Hjälp med trådlöst nätverk och säkerhet

Tråden skapades och har fått 35 svar. Det senaste inlägget skrevs .

Hej!

Har äntligen fått mitt efterlängtade fiber! Har tänkt att koppla in min trådlösa router men jag insåg att jag inte har någon som helst koll på säkerheten runt den.
Hur ska jag konfigurera den för att få så säkert som möjligt? Vilka krypteringar ska jag använda?
Vad ska jag slå på/av på min macbook? Ska jag har kryptering på både datorn och routern?
Allt av intresse är välkommet!

Mvh Claes

  • Medlem
  • Skellefteå
  • 2008-07-23 12:27

Till att börja med bör du ändra namn/lösenord från det som är standard.
Vidare - välj WPA2/PSK (personal) som kryptering.

Vill du nu höja säkerheten ytterligare så kan du slå på och använda ett Mac-filter.
Mac-adressen är den unika adress som nätverkskortet har och med ett filter så måste en dator eller en enhet som ska anslutas ha rätt Mac-adress.

Slutligen - vill du att andra inte ska kunna se ditt nätverk så kan du slå av "broadcasting". Då måste du kunna namnet på nätverket för att kunna ansluta.

Tack för svaret!
Ett Mac-filter, som du nämner, hur funkar det att ansluta ipod touch och apple tv till? Något speciellt jag behöver tänka på?
Med dessa relativt enkla steg, kommer jag kunna sova gott om natten med vetskapen att ingen (normal) 15-årig snubbe sitter och snålsurfar på mitt nya fiber?

  • Medlem
  • Lund
  • 2008-07-23 20:40

Vad har du för router till att börja med?

WPA2 bör du köra med, förutsatt att din router har stöd för det. Dolt nätverk och MAC-filter (MAC, inte Mac, har inget med Macintosh att göra) går att komma runt utan allt för mycket besvär, men kan ändå ge ett visst grundskydd. WEP är väldigt lättknäckt (för den som är insatt).

Här finns lite mer att läsa: omWLAN.se - WLAN och säkerhet

  • Medlem
  • Skellefteå
  • 2008-07-24 11:01
Ursprungligen av hugin:

Vad har du för router till att börja med?

WPA2 bör du köra med, förutsatt att din router har stöd för det. Dolt nätverk och MAC-filter (MAC, inte Mac, har inget med Macintosh att göra) går att komma runt utan allt för mycket besvär, men kan ändå ge ett visst grundskydd. WEP är väldigt lättknäckt (för den som är insatt).

Här finns lite mer att läsa: omWLAN.se - WLAN och säkerhet

Ett MAc-filter är effektivt - oavsett om du kan byta MAC-adress på ett nätverkskort eller inte. Du måste ju veta till vilken MAC-adress du ska byta till för att du ska ta dig in - eller hur?

Vidare så består ett skydd av sina olika delar - inte enskilda bitar - eller hur?

WPA, MAC-filter och namn/lösenord är tillsammans ett effektivt skydd för ett trådlöst nätverk. Nu tror jag att vi är eniga om det - jag ville bara förtydliga så att folk inte får för sig att MAC-filter är enkelt att ta sig runt - om filtret kombinerats med andra skydd.

När det gäller WEP håller jag med dig, helt och hållet. Det är en gammal krypteringsmetod som det numera är tämligen enkelt att knäcka även för en oinsatt då det finns program att ladda ned för att göra det med.

  • Medlem
  • Stockholm
  • 2008-07-24 15:38
Ursprungligen av Northwiz:

Du måste ju veta till vilken MAC-adress du ska byta till för att du ska ta dig in - eller hur?

Vad jag vet så sänds MAC-adressen ut på ett sådant sätt att den är enkel att ta reda på. Alltså kan man egentligen strunta i det. Bättre att fokusera på ett riktigt bra lösenord och att byta ut nycklarna ofta.

  • Medlem
  • Skellefteå
  • 2008-07-25 12:03
Ursprungligen av acke:

Vad jag vet så sänds MAC-adressen ut på ett sådant sätt att den är enkel att ta reda på. Alltså kan man egentligen strunta i det. Bättre att fokusera på ett riktigt bra lösenord och att byta ut nycklarna ofta.

