...

Het is goed tegenwoordig een beetje paranoïa te zijn, maar overdrijven moet je nu ook niet...

Het is overdreven. Moet het eerste kansloze figuur nog tegenkomen die voor m'n huis gaat zitten om een beetje het draadloze netwerk te kraken

Daarnaast denk ik niet dat ze de moeite gaan nemen want rij 100 meter door en je hebt een onbeveiligd netwerk, en dat weten ze zelf ook wel. Dan zijn ze nog niet eens strafbaar ook

WeAreLegion schreef op 04 september 2004 @ 13:25:
Ik heb alleen MAC adress filtering gebruikt. Als je niet in MAC lijst staat die approved is dan zie je met een gewone windows het netwerk niet eens.

die zie je wel hoor. de enige manier om een netwerk onzichtbaar te maken in dat lijstje is ssid broadcast uitzetten.

Ik ben ook niet bang dat iemand er misbruik van zal maken. En zoals Avanger al zegt. Je kan ook te paranoide zijn natuurlijk.

sja, dat is natuurlijk heel persoonlijk

Verwijderd schreef op 04 september 2004 @ 14:02:
[...]

die zie je wel hoor. de enige manier om een netwerk onzichtbaar te maken in dat lijstje is ssid broadcast uitzetten.

[...]

sja, dat is natuurlijk heel persoonlijk

Tjah, ik heb ssid aanstaan, en toch zag hij hem niet hoor. Tis een linksys AP. Maar goed de eerste de beste moet het gewoon maar proberen

SSID Broadcast uitschakelen is geen beveiliging. In Netstumbler verschijnt je netwerk nog steeds (echter zonder naam), maar dit is eenvoudig op te lossen door kismet te runnen. WEP of WPA (al dan niet in combinatie met MAC filter) is een veel betere beveiliging, en ook de enige die je netwerk beschermt tegen ongeoorloofde toegang en afluistering (even VPN niet meegerekend).

Je maakt het alleen maar moeilijker voor jezelf want sommige draadloze kaarten werken niet met SSID broadcast uitgeschakeld en andere geven veel disconnect problemen hierdoor.

ik zeg ook niet dat het een goede beveiliging is, ik zeg wel dat je zo voorkomt dat dat standaard windows schermpje de ssid toont

Avenger 2.0 schreef op 04 september 2004 @ 16:21:
SSID Broadcast uitschakelen is geen beveiliging. In Netstumbler verschijnt je netwerk nog steeds (echter zonder naam), maar dit is eenvoudig op te lossen door kismet te runnen. WEP of WPA (al dan niet in combinatie met MAC filter) is een veel betere beveiliging, en ook de enige die je netwerk beschermt tegen ongeoorloofde toegang en afluistering (even VPN niet meegerekend).

Je maakt het alleen maar moeilijker voor jezelf want sommige draadloze kaarten werken niet met SSID broadcast uitgeschakeld en andere geven veel disconnect problemen hierdoor.

Natuurlijk kunnen ze op het kanaal meeluisteren ( er zijn er maar 11 ) en dus de WEP key kraken en de MAC spoofen..zitten ze er als nog op!

Maar Mac Filteren en WEP/WPA is redelijk veilig voor thuisgebruik. Maar in een bedrijf moet je echt daarover nog VPN gaan draaien met encryptie en certificaten! ( Radius Server? )

swampy schreef op 04 september 2004 @ 17:47:
[...]
en dus de WEP key kraken en de MAC spoofen..zitten ze er als nog op!

Voor zover ik weet is dit al een heel stuk moeilijker op een WLAN kaartje dan op een gewone kaart. Ik zal er eens wat info over zoeken

[ Voor 25% gewijzigd door spone op 04-09-2004 20:30 ]

Waarom kraken als meer dan de helft niet eens authenticatie aan heeft staan? Laatst reed ik door een straat met notebook + WiFi en de netwerknaam was zelfs postcode+het huisnummer!

spone schreef op 04 september 2004 @ 20:29:
[...]

