---

Hvis man forestiller sig et trådløst accespoint placeret på wan siden af en
gennemsnitlig soho-router med nat. Her fra er der nat'et igennem så man kan
få adgang til ssh på en freebsd box på indersiden af routeren. På indersiden
af routeren er der endnu en router som er default gateway til en adsl
forbindelse (både for freebsd boxen og andre maskiner på det ledningsførte
lan).

WEP men ikke MAC-filter er aktivt på accesspointet.

For at få adgang til internettet skal man altså åbne en ssh-tunnel til
freebsd boxen og så komme videre ud på nettet ad den vej.

Er denne løsning sikker nok i forhold til at anvende en ægte vpn forbindelse
(f.eks. med IPsec eller lignende)?

Grunden til at der ikke benyttes en ægte vpn forbindelse (endnu) er at jeg
benytter ssh-tunnel i forvejen og der derfor skal laves ganske få ændringer
i mit setup for at få ovenstående til at virke.

---

"Kim" <ingen@mail> crashed Echelon writing
news:4020be95$0$1554$edfadb0f@dread14.news.tele.dk:

> WEP men ikke MAC-filter er aktivt på accesspointet.
>
> For at få adgang til internettet skal man altså åbne en ssh-tunnel til
> freebsd boxen og så komme videre ud på nettet ad den vej.
>
> Er denne løsning sikker nok i forhold til at anvende en ægte vpn
> forbindelse (f.eks. med IPsec eller lignende)?

WEP er meget svag i forhold til VPN.
Scenario, en hacker (selvom det jo er en cracker=anden diskussion) finder
dit netværk og skal blot sniffe ca. 1000-5000 pakker for at have din WEP
kode.

Derfor er det også en god regel at SSID ikke broadcastes, så skal personen
som ønsker at opnå adgang i forvejen vide der er et Wifi net i hans område
han kan sniffe.

MAC-filter er selvfølgelig også en god foranstaltning, men kan også
nemt brydes ved at sniffe sig frem til dit netkorts MAC adresse.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

> MAC-filter er selvfølgelig også en god foranstaltning, men kan også
> nemt brydes ved at sniffe sig frem til dit netkorts MAC adresse.


Hvad kan man bruge mac adressen til. Troede at den var defineret
hardwaremæssigt?

hilsen Lars

---

On Wed, 4 Feb 2004 13:44:08 +0100, "Lars" <hult@ingenspamtak.dk>
wrote:

>
>> MAC-filter er selvfølgelig også en god foranstaltning, men kan også
>> nemt brydes ved at sniffe sig frem til dit netkorts MAC adresse.
>
>
>Hvad kan man bruge mac adressen til. Troede at den var defineret
>hardwaremæssigt?
>

Umiddelbart er den defineret hardware-mæssigt men at forsyne et
netkort med en ny mac-adresse er ikke noget problem. Kan du opsnuse en
mac-adresse kan du "fake" dit eget netkorts mac-adresse med den du har
fundet og dermed muligvis være i stand til at connecte til et wireless
netværk, der er sat op så det kun tillader forbindelse fra bestemte
mac-adresse..

Måske en lidt rodet forklaring, men håber meningen kom igennem! :)
--
Tommy - Hader DU en reklame? --> http://www.hadereklamer.dk
E-Reklamer.dk: http://makeashorterlink.com/?T26A15582
Dollarslove..: http://makeashorterlink.com/?Q26B52182
Cashread.....: http://makeashorterlink.com/?V27B62182

---

Hej Tommy

Tak for forklaringen.

> Måske en lidt rodet forklaring, men håber meningen kom igennem! :)

Jeg forstod det nu godt.
Så er der jo ikke meget sikkerhed over mac adresserne.

Så blev man endnu en gang lidt klogere.

Hilsen Lars

---

"Bjarke Andersen" <usenet@*spammer*bjoeg.dk> wrote in message
news:Xns9485793245A0Abjoegdk@130.225.247.90...
> WEP er meget svag i forhold til VPN.
> Scenario, en hacker (selvom det jo er en cracker=anden diskussion) finder
> dit netværk og skal blot sniffe ca. 1000-5000 pakker for at have din WEP
> kode.

WEP er der også bare for syns skyld. Ideen er jo at folk ikke kommer videre
end til at forbinde til accesspointet fordi de skal gennem en ssh tunnel for
at komme videre til mit lan og på nettet.

> Derfor er det også en god regel at SSID ikke broadcastes, så skal personen
> som ønsker at opnå adgang i forvejen vide der er et Wifi net i hans område
> han kan sniffe.

Man kan sniffe direkte efter pakkerne, så det svarer vidst bare til at låse
døren for så at lægge nøglerne under måtten.

