image

Security Tip van de Week: Versleutel je WiFi-netwerk goed

maandag 17 december 2012, 09:44 door Jordy Kersten, 48 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Jordy Kersten

Beveilig je draadloze netwerk (goed)
Zoals wellicht bekend zijn er veel kwetsbaarheden in de beveiliging van draadloze netwerken. Het grootste probleem bij een draadloos netwerk is dat er geen "harde grenzen" zijn tot waar het netwerk reikt. Hierdoor is de kans groot dat het interne netwerk toegankelijk is vanaf bijvoorbeeld de parkeerplaats of het gebouw aan de overkant van de straat. Dit geeft aanvallers de mogelijkheid om ongestoord aanvallen uit te voeren op de beveiliging van het draadloze netwerk. In sommige gevallen zijn door slechte beveiliging slechts enkele minuten nodig om toegang te krijgen tot het draadloze netwerk.

Indien een aanvaller toegang krijgt tot het draadloze netwerk heeft kan deze aanvallen uitvoeren op de systemen die aanwezig zijn binnen dit netwerk. Ook kan het draadloze netwerk door aanvallers misbruikt worden om anoniem toegang te krijgen tot het internet. Vanuit hier kan bijvoorbeeld spam verstuurd worden of een zogenaamd botnet beheerd worden.

Indien dit bekend wordt leidt deze informatie terug naar de beheerder/eigenaar van het draadloze netwerk. In dit geval kan de verbinding bijvoorbeeld afgesloten worden, en in het ergste geval leiden tot verdenking van strafbare feiten.

WEP
De eerste vorm van beveiliging van het draadloze netwerk is WEP. Dit was de eerste beveiligingsstandaard die aangeboden werd om het draadloze verkeer te versleutelen. De techniek achter deze versleuteling is inmiddels gebroken en het gebruikte wachtwoord om een verbinding met een dergelijk netwerk op te zetten kan eenvoudig achterhaald worden door het simpelweg afluisteren van het verkeer. Het gebruik van een sterke of zwakke sleutel maakt in dit geval niet uit.

Een aanval op deze beveiligingsmethode kan binnen enkele minuten succesvol worden uitgevoerd waardoor de aanvaller binnen enkele minuten toegang verkrijgt tot het interne netwerk. Het advies is dan ook om direct over te stappen naar een veiligere standaard.

WPA
WPA is de opvolger van WEP. Nadat bekend werd dat de beveiliging van WEP was gecompromitteerd is deze standaard beschikbaar gekomen. Omdat de techniek niet stil staat en de toegang tot systemen met veel rekenkracht en clouddiensten meer beschikbaar zijn geworden voor gebruikers heeft ook WPA inmiddels verschillende bekende kwetsbaarheden waardoor ook deze beveiligingsmethode achterhaald is.

Dit heeft met name te maken met het gebruikte versleutelingsalgoritme dat te zwak is. Dit heeft tot gevolg gehad dat er een keuze is gemaakt om de beveiligingsmethode te blijven gebruiken en alleen het gebruikte versleutelingsalgoritme te vervangen door een sterkere variant. Deze opvolger heet WPA2. Het advies is dan ook om altijd voor de WPA2 variant te kiezen.

WPA2
WPA2 komt in twee vormen, namelijk WPA2-Personal en WPA2-Enterprise. Zoals de naam al aangeeft is WPA2-Personal bedoelt voor thuisgebruik en is WPA2-Enterprise geschikt voor zakelijk gebruik, ofwel het beheren van toegang voor een groot aantal systemen. We behandelen beide vormen waarbij we bij elk ervan advies geven over de benodigde instellingen om een zo veilig mogelijk draadloos netwerk op te zetten.

WPA2-Personal
WPA2 is op dit moment de sterkste variant die gebruikt kan worden om een draadloos netwerk te versleutelen. Het advies is dan ook om bij het beveiligen van een draadloos netwerk altijd voor WPA2 te kiezen. Let echter wel op dat er gekozen wordt voor het AES versleutelingsalgoritme, aangezien het alternatief, het TKIP versleutelingsalgoritme, ook bekende kwetsbaarheden bevat waardoor het gebruik hiervan wordt afgeraden. Op het moment is WPA2-Personal alleen kwetsbaar voor een zogenaamde brute-force aanval, waardoor het zeer belangrijk is om een goede, sterke passphrase te kiezen.

