Låsa trådlöst nätverk

Du kan spärra bort alla datorer utom dina egna genom att bara tillåta vissa MAC-adresser.
RTFM:
ftp://downloads.netgear.com/files/wgr614_ref_manual.pdf
MAC-adressen på din Mac hittar du (om jag inte minns fel) i Systeminställningar - Nätverk- AirPort.
Sök också här på forumet. Tror att frågan har varit uppe tidigare.
Lycka till!

MAC-adresen heter kanske nåt i stil med AirPort ID och bör finnas där jag skrev nyss.
Hoppas att nån mer kan hjälpa till. Jag har inte AirPort här, så jag kan inte kolla upp exakt hur det ser ut.

MAC adressen går att sniffa. Sen kan grannen lägga in din MAC adress i sin dator och koppla upp sig igen.

Netgear stöder fortfarande bara WEP kryteringen som inte heller duger nåt till.

Apples egen Airport klarar sedan ett litet tag den nya WPA som fungerar lite bättre iaf (Netgear verkar inte ha uppgraderat sina)

Det stämmer inte, Netgear stödjer WPA precis som Airport.

Den 15 Januari 2004 kunde den kanske inte det...

Uj då, tycket det var betydligt nyare, lite kul att denna tråd väcks till liv igen.

Efter att jag är inne på min andra Netgear kan man konstatera att dom funkar riktigt hyfsat med Macar, däremot började det krångla så fort jag fick in XP-klienter på det trådlösa nätet av någon anledning.

På Systeminställningar > Nätverk > TCP/IP finns det ett fält som heter DHCP klient-ID. Antagligen är det den du letar efter.

Eller så är det Systeminställningar > Fildelning som de syftar på. När jag ändå nämner det, vad är egentligen anledningen att skilja på dessa och varför kan man inte få samma namn i båda?

Jorå, det duger till att hålla nyfikna grannar borta som tror att sniffa bara är nåt man kan göra med lim.

Det hindrar även folk som wardrive:ar att utnyttja ens nät eftersom det är betydligt enklare att hitta ett nytt öppet nät en knäcka ett slutet.

Men det beror väl ändå på vilken standard man har? Det är väl bara AirPort Extreme (11g) som kan använda WPA?

Du ska ställa Netgearen på 128-bitars WEP. Du ser antagligen fyra nycklar (1-4) i hex. Nyckel 1 tar du och skriver in i dina nätverksinställningar under Aiport. Observera att du måste markera att det är 128-bitars hex som anges. Sedan ska det funka.

Förutom WEP och MAC-adresseringsfiltret så bör du också dra igång din interna brandvägg på dina klienter bakom Netgearen för att förhindra att någon kan ta sig in där.

Kontrollera att du har inloggning tillslagen för alla som nyttjar datorerna.

Kontrollera att du inte tillåter anslutning till dom olika klienterna utan inloggning och lösenord.

Se till att välja ett lösenord om minst sex bokstäver varav åtminstone 1-2 st. bör vara "konstiga" tecken, typ %*!?\€$£& eller motsvarande.

Ett litet extratrick man kan testa med är att "blanka ut" SSID-namnet. Funkar det utan att det står något i SSID har man gjort det betydligt svårare för en hacker då nätet inte längre syns när man scannar.

Behöver man ha mer säkerhet än så här ska man nog överväga att kommunicera med VPN istället eller köpa en annan basstation som stöder WPA.

Med 128-bitars WEP (ja man kan ju inte ha WPA enbart om man har 11b-klienter) och MAC-adresslåsning så bör man vara säker från Medel-Svensson iaf :]

Men vilken *x-människa som helst vet att det går att klona och spoofa MAC-adresser... men nu tror jag väll inte att din granne är så smart

Må ju så vara,men aktiverar vi våra skydd bakom basstationen på klienten så kommer han ju inte åt nåt viktigt. Som mest kan han ju då bara använda anslutningen ut, vilket i sig kan vara allvarligt om det är någonting elakt han tänker ägna sig åt (då det ser ut som någon annan som gör det utåt).

Den här snubben har byggt ett wlan-nät hemma och dokumenterat sina erfarenheter:
http://www.faughnan.com/wirelesshome.html

Sektion om wlan-/airportsäkerhet:
http://www.faughnan.com/wirelesshome.html#802.11bSecurity

Räckte det med safirs förklaring eller vill du ha mera hjälp?

När du aktiverat Airport går du till Airport-ikonen i den övre listen (högst upp på skärmen). Du väljer ditt nätverk i listan. Då syker en ruta upp som heter "ange lösenord". Överst i rutan står det "trådlös säkerhet", det som är standard är att den står i läge WEP-lösenord. Klicka på den och du får ytterligare tre val att välja mellan 40/-128 bitars hex. 40/-128-bitars ASCII samt LEAP. Välj 40/-128 bitars hex. Skriv in ditt lösenord i hex, i 128-bitar innebär detta att det måste vara 26tecken. Hexlösenordet hittar du i ditt webbgränssnit för basstationen, sannloikt under "advanced" och "wireless".
Använd den hexkombination som står vid "key1". Spara lösenordet i nyckelringen (kryssa i rutan i "ange lösenord")

Detta förutsätter såklart att basstationen står i läge 128-bitars WEP.

Voila, nu ska det funka (iaf vad gäller kryptering). Sen tillkommer ju MAC-adressfiltret med det har du väl kläm på redan?

Man ska ju kunna skriva in ett lösenord som vanlig text och få det konverterat rätt automatiskt, men ibland strular det och det slutar ofta med att jag skriver in hela den långa hex-strängen (a398d8ff22... osv) för att få det att fungera.

Angående den sista länken så skulle jag vilja göra några kommentarer på lite olika ställen.

"The basic problem is that anyone with a $200 Linux box, a $60 wireless card, and AirSnort (free) can hack into a generic_ encrypted WLAN. If encryption is 40 bit and network traffic is veryheavy, this takes about 30-60 minutes. Heavy traffic and 128 bit takes 1-6 days to crack. Light traffic (home use) and 128 bit takes 6-12 months for enough packets to pass through (and who would bother?)."

Kanske det, men man ska tänka på att räckvidden ofta är MYCKET begränsad för en sådan här utrustning. Men, visst sitter det en potentiell hacker inom den räckvidden så okej för det då!

'AirSnort requires approximately 5-10 million encrypted packets to be gathered. Once enough packets have been gathered, AirSnort can guess the encryption password in under a second."

Huruvida det tar unbder en sekund eller inte är irrelevant, men det är rätt att det måste till ytterligare säkerhetsåtgärder för att man ska få till ett godtagbart skydd.

"Effective Strategy I"

"Buy a proprietary solution that provides better security. The most standard of these "non-standard" solutions basically use Public Key standards (Kerberos) to update the WEP clients with new 128 bit WEP encryption passwords every few minutes."

För en normal Svensson håller jag inte med, gör istället allt du kan göra så kan du få en hyfsad säkerhet som säkert är tillräcklig för dom flesta.

"Generally Effective Strategy II"

"Enable WEP, and insist on 128-bit WEP capability._ Nearly all Wi-Fi certified product ships with at least basic (crummy, 40 bit) encryption capabilities, but they're disabled by default. You need 128 bit."

Det är rätt

"Only purchase access points that have flashable firmware -- in case fixes ever emerge."

Irrelevant, alla basstationer går att nollställa om man så skulle vilja (hårt)

"Don't do backups over a WLAN, in fact, don't do heavy traffic. (WLAN's are too slow for heavy traffic anyway.)"

Irrelevant, står man ut med att det tar tid så kör för det. Antar att han syftar på att det skulle kunna gen material för att knäcka nyckeln. Om man är orolig för det, byt nyckel efter backuptagning....

"Change your WEP passwords every 2-3 months (so traffic sampling won't build up enough data)"

Okej för det även om det för en vanlig Svensson kanske är lite häftigt, men okej för det då.

"Tighten up all your shares with solid passwords and don't use any software that would pass those passwords over the LAN. Assume, in other words, that your LAN is public"

Riktigt, vill man skydda känslig information på nätet kan man alltid textskydda det med tex ett filkrypto (tex. PGP).

"Change the default password on your access point or wireless router."

JA, viktigt, alltför många låter admin med lösenord "1234" ligga kvar. Ren katastrof säkerhetsmässigt.

"Consider moving your WAP into a "DMZ" or limiting WAP access to Internet services only. This makes the WAP less useful (can't access wired LAN assets from your wireless client), but it's much safer."

Det är ju väldigt säkert men det finns ju också den lite enklare möjligheten att slå till brandväggar på alla klienter bakom basstationen samt med inloggning. Då blir det genast svårare att göra något även om man skulle komma in på det lokala nätet.

"Known Ineffective Strategies"

"These probably only work against a very naive attacker, and they'd be defeated by the WEP encryption anyway."

"You need to change the WLAN_ SSID to something distinctive to enable users to easily move between WLANs. Since WAPs usually broadcast the SSID, others will see it - so don't give it a name you don't want others to see. If your access point can disable SSID broadcast (mine cannot) you can make it a kind of cheap, crummy, easily defeated password. If you want to do that don't change the SSID to reflect your company's main names, divisions, or products. Don't change the SSID to your street address. If you try this feeble method, the client SSID must be manually set to match the WLAN SSID. I don't think it's worthwhile."

Rätt, detta här vi beskrivit tidigare i tråden.

"Many access points allow you to control access based on the MAC address of the client NIC attempting to associate with it. Enable this. (But packet analysis will pick up MAC addresses, so this is probably pointless unless one doesn't even use WEP. It's probably more bother than it's worth."

Helt fel, det höjer ribban lite till och är väldigt enkelt att implementera. Kan vara tillräckligt för att en hackare inte ska orka bry sig utan fortsätter leta efter en vidöppen basstation istället.

"If you're deploying a wireless router, think about assigning static IP addresses for your wireless NICs and turn off DHCP"

Ja, fungerar bra så länge det är statiskt läge vad gäller klienter. Är det så att klienter kommer och går så är det ett pyssel att hålla på med hela tiden.

"If you're using a wireless router and have decided to turn off DHCP, also consider changing the IP subnet. Many wireless routers default to the 192.168.1.0 network and use 192.168.1.1 as the default router, if hackers guess this configuration they can connect with a fixed IP"

De enda serier man ska använda är dom som inte få användas på nätet för att undvika fölrvirring, dessa är 192.168.X.X, 169.X.X.X och 10.10.X.X. Sistnämnda är inget bra att använda då telia av någon outgrundlig anledning använder denna.

"Consider using an additional level of authentication, such as RADIUS, before you permit an association with your access points, or if you need only one AP (home) disable association if possible. Orinoco access points, for example, can enforce RADIUS authentication of MAC addresses to an external RADIUS server. Intermec access points include a built-in RADIUS server for up to 128 MAC addresses."

Få basstationer i hemmiljöer har möjligheter liknande RADIUS.

"Look for products that support additional security features that are either not defined by the 802.11b standard, or not mandated by the standard. For example Agere Systems' Orinoco access points include a feature called "closed network". With Orinoco's closed network, the AP doesn't broadcast the SSID, so someone using NetStumbler won't see it. The client workstation must be configured with a matching SSID to associate with the AP. The default "ANY" configuration wouldn't associate with a closed network."

Då måste man kolla noga så att man verkligen vet att dessa specialfunktioner verkligen funkar på våra Macar. Skulle kunna vara VPN eller WPA tex.

"Locate access points toward the center of your building rather than near the windows to reduce external emissions."

Man kan ofta inte välja var basstationen ska sitta då det ofta hamnar i anslutning till första uttag i ADSL eller kabeluttag eller motsv. Men visst ligger det lite i det. Men om man placerar basstationen så den ger sämre mottagning (lägre kvalitet) sjunker också hastigheten, detta gäller även för alla säkerhetsfunktioner du lägger på. Med max. säkerhet sjunker den praktiska nyttolasten i ett nät ner till cirka hälften mot angiven standard.

Bra genomgång Safir!

Strålande, tack.

precis. vem sitter med alla portar öppna ens inom det lokala nätverket lixom?

Det är väl 192.168.X.X, 172.16.0.0-172.31.255.255 och 10.X.X.X som är de _privata_ ip-serierna och de som ska användas i dessa sammanhang.

Alltför många är jag rädd.

Ska det vara så jämrans svårt att "låsa" sin router till sina egna datorer?
Nu har jag läst allas inlägg, för jag hoppades detta skulle hjälpa mig.
Inte tusan är det väl meningen att man ska vara raketforskare för att skydda sitt nätverk?
Klart o-macigt...