Beste Tweakers
Ik ben mij aan het verdiepen in het beveiligen van een draadloze verbinding. Ik heb al veel informatie vergaard, maar zit nog steeds met een paar vragen die ik niet beantwoord vindt.
Wat mijn besluiten zijn over wireless security van het leeswerk dat ik al verricht heb:
- WEP (Wireless Equivalent Privacy)
Was niet bedoeld voor de volledige beveiliging van een netwerk, maar het beschermen van de gegevens tegen voorbijgangers. Clients die de gedeelde geheime sleutel niet kennen mogen geen deel uitmaken van het netwerk. Maar WEP versleuteld niet de headers, de initialiazation vector (iv), en de ID gedeelten van een 802.11-pakket. Kan veiliger worden gemaakt met AEP (Extensible Authentication Protocol), maar dit is zeer moeilijk voor SOHO gebruikers.
- RADIUS (Remote Authentication Dial-In User Service)
Is een client/server opstelling voor authenticatie, en gebruikt WEP voor data encryptie.
-WPA (Wi-Fi Protected Acces)(psk pre shared key)
Je kan op het netwerk met een wachtwoord maar de sleutel verandert steeds. Dat maakt het onmogelijk om voldoende paketten met een zelfde sleutel te sniffen en zo de key te "kraken". WPA versleutelt ook de initialization vectors (iv's). Maakt gebruik van het TKIP of AES algoritme
- WPA RADIUS
WPA maar de authenticatie gebeurt op een RADIUS server.
- Mac restricties
makkelijk te omzeilen na wat sniff-werk
- uitschakelen DHCP en acces points in en vlan of ander subnet plaatsen
Zo krijg je toch niet meteen een ip in je schoot geworpen, en subnetten of vlans garanderen een gescheiden netwerk
-IPSec of VPN
Wordt gebruikt om de data te versleutelen maar heeft geen invloed op de headers van een 802.11 pakket. Uit die headers kan dus not altijd belangrijke data worden uitgelezen en het wlan kan nog gehackt worden als WEP wordt gebruikt.
- SSID broadcast uitschakelen / Beacon frames uitschakelen / probe reply uitschakelen
Maakt het ongewenste indringers weer een stukje moeilijker. Ze moeten betere tools gaan gebruiken. (Netstumbler werkt al niet meer)
Nu loop ik tegen een aantel beweringen waarvan ik niet weet of ze juist zijn, misschien jullie wel.
1)WEP en VPN / IPSec of andere verbindingen maken het een hacker nog mogelijk om toegang te krijgen tot een wlan omdat VPN geen impact heeft op de 802.11 headers!
2)WEP met AEP, RADIUS, WPA en WPA-Radius zijn de enigen die authenticatie uitvoeren. Dus WEP en WPA voeren geen authenticatie uit! Er is een gebruikersnaam met wachtwoord en een publieke key nodig!
3)SSID's zijn op geen enkele manier echt te onderdrukken
4)WPA-PSK is de beste oplossing voor thuist, Bedrijven kunnen beter investeren in een RADIUS server in combinatie met WPA.
Tot zover mijn kennis van WLAN en Security. Hopelijk kunnen jullie mij verder helpen en zeggen of mijn 4 beweringen al dan niet kloppen.
Mvg
Thomas Smets
Ik ben mij aan het verdiepen in het beveiligen van een draadloze verbinding. Ik heb al veel informatie vergaard, maar zit nog steeds met een paar vragen die ik niet beantwoord vindt.
Wat mijn besluiten zijn over wireless security van het leeswerk dat ik al verricht heb:
- WEP (Wireless Equivalent Privacy)
Was niet bedoeld voor de volledige beveiliging van een netwerk, maar het beschermen van de gegevens tegen voorbijgangers. Clients die de gedeelde geheime sleutel niet kennen mogen geen deel uitmaken van het netwerk. Maar WEP versleuteld niet de headers, de initialiazation vector (iv), en de ID gedeelten van een 802.11-pakket. Kan veiliger worden gemaakt met AEP (Extensible Authentication Protocol), maar dit is zeer moeilijk voor SOHO gebruikers.
- RADIUS (Remote Authentication Dial-In User Service)
Is een client/server opstelling voor authenticatie, en gebruikt WEP voor data encryptie.
-WPA (Wi-Fi Protected Acces)(psk pre shared key)
Je kan op het netwerk met een wachtwoord maar de sleutel verandert steeds. Dat maakt het onmogelijk om voldoende paketten met een zelfde sleutel te sniffen en zo de key te "kraken". WPA versleutelt ook de initialization vectors (iv's). Maakt gebruik van het TKIP of AES algoritme
- WPA RADIUS
WPA maar de authenticatie gebeurt op een RADIUS server.
- Mac restricties
makkelijk te omzeilen na wat sniff-werk
- uitschakelen DHCP en acces points in en vlan of ander subnet plaatsen
Zo krijg je toch niet meteen een ip in je schoot geworpen, en subnetten of vlans garanderen een gescheiden netwerk
-IPSec of VPN
Wordt gebruikt om de data te versleutelen maar heeft geen invloed op de headers van een 802.11 pakket. Uit die headers kan dus not altijd belangrijke data worden uitgelezen en het wlan kan nog gehackt worden als WEP wordt gebruikt.
- SSID broadcast uitschakelen / Beacon frames uitschakelen / probe reply uitschakelen
Maakt het ongewenste indringers weer een stukje moeilijker. Ze moeten betere tools gaan gebruiken. (Netstumbler werkt al niet meer)
Nu loop ik tegen een aantel beweringen waarvan ik niet weet of ze juist zijn, misschien jullie wel.
1)WEP en VPN / IPSec of andere verbindingen maken het een hacker nog mogelijk om toegang te krijgen tot een wlan omdat VPN geen impact heeft op de 802.11 headers!
2)WEP met AEP, RADIUS, WPA en WPA-Radius zijn de enigen die authenticatie uitvoeren. Dus WEP en WPA voeren geen authenticatie uit! Er is een gebruikersnaam met wachtwoord en een publieke key nodig!
3)SSID's zijn op geen enkele manier echt te onderdrukken
4)WPA-PSK is de beste oplossing voor thuist, Bedrijven kunnen beter investeren in een RADIUS server in combinatie met WPA.
Tot zover mijn kennis van WLAN en Security. Hopelijk kunnen jullie mij verder helpen en zeggen of mijn 4 beweringen al dan niet kloppen.
Mvg
Thomas Smets
[ Voor 3% gewijzigd door Verwijderd op 20-11-2004 20:29 ]
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
:strip_icc():strip_exif()/u/28640/icon.jpg?f=community){kind=icon}
/u/23785/crop5dcd5c59e07f9.png?f=community)
als encryptie. Voor het gemak laat ik hier alle (semi)proprietary opties (alle verschillende vendor-specific vormen van EAP bijv.) even achterwege, dat voert wel heel erg ver./u/34216/avatar-60x60.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/6105/crop5864bdfc59eeb_cropped.jpeg?f=community)
