Att skydda sin airportanslutning ?

Tråden skapades och har fått 29 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • 2003-10-13 15:32

Hej, hur kan jg kontrollera att vi har alla inställningar rätt så att inte grannen kan surfa via min Airport ? Plötsligt så ser jag nu hans nätverk i under min Airport ikon, så det betyder väl att han kan se vårt ?

Känns lite obehagligt...

Mvh

  • Oregistrerad
  • 2003-10-13 16:30
Citat:

Skrevs ursprungligen av tby
Plötsligt så ser jag nu hans nätverk i under min Airport ikon, så det betyder väl att han kan se vårt ?

Ditt nätverk behöver inte vara öppet bara för att hans är det. Jag har inte airport men numera har nästan alla enheter möjlighet till kryptering antingen med vanlig WEP (en nyckel) eller WPA (nyckel ändras automatiskt med tiden). Du kan sätta att endast ett godkänt nätverkskort släpps in antingen i enhet eller genom en separat radius server. Du kan även använda vpn för att kryptera trafiken.

Manualen till airport beskriver hur du kopplar på wep. Gör det!

Sätta upp nätverk med airport extreme

Sätt igån accesslista, fliken Åtkomst, så kan ingen som inte finns i den komma åt något via airporten, upprätta även en slutet nät, fliken Airport, så syns inte ditt nät utåt. Du måste då ange vilken nät (namnet) du vill ansluta till.
Använd wep om du vill kryptera trafiken, sen kan du sova lugnt

  • Oregistrerad
  • 2004-02-10 17:56
Ursprungligen av Christer N-L:

Använd wep om du vill kryptera trafiken, sen kan du sova lugnt

Sist jag kollad var WEP fortfarande en undermålig teknik, om än bättre än inget. Skulle aldrig bara lita till WEP om jag nu körde Airport.

  • Medlem
  • Helsingborg
  • 2003-10-13 17:31

Ställ in så att bara dom med rätt MAC adress (står på AP kortet) kan surfa

  • Oregistrerad
  • 2003-10-13 23:15
Citat:

Skrevs ursprungligen av Christer N-L
Använd wep om du vill kryptera trafiken, sen kan du sova lugnt

Har det hänt något med WEP den senaste tiden som gör det säkrare? När jag för ett par år sedan var "WLAN"-ansvarig för vår "skaffa bredband till våran ort"-grupp så surfade jag runt en hel del på "nätet" och kollade WLAN-säkerhet. Läste allt jag kom över, och var det något jag snabbt blev varse så var det att WEP är bättre än ingenting, men långt ifrån tillräckligt om man vill sova lugnt. Mina filer är även från 2002, men WEP var inget allenarådande alternativ då heller.

WEP-kryptering går att knäcka, och tydligen är det inte "rocket science" heller. Men om man har kryptering, åtkomstlista och ett slutet nätverk så kan man nog faktiskt sova ganska lugnt, åtminstone som hemanvändare. Om man vill vara lite säkrare så byt krypteringsnyckel ibland och även namnet på nätverket.

http://airsnort.shmoo.com/ här finns info om ett program som används för att knäcka wep-kryptering + lite allmän info om hur det funkar. Samt även en länk till hur man gör det med sin iBook

Citat:

Skrevs ursprungligen av Jörgen U
Har det hänt något med WEP den senaste tiden som gör det säkrare?

Näe, inte vad jag vet. Däremot finns WPA, som nämnts i tråden, som är säkrare. Men (och detta är jag inte helt säker på, rätta mig gärna) WPA finns inte i 802.11b, däremot i 802.11g.

  • Medlem
  • Uppsala
  • 2003-10-14 13:07
Citat:

Skrevs ursprungligen av Adrian B
Näe, inte vad jag vet. Däremot finns WPA, som nämnts i tråden, som är säkrare. Men (och detta är jag inte helt säker på, rätta mig gärna) WPA finns inte i 802.11b, däremot i 802.11g.

WPA är väl inte helt färdigt och stndardiserat än, men ny utrustning ska i regel vara kompatibel med WPA, dvs. gå att uppdatera firmware till WPA den dagen då allt blir fastställt.

Stora begränsningen i WEP är att det bara är själva nyckeln som går i högre krypteringsskydd (128 bitar). Även fast man ställer in 128-bitars kryptering skickas själva informationen över i 40-bitars kryptering.

Sen är WEP-algoritmen kritiserad för att vara alltför simpel och lättknäckt.

