Kassa over de gevaren van Wi-Fi

[exciter]

Origineel bericht van: MP4

Wel met open deur. Maar daar gaat het niet om toch? Beveiliging kraken was de issue?

Nee, de topic titel heeft het over de gevaren van WiFi.
Met of zonder beveiliging.
En ja, ook als ik de toegangspunt niet beveilig, heb je er niets op te zoeken. Ik loop toch ook niet zomaar je tuin in alleen omdat het hekje even open staat?
Ik beklim je vrouw toch ook niet alleen omdat jij er even niet naast loopt?

[Gast MP4]

Daarom was het ook een antwoord aan Sjaak(K).

Topic titel ken ik. Open deur is een van de grootste gevaren. Maar wie wil in vredesnaam in je netwerk? Op mee te liften kan ik me voorstellen dat de buurjongen dit probeert. Maar om in een PC te duiken moet je wel wat meer hoor. En je moet er maar zin in hebben ook...

[likus]

Ik snap de opmerking van Satwatcher wel hoor, net als de meesten wel zullen doen.

Ik heb ook wel eens getest hoe gemakkelijk mijn beveiliging te kraken is zonder gegevens hierover te hebben.

Ik woon in een "druk draadloos" gebied en hierbij zitten geen onbeveiligde netwerken; je vraagt je dan wel af in hoeverre je veilig bent, want er zitten altijd ziekelingen bij die eens willen proberen en desnoods eens lekker rondneuzen.

Mij is het niet gelukt; ben niet genoeg ingewijd in de materie denk ik...

Maar ik heb nu een WPA beveiliging omdat mijn laptops een probleem hebben met WPA2; loopt niet goed.

Mijn beste beveiligingsmaatregel, naast deze WPA, het MAC-adres en het fixed IP-adres, is dat ik een accesspoint achter mijn router heb gezet, en deze alleen aanzet als ik draadloos ga internetten.

Niet superpraktisch, maar wel lekker veilig .

 

[Gast Pacman]

Likus, lees MP4 zijn reply

 

Relax, niemand is geinteresseerd in jouw "netwerk".

 

[klaas]

Die uitzending van Kassa heeft bij mij in de buurt weinig indruk gemaakt want gemiddeld zijn er continu 4 onbeveiligde netwerken! Vaak zijn dit er in de avonduren nog meer, en dan ook nog hoge snelheidsverbindingen.

[MagicOnline]

De meeste mensen denken dat WPA2 ook veilig is...

 

Binnen een minuut kan ik via elke speedtouch hier in de buurt internetten.

Laat dat net nou net Nederlands meestgebruikte modem zijn aangezien je die bij KPN e.d. krijgt.

 

Probleem is ook dat je weinig aan die dingen kan aanpassen.

[Sjattuh]

Ok vraagje dan,

 

Hoe kan ik mijn draadloos netwerk dan goed beveiligen tegen de dwazen zoals 1tje hier in deze thread?

 

Ik gebruik WPA2 op het moment. Ik moet mappen en printers sharen (2 laptops die draadloos verbinden en 1 'server' waar alles opstaat en de printers etc. aan vast zitten).

 

Beste is middels harde mac addressen?

[Thomas2000]

utp-tje trekken is het veiligste. Mac is ook goed te omzeilen.

[Gido]

WPA2-Personal in combinatie met Mac protectie en dan geen simpele wachtwoorden gebruiken maar bijvoorbeeld :

 

qy&YvFXDLBCuFp63-YznKbR-qiDB53hv!dJksqx4$/x8o\0nQ-PlZrkFPyRU!,F

 

Heb je een servertje staan dan zou je daar Radius op kunnen installeren en vervolgens WPA2-Enterprise in combinatie met Mac protectie kunnen gebruiken.

 

Ik gebruik zelf een Cisco 1841 Router met WPA2-Enterprise, deze laat ik aanmelden op de active directory van de Windows 2003 server ( Free Radius voor linux zou ook kunnen ) met daarnaast als extra Mac en IP protectie.

[Sjattuh]

Ik gebruik een Fritzbox 7140 modem/router.

 

Ik kan niet meer kabels gebruiken (tenzij je dit kan uitbreiden?). 2x dreambox, server en een shit pctje aangesloten voor d/l's.

 

Mijn wachtwoord is al oljEjlsdfjl;kjoiw3408pisl;kejf of iets in die geest maar ik zal ook middels mac gaan werken. Daarnaast geeft de fritzbox de mogelijkheid om 'Do not allow new WLAN devices' en vervolgens moet/kan ik dus de mac adressen invoeren (ook al is dit niet gelijk nodig).