Het kiezen van een lang wachtwoord met gebruik van hoofdletters en speciale tekens verlengt de doorlooptijd van een dergelijke aanval aanzienlijk. Echter is door de komst van systemen met veel rekenkracht en het gebruik van clouddiensten ook deze methode in gevaar. Op dit moment is er echter geen alternatief waardoor de beveiliging van het draadloze netwerk afhangt van de sterkte van de gekozen passphrase.

WPA2-Enterprise
WPA2-Enterprise is een alternatief dat gebruikt kan worden voor het beheren van een draadloos netwerk waar veel systemen toegang tot dienen te krijgen. Door gebruik te maken van certificaten en een aparte authenticatie-methode kunnen gebruikers toegang verkrijgen tot het draadloze netwerk. Vaak wordt hiervoor gebruik gemaakt van de logingegevens van het systeem of uit de active directory. Voor de authenticatie wordt over het algemeen gebruik gemaakt van een RADIUS server. Echter bevat ook deze methode verschillende kwetsbaarheden.

Zo is het mogelijk om een zogenaamd roque access point op te zetten, waarmee het mogelijk is om de logingegevens af te vangen. Dit kan echter voorkomen worden door het systeem of apparaat dat verbinding maakt met met draadloze netwerk server-certificaat controle af te laten dwingen. Wanneer deze niet overeenkomt met het ingestelde certificaat zal deze geen verbinding maken met het roque access point van de aanvaller, waardoor deze geen logingegevens kan bemachtigen.
Conclusie

De conclusie die getrokken kan worden is dat op het moment geen van alle beveiligingsmethodes een volledige bescherming biedt van het draadloze netwerk. Het kan echter wel zo geconfigureerd worden dat het niet meer interessant is voor aanvallers om er de benodigde tijd in te steken en de kans groot is dat deze een nabijgelegen draadloos netwerk kiezen dat minder goed beveiligd is.

Samenvatting:

  • Gebruik altijd WPA2 in combinatie met een AES versleuteling met een lange, sterke passphrase.
  • Controleer het server-certificaat indien er gebruik gemaakt wordt van een authenticatie-server.

Jordy Kersten MSc. ISC2 Associate CEH OSCP OSWP is security consultant bij Madison Gurkha B.V.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (48)
17-12-2012, 09:54 door MisterX
ik mis iets in het artikel - Wifi Protected Setup (WPS) uitzetten wordt niet besproken ?
17-12-2012, 10:39 door Anoniem
Door MisterX: ik mis iets in het artikel - Wifi Protected Setup (WPS) uitzetten wordt niet besproken ?
+1

Binnen een uur zit ik er anders nog op als ik geluk heb. Elke router is weer anders en sommige kunnen WPS niet eens uitzetten.
17-12-2012, 10:51 door Anoniem
En wat betreft mac adressen filteren ?
17-12-2012, 10:55 door Anoniem
Uitzetten van SSID (service set identifier) broadcasting mis ik ook.
17-12-2012, 11:01 door Anoniem
Er is nog een groot gevaar bij Wifi, niet voor het netwerk, maar voor b.v. telefoon bezitters.
Reis je vaak met de trein, dan kan je soms gratis internetten in de trein, omdat in veel treinen een access-point zit, meestal met de naam "t-mobile".
Maak zelf een "hot-spot" met de naam "t-mobile" en monitor het data verkeer, je zult versteld staan van de gegevens die spontaan langskomen.
Dit kan je doen met de naam van elke gratis hot-spot.

Wees gewaarschuwd !
17-12-2012, 11:11 door tarunjj
Misschien omdat WPS ook niet onfeilbaar is?: https://en.wikipedia.org/wiki/Wi-Fi_Protected_Setup
17-12-2012, 11:11 door Anoniem
Prima verhaal Jordy, maar zoals MisterX aangeeft, WPS mag toch eigenlijk niet in het verhaal ontbreken. Het aanlaten van WPS doet een groot deel van de aangegeven veiligheidstips teniet.
17-12-2012, 11:14 door Anoniem
Security tip: zet je netwerk gewoon open.