Det är den här typen av analyser och invändningar som inte sällan slutar med en dikeskörning.

Ingen har föreslagit ett MAC-adressfilter som enda skydd utan som ett komplement till flera andra skydd. Det är helheten som ger att bra skydd - inte varje enskild del.

Vidare - syns inte ditt trådlösa nätverk så är inte heller det ett särskilt effektivt skydd - enskilt men tillsammans med kryptering, namn/lösenord, MAC-filter så blir det en bra helhet.

Skydd och larm finns där för att den som vill ta sig in ska välja ett annat lättare mål/offer. Det är så billarm fungerar. Du har inte ett larm primärt för att ingen ska bryta sig in i din bil. Du har ett larm för att de ska välja grannens bil.

Detsamma gäller skydd runt datorer och nätverk. Krånga till det tillräckligt så väljer brottslingen ett annat mål.

  • Medlem
  • Stockholm
  • 2008-07-25 12:55
Ursprungligen av Northwiz:

Det är den här typen av analyser och invändningar som inte sällan slutar med en dikeskörning.

Ingen har föreslagit ett MAC-adressfilter som enda skydd utan som ett komplement till flera andra skydd. Det är helheten som ger att bra skydd - inte varje enskild del.

Inte jag heller. Men håller inte med dig.
Fast om två säkerhetsinställningar tar 5 min att knäcka är det då värt att ens lägga in? Svårt att se att en "hacker" ger upp pga det eller glömmer att kolla MAC-skyddet.

Om vi ska fortsätta med dörrliknelse är det som att sätta upp snubbeltråd av tandtråd i trappuppgången.

Men frågan är inte enkel, beror helt på hur pass hur mycket man har att skydda. Jag vet ställen jag jobbar med som har helt uppsäkrat MEN har så mycket folk in och ut så "alla" vet lösenordet. Beror på bransch och säkerhetsbehov helt klart.

  • Medlem
  • Skellefteå
  • 2008-07-25 15:03
Ursprungligen av acke:

Inte jag heller. Men håller inte med dig.
Fast om två säkerhetsinställningar tar 5 min att knäcka är det då värt att ens lägga in? Svårt att se att en "hacker" ger upp pga det eller glömmer att kolla MAC-skyddet.

Om vi ska fortsätta med dörrliknelse är det som att sätta upp snubbeltråd av tandtråd i trappuppgången.

Men frågan är inte enkel, beror helt på hur pass hur mycket man har att skydda. Jag vet ställen jag jobbar med som har helt uppsäkrat MEN har så mycket folk in och ut så "alla" vet lösenordet. Beror på bransch och säkerhetsbehov helt klart.

Slå på och använd de skydd och de funktioner som finns i din router. Sammantaget ger de ett bra skydd. Jag har liksom lite svårt att hänga med i en diskussion som ska bygga på någon slags sannolikhetsbedömning och att någon skulle sitta utanför huset/lägenheten i avsikt att stjäla information.

Det vi diskuterar är någon som passerar med en handdator, en laptop eller liknande och som vill "låna" din uppkoppling. Eller en snål, nyfiken granne. Då ser jag ingen anledning i att inte använda de skydd som finns i routern.

  • Medlem
  • Stockholm
  • 2008-07-25 15:42
Ursprungligen av Northwiz:

Slå på och använd de skydd och de funktioner som finns i din router. Sammantaget ger de ett bra skydd. Jag har liksom lite svårt att hänga med i en diskussion som ska bygga på någon slags sannolikhetsbedömning och att någon skulle sitta utanför huset/lägenheten i avsikt att stjäla information.

Det vi diskuterar är någon som passerar med en handdator, en laptop eller liknande och som vill "låna" din uppkoppling. Eller en snål, nyfiken granne. Då ser jag ingen anledning i att inte använda de skydd som finns i routern.

Konstig diskussion det här. Vad jag menar är att alla andra lösningar än WPA2 är sådant man snabbt och enkelt kan gå förbi och därför inte spelar någon stor roll att ha på.
Lösenordet skyddar mot alla som tillfälligt passerar och snåla grannar. Databrottslingar stoppas ändå inte av dolt SSID och MAC utan bara av ett bra lösenord.

