|
| Tådløst netværk - opsætning og sikkerhed ? Fra : Sune |
Dato : 24-01-03 08:48 |
|
Hey NG'er (XPOST dk.edb.netvaerk; dk.edb.sikkerhed)
Jeg skal sætte et trådløst netværk op for første gang. Har ingen erfaring
med det trådløse skal lige siges !
Klienten er en Cisco Aironet Wireless hvis det har noget at sige.
Accesspoint er endnu ikke købt.
Der har jo været en del snak om sikkerhed og trådløst netværk. Hvad er det
jeg skal være opmærksom på mht. det og hvad anbefales det af erfarne folk
mht. opsætning ?
Og er der nogen der kan anbefale et godt accesspoint ? (Prisen er næsten
underordnet !)
Netværket skal køre hjemme hos en medarbejder trådløst og han skal kunne
koble sig på sit arbejde som er et "fastnet" LAN. OS er Win2k.
Har læst i manualen til Cisco Aironet og for at sige det som det er : Jeg
aner ikke hvad LEAD, WEP og SSID er for en størrelse. En venlig sjæl med et
link eller en forklaring ?
Mvh,
Sune
| |
Martin K (25-01-2003)
| Kommentar Fra : Martin K |
Dato : 25-01-03 18:18 |
|
> Har læst i manualen til Cisco Aironet og for at sige det som det er : Jeg
> aner ikke hvad LEAD, WEP og SSID er for en størrelse. En venlig sjæl med
et
> link eller en forklaring ?
SSid er netværkets navn, WEP er krypteringen.
se evt mere på www.wi-fi.org
/Martin
| |
Martin K (25-01-2003)
| Kommentar Fra : Martin K |
Dato : 25-01-03 18:22 |
|
> Har læst i manualen til Cisco Aironet og for at sige det som det er : Jeg
> aner ikke hvad LEAD, WEP og SSID er for en størrelse. En venlig sjæl med
et
> link eller en forklaring ?
WEP
Basic wireless security provided by Wi-Fi. In some instances, WEP may be all
a home or small-business user needs to protect wireless data. WEP is
available in 40-bit (also called 64-bit), or in 108-bit (also called
128-bit) encryption modes. As 108-bit encryption provides a longer algorithm
that takes longer to decode, it can provide better security than basic
40-bit (64-bit) encryption.
SSID
A 32-character unique identifier attached to the header of packets
sent over a WLAN that acts as a password when a mobile device tries to
connect to the BSS. (Also called ESSID.) The SSID differentiates one WLAN
from another, so all access points and all devices attempting to connect to
a specific WLAN must use the same SSID. A device will not be permitted to
join the BSS unless it can provide the unique SSID. Because an SSID can be
sniffed in plain text from a packet, it does not supply any security to the
network. An SSID is also referred to as a Network Name because essentially
it is a name that identifies a wireless network.
| |
Allan Olesen (25-01-2003)
| Kommentar Fra : Allan Olesen |
Dato : 25-01-03 22:35 |
|
"Martin K" <mkie@FJERNDETTEtiscali.dk> wrote:
>SSID
> A 32-character unique identifier attached to the header of packets
>sent over a WLAN that acts as a password
Hm. Jeg fatter ikke, at nogen kan faa sig til at tage ordet
"password" i deres mund, naar der bare er tale om en simpel
identifikationsstreng (hvilket dog i det mindste kan laeses lidt
laengere nede i teksten).
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Peder Vendelbo Mikke~ (26-01-2003)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 26-01-03 03:19 |
|
Sune skrev:
> Og er der nogen der kan anbefale et godt accesspoint ? (Prisen er
> næsten underordnet !)
Zyxel ZyAIR B-2000 (trådløs router med 4 ports switch):
<URL: http://www.zyxel.dk/product/product_01.php?product_id=77 >
Tjek i øvrigt prisen hos edbpriser.dk, da den kan svinge fra omtrent 2000
kr. (incl. moms (det betalte jeg hos Zitech i starten af december 2002))
til 1700 kr (incl. moms) hos PROconsult:
<URL: http://www.proconsult.dk/katalog/m_net/s_net-w/netwgw/netzairb2000.html >
Muligvis kan man finde den billigere, efter TDC er begyndt at kas-
te Wireless Gateways i nakken af folk som køber ADSL (koster vistnok
500 kr. og en månedlig afgift)
Den har indbygget 802.1x som tillader op til 32 samtidige brugere, alter-
nativt kan den anvende en ekstern RADIUS-server til at validere bruger-
ne med.
