Kör ni kryptering på erat nät?

[mipert]

Ja herregud vad det finns öppna surfnät.

På bussen mellan Södervärn - Värnhem i Malmö (tar ungefär 10 minuter) plingar det till kanske 120 gånger varav 30-40% är surfbara.
Tänk då om jag hade gått sträckan i stället...

Tar jag en sväng med bilen märke rman också hur det skiljer i lika områden. I Löddeköpinge plingar det då och då medan det i Bjärred låter pling-pling-pling-pling...

 

[casting]

I realiteten är det ju ändock så att för dom flesta är det en väldigt liten risk att ha ett öppet nät. Risken att man ska exploitas på något sätt är trots allt väldigt liten. Om nu någon "lånar" din lina att surfa från någongång så är det antagligen inte hela världen. Självklart är det tråkiga om det skulle vara så att någon gör illegala saker på ditt nät som spåras tillbaka till dig. Men totalt sett är nog risken större att du får någon form av trojan på din dator som gör detta i så fall. Det är lätt att bli övernojig i sådana här fall...
Men visst, jag rekommenderar ingen att ha helt öppet nät. Men när man läser vissa här som kör WPA, MACadresslåsning, ingen SSID och VPN, ja då är det rejäl overkill... Men visst, vill ni slösa prestanda så...

 

[bson]

Jag vill gärna förtydliga detta med mac-adresslåsning. Mac-adressen är (som påpekats här tidigare) ett unikt ID för varje dator i nätet (ja, i hela världen faktiskt), men det finns ingenting som hindrar någon att "stjäla" någon annans mac-adress (spoofa). Det går oftast att skriva in vilken mac-adress man vill ha i dialogen för att konfigurera nätverkskortsdrivrutinen i windows (motsvarande förfarande på andra OS). Jag vill därför hävda att mac-adresslåsning i accesspunkten för wlan inte ger särskilt stor förhöjd säkerhet. Det enda som ger bra säkerhet är kryptering i någon form, då helst WPA eller VPN-tunnel med bra kryptering. WPA är väl lättasts att få att fungera, eftersom det är inbyggt i accesspunkten.

 

[wsaar]

Kör WPA-PSK och ser till att ha ett namn på nätet som inte går att härleda till mig eller min lägenhet.

Även om jag främst använder mitt trådlösa nätverk för att slippa kablar till en stationär dator vill jag inte skicka ut ett datornamn som leder inbrottstjuvar till min lägenhet i tron att där finns en laptop att hämta.

 

[casting]

Fredrik skrev: "Jag vill gärna förtydliga detta med mac-adresslåsning. Mac-adressen är (som påpekats här tidigare) ett unikt ID för varje dator i nätet (ja, i hela världen faktiskt), men det finns ingenting som hindrar någon att "stjäla" någon annans mac-adress (spoofa). Det går oftast att skriva in vilken mac-adress man vill ha i dialogen för att konfigurera nätverkskortsdrivrutinen i windows (motsvarande förfarande på andra OS). Jag vill därför hävda att mac-adresslåsning i accesspunkten för wlan inte ger särskilt stor förhöjd säkerhet."




Visst har du rätt i detta. Men HUR vanligt är det att någon sniffar en MAC adress i wlanet och spoofar denna? Skillnad är självklart när man ska skydda värden på något sätt. Jag jobbar med IT inom sjukvården och där har vi kraftfulla metoder för att säkra upp våra WLAN, men det är ju inget jag applicerar hemma. Jag hävdar att den som MAC låser sin router hemma har ett nog så gott skydd.

 

[tobias.e]

casting skrev:
I realiteten är det ju ändock så att för dom flesta är det en väldigt liten risk att ha ett öppet nät. ...

Jag skall snart skaffa trådlöst nät och vill ha det så enkelt som möjligt,men ändå vara relativt skyddad från att någon tar sig in på min dator eller lyssnar av lösenord, kontokortsnummer etc.
Ger windows egna brandvägg (XPSP2) och https-anslutningar hyffsat skydd?

 

[casting]

Enligt min mening så ger en brandvägg, XP:s egna helt ok, och https anslutning ett skydd mot detta. (Självklart kan allt knäckas, men dom killarna riktar knappast in sig på ditt wlan). Vad som är extra viktigt om man kör öppet wlan är att ha lösenordskyddad inloggning på din dator. Annars kan man ganska lätt ta sig in på din dator. Det är värre. Då kan man installera olika typer av program som spelar in den typen av information.
Sen tycker jag att någon form av skydd på trådlösa nätet är motiverat, även om jag fortfarande hävdar att risken med ett öppet nät är låg.

