/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Bruger du firewall privat ?
Fra : Soren Pedersen


Dato : 28-11-05 09:02

Affødt af flere tidligere tråde er jeg blevet nysgerrig:
Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
eller begge dele ?
Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)

Mvh
Søren

 
 
Asbjorn Hojmark (28-11-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 28-11-05 09:50

On Mon, 28 Nov 2005 09:02:07 +0100, Soren Pedersen <soren@munchweb.dk>
wrote:

> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?

Jeg kører både NAT og firewalling, men ikke en *personlig* firewall.

-A

Max (28-11-2005)
Kommentar
Fra : Max


Dato : 28-11-05 10:04

Hej Søren

Køre med en NAT.

Mvh Max



TDH (28-11-2005)
Kommentar
Fra : TDH


Dato : 28-11-05 10:58

NAT og Bitguard firewall på min Windows
NAT og Smoothwall på min Linux

Soren Pedersen skrev:
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?
> Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)
>
> Mvh
> Søren

Christian B. Andrese~ (28-11-2005)
Kommentar
Fra : Christian B. Andrese~


Dato : 28-11-05 11:01


Soren Pedersen wrote:
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?

Bruger den indbyggede firewall i min NetGear trådløse router.
Har desuden 128 bit WEP (ikke alle mine pc'ere kan bruge WPA endnu),
MAC filtreing og lukket de porte jeg ikke skal bruge.
Udsender ikke SSID.
Mere kan jeg vel ikke gøre

--

Christian


Kent Friis (28-11-2005)
Kommentar
Fra : Kent Friis


Dato : 28-11-05 17:06

Den 28 Nov 2005 02:00:58 -0800 skrev Christian B. Andresen:
>
> Soren Pedersen wrote:
>> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
>> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
>> eller begge dele ?
>
> Bruger den indbyggede firewall i min NetGear trådløse router.
> Har desuden 128 bit WEP (ikke alle mine pc'ere kan bruge WPA endnu),

Fart-bump (hvor lang tid tager det efterhånden at knække? 10 minutter?)

Hvor mange af dem kan køre IP-SEC?

> MAC filtreing

Spild af tid. Det tager længere tid at enable end det tager at finde
en MAC-adresse der har adgang.

> og lukket de porte jeg ikke skal bruge.

Fornuftigt.

> Udsender ikke SSID.

Igen, spild af tid.

> Mere kan jeg vel ikke gøre

Meget mere.

Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
havde du sikkert haft tid til at slå IP-SEC til i stedet for.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Asbjorn Hojmark (28-11-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 28-11-05 18:01

On 28 Nov 2005 16:05:49 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
> havde du sikkert haft tid til at slå IP-SEC til i stedet for.

Eller -- da det nu er et trådløst net -- mere oplagt WPA eller WPA2.

-A

Kent Friis (28-11-2005)
Kommentar
Fra : Kent Friis


Dato : 28-11-05 20:05

Den Mon, 28 Nov 2005 18:00:55 +0100 skrev Asbjorn Hojmark:
> On 28 Nov 2005 16:05:49 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
>> havde du sikkert haft tid til at slå IP-SEC til i stedet for.
>
> Eller -- da det nu er et trådløst net -- mere oplagt WPA eller WPA2.

Der stod jo netop at ikke alle maskiner kan køre WPA. IP-SEC burde
de til gengæld alle kunne (Win98 måske undtaget).

Er WPA bedre end IP-SEC, eller hvorfor er den mere oplagt? Jeg havde
selv en plan om (hvis jeg nogensinde får noget trådløst) at lave
den trådløse del helt åben, og så bare terminere den på et tredje
netkort i Linux'en, der kun tillader IP-SEC. Så kan eventuelle
nysgerrige personer spilde tiden på et netværk der ser ud til at
være åbent, og så få en lang næse

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Asbjorn Hojmark (28-11-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 28-11-05 20:26

On 28 Nov 2005 19:05:26 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Er WPA bedre end IP-SEC, eller hvorfor er den mere oplagt?

Det er simpelthen standarden for kryptering (og authentication) på
trådløse net, og derfor supporteret på stort set alt nutidigt trådløst
udstyr, hvilket langtfra kan siges om IPSec. Det er også meget nemmere
at sætte op.

-A
--
http://www.hojmark.org/

Christian E. Lysel (28-11-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 28-11-05 23:31

Asbjorn Hojmark wrote:
>>Er WPA bedre end IP-SEC, eller hvorfor er den mere oplagt?
>
>
> Det er simpelthen standarden for kryptering (og authentication) på

Hvilken standard? Har du et link?

Jeg har et "slagsmål" mellem to leverandør, der har leveret udstyr fra
Symbol og Intermec, der begge siger WPA ikke er nogen standard, og vi
skal glemme alt om at bruge den, da de ikke har set nogle installationer
køre stabilt.

> trådløse net, og derfor supporteret på stort set alt nutidigt trådløst
> udstyr, hvilket langtfra kan siges om IPSec. Det er også meget nemmere

IPSec er ikke understøttet i noget trådløst udstyr, på samme måde som
WPA ej er understøttet af et IPSec kort.

Heldigvis findes der software IPSec klient, i moderne operativsystemmer
er de indbygget. Men det ved du jo godt....så der er nok ikke de du
hentyder til.

Men jeg forstår ikke hvorfor IPSec langtfra er supporteret...hvad
hentyder du til?

> at sætte op.

I vores tilfælde havde vi i forvejen implementeret IPSec til alle de
bærbare maskiner, da de i forvejen skulle kunne bruges udefra.

Da behovet for trådløst kom, var det simpelt blot at betragte det som en
ekstern netforbindelse.


Asbjorn Hojmark (29-11-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 29-11-05 13:19

On Mon, 28 Nov 2005 23:31:13 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>>> Er WPA bedre end IP-SEC, eller hvorfor er den mere oplagt?

>> Det er simpelthen standarden for kryptering (og authentication) på

> Hvilken standard? Har du et link?

WPA er udviklet og certificeres af Wi-Fi Alliance. Hvis man opfatter
dem som IEEE 802.11 arbejdsgruppens hurtigtarbejdende søster, er det
ikke helt galt. WPA2 er fx i praksis en certificering af 802.11i.

http://www.wi-fi.org/
http://www.wi-fi.org/OpenSection/secure.asp?TID=2

> Jeg har et "slagsmål" mellem to leverandør, der har leveret udstyr fra
> Symbol og Intermec, der begge siger WPA ikke er nogen standard,

Well, det afhænger jo af hvad man mener med "standard". Det er jo ikke
en 'de jure' standard (som fx en given byggestandard, der er lovgivet
for, at man *skal* overholde), men WPA er en markedsstandard som så
meget andet.

Og i øvrigt: hvis Symbol og Intermec ikke opfatter Wi-Fi Alliance som
standard-sættende, hvorfor mon så de lader deres udstyr certificere af
Wi-Fi Alliance?

http://certifications.wi-fi.org/wbcs_certified_products.php?TID=2

> og vi skal glemme alt om at bruge den, da de ikke har set nogle
> installationer køre stabilt.

Nja, man ser måske ikke WPA i særlig mange professionelle
installationer. Før WPA var der jo ikke noget standardiseret, så der
er lavet mange mere eller mindre proprietære setup. I dag ser det dog
ud til, at mange vil gå efter WPA2 (802.11i).

>> trådløse net, og derfor supporteret på stort set alt nutidigt trådløst
>> udstyr, hvilket langtfra kan siges om IPSec. Det er også meget nemmere

> IPSec er ikke understøttet i noget trådløst udstyr, på samme måde som
> WPA ej er understøttet af et IPSec kort.

Nu er IPSec jo heller ikke standarden for sikkerhed i trådløst. Det er
WPA, og det var pointen. Og det var trådløs sikkerhed, vi snakkede om.

> Men jeg forstår ikke hvorfor IPSec langtfra er supporteret...hvad
> hentyder du til?

