Anders: open Wi-Fi + ipsec + x509.

Dan had jouw antwoord moeten zijn: "Niet, iedereen is welkom."
Met ipsec en/of x509 beveilig je niet je wireless verbinding...

Zelf vind ik de beveiliging van m'n draadloze netwerkje ook niet erg
spannend. Communicatie tussen m'n clients heb ik niet draadloos. (en
als je dat doet, kan dat inderdaad beveiligd met ipsec ofzow..) Gebruik
het alleen voor toegang tot Internet en die mogen anderen ook
gebruiken...

Ik gebruik geen Wi-Fi, maar dat is omdat ik geen draadloze apparatuur
heb.

WPA, gecombineerd met mac-adress filtering.
Daarnaast wordt er na het opzetten van de wi-fi verbinding een VPN
verbinding (L2TP) opgezet.

Anders,.... WPA2 + AES + RADIUS + PEAP MS-CHAPv2 + Certificaat
(4096bits)

En dat in een gewone dorpse woonwijk, waar de computers van de
directe buren ook nog eens beheerd worden door mij!!

Die mac-adress filtering kan je direct uitzetten. Dat helpt namelijk niets.
Die zijn namelijk on-the-fly te achterhalen. Daarna alleen nog je WPA
key en we zijn binnen. Maar ja...die WPA key is het lastigst :-)

Wel dus. Zonder certificaat geen ipsec connectiviteit, en
alleen via ipsec interface routeren. Dus niets geen
'iedereen is welkom' ben ik bang.

Dan ben je alsnog een hubje tussen diegenen die wireless connect
zijn. Ook al kunnen ze verder niets (naar internet), ze kunnen wel naar
elkaar connecten. Ik denk dat Mameomowskwooz dat bedoelt.

Geef toe dat m'n opmerking beetje flauw was. Jouw implementatie
maakt inderdaad dat er zonder certificaat op je wifi-netwerk niks te
halen valt. Wat ik maar wilde zeggen is dat jij je beveiliging op een
andere laag (op de ip-laag) doet dan op de "wifi-laag". Iedereen is
welkom op je wifi-netwerk, niemand (zonder certificaat) kan
vervolgens ip connectiviteit krijgen... ;-)


Dat bedoelde ik niet direct, maar je verduidelijkt mijn punt wel goed zo ja...

Iemand die zijn wifi fatsoenlijk beveiligd, kan hier niet het correcte
antwoord kiezen. Dan is het namelijk WPA2 + MAC + EAP.

802.1X

Ik gebruik vast netwerk, mede omdat ik ten eerste weinig devices heb
voor draadloos verkeer, ten tweede graag een snel netwerk wil, en ten
derde en tevens belangrijkste, geen gezeur wil met allerlei protocollen.

-R.

10Base-2? 10Base-T? 100Base-T? 1000Base-SX, LX of T?
Hoezo weining gezeur met protocollen?
:P

ik vind alleen een sticker "verboden toegang" op mn router
wel voldoende. Als mensen dat al niet meer respecteren, waar
gaat het dan heen met de maatschappij??

:p

Ik zou niet blindelings vertrouwen op MAC filtering. Dat helpt namelijk
niets. Dat was al niet bij WEP en nog steeds niet bij WPA2.

WEP plus een SSID van "Geen toegang".
Op mijn WiFi VLAN is geen spannende data te vinden en je moet
alsnog via een proxy (met authenticatie) verder.
En als mensen toch binnenkomen, plegen ze computervredebreuk
(WEP key kraken en SSID negeren).

Helemaal eens, de meterkast op slot, dan kunnen ze ook niet meer bij
je router komen!

Anders, ...
WEP + Mac restrictie + Hidden SSID

MAC filtering en SSID broadcasts uit zijn vrij zinloos. Beiden zijn eenvoudig boven water te halen. De MAC adressen worden niet encrypt en het SSID wordt weliswaar niet ge'broadcast' maar wel mee verzonden in de data.

