Encryptie vs. Mac filter op wireless router

Ik vind het persoonlijk een stuk veiligheid, het zal ook wel meer psychologisch zijn. De meeste mensen hebben dan ook een WEP encryptie ingesteld, en iedereen weet wel dat deze "makkelijk" te kraken is... MAC filtering is trouwens ook zo te omzeilen door MAC Spoofing.

Maar ik wil gewoon dat mijn internetverbinding is afgeschermd, inclusief mijn thuisnetwerk voor amateurtjes die ook eens willen war-driven. Vandaar dat ik zelf WPA encryptie heb ingesteld

quote:

Op dinsdag 5 december 2006 20:29 schreef CrustyClown het volgende:
Ik vind het persoonlijk een stuk veiligheid, het zal ook wel meer psychologisch zijn. De meeste mensen hebben dan ook een WEP encryptie ingesteld, en iedereen weet wel dat deze "makkelijk" te kraken is... MAC filtering is trouwens ook zo te omzeilen door MAC Spoofing.

Maar ik wil gewoon dat mijn internetverbinding is afgeschermd, inclusief mijn thuisnetwerk voor amateurtjes die ook eens willen war-driven. Vandaar dat ik zelf WPA encryptie heb ingesteld

WPA is ook vrij simpel te kraken hoor

Volgens mij kun je redelijk makkelijk een MAC-adres sniffen en dan dat adres spoofen. Encryptie(mits goede) is een stuk lastiger

MAC-filter is niet meer dan een haakje op de deur, WEP is een normaal slot en WPA een slot met politiekeurmerk veilig wonen. Voor de prof zijn ze alle 3 te kraken maar het haakje / mac-filter wel heel simpel (even goed de beuk erin en je bent binnen).

quote:

Op dinsdag 5 december 2006 20:30 schreef Devrim_ het volgende:
WPA is ook vrij simpel te kraken hoor

Maar niet zo simpel als WEP. Voor de "driveby" hackers zijn WEP en Mac Spoofing het makkelijkst, WPA is echt al een stuk moeilijker, zeker als je WPA2 gaat gebruiken.

WEP is binnen 5 a 10 minuten te kraken als je weet wat je doet, Mac adressen kunnen erg makkelijk met een sniffer programma uit de lucht worden gehaald, maar WPA moet je toch aardig wat moeite voor doen en ben je uren mee bezig.

Ik zit zelf op een combinatie van WEP en Macadressen, maar dat komt voornamelijk omdat ik 1 computer heb met een adapter die nog geen WPA ondersteund, en ik kan geen WEP en WPA tegelijkertijd aan.

Ik heb ook nog een "groener gras" voordeel, en dat is dat er in mijn straat iets van 5 routers zitten (ben wel eens gaan wandelen met de laptop) en dat er slechts 2 beveiligd zijn, waaronder de mijne. Een hacker zal zich wel richten op die andere 3 open routers.

quote:

Op donderdag 7 december 2006 17:49 schreef Boef het volgende:
Bij iemand met veel sloten op z'n deur en een alarm systeem is het waarschijnlijk veel lucratiever om in te breken dan iemand die z'n deur, bij wijze van spreken, wagenwijd open heeft staan

De voornaamste reden om bij iemand binnen te hacken is niet omdat ze jouw gegevens willen hebben. Immers voor het benaderen van een gedeelde schijf/folder heb je toch wel weer wachtwoorden nodig. En meestal is er toch weinig interessants te vinden.

Waar men een open router het liefste voor gebruikt is het verspreiden van spam en kinderporno. Spammers hoeven slechts 5 minuten met jouw internet verbonden te zijn om 100.000 e-mails uit te zenden, en binnen een half uurtje kunnen ze ook al heel wat kinderporno uploaden naar usenet of andere sites. En in die spam e-mails en kinderporno usenet/ftp sites staat dan jouw IP adress geregistreerd.

Je kunt beter minimale beveiliging erop hebben dan helemaal geen. De spammer rijdt wel een blokje verder voor een open router.

quote:

Op donderdag 7 december 2006 18:34 schreef Boef het volgende:
Tja, wat valt er te hacken? Als je PC virus en spyware vrij is en je hebt bestands deling uitstaan en je router wachtwoord staat niet op default. Sla ook geen bank of creditcard gegevens op op mijn PC ofzo. Het meest kwalijke wat ze dan nog zouden kunnen uithalen nadat ze alle moeite hebben genomen is gebruik maken van mijn internet-verbinding, lijkt me.

Je stelt een algemene vraag en vervolgens verwoord je hem naar je eigen situatie.