Men jag kan hålla med om att det här blev en ickediskussion.

  • Medlem
  • Skellefteå
  • 2008-07-25 18:00
Ursprungligen av acke:

Konstig diskussion det här. Vad jag menar är att alla andra lösningar än WPA2 är sådant man snabbt och enkelt kan gå förbi och därför inte spelar någon stor roll att ha på.
Lösenordet skyddar mot alla som tillfälligt passerar och snåla grannar. Databrottslingar stoppas ändå inte av dolt SSID och MAC utan bara av ett bra lösenord.

Men jag kan hålla med om att det här blev en ickediskussion.

Jag förstod precis vad du menade, redan första gången.

  • Medlem
  • Stockholm
  • 2008-07-25 18:51
Ursprungligen av Northwiz:

Jag förstod precis vad du menade, redan första gången.

Jag förstod dig med. Då lägger vi ner den här sidokonversationen.

Tjena! Jag har en Netgear WGT624 108Mbps router. Det står (på kartongen) "Säkerhet: WPA/PSK". Antar att det inte är detsamma som WPA2? Kan en 108Mbps-router komma upp i hastigheten av mitt fiber, 10/10?

Mvh Claes

  • Medlem
  • Lund
  • 2008-07-23 21:44

WPA2 är nyare och bättre än WPA, men så länge det är WPA och inte WEP är det bra.

Det räcker gott med vanlig 802.11g (54 Mbit/s) för att matcha din 10 Mbit/s ut ur huset.

  • Medlem
  • Lund
  • 2008-07-24 11:31

Det jag menade var att MAC-filter och dolt SSID är lätt att ta sig förbi, så man ska inte förlita sig på enbart det. Det är så klart bättre än inget, precis som WEP. Men för den som vill komma förbi så är det inte något jättestort problem. MAC-adresserna skickas ju mellan klienterna och routern, så det är ju bara att sniffa upp en MAC-adress och "låna" den.

Kör man med WPA så är man betydligt säkrare, och det är klart att det inte blir sämre av att man döljer SSID och lägger på MAC-filter på det.

Min Netgear-router klarade bara WEP, så jag körde även med MAC-filter och dolt SSID för att vara så säker som det gick under förutsättningarna. Nu har jag bytt router till en som har WPA2, och jag har inte brytt mig om att slå på MAC-filter på den. Det är trots allt lite meck när det kommer gäster. Däremot har jag dolt SSID för att inte fresta grannarna.

  • Medlem
  • Skellefteå
  • 2008-07-25 11:57
Ursprungligen av hugin:

Det jag menade var att MAC-filter och dolt SSID är lätt att ta sig förbi, så man ska inte förlita sig på enbart det.

Jag kan bara instämma och vi är överens - som jag trodde.

SSID och macfilter är standard tycker jag att ha. Du sliper då ifrån att nån råkar snåla på ditt nät för det syns inte och förösker folk koppla upp sig så går det inte pga macadressen. Men det går ju förstås att ta sig in, så en kryptering är bra att ha också.

  • Medlem
  • Lund
  • 2008-07-24 15:17

Dolt SSID + MAC-filter håller vanliga gratissurfare och andra nyfikna borta. Men de är å andra sidan inte direkt något hot.

De personer som man verkligen inte vill ha in på nätverket kommer dock in ändå. Det är därför man vill ha WPA2.

  • Medlem
  • Linköping
  • 2008-07-25 12:10

Någon som är mycket viktigare än att använda MAC-filter eller dölja SSID är att använda ett bra lösenord för WPA-PSK-krypteringen.

  • Medlem
  • Skellefteå
  • 2008-07-25 12:18
Ursprungligen av bolle:

Någon som är mycket viktigare än att använda MAC-filter eller dölja SSID är att använda ett bra lösenord för WPA-PSK-krypteringen.

Säkerhet handlar inte om det ena eller det andra - utan om en helhet och en kedja. Det är inte ovanligt att folk, i den här typen av debatter, föreslår att "äsch, det kan där kan vem som helst knäcka på 5 minuter så skippa det".