 

[bson]

casting skrev:
Fredrik skrev: "Jag vill gärna förtydliga detta med mac-adresslåsning. Mac-adressen är (som påpekats här tidigare) ett unikt ID för varje dator i nätet (ja, i hela världen faktiskt), men det finns ingenting som hindrar någon att "stjäla" någon annans mac-adress (spoofa). Det går oftast att skriva in vilken mac-adress man vill ha i dialogen för att konfigurera nätverkskortsdrivrutinen i windows (motsvarande förfarande på andra OS). Jag vill därför hävda att mac-adresslåsning i accesspunkten för wlan inte ger särskilt stor förhöjd säkerhet."




Visst har du rätt i detta. Men HUR vanligt är det att någon sniffar en MAC adress i wlanet och spoofar denna? Skillnad är självklart när man ska skydda värden på något sätt. Jag jobbar med IT inom sjukvården och där har vi kraftfulla metoder för att säkra upp våra WLAN, men det är ju inget jag applicerar hemma. Jag hävdar att den som MAC låser sin router hemma har ett nog så gott skydd.

Nej, jag tror det är extremt ovanligt att någon "sniffar" (läser av någon annans) mac-adressen. Jag ville bara förtydliga med att det faktiskt går, och att krypteriong ger betydligt högre säkerhet, om man nu tycker sig behöva det. I realiteten tror jag mac-adresslåsning räcker långt, eftersom det faktiskt krävs viss fackkunskap för att sniffa mac-adressen. Det är ju dock inte svårt (om än svårare) att sätta upp WPA, så det beror ju bara på vilken nivå man vill lägga sig på. Om man bara vill bli av med grannen som surfar på ens nät eller motsvarande, så räcker det troligtvis med mac-adresslåsning.

 

[casting]

Håller med....

 

[hailstorm]

Jag glömde personligen skriva vad jag kör... Sitter på en netgear router med kanonfiffigt gränssnitt.

*WPA-PSK
*Macadresslåsning
*Ip-serie
*Broadcastar inte SSID
*Självklart bytta lösenord.

Hur osäkert är detta för den som vet?

 

[wsaar]

Behöver man ens sniffa MAC-adresserna, borde det inte gå ganska snabbt att brute-forca dem? Dvs, ha ett program som provar troliga adressrymder...

 

[Snö]

Allmänna kommentarer

Intressant tråd!

Har ni märkt att de flesta som svara har gjort både det ena och andra för att säkra sitt W-LAN? Kan det vara kopplat med att de som inte är intresserade inte läser tråden och därför inte svarar?

Jag tror att de som använder WEP-kryptering kan vara lugna. De som dessutom har MAC-lås och IP-lås, ja...det är säkert. Antagligen har dessa personer också en personlig brandvägg som förhindrar att ev. Spyware skickar iväg lösenord och annat känsligt material?

Hur som helst.
Mitt nät är säkrat genom kryptering. Jag använder inte MAC-lås eller IP-lås. Lie dumt kanske folk tycker, men risken att någon knäcker krypteringen är ju så oerhört liten. T.o.m. en 64 Bits krypteringen är jobbig. Ingen gör sig det besväret för att nå en privatpersons (som inte är offentlig) hemnät. Framförallt inte om det finns osäkrade nät nära. Att inte broadcasta sitt SSID och att använda ett namn som inte går att härleda till sin adress är nog en bra idé, framförallt om man bor i villa.

Ett problem jag har är att jag ibland kör fjärrskrivbord. Men nätet jag kör ifrån ligger bakom ett NAT (stort område) så en IP-adresslåsning ger inte nånting. Några tips?

 

[hansen2]

Jag krypterar, broadcastar inte och mac-filtrerar.

/Johan

 

[boran]

Re: Allmänna kommentarer

Snö skrev:
Jag tror att de som använder WEP-kryptering kan vara lugna.

Jag kör med 64-bit WEP då nätverkskortet i min hustrus dator inte klarar WPA. Då 128-bitars WEP inte är mycket bättre än 64-bitars har jag istället valt att byta WEP-nyckel lite oftare.

Varför är det förresten ett problem att broadcasta sitt SSID?

Ett problem jag har är att jag ibland kör fjärrskrivbord. Men nätet jag kör ifrån ligger bakom ett NAT (stort område) så en IP-adresslåsning ger inte nånting. Några tips?