Het beveiligen van je netwerk is iets wat in mijn ogen een must is (voor mij persoonlijk en ook zakelijk gezien). Onbekende toelaten op je netwerk kan verschillende gevolgen hebben:

1) Meer kans op virussen
2) Meer kans op ongeoorloofd gebruik van je netwerk
3) Meer kans op het sniffen van verkeer over je netwerk, denk dan aan:
* mail (pop protocol verstuurd je wachtwoord clear text de lijn over)
* http (denk aan webmail, wachtwoorden van forums, etc etc)

Tevens zijn er steeds meer mensen die thuiswerken en ik mag aannemen dat je werknemer niet echt blij zal zijn als jij gevoelige data zomaar openzet.

Dit zijn allemaal redenen om een netwerk te beveiligen (zowel wireless als wired).

Ik vond de post waarin de verschillende beveiligingen werden vergeleken met sloten er goed. Ook de post over niet zozeer hacken van jou PC's maar dan wel het gebruik van je netwerk op een manier waarop jij je netwerk zou gebruiken (spam, etc).


persoonlijk heb ik het meer op je netwerk beveiligen dmv van WPA(2) en niet via MAC addressen. De laatste zijn makkelijk te spoofen en ik moet meer moeite doen om een nieuwe client toe te laten op mijn netwerk (maar dit is vooral luiheid en heeft niet zoveel met het beveiligen van mijn netwerk te maken) aangezien ik weer een MAC address moet toevoegen aan mijn wireless router.

Food for the mind:
http://en.wikipedia.org/wiki/Wi-Fi#Social_concerns
http://www.onguardonline.gov/wireless.html

Mac filter + wpa(2) encryptie. Klaar.

MAC adressen zijn geen obstakel. Het is kinderlijk eenvoudig om ze uit de lucht te pakken en te spoofen.

Je moet minimaal WPA draaien, het mooiste is dan AES encryptie met zo groot mogelijke key. WEP encryptie is in drie minuten te kraken.

Ik transmit niet mijn SSID, heb mac-filtering aanstaan, draai WPA-PSK met TKIP encryptie met een random 128-byte lange hexadecimale string als sleutel (helaas kan mijn wireless kaartje geen AES aan...)

...maar ik ben dan mischien een beetje paranoide...

Iedereen roept altijd wel dat WEP (en WPA) makkelijk te kraken zijn, maar je moet daarvoor wel eerst een X MB aan data ontvangen hebben. Als jij dus al je pc's uit hebt staan of je bent gewoon wat aan het fok'ken, is kraken van WEP toch ietwat moeilijker dan als hier gerefereerd wordt!

Dit is natuurlijk geen vrijbrief om WEP te gaan gebruiken, WPA(2) is uiteraard aan te bevelen.

quote:

Op zaterdag 9 december 2006 18:10 schreef Robbrs het volgende:
Iedereen roept altijd wel dat WEP (en WPA) makkelijk te kraken zijn, maar je moet daarvoor wel eerst een X MB aan data ontvangen hebben. Als jij dus al je pc's uit hebt staan of je bent gewoon wat aan het fok'ken, is kraken van WEP toch ietwat moeilijker dan als hier gerefereerd wordt!

Dit is natuurlijk geen vrijbrief om WEP te gaan gebruiken, WPA(2) is uiteraard aan te bevelen.

De tijd dat je X-mb aan data moest hebben om door een WEPkey te komen is allang voorbij.
Auditor bootable CDtje en je bent klaar. De benodigde data kun je zelf richting het AP genereren, daar hoeft de "gebruiker" niets voor te doen.
Letterlijk een kwestie van minuten.

quote:

Op dinsdag 5 december 2006 20:30 schreef Devrim_ het volgende:

[..]

WPA is ook vrij simpel te kraken hoor

...als je een key van twee karakters gebruikt. Met een fatsoenlijke key is het nog niet gekraakt zoals dat met WEP wel het geval is. WEP is flawed by design, WPA (nog) niet.

je kan toch geen 2x 1 MAC adress op 1 netwerk hebben en laat mijn router dat dan gewoon PATS boem verbinding met draadloos verbreken

quote:

Op zaterdag 9 december 2006 20:42 schreef Ou-Tannu het volgende:
je kan toch geen 2x 1 MAC adress op 1 netwerk hebben en laat mijn router dat dan gewoon PATS boem verbinding met draadloos verbreken

Dat kan niet als beide systemen zich netjes gedragen, maar dat gebeurt in het geval an een inbraak natuurlijk niet. Als je MAC's kan spoofen kan je b.v. data injecteren.

quote:

Op donderdag 7 december 2006 23:49 schreef wijsneus het volgende:
Ik transmit niet mijn SSID, heb mac-filtering aanstaan, draai WPA-PSK met TKIP encryptie met een random 128-byte lange hexadecimale string als sleutel (helaas kan mijn wireless kaartje geen AES aan...)