Jeg mener bare, at det ikke er supporteret direkte i det trådløse net
(eller klienterne), så brugeren i praksis skal gøre noget 'ekstra' for
at komme på. Typisk skal de bruge en VPN-klient, hvor de skal logge på
(igen).

Det bliver altså ikke transparent for brugeren, om de kører trådløst
eller ej, og det er fx ikke 'seamless' at skifte mellem det ene og det
andet. (Fx kan man ikke bare tage den bærbare ud af dock'en og køre
videre. Man skal først logge på det trådløse net).

Desuden vil der være trådløst udstyr, der ikke 'bare' kan sættes på
det trådløse net, fordi det ikke understøtter den VPN-implementation
man har valgt. Jeg ved ikke, om Check Points VPN-klient findes til en
Symbol håndscanner, men jeg gætter på, den ikke gør. Ciscos gør i
hvert fald ikke. Hvad med IPSec-klienter til wireless IP-telefoner?

WPA er der derimod ret udbredt support for (også) i alt muligt andet
end lige pc'er.

> Da behovet for trådløst kom, var det simpelt blot at betragte det som
> en ekstern netforbindelse.

Det var ikke for at kritisere den løsningsmodel. Den kan såmænd være
udmærket. Mange ønsker bare noget, der er meget mere transparent end
det, og jeg synes, man kan lave noget, der er nemmere, elegantere og
langt bedre understøttet i dag.

-A
PS: Det kunne være interessant at vide, hvad Intermec og Symbol (i
dette tilfælde) mener, man skal køre. Jeg har mødt dem i sammenhænge,
hvor deres anbefaling var ... <pause for effect> ... WEP. Really.

Christian E. Lysel (29-11-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 29-11-05 17:32

Asbjorn Hojmark wrote:

> WPA er udviklet og certificeres af Wi-Fi Alliance. Hvis man opfatter
> dem som IEEE 802.11 arbejdsgruppens hurtigtarbejdende søster, er det
> ikke helt galt. WPA2 er fx i praksis en certificering af 802.11i.
>
> http://www.wi-fi.org/
> http://www.wi-fi.org/OpenSection/secure.asp?TID=2

WPA Specification Documentation (Version 3.1)

Cards Accepted - American Express - Diner's Club - MasterCard - Visa

...fedt :(

Har jeg ikke muligheden for at sniffe på netværket og se hvad der
sker, holde det op imod en standard uden at skulle bruge mit kredit kort?

>>Jeg har et "slagsmål" mellem to leverandør, der har leveret udstyr fra
>>Symbol og Intermec, der begge siger WPA ikke er nogen standard,
>
> Well, det afhænger jo af hvad man mener med "standard". Det er jo ikke
> en 'de jure' standard (som fx en given byggestandard, der er lovgivet
> for, at man *skal* overholde), men WPA er en markedsstandard som så
> meget andet.

Hvilket er deres argument for det ikke virker.

Jeg har ikke helt fattet deres argument. Generelt er de ikke så glade
for at snakke teknik, en af dem nævnte om vi ikke var lidt for nørdet?!?

> Og i øvrigt: hvis Symbol og Intermec ikke opfatter Wi-Fi Alliance som
> standard-sættende, hvorfor mon så de lader deres udstyr certificere af
> Wi-Fi Alliance?

Ja :)

> http://certifications.wi-fi.org/wbcs_certified_products.php?TID=2

Alle komponenterne er certificeret:

WS5000 with AP100 Access Ports
Symbol Wireless Switch WS5100 / AP300
Intermec 700 Series/751

De er alle certificeret til WPA EAP-TLS.

Men kræver nok man køre med samme firmware som de blev certificeret
under, hvilket ikke er udspecificeret.

> Nu er IPSec jo heller ikke standarden for sikkerhed i trådløst. Det er
> WPA, og det var pointen. Og det var trådløs sikkerhed, vi snakkede om.

Jeg snakker om hvad jeg vil anbefalde folk at bruge i et trådløst netværk.

Hvis det er muligt, så brug IPSec. Jeg er enig med dig i at det ikke
altid er muligt.

>>Men jeg forstår ikke hvorfor IPSec langtfra er supporteret...hvad
>>hentyder du til?
>
> Jeg mener bare, at det ikke er supporteret direkte i det trådløse net
> (eller klienterne), så brugeren i praksis skal gøre noget 'ekstra' for

Hvis klienten er en PC, er der muligheder for IPSec, ellers er det
begrænset.

> at komme på. Typisk skal de bruge en VPN-klient, hvor de skal logge på
> (igen).

Man kan godt lave en VPN miljø hvor brugeren ikke skal fortage sig noget.

FreeS/WAN startede på "Opportunistic Encryption", folk har desværrer
ikke taget det til sig.

Microsoft tilbyder også nogle ligende.

> Det bliver altså ikke transparent for brugeren, om de kører trådløst
> eller ej, og det er fx ikke 'seamless' at skifte mellem det ene og det
> andet. (Fx kan man ikke bare tage den bærbare ud af dock'en og køre
> videre. Man skal først logge på det trådløse net).

Det lyder jo næsten som et argument for IPSec.

> Desuden vil der være trådløst udstyr, der ikke 'bare' kan sættes på
> det trådløse net, fordi det ikke understøtter den VPN-implementation
> man har valgt. Jeg ved ikke, om Check Points VPN-klient findes til en
> Symbol håndscanner, men jeg gætter på, den ikke gør. Ciscos gør i
> hvert fald ikke. Hvad med IPSec-klienter til wireless IP-telefoner?

Enig.

Så længe det ikke bliver forspurgt kommer det ikke.

Hvis det endeligt bliver forspurgt bliver det generelt blot afvist.


Jeg kan godt forstå at brancen i starten, havde resource problemmer
(selvom algoritmerne i IPSec kan skiftes ud), og
valgte WEP, men jeg forstår ikke udviklingen siden

> WPA er der derimod ret udbredt support for (også) i alt muligt andet
> end lige pc'er.

Ja.

>>Da behovet for trådløst kom, var det simpelt blot at betragte det som
>>en ekstern netforbindelse.

> Det var ikke for at kritisere den løsningsmodel. Den kan såmænd være
> udmærket. Mange ønsker bare noget, der er meget mere transparent end
> det, og jeg synes, man kan lave noget, der er nemmere, elegantere og
> langt bedre understøttet i dag.

Men det har også sine begrænsninger. Det er "kun" transparent, så længde
netværket understøtter det.

> PS: Det kunne være interessant at vide, hvad Intermec og Symbol (i
> dette tilfælde) mener, man skal køre. Jeg har mødt dem i sammenhænge,
> hvor deres anbefaling var ... <pause for effect> ... WEP. Really.

Enig, jeg får også indtrykket af at sikkerheden er dårlig i trådløse
installationer

Intermec leverandøren mener alle vores problemmer er relateret til WPA,
og vi derfor skal køre WEP. Problemmerne forsvandt dog ikke af den grund.

Pt. køre vi WEP, heldigvis til et segment med en server.

Intermec leverandøren har også anbefaldet PEAP uden at specificere
hvilken version.

Asbjorn Hojmark (29-11-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 29-11-05 23:24

On Tue, 29 Nov 2005 17:31:56 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

> WPA Specification Documentation (Version 3.1)
>
> Cards Accepted - American Express - Diner's Club - MasterCard - Visa
>
> ...fedt :(

Tja.

>> Well, det afhænger jo af hvad man mener med "standard". Det er jo ikke
>> en 'de jure' standard (som fx en given byggestandard, der er lovgivet
>> for, at man *skal* overholde), men WPA er en markedsstandard som så
>> meget andet.

> Hvilket er deres argument for det ikke virker.

Så sludrer de. Der er heller ingen lov om, at man skal overholde IEEE
802.3 (Ethernet) eller for den sags skyld RFC1122 og 1123 (IP host
requirements), men man gør det alligevel, fordi det er en rigtig god
idé at overholde markedsstandarder.