Jag tunnlar VNC genom ssh. Tre misslyckade ssh-inloggningar från en viss plats spärrar adressen i brandväggen. Det känns rätt lagom.

 

[P.R.]

wsaar skrev:
Behöver man ens sniffa MAC-adresserna, borde det inte gå ganska snabbt att brute-forca dem? Dvs, ha ett program som provar troliga adressrymder...

Jo det är möjligt men varför skulle man ens överväga att göra ett program för brute force-attacker när det redan finns mängder av program färdiga som visar det i klartext.

Med en sådan attack du föreslår kommer det dessutom att synas i loggar att du försöker bryta dig in medan det andra alternativet fixar det utan att offret märker något.

 

[arneri]

Och så bör man stänga av "Respond on ping" för att slippa hackers på internet som skannar av IP-serier för svagheter. Onödigt att bjuda in skräptrafik på sin lina.
Att köra "mode" i auto dvs AP:en erbjuder både 802.11a,b och g sänker kapaciteten med 20-30%. Väljs en standard i AP:en så förbättras prestandan.

Kryptering snor också kapacitet så sänder man inte mycket "hemlig" information tycker jag att krypteringen också kan fimpas. Hur vanligt är det att grannen sitter och lyssnar på ens skräptrafik?

Med MAC-identifiering hålls vanliga snyltare borta.

Att man bör byta IP-adress på AP:en från standard 192.168.0.1 till något lite mer udda bland de privata IP-adresserierna samt byta lösenord är kanske självklart för de med nätverksvana, men inte för enkla datoranvändare.

 

[P.R.]

Re: Re: Allmänna kommentarer

boran skrev:
Varför är det förresten ett problem att broadcasta sitt SSID?

Om grannen ser ditt nät är det inte otroligt att han därmed blir inspirerad att undersöka det vidare.

Om du inte visar ditt SSID måste man aktivt söka efter din trafik för att hitta dig.

Om jag vet att det finns glass i frysen så har jag svårt att låta bli den men om jag inte vet om att den finns där går jag inte och öppnar frysen varje timme för att se om det kommit dit någon glass

 

[P.R.]

Säkerhet handlar till stor del om att inte visa sig som ett intressant mål.

Även om det inte är svårare att knäcka viss kryptering så är det ändå betydligt mycket säkrare än MAC-adressfiltrering eftersom inkräktaren i det första fallet måste ha ambitionen att knäcka krypteringen.

Med ett okrypterat nät drar man till sig uppmärksamhet från alla som kör en nätanalysator. Det finns många andra skäl till att köra analysatorn men när personen då hittar ett okrypterat nät kan det dra till sig intresse. Är trafiken däremot krypterad är sannolikheten stor att personen ignorerar den.

En MAC-filtrering är verkningslös mot intrånget (alla som kan dra igång en nätanalysator och förstå vad de ser kan också byta MAC-adress). Den enda fördelen är att om de först försöker med sin egen adress så får man information om detta i loggen. Det kräver då förstås att man kollar sina loggar...

 

[wsaar]

Jag kör med 64-bit WEP då nätverkskortet i min hustrus dator inte klarar WPA. Då 128-bitars WEP inte är mycket bättre än 64-bitars har jag istället valt att byta WEP-nyckel lite oftare.

WEP är väl överhuvudtaget inte särskilt säkert. Problemet ligger inte i nyckellängden (den skyddar endast mot brute-force-sökningar och där är 64 bitar tillräckligt mot de flesta) utan i nyckelhanteringen. Det som gör WPA säkrare är att den förbättrar nyckelhanteringen, nyckeln delas inte ut automatiskt utan du får skriva in nyckeln på varje dator och i accesspunkten.

Kan vara värt att kolla om det finns uppdateringar till drivrutiner eller firmware till ditt kort som lägger till WPA.

 

[wsaar]

P.R. skrev:
Jo det är möjligt men varför skulle man ens överväga att göra ett program för brute force-attacker när det redan finns mängder av program färdiga som visar det i klartext.

Jag tänker främst på de brottslingar som åker till andra sidan stan, knäcker ett nät och skickar iväg virus/spam/annat olagligt material/attacker mot andra burkar etc. Om det går tillräckligt snabbt att brute-forca MAC-adressen kan det vara mer attraktivt eftersom de då kan bryta sig in medans offret är på jobbet eller i alla fall inte påloggad.

Om det sedan syns i loggar att de brute-forcat nätet spelar nog inte så stor roll när både "payloaden" och brottslingen väl kommit iväg (även om det kan vara skönt för offret att kunna visa att någon annan använde hans nät).