Handig voor de buren, handig voor jezelf als je buren er ook zo over denken als je zelf even geen internet hebt. En als meer mensen het gaan doen heb je op meer plekken gratis internet. Daarnaast is een open netwerk een goede verdediging als iemand via jou netwerk en IP adres rottigheid uithaalt.
17-12-2012, 11:26 door MisterX
Door tarunjj: Misschien omdat WPS ook niet onfeilbaar is?: https://en.wikipedia.org/wiki/Wi-Fi_Protected_Setup
ja daarom dat ik zeg Wifi Protected Setup (WPS) uitzetten wordt niet besproken ?

van je url naar wiki -> The only effective workaround is to disable WPS
17-12-2012, 11:27 door MisterX
EDIT : dubbele post
17-12-2012, 11:31 door Anoniem
Volkomen nutteloos. Met de juiste tools is een Wifi verbinding 100% te kraken of dat nou WPS of WPA2 is. Het kraken van WPS neemt ongeveer 3 minuten in beslag en WPA2 miisschien tussen de 4 en 8 uur als je een pin attack gebruikt, met wordlist waarschijnlijk een stuk langer maar dat lukt uiteindelijk ook.

Monitoren of er iemand op je verbinding zit is effectiever. Ik snap ook niet waarom met niet een simpele digitale teller van 0 t/m 255 op die routers maakt zodat je precies kunt zien hoeveel apparaten er aan je wifi router hangen.
Als je 1 wifi apparaat hebt en de teller geeft 3 aan, dan weet je meteen dat je een probleem hebt.
17-12-2012, 11:34 door Anoniem
En wat dacht je van 802.1x met EAP/TLS?
Da's de beste beveiliging voor WIFI, echter wel wat lastig te implementeren voor de gemiddelde gebruiker.
Des al niet te min, de moeite om te noemen als tip
17-12-2012, 12:29 door Mysterio
Door MisterX: ik mis iets in het artikel - Wifi Protected Setup (WPS) uitzetten wordt niet besproken ?
Jammer dat veel standaard-provider-routers dit niet aanbieden als optie.
17-12-2012, 12:36 door Bladie
Klein fautje: roque access => rogue access
17-12-2012, 13:06 door Anoniem
Nou, in ieder geval weer een CPE punt gehaald...
17-12-2012, 14:26 door M_iky
Een klein maar handig (en gratis) tooltje om je draadloos netwerk wat te beveiligen vind men hier :

http://www.softperfect.com/products/wifiguard/

Voor zowel linux, mac als windows.
17-12-2012, 15:31 door Anoniem
Een beetje horeca gelegenheid heeft ook gratis en dus open WiFi.

Waarom maakt iedereen zich zo druk??

Rik
17-12-2012, 15:53 door burne101
Door Anoniem: en WPA2 miisschien tussen de 4 en 8 uur als je een pin attack gebruikt, met wordlist waarschijnlijk een stuk langer maar dat lukt uiteindelijk ook.
WPA2/PSK mag maximaal 64 hexadecimale tekens als PSK (Pre-Shared Key) gebruiken, voor een effectieve key-lengte van 256 bits. iets als 537A2806E97D20C2689C2CE1F1F3E7D8A6363FFF908BCDCF8F4955BA07B3A993 bruteforcen duurt inderdaad 'een stuk langer'. Denk miljard maal miljard maal miljard maal de verwachte resterende levensduur van het heelal.
17-12-2012, 16:29 door Anoniem
Op de WiFi hebben we gewoon WPA2 met een intikbaar en vertelbaar wachtwoord (dus vast heel snel te kraken
door die slimme jongetjes hier) maar zodra je daarop binnen bent zit je op internet. Als je het LAN op wilt dan
moet je via een van de mogelijkheden om van internet naar binnen te komen (VPN, CItrix Access Gateway) en
die zijn uiteraard beveiligd met two-factor authenticatie.
17-12-2012, 19:59 door Dick99999
Inderdaad was die anoniem om 11:31 nog niet niet goed geinformeerd volgens mij. Met een sterke sleutel is wpa2 niet te kraken. Zie Tom's hardware voor een goed artikel. Wat echter ontbreekt tot nu toe in deze post is dat een sterke sleutel uit 2 delen bestaat
- deel1: minimaal 20 random tekens of een stevige passphrase met ten minste 6 woorden en max 63 tekens?
- Of deel 1: gewoon 64 willekeurige hexadecimale tekens, maar die zijn onmogelijk te onthouden zonder een veilige password manager.
- deel 2: een gewijzigde niet standaard ssid naam, max 32 tekens?. Dat maakt rainbow table aanvallen onmogelijk
17-12-2012, 21:51 door Anoniem
Door burne101:
Door Anoniem: en WPA2 miisschien tussen de 4 en 8 uur als je een pin attack gebruikt, met wordlist waarschijnlijk een stuk langer maar dat lukt uiteindelijk ook.
WPA2/PSK mag maximaal 64 hexadecimale tekens als PSK (Pre-Shared Key) gebruiken, voor een effectieve key-lengte van 256 bits. iets als 537A2806E97D20C2689C2CE1F1F3E7D8A6363FFF908BCDCF8F4955BA07B3A993 bruteforcen duurt inderdaad 'een stuk langer'. Denk miljard maal miljard maal miljard maal de verwachte resterende levensduur van het heelal.