Hvis man overholder WPA, har man ligefrem papir på, at ens udstyr er
testet og virker med andre leverandørers WPA-udstyr. Det er da bedre
end blot at påstå, man overholder (say) 802.11g.

> Jeg har ikke helt fattet deres argument. Generelt er de ikke så glade
> for at snakke teknik, en af dem nævnte om vi ikke var lidt for nørdet?!?

Uha.

> De er alle certificeret til WPA EAP-TLS.

Det er også et rigtigt fint valg, men man skal selvfølgelig have styr
på sin certifikat-infrastruktur. Alternativt kan man jo se på PEAP.

>> Nu er IPSec jo heller ikke standarden for sikkerhed i trådløst. Det er
>> WPA, og det var pointen. Og det var trådløs sikkerhed, vi snakkede om.

> Jeg snakker om hvad jeg vil anbefalde folk at bruge i et trådløst netværk.

Ja netop, anbefalinger om sikkerhed i trådløse netværk.

> Hvis det er muligt, så brug IPSec. Jeg er enig med dig i at det ikke
> altid er muligt.

Jeg vil næsten sige det omvendt: Kør en velunderstøttet wireless
standard for sikkerhed, og hvis man virkelig har udstyr, der ikke kan
det og ikke kan skiftes med noget der kan det, så kan man lave et
separat trådløst VLAN til at understøtte det udstyr. Hvis man (heller)
ikke har mulighed for WVLAN, kan man jo være nødt til at bruge IPSec.

> Hvis klienten er en PC, er der muligheder for IPSec, ellers er det
> begrænset.

Netop. Og selv hvis det *er* en pc, er det ikke 'seamless'.

> Man kan godt lave en VPN miljø hvor brugeren ikke skal fortage sig noget.

Det lyder meget smart, men jeg kender ingen udbredte IPSec-miljøer,
hvor det er muligt. Jeg har fx (heller) ikke set Microsofts fungere på
den måde.

Jeg tror nu heller ikke, mine typiske kunder ville være interesseret i
det. Det vil normalt gerne have noget 2-faktor, når brugerne logger på
fra 'the wild' (altså åbne netværk), og det er jo reelt hvad man laver
med et åbent trådløst net.

.... Og hvis man først skal til at sidde og rode med sit RSA-token,
bare fordi man skifter til trådløst, så bliver det sgu for bøvlet.

>> Det bliver altså ikke transparent for brugeren, om de kører trådløst
>> eller ej, og det er fx ikke 'seamless' at skifte mellem det ene og det
>> andet. (Fx kan man ikke bare tage den bærbare ud af dock'en og køre
>> videre. Man skal først logge på det trådløse net).

> Det lyder jo næsten som et argument for IPSec.

Det forstår jeg ikke. Det er IPSec, der er besværligt for brugeren,
ikke WPA.

Med god trådløs sikkerhed, kan de bare tage deres pc ud af dock'en og
køre videre på det trådløse. De skal ikke logge på igen eller noget,
som de skal med (almindeligt udbredte) IPSec-miljøer.

> Jeg kan godt forstå at brancen i starten, havde resource problemmer
> (selvom algoritmerne i IPSec kan skiftes ud), og valgte WEP, men jeg
> forstår ikke udviklingen siden

Du mener, at man skulle have brugt IPSec mellem AP'er og trådløse
klienter i stedet for at bygge en protokol-suite ved siden af, der gør
nogle af de samme ting?

En del af forklaringen kan være, at IPSec er ... well sikkerhed for
IP, mens WPA er sikkerhed for LAN-trafik, IP or otherwise.

En anden forskel er, at hele IP skal være oppe at køre før man kan
køre IPSec (man skal bl.a. have fat i en DHCP- og DNS-server), mens
det ikke er tilfældet med WPA. Der laver man gensidig authentikering
og sætter kryptering op før man overhovedet giver klienten mulighed
for at bede DHCP-serveren om en adresse.

En del af den udvikling, der har været på trådløst (og som er i WPA),
ser vi nu på vej ind på kablede net (primært authentikerings-delen med
802.1x og EAP-TLS eller PEAP). Teknologien har været der et stykke
tid, og nu begynder det også at blive brugt i større skala.

> Men det har også sine begrænsninger. Det er "kun" transparent, så længde
> netværket understøtter det.

Der er i dag ikke noget ordentligt trådløst netværksudstyr, der ikke
understøtter WPA.

> Enig, jeg får også indtrykket af at sikkerheden er dårlig i trådløse
> installationer

Det skrev jeg ikke, og det mener jeg ikke generelt. Der er nok mange
hjemmenet, der kører med misserabel sikkerhed (eller slet ingen). Der
er nok også nogle virksomheder, der har det, men det er ikke mange
efterhånden. Det er mit indtryk, at folk er opmærksomme på problemerne
med (primært) WEP.

Jeg er derimod enig i, at det ser ud til, de der håndscanner-folk har
noget at lære endnu. Når man kan køre wireless voice, mon så ikke også
man kan køre deres snollede telnet-baserede håndscanner-applikationer?
I think so.

-A

Christian E. Lysel (02-12-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 02-12-05 18:00

Asbjorn Hojmark wrote:
> Tja.

Hvilket muligheder har man for at fejlsøge?

De muligheder jeg har fundet indtil videre er at gå tilbage til WEP, som
nemt kan dekrypteres, og bruge det samme antal sniffer som antallet af
kanaler man bruger i sit trådløse netværk.

> Hvis man overholder WPA, har man ligefrem papir på, at ens udstyr er
> testet og virker med andre leverandørers WPA-udstyr. Det er da bedre
> end blot at påstå, man overholder (say) 802.11g.

Enig.

>>Jeg snakker om hvad jeg vil anbefalde folk at bruge i et trådløst netværk.
> Ja netop, anbefalinger om sikkerhed i trådløse netværk.
>>Hvis det er muligt, så brug IPSec. Jeg er enig med dig i at det ikke
>>altid er muligt.

Problemet med IPSec idag er at det en encapsulering af IP trafik.

Det trådløse link er ikke IP trafik, og derfor giver det ikke mening
at diskutere det som der er implementere idag.

Jeg havde blot håbet brancen ville have valgt ISAKMP (RFC 2408),
desværrer laver de deres egne standarder, selvom WEP er et flot
eksempel på de ikke kan finde ud af det.

Er WPA ikke blot en "lapning" af WEP?

Hvor mange standarder findes der efter hånden for trådløse netværk?

Hvor mange af dem er testet sikre?

Hvor mange leverandører påstod WEP var sikkert? Jeg kan huske et
par stykker.

> Jeg vil næsten sige det omvendt: Kør en velunderstøttet wireless
> standard for sikkerhed, og hvis man virkelig har udstyr, der ikke kan
> det og ikke kan skiftes med noget der kan det, så kan man lave et
> separat trådløst VLAN til at understøtte det udstyr. Hvis man (heller)
> ikke har mulighed for WVLAN, kan man jo være nødt til at bruge IPSec.


>>Hvis klienten er en PC, er der muligheder for IPSec, ellers er det
>>begrænset.
>
>
> Netop. Og selv hvis det *er* en pc, er det ikke 'seamless'.

Dårlige implementationer.

>>Man kan godt lave en VPN miljø hvor brugeren ikke skal fortage sig noget.
> Det lyder meget smart, men jeg kender ingen udbredte IPSec-miljøer,
> hvor det er muligt. Jeg har fx (heller) ikke set Microsofts fungere på
> den måde.

http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp#heading4

> Jeg tror nu heller ikke, mine typiske kunder ville være interesseret i
> det. Det vil normalt gerne have noget 2-faktor, når brugerne logger på
> fra 'the wild' (altså åbne netværk), og det er jo reelt hvad man laver
> med et åbent trådløst net.

