image

De zes stomste manieren om een WLAN te beveiligen

dinsdag 22 maart 2005, 11:55 door Redactie, 23 reacties

Nu draadloze netwerken door steeds meer personen en organisaties gebruikt worden, is het van belang dat de beveiliging op orde is. Security is echter een hekel onderwerp als het op WLANs aankomt en er zijn veel security experts die onjuiste uitspraken doen, zo laat George Ou weten. Hij heeft daarom een lijst met de zes stomste manieren om een draadloos netwerk te beveiligen opgesteld.

1. MAC filtering: Kijkt welke MAC adressen toegang hebben. Een aanvaller kan een MAC adres vervalsen en alsnog binnenkomen.

2. SSID hiding: Bij het uitschakelen van SSID broadcasting vergeten veel gebruikers dat er nog vier andere mechanismes zijn die het SSID via het 2.4 of 5 Ghz spectrum versturen. Niet echt zinvol dus.

3. LEAP authenticatie: Cisco LEAP authenticatie is een van de grootste fouten die bedrijven maken, omdat ze hierdoor erg kwetsbaar zijn voor aanvallen. LEAP is afhankelijk van een sterk wachtwoord, maar dat is erg lastig voor mensen om te onthouden.

4.Uitschakelen DHCP: Dit heeft geen enkele security waarde en is eerder een verspilling van tijd.

5. Locatie van de antenne: Sommige mensen denken dat door het plaatsen van een access point op een bepaalde plaats aanvallen voorkomen kunnen worden, wat niet waar is.

6. Gebruik van 802.11a of Bluetooth, ook dit gaat niet werken aldus Ou.

Volgens Ou zou ook WEP in de "Wireless LAN security hall of shame" thuishoren. Aangezien het kraken van WEP enige vaardigheid vereist en langer dan een minuut duurt, in tegenstelling tot de eerder genoemde punten, is WEP nog niet vermeld. Ou wil met het artikel bereiken dat men WLAN security serieus neemt en geen halve maatregelen neemt die een vals gevoel van veiligheid geven. Voor het implementeren van echte WLAN security verwijst hij naar dit artikel.

Reacties (23)
22-03-2005, 12:14 door Anoniem
"4.Uitschakelen DHCP: Dit heeft geen enkele security waarde
en is eerder een verspilling van tijd."

Tuurlijk heeft dit wel nut!
Als een wardriver bijv. langs rijdt moet hij eerst data
sniffen voordat hij kan zien hoe het netwerk eruit ziet. De
meeste rijden dan alweer door omdat ze daar niet eens zin in
hebben aangezien er zoveel WiFi plekken onbeveiligd zijn met
DHCP toekenning.

Laat staan dat de gemiddelde wardrivescrtipkiddie weet hoe
hij achter de netwerkopbouw kan komen als het blijkt dat er
geen DHCP aanwezig is.
22-03-2005, 12:30 door Anoniem
Ou is met dit artikel ook geen knip voor de neus waard als
security expert. Hij doet nu net alsof een nog over gebleven
hele sterke encryptie met 'veilige' authenticatie een goede
beveiliging is, of helemaal niet gebruiken.
Hij vergeet dat je beveiliging van IT als het beschermen van
een huis moet zien. Met dubbele beglazing en een slot op de
deur komt er echt nog wel iemand binnen als die wil, maar is
vaak afdoende om de inbreker een ander pand te laten kiezen.
Zo ook met het lijstje: echt helemaal veilig ben je er niet
mee, maar is vaak afdoende genoeg voor huis-tuin-keuken
gebruik. Zeker als het gecombineerd wordt. Maar daar horen
we Ou niet over. Die is enkel tevreden met een bunker voor
ieder wlan.
22-03-2005, 12:32 door Anoniem
Wel leuk dat jullie in een artikel van dinsdag 31 augustus schrijven dat dit
een van de methodes zijn om een WLAN te beveiligen.

Wat kan het toch snel gaan he !
22-03-2005, 12:38 door Anoniem
Ik vind het nogal een *** artikel, omdat bepaalde manieren
het "hacken" wel remt...
Hoe moeilijker je het iemand maakt, hoe meer kans je hebt op
"overleven", midner kans dat er een war-driver voorbij rijd,
en heel ff snel je netwerk kraakt..
22-03-2005, 12:38 door Anoniem
Echte hackers zul je waarschijnlijk niet buiten de deur houden, maar om
de gemiddelde snuffelaar te weren lijken zaken als SSID hiding, MAC
filtering en WEP toch wel de minste beveiligingen die je moet aanzetten.

