image

Welkom bij de Wi-Fi Themaweek

maandag 19 juni 2006, 11:04 door Redactie, 15 reacties

Draadloze netwerken worden zowel bij bedrijven als thuisgebruikers steeds populairder. Er kleven echter de nodige beveiligingsrisico's aan het gebruik van Wi-Fi. Onbeveiligde access points zijn een makkelijk doelwit voor "wardrivende" hackers. Security.NL staat deze week daarom in het teken van Wi-Fi security.

We kijken naar verschillende Wi-Fi security tools en geven tips om je draadloze netwerk te beveiligen. Bijdrages van de lezers over dit onderwerp zijn van harte welkom. Heb je ervaring met het beveiligen van Wi-Fi of weet je meer dan gemiddeld van dit onderwerp laat het dan de redactie weten.

Reacties (15)
19-06-2006, 11:19 door inglorion
Dan zal ik meteen maar mijn mening geven over de
beveiligingsstandaarden voor draadloze netwerken: die zijn
ofwel waardeloos slecht (WEP), of nodeloos ingewikkeld
(802.1x), en altijd vervelend om op te zetten (overal keys
intypen enzo).

Geef mij maar een onbeveiligd netwerk met bestaande
beveiligingstechnieken (TLS, VPN) eroverheen - en dan niet
PPTP, want dat is ook zo lek als een mandje. Helaas is dat
wel het meset universeel ondersteunde VPN protocol...

In elk geval is het mij een raadsel waarom ze (1) de moeite
hebben genomen om allerhande beveiligingen speciaal voor
WLAN te verzinnen, en (2) ze als ze toch die moeite nemen
met zoiets slechts als WEP op de proppen komen.
19-06-2006, 11:26 door PietNL
altijd vervelend om op te zetten (overal keys
intypen enzo).

Een keer de sleutel op een usb-stick zetten vanaf een lanwerkplek en voor
de rest is het knippen en plakken.

Grtzz,
PietNL
19-06-2006, 11:37 door SirDice
die zijn ofwel waardeloos slecht (WEP), of nodeloos
ingewikkeld (802.1x)
Je vergeet WPA maar even voor het gemak.. WPA-PSK is, net als WEP, simpel in te stellen en vele malen veiliger dan WEP. Wordt alleen niet altijd ondersteund.

(2) ze als ze toch die moeite nemen met zoiets slechts als WEP op de proppen komen.
WEP is opzich niet slecht. Het is alleen jammer dat ze fouten hebben gemaakt in de implementatie waardoor er zwakke sleutels gebruikt worden.
19-06-2006, 11:38 door d.lemckert
Door inglorion
Geef mij maar een onbeveiligd netwerk met bestaande
beveiligingstechnieken (TLS, VPN) eroverheen - en dan niet
PPTP, want dat is ook zo lek als een mandje. Helaas is dat
wel het meset universeel ondersteunde VPN protocol...

Ik denk alleen dat je dan een heel belangrijk concept over het hoofd ziet:
Degene die op je WiFi net meelift is niet geinteresseerd in jouw data of
verkeer, maar in je BANDBREEDTE.. Spammers en ander tuig willen maar
wat graag op je lijntje meeliften. Jij krijgt de klappen en zij de centen.
WiFi encryptie is beveiliging van je signaal en daarmee je bandbreedte.

Overigens heb je wel een punt: echt best is het allemaal niet en vooral
ingewikkeld. Komt daarbij nog het punt dat het ip-verkeer min of meer in
open (hub) modus over het WiFi deel loopt. Daarmee wordt toch wel de zin
van tunneling aangetoond.
19-06-2006, 11:41 door Constant
WPA is mijn inzienst de veiligste en verstandigste keuze. En configureren
is doorgaans niet zo moeilijk mits je wlan hardware van een A-merk heb
gekocht en je installeert op Windows XP SP2. In alle andere gevallen, veel
installatie plezier :-)
19-06-2006, 11:51 door Anoniem
WPA is idd imho ook het veiligst.. icm met mac adres filter
19-06-2006, 12:06 door SirDice
In alle andere gevallen, veel installatie plezier
:-)
WPA-PSK d.m.v. hostapd op freebsd was erg eenvoudig in te
stellen..
http://www.freebsdmall.com/~loader/en_US.ISO8859-1/articles/wireless/article.html
19-06-2006, 12:16 door Anoniem
En wat vinden jullie van de combinatie WPA-PSK, broadcasting
uitgeschakeld en filtering op MAC-adres aan? In mijn optiek de meeste
veilige combinatie, maar inderdaad wel wat meer werk om op te zetten.
19-06-2006, 12:26 door SirDice
broadcasting uitgeschakeld en filtering op MAC-adres aan?
Zinloos. Het SSID komt toch wel voorbij op het moment dat er communicatie is. Net als je MAC adres.
19-06-2006, 12:58 door wimbo
WPA is een in aller ijl in elkaar geknutseld protocol. De
implementatie verschilt per vendor. Dit heeft tot gevolg dat
een AP van merk A mogelijk niet fatsoenlijk met een kaartje
van merk kan communiceren (op basis van WPA).
Gebruik dan liever WPA2 (in combinatie met TKIP als
encryptie technologie). Nadeel van die WPA2 is dat het
relatief nieuw is en de oudere hardware/drivers het nog niet
ondersteunen.

AES is leuk, maar zelfs op dit moment nog overkill. Er is
nml nog geen noodzaak om AES te gebruiken, omdat TKIP (wat
een stuk lichter is) nog niet gebroken is.
Door de sterke AES encryptie kan een wireless link ook
'langzamer' zijn, omdat je client het 'zwaar' heeft met het
in en uit pakken van de pakketten.