Smæk en kortlæser i med certifikater, som selvfølgelig ikke virker
fra maskiner uden kort læseren.

> ... Og hvis man først skal til at sidde og rode med sit RSA-token,
> bare fordi man skifter til trådløst, så bliver det sgu for bøvlet.

Er de samme kunder ligeglad med 2-faktor validering, fordi det er
trådløst?

>>>Det bliver altså ikke transparent for brugeren, om de kører trådløst
>>>eller ej, og det er fx ikke 'seamless' at skifte mellem det ene og det
>>>andet. (Fx kan man ikke bare tage den bærbare ud af dock'en og køre
>>>videre. Man skal først logge på det trådløse net).
>>Det lyder jo næsten som et argument for IPSec.
> Det forstår jeg ikke. Det er IPSec, der er besværligt for brugeren,
> ikke WPA.

Hvis du på det kablet net køre IPSec og skifter over til et trådløst
net, hvad forhindre din IPSec session i at forsætte?

Og se venligst bort fra dårlige IPSec implementationer, da knytter SAen
til klientens IP adresse, der ikke kan håndtere interfaces der bliver
deaktive/aktive. Intet i IPSec standarden forhindre dette.


> Med god trådløs sikkerhed, kan de bare tage deres pc ud af dock'en og
> køre videre på det trådløse. De skal ikke logge på igen eller noget,
> som de skal med (almindeligt udbredte) IPSec-miljøer.

HP lavede engang et IPSec miljø der virkede som du beskriver, jeg kan
desværrer ikke huske navnet på det.

>>Jeg kan godt forstå at brancen i starten, havde resource problemmer
>>(selvom algoritmerne i IPSec kan skiftes ud), og valgte WEP, men jeg
>>forstår ikke udviklingen siden
>
>
> Du mener, at man skulle have brugt IPSec mellem AP'er og trådløse
> klienter i stedet for at bygge en protokol-suite ved siden af, der gør
> nogle af de samme ting?

Ikke IPSec som vi kender det, den beskytter jo IP trafik, men jeg kan ikke
se hvorfor protokollen ikke kan ændres til ethernet.

> En del af forklaringen kan være, at IPSec er ... well sikkerhed for
> IP, mens WPA er sikkerhed for LAN-trafik, IP or otherwise.

Enig.

> En anden forskel er, at hele IP skal være oppe at køre før man kan
> køre IPSec (man skal bl.a. have fat i en DHCP- og DNS-server), mens
> det ikke er tilfældet med WPA. Der laver man gensidig authentikering
> og sætter kryptering op før man overhovedet giver klienten mulighed
> for at bede DHCP-serveren om en adresse.

Enig.

> En del af den udvikling, der har været på trådløst (og som er i WPA),
> ser vi nu på vej ind på kablede net (primært authentikerings-delen med
> 802.1x og EAP-TLS eller PEAP). Teknologien har været der et stykke
> tid, og nu begynder det også at blive brugt i større skala.

Enig.

Men hvorfor ikke bruge noget vi har haft i længere tid som er implementeret?

>>Men det har også sine begrænsninger. Det er "kun" transparent, så længde
>>netværket understøtter det.

> Der er i dag ikke noget ordentligt trådløst netværksudstyr, der ikke
> understøtter WPA.

Deraf ordet "ordenligt".

Jeg har da 4 trådløse enheder der kun understøtter WEP. Af den grund
bruger jeg dem ikke, og har kørt nyt.

>>Enig, jeg får også indtrykket af at sikkerheden er dårlig i trådløse
>>installationer

> Det skrev jeg ikke, og det mener jeg ikke generelt. Der er nok mange
> hjemmenet, der kører med misserabel sikkerhed (eller slet ingen). Der
> er nok også nogle virksomheder, der har det, men det er ikke mange
> efterhånden. Det er mit indtryk, at folk er opmærksomme på problemerne
> med (primært) WEP.
>
> Jeg er derimod enig i, at det ser ud til, de der håndscanner-folk har
> noget at lære endnu. Når man kan køre wireless voice, mon så ikke også
> man kan køre deres snollede telnet-baserede håndscanner-applikationer?
> I think so.

Telnet, uha, nej nej nej....det er meget nemmer at pakke det ind i
HTTP/1.1, HTML4.0, CSS2.0, nogle HTTP og HTML Microsoft udvidelser,
nogle HTTP og HTML Intermec udvidelser, og så desuden udvikle i et fint
.Net værktøj hvor vi ikke aner hvad der sker på netværket.

For at krydre det sætter vi da også håndterminalerne til at forsøge at
køre IPv6, og sende 8 ICMP request til gatewayen før hver TCP RST.

Så må vi jo også huske at starte outlook i baggrunden



Asbjorn Hojmark (03-12-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 03-12-05 13:22

On Fri, 02 Dec 2005 17:59:40 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>> Tja.

> Hvilket muligheder har man for at fejlsøge?

Masser, men det afhænger selvfølgelig af udstyret, fuldstændig som med
IPSec.

> Jeg havde blot håbet brancen ville have valgt ISAKMP (RFC 2408),
> desværrer laver de deres egne standarder,

Man kunne ikke bruge IPSec til det samme, som man bruger WPA til. Så
simpelt er det. Førstnævnte bygger på en forudsætning om, at man
allerede er på nettet (et eller andet net) og har IP kørende, mens det
andet netop styrer adgang til nettet.

> Er WPA ikke blot en "lapning" af WEP?

Tjo, WPA(1) bygger på WEP, men med problemerne rettet, primært ved at
bruge TKIP. WPA2 har ikke noget med WEP at gøre. Bl.a. bruger man AES.

> Hvor mange standarder findes der efter hånden for trådløse netværk?

Efterhånden findes der kun en, der har udbredelse, nemlig WPA.

>> Netop. Og selv hvis det *er* en pc, er det ikke 'seamless'.

> Dårlige implementationer.

Snak fx med Check Point og Cisco. Deres klienter er ret udbredte. Jeg
forholder mig til virkeligheden, og i praksis er det ikke seamless for
de installationer, jeg ser hos kunderne.

> http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp#heading4

Interessant. Tak.

>> ... Og hvis man først skal til at sidde og rode med sit RSA-token,
>> bare fordi man skifter til trådløst, så bliver det sgu for bøvlet.

> Er de samme kunder ligeglad med 2-faktor validering, fordi det er
> trådløst?

De bruger 2-faktor, når folk kommer fra et åbent IP-net, men ikke når
folk forsøger at komme på nettet.

>> Det forstår jeg ikke. Det er IPSec, der er besværligt for brugeren,
>> ikke WPA.

> Hvis du på det kablet net køre IPSec og skifter over til et trådløst
> net, hvad forhindre din IPSec session i at forsætte?

Tja, Check Points og Ciscos klienter gør fx.

> Og se venligst bort fra dårlige IPSec implementationer

Man skal være temmelig højpandet og sidde meget højt oppe i sit
elfensbenstårn for at se bort fra virkeligheden, især hvis man skal
lave noget, der virker for kunderne i praksis.

> HP lavede engang et IPSec miljø der virkede som du beskriver, jeg kan
> desværrer ikke huske navnet på det.

Det illustrerer jo meget godt, at det simpelthen ikke er udbredt.

> Men hvorfor ikke bruge noget vi har haft i længere tid som er
> implementeret?

Fordi det ikke *er* implementeret (til det formål). Noget der faktisk
*er* implementeret til authentikering af brugere mod et netværk, er
802.1x, så det bruger man selvfølgelig i WPA.

>> Der er i dag ikke noget ordentligt trådløst netværksudstyr, der ikke
>> understøtter WPA.

> Deraf ordet "ordenligt".

Hvis man ikke understøtter det almindeligt udbredte standarder for et
givent produktområde, kan man ikke med rimelighed kaldet det ordent-
ligt. For trådløst er det bl.a. WPA.