De meeste consumenten producten kunnen meestal niet meer qua
beveiliging dan bovengenoemde zaken...
22-03-2005, 12:40 door Anoniem
5. Locatie van de antenne: Sommige mensen denken dat door
het plaatsen van een access point op een bepaalde plaats
aanvallen voorkomen kunnen worden, wat niet waar is.

Waar slaat dit op? als ik hem in mijn schuur zou zetten,
heeft mijn huis nog wel bereik, maar de straat bijv. minder
/ niets.
Sorry dat ik het zeg, maar dit si echt een bullshit artikel..


Al die kleine puntjes bij elkaar maken een hacker het wel
iets moeilijker en maakt het niet "totaal nutteloos"
22-03-2005, 12:47 door Major-Geek
En MAC Filter in combo met DHCP Disabled en een 128bit
WEP-Key??? dan maak je ze het toch wel erg moeilijk ofniet?
k kan geen andere manieren verzinnen zo 1, 2, 3

-MG
22-03-2005, 12:53 door Anoniem
Meneer OU geeft op zich best aardige punten, maar als je al
deze dingen tezamen neemt, wordt het stukken lastiger. Ja je
kan een MAC vervalsen, maar dan moet je er wel 1 hebben,
brute force kan, maar kost tijd.
Uitschakelen van DHCP hetzelfde, alleen is de kans zeer
groot dat het subnet 192.168.1 of 192.168.0 zal zijn.
WEP is zeker niet zaligmakend, maar ook hier een vertraging.

Tezamen zal het voor een wardriver minder aantrekkelijk
maken, omdat je dan niet aan driven toekomt en wardrivers
gaan vaak op zoek naar open netwerken en niet een netwerk
waar ze minimaal een half uur mee bezig zijn

Toch ben ik van mening dat je draadloos alleen moet doen als
het niet anders kan. Een draadje moet je fysiek bij kunnen.
22-03-2005, 13:06 door Anoniem
Door Major-Geek
En MAC Filter in combo met DHCP Disabled en een 128bit
WEP-Key??? dan maak je ze het toch wel erg moeilijk ofniet?
k kan geen andere manieren verzinnen zo 1, 2, 3

-MG

Valt mee, ik heb net een pc gebouwd om te sniffen, elke wep
sleutel heb ik met een beetje dataverkeer binnen een week
gekraakt.

Zelfs om WPA te (snel) kraken bestaan manieren, ik weet
aleen niet hoe 't zit als je een radius server gebruikt.
22-03-2005, 13:42 door Mr T
Kompleet belachelijk!!
Ok, als je maar 1 van die opgesomde dingen gebruikt dan is
dit idd niet voldoende. Maar als je ze allemaal tegelijk
gebruikt is dit zeker voldoende voor huis-tuin en keuken
gebruik.
22-03-2005, 13:49 door Anoniem
Security wil niet perse zeggen dat dit water dicht is of
hoeft te zijn. Security is vooral het rekken van tijd dat
een cracker nodig heeft om in te kunnen breken.
Hoe meer tijd daarvoor nodig is, te meer kans tijdig
opgemerkt te worden, te meer dat op de kraker z'n zenuwen
werkt en ergens ander z'n heil gaat proberen te zoeken.

Ik begrijp Ou wel, waar het om gaat is "WEP encryption was
thought to be good for a week for most light traffic home
wireless networks because the older WEP cracking tools
needed 5 to 10 million packets to recover a WEP key, but the
newest WEP cracking techniques can break WEP in minutes."

Decryptie betekent inzage en maakt inzage kwetsbaar waarbij
voornoemde punten niet echt meer een werende factor spelen.
22-03-2005, 15:16 door Anoniem
Door Anoniem
Ik vind het nogal een *** artikel, omdat bepaalde manieren
het "hacken" wel remt...
Hoe moeilijker je het iemand maakt, hoe meer kans je hebt op
"overleven", midner kans dat er een war-driver voorbij rijd,
en heel ff snel je netwerk kraakt..


ja, dat zijn allemaal geldige manieren die onderdeel moeten zijn om je
netwerk te beschermen. Het vertraagt de aanvaller sowieso.

Dus die lamer moet maar eens terug naar de praktijk met z'n artikel.
22-03-2005, 15:52 door Anoniem
Wep encryptie tegenwoordig wel veilig op nieuwere access points,
voornamelijk de linksys ap's van cisco. Waarom?
Deze ap's zenden geen zwakke IV's meer uit, hetgeen het voorheen
mogelijk maakte om de wep key te kraken. Nu is dat dus niet meer
mogelijk.

Ook vind ik dat dit artikel te veel aan de subjectieve kant is, aangezien het
de "beveiligingen" die in het artikel worden besproken wel degelijk nut
hebben. Een hacker pakt altijd een ap dat het meest gemakkelijkst is om
te kraken. Hebben we het over het kraken van bedrijfsnetwerken, dan is het
slim om na gaan te denken over 802.11x authentica aka radius. Het
beveiligen van de ap's op de boven besproken manier heeft naar mijn
mening wel zin, aangezien het een stuk moeilijker wordt om een ap te
kraken, het is niet natuurlijk niet onmogelijk, laten we daar duidelijk over
zijn.
22-03-2005, 16:12 door R. Dolstra
Door Major-Geek
En MAC Filter in combo met DHCP Disabled en een 128bit
WEP-Key??? dan maak je ze het toch wel erg moeilijk ofniet?
k kan geen andere manieren verzinnen zo 1, 2, 3

-MG

Je zou als het WLAN verkeer als 'vreemd' kunnen behandellen.
In mijn situatie zit er een MAC filter in, DHCP staat aan,
WEP staat uit (accesspoint snapt er dan niets meer van) en
SSID-broadcast staat uit.

Wie dus wil kan zonder veel moeite binnenkomen... maar dan
zijn ze pas in een soort DMZ. Op die DMZ is behalve de
draadloze machines en het accespoint slechts 1 host actief die:
- Erg moeilijk te vinden is (netwerk á la 10.0.0.0/8)
- Niet reageert op ICMP
- Alleen een handje vol poorten toestaat
- Alleen verbindingen vanaf een beperkte IP-range toestaat
(á la 10.0.0.0/24)
- NIET reageert op alle adressen in de IP-range die de
DHCP-server (Accesspoint) uitgeeft (á la 192.168.1.0 / 24)
- Feitelijk niet meer is als een NAT-router met de
WAN-aansluiting verbonden met het AP.

Mochten ze daar doorheen komen dan wacht de hacker ik
kwestie niets meer dan een verzameling foto's, films en
andere vrij downloadbare meuk op een wantrouwige sambaserver
en een lijntje naar internet.

Lijkt mij voldoende voor thuisgebruik. Vanaf mijn laptop kan
ik via een VPN-tunnel mijn bedrade netwerk in, en eventueel
via Samba of SSH verbinding maken met het servertje.


De moraal: Hackers zijn creatief met hun kennis... waarom
zou jij niet creatief zijn om je netwerk te beveiligen.
22-03-2005, 16:13 door Anoniem
Door Anoniem
5. Locatie van de antenne: Sommige mensen denken dat door
het plaatsen van een access point op een bepaalde plaats
aanvallen voorkomen kunnen worden, wat niet waar is.

Waar slaat dit op? als ik hem in mijn schuur zou zetten,
heeft mijn huis nog wel bereik, maar de straat bijv. minder
/ niets.
Sorry dat ik het zeg, maar dit si echt een bullshit artikel..

Het is een slecht artikel, maar hierin heeft ie gelijk. Dat
jij geen ontvangst meer hebt op straat, wil niet zeggen dat
iemand met een betere ontvanger je signaal niet kan
oppikken. Misschien wel op anderhalve kilometer afstand, als
het de moeite waard is.
22-03-2005, 16:15 door Anoniem
Door Anoniem
Door Anoniem
Ik vind het nogal een *** artikel, omdat bepaalde manieren
het "hacken" wel remt...
Hoe moeilijker je het iemand maakt, hoe meer kans je hebt op
"overleven", midner kans dat er een war-driver voorbij rijd,
en heel ff snel je netwerk kraakt..


ja, dat zijn allemaal geldige manieren die onderdeel moeten
zijn om je
netwerk te beschermen. Het vertraagt de aanvaller sowieso.

Dus die lamer moet maar eens terug naar de praktijk met z'n
artikel.
Dat hangt er helemaal vanaf waar je rekening mee
houd. Wanneer je vanuit zolder op een afgelegen boerderij
enkel denkt aan de gelegenheids wardriver die binnen enkele
seconden toegang tracht te verkrijgen terwijl het voorbij
sjeest in zijn of haar vehicel ben je zo klaar. Ik kan mij
niet voorstellen dat in zo'n vreselijk dicht bevolkt land
als dit denkt in termen van ruimte, dat je buiten het woon-
of bedrijfsobject zo ver kunt kijken als de horizon rijkt.
Maar zie het eens in stedelijk perspectief of in perspectief
van iemand die niet op gelegenheid maar doelbewust een
bepaald netwerk op het oog is.
Dan kun je de heer Ou's redenering waarschijnlijk wel plaatsen.
22-03-2005, 16:26 door Anoniem
Door Anoniem
Een hacker pakt altijd een ap dat het meest gemakkelijkst is
om te kraken.
Fout, een hacker probeert mede
gebruikmakend van zeer intensief durende tests fouten en
veiligheidsproblemen op te lossen in opdracht van de eigenaar.
Een crimineel als een cracker of scriptkid zal wel graag
iets nemen dat het makkelijkst en snelst te kraken is.
Dat zijn twee totaal verschillende benaderingswijzen.

Ofwel:
De moraal: Crackers zijn creatief met hun kennis... waarom
zou jij niet creatief zijn je netwerk te hacken om deze zo
goed mogelijk te beveiligen.
22-03-2005, 16:33 door Major-Geek
Door Anoniem
Door Major-Geek
En MAC Filter in combo met DHCP Disabled en een 128bit
WEP-Key??? dan maak je ze het toch wel erg moeilijk ofniet?
k kan geen andere manieren verzinnen zo 1, 2, 3

-MG

Valt mee, ik heb net een pc gebouwd om te sniffen, elke wep
sleutel heb ik met een beetje dataverkeer binnen een week
gekraakt.

Zelfs om WPA te (snel) kraken bestaan manieren, ik weet
aleen niet hoe 't zit als je een radius server gebruikt.

kan, maar ga jij een week bij mij voor de deur staan??? daar
moet je ook rekening mee houden natuurlijk. een wardriver
rijd door de straten dus die gaat niet een week voor een
huis staan maar je hebt een punt ja.

-MG
22-03-2005, 17:36 door Anoniem
In tegenstelling tot dit artikel is zijn artikel over hoe wel te beveiligen erg
goed!
http://www.lanarchitect.net/Articles/Wireless/SecurityRating/
22-03-2005, 18:38 door Anoniem
Door Major-Geek
kan, maar ga jij een week bij mij voor de deur staan??? daar
moet je ook rekening mee houden natuurlijk.
Ben je in
Duitsland gaan wonen waar het nog mogelijk is geen buren te
hebben? :)
22-03-2005, 22:35 door Anoniem
Door Anoniem
Hij vergeet dat je beveiliging van IT als het beschermen van
een huis moet zien. Met dubbele beglazing en een slot op de
deur komt er echt nog wel iemand binnen als die wil, maar is
vaak afdoende om de inbreker een ander pand te laten kiezen.
Zo ook met het lijstje: echt helemaal veilig ben je er niet
mee, maar is vaak afdoende genoeg voor huis-tuin-keuken
gebruik. Zeker als het gecombineerd wordt. Maar daar horen
we Ou niet over. Die is enkel tevreden met een bunker voor
ieder wlan.

Nja, mr. Ou is wat 'fel' waar het security betreft (trust me, i know), maar op
zich heeft ie deze keer wel een punt door de voor 'ons' bloody obvious NIET
security oplossingen op te sommen. Op punt 5 na (vind ik nl. discutabel)
zijn het allemaal obscurity oplossingen.

George schrijft duidelijk voor de populair wetenschappelijke massa (het is
tenslotte ZDNet) en het is goed dat die doelgroep dit soort dingen leest.
Hopenlijk lezen ze dan de manual van hun AP nog een keer, of vragen ze
een neefje om WPA te configureren..
23-03-2005, 12:21 door Anoniem
Jammer dat het artikel niet ingaat op hoe het dan wél moet. Weinig
informatief dus. Misschien kan de schrijver beter de politiek in gaan. Wel in
de opositie natuurlijk want dan hoef je alleen maar ideeën van anderen af
te zeiken zonder zelf met een oplossing te komen.
29-03-2005, 04:02 door spatieman
zucht..
SSID hiding heeft bij somige kaartjes het resultaat dat er
ook GEEN verbinding kan plaatsvinden.. :(

MAC filtering en WEP zijn hier standaard aan WEP staat
trouwens op 256bit.
en een hacker zal echt niet de moeite doen om lang voor een
huis te staan wachten voor het te hacken..
dat valt op tenduur toch wel op.
en DHCP uitzetten, tja,het helpt wel, een beetje slimerik
zet dan gewoon het ding in een andere range(en er zijn
genoeg ranges voor prive gebruik)

nadeel van 256bit wep is dat niet ieder kaartje het
ondersteund ,en je snelheid naar onder wordt getrokken door
de encryptie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.