Ik heb laatst een el-cheapo WLAN routertje gekocht en dat ding doet zelfs 802.1x (moet je wel zelf een RADIUS server hebben draaien)

quote:

Op zaterdag 9 december 2006 23:08 schreef Aaargh! het volgende:

[..]

Dat kan niet als beide systemen zich netjes gedragen, maar dat gebeurt in het geval an een inbraak natuurlijk niet. Als je MAC's kan spoofen kan je b.v. data injecteren.

moauw injecteer lekker op mn aparte subnet

Ga nou niet denken dat de gemiddelde kwaadwillende geinteresseerd is in je computer of jouw persoonlijke gegevens. Dat zou wel het laatste zijn waar ze tijd in willen steken.

Ze willen gebruik maken van jouw internetverbinding, hetzij voor onschuldige doeleinden zoals 9292ov.nl, hetzij voor het verspreiden van porno en andere verboden zaken waar jij echter wel voor verantwoordelijk zult zijn aangezien dat via jouw verbinding is gegaan.

Maar, als je denkt dat je nooit een slachtoffer zult zijn, mag je het van mij open laten staan hoor. Ik neem aan dat je in dat geval ook geen zorgverzekering hebt (want je wordt toch nooit ziek?) en ook altijd 200 rijdt op de snelweg (want je krijgt toch nooit een ongeluk?).

Bovendien, als je router staat te zwoegen vanwege die encryptie, adviseer ik je om meer dan 20 euro te besteden aan een wireless router.

quote:

Op zaterdag 9 december 2006 18:10 schreef Robbrs het volgende:
Iedereen roept altijd wel dat WEP (en WPA) makkelijk te kraken zijn, maar je moet daarvoor wel eerst een X MB aan data ontvangen hebben. Als jij dus al je pc's uit hebt staan of je bent gewoon wat aan het fok'ken, is kraken van WEP toch ietwat moeilijker dan als hier gerefereerd wordt!

Dit is natuurlijk geen vrijbrief om WEP te gaan gebruiken, WPA(2) is uiteraard aan te bevelen.

Wat je zegt over WEP is al een tijdje achterhaald. http://www.smallnetbuilde(...)n_own_your_wlan_too/

quote:

Op zaterdag 9 december 2006 23:22 schreef Ou-Tannu het volgende:

[..]

moauw injecteer lekker op mn aparte subnet

Totaal irrelevant dat het in een ander subnet draait. Je injecteerd n.l. in een datastroom die al bezig is. Stel (worst case scenario): je zit met je laptopje lekker te downloaden en stel het is een .exe (b.v. de installer van winamp.) Dan is het mogelijk om een stukje code die een backdoor openzet te injecteren in die download, zodra jij de .exe aanklikt (die jij niet wantrouwt, omdat je 'm zelf gedownload hebt van de officiele website van winamp) ben je de lul. Als je vervolgens ook nog op een later tijdstip je laptop op het bedrade netwerk inplug (b.v. omdat je veel data moet kopieren en dat nu eenmaal sneller is). Dan kan de cracker op die manier verder doordringen in je netwerk.

quote:

Op zaterdag 9 december 2006 23:40 schreef Aaargh! het volgende:

[..]

Totaal irrelevant dat het in een ander subnet draait. Je injecteerd n.l. in een datastroom die al bezig is. Stel (worst case scenario): je zit met je laptopje lekker te downloaden en stel het is een .exe (b.v. de installer van winamp.) Dan is het mogelijk om een stukje code die een backdoor openzet te injecteren in die download, zodra jij de .exe aanklikt (die jij niet wantrouwt, omdat je 'm zelf gedownload hebt van de officiele website van winamp) ben je de lul. Als je vervolgens ook nog op een later tijdstip je laptop op het bedrade netwerk inplug (b.v. omdat je veel data moet kopieren en dat nu eenmaal sneller is). Dan kan de cracker op die manier verder doordringen in je netwerk.

moauw, dan moet die toch echt voor mn deur staan, en dan schop ik hem wel

quote:

Op zaterdag 9 december 2006 23:42 schreef Ou-Tannu het volgende:

[..]

moauw, dan moet die toch echt voor mn deur staan, en dan schop ik hem wel

Nee hoor, met een goeie antenne kom je een heel eind.

quote:

Op zaterdag 9 december 2006 23:48 schreef Aaargh! het volgende:

[..]

Nee hoor, met een goeie antenne kom je een heel eind.

tested it,

en besides, hidden SSID dus zo snel zal die al NIET op vallen iig niet van afstand