Miljard maal miljard.... Ik spreek je nog wel als de quantumtechniek iets verder gevorderd is.
17-12-2012, 23:55 door AA_CS
Door Anoniem: Een beetje horeca gelegenheid heeft ook gratis en dus open WiFi.

Waarom maakt iedereen zich zo druk??

Rik

Ach, ik vind het niet fijn wanneer de buurjongen TB's aan muziek/films/software over mijn lijn binnenhengelt waardoor mijn snelheid zakt, of de overbuurman die illegaal foto/film materiaal up of download. Of dat het overbuurmeisje zo makkelijker mijn PC's in het netwerk kan aanvallen, spammen, en sowieso zien wat ik op het web doe. Horecagelegenheden zijn niet verantwoordelijk voor wat er over hun netwerk heen gaat (zie https://secure.security.nl/artikel/44297/1/Juridische_vraag%3A_welke_regels_gelden_voor_gratis_WiFi%3F.html), dat zal ws ook voor particulieren gelden. In eerste instantie staat de politie tocht echt bij mij op de stoep, alleen daar al heb ik geen zin in.

Ik weet niet of er nog steeds routers met WPS verkocht of door internetboeren geleverd worden maar eigenlijk zouden ze verboden moeten worden als WPS niet uit te zetten is. Of eigenlijk aan, het behoort standaard uit te staan. Zodra iemand de PIN heeft kan je het WPA(2) ww wijzigen wat je wil, binnen enkele seconden/minuten is het ww te achterhalen.
18-12-2012, 09:41 door Orion84
Door Dick99999: Inderdaad was die anoniem om 11:31 nog niet niet goed geinformeerd volgens mij. Met een sterke sleutel is wpa2 niet te kraken. Zie Tom's hardware voor een goed artikel. Wat echter ontbreekt tot nu toe in deze post is dat een sterke sleutel uit 2 delen bestaat
- deel1: minimaal 20 random tekens of een stevige passphrase met ten minste 6 woorden en max 63 tekens?
- Of deel 1: gewoon 64 willekeurige hexadecimale tekens, maar die zijn onmogelijk te onthouden zonder een veilige password manager.
Onthouden doet je OS toch voor je? Of zitten daar nog risico's aan? Kan een rogue accesspoint jouw WPA2 wachtwoord achterhalen als je er automatisch op aanlogt? Ik mag toch hopen dat WPA2 dusdanig in elkaar zit dat het AP niets leert over de key waarmee wordt ingelogd, tenzij die key matcht met de key die is ingesteld aan de AP kant? Maar zo ver reikt mijn kennis van 802.11i niet, dus wellicht dat iemand dat kan ophelderen?

Dan is het verder gewoon een kwestie van de sleutel op een post-it schrijven en op je router plakken, voor die enkele keer dat je een nieuwe client moet configureren (even uitgaande van een thuissituatie waarbij iedereen die je in je huis binnen laat ook op je netwerk zou mogen).