Voor zover ik weet is dit al een heel stuk moeilijker op een WLAN kaartje dan op een gewone kaart. Ik zal er eens wat info over zoeken

Moeilijker... ja..onmogelijk..nee! En daar zit het geheim!

Daarom ook dat verificatie ingezet behoort te worden. :-)

Maar ja... dat is altijd al de zaak eigenlijk!

Zoals al eerder in dit topic gezegd door dezen of genen: zorg voor een mooie combinatie van SSID-verbergen, mac-filtering, een wep-key 128bit, en die vaak genoeg vervangen natuurlijk dus

Al gat het nogal opvallen als er iemand met een auto aan komt rijden, met een laptop gaat zitten en dan gaat proberen jouw beveiligde/verborgen netwerk te benaderen.

Trouwens, om het helemaal af te maken kun je de dhcp server in je router/ap whatever ook nog eens uitzetten en dan een niet standaard ip-range gebruiken

spone schreef op 04 september 2004 @ 20:37:
...
Al gat het nogal opvallen als er iemand met een auto aan komt rijden, met een laptop gaat zitten en dan gaat proberen jouw beveiligde/verborgen netwerk te benaderen.
...

Hoor hier zo vaak genoemd worden dat een 'boze hacker' met z'n auto voor je deur komt staan waardoor je het wel ziet als ze jou wlan gaan hacken, maar die kan ook gewoon op zijn zolderkamer blijven zitten hoor waar hij alle tijd, tools en caffeine van de wereld heeft. Ik vang hier op mijn kamer gewoon 3 - 5 netwerken van buren zonder richtantennes ofzo te gebruiken. Ik denk dat je met een goede richtantenne er zo nog wat meer te pakken hebt.

Wat aan je beveiliging doen (WPA) is dus (in mijn ogen) echt wel een must. 2 van de wlans die ik vang zijn van stdentenhuizen, het is natuurlijk een kwestie van tijd totdat daar een gast zit die het ook leuk lijkt eens op het netwerk van de buren te gluren.

[ Voor 21% gewijzigd door KnOeFz op 05-09-2004 10:30 ]

spone schreef op 04 september 2004 @ 20:29:
[...]

Voor zover ik weet is dit al een heel stuk moeilijker op een WLAN kaartje dan op een gewone kaart. Ik zal er eens wat info over zoeken

ehm, dat komt omdat al die fabrikanten van wlan kaartjes van die braque windows drivers schrijven.
een beetje h4><z0r gebruikt linux, en daar is het driveronafhankelijk, en werkt het ook altijd

edit: zo dus:

ifconfig eth0/wlan0 down
ifconfig eth0/wlan0 hw ether <mac>

[ Voor 10% gewijzigd door Verwijderd op 05-09-2004 10:52 ]

Verwijderd schreef op 05 september 2004 @ 10:48:
[...]
een beetje h4><z0r gebruikt linux, en daar is het driveronafhankelijk, en werkt het ook altijd

edit: zo dus:

ifconfig eth0/wlan0 down
ifconfig eth0/wlan0 hw ether <mac>

Was het maar zo:

flapbeast ~ # ifconfig eth1 down
flapbeast ~ # ifconfig eth1 hw ether DE:AD:BE:EF:12:45
SIOCSIFHWADDR: Input/output error

Dus ook niet alle Linux drivers ondersteunen het. (prism54 kaartje)

hmmz, nog nooit gezien

waarom staat jouw wlan kaartje gewoon als eth btw?

Verwijderd schreef op 05 september 2004 @ 11:27:
hmmz, nog nooit gezien

waarom staat jouw wlan kaartje gewoon als eth btw?

Geen idee, I blame the driver

Het heeft altijd zo gewerkt, iwconfig vindt de kaart ook netjes dus het zal wel zo horen. Mac adres via iwconfig veranderen werkt trouwens ook niet.