---

Bjarke Andersen wrote:
> Derfor er det også en god regel at SSID ikke broadcastes, så skal personen
> som ønsker at opnå adgang i forvejen vide der er et Wifi net i hans område
> han kan sniffe.

At disable SSID broadcast fjerner funktionaliteten i f.eks. windows
indbyggede konfigurationsutility - derimod giver det yderst begrænset
sikkerhed. Det er rigitgt at det skærer de potentielle misbrugere fra
som ville bruge Netstumbler og andre utilities der lytter efter
broadcasts, men det er efter min bedste overbevisning de samme som du
kan sortere fra ved at bruge WEP. Derimod findes der også utilities som
sniffer efter alle trådløse pakker - og disse vil ikke blive narret. Så
en kort sammenfatning: Det er ikke bøvlet værd at slå SSID Broadcast fra.

MVH
Mads

---

On Wed, 4 Feb 2004 10:54:19 +0000 (UTC), Bjarke Andersen
<usenet@*spammer*bjoeg.dk> wrote:

> Derfor er det også en god regel at SSID ikke broadcastes, så skal personen
> som ønsker at opnå adgang i forvejen vide der er et Wifi net i hans område
> han kan sniffe.

Nej. Man kan sagtens se kommunikationen, uden at kunne se, hvad
det er for et SSID, og med det rigtige værktøj og lidt tid, er
det ikke engang et problem at finde det.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark wrote:
> On Wed, 4 Feb 2004 10:54:19 +0000 (UTC), Bjarke Andersen
> <usenet@*spammer*bjoeg.dk> wrote:
>> Derfor er det også en god regel at SSID ikke broadcastes, så skal
>> personen som ønsker at opnå adgang i forvejen vide der er et Wifi
>> net i hans område han kan sniffe.
> Nej. Man kan sagtens se kommunikationen, uden at kunne se, hvad
> det er for et SSID, og med det rigtige værktøj og lidt tid, er
> det ikke engang et problem at finde det.

Hvis hverken WEP, ingen SSID BC, eller MAC filter virker. Hva' hulen gør man
så for at sikre sig ? IP Sec ?

/karsten

---

"Karsten Madsen" <6 SNABELA drosselvej PUNKTUM dk> crashed Echelon
writing news:40219df5$0$30066$edfadb0f@dtext01.news.tele.dk:

> Hvis hverken WEP, ingen SSID BC, eller MAC filter virker. Hva' hulen
> gør man så for at sikre sig ? IP Sec ?

Ja, men VPN forhindrer ikke adgang, den forhindrer blot at aflæse dataene.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

On Thu, 5 Feb 2004 01:50:47 +0000 (UTC), Bjarke Andersen
<usenet@*spammer*bjoeg.dk> wrote:

>"Karsten Madsen" <6 SNABELA drosselvej PUNKTUM dk> crashed Echelon
>writing news:40219df5$0$30066$edfadb0f@dtext01.news.tele.dk:
>
>> Hvis hverken WEP, ingen SSID BC, eller MAC filter virker. Hva' hulen
>> gør man så for at sikre sig ? IP Sec ?
>
>Ja, men VPN forhindrer ikke adgang, den forhindrer blot at aflæse dataene.

Hvad med 128bit encoding (WPA) med egen valgt nøgle? Så skulle man da
være nogenlunde sikker?
--
Tommy - Hader DU en reklame? --> http://www.hadereklamer.dk
E-Reklamer.dk: http://makeashorterlink.com/?T26A15582
Dollarslove..: http://makeashorterlink.com/?Q26B52182
Cashread.....: http://makeashorterlink.com/?V27B62182

---

"Tommy" <verndroidSLET@hotmail.com> wrote in message
news:01u32051i45vtel45lnuftm331io1sok87@4ax.com...

> Hvad med 128bit encoding (WPA) med egen valgt nøgle? Så skulle man da
> være nogenlunde sikker?

Ja, det er meget mere sikkert end wep. Man kan jo også vælge at beskytte sin
PC med personal firewall, så kan man i hvert fald ikke "bryde" ind i PC'en.
Det hjælper selvf. ikke på at en cracker teoretisk set sniffe dine passwords
til f.eks. pop3 konto mm.

---

On Thu, 5 Feb 2004 02:35:49 +0100, "Karsten Madsen" <6 SNABELA
drosselvej PUNKTUM dk> wrote:

> Hvis hverken WEP, ingen SSID BC, eller MAC filter virker. Hva'
> hulen gør man så for at sikre sig ? IP Sec ?

WPA er en mulighed på alt ordentligt udstyr i dag.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/