Ifølge dokumentationen, som hentes hos zyxel.com sammen med sidste nye firmware, anbefales det ikke at have flere end 10 wireless
brugere på af
gangen, hvis du aktiverer WEP (den er for langsom til at kunne kryptere
trafikken med flere brugere).
Produktet har et par måneder på bagen og der er efterhånden begyndt at
dukke fornuftig dokumentation op i Knowledgebasen med eksempler på an-
vendelse af populære applikationer (det skal dog siges at TW-folk skriver
noget sjovt engelsk af og til).
Bemærk i øvrigt, at hvis du skal køre Windows XP Pro, kan du få problemer
med SP1 og 802.1x (da MS har ændret i klientprogrammellet). Det kan dog
løses ved at anvende tredieparts-software (der er links til programmerne
og yderligere beskrivelse i Knowledgebasen).
Du kan selv vælge om du vil konfigurere gennem et webinterface, Telnet,
FTP, SNMP eller DNS (den sidste er jeg ikke helt med på, men det er nok
på grund af at jeg mangler at læse de sidste 100 sider i manualen).
Fra start af, kan du kun konfigurere den fra indersiden af netværket (det
er jo rart med en fornuftig standard-indstilling hvis man skulle blive
tvunget ud i at resette boksen).
Der er indbygget DHCP-server, så det er nemt at dele f.eks. en printer.
Jeg bruger den sammen med Cisco Aironet 350.
| |
Povl H. Pedersen (26-01-2003)
| Kommentar Fra : Povl H. Pedersen |
Dato : 26-01-03 08:35 |
|
In article <b0vpba.48.2@mjoelner.aaks.aarhus.dk>, Peder Vendelbo Mikkelsen wrote:
> Sune skrev:
>
>> Og er der nogen der kan anbefale et godt accesspoint ? (Prisen er
>> næsten underordnet !)
>
> Zyxel ZyAIR B-2000 (trådløs router med 4 ports switch):
....
> Den har indbygget 802.1x som tillader op til 32 samtidige brugere, alter-
> nativt kan den anvende en ekstern RADIUS-server til at validere bruger-
> ne med.
Ifølge en kollega har den problemer hvis man kører XP service pack 1
eller nyere (altså har forsøgt at sikre sin PC). Så kører 802.1x ikke
rigtigt.
Jeg vil i stedet anbefale Cisco udstyr, og så køre LEAP.
> Ifølge dokumentationen, som hentes hos zyxel.com sammen med sidste nye firmware, anbefales det ikke at have flere end 10 wireless
> brugere på af
> gangen, hvis du aktiverer WEP (den er for langsom til at kunne kryptere
> trafikken med flere brugere).
Det er da noget skod.$
x>
> Produktet har et par måneder på bagen og der er efterhånden begyndt at
> dukke fornuftig dokumentation op i Knowledgebasen med eksempler på an-
> vendelse af populære applikationer (det skal dog siges at TW-folk skriver
> noget sjovt engelsk af og til).
>
> Bemærk i øvrigt, at hvis du skal køre Windows XP Pro, kan du få problemer
> med SP1 og 802.1x (da MS har ændret i klientprogrammellet). Det kan dog
> løses ved at anvende tredieparts-software (der er links til programmerne
> og yderligere beskrivelse i Knowledgebasen).
Men SP1 virker stadig med Cisco LEAP uden problemer så vidt jeg er
orienteret.
Jeg har selv en "usikker" 3COM Wireless Cable/DSL gateway som i dag
koster omkring 1$200 kr. Ingen 802.1x - Men den smider ikke meget
hastighed på WEP, og det er bare at køre IPSec over den, så har man
en rimelig sikkerhed.
--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.
| |
Allan Olesen (26-01-2003)
| Kommentar Fra : Allan Olesen |
Dato : 26-01-03 13:12 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote:
>Den har indbygget 802.1x som tillader op til 32 samtidige brugere, alter-
>nativt kan den anvende en ekstern RADIUS-server til at validere bruger-
>ne med.
Det er muligt, jeg misforstaar noget, men selve authenticeringen
er vel kun problem #1 med WLAN. Problem #2 er, at 108/128
bit-krypteringen kan brydes paa en almindelig PC, hvis man ikke
regelmaessigt skifter noegler.
(Vi glemmer lige, at Poul H. Pedersen i en anden traad
tilsyneladende har store problemer med at bryde krypteringen i
praksis.)