Ik vind wireless structureel te onveilig om te gebruiken
voor m'n netwerk. Geef mij maar draadjes :-)

Da's waar, maar het houd wel de "toevallig snuffelende buur"
buiten de deur.
Zo heb ik hem ongeveer : Default SSID gewijzigd:SSID
broadcast uit+MAC filter+default password wijzigen+DHCP
functie uit+default IP wijzigen+Remote beheer via wifi
uit+UPNP uit+WPA

Ja, en? WEP is te simpel om over te praten, WPA is gekraakt, dus is
een MAC-adres nog altijd een redelijke beveiliging. En die wordt niet
naar buiten gebracht, dus kom je er alleen achter met geavanceerde
middelen.

Maar belangrijker vind ik dat je niet alleen moet roepen dat het zo
zinloos is, maar dan ook even moet aangeven hoe het dan beter kan.
Zo heeft niemand iets aan jouw commentaar.

Ik zie nog altijd liever een eenvoudige beveiliging dan helemaal geen
beveiliging. Ga maar eens door een wijk met een laptop met draadloze
netwerkverbinding. Dan kun je zelfs op de harde schijven van
onbekenden kijken omdat er totaal niets beveiligd is.

"MAC filtering en SSID broadcasts uit zijn vrij zinloos. Beiden zijn
eenvoudig boven water te halen. De MAC adressen worden niet
encrypt en het SSID wordt weliswaar niet ge'broadcast' maar wel
mee verzonden in de data."

Is het dan of/of danwel en/en ? Natuurlijk geven deze zaken geen
absolute beveiliging, maar het heeft zeker wel toegevoegde waarde.

Met een klopsleutel kan je waarschijnlijk binnen een seconden of 15
jouw voordeur openmaken. Toch vermoed ik niet dat je nu je slot
gaat verwijderen ;)

Die klopsleutel is moeilijker te vinden dan jouw MAC-adres die je in je
filter hebt staan.

'Anders': openbsd met authpf/ssh public keysetup. Dus zonder
wep, zonder wpa en zonder macfiltering. Iedereen die
aanhaakt op mijn netwerk krijgt van mij een ip :-). Goede
middenweg tussen bruikbaarheid die ik nodig heb en benodigde
veiligheid.

Ok.. WEP kraken geef ik je.. Als je dat al kan is het vinden
van het MAC adres kinderspel. En ik daag je uit om mijn WPA
key "even" te komen kraken.. Succes!

WPA/WPA2 encryptie is voldoende. Je maakt het jezelf en je
gebruikers alleen maar nodeloos moeilijker door geen DHCP te
gebruiken, MAC filtering en SSID broadcasts uit te zetten en
het wordt er niet veiliger door. Hype, hype, hype en
iedereen lult elkaar maar na.

Het MAC-adres heb je zo al zonder iets te kraken. Je hoeft alleen maar
te luisteren....en de MAC-adressen vliegen je om de oren.

Precies :) Hoe krijg je anders op laag 2 een verbinding?


Ergo, MAC filtering, hartstikke leuk maar volstrekt nutteloos als beveiligingsmaatregel. Hetzelfde geldt voor laag 3, wel of geen DHCP.

En SSID broadcasts uitzetten is leuk om de Netstumblers (actieve scanner) te ontwijken. Kismet (passieve scanner) gebruikers weten beter. Hoe weet een netwerk namelijk dat het signaal voor hem is? Bedenk hierbij dat je meerdere netwerken (dus SSID's), verschillend beveiligd, op dezelfde AP kan draaien.

Ja, het kost allemaal iets meer moeite om binnen te komen maar als iemand al de moeite neemt om jouw draadloze netwerk te kraken hoeveel 'extra' moeite zal het diegene kosten om jouw "beveiligingsmaatregelen" te omzeilen? En hoeveel moeite kost het jou om dat allemaal bij te houden? Leuk en aardig als je 2 of 3 gebruikers hebt, maar 10, 20, 100? Het gaat je dan vele malen meer moeite kosten om dat hele kleine beetje extra moeite van je aanvaller te niet te doen. Kosten/baten weet je nog?