- deel 2: een gewijzigde niet standaard ssid naam, max 32 tekens?. Dat maakt rainbow table aanvallen onmogelijk
Hoe bedoel je dat precies?
18-12-2012, 11:13 door JohanLoos
Als aanvulling op bovenstaande:
* Uitzetten van SSID broadcast is geen security feature. De SSID wordt namelijk in clear text verstuurd
* MAC filtering kan helpen, maar is ook geen security feature . Het MAC address wordt in clear text verstuurd
* Als aanvulling op het artikel van de auteur: Voor WPA2 enterprise based authentication, heb je paswoord en certificate based authenticatie. Paswoord authenticatie maakt gebruik van EAP-MSCHAPv2. Hierbij kan een rogue AP worden opgezet die als man-in-the-middle gaat fungeren. De attacker is dan in staat om het domain gegevens te achterhalen. De paswoorden zijn gehashed en kunnen gebruikt worden voor brute force attack en voor Pass the hash. PEAP-EAP-MSCHAPv2 kan helpen op voorwaarde dat het server certificate vertrouwd wordt en alleen de Root CA van je organisatie.
Het meest veilige is PEAP-EAP-TLS, waarbij de client en de server geauthenticeerd worden. PEAP zorgt dan voor een SSL tunnel tussen de wireless client en de authentication server (RADIUS) zodat het authenticatieverkeer geencrypteerd wordt.
* Aanvulling op Orion84: Een andere SSID nemen gaat je niet helpen. Je kan zelf je rainbow tables maken met eender welke SSID en een mogelijk passphrase.
* er bestaat ook cloudcracker voor het bekomen van paswoorden
* Als je de 4-way handshake hebt, ben je al een eind verder in het bekomen van het passphrase.

Denk ook even aan wifi-clients attacks ipv infrastructure attacks. Tegenwoordig staat er heel veel data op mobile devices en deze zijn dan weer minder beveiligd dan infrastructuur oplossingen.
18-12-2012, 13:01 door 0101
Door Anoniem: En wat betreft mac adressen filteren ?
Door Anoniem: Uitzetten van SSID (service set identifier) broadcasting mis ik ook.
Beiden bieden slechts schijnveiligheid. Zowel het SSID als het MAC-adres zijn te achterhalen door het WiFi-verkeer te sniffen, en het MAC-adres van een computer kan eenvoudig worden vervalst.
18-12-2012, 14:23 door Anoniem
Het probleem is dan ook op dat men op routers vaak de pin (WPS) optie aan heeft staan omdat dat 'lekker handig is', dus heeft het zetten van eeen wachtwoord met max 64 tekens geen enkele zin meer. Door een pin attack uit te voeren met een de juiste tool omzeil je dat wachtwoord en wordt deze op een presenteerblaadje opgeleverd aan het einde van de pin attack. Dus WPS moet je uitschakelen.
18-12-2012, 14:29 door Anoniem
Door 0101:
Door Anoniem: En wat betreft mac adressen filteren ?
Door Anoniem: Uitzetten van SSID (service set identifier) broadcasting mis ik ook.
Beiden bieden slechts schijnveiligheid. Zowel het SSID als het MAC-adres zijn te achterhalen door het WiFi-verkeer te sniffen, en het MAC-adres van een computer kan eenvoudig worden vervalst.

Inderdaad, als je een tools als airodump gebruik zie je de SSID en MAC van een router toch wel en meteen ook het mac adres van de eventuele client die met de router is verbonden. Je geeft jouw eigen WIFI kaart dat mac adres van die client en hop, je kunt een connectie maken met het goedgekeurde mac adres uit de mac filter. En ja, het veranderen van het mac adres op je eigen wifi kaart is een eitje. Beide opties zijn dus redelijk nutteloos.
18-12-2012, 14:37 door Riviera
Door Anoniem: Security tip: zet je netwerk gewoon open.

Handig voor de buren, handig voor jezelf als je buren er ook zo over denken als je zelf even geen internet hebt. En als meer mensen het gaan doen heb je op meer plekken gratis internet. Daarnaast is een open netwerk een goede verdediging als iemand via jou netwerk en IP adres rottigheid uithaalt.

Alles en iedereen die zich met het netwerk verbind kan dan vervolgens al jouw verkeer sniffen. Een beetje kwaadwillende gebruiker kan ook nog even een BEAST of CRIME attack uitvoeren en daar gaan al je wachtwoorden e.d.....

Nee...goeie "security" tip hoor
18-12-2012, 15:48 door yobi
Sommige routers (en andere hardware) ondersteunen het uitschakelen van WPS niet.