Nu ska inte nätverket skyddas mot "vem som helst" utan det ska skyddas på ett så bra sätt som det är möjligt med de åtgärder som står till buds och med det som en ordinär router brukar innehålla.

- Bra lösenord - minst åtta tecken, blanda siffror och bokstäver - gemena och versala tecken
- WPA/WPA2 - bra kryptering
- MAC-filter
- Slå av "utannonseringen/broadcasting"
- Håll koll på ditt nätverk och dina burkar
- Byt lösenord och nycklar då och då

Helheten bildar ett bra skydd. Sen kan du aldrig skydda dig mot den som verkligen vill in. Om inte annat så sopar vederbörande in dörren kliver in och tar det han/hon vill ha - då du inte är hemma.

  • Medlem
  • Linköping
  • 2008-07-25 12:20
Ursprungligen av Northwiz:

Är det överhuvudtaget någon som inte har föreslagit det eller som har haft invändningar mot det?

Säkerhet handlar inte om det ena eller det andra - utan om en helhet och en kedja.

Jag kunde inte se något om vikten att använda lösenord med 63-tecken och alla tillåtna ascii-tecken, istället för "hejsan".

  • Medlem
  • Skellefteå
  • 2008-07-25 12:24
Ursprungligen av bolle:

Jag kunde inte se något om vikten att använda lösenord med 63-tecken och alla tillåtna ascii-tecken, istället för "hejsan".

ABC
123

Klassiker.

Jag håller helt med dig.

Ursprungligen av Northwiz:

Säkerhet handlar inte om det ena eller det andra - utan om en helhet och en kedja.

Helheten bildar ett bra skydd. Sen kan du aldrig skydda dig mot den som verkligen vill in. Om inte annat så sopar vederbörande in dörren kliver in och tar det han/hon vill ha - då du inte är hemma.

Är precis detta folk inte inser. Jag har själv sysslat med en del säkerhetsarbete och då inser man att larm och dylika åtgärder är till för att försvåra brott inte förhindra

Och det man ska fråga sig är inte hur skyddar jag mig? Utan fråga istället vad är hotet mot dig och hur skyddar du dig mot det

  • Medlem
  • Skellefteå
  • 2008-07-25 15:05
Ursprungligen av poseidon84:

Är precis detta folk inte inser. Jag har själv sysslat med en del säkerhetsarbete och då inser man att larm och dylika åtgärder är till för att försvåra brott inte förhindra

Och det man ska fråga sig är inte hur skyddar jag mig? Utan fråga istället vad är hotet mot dig och hur skyddar du dig mot det

Ungefär så ser jag också på frågan. Försvåra, så går tjuven eller databrottslingen vidare.

  • Medlem
  • Stockholm
  • 2008-07-26 04:50

Jag tycker inte det här var en sidokonversation. Tråden handlade väl om vad som var ett vettigt skydd för ett trådlöst nätverk. Jag håller helt med Acke här. Om jag inte missat något är MAC-utdelning och dolt SSID överflödigt och bara en ytterligare komplikation när du ska låta vänner få ta del av nätverket. Du måste ändra i routern och starta om den istället för att "bara" dela ut ett lösenord.

En förbipasserande snålsurfare ser inte nätverket och försöker inte ansluta till det eller får ett meddelande i stil med "din dator finns inte med i listan över tillåtna datorer". Utan dessa men med WPA2 uppmanas han mata in ett lösenord. Med WPA2 är detta i princip omöjligt att knäcka inom rimlig tid.

En enveten hacker som har gett sig tusan på att knäcka ditt nätverk har antagligen (inte helt osannolikt i likhet med den förbipasserande snålsurfaren) redan någon widget eller program som visar signalstyrkan (typ "airport radar") och namnet på ditt nätverk och har därmed redan från början "tagit sig förbi" dolt ssid. Någon minut senare har han även sett mac-adressen hos någon klient som tillåtits anslutning till nätverket. Sedan sitter han där, precis som snålsurfaren med ett 128-bitars WPA-lösenord att mata in. Ett skydd som alla kan ta sig förbi är i mina ögon inget skydd. Hade det inte därtill nackdelar kunde man väl ändå lägga in det men om det försvårar för vänner att använda det är det väl nästan bara opraktiskt? Det är väl i princip bara vad Acke sa men ville bara förtydliga.