Tips till trådlösa nätverkare:

1. Slå till WEP-kryptering (så mycket som möjligt)
2. Slå till MAC-adresslåsningen på angivet nätverk så att endast specificerade nätverkskort tillåts ansluta.
3. Se till att ha brandväggar installerade och igång på alla klienter, definiera därefter upp exakt vilken åtkomst som man tillåter mellan vilka klienter (på portnivå och lokalt IP-nummer)

Det man även skulle önska sig var att man kunde radera namnet på nätverket (SSID) så att det inte syns publikt i alla snort-verktyg fast nätverket finns där om man vet om det. Dessvärre tror jag inte den möjligheten finns med Macar och Airport. Jag tror Macen kräver en SSID för att kunna logga på, men om någon har andra erfarenheter får ni gärna rätta mig.

SSID går att stänga av (iaf på vår AE Basstation)..

  • Medlem
  • Uppsala
  • 2003-10-14 14:01
Citat:

Skrevs ursprungligen av Jürgen B
SSID går att stänga av (iaf på vår AE Basstation)..

Jodå, det brukar det göra på de flesta basstatione jag sett, frågan är om Macarna i nätverket köper det. Nån som har testat?

  • Medlem
  • 2003-10-14 14:57

Som vanligt får man tacka för alla bra tips man får här på forumet. Här finns dock en hel del för Apple att göra vad gäller användarvänligheten. det är inte helt enkelt att skydda sig om man inte har kunskaperna.

Hur vet man exempelvis vilka MAC adresser mina nätverkskort har ?

Mac adress / Ethernet adress står i Systeminställningar / Nätverk / resp kort

Det fungerar utmärkt att ansluta Macar till SSID disablade nätverk.
Dessutom är Apples basstationer de enda jag sett som stödjer SSID (disabled).

Min D-Link klarar det inte, ej heller en NetGear jag fifflat med..

MAC adressen står även på Nätverkskortet - om man har det i handen vill säga, o ej instoppat i datorn.

  • Oregistrerad
  • 2003-10-14 23:46

I terminalen får man fram MAC-adresserna med kommandot ifconfig.

  • Medlem
  • Uppsala
  • 2003-10-15 17:27

Man kan även använda Apple systeminformation (om den här datorn) under Applemenyn. Under Nätverksöversikt står din MAC-adress (Ethernet-adress).

  • Medlem
  • Uppsala
  • 2003-10-15 17:28
Citat:

Skrevs ursprungligen av Jürgen B
Det fungerar utmärkt att ansluta Macar till SSID disablade nätverk.
Dessutom är Apples basstationer de enda jag sett som stödjer SSID (disabled).

Min D-Link klarar det inte, ej heller en NetGear jag fifflat med..

Det var väl märkligt, det ska gå att stryka SSID i basstationen. Får ta och prova lite själv också på min Netgear....

  • Medlem
  • Stockholm
  • 2003-10-15 18:24

Min D-Link 614+ klarar att gömma SSID...

Det har förekommit lite felaktigheter och missförstånd tidigare i denna tråd (upptäckte den när jag letade efter WPA nu när Apple äntligen stöder det).

Standardsäkerhetsmekanismerna i 802.11b-nätverk (av Apple kallat Airport) är som nämnt MAC-adresspärrlistor och WEP-kryptering.
Ingen av dessa ger någon säkerhet mot målmedvetna attacker (dvs någon som verkligen vill ta sig in).

De MAC-adresser som är godkända kommer att skickas i luften helt okrypterat. Så det är busenkelt att detektera om man har en protokolanalysator, typ AiroPeek, EtherPeek eller Ethereal.

WEP-mekanismen har mycket riktigt blivit knäckt. Detta främst pga svaga så kallade initialiseringsvektorer (IV), som används vid generering av kryptonyckeln. Dessa IV går i klartext i etern. Med hjälp av program såsom AirSnort kan man med hjälp av tillräckligt mycket insamlat data knäcka WEP-nyckeln pga att en IV återanvänds (den är bara 24 bitar, så efter 16,7 miljoner måste någon återanvändas).
Det finns mekanismer vid namn WEP+ som undviker dessa svaga IV utan att på något sätt bli inkompatibel med andra tillverkare (IV-bytet är enkelriktat, sändaren avgör vad man vill använda). Proxim Orinoco (fd Lucent och Agere Orinoco) använder detta. Dock är jag osäker på om Apples Airport-produkter, som ju egentligen är Agere-kort med Agerechipset, använder WEP+. Orinocoprodukterna kräver nämligen uppdatering för att få WEP+. Vet inte om Apple anammat detta.

En tredje metod som nämns är att stänga av annonsering av SSID (nätverksnamn) för att kräva vetskap om nätverksnamnet för anslutande klienter. Detta är ett extremt svagt skydd. Det enda det skyddar mot är att vanliga klienter inte får upp nätet i sin lista över tillgängliga nätverk. Med en protokollanalysator kan man se att namnet skickas åtskilliga gånger i klartext....
Denna funktion hittades på av Lucent, och ingår inte i specifikationen för 802.11b. Men mig veterligen fungerar alla klienter med det.