> Jeg har da 4 trådløse enheder der kun understøtter WEP. Af den grund
> bruger jeg dem ikke, og har kørt nyt.

God idé.

-A

Christian E. Lysel (08-12-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 08-12-05 19:03

Asbjorn Hojmark wrote:
>>Hvilket muligheder har man for at fejlsøge?
> Masser, men det afhænger selvfølgelig af udstyret, fuldstændig som med
> IPSec.

IPSec bruger jeg logfiler og pakkesniffer.

Desværrer generere en Pocket PC håndterminaler ingen logfiler, Symbol
switchen generere generelt meget kedelige logfiler, uden nogle fejl.

En pakkesniffer, kikke "kun" på en kanal af gangen.

Har du mere præsist i tankerne?

> Man kunne ikke bruge IPSec til det samme, som man bruger WPA til. Så
> simpelt er det. Førstnævnte bygger på en forudsætning om, at man
> allerede er på nettet (et eller andet net) og har IP kørende, mens det
> andet netop styrer adgang til nettet.

Hvad i ISAKMP kræver ovenstående?

>>Er WPA ikke blot en "lapning" af WEP?
> Tjo, WPA(1) bygger på WEP, men med problemerne rettet, primært ved at
> bruge TKIP. WPA2 har ikke noget med WEP at gøre. Bl.a. bruger man AES.

WEP/WPA kræver ikke lige så maget maskinekræft som WPA2.

Har du kikket på Michael?

>>Hvor mange standarder findes der efter hånden for trådløse netværk?
> Efterhånden findes der kun en, der har udbredelse, nemlig WPA.

Der findes masser af standarder, nogle har producenterne selv fundet på
eller udvidet.

> Snak fx med Check Point og Cisco. Deres klienter er ret udbredte. Jeg
> forholder mig til virkeligheden, og i praksis er det ikke seamless for
> de installationer, jeg ser hos kunderne.

Det ændre ikke ved de har fortaget valg i designet der forringer standarden.

>>Er de samme kunder ligeglad med 2-faktor validering, fordi det er
>>trådløst?
> De bruger 2-faktor, når folk kommer fra et åbent IP-net, men ikke når
> folk forsøger at komme på nettet.

Er det ikke ulogisk, hvorfor stiller de ikke samme krav til det
trådløse?

Eller mener du med nettet - Internettet?

>>Hvis du på det kablet net køre IPSec og skifter over til et trådløst
>>net, hvad forhindre din IPSec session i at forsætte?
> Tja, Check Points og Ciscos klienter gør fx.

Prøv at forhold dig til standarden og ikke til ødelagte
implementationer.

Stonegate kan godt finde ud af at knytte deres SPI'er til andet
end IP adresser.

>>Og se venligst bort fra dårlige IPSec implementationer
> Man skal være temmelig højpandet og sidde meget højt oppe i sit
> elfensbenstårn for at se bort fra virkeligheden, især hvis man skal
> lave noget, der virker for kunderne i praksis.

Teknikken er til stedet...hvad er der højpandet i det?

>>HP lavede engang et IPSec miljø der virkede som du beskriver, jeg kan
>>desværrer ikke huske navnet på det.
> Det illustrerer jo meget godt, at det simpelthen ikke er udbredt.

Er udbredet, altid godt :)

> Fordi det ikke *er* implementeret (til det formål). Noget der faktisk
> *er* implementeret til authentikering af brugere mod et netværk, er
> 802.1x, så det bruger man selvfølgelig i WPA.

Da man havde problemstillingerne, var 802.1x ikke udviklet, men ISAKMP
eksisterede.

Kan ISAKMP slet ikke bruges?

>>Deraf ordet "ordenligt".
> Hvis man ikke understøtter det almindeligt udbredte standarder for et
> givent produktområde, kan man ikke med rimelighed kaldet det ordent-
> ligt. For trådløst er det bl.a. WPA.

Det jeg lade i ordet "ordenligt" var om det var transperant eller ej.

Jeg kan kun se at ISAKMP kan gør "problemstillingen" mere transperant.

>>Jeg har da 4 trådløse enheder der kun understøtter WEP. Af den grund
>>bruger jeg dem ikke, og har kørt nyt.
> God idé.

Nej, jeg køber ikke nye PC'er når min VPN server bliver opgraderet.

Eller er det også en god idé at købe nye netværkskort hvis WPA brydes og
der laves en ny standard?



Niels Callesøe (28-11-2005)
Kommentar
Fra : Niels Callesøe


Dato : 28-11-05 19:07

Kent Friis wrote in <news:438b2add$0$15790$14726298@news.sunsite.dk>:

> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
> havde du sikkert haft tid til at slå IP-SEC til i stedet for.

Hvornår implementerede du sidst IP-Sec i et slutbrugermiljø?

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

SPF makes baby Jesus retarded.

Kent Friis (28-11-2005)
Kommentar
Fra : Kent Friis


Dato : 28-11-05 20:08

Den 28 Nov 2005 18:06:43 GMT skrev Niels Callesøe:
> Kent Friis wrote in <news:438b2add$0$15790$14726298@news.sunsite.dk>:
>
>> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
>> havde du sikkert haft tid til at slå IP-SEC til i stedet for.
>
> Hvornår implementerede du sidst IP-Sec i et slutbrugermiljø?

Hvad mener du? Der er så vidt jeg kan se tale om et hjemmenetværk, så
der er ikke nogen "dumme brugere" at tage hensyn til.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Niels Callesøe (28-11-2005)
Kommentar
Fra : Niels Callesøe


Dato : 28-11-05 21:15

Kent Friis wrote in <news:438b558e$0$15795$14726298@news.sunsite.dk>:

>>> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
>>> havde du sikkert haft tid til at slå IP-SEC til i stedet for.
>>
>> Hvornår implementerede du sidst IP-Sec i et slutbrugermiljø?
>
> Hvad mener du? Der er så vidt jeg kan se tale om et hjemmenetværk, så
> der er ikke nogen "dumme brugere" at tage hensyn til.

Jeg mener, at det er langt mere besværligt, tids- og indsigsts-krævende
at implementere IP-Sec i et hjemmenetværk end du antyder. Specielt hvis
der er tale om et blandet miljø.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

SPF makes baby Jesus retarded.

Kent Friis (28-11-2005)
Kommentar
Fra : Kent Friis


Dato : 28-11-05 22:30

Den 28 Nov 2005 20:14:41 GMT skrev Niels Callesøe:
> Kent Friis wrote in <news:438b558e$0$15795$14726298@news.sunsite.dk>:
>
>>>> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
>>>> havde du sikkert haft tid til at slå IP-SEC til i stedet for.
>>>
>>> Hvornår implementerede du sidst IP-Sec i et slutbrugermiljø?
>>
>> Hvad mener du? Der er så vidt jeg kan se tale om et hjemmenetværk, så
>> der er ikke nogen "dumme brugere" at tage hensyn til.
>
> Jeg mener, at det er langt mere besværligt, tids- og indsigsts-krævende
> at implementere IP-Sec i et hjemmenetværk end du antyder. Specielt hvis
> der er tale om et blandet miljø.

Nu kender jeg ikke lige til hvordan man gør det på tastatur-ignorante
OS'er, men da jeg legede med det, var det da bare at downloade en
howto, kopiere et par linier, samt ændre keys (!)

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Niels Callesøe (28-11-2005)
Kommentar
Fra : Niels Callesøe


Dato : 28-11-05 23:32

Kent Friis wrote in
<news:438b76be$0$15788$14726298@news.sunsite.dk>:

>> Jeg mener, at det er langt mere besværligt, tids- og
>> indsigsts-krævende at implementere IP-Sec i et hjemmenetværk end
>> du antyder. Specielt hvis der er tale om et blandet miljø.
>
> Nu kender jeg ikke lige til hvordan man gør det på
> tastatur-ignorante OS'er, men da jeg legede med det, var det da
> bare at downloade en howto, kopiere et par linier, samt ændre keys
> (!)