Tja WPS wie heeft het ooit kunnen bedenken.
18-12-2012, 17:25 door Anoniem
Voor wie meer over WPS wil weten: Luister naar de Podcast Security Now! episode 337 "WPS: A Troubled Protocol"
Voor de kenners geen geheim (meer)

Download vanuit Itunes of
http://media.grc.com/sn/sn-337.mp3

Transcripts:
http://www.grc.com/sn/sn-337.txt
http://www.grc.com/sn/sn-337.pdf (pdf zonder exploit, beloofd..)

En dan weet je ook dat het een van de eerste dingen is die je uitzet op je Wireless Accesspoint.
Naast al die andere handige dingen die het leven zo makkelijk, euh onveilig maken zoals UPNP.
18-12-2012, 18:54 door Ramon.C
Mijn Wifi Setup is als volgt;

- SSID verbergen
- Geen vaste control channel
- WPA2-AES Personal
- Interval 3600
- WPS UIT!
- MAC filter aan
- AP isolated
- TX power aangepast / Radius binnen huis
- Sterk wachtwoord. Geen bestaande woorden gebruiken die ook worden gebruikt in woordlijsten. Gebruik zo iets als; 2Tx@i_o2_@A1p99

en verander je wachtwoord om de kwartaal. Nooit problemen gehad
18-12-2012, 19:45 door Dick99999
Ssid blijft ong 1sec verborgen, daarna weet ik het
Wpa aes is slechts even sterk als het wachtwoord, zwak wachtwoord en AES is zwak!
Mac filter aan, blijft ongeveer een paar minuten werken, daarne doe ik de mac na
Sterk wachtwoord hoeft niet beslist speciale tekens te bevatten: gebruik hoofdlettesr, kleine letters,cijfers is voldoende sterk. En lang...lang en lang is beter dan kort en beter te onthouden.
Kan je iets meer zeggen over wat de andere maatregelen opleveren?
====== edit
Oh ja, er is niets fout, zelfs goed, met een zin van 6 of meer bestaande woorden. Kijk naar diceware, slechts een woordenboek van 7000 bestaande korte woorden en niet binnen decennia te kraken bij ten minste 6-7 woorden. Ook nog goed te onthouden.....
18-12-2012, 19:58 door yobi
Aanvulling op Dick99999:
Verbergen van SSID heeft als nadeel, dat de clients het SSID uit gaan zenden. Bij niet verborgen SSID's van AP's wacht een client met zenden, totdat het netwerk binnen bereik is.
Het uitzetten van WPS werkt soms niet. Verstandig is om het zelf nog even te controleren met een protcol-analyser (Wireshark) of met reaver (wash applicatie).
Vermogen aanpassen heeft niet veel zin. Er zijn genoeg antennes in de handel om het signaal toch weer te ontvangen.
Een sterk wachtwoord voor WPA(2) is vooral lang (15-20 karakters). Leestekens zijn vaak lastig in te voeren op smartphones of tablets.
18-12-2012, 22:53 door Dick99999
@yobi: Heb jij een verklaring waarom zo weinigen een pass phrase aanbevelen als wachtwoord of sleutel? Een wachtwoord van 15-20 (willekeurige) tekens is toch nauwelijks te onthouden en nauwelijks in te voeren?
18-12-2012, 23:16 door Anoniem
Door Anoniem:
[...] Daarnaast is een open netwerk een goede verdediging als iemand via jou netwerk en IP adres rottigheid uithaalt.
Welnee. Jij bent verantwoordelijk voor jouw verbinding en (het ontbreken van) de beveiliging van die verbinding. Bij de meeste providers staat zoiets ook in de voorwaarden, en soms staat er zelfs expliciet dat je je verbinding niet mag delen. Dat dit wel gebeurt is natuurlijk voor niemand een geheim, maar de 'het was iemand anders'-kaart gaat volgens mij zo van tafel bij je provider.