Förbättring av säkerheten kan nås på flera sätt. Att aktivera ovanstående mekanismer är definitivt en mycket bra start. Men ska man skydda sig mot industrispionage är starkare skydd att rekommendera.

VPN är ett bra alternativ om man vill skydda specifik trafik mellan datorn och ett givet nätverk eller en given dator. Men inte för att skydda kommunikationen mot hela internet. (jag vet, man kan teoretiskt sett skydda bara det trådlösa nätet med VPN ut mot Internet, men det går jag inte in i detalj på här och nu.) Däremot finns applikationer som kräver en viss säkerhet som har en inbyggd mekanism för att säkra just den applikationen. HTTPS är ett sådant exempel. SSH ett annat.

För att förbättra säkerheten i 802.11-nät och för att ta bort den osäkerhetsstämpel som 802.11 fått lite grann pga svagheterna i WEP så har IEEE en arbetsgrupp (TGi, Task Group i) som håller på att ta fram 802.11i, en säkerhetsstandard för 802.11-nät. 802.11i är dock inte färdig standard idag (kommer nästa år). Alla komponenter är inte mogna än.

Men eftersom aktörerna på 802.11-marknaden (som i regel ingår i Wi-Fi-Alliance) är ivriga med att öka säkerheten har man föregått IEEE och skapat en egen "standard" som man kallat WiFi Protected Access (förkortat WPA). Denna bygger på 802.11i-skissen med avsaknad av de "omogna" komponenterna.

WPA finns i två varianter. En som bygger på att man använder en gemensam nätverksnyckel (WPA-PSK, Pre-Share Key), och en som använder 802.1x för användarautenticering. 802.1x är en generell standard för autenticering på portnivå (layer-2-port, inte TCP/UDP-port). Den kan användas i en vanlig switch för att tillåta en dator att skicka ethernettrafik, per fysisk port. Klienten skickar en 802.1x-autenticeringsförfrågan till accesspunkten för att få ansluta och "öppna porten". Förfrågan skickas vidare av AP:n till en RADIUS-server (Remote Dial-In User Service) som skapar den verkliga autenticeringssessionen med klienten via EAP (Extensible Authentication Protocol).

EAP är ett ramverk för autenticering och har i sin tur flera undertyper:
MD5 (Message Digest 5)
TLS (Transport Layer Security, samma princip som för SSL där certifikat används av både server och klient för dubbelriktad autenticering)
TTLS (Tunneled TLS, samma som med SSL men där klienten autenticerar sig med namn och lösen istället för certifikat)
PEAP (Protected EAP, en Microsoftvariant liknande TTLS som använder MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2))
LEAP (Lightweight EAP (en EAP-variant uppfunnen av Cisco på ett tidigt stadium. Dock ingen dubbelriktad autenticering. Har kända svagheter dock.))

MacOS X 10.3, även utan den senaste uppdateringen för WPA, har stöd för 802.1x. Detta gäller även vanliga AirPort-kort med 802.11b. Stöd finns för TLS och PEAP bland annat. Sedan tidigare finns LEAP-stöd också.

Med 802.1x får man inte bara en autenticering per användare (till skillnad mot med WEP där alla i nätverket har samma lösen, WEP-nyckeln), man får även en dynamisk WEP-nyckel som byts vid varje 802.1x-autenticering. Samma WEP-mekanism används dock. Men säkerheten är avsevärt förbättrad.

Med WPA genereras en ny nyckel för varje enskilt paket som skickas. Detta med en 48-bitars IV. (Fortfarande RC4-algorithmen som används i WEP dock.) 802.11i ger möjlighet att byta denna till AES istället.) Dessutom används en förbättrad integritetskontroll. Denna dynamiska nyckelhantering sköts av protokollet TKIP (Temporal Key Integration Protocol), och integritetskontrollen sker med MIC, Message Integrity Check.

Med WPA-PSK används fortfarande TKIP och MIC, men inte 802.1x eller EAP. Således ingen användarautenticering.

Både 802.11i och WPA kan användas med samtliga 802.11-standarder (11a, 11b och 11g). MEN, Apple har inte släppt stöd för det i 802.11b. Det kan bero på begränsningar i hårdvaran. MEN, troligen beror det på att Ageres (chip/kort-tillverkaren för 11b-korten) drivrutiner för 11b-chipsettet med stöd för WPA bara är i betaversion än så länge, så Apple har inget att bygga på. Kanske kommer det stöd senare. Detta kan dock vara på bekostnad av prestanda. Det vet jag inte.

AirPort-extreme-produkterna (11g) är dock byggda med WPA i medvetande. Chipsettillverkaren för 11g är Broadcom.