802.1x is voor de doorsnee thuisgebruiker geen alternatief,
omdat het vaak extra hardware vereist in de vorm van een
radius server. En die radius server moet ook geconfigureerd
en onderhouden worden. Als men thuis al geen AP-tje kan
configgen, dan valt 802.1x helemaal buiten de boot.

Op het gebied van eenvoudig configureren van AP's icm met
wireless kaartjes hebben de fabrikanten nog een mooie klus
te klaren. Veel AP's bij mij in de buurt zijn relatief nieuw
(nieuwbouwwijk :-) ). 80% van die dingen hebben geen
beveiliging. Die dingen zijn dus niet geconfigureerd. Een
aantal hebben dit wellicht bewust gedaan, maar het overgrote
deel weet niet eens van het bestaan van die beveiliging af
of is te lui om zich er in te verdiepen.
Overigens ben ik niet van mening dat je het beveilings
probleem niet bij de fabrikant moet parkeren. De gebruiker
is zelf ten alle tijde verantwoordelijk voor zijn eigen
wireless netwerkje. De fabrikant kan wel punten scoren door
een zo eenvoudig mogelijk oplossing te bieden waarbij de
beveiliging zo hoog mogelijk is.

Overigens zit ik te wachten op een case (bijv. bank gehackt
en miljoenen 'verdwenen'), waarbij er misbruik gemaakt wordt
van een open AP bij een particulier, waarbij de rechter aan
te pas komt betreffende de schuld vraag / medeplichtigheid.
Laat men de rechten en plichten van een wireless lan
'beheerder' maar eens ter discussie zetten.
19-06-2006, 13:28 door Anoniem
Je moet jezelf simpelweg 1 vraag stellen...
[size=+2]Durf ik al mijn netwerkverkeer te laten zien aan alles en
iedereen die daar zin in heeft?[/size]
Iedereen KAN het zien.
En met WiFi kan de 'dader' met gemak 10km verderop in een flat
zitten en dan lukt het je niet om op mac adres te zoeken in je
switches om te kijken waar de dader zit op het netwerk.

Daarbij komt dat alle beveiligingsmiddelen gewoon zuigen voor
wat betreft WiFi. Pak de gemiddelde Windows PDA. Als die al WiFi
aan kan, dan vaak niet WiFi+VPN, laat staan WiFi+VPN+Proxy, en
dat al als ie WPA2 aan kan. Zelfs de meest recente WiFi terminals
kunnen nog geeneens de combinatie aan van
WPA2+TKIP+VPN+PROXY.

AS
19-06-2006, 13:29 door SirDice
WPA is een in aller ijl in elkaar geknutseld protocol. De implementatie verschilt per vendor. Dit heeft tot gevolg dat een AP van merk A mogelijk niet fatsoenlijk met een kaartje van merk kan communiceren (op basis van WPA). Gebruik dan liever WPA2 (in combinatie met TKIP als encryptie technologie).
Ehhmm.. WPA is een subset van WPA2 (802.11i). TKIP is geen encryptie technologie maar heeft te maken met de manier waarop de sleutels gebruikt worden.
http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access
http://en.wikipedia.org/wiki/TKIP
19-06-2006, 14:48 door SirDice
Daarbij komt dat alle beveiligingsmiddelen gewoon zuigen voor wat betreft WiFi. Pak de gemiddelde Windows PDA. Als die al WiFi aan kan, dan vaak niet WiFi+VPN, laat staan WiFi+VPN+Proxy, en dat al als ie WPA2 aan kan. Zelfs de meest recente WiFi terminals kunnen nog geeneens de combinatie aan van WPA2+TKIP+VPN+PROXY.
HTC (verkocht onder verschillende namen. Zoals MDA, XDA, QTEK)..
Windows Mobile 5.0 heeft WiFi (met WEP, WPA en LEAP), VPN (IPSec/L2TP en PPTP) en proxy..
19-06-2006, 17:46 door inglorion
Door SirDice
die zijn ofwel waardeloos slecht (WEP), of nodeloos
ingewikkeld (802.1x)

Je vergeet WPA maar even voor het gemak.. WPA-PSK is, net
als WEP, simpel in te stellen en vele malen veiliger dan
WEP. Wordt alleen niet altijd ondersteund.

Met WPA-PSK moet je wel erg lange keys intypen. Bovendien
zit je inderdaad met ondersteuning, en ik denk dat dat _het_
grote probleem is op het moment. Daarom vind ik de hele zaak
ook zo belachelijk. Als je gewoon een goeie VPN technologie
over de zaak heenlegt heb je een goeie beveiliging, en je
hebt er niks bij nodig wat nog niet bestaat.

Door SirDice
WEP is opzich niet slecht. Het is alleen jammer dat ze
fouten hebben gemaakt in de implementatie waardoor er zwakke
sleutels gebruikt worden.

Het is ook echt wel verkeerd ontworpen hoor. Je bedenkt
gewoon geen beveiligingssyteem waarvan de sleutels zo
makkelijk te raden danwel uit te rekenen zijn.

Door d.lemckert
Ik denk alleen dat je dan een heel belangrijk concept over
het hoofd ziet:
Degene die op je WiFi net meelift is niet geinteresseerd in
jouw data of
verkeer, maar in je BANDBREEDTE..

Of allebei. Maar je kunt best zorgen dat je alleen via het
VPN het draadloze netwerk af kan...en dan hebben ze ook aan
de bandbreedte niks totdat ze in je VPN zijn.
30-09-2006, 11:31 door spatieman
Een andere manier om een wifi netwerk te verzieken is het
plaatsen van 2 AP's in bridge mode op het zelfde kanaal als
het AP netwerk dat je wilt platleggen.

dan zoek je je als admin ook plat om het probleem te vinden.
kuch *G*
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.