Hoe een rechter erover denkt weet ik niet, maar ik verwacht weinig begrip in een situatie die enige gelijkenis vertoont met het openzetten van alle deuren van je huis van waar uit vervolgens iemand anders iets illegaals doet, jij hiervoor op het matje moet komen en ter verdediging aanvoert dat de deuren wagenwijd openstonden... We vernemen graag de uit(komst/spraak)! :)
19-12-2012, 00:37 door AA_CS
Door Dick99999: @yobi: ... Een wachtwoord van 15-20 (willekeurige) tekens is toch nauwelijks te onthouden en nauwelijks in te voeren?
Het onthouden van het wachtwoord is bij de meeste consumenten toch niet echt nodig. Als ik in mijn omgeving kijk dan hebben de meesten nog het standaard wachtwoord in gebruik, meestal 8 tot 12 tekens a-z en 0-9. Niet makkelijk te onthouden maar kennelijk niet zo vaak nodig om het te veranderen naar een makkelijk te onthouden pass phrase, veilig genoeg geacht om het niet te veranderen naar een langere random string.
Passphrases zijn sowieso pas relatief kort "in de mode". Er is lang van alle kanten gehamerd om een zo lastig mogelijk te raden (door mensen) wachtwoord te kiezen met liefst de meest exotische tekens er in.
Veilige hashing methodes zijn alleen met brute force aan te vallen waardoor de lengte van het wachtwoord steeds belangrijker wordt.
19-12-2012, 09:19 door Anoniem
SSID verbergen heeft weinig zin want wanneer je een client de-auth heb je alsnog het SSID te pakken.
Daarnaast raad ik mensen aan om netwerken niet te laten onthouden door de pc/mac. (zie: http://hakshop.myshopify.com/products/wifi-pineapple )

Betreffende we WPS aanval ben je maximaal 10 uur kwijt, afhankelijk van welke code werkt. Dat men binnen enkele minuten WPS gekraakt heeft is dus, lang niet altijd, het geval.
Verder ben ik het met de berichten eens:
- WPA2 met AES en een lange passphrase (liever nog WPA2-enterprise maar dat is in een thuis situatie niet altijd te regelen)
- WPS uit.
- Mac filtering heeft niet veel zin want men kan het adres sniffen en deze bij zichzelf spoofen
- 'Gast' netwerk opzetten met een goede passphrase zodat bekenden toch op je netwerk kunnen zonder dat zij bij het interne gedeelte kunnen.
19-12-2012, 09:27 door Orion84
Door Dick99999: @yobi: Heb jij een verklaring waarom zo weinigen een pass phrase aanbevelen als wachtwoord of sleutel? Een wachtwoord van 15-20 (willekeurige) tekens is toch nauwelijks te onthouden en nauwelijks in te voeren?
Maar voer jij dan serieus elke keer opnieuw je wifi wachtwoord in als je opnieuw verbinding maakt thuis? Voor het configureren van nieuwe clients kan je prima een post-it met het complexe wachtwoord op je router plakken. Als een kwaadaardig iemand daar fysieke toegang toe heeft dan heb je wel wat meer aan je hoofd dan het beschermen van je wifi netwerk denk ik zo.

Let wel: dan heb je het dus over thuis-situaties, maar goed, dat is in feite ook de enige plek waar WPA2-PSK gebruikt zou moeten worden lijkt me.
19-12-2012, 10:36 door yobi
Een passphrase is makkelijker te onthouden. Een lastig te onthouden wachtwoord is echter meer mijn doel. Mijn aanname is, dat het wachtwoord dan niet zo snel wordt verspreid.

Het wachtwoord of passphrase kan ook weer worden uitgelezen van het apparaat, waar het is ingevoerd. Daarom is het aan te raden het wachtwoord periodiek te wijzigen.
19-12-2012, 10:47 door Anoniem
en hoe zit het dan met openWRT dat je op je router kan flashen ? of is dat speelgoed voor de bovengemiddelde computer nerd?
19-12-2012, 11:02 door Anoniem
En wat momenteel dan de beste routers voor consumenten die te koop zijn ?
Graag verneem ik jullie advies hierover !
19-12-2012, 11:49 door Dick99999
Door Orion84:
Maar voer jij dan serieus elke keer opnieuw je wifi wachtwoord in als je opnieuw verbinding maakt thuis?
[................]
Let wel: dan heb je het dus over thuis-situaties, maar goed, dat is in feite ook de enige plek waar WPA2-PSK gebruikt zou moeten worden lijkt me.
Inderdaad heb je gelijk, ik voer dat wachtwoord niet iedere keer in. Maar het gaat om een 'shared' geheim. Een nieuw apparaat, een factory reset, een gast, elke keer weer die 20 tekens ...... en dat gaat elke keer wel weer een paar keer fout op een telefoon of pad. Dus dan maar een korter wachtwoord en dat is nu juist wat niet zou moeten.