[Gast MP4]

Iedere hufter die welke documenten van mijn PC weet te halen wens ik veel sterkte, zodra ik ook maar een spoortje daarvan zou merken heb ik de insluiper sneller gevonden dan hij mij. Waar kun je er namelijk iets mee? Ik kan me wel voorstellen dat je van de Bekende Nederlander (en dat zijn er miljoenen tegenwoordig) iets zou willen weten om dat vervolgens te kunnen misbruiken. Die mensen zijn er.

[Gido]

Op één netwerk kabel kun je twee aansluitingen maken omdat er toch maar 4 draadjes gebruikt worden van de 8. Dit kan bijvoorbeeld met een Belkin RJ45 UTP Economiser, die kosten tussen de 15 en 25 euro ( beetje googelen ) per stuk.

 

 

Uiteraard kan je ook gewoon een switch plaatsen.

 

En als je WPA2-Personal gebruikt met een sterk wachtwoord zou ik me verders niet druk maken, ik moet de eerste nog zien die daar "as a piece of cake" doorheen komt !! Uiteraard wel de firmwares blijven updaten van de Router want ze komen eerder via een lek binnen dan dat het ze lukt om WPA2-Personal te kraken.

 

Wil je helemaal save, kan je altijd Radius gebruiken met SSL certificaat, daarop een AES key en naam en wachtwoord, knappe jongen die daar zonder 6 weken voor je deur te staan doorheen komt.

[Sjattuh]

Ik kan kiezen:

 

WPA (TKIP)

WPA2 (CCMP)

WPA + WPA2

 

Is het gebruik hiervan hardware of software afhankelijk? Momenteel gebruik ik WPA (TKIP) (Ik dacht WPA2..).

 

Ik kan de 'transmitter power' terugbrengen naar 6% (inmiddels gedaan gezien wij alleen maar in 1 kamer werken).

 

Wat is Radius met EAK?

[Sjattuh]

Radius met SQL bedoel ik.

[Gido]

WPA2 (CCMP)

 

CCMP biedt een krachtigere coderingsmethode dan TKIP. Meestal bekent onder AES-CCMP. LET OP ! WPA2 (AES-CCMP) word niet ondersteund door Windows XP met service pack 2 daarvoor moet je op XP een patch installeren KB893357 of te wel "WindowsXP-KB893357-v2-x86-NLD.exe" of service pack 3 daar zit deze patch standaard in.

 

Radius met SQL wil gewoon zeggen dat de gebruikers worden opgeslagen in een SQL data base.

 

Ook hier weer LET OP ! deze keer voor Windows Vista. De meeste gratis Radius versies voor Windows zoals "Winradius" of "Radl" werken alleen onder het protocol "EAP-MD5" wat standaard weer niet meer in Windows Vista zit, dit kan worden geactiveerd door toe te voegen aan de registry :

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\4

 

Value name: RolesSupported

Value type: REG_DWORD

Value data: 0000000a

 

Value name: FriendlyName

Value type: REG_SZ

Value data: MD5-Challenge

 

Value name: Path

Value type: REG_EXPAND_SZ

Value data: %SystemRoot%\System32\Raschap.dll

 

Value name: InvokeUsernameDialog

Value type: REG_DWORD

Value data: 00000001

 

Value name: InvokePasswordDialog

Value type: REG_DWORD

Value data: 00000001

 

De gratis versie voor Linux "FreeRadius" is vanaf versie 1.1.4 vista compatible.

 

Nu is "EAP-MD5" vrij zwak dus als je met Radius gaat werken pak dan "EAP-TTLS" en "MSCHAP2" als aanmeld protocol, zoals ik al eerder zei een knappe jonge die daar doorheen komt ! uiteraard is alles te hacken ik zal de laatste zijn die zegt dat dit niet zo is. Maar door wekelijk of eens per 14 dagen het shared wachtwoord aan te passen in combinatie met je inlognaam en pasword maak je ze het wel heel erg moeilijk, en ze gaan echt geen jaar voor je deur staan ze slaan je adresje dan wel even over.

 

Wat veel mensen "nog" niet weten is dat "goedkoop" draadloos toetsenbord helemaal op afstand is uit te lezen, met een ontvanger voor de deur en een programma ziet men zo wat er in de huiskamer ingetikt word. Logitech bied in zijn laatste software daar een codering voor zoals bijvoorbeel WPA2 voor een router. Alle communicatie tussen het toetsenbord en de pc word dan versleuteld.

 

100% dicht timmeren is niet makkelijk maar je kunt het ze vrij moeilijk tot bijna onmogelijk maken, hier rijden ze heus wel een straatje verder