---

Hej
Jeg har den tvivlsomme ære af at være nørden der sætter trådløst netværk op
i vores kontorfællesskab. Jeg skitserer her kort setup-et, og håber at nogen
vil kommentere, om det er sikkert nok ift. båndbreddetyveri og
datasikkerhed. Vores internetleverandør er Cybercity.
I routeren fra Cyberciyt sidder vores trådløse Acces Point og
sender/modtager fra 10 klientmaskiner.Jeg har slået DHCP fra på routeren og
tildelt alle klientmaskiner fast LAN-ip, så man ikke kan stå nede på
fortorvet med en bærbar og få tildelt en IP.

Er vi dermed nogenlunde sikre - eller kan man stadig få adgang til vores
netværk udefra? Er der andre ændringer jeg bør foretage?

Mvh AdamH

---

"AdamH" <you.dont@need.it> crashed Echelon writing
news:apjdnl$rm7$1@news.cybercity.dk:

> Hej
> Jeg har den tvivlsomme ære af at være nørden der sætter trådløst
> netværk op i vores kontorfællesskab. Jeg skitserer her kort setup-et,
> og håber at nogen vil kommentere, om det er sikkert nok ift.
> båndbreddetyveri og datasikkerhed. Vores internetleverandør er
> Cybercity. I routeren fra Cyberciyt sidder vores trådløse Acces Point
> og sender/modtager fra 10 klientmaskiner.Jeg har slået DHCP fra på
> routeren og tildelt alle klientmaskiner fast LAN-ip, så man ikke kan
> stå nede på fortorvet med en bærbar og få tildelt en IP.
>
> Er vi dermed nogenlunde sikre - eller kan man stadig få adgang til
> vores netværk udefra? Er der andre ændringer jeg bør foretage?

Anvende et accesspoint som kan sikre at kun verificeret klienter evt. via
netkortets MAC adresse får adgang, så sikrer du dig at ingen får adgang
medmindre de kender netkortenes MAC adresse og ændrer deres eget netkort
til dette.

Anvend netkort som kan køre med min. 128bit kryptering og sørg for det er
aktiveret.

Lav evt. selv onsite tests så du tjekker hvor vidt man nu ikke har "nem"
adgang til jeres netværk og så du kan finde ud af hvor langt din
accesspoint fysisk når ud.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Hej Bjarke !

"Bjarke Andersen" <bjoeg@*spammer*bjoeg.dk> wrote in message
news:Xns92B594B4A33Cbjoegdk@130.225.247.90...
> "AdamH" <you.dont@need.it> crashed Echelon writing
> news:apjdnl$rm7$1@news.cybercity.dk:

> Anvende et accesspoint som kan sikre at kun verificeret klienter evt. via
> netkortets MAC adresse får adgang, så sikrer du dig at ingen får adgang
> medmindre de kender netkortenes MAC adresse og ændrer deres eget netkort
> til dette.

Hvordan kan man ændre sin Nic's mac ? Mig bekendt, kan man da ikke ændre sin
Nic's mac.


Med venlig hilsen

René Løweneck
www.loweneck.dk

---

Hej René,

>
> Hvordan kan man ændre sin Nic's mac ? Mig bekendt, kan man da ikke ændre
sin
> Nic's mac.
>

Det kan man sagtens. På linux, lukker man sit interface og skriver:
ifconfig eth0 hw ether aa:bb:cc:dd:ee:ff
På windows, går man ind i egenskaber for netkortet, klikker på Network
Address og skriver den ønskede MAC. F.eks. aa:bb:cc:dd:ee:ff

Med venlig hilsen
Jonas Jalling

---

ifconfig eth0 hw ether aa:bb:cc:dd:ee:ff
Ovenstående afhænger selvfølgelig af hvilket interface man vil ændre mac på.
I dette tilfælde eth0

---

Bjarke Andersen wrote:

> "AdamH" crashed Echelon writing
> news:apjdnl$rm7$1@news.cybercity.dk:
>
>
> >Hej
> >Jeg har den tvivlsomme ære af at være nørden der sætter trådløst
> >netværk op i vores kontorfællesskab. Jeg skitserer her kort setup-et,
> >og håber at nogen vil kommentere, om det er sikkert nok ift.
> >båndbreddetyveri og datasikkerhed. Vores internetleverandør er
> >Cybercity. I routeren fra Cyberciyt sidder vores trådløse Acces Point
> >og sender/modtager fra 10 klientmaskiner.Jeg har slået DHCP fra på
> >routeren og tildelt alle klientmaskiner fast LAN-ip, så man ikke kan
> >stå nede på fortorvet med en bærbar og få tildelt en IP.
> >
> >Er vi dermed nogenlunde sikre - eller kan man stadig få adgang til
> >vores netværk udefra? Er der andre ændringer jeg bør foretage?
>
>
> Anvende et accesspoint som kan sikre at kun verificeret klienter evt. via
> netkortets MAC adresse får adgang, så sikrer du dig at ingen får adgang
> medmindre de kender netkortenes MAC adresse og ændrer deres eget netkort
> til dette.

Dette er ikke en særlig god beskyttelse. Netværkspakkerne ryger stadig
gennem luften så alle med et trådløst netkort og en pakkesniffer kan
fange dem. Men da der ikke er andre ulemper ved dette end lidt ekstra
administration er det et udemærket supplement til anden sikkerhed.

>
> Anvend netkort som kan køre med min. 128bit kryptering og sørg for det er
> aktiveret.

I mange tilfælde var krypteringen på netkort og access points fra
fabrikken fejlagtigt implementeret. Dette har mange fabrikanter rettet
ved at udsende ny firmware. Du bør derfor sikre dig at alle benytter
nyeste firmware og drivre og selv opdatere dit accesspoint.
Stadigvæk er det muligt ved WEP-krypteringen at bryde den efter nogle
timers pakkeopsamling. Dog vil jeg regne med at du får sorteret næsten
alle potentielle uønskede gæster fra med 128bits WEP da man så vidt jeg
har læst skal indsamle pakker i 12-24 timer.
Ved at benytte WEP-kryptering mister du en del af båndbredden. Dette vil
du kunne undgå ved at benytte en vpn-løsning. Dette kræver dog at der
ofres en en PC på at stå og være firewall/vpn-endpoint eller at i køber
et dedikeret endpoint. I begge tilfælde er vi dog godt oppe i pris.

> Lav evt. selv onsite tests så du tjekker hvor vidt man nu ikke har "nem"
> adgang til jeres netværk og så du kan finde ud af hvor langt din
> accesspoint fysisk når ud.

Man kan også supplere med at sætte accesspointet til ikke at udsende
beacons. Det er nemlig disse pakker som programmer som netstumbler
lytter efter og derved vil mange slet ikke finde jeres netværk. Dette er
dog et problem i forbindelse med at for eksempel Windows XP benytter
disse pakker til selv at finde netværk og automatisk omkonfigurere sig
til dem.

MVH
Mads Bahrt

--
It's not ROT-13 - it's danish.

---

In article <vigv9.187392$Qk5.6593452@news010.worldonline.dk>, Mads Bahrt wrote:
>
> I mange tilfælde var krypteringen på netkort og access points fra
> fabrikken fejlagtigt implementeret. Dette har mange fabrikanter rettet
> ved at udsende ny firmware.

Sikkerheden er implementeret korrekt efter standarden fra stort
set alle fabrikanter. Fejlen ligger i den måde hvorpå Initial
Vector initialiseres efter standarden, og så det faktum at man
benytter samme nøgle til hele kommunikationen, og ikke eksempelvis
session keys som med SSL etc.

> Du bør derfor sikre dig at alle benytter
> nyeste firmware og drivre og selv opdatere dit accesspoint.

Hjælper ikke på sikkerhed, men anbefales dog alligevel.