Als je WPA2-PSK/AES niet op de zaak gebruikt, verschuif je het probleem dan niet naar het wachtwoord voor de authenticatie?
19-12-2012, 13:57 door Orion84
Door Dick99999:
Door Orion84:
Maar voer jij dan serieus elke keer opnieuw je wifi wachtwoord in als je opnieuw verbinding maakt thuis?
[................]
Let wel: dan heb je het dus over thuis-situaties, maar goed, dat is in feite ook de enige plek waar WPA2-PSK gebruikt zou moeten worden lijkt me.
Als je WPA2-PSK/AES niet op de zaak gebruikt, verschuif je het probleem dan niet naar het wachtwoord voor de authenticatie?
Maar dat wachtwoord is (mits veilige authenticatieprotocollen worden gebruikt en de authenticatieserver goed beveiligd is) niet zomaar te bruteforcen, in tegenstelling tot de PSK.
19-12-2012, 14:04 door SirDice
Door Anoniem: en hoe zit het dan met openWRT dat je op je router kan flashen ? of is dat speelgoed voor de bovengemiddelde computer nerd?
Waarom zou dat relevant zijn? Je moet nog steeds WPA2-EAP gebruiken met een fatsoenlijk wachtwoord/zin, daar veranderd niets aan als je OpenWRT of DD-WRT gebruikt.
19-12-2012, 14:43 door Mysterio
Zolang ik een paar buren heb met open netwerken hoef ik me geen zorgen te maken. Ik hou logboeken bij en slechts een enkele keer wordt en geprobeerd verbinding te maken. Voornamelijk wanneer de buurjongen een feestje geeft.
20-12-2012, 14:30 door Anoniem
Kijk weer een verhaal over de betonnen muur van de tunnel met prikkeldraad eromheen. Dat aan het einde van een tunnel louter een lullig slagboompje staat interesseert niemand wat. Zelfde als op de info security beurs. 256 bit 512 bit 1024 bit 2048 bit, nee zelfs 4096 bit encryptie.....

ja nou.... interessant.
20-12-2012, 21:04 door Anoniem
Als ik dit allemaal lees, krijg ik reuze zin om mijn computer uit het raam te gooien. Gelukkig heb ik nog een UTP-kabel en hoef geen tijd te verkwisten met rondfreaken in mijn systeem.
16-08-2013, 12:33 door Anoniem
Best ook even checken in je router of WPS uitgeschakelt is. Bij de meeste modems is dit standaard ingeschakelt. WPS is een 8 digit versleutelings opgedeeld in 2 groepen van 4 karakters die het mogelijk maakt tussen je router en wireless device connectiue te maken dmv een druk op de WPS knop. Reaver is een programma dat een een brut-force attack op deze WPS beveiliging uitvoert. Eerst probeert hij de eerste 4 pins te achterhalen en als dat gelukt is de volgende 4 (laatste karakter is een controlenummer). Veel routers gebruiken standaard pins zoals bv.: 12345670, enz.. Deze pins zijn opgeslagen in het programma en zijn de eerste die hij uitprobeert. Op deze manier kunnen wpa/wpa2 wachtwoorden bijzonder snel gekraakt worden, hoeveel karacters de wpa sleutel ook heeft of hoe moeilijk hij is. De snelste crack die ik kon uitvoeren (natuurlijk met authorisatie van de client) duurde 4 seconden op een belgacom modem, maar als de WPS pin moeilijk te achterhalen is kan het ook wel eens enkele uren duren. Wat nog steeds bijzonder snel is.
WPS uitschakelen (disable) in de modem functies is dus een must en maakt het al heel wat moeilijker je WPA/WPA2 sleutel te achterhalen.
Verder zijn er nog enkele kleine techniekjes die je beveiliging kunnen opdrijven en een hacker wat meer bezig houden zoals ssid verbergen, mac filter instellen, blacklist voor unauthorised clients enz.. Zeker aan te raden maar geen 100% kraakvrije garantie. Wel op aan te merken dat een hacker meestal wel de makkelijkste doelwitten zal uitkiezen, tenzij hij natuurlijk gemotiveerd is en zijn skills wil uittesten.
--Levi Siccard --Hugs are worth more then handshakes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.