Jeg har soegt og soegt, men kan ikke finde noget, der fortaeller,
om den omtalte Zyxel (eller 802.1x i sig selv) er sikret mod
problem #2?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Peder Vendelbo Mikke~ (27-01-2003)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 27-01-03 02:56 |
|
Allan Olesen skrev:
> "Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote:
> Det er muligt, jeg misforstaar noget, men selve authenticeringen er vel
> kun problem #1 med WLAN. Problem #2 er, at 108/128 bit-krypteringen kan
> brydes paa en almindelig PC, hvis man ikke regelmaessigt skifter noeg-
> ler.
Der er muligt at indtaste 4 nøgler og der kan nemt skiftes mellem hvilken
af dem der er standard via de forskellige måder man kan konfigurere på.
Man kan sandsynligvis også automatisere skiftet ved hjælp af telnet eller
FTP, hvis man har lyst til det.
Men, mange gider nok slet ikke bruge nøgleskift, fordi bøvlethedsfaktoren
bliver for høj.
> (Vi glemmer lige, at Poul H. Pedersen i en anden traad tilsyneladende
> har store problemer med at bryde krypteringen i praksis.)
Tjoh, hvis man ser på trafikken fra en normal internetbruger, så kommer
der nok ikke voldsom trafik, som kan generere den ønskede datamængde.
Jeg bruger udelukkende WLAN til hvis jeg vil have den bærbare med i stuen
for f.eks. at læse og besvare email eller indlæg til nyhedsgrupperne (jeg
henter indlæg til en lokal news-server og læser derfra) mens jeg ser tv.
Det er meget sjældent at jeg sender indlæg og emails med det samme jeg
har skrevet dem.
Jeg vil gætte på at jeg nok overfører mellem 5 og 10 MB data på WLAN dag-
ligt. Så man skal sniffe i lang tid for at have et ordentligt grundlag at
bryde krypteringen hos mig.
> Jeg har soegt og soegt, men kan ikke finde noget, der fortaeller,
> om den omtalte Zyxel (eller 802.1x i sig selv) er sikret mod
> problem #2?
Øhm, 802.1x har da ikke noget med kryptering af gøre. Jeg går ud fra at
du mente WEP.
Her er en beskrivelse af hvordan WEP virker på B-2000:
<URL: http://zyxel.com/support/supportnote/ZyAIR_B2000/app/wep.htm >
Efter at have læst teksten et par gange, er jeg kommet i tvivl om jeg
forstår hvad de mener (jeg tror at de forsøger at beskrive, at man ind-
taster 4 nøgler og at der kan skiftes mellem dem automatisk. Det undrer
mig så hvorfor 1 af nøglerne skal være sat til at være standard-nøgle)
Her er den seneste manual på et par hundrede sider, kig i 4. kapitel:
<URL: ftp://ftp.europe.zyxel.com/ZyAIR_B-2000/document/ZyAIR_B-2000_v3.50_UsersGuide.pdf >
| |
Allan Olesen (27-01-2003)
| Kommentar Fra : Allan Olesen |
Dato : 27-01-03 18:44 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote:
>Men, mange gider nok slet ikke bruge nøgleskift, fordi bøvlethedsfaktoren
>bliver for høj.
Jeg forestillede mig da saa sandelig ogsaa en protokol med
automatisk generering og skift af noegler, saa brugeren ikke skal
opleve boevl. Jeg gaar ud fra, at det er det, Cisco's LEAP goer,
men det er ikke noget, jeg aner noget om.
>> Jeg har soegt og soegt, men kan ikke finde noget, der fortaeller,
>> om den omtalte Zyxel (eller 802.1x i sig selv) er sikret mod
>> problem #2?
>
>Øhm, 802.1x har da ikke noget med kryptering af gøre. Jeg går ud fra at
>du mente WEP.
Nej, jeg mente:
Kan den omtalte Zyxel (eller 802.1x i sig selv) goere det paa
krypteringsomraadet, som almindelig WEP mangler.
>Her er en beskrivelse af hvordan WEP virker på B-2000:
>
><URL: http://zyxel.com/support/supportnote/ZyAIR_B2000/app/wep.htm >
>
>Efter at have læst teksten et par gange, er jeg kommet i tvivl om jeg
>forstår hvad de mener (jeg tror at de forsøger at beskrive, at man ind-
>taster 4 nøgler og at der kan skiftes mellem dem automatisk. Det undrer
>mig så hvorfor 1 af nøglerne skal være sat til at være standard-nøgle)
Maaske et eller andet med initialisering, naar en ny maskine
kommer paa nettet?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Peder Vendelbo Mikke~ (14-02-2003)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 14-02-03 16:32 |
|
Allan Olesen skrev:
Beklager det sene svar, men dit indlæg fik mig til at læse op på emnet
og det blev lidt omfattende.