Meget imponerende.

Dengang jeg rodede med det, krævede det at jeg byggede og konfigurerede
en ny kerne, konfiguration af security policy (SPD/SAD) (der meget
hurtigt blev temmelig langhåret), valg af protokoller og transporttype,
installation og konfiguration af en key-deamon, og diverse andre
krumspring. Og så er jeg ikke engang begyndt at tale om
interoperabilitet med Windows.

Nåja, og så fandtes der slet ikke en how-to der dækkede noget som helst
scenarie der ikke foregik i tunneling-mode, i hvert fald ikke mellem
flere klienter der dynamisk skal kunne kommunikere.

Men fair nok, det er da ikke umuligt at det er blevet helt enormt meget
lettere siden...

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

SPF makes baby Jesus retarded.

Kent Friis (29-11-2005)
Kommentar
Fra : Kent Friis


Dato : 29-11-05 17:27

Den 28 Nov 2005 22:32:07 GMT skrev Niels Callesøe:
> Kent Friis wrote in
> <news:438b76be$0$15788$14726298@news.sunsite.dk>:
>
>>> Jeg mener, at det er langt mere besværligt, tids- og
>>> indsigsts-krævende at implementere IP-Sec i et hjemmenetværk end
>>> du antyder. Specielt hvis der er tale om et blandet miljø.
>>
>> Nu kender jeg ikke lige til hvordan man gør det på
>> tastatur-ignorante OS'er, men da jeg legede med det, var det da
>> bare at downloade en howto, kopiere et par linier, samt ændre keys
>> (!)
>
> Meget imponerende.
>
> Dengang jeg rodede med det, krævede det at jeg byggede og konfigurerede
> en ny kerne,

IP-SEC er med i 2.6, hvorvidt modulerne så er compilet på forhånd kommer
nok an på hvilken distro man har valgt.

> konfiguration af security policy (SPD/SAD) (der meget
> hurtigt blev temmelig langhåret),

Det må være det spdadd gør? Det var cut'n'paste fra eksemplet, der
stod vist forklaret hvad den enkelte del gør, men udover
"De her linier aktiverer IP-SEC udgående" og "Disse gør at IP-SEC
er tvunget indgående" har jeg ikke sat mig ind i hvad hver enkelt
ord i linien betyder.

> valg af protokoller og transporttype,

cut'n'paste.

> installation og konfiguration af en key-deamon,

Den del er kun nødvendigt hvis der skal auto-negotiates (hvis jeg forstod
det rigtigt). På et hjemme-netværk kan man sagtens taste keys'ne ind
på hver enkelt maskine.

> og diverse andre
> krumspring. Og så er jeg ikke engang begyndt at tale om
> interoperabilitet med Windows.

Jeg opgav også at få det til at køre imod Cisco VPN-concentrator'en
på arbejdet, men der skal formentlig også auto-negotiates, en del
som jeg til gengæld ikke synes var brugbart beskrevet.

> Nåja, og så fandtes der slet ikke en how-to der dækkede noget som helst
> scenarie der ikke foregik i tunneling-mode, i hvert fald ikke mellem
> flere klienter der dynamisk skal kunne kommunikere.
>
> Men fair nok, det er da ikke umuligt at det er blevet helt enormt meget
> lettere siden...

Det er blevet meget lettere bare ved at man slipper for at skulle
patche FreeS/Wan ind i kernen Og det er nok også det der har gjort
at det er blevet interessant med howtos.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Niels Callesøe (29-11-2005)
Kommentar
Fra : Niels Callesøe


Dato : 29-11-05 21:35

Kent Friis wrote in
<news:438c8167$0$15793$14726298@news.sunsite.dk>:

>>> Nu kender jeg ikke lige til hvordan man gør det på
>>> tastatur-ignorante OS'er, men da jeg legede med det, var det da
>>> bare at downloade en howto, kopiere et par linier, samt ændre
>>> keys (!)
>>
>> Meget imponerende.
>>
>> Dengang jeg rodede med det, krævede det at jeg byggede og
>> konfigurerede en ny kerne,
>
> IP-SEC er med i 2.6, hvorvidt modulerne så er compilet på forhånd
> kommer nok an på hvilken distro man har valgt.

Tjaeh... min "distro" hedder STABLE og min kerne 4.11. Eller sagt på en
anden måde, så er det ikke alt der ikke er Windows der er Linux.

>> konfiguration af security policy (SPD/SAD) (der meget
>> hurtigt blev temmelig langhåret),
>
> Det må være det spdadd gør?

Ja. Men uden en how-to at cut'n'paste fra, er det faktisk langt mere
kompliceret end du åbenbart har en fornemmelse af. Og det er da fint at
der lige fandtes en how-to der dækkede dit behov, men uden forståelse
af hvad der sker har man for det første ikke meget af sikkerheden i
behold og for det andet kan man så ikke tilpasse det til hvordan ens
egen verden ser ud.

[...]

>> installation og konfiguration af en key-deamon,
>
> Den del er kun nødvendigt hvis der skal auto-negotiates (hvis jeg
> forstod det rigtigt). På et hjemme-netværk kan man sagtens taste
> keys'ne ind på hver enkelt maskine.

Det kan man måske nok, men det er ikke optimalt (og kan vist heller
ikke lade sig gøre mod Windows-maskiner) da der jo gerne skulle
genereres nøgler dynamisk så den oprindelige PSK ikke bruges mere end
højst nødvendigt.

>> Men fair nok, det er da ikke umuligt at det er blevet helt enormt
>> meget lettere siden...
>
> Det er blevet meget lettere bare ved at man slipper for at skulle
> patche FreeS/Wan ind i kernen Og det er nok også det der har
> gjort at det er blevet interessant med howtos.

Høh, nej, det med at patche kernen op var den lette del af det. Men
dokumentation af de øvrigt skridt er næsten ikke-eksisterende udover
nogle få specifikke scenarier, i hvert fald til mit operativsystem.

I hvert fald er det slet, slet ikke noget jeg kunne finde på at
anbefale at forsøge sig med for en "almindelig" hjemmenetværksbruger.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

SPF makes baby Jesus retarded.

Kent Friis (29-11-2005)
Kommentar
Fra : Kent Friis


Dato : 29-11-05 22:03

Den 29 Nov 2005 20:34:34 GMT skrev Niels Callesøe:
> Kent Friis wrote in
> <news:438c8167$0$15793$14726298@news.sunsite.dk>:
>
>>>> Nu kender jeg ikke lige til hvordan man gør det på
>>>> tastatur-ignorante OS'er, men da jeg legede med det, var det da
>>>> bare at downloade en howto, kopiere et par linier, samt ændre
>>>> keys (!)
>>>
>>> Meget imponerende.
>>>
>>> Dengang jeg rodede med det, krævede det at jeg byggede og
>>> konfigurerede en ny kerne,
>>
>> IP-SEC er med i 2.6, hvorvidt modulerne så er compilet på forhånd
>> kommer nok an på hvilken distro man har valgt.
>
> Tjaeh... min "distro" hedder STABLE og min kerne 4.11. Eller sagt på en
> anden måde, så er det ikke alt der ikke er Windows der er Linux.

Sorry, jeg mente *BSD var langt foran Linux på det område. Det er
trods alt der Kame kommer fra. Eller snakker du om SCO? Solaris
kan det vel ikke være med det versionsnummer?

>>> konfiguration af security policy (SPD/SAD) (der meget
>>> hurtigt blev temmelig langhåret),
>>
>> Det må være det spdadd gør?
>
> Ja. Men uden en how-to at cut'n'paste fra, er det faktisk langt mere
> kompliceret end du åbenbart har en fornemmelse af.