Jag har själv inte kört WPA än. Jag testade Panther-betan men konstaterade att något WPA-stöd inte fanns trots att det nämns i hjälpfiler. 802.1x fungerade dock redan då, vilket var glädjande. Denna nya patch var grädden på moset kan man säga.
Jag har dock fortfarande inte listat ut om man behöver konfigurera klienten på något sätt för att köra WPA eller om den känner av att nätet använder WPA.

  • Oregistrerad
  • 2003-11-01 00:46

Häpp...
Det var uttömmande det. Är ju skandal att det skall försvinna i arkivens gömmor...
Du tror inte du orkar skriva lite under (eller länkat till) [f]802.11[/f]

Har väl tänkt göra det, ja. Det här inlägget gör det väl till en mer eller mindre klipp-och-klistra-procedur....
Jag gillar inte att göra saker slarvigt. Ska man förklara WPA ska det göras ordentligt...
Kan tilläggas att jag håller kurs i ämnet 802.11 till vardags.

  • Medlem
  • Tyresö
  • 2003-11-01 07:25

Jag har laddat hem uppdateringen och har även slagit på WPA. Allt fungerar bra för såvitt jag kan se mellan min PB17 och AEBS. Tack till Jonas för hans "bok" i ämnet!

Och för er alla som kör trådlösa hemmanätver, hur viktigt är detta?

Säkert kommer superhackaren Sam, att sitta utanför ert hus för att avlyssna er surfing och e-posatandet.

Get real, informationen är jätteviktig för den eller de föertag som har information som måste skyddas. För oss andra är det business as usual, släpp in folk på era AP-nät så att man kan surfa varhelst man är i Sverige.

Citat:

Skrevs ursprungligen av Micke W
Och för er alla som kör trådlösa hemmanätver, hur viktigt är detta?
...
Get real, informationen är jätteviktig för den eller de föertag som har information som måste skyddas. För oss andra är det business as usual, släpp in folk på era AP-nät så att man kan surfa varhelst man är i Sverige.

Är du ironisk? Varför skulle det inte vara viktigt att skydda sin egen dator som privatperson, eller sin internetuppkoppling?

Superhackern Sam måste väl också bo någonstans. Någon är hans granne, och om Sam kan använda grannens ip-nummer när han gör attackerna är väl det illa nog.

Hemanvändaren tar förmodligen också med sig arbetsdokument som företaget inte vill ska spridas för vinden. Ganska bra då att veta hur man skyddar sig så att man inte får på nöten när det visar sig att det är ens slarvigt uppsatta hemmanätverk som orsakat spridningen.

Mycket relevant fakta i denna tråd tycker jag!

Sedan kan jag väl hålla med om att det är trevligt att hitta surfzoner runt om i landet, men det är en annan sak.

Jag kör med WEP. Om superhackern Sam bor granne med mig så kan han säkerligen ta sig in efter några dagars arbete. Men ett betydligt enklare alternativ är att hijacka någon av de miljontals oskyddade windowsdatorerna som finns på nätet.

Ciryon

Absolut! Men diskussionen är viktig eftersom många inte ens slår på WEP eller döljer namnet på sitt airportnätverk, eller ens kräver lösenord för att komma åt det.

Citat:

Skrevs ursprungligen av Micke W
För oss andra är det business as usual, släpp in folk på era AP-nät så att man kan surfa varhelst man är i Sverige.

Precis! Ni är så välkomna till Kvarnbergsvägen i Falun och snika in er på min lina om ni vill...:) AirPorten står i fönstret och bara väntar på att få vara till nytta...;)

  • Avstängd
  • 2003-11-18 23:32

Slå på WEP-kryptering och spärra så endast de med godkända MAC-adressen kan ansluta. Då är man så gott som säker, man är dock aldrig helt säker. adresser kan spoofas och krypteringar knäckas.

OM någon har ett förslag hur man får en synnerligen ålderdomlig pcburk som lever på win98 att klara av WEP eller WPA så är jag idel öra. Den accepterar inte att jag försöker lägga lösen på min Airport, synnerligen irriterande, så jag kan bara "dölja" nätverket, och det har jag gjort... Min iMac 15" är det inge problem med alls, förutom fläkten, men jag hoppas vid gud att det inte har med nätverket att göra...
Men grannen har oxå nätverk, och när han skaffade det, så började mitt bete sig lustigt...
Min pappa köpte en trådlös telefon för ett par år sedan och för att inte störa den så låste jag nätverket till kanal nio, men i och med att grannen smälde igång sitt pc-nät (som frekvensmessigt verkar vara lika bred som en ladugårdsvägg) så är jag tvungen att köra full effekt och automatiskt kanalval för annars dyker kvaliten på nätet till obefintligt... men, jag misstänker att han har väl samma problem med mitt nätverk nu, jag funderar på att koppla antennuttaget till en av mina förstärkare... (är radioamatör)
1 KW i uteffekt vore ngt... *skrattar elakt*

1
Bevaka tråden