  • Medlem
  • Skellefteå
  • 2008-07-26 10:39

Jag tror inte att vare sig din granne eller "snålhackaren" vet hur du sniffar nätverkstrafik, tar reda på en MAC-adress eller bryr sig om att leta reda på ett nätverk som inte syns i listan i hans/hennes program.

Det är skillnaden mellan våra olika resonemang.

  • Medlem
  • Stockholm
  • 2008-07-26 14:30
Ursprungligen av Northwiz:

Jag tror inte att vare sig din granne eller "snålhackaren" vet hur du sniffar nätverkstrafik, tar reda på en MAC-adress eller bryr sig om att leta reda på ett nätverk som inte syns i listan i hans/hennes program.

Det är skillnaden mellan våra olika resonemang.

Menar du att WPA2 är överflödigt eftersom grannen eller snålhackaren inte kan komma förbi det andra?

Annars hänvisar jag till Ackes snubbeltråd.

En googling på "hidden ssid" säger väl det mesta.

Edit: Fast jag håller med om att man ändå kan använda det, fast av artighetsskäl snarare än något annat. Så slipper man fylla listan för folk som söker efter öppna trådlösa nätverk.

  • Medlem
  • Skellefteå
  • 2008-07-26 20:40
Ursprungligen av sodemus:

Menar du att WPA2 är överflödigt eftersom grannen eller snålhackaren inte kan komma förbi det andra?

Nej, det menar jag naturligtvis inte och det hade du förstått också om du du hade läst alla mina tidigare inlägg, ovan.

  • Medlem
  • Stockholm
  • 2008-07-28 03:02
Ursprungligen av Northwiz:

Nej, det menar jag naturligtvis inte och det hade du förstått också om du du hade läst alla mina tidigare inlägg, ovan.

Det är svårt att vara envis när du är så trevlig och tålmodig (ingen ironi om det nu skulle behöva förtydligas).
Jag har läst dina inlägg men förstår fortfarande inte vilka "dolt ssid" och mac adress-lista skyddar mot om man redan har WPA2 aktiverat. Vilka är det som kan knäcka ett WPA2-lösenord men inte kan få fram dolt ssid eller spoofa mac adressen?

  • Medlem
  • Skellefteå
  • 2008-07-28 09:46
Ursprungligen av sodemus:

Det är svårt att vara envis när du är så trevlig och tålmodig (ingen ironi om det nu skulle behöva förtydligas).
Jag har läst dina inlägg men förstår fortfarande inte vilka "dolt ssid" och mac adress-lista skyddar mot om man redan har WPA2 aktiverat. Vilka är det som kan knäcka ett WPA2-lösenord men inte kan få fram dolt ssid eller spoofa mac adressen?

Då har du nog missat min poäng en smula.

Jag föreslår att du slår på de skydd och använder de metoder som finns - om det passar dig och om det fungerar för hur du ska använda ditt nätverk. Alltså MAC-filter, dolt nätverk, namn/lösenord och WPA2. Det är inte en fråga om vad som ska väljas utan mitt råd är - välj allt som du har i din router. Det är helheten, kedjan och alla åtgärder som sammantaget som ger ett bra skydd.

Ska du skydda ett hus så sätter du inte enbart på bra lås. Du kompletterar med ett larm men du stannar inte vid att enbart larma dörrarna. Du larmar fönstren också. Du kanske inför inpasseringskontroller med kortläsare men för att göra det enkelt så låter du folk komma in enbart med lösenord under kontorstid (inte kort och lösenord). Utanför kontorstid så krävs både kort och lösen för att komma in därför att huset är mindre befolkat.

Ett MAC-filter kan stoppa, dolt nätverk kan stoppa, namn/lösenord i kombinaton med WPA2 gör det definitivt. Kan du "skrämma" bort tjuven redan med ett dolt nätverk så är mitt råd - men gör det då. Använd de metoder som finns. Det är det jag menar och ingenting annat.

Bevaka tråden