> Stadigvæk er det muligt ved WEP-krypteringen at bryde den efter nogle
> timers pakkeopsamling. Dog vil jeg regne med at du får sorteret næsten
> alle potentielle uønskede gæster fra med 128bits WEP da man så vidt jeg
> har læst skal indsamle pakker i 12-24 timer.

Man skal indsamle 10.000-100.000 TCP/IP pakker. Det giver "interessante"
pakker nok. En pakke kan være op til 1.5k. Så man skal max have
150 Mbyte. Hvis en maskine downloader for fuld drøn på en 2Mbit
ADSL så hentes 200 kbyte/sek. dvs. 5 sekunder pr. Mbyte.
Gang med 150, og det er 750 sekunder. Med 60 sekunder/minut er det
en maskine med fuld knald på i 750/60 = 12.5 minut.

Så glem dine 12-24 timer. Man kommer langt på en time. Og hvis
man ved hvem man angriber kan man sende dem nogle store filer.

> Ved at benytte WEP-kryptering mister du en del af båndbredden. Dette vil
> du kunne undgå ved at benytte en vpn-løsning. Dette kræver dog at der
> ofres en en PC på at stå og være firewall/vpn-endpoint eller at i køber
> et dedikeret endpoint. I begge tilfælde er vi dog godt oppe i pris.

WEP kryptering bruger IKKE båndbredde af betydning. Hastighedsnedgangen
kommer typisk af, at billigt WLAN udstyr er udstyret med for dårlig en
CPU, som skal bruge tid på at kryptere/dekryptere pakken.

Derudover er der ikke noget problem i at smide et ekstra netkort
i serveren, og sørge for at anvende den til VPN endpoint, uanset
om den kører Win2k, XP, Linux eller *BSD. Man skal bare holde sig
fra PPTP som er en MS protokol, som har de samme fejl som WEP.

>> Lav evt. selv onsite tests så du tjekker hvor vidt man nu ikke har "nem"
>> adgang til jeres netværk og så du kan finde ud af hvor langt din
>> accesspoint fysisk når ud.

Det kan man da kun teste hvis man køber den antenne der er på markedet
med den kraftigste forstærkning. Alle wardrivers med respekt for sig
selv har en eller anden for for retningsorienteret antenne.

> Man kan også supplere med at sætte accesspointet til ikke at udsende
> beacons. Det er nemlig disse pakker som programmer som netstumbler
> lytter efter og derved vil mange slet ikke finde jeres netværk. Dette er
> dog et problem i forbindelse med at for eksempel Windows XP benytter
> disse pakker til selv at finde netværk og automatisk omkonfigurere sig
> til dem.

Ikke alle APs kan sættes til ikke at lave SSID broadcast.

---

"AdamH" <you.dont@need.it> wrote in message
news:apjdnl$rm7$1@news.cybercity.dk...
> Hej
> Jeg har den tvivlsomme ære af at være nørden der sætter trådløst netværk
op
> i vores kontorfællesskab. Jeg skitserer her kort setup-et, og håber at
nogen
> vil kommentere, om det er sikkert nok ift. båndbreddetyveri og
> datasikkerhed. Vores internetleverandør er Cybercity.
> I routeren fra Cyberciyt sidder vores trådløse Acces Point og
> sender/modtager fra 10 klientmaskiner.Jeg har slået DHCP fra på routeren
og
> tildelt alle klientmaskiner fast LAN-ip, så man ikke kan stå nede på
> fortorvet med en bærbar og få tildelt en IP.
>
> Er vi dermed nogenlunde sikre - eller kan man stadig få adgang til vores
> netværk udefra? Er der andre ændringer jeg bør foretage?
>
> Mvh AdamH
>
>

Det er vel interne ip du bruger 172.16.x.x, 192.168.x.x eller 10.x.x.x eller
sådanne noget...jeg vil mene det ikke er særligt sikkert!, check på MAC
addresse, og krypter. MAC adressen kan godt nok laves om, men jeg tror ikke
at det lige er det første der sker for dig (har selv udstyr der kan lave MAC
adresser)

Chr.