> "Peder Vendelbo Mikkelsen" wrote:
>> Men, mange gider nok slet ikke bruge nøgleskift, fordi
>> bøvlethedsfaktoren bliver for høj.
> Jeg forestillede mig da saa sandelig ogsaa en protokol med
> automatisk generering og skift af noegler, saa brugeren ikke skal
> opleve boevl. Jeg gaar ud fra, at det er det, Cisco's LEAP goer,
> men det er ikke noget, jeg aner noget om.
Det skulle den (Cisco LEAP) gøre (man skal vistnok også bruge Cisco
ACS), jeg har dog ikke tænkt mig at smide mit Zyxel AP ud og købe Cisco
bare fordi de har lavet en automatisk løsning, især ikke set i betragt-
ning af at mit AP kun har en bruger (mig) og at jeg muligvis kan lave
det samme med det jeg pt. har mulighed for (MS-IAS) hvis jeg skifter
til XP på den maskine der skal kunne bruge trådløs adgang.
Forhåbentligt kan man få MS-IAS til at spille sammen med AD (Active
Directory) så man kun skal lave brugeradministration et sted.
> Nej, jeg mente: Kan den omtalte Zyxel (eller 802.1x i sig selv) goere
> det paa krypteringsomraadet, som almindelig WEP mangler.
Nej, det kræver en ekstern RADIUS-server, f.eks. MS-IAS (Internet
Authentication Service):
<URL: http://microsoft.com/windows2000/technologies/communications/ias/ >
Det ser ud til at der sidder et par vidende (om MS-IAS, RADIUS, 802.1x
og 802.11b) personer i:
<URL: nntp://msnews.microsoft.com/microsoft.public.internet.radius >
På andre platforme kan man anvende freeradius:
<URL: http://www.freeradius.org/ >
> Maaske et eller andet med initialisering, naar en ny maskine kommer
> paa nettet?
Jep.
Jeg har i øvrigt skrevet til zyxel.com omkring problemet med distri-
bution af nøgler og spurgt hvornår de begynder at understøtte EAP-TLS
og EAP-TTLS (som beskrevet på:
<URL: http://zyxel.com/support/supportnote/ZyAIR_B2000/app/8021x.htm#EAPOL >
"So far, ZyXEL Wireless AP only supports MD-5 challenge authentication mechanism, but will support TLS and TTLS in the future.").
| |
Sune (27-01-2003)
| Kommentar Fra : Sune |
Dato : 27-01-03 10:29 |
|
Hey,
Takker for Jeres svar Så blev jeg da en del klogere. ( Det kunne også
kun gå een vej )
Skal dog lige ha' tjek på LEAP :
Er Cisco's LEAP en anden form (standard??) for kryptering end WEP ?
Sune
| |
Povl H. Pedersen (27-01-2003)
| Kommentar Fra : Povl H. Pedersen |
Dato : 27-01-03 23:51 |
|
In article <3e34fbe0$0$13195$edfadb0f@dread11.news.tele.dk>, Sune wrote:
> Hey,
>
> Takker for Jeres svar Så blev jeg da en del klogere. ( Det kunne også
> kun gå een vej )
>
> Skal dog lige ha' tjek på LEAP :
>
> Er Cisco's LEAP en anden form (standard??) for kryptering end WEP ?
LEAP er en Extended Authentication Protocol, hvor man ikke bruger
shared keys, men logger på individuelt (typisk med en Radius eller TACACS
brugerdatabase). Der er så i dette normalt implementeret løbende
nøgleudveksling, og dermed kan den ikke angribes effektivt.
Men RC4 krypteringen er sub-optimal. Og den anvendes stadig.
--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.
| |
Sune (28-01-2003)
| Kommentar Fra : Sune |
Dato : 28-01-03 11:26 |
|
-snip-
> LEAP er en Extended Authentication Protocol, hvor man ikke bruger
> shared keys, men logger på individuelt (typisk med en Radius eller TACACS
> brugerdatabase). Der er så i dette normalt implementeret løbende
> nøgleudveksling, og dermed kan den ikke angribes effektivt.
> Men RC4 krypteringen er sub-optimal. Og den anvendes stadig.
Fornemt - takker endnu engang
Sune
| |
Asbjorn Hojmark (29-01-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 29-01-03 23:49 |
| | |
|
|