Nej, jeg brugte netop cut'n'paste som argument for hvorfor det var
nemt. Jeg ved udemærket godt at jeg ikke har sat mig ind i detaljerne,
og selv hvis jeg vælger at gøre det er det helt sikkert nemmere når
man allerede har et fungerende setup at sammenligne med, fremfor at
starte med man og vi

> Og det er da fint at
> der lige fandtes en how-to der dækkede dit behov, men uden forståelse
> af hvad der sker har man for det første ikke meget af sikkerheden i
> behold og for det andet kan man så ikke tilpasse det til hvordan ens
> egen verden ser ud.

Der var så en forklaring til nærmest hver linie, hvor jeg nok kunne
lære en del mere hvis jeg havde brug for det. Det må jeg kigge på den
dag jeg selv får et trådløst netværk, så det bliver mere end blot
legetøj.

> [...]
>
>>> installation og konfiguration af en key-deamon,
>>
>> Den del er kun nødvendigt hvis der skal auto-negotiates (hvis jeg
>> forstod det rigtigt). På et hjemme-netværk kan man sagtens taste
>> keys'ne ind på hver enkelt maskine.
>
> Det kan man måske nok, men det er ikke optimalt (og kan vist heller
> ikke lade sig gøre mod Windows-maskiner) da der jo gerne skulle
> genereres nøgler dynamisk så den oprindelige PSK ikke bruges mere end
> højst nødvendigt.

Jeg synes ellers det lignede det setup man bruger når man
kobler to netværk fast sammen, fx med en pix i hver ende. Hvorimod
auto-negotiate daemonen mindede mere om bærbar/vpn-koncentrator
setup'et.

>>> Men fair nok, det er da ikke umuligt at det er blevet helt enormt
>>> meget lettere siden...
>>
>> Det er blevet meget lettere bare ved at man slipper for at skulle
>> patche FreeS/Wan ind i kernen Og det er nok også det der har
>> gjort at det er blevet interessant med howtos.
>
> Høh, nej, det med at patche kernen op var den lette del af det. Men
> dokumentation af de øvrigt skridt er næsten ikke-eksisterende udover
> nogle få specifikke scenarier, i hvert fald til mit operativsystem.

Hvis det er Kame, burde samme howto kunne bruges. Medmindre du mener
"*var* næsten ikke-eksisterende".

> I hvert fald er det slet, slet ikke noget jeg kunne finde på at
> anbefale at forsøge sig med for en "almindelig" hjemmenetværksbruger.

Hvis alternativet er at finde loddekolben frem og skifte WPA-
chippen på bundkortet med en der virker, så ved jeg godt hvad de
fleste ville synes er nemmest

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Axel Hammerschmidt (28-11-2005)
Kommentar
Fra : Axel Hammerschmidt


Dato : 28-11-05 23:44

Kent Friis <nospam@nospam.invalid> wrote:

> Den 28 Nov 2005 18:06:43 GMT skrev Niels Callesøe:
> > Kent Friis wrote in <news:438b2add$0$15790$14726298@news.sunsite.dk>:
> >
> >> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
> >> havde du sikkert haft tid til at slå IP-SEC til i stedet for.
> >
> > Hvornår implementerede du sidst IP-Sec i et slutbrugermiljø?
>
> Hvad mener du? Der er så vidt jeg kan se tale om et hjemmenetværk, så
> der er ikke nogen "dumme brugere" at tage hensyn til.

ROFL!


Kent Friis (29-11-2005)
Kommentar
Fra : Kent Friis


Dato : 29-11-05 17:31

Den Mon, 28 Nov 2005 23:44:25 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den 28 Nov 2005 18:06:43 GMT skrev Niels Callesøe:
>> > Kent Friis wrote in <news:438b2add$0$15790$14726298@news.sunsite.dk>:
>> >
>> >> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
>> >> havde du sikkert haft tid til at slå IP-SEC til i stedet for.
>> >
>> > Hvornår implementerede du sidst IP-Sec i et slutbrugermiljø?
>>
>> Hvad mener du? Der er så vidt jeg kan se tale om et hjemmenetværk, så
>> der er ikke nogen "dumme brugere" at tage hensyn til.
>
> ROFL!

Altså, brugerne er der, men de behøver ikke involveres i projektet.
På et større net vil man ofte have en eller anden der skal have
forklaret over telefonen hvor de skal clicke for at det virker, men
derhjemme er problemet ikke større end at bede den "dumme bruger"
gå ind og se fjernsyn imens man sætter det op.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Christian E. Lysel (28-11-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 28-11-05 23:40

Kent Friis wrote:
>>Bruger den indbyggede firewall i min NetGear trådløse router.
>>Har desuden 128 bit WEP (ikke alle mine pc'ere kan bruge WPA endnu),

> Fart-bump (hvor lang tid tager det efterhånden at knække? 10 minutter?)

Tager det ikke kortere tid, som jeg husker det kan du jo selv
generere trafikken.

Endnu være er at du også kan følge med i hvad folk laver, fx læse post,
når man først har fundet WEP nøglen.

>>MAC filtreing
> Spild af tid. Det tager længere tid at enable end det tager at finde
> en MAC-adresse der har adgang.

Specielt når man tænker på MAC adressen ikke bliver krypteret, hvilket
mange almindelig mennesker tror, den bliver sendt i klar tekst.

>>Udsender ikke SSID.
> Igen, spild af tid.

Enig...endnu værre er det at der selvfølgelig bliver udsendt SSID.

>>Mere kan jeg vel ikke gøre
>
>
> Meget mere.
>
> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
> havde du sikkert haft tid til at slå IP-SEC til i stedet for.

IPSec er også min fortrukne, den giver en ekstra fordel, nemlig at
det også kan bruges mere generelt, end blot fra sit eget AP, fx fra et
hotel.

Men udover det så forstår jeg ikke holdningen til WEP/WPA, et kort til
bærbare maskiner koster maks 200 kr.


Jan Andersen (28-11-2005)
Kommentar
Fra : Jan Andersen


Dato : 28-11-05 12:13

NAT plus Windows Firewall (XP SP2).

Mvh.

J. Andersen

"Soren Pedersen" <soren@munchweb.dk> skrev i en meddelelse
news:438ab981$0$8768$edfadb0f@dread14.news.tele.dk...
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?



Hans (28-11-2005)
Kommentar
Fra : Hans


Dato : 28-11-05 12:55

Soren Pedersen wrote:
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en
> firewall eller begge dele ?
>
Både NAT og firewall (ZyWall 35).

Hans



Carsten Overgaard (28-11-2005)
Kommentar
Fra : Carsten Overgaard


Dato : 28-11-05 13:51

"Soren Pedersen" <soren@munchweb.dk> skrev i en meddelelse
news:438ab981$0$8768$edfadb0f@dread14.news.tele.dk...
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?
> Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)

Jeg har en fin lille kasse derhjemme af et mærke som jeg er glad for.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm
"Hvis du ikke kan lide indlægget, så er det webmasterens skyld"



Thomas G. Madsen (28-11-2005)
Kommentar
Fra : Thomas G. Madsen


Dato : 28-11-05 14:13

Soren Pedersen skrev:

> Personligt nøjes jeg med NAT

Ditto.

--
Hilsen
Madsen

Jesper Stocholm (28-11-2005)
Kommentar
Fra : Jesper Stocholm


Dato : 28-11-05 14:29

Soren Pedersen <soren@munchweb.dk> wrote in news:438ab981$0$8768
$edfadb0f@dread14.news.tele.dk:

> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?
> Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)

NAT + SPI + Windows' indbyggede firewall på vores 4 maskiner. Routeren er
en WRT54G.

--
Jesper Stocholm
http://stocholm.dk
<a href="http://www.sony.com">evil
Findes din kiosk på nettet? Se http://ekiosk.dk

Uffe S. Callesen (28-11-2005)
Kommentar
Fra : Uffe S. Callesen


Dato : 28-11-05 15:47

Soren Pedersen wrote:
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?
> Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)
>
> Mvh
> Søren

Jeg har en kasse mellem mit LAN og min internetforbindelse som benytter
NAT og en packet filter firewall.... og et Intrution Prevention System
:) - og en anden kasse mellem mit LAN og mit WLAN som udelukkende kører
packet filtering.

