Dan zal ik meteen maar mijn mening geven over de
beveiligingsstandaarden voor draadloze netwerken: die zijn
ofwel waardeloos slecht (WEP), of nodeloos ingewikkeld
(802.1x), en altijd vervelend om op te zetten (overal keys
intypen enzo).

Geef mij maar een onbeveiligd netwerk met bestaande
beveiligingstechnieken (TLS, VPN) eroverheen - en dan niet
PPTP, want dat is ook zo lek als een mandje. Helaas is dat
wel het meset universeel ondersteunde VPN protocol...

In elk geval is het mij een raadsel waarom ze (1) de moeite
hebben genomen om allerhande beveiligingen speciaal voor
WLAN te verzinnen, en (2) ze als ze toch die moeite nemen
met zoiets slechts als WEP op de proppen komen.

altijd vervelend om op te zetten (overal keys
intypen enzo).

Een keer de sleutel op een usb-stick zetten vanaf een lanwerkplek en voor
de rest is het knippen en plakken.

Grtzz,
PietNL

Je vergeet WPA maar even voor het gemak.. WPA-PSK is, net als WEP, simpel in te stellen en vele malen veiliger dan WEP. Wordt alleen niet altijd ondersteund.

WEP is opzich niet slecht. Het is alleen jammer dat ze fouten hebben gemaakt in de implementatie waardoor er zwakke sleutels gebruikt worden.

Ik denk alleen dat je dan een heel belangrijk concept over het hoofd ziet:
Degene die op je WiFi net meelift is niet geinteresseerd in jouw data of
verkeer, maar in je BANDBREEDTE.. Spammers en ander tuig willen maar
wat graag op je lijntje meeliften. Jij krijgt de klappen en zij de centen.
WiFi encryptie is beveiliging van je signaal en daarmee je bandbreedte.

Overigens heb je wel een punt: echt best is het allemaal niet en vooral
ingewikkeld. Komt daarbij nog het punt dat het ip-verkeer min of meer in
open (hub) modus over het WiFi deel loopt. Daarmee wordt toch wel de zin
van tunneling aangetoond.

WPA is mijn inzienst de veiligste en verstandigste keuze. En configureren
is doorgaans niet zo moeilijk mits je wlan hardware van een A-merk heb
gekocht en je installeert op Windows XP SP2. In alle andere gevallen, veel
installatie plezier :-)

WPA is idd imho ook het veiligst.. icm met mac adres filter

WPA-PSK d.m.v. hostapd op freebsd was erg eenvoudig in te
stellen..
http://www.freebsdmall.com/~loader/en_US.ISO8859-1/articles/wireless/article.html

En wat vinden jullie van de combinatie WPA-PSK, broadcasting
uitgeschakeld en filtering op MAC-adres aan? In mijn optiek de meeste
veilige combinatie, maar inderdaad wel wat meer werk om op te zetten.

Zinloos. Het SSID komt toch wel voorbij op het moment dat er communicatie is. Net als je MAC adres.

WPA is een in aller ijl in elkaar geknutseld protocol. De
implementatie verschilt per vendor. Dit heeft tot gevolg dat
een AP van merk A mogelijk niet fatsoenlijk met een kaartje
van merk kan communiceren (op basis van WPA).
Gebruik dan liever WPA2 (in combinatie met TKIP als
encryptie technologie). Nadeel van die WPA2 is dat het
relatief nieuw is en de oudere hardware/drivers het nog niet
ondersteunen.

AES is leuk, maar zelfs op dit moment nog overkill. Er is
nml nog geen noodzaak om AES te gebruiken, omdat TKIP (wat
een stuk lichter is) nog niet gebroken is.
Door de sterke AES encryptie kan een wireless link ook
'langzamer' zijn, omdat je client het 'zwaar' heeft met het
in en uit pakken van de pakketten.

802.1x is voor de doorsnee thuisgebruiker geen alternatief,
omdat het vaak extra hardware vereist in de vorm van een
radius server. En die radius server moet ook geconfigureerd
en onderhouden worden. Als men thuis al geen AP-tje kan
configgen, dan valt 802.1x helemaal buiten de boot.

Op het gebied van eenvoudig configureren van AP's icm met
wireless kaartjes hebben de fabrikanten nog een mooie klus
te klaren. Veel AP's bij mij in de buurt zijn relatief nieuw
(nieuwbouwwijk :-) ). 80% van die dingen hebben geen
beveiliging. Die dingen zijn dus niet geconfigureerd. Een
aantal hebben dit wellicht bewust gedaan, maar het overgrote
deel weet niet eens van het bestaan van die beveiliging af
of is te lui om zich er in te verdiepen.
Overigens ben ik niet van mening dat je het beveilings
probleem niet bij de fabrikant moet parkeren. De gebruiker
is zelf ten alle tijde verantwoordelijk voor zijn eigen
wireless netwerkje. De fabrikant kan wel punten scoren door
een zo eenvoudig mogelijk oplossing te bieden waarbij de
beveiliging zo hoog mogelijk is.

Overigens zit ik te wachten op een case (bijv. bank gehackt
en miljoenen 'verdwenen'), waarbij er misbruik gemaakt wordt
van een open AP bij een particulier, waarbij de rechter aan
te pas komt betreffende de schuld vraag / medeplichtigheid.
Laat men de rechten en plichten van een wireless lan
'beheerder' maar eens ter discussie zetten.

Je moet jezelf simpelweg 1 vraag stellen...
[size=+2]Durf ik al mijn netwerkverkeer te laten zien aan alles en
iedereen die daar zin in heeft?[/size]
Iedereen KAN het zien.
En met WiFi kan de 'dader' met gemak 10km verderop in een flat
zitten en dan lukt het je niet om op mac adres te zoeken in je
switches om te kijken waar de dader zit op het netwerk.

Daarbij komt dat alle beveiligingsmiddelen gewoon zuigen voor
wat betreft WiFi. Pak de gemiddelde Windows PDA. Als die al WiFi
aan kan, dan vaak niet WiFi+VPN, laat staan WiFi+VPN+Proxy, en
dat al als ie WPA2 aan kan. Zelfs de meest recente WiFi terminals
kunnen nog geeneens de combinatie aan van
WPA2+TKIP+VPN+PROXY.

AS

Ehhmm.. WPA is een subset van WPA2 (802.11i). TKIP is geen encryptie technologie maar heeft te maken met de manier waarop de sleutels gebruikt worden.
http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access
http://en.wikipedia.org/wiki/TKIP

HTC (verkocht onder verschillende namen. Zoals MDA, XDA, QTEK)..
Windows Mobile 5.0 heeft WiFi (met WEP, WPA en LEAP), VPN (IPSec/L2TP en PPTP) en proxy..

Met WPA-PSK moet je wel erg lange keys intypen. Bovendien
zit je inderdaad met ondersteuning, en ik denk dat dat _het_
grote probleem is op het moment. Daarom vind ik de hele zaak
ook zo belachelijk. Als je gewoon een goeie VPN technologie
over de zaak heenlegt heb je een goeie beveiliging, en je
hebt er niks bij nodig wat nog niet bestaat.


Het is ook echt wel verkeerd ontworpen hoor. Je bedenkt
gewoon geen beveiligingssyteem waarvan de sleutels zo
makkelijk te raden danwel uit te rekenen zijn.


Of allebei. Maar je kunt best zorgen dat je alleen via het
VPN het draadloze netwerk af kan...en dan hebben ze ook aan
de bandbreedte niks totdat ze in je VPN zijn.

Een andere manier om een wifi netwerk te verzieken is het
plaatsen van 2 AP's in bridge mode op het zelfde kanaal als
het AP netwerk dat je wilt platleggen.

dan zoek je je als admin ook plat om het probleem te vinden.
kuch *G*