In zo'n geval is IPSec of een VPN een veel betere oplossing. Dat kost ook wat moeite (opzetten, onderhouden) maar voor je aanvaller tenminste ook, vele malen meer als je het goed doet.

WPA2 + Radius + DMZ (HTTP(S), FTP, SMTP)

Zoals hierboven word genoemd. MAC-filtering en hidden SSID
leuk maar niet een echte beveiliging

Ik ga mij inschrijven voor het beste idee van NL........

Met de verzameling aan "adviezen" alhier kan ik makkelijk
iets uit mijn hoge hoed toveren waar niemand iets van snapt
en het dus wel een heel goed idee moet zijn......

Werkt altijd, al maak je tegenstrijdige beloften dan nog
verkoop je je product en of je aandelen wel...

NetBinnen

Iedereen heeft hier een idee, maar niemand gaat er dieper op in.
Wellicht omdat er vanuit wordt gegaan dat de lezers het wel begrijpen.

Wellicht omdat als je er dieper op in gaat je vervolgens
echt iedereen kwijt raakt?

ik lees een aantal zeer goede voorbeelden van hoe het moet.
lees het vijf-stappenplan van safewifi.be.
voor de moderators:
vooraleer je dit aanziet als sluikreclame, safewifi.be is een puur
informatieve website; er is dus geen rooie duit mee gemoeid.
greetz,
safewifi-team

Ik zou wel eens willen weten of wpa2 al eens gekraakt is heb al eens
ergens gelezen dat dat nog niet bekend is kan iemand hier op
antwoorden weet ik tenminste of dat echt veilig is.

open wifi, wel alle portjes dicht (op dhcp na): port
knocking met daarachter openvpn met certificates. Meer voor
de fun dan nodig lijkt me. Openvpn is echter bijzonder goed
voor dit soort toepassingen.

ff voor de goede orde, ik heb hiermee heel veel geëxperimenteerd. Het maakt
geen hol hidden SSID en mac-filtering. Als je namelijk het programma opstart
zie ik gewoon wie er connected is met welke router. Ik zie de volgende
informatie:

Channel, Encryptievorm, hoeveel pakketten er gebroadcast worden, hoeveel ik
er ontvang (mits connected via fake authentication), hoeveel pakketten er
verloren gaan. Welke clients er connected zijn aan het netwerk. Dat zie ik aan
hun mac-adressen.

Zoals sommige weten is het en fluitje van een cent om in linux het mac-adres
te veranderen. Als je iets veiligs wilt moet je toch echt met certificaten gaan
werken. Als RSA gekraakt is zijn er meer zorgen dan je draadloos netwerk.
Sorry voor de late reactie ik hoop maar dat er mensen zijn die hem nog lezen.
Succes

Maar vergeet niet wat door mensenhanden is gemaakt kan door
mensenhanden weer afgebroken worden. Blijkbaar denk ook niemand aan
het exploiten van de client!!!! Wat misschien wel makkelijker is dan de WPA2-
key :)

Alle ideeën zijn wel leuk, maar je moet ze zelf testen vanuit linux, als ik een
idee mag opperen is het de zwaarst mogelijke beveiliging, Daarbij moet je
alle karakters gebruiken die mogelijk zijn dus 64. Als je er dan ook nog een
smoothwall server tussen je windows xp bakje en je draadloos routertje zet.
Worse case scenario pakken ze je WPA-key, maar ze zijn nog niet bij jou
computer. Dit kost veel tijd en energie om dit allemaal op te zetten. Maar ik
weet zeker dat dit werkt. Ik zou zeggen mensen die het allemaal beter weten je
moet dit doen en dat doen. Ik zou zeggen stel je router zo in, download een
Backtrack 2 cd. En ga er mee zitten kutten kijken of je erin kan komen.
Ga nu maar slapen het is al laat :P

Groetjes Ne$$uS

Als mensen vragen hebben ben ik bereid om te helpen, moet natuurlijk geen
dagtaak worden :P