--
Mail mig på uffe <snabelA> skelmose <prik> dk

Jens Lund Jensen (28-11-2005)
Kommentar
Fra : Jens Lund Jensen


Dato : 28-11-05 17:03

On Mon, 28 Nov 2005 09:02:07 +0100, Soren Pedersen wrote:
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?
> Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)
>
> Mvh
> Søren

AV: kun min fornuft.
Firewall. Kun min fornuft igen.
Nat. Da jeg ikke har noget lokalt netværk, gider jeg ikke besværet.

MVH Jens Jensen.
--
Beware of programmers who carry screwdrivers. (Leonard Brandwein)

Kent Friis (28-11-2005)
Kommentar
Fra : Kent Friis


Dato : 28-11-05 17:14

Den Mon, 28 Nov 2005 09:02:07 +0100 skrev Soren Pedersen:
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?

Firewall: IPTables til at holde mit interne netværk adskilt fra
internettet, da jeg har en del services på det interne netværk der
ikke skal være synlige udadtil.

NAT: Min "hoved"-PC er ikke bag et NAT, da det giver flere problemer
end det løser. Den laver dog NAT for resten af netværket, da jeg kun
har et IP-nummer.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Povl H. Pedersen (28-11-2005)
Kommentar
Fra : Povl H. Pedersen


Dato : 28-11-05 17:13

In article <438ab981$0$8768$edfadb0f@dread14.news.tele.dk>, Soren Pedersen wrote:
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?
> Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)

Jeg anvender sund fornuft og NAT.

Den personlige firewall er alene en erstatning for sund fornuft hos dem
der ikke har det.

Carsten Overgaard (29-11-2005)
Kommentar
Fra : Carsten Overgaard


Dato : 29-11-05 09:36

"Povl H. Pedersen" <povlhp@acomputer.home.terminal.dk> skrev i en meddelelse
news:slrndomb3u.h6.povlhp@ip108.home.terminal.dk...
> In article <438ab981$0$8768$edfadb0f@dread14.news.tele.dk>, Soren Pedersen
wrote:
> > Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> > Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> > eller begge dele ?
> > Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)
>
> Jeg anvender sund fornuft og NAT.
>
> Den personlige firewall er alene en erstatning for sund fornuft hos dem
> der ikke har det.

Nu er der nogen, som tillader den øvrige familie at gå på nettet derhjemme.
Jeg har VPN til LAN'et i min firewall og familiens sidder på DMZ'en i
firewallen efter at jeg har lavet om på reglerne til DMZ i firewallen, så de
til forveksling ligner indstillingerne i LAN'et. Vi har dermed i princippet
adskildt vores netværk, så meget at det kan lade sig gøre uden at man skal
have to bredbåndsforbindelser i huset.

"Far. Jeg skal bruge en USB-nøgle"
"Hvor stor skal den være?"
"ca. 5 cm."

Og det er ikke fordi at familien er specielt uden fornuft set i forhold til
niveauet blandt brugerne i firmaet.

--

Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm
"Hvis du ikke kan lide indlægget, så er det webmasterens skyld"



Alex Holst (28-11-2005)
Kommentar
Fra : Alex Holst


Dato : 28-11-05 17:22

Soren Pedersen wrote:
> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?

Jeg har en søgris med OpenBSD der kører pf/NAT og isakmpd.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Lars Gjerløw Jørgens~ (28-11-2005)
Kommentar
Fra : Lars Gjerløw Jørgens~


Dato : 28-11-05 21:36

Soren Pedersen <soren@munchweb.dk> wrote in news:438ab981$0$8768
$edfadb0f@dread14.news.tele.dk:

> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> eller begge dele ?
> Personligt nøjes jeg med NAT (Og jeg mener også min WRT54G bruger SPI)
>
> Mvh
> Søren

ikke andet end hvad routeren (en linksys) gi'r mig.

Virus og orme undgås med sund fornuft og jævnlige opdateringer.

Scanner af og til med antivir for at få bekræftet at der ikke
er noget inde - har kørt virusfrit siden 1994 (en Taipan). Dog
lige bortset fra den rene xp-install jeg forsøgsvis smed på
nettet med routeren sat til DMZ for at se hvor hurtigt det
egentlig gik :D damn jeg har aldrig set du-meter peake så
hurtigt!

/hilsner
--
| lars.g.j | e-mail: remove dots | www.lgj.dk | oz2lgj |
Zoe, about Reavers: If they take the ship, they'll rape us to
death, eat our flesh and sew our skins into their clothing
and if we're very very lucky, they'll do it in that order.

Christian B. Andrese~ (29-11-2005)
Kommentar
Fra : Christian B. Andrese~


Dato : 29-11-05 10:17


Kent Friis wrote:
> Den 28 Nov 2005 02:00:58 -0800 skrev Christian B. Andresen:
> >
> > Soren Pedersen wrote:
> >> Affødt af flere tidligere tråde er jeg blevet nysgerrig:
> >> Hvor mange af gruppens brugere beskytter sig vha. NAT eller en firewall
> >> eller begge dele ?
> >
> > Bruger den indbyggede firewall i min NetGear trådløse router.
> > Har desuden 128 bit WEP (ikke alle mine pc'ere kan bruge WPA endnu),
>
> Fart-bump (hvor lang tid tager det efterhånden at knække? 10 minutter?)

Det ved jeg godt.

> Hvor mange af dem kan køre IP-SEC?

Ved ikke hvad det er.

> > MAC filtreing
>
> Spild af tid. Det tager længere tid at enable end det tager at finde
> en MAC-adresse der har adgang.

OK.

> > og lukket de porte jeg ikke skal bruge.
>
> Fornuftigt.
>
> > Udsender ikke SSID.
>
> Igen, spild af tid.
>
> > Mere kan jeg vel ikke gøre
>
> Meget mere.
>
> Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
> havde du sikkert haft tid til at slå IP-SEC til i stedet for.

Hvad og hvordan ?

Skal så lige siges at vi bor ude på landet, så jeg vil lægge mærke
til en sort Chevy Tahoe van med tonede ruder

--

Christian


jakob (29-11-2005)
Kommentar
Fra : jakob


Dato : 29-11-05 15:16

Christian B. Andresen wrote:

>>
>>Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
>>havde du sikkert haft tid til at slå IP-SEC til i stedet for.
>
>
> Hvad og hvordan ?

Jeg kunne også godt tænke mig en henvisning til et sted der forklarer
hvad IP-SEC er og hvordan man anvender det i praksis på sit private WLAN
når man bruger Windows XP på sin pc. Er det, det samme som VPN?

--
Jakob

Kent Friis (29-11-2005)
Kommentar
Fra : Kent Friis


Dato : 29-11-05 17:36

Den Tue, 29 Nov 2005 15:16:21 +0100 skrev jakob:
> Christian B. Andresen wrote:
>
>>>
>>>Hvis du nu lod være med at spilde tiden på SSID og MAC-filtrering,
>>>havde du sikkert haft tid til at slå IP-SEC til i stedet for.
>>
>>
>> Hvad og hvordan ?
>
> Jeg kunne også godt tænke mig en henvisning til et sted der forklarer
> hvad IP-SEC er og hvordan man anvender det i praksis på sit private WLAN
> når man bruger Windows XP på sin pc. Er det, det samme som VPN?

Både og. IP-SEC er kryptering af netværksforbindelser, som vel
egentlig er det VPN dækker over (VPN bliver ofte brugt i betydningen
firma-opkobling over internettet, men IP-SEC kan også bruges
mellem PC'erne internt på netværket). Men VPN kan være andet end
IP-SEC, der er fx PPTP (Microsoft) og diverse ikke-standardiserede
vpn systemer.

XP er IKKE min stærke side, så den må andre lige forklare.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste