---

I forlængelse af en tidligere tråd[0], ligger det klart at WEP ikke er
nok til at sikre et wireless netværk. Beklageligvis understøtter mit
accesspoint ikke umiddelbart andre former for authetication.

Jeg efterspørger derfor forslag til hvorledes jeg bedst kan
implementere en anden form for authenticering/kryptering for wireless
adgang til mit netværk.

Mit netværk ser således ud:


(internet sky)
|
|
62.242.21.9/30
[router, SS5781] [server, FreeBSD4.9]
192.168.1.1(/24) 192.168.1.200
| |
|------------------------------|
| |
| 192.168.1.2
| [wireless access point, NQ-9000]
| 192.168.2.1(/24)
192.168.1.10-100 |
| 192.168.2.10-100
[et antal workstations] |
[et antal wireless workstations]



Jeg er kommet frem til følgende krav til en løsning:
- den skal sikre at kun godkendte brugere kan anvende det trådløse
netværk og den trådløse kommunikation skal være krypteret
- den skal kunne anvendes med både W2K, WXP og *nix klienter (ældre
windows-versioner må klare sig selv)
- tråløse brugere skal som minimum kunne tilgå internet (men ikke
nødvendigvis det øvrige lokalnet)
- ingen anskaffelse af yderligere hardware

Øvrige ting der ville være Nice To Have:
- windows maskiner på hhv 192.168.2 og .1 netværk vil gerne kunne se
hinanden og browse fileshares mv.
- løsningen må gerne kunne sikre at kun godkendte brugere kan anvende
det trådbaserede netværk


Jeg er klar over, at det er relativt skamløst at udbede en
færdigstrikket løsning til ovenstående, så det er ikke nødvendigvis det
jeg går efter. Jeg er bare interesseret i forslag til hvordan (med
hvilke midler) ovenstående kan løses.

I øjeblikket er jeg ved at læse op på IPsec, hvor det ser ud til at
IPsec i ESP/Transport mode (via FreeBSD-maskinen) måske er en mulighed.


[0]: startende med <Xns94963FB79AE95k5j6h4jk3@62.243.74.163> i
dk.edb.sikkerhed

FUT: netvaerk

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

On 21 Feb 2004 13:12:18 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:

>I forlængelse af en tidligere tråd[0], ligger det klart at WEP ikke er
>nok til at sikre et wireless netværk. Beklageligvis understøtter mit
>accesspoint ikke umiddelbart andre former for authetication.

Trådløst netværk kan du aldrig sikre 100%, men med WEP er risikoen for
uvenligt besøg absolut minimal.

Men det vigtige i denne sammenhæng er ikke at tro på kryptering og
authetication - trådløst netværk er usikkert. I stedet bør man være
over sit netværk og hele tiden vide hva' der foregår.

Og for alt i verden sikre at personer der får 'hul igennem' det
trådløse accespoint ikke kan lave skade i dit lokale intranet.

<mlr>

---

On Sat, 21 Feb 2004 14:49:15 +0100, SonnyBoy
<Sonny@i.live.nowhere> wrote:

> Trådløst netværk kan du aldrig sikre 100%, men med WEP er risikoen
> for uvenligt besøg absolut minimal.

Nej. WEP er fuldstændig trivielt at bryde.

> Men det vigtige i denne sammenhæng er ikke at tro på kryptering og
> authetication - trådløst netværk er usikkert.

Nej. Trådløst netværk kan gøres Rimeligt Sikkert(TM) med WPA
eller 802.11i.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

SonnyBoy wrote in <news:q5ne30le4f1mdslcd91n5qg09m5me1l3a3@4ax.com>:

>>I forlængelse af en tidligere tråd[0], ligger det klart at WEP
>>ikke er nok til at sikre et wireless netværk. Beklageligvis
>>understøtter mit accesspoint ikke umiddelbart andre former for
>>authetication.
>
> Trådløst netværk kan du aldrig sikre 100%, men med WEP er risikoen
> for uvenligt besøg absolut minimal.

Så vidt jeg kan forstå på den tråd jeg refererede til, er det ikke
tilfældet.

> Men det vigtige i denne sammenhæng er ikke at tro på kryptering og
> authetication - trådløst netværk er usikkert. I stedet bør man
> være over sit netværk og hele tiden vide hva' der foregår.

Så vidt jeg kan forstå på nogle eksperter jeg stoler på, kan wireless
gøres ganske sikkert (Sikkert Nok(tm)) med de rigtige midler.

> Og for alt i verden sikre at personer der får 'hul igennem' det
> trådløse accespoint ikke kan lave skade i dit lokale intranet.

Maskinerne på accesspointet skulle jo ideelt set gerne være en del af
intranettet. Men forskellen er nu den samme, jeg stoler i forvejen ikke
på arbejdsstationerne, bortset fra min egen.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

On 21 Feb 2004 13:12:18 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:

>Mit netværk ser således ud:
>
>
> (internet sky)
> |
> |
> 62.242.21.9/30
> [router, SS5781] [server, FreeBSD4.9]
> 192.168.1.1(/24) 192.168.1.200
> | |
> |------------------------------|
> | |
> | 192.168.1.2
> | [wireless access point, NQ-9000]
> | 192.168.2.1(/24)
> 192.168.1.10-100 |
> | 192.168.2.10-100
>[et antal workstations] |
> [et antal wireless workstations]
>

Er der en specifik årsag til at du har lagt de trådede og trådløse
maskiner i hvert sit ip-segment ??

<mlr>

---

SonnyBoy wrote in <news:jhoe30hr4nutussdrvs1uevuv6k4o9tac5@4ax.com>:

>> 192.168.1.10-100 |
>> | 192.168.2.10-100
>>[et antal workstations] |
>> [et antal wireless workstations]
>>
>
> Er der en specifik årsag til at du har lagt de trådede og trådløse
> maskiner i hvert sit ip-segment ??

Der er flere. Blandt andet ville accesspointet ikke fungere som bridge
sådan som jeg ville have det til, det var interessant at konfigurere og
jeg vil gerne kunne differentiere mellem maskiner på de to net således
at jeg på sigt kan route/firewalle/etc dem forskelligt.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

"Niels Callesøe" <pfy@nntp.dk> wrote:

>> Er der en specifik årsag til at du har lagt de trådede og trådløse
>> maskiner i hvert sit ip-segment ??
>
>Der er flere. Blandt andet ville accesspointet ikke fungere som bridge

Øhm bridge ?!

Dit accesspoint fungerer vel som simpelt accesspoint - I min terminologi er wireless bridge noget helt andet, nemlig en trådsløs
forbindelse mellem to fysisk adskilte netværk.

Egentlig ku' du nok bare deaktivere DHCP serveren i access pointet og lade de trådløse maskiner hente ip-adresse mv fra din
bredbåndsrouter ?!

<mlr>

---

Michael Rasmussen wrote in
<news:4a0h309gbmoo186l7i1l5bkejcupesu79q@4ax.com>:

>>Der er flere. Blandt andet ville accesspointet ikke fungere som
>>bridge
>
> Øhm bridge ?!
>
> Dit accesspoint fungerer vel som simpelt accesspoint - I min
> terminologi er wireless bridge noget helt andet, nemlig en
> trådsløs forbindelse mellem to fysisk adskilte netværk.

Det er muligt... men i routerens terminologi fungerer den som bridge i
det øjeblik den ikke laver andet end at forwarde pakker frem og tilbage
mellem sine interfaces (sammenligneligt med en switch hvor den ene
"port" bare er wireless). Det er også hvad FreeBSD håndbogen forstår
ved en bridge, så vidt jeg kan læse mig til.

> Egentlig ku' du nok bare deaktivere DHCP serveren i access pointet
> og lade de trådløse maskiner hente ip-adresse mv fra din
> bredbåndsrouter ?!

Jo, men hvorfor? Det gør jo ingenting for at løse mit problem (nærmest
tværtimod). Løsningen som den ser ud på min skitse /fungerer/. Der er
derfor ikke nogen grund til at ændre på noget, med mindre det er et
skridt på vejen til en løsning af sikkerhedsproblematikken.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

"Niels Callesøe" <pfy@nntp.dk> wrote:

>> Egentlig ku' du nok bare deaktivere DHCP serveren i access pointet
>> og lade de trådløse maskiner hente ip-adresse mv fra din
>> bredbåndsrouter ?!
>
>Jo, men hvorfor? Det gør jo ingenting for at løse mit problem (nærmest
>tværtimod).

Det ville i hvert fald gøre at windows maskiner umiddelbart kan se
hinanden og browse fileshares mv.

Men sikkerhedsmæssigt ville det selvfølgelig ikke blive bedre

- - - -

Jeg forstår bare ikke hva' der gør dig så bekymret for sikkerheden ??

Mit eget netværk kører med WEP og MAC filtrering. Det udelukker de værste brian typer, men selvfølgelig ikke folk med
netværkskendskab. Så har jeg yderligere begrænset Transfer Rate til 11 Mbit og dermed er rækkevidden reelt så kort at hackerne
bogstavelig talt skal sidde på trappestenen for at logge på...

Vel er der fortsat en risiko, men den er på et niveau hvor jeg godt kan sove om natten

<mlr>

---

Michael Rasmussen wrote in
<news:id3h30900d846j116r66hu9h000jk4i10n@4ax.com>:

> Jeg forstår bare ikke hva' der gør dig så bekymret for sikkerheden
> ??

Fordi jeg tilbyder et netværk til et antal brugere. Det er mit ansvar
at netværket drives på en ansvarlig og sikker måde. Mine brugere skal
kunne stole på at jeg har sikret dem efter bedste evne mod aflytning,
og for mit eget vedkommende skal jeg kunne sikre at det kun er de
brugere jeg har givet adgang der kan udnytte mine resourcer.

Sagt på en anden måde, hvis du parkerer en bil nede på gaden, bryder
ind på mit netværk (fordi jeg har sløset med sikkerheden på wireless
access) og derigennem bryder ind hos nogle andre, så vil det være mit
problem.

> Mit eget netværk kører med WEP og MAC filtrering. Det udelukker de
> værste brian typer, men selvfølgelig ikke folk med
> netværkskendskab. Så har jeg yderligere begrænset Transfer Rate
> til 11 Mbit og dermed er rækkevidden reelt så kort at hackerne
> bogstavelig talt skal sidde på trappestenen for at logge på...

Jeg er ikke specielt interesseret i at give køb på performance for at
opnå en sikkerhedsfordel der reelt ikke eksisterer. Dit signal kan
stadig fanges ret langt væk med den rigtige antenne (og i mit tilfælde
af en masse oven-, under- og naboer). Jeg er heller ikke interesseret i
at skulle modificere MAC-filtre hver gang en bruger får et nyt netkort
eller en ny laptop.

> Vel er der fortsat en risiko, men den er på et niveau hvor jeg
> godt kan sove om natten

Det er jo fair nok, hvis det er din vurdering. Det handler om at
tilpasse sikkerheden til den er sikker nok til ens behov. I mit
tilfælde har jeg vurderet at WEP ikke er stærkt nok til at jeg tør
stole på det.


[XFUT til sikkerhedsgruppen]

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

"Niels Callesøe" <pfy@nntp.dk> wrote:

>> Jeg forstår bare ikke hva' der gør dig så bekymret for sikkerheden
>> ??
>
>Fordi jeg tilbyder et netværk til et antal brugere. Det er mit ansvar
>at netværket drives på en ansvarlig og sikker måde. Mine brugere skal
>kunne stole på at jeg har sikret dem efter bedste evne mod aflytning,
>og for mit eget vedkommende skal jeg kunne sikre at det kun er de
>brugere jeg har givet adgang der kan udnytte mine resourcer.

Ok, det er så en anden sag...

Men så vil jeg foreslå en udskiftning af accesspointet til en model der understøtter WPA og supplere med RADIUS server på din
FreeBSD maskine..

<mlr>

---

Michael Rasmussen wrote in
<news:4t6h309lfmeqkl19pcqk576p8kglfi7qec@4ax.com>:

>>Fordi jeg tilbyder et netværk til et antal brugere. Det er mit
>>ansvar at netværket drives på en ansvarlig og sikker måde. Mine
>>brugere skal kunne stole på at jeg har sikret dem efter bedste
>>evne mod aflytning, og for mit eget vedkommende skal jeg kunne
>>sikre at det kun er de brugere jeg har givet adgang der kan
>>udnytte mine resourcer.
>
> Ok, det er så en anden sag...
>
> Men så vil jeg foreslå en udskiftning af accesspointet til en
> model der understøtter WPA og supplere med RADIUS server på din
> FreeBSD maskine..

Det var da bestemt en mulighed... hvis altså det ikke lige var fordi
jeg ikke er indstillet på at anskaffe yderligere hardware til formålet.
Og hvis det oven i købet kan lade sig gøre med det hardware jeg
allerede har, hvilket jeg stadig tror, så ville det jo være spild.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

"Niels Callesøe" <pfy@nntp.dk> wrote:

>> Men så vil jeg foreslå en udskiftning af accesspointet til en
>> model der understøtter WPA og supplere med RADIUS server på din
>> FreeBSD maskine..
>
>Det var da bestemt en mulighed... hvis altså det ikke lige var fordi
>jeg ikke er indstillet på at anskaffe yderligere hardware til formålet.
>Og hvis det oven i købet kan lade sig gøre med det hardware jeg
>allerede har, hvilket jeg stadig tror, så ville det jo være spild.

Du kan få et accesspoint med WPA for 6 - 700 kroner, det kan du vel overkomme. Jeg mener, dine brugere betaler vel netadgangen

<mlr>

---

In article <Xns94978B41B377Ck5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
> Det var da bestemt en mulighed... hvis altså det ikke lige var fordi
> jeg ikke er indstillet på at anskaffe yderligere hardware til formålet.
> Og hvis det oven i købet kan lade sig gøre med det hardware jeg
> allerede har, hvilket jeg stadig tror, så ville det jo være spild.

Hvad med at købe et ekstra netkort til din server, forbinde
APet til denne, læse videre på IPSEC, og installere
http://www.pgpi.org/products/pgp/versions/freeware/

på klienterne?

Du kan evt. også lidt om opsætningen på
klienten,
http://www.allard.nu/openbsd/ (det er godt nok til
OpenBSD men der bør ikke være den store forskel)

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote in
<news:slrnc3havn.l52.chel@weebo.dmz.spindelnet.dk>:

>> Det var da bestemt en mulighed... hvis altså det ikke lige var
>> fordi jeg ikke er indstillet på at anskaffe yderligere hardware
>> til formålet. Og hvis det oven i købet kan lade sig gøre med det
>> hardware jeg allerede har, hvilket jeg stadig tror, så ville det
>> jo være spild.
>
> Hvad med at købe et ekstra netkort til din server, forbinde
> APet til denne,

Det blev også foreslået i netværksgruppen. Mit spørgsmål til dette er:
hvorfor er det nødvendigt at anskaffe endnu et NIC? Hvorfor ikke blot
have to logisk adskilte netværk på det samme NIC? (Se evt. mere om hvad
jeg har i tankerne i netværksgruppen)

> læse videre på IPSEC, og installere
> http://www.pgpi.org/products/pgp/versions/freeware/
>
> på klienterne?
>
> Du kan evt. også lidt om opsætningen på
> klienten,
> http://www.allard.nu/openbsd/ (det er godt nok til
> OpenBSD men der bør ikke være den store forskel)

Pt. er den løsning jeg har i kiggerten baseret på IPsec/racoon og
Windows' egen IPsec implementering. (Som beskrevet i
http://www.daemonnews.org/200101/ipsec-howto.html) Kan du forklare hvad
fordelen skulle være ved at vælge en PGPnet/ISAK løsning?

Så vidt jeg kan se[0], mangler IPsec (PGPnet) i den seneste PGP
freeware version (8.0), så jeg vil være nød til at anbefale en ældre
version end den nyeste til mine brugere. Eller måske GPG, men det vil
så kræve at de læser og forstår dokumentationen til et command-line-
only produkt, så vidt jeg kan se (reelt ved jeg faktisk ikke om GPG i
det hele taget understøtter PGPnet).


[0]: Iflg. http://www.allard.nu/openbsd/clients.html

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

In article <Xns9497A48D45407k5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
> Det blev også foreslået i netværksgruppen. Mit spørgsmål til dette er:
> hvorfor er det nødvendigt at anskaffe endnu et NIC? Hvorfor ikke blot
> have to logisk adskilte netværk på det samme NIC? (Se evt. mere om hvad
> jeg har i tankerne i netværksgruppen)

Jeg fortrækker personligt at adskille det fysisk, nu er det "kun" på
det ene netværkskort du kan definere filter reglerne forkert.

> Pt. er den løsning jeg har i kiggerten baseret på IPsec/racoon og
> Windows' egen IPsec implementering. (Som beskrevet i
> http://www.daemonnews.org/200101/ipsec-howto.html) Kan du forklare hvad
> fordelen skulle være ved at vælge en PGPnet/ISAK løsning?

Jeg kender ikke Microsofts implementation, men har generelt haft dårlige
erfaringer med deres "VPN" implementationer, bla. lagde de ud med
PPTP, som tog Bruce og en ven, en dag at finde en triviel svaghed.
Derefter udkom der en patch. Bruce brugte igen en dag og fandt en
ny svaghed, derefter gad han ikke bruge mere tid på produktet.

MS var de første til at eksportere 3DES ud af
USA, men det viste sig at nøglen i virkeligheden var en
"reduceret" nøgle.

Jeg har engang set en kunde sætte IPSec op imellem en DMZ og det interne
netværk, det var ligt for meget PnP efter min mening, og
mange af de normale valg i andre implementation, eksiterede ikke
i MS's implementation.

PGPnet har jeg ikke har nogle problemmer.

> Så vidt jeg kan se[0], mangler IPsec (PGPnet) i den seneste PGP
> freeware version (8.0), så jeg vil være nød til at anbefale en ældre

Hans artikel er efterhånden gammel, dvs. før version 8.0.

> version end den nyeste til mine brugere. Eller måske GPG, men det vil
> så kræve at de læser og forstår dokumentationen til et command-line-
> only produkt, så vidt jeg kan se (reelt ved jeg faktisk ikke om GPG i
> det hele taget understøtter PGPnet).

Kik på det andet website, der kan du hente version 8.0.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote in
<news:slrnc3hnc2.anv.chel@weebo.dmz.spindelnet.dk>:

>> Det blev også foreslået i netværksgruppen. Mit spørgsmål til
>> dette er: hvorfor er det nødvendigt at anskaffe endnu et NIC?
>> Hvorfor ikke blot have to logisk adskilte netværk på det samme
>> NIC? (Se evt. mere om hvad jeg har i tankerne i netværksgruppen)
>
> Jeg fortrækker personligt at adskille det fysisk, nu er det "kun"
> på det ene netværkskort du kan definere filter reglerne forkert.

Jeg er bange for jeg ikke forstår den sidste del af den sætning. Men
under alle omstændigheder, hvis vi nu forestillede os at jeg kunne
opsætte det (netværket) ideelt, vil du så mene at der er et
sikkerhedsproblem i at adskille de to logiske netværk på samme NIC?

>> Pt. er den løsning jeg har i kiggerten baseret på IPsec/racoon og
>> Windows' egen IPsec implementering. (Som beskrevet i
>> http://www.daemonnews.org/200101/ipsec-howto.html) Kan du
>> forklare hvad fordelen skulle være ved at vælge en PGPnet/ISAK
>> løsning?
>
> Jeg kender ikke Microsofts implementation, men har generelt haft
> dårlige erfaringer med deres "VPN" implementationer, bla. lagde de
> ud med PPTP, som tog Bruce og en ven, en dag at finde en triviel
> svaghed. Derefter udkom der en patch. Bruce brugte igen en dag og
> fandt en ny svaghed, derefter gad han ikke bruge mere tid på
> produktet.
>
> MS var de første til at eksportere 3DES ud af
> USA, men det viste sig at nøglen i virkeligheden var en
> "reduceret" nøgle.
>
> Jeg har engang set en kunde sætte IPSec op imellem en DMZ og det
> interne netværk, det var ligt for meget PnP efter min mening, og
> mange af de normale valg i andre implementation, eksiterede ikke
> i MS's implementation.

Jeg kan sagtens følge dine argumenter. På den anden side, et det jo
ikke et decideret VPN jeg forsøger at opsætte, men reelt bare IPsec
beskyttelse af den specifikke trafik der løber mellem mine wireless
klienter og min server. Derudover har jeg ikke hørt noget om at der
skulle være problemer med 2000/XP's IPsec implementation (selvom der
sagtens kan være det alligevel). Og nu har vi jo allerede licenser til
Windows, hvorimod:

> PGPnet har jeg ikke har nogle problemmer.

Et af problemerne med at anvende PGP er for mig at deres licens ikke
tillader at jeg bruger freeware versionen til alle de formål som jeg
gerne vil (det ville for eksempel være imod licensen hvis jeg brugte
netværket til at forbinde til min arbejdsplads). Jeg vil ikke ret gerne
skulle pådutte mig selv eller mine brugere at de skal anskaffe en
licens til "PGP Workgroup Desktop" for at kunne anvende netværket.

>> Så vidt jeg kan se[0], mangler IPsec (PGPnet) i den seneste PGP
>> freeware version (8.0), så jeg vil være nød til at anbefale en
>> ældre
>
> Hans artikel er efterhånden gammel, dvs. før version 8.0.

OK.

>> version end den nyeste til mine brugere. Eller måske GPG, men det
>> vil så kræve at de læser og forstår dokumentationen til et
>> command-line- only produkt, så vidt jeg kan se (reelt ved jeg
>> faktisk ikke om GPG i det hele taget understøtter PGPnet).
>
> Kik på det andet website, der kan du hente version 8.0.

Hm, det forstår jeg ikke. Fra
http://www.pgpi.org/products/pgp/versions/freeware/winxp/8.0/ linkes
alene til http://www.pgp.com/products/freeware.html
(Hvor der i øvrigt står:
| No Mirroring Permitted
| No individual or organization is permitted to mirror or redistribute
| in any way—electronically or otherwise—the PGP 8.0.3 Freeware. This
| site is the only PGP-sanctioned source for the PGP Freeware.
)

Den seneste jeg kan se jeg kan hente fra pgpi.org er PGP 7.0.3 for
Windows 9x/ME/NT/2000.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

Den 22 Feb 2004 17:32:38 GMT skrev Niels Callesøe:
>Christian E. Lysel wrote in
><news:slrnc3hnc2.anv.chel@weebo.dmz.spindelnet.dk>:
>
>>> Det blev også foreslået i netværksgruppen. Mit spørgsmål til
>>> dette er: hvorfor er det nødvendigt at anskaffe endnu et NIC?
>>> Hvorfor ikke blot have to logisk adskilte netværk på det samme
>>> NIC? (Se evt. mere om hvad jeg har i tankerne i netværksgruppen)
>>
>> Jeg fortrækker personligt at adskille det fysisk, nu er det "kun"
>> på det ene netværkskort du kan definere filter reglerne forkert.
>
>Jeg er bange for jeg ikke forstår den sidste del af den sætning. Men
>under alle omstændigheder, hvis vi nu forestillede os at jeg kunne
>opsætte det (netværket) ideelt, vil du så mene at der er et
>sikkerhedsproblem i at adskille de to logiske netværk på samme NIC?

Hvordan sikrer du at de rent faktisk er adskilt, så det ikke bare
er et spørgsmål om at angriberen skal vælge et ip-nummer på det
andet netværk?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <Xns9497BCA32149Ek5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
>> Jeg fortrækker personligt at adskille det fysisk, nu er det "kun"
>> på det ene netværkskort du kan definere filter reglerne forkert.
> Jeg er bange for jeg ikke forstår den sidste del af den sætning. Men

Jeg ville sætte nogle filter regler op på netværkskortet der kun
tillader 50/ip og 500/udp, og måske også trafik til en dhcp server.

> under alle omstændigheder, hvis vi nu forestillede os at jeg kunne
> opsætte det (netværket) ideelt, vil du så mene at der er et
> sikkerhedsproblem i at adskille de to logiske netværk på samme NIC?

Ja... hvori ligger den logiske adskilelse?

> Jeg kan sagtens følge dine argumenter. På den anden side, et det jo
> ikke et decideret VPN jeg forsøger at opsætte, men reelt bare IPsec

Jo, du forsøger at oprette et VPN miljø.

Du skal evt. også være opmærksom på beskyttelse af VPN klienterne,
eller vil en angriber kunne angribe dit netværk via dine klienter.

Nogle VPN klienter understøtter en tunnel indeholdende en default route,
dette kan evt. udnyttes via asymetrisk routning.

Andre klienter kan sættes op til at forbyde udefra kommende trafik til
en vpn klient.

> Et af problemerne med at anvende PGP er for mig at deres licens ikke
> tillader at jeg bruger freeware versionen til alle de formål som jeg
> gerne vil (det ville for eksempel være imod licensen hvis jeg brugte
> netværket til at forbinde til min arbejdsplads). Jeg vil ikke ret gerne
> skulle pådutte mig selv eller mine brugere at de skal anskaffe en
> licens til "PGP Workgroup Desktop" for at kunne anvende netværket.

Det argument kan jeg godt forstå.

> alene til http://www.pgp.com/products/freeware.html
> Den seneste jeg kan se jeg kan hente fra pgpi.org er PGP 7.0.3 for
> Windows 9x/ME/NT/2000.

Fra http://www.pgp.com/products/freeware.html kan man hente version 8


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns949690803A9F1k5j6h4jk3@62.243.74.163...
> I forlængelse af en tidligere tråd[0], ligger det klart at WEP ikke er
> nok til at sikre et wireless netværk. Beklageligvis understøtter mit
> accesspoint ikke umiddelbart andre former for authetication.
>
> Jeg efterspørger derfor forslag til hvorledes jeg bedst kan
> implementere en anden form for authenticering/kryptering for wireless
> adgang til mit netværk.

Jeg vil opsætte en firewall med 3 ben. Internet, lokalnet trådløst net. Det
trådløse net vil jeg give adgang til Internet enten ved brugerverificering
gennem en eller anden form for proxy eller med en VPN klient og lokalnettet
vil jeg give adgang til med en VPN klient.
På den måde vil det være "rimeligt svært"(TM) at lave ulykker når man
kommer fra det trådløse net.

Jeg har opsat et system hvor jeg benytter PPTP til at give adgang til både
Internet og lokalnet. Fordelen er at PPTP er indbygget i W2K og XP.
Jeg har også opsat et andet system hvor der fra det trådløse netværk gives
adgang til Internet vha. http://NoCat.net og adgang til lokalnettet med
IPSec VPN.


Jens

---

Jens wrote in <news:4037b228@news.wineasy.se>:

> Jeg vil opsætte en firewall med 3 ben. Internet, lokalnet trådløst
> net. Det trådløse net vil jeg give adgang til Internet enten ved
> brugerverificering gennem en eller anden form for proxy eller med
> en VPN klient og lokalnettet vil jeg give adgang til med en VPN
> klient. På den måde vil det være "rimeligt svært"(TM) at lave
> ulykker når man kommer fra det trådløse net.
>
> Jeg har opsat et system hvor jeg benytter PPTP til at give adgang
> til både Internet og lokalnet. Fordelen er at PPTP er indbygget i
> W2K og XP. Jeg har også opsat et andet system hvor der fra det
> trådløse netværk gives adgang til Internet vha. http://NoCat.net
> og adgang til lokalnettet med IPSec VPN.

Mange tak for input. Jeg vil prøve at undersøge hvad PPTP er for en
størrelse.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

On 22 Feb 2004 07:49:05 GMT, "Niels Callesøe" <pfy@nntp.dk>
wrote:

> Mange tak for input. Jeg vil prøve at undersøge hvad PPTP er for
> en størrelse.

PPTP er en Microsoft VPN-teknologi, der primært er lavet for at
gøre det nemt for administratorer og brugere, ikke for at lave en
sikker VPN-teknologi.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:t3vh30duvggm29dh3qq2pu14u2uhfbohiu@news.cybercity.dk...
>
> PPTP er en Microsoft VPN-teknologi, der primært er lavet for at
> gøre det nemt for administratorer og brugere, ikke for at lave en
> sikker VPN-teknologi.
>
Så usikker er den nu heller ikke......

Jens

---

On 21 Feb 2004 13:12:18 GMT, "Niels Callesøe" <pfy@nntp.dk>
wrote:

> Mit netværk ser således ud:

Hvis du nu i stedet for at route på dit AP stak din BSD-maskine
et ekstra NIC, og så brugte den til at route/firewalle mellem de
to net, så ville du jo kunne lave stort set alt det sikkerhed, du
kan ønske dig i den boks.

> - den skal sikre at kun godkendte brugere kan anvende det trådløse
> netværk og den trådløse kommunikation skal være krypteret

Så vidt jeg kunne forstå, har du kun mulighed for at køre WEP på
dit AP, men hvis BSD-maskinen sidder mellem de to net, kan du
terminere IPSec på den, og på den måde styre, hvem der har adgang
mellem de to net.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark wrote in
<news:d7lf30lub83ute6qq6pbd03mavcr3945f9@news.cybercity.dk>:

>> Mit netværk ser således ud:
>
> Hvis du nu i stedet for at route på dit AP stak din BSD-maskine
> et ekstra NIC, og så brugte den til at route/firewalle mellem de
> to net, så ville du jo kunne lave stort set alt det sikkerhed, du
> kan ønske dig i den boks.

Tak for input. Jeg overvejer, om ikke det kan lade sig gøre at nøjes
med at tildele det allerede eksisterende NIC endnu en addresse i stedet
for at investere i endnu et NIC (som nævnt, er et af mine krav "ingen
nyanskaffelse af hardware").

Mere specifikt havde jeg i tankerne at tildele BSD-maskinens NIC
192.168.3.1/30 og AP'ets WAN 192.168.3.2/30 (med .3.1 som gateway) for
på den måde at adskille de 3 net logisk. Burde det ikke kunne lade sig
gøre?

>> - den skal sikre at kun godkendte brugere kan anvende det trådløse
>> netværk og den trådløse kommunikation skal være krypteret
>
> Så vidt jeg kunne forstå, har du kun mulighed for at køre WEP på
> dit AP, men hvis BSD-maskinen sidder mellem de to net, kan du
> terminere IPSec på den, og på den måde styre, hvem der har adgang
> mellem de to net.

Ja, det var også hvad jeg havde i tankerne. Men jeg må indrømme at jeg
har svært ved at finde noget IPsec dokumentation der opfylder mit
behov. Indtil videre er det bedste bud jeg har fundet
http://www.daemonnews.org/200101/ipsec-howto.html men jeg kan ikke
(endnu) helt gennemskue hvordan jeg tilpasser opsætningen til mit
netværk.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

Niels Callesøe wrote in
<news:Xns94975B2508F85k5j6h4jk3@62.243.74.163>:

> Mere specifikt havde jeg i tankerne at tildele BSD-maskinens NIC
> 192.168.3.1/30 og AP'ets WAN 192.168.3.2/30 (med .3.1 som gateway)
> for på den måde at adskille de 3 net logisk. Burde det ikke kunne
> lade sig gøre?

Umiddelbart ser det ud til, at det kan jeg godt. Jeg har i hvert fald
fået tildelt mit NIC den ekstra addresse.

| dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
| inet 192.168.1.200 netmask 0xffffff00 broadcast 192.168.1.255
| inet 192.168.3.1 netmask 0xfffffffc broadcast 192.168.3.3

Nu mangler jeg så at finde ud af hvordan jeg router trafik der kommer
ind på .3.1 videre til hhv. lokalnet og internet alt efter destination.
(Nåja, og så kommer det med IPsec så bagefter)

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

[xpostet fra netværksgruppen, systemet er FreeBSD4.9]

Niels Callesøe wrote in
<news:Xns94976A3DB8F00k5j6h4jk3@62.243.74.163>:

>| dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>| inet 192.168.1.200 netmask 0xffffff00 broadcast 192.168.1.255
>| inet 192.168.3.1 netmask 0xfffffffc broadcast 192.168.3.3
>
> Nu mangler jeg så at finde ud af hvordan jeg router trafik der
> kommer ind på .3.1 videre til hhv. lokalnet og internet alt efter
> destination. (Nåja, og så kommer det med IPsec så bagefter)

Hm. Så vidt jeg kan se, er det eneste jeg behøver at gøre for at opnå
det sådan set bare at tilføje
gateway_enable=YES
til min rc.conf. Er der nogen der kan be- eller afkræfte at det er
tilfældet?

Mine routing tables ser således ud:

| eureka# netstat -r
| Routing tables
|
| Internet:
| Destination Gateway Flags Refs Use Netif Expire
| default 192.168.1.1 UGSc 4 0 dc0
| localhost localhost UH 1 99 lo0
| 192.168.1 link#1 UC 2 0 dc0
| 192.168.1.1 00:20:6f:11:a0:95 UHLW 6 0 dc0 612
| 192.168.1.102 00:e0:18:7f:75:da UHLW 0 220 dc0 946
| 192.168.3/30 link#1 UC 0 0 dc0

Appropos det, så leder jeg med lys og lygte efter en måde hvorpå
jeg kan tilføje en statisk route der er persistent over reboots.

Jeg har fundet ud af at tilføje en route med
route add 192.168.2.0 192.168.3.2
men den forsvinder ved reboot. Er der nogen der kan fortælle mig hvor
den skal stå for at blive genindlæst?


[FUT unixgruppen]

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

Niels Callesøe wrote in <news:Xns94977DF2392A0k5j6h4jk3@62.243.74.163>:

> Jeg har fundet ud af at tilføje en route med
> route add 192.168.2.0 192.168.3.2
> men den forsvinder ved reboot. Er der nogen der kan fortælle mig hvor
> den skal stå for at blive genindlæst?

Det fandt jeg så selv ud af, så jeg vil lige dele med andre:

rc.conf
static_routes="t29"
route_t29="-net 192.168.2.0 192.168.3.2"

Det kan selvfølgelig også gøres ved at køre 'route' fra et script i
/usr/local/etc/rc.d (men det er lidt grimt).

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

Niels Callesøe wrote:

>>| dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>>| inet 192.168.1.200 netmask 0xffffff00 broadcast
>>| 192.168.1.255 inet 192.168.3.1 netmask 0xfffffffc
>>| broadcast 192.168.3.3
>>
>> Nu mangler jeg så at finde ud af hvordan jeg router trafik der
>> kommer ind på .3.1 videre til hhv. lokalnet og internet alt efter
>> destination. (Nåja, og så kommer det med IPsec så bagefter)
>
> Hm. Så vidt jeg kan se, er det eneste jeg behøver at gøre for at
> opnå det sådan set bare at tilføje
> gateway_enable=YES
> til min rc.conf. Er der nogen der kan be- eller afkræfte at det er
> tilfældet?

Jeg svarer lige mig selv noget mere, i tilfælde af andre skulle være
interesserede:

Nej, det var ikke nok alene. Hvordan det præcis bringes til at virke
har jeg ikke fundet ud af endnu (og jeg undersøger det ikke pt, da jeg
i stedet er ved at undersøge om jeg kan anskaffe et ekstra NIC som jeg
er blevet anbefalet).

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Peddling Ourselves To Death, an essay by Fred:
http://www.fredoneverything.net/Peddling.htm

---

Niels Callesøe wrote:

>>> Nu mangler jeg så at finde ud af hvordan jeg router trafik der
>>> kommer ind på .3.1 videre til hhv. lokalnet og internet alt efter
>>> destination. (Nåja, og så kommer det med IPsec så bagefter)
>>
>> Hm. Så vidt jeg kan se, er det eneste jeg behøver at gøre for at
>> opnå det sådan set bare at tilføje
>> gateway_enable=YES
>> til min rc.conf. Er der nogen der kan be- eller afkræfte at det er
>> tilfældet?
>
> Jeg svarer lige mig selv noget mere, i tilfælde af andre skulle være
> interesserede:
>
> Nej, det var ikke nok alene.

Det viser sig, at det var det faktisk alligevel. Problemet jeg løb ind
i var, at min gateway ikke vidste hvad den skulle gøre med retur-
trafikken. Efter den har fået tilføjet de korrekte retur-router,
fungerer det.

Nu kommer turen så til at få IPsec til at fungere. Det har jeg indtil
videre ikke megen success med. Er der nogen der evt. kan anbefale noget
dokumentation til IPsec (ml. Windows og FreeBSD)? Det jeg har fundet
indtil videre er beklageligvis ikke nok.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Peddling Ourselves To Death, an essay by Fred:
http://www.fredoneverything.net/Peddling.htm

---

On 22 Feb 2004 07:57:35 GMT, "Niels Callesøe" <pfy@nntp.dk>
wrote:

>> Hvis du nu i stedet for at route på dit AP stak din BSD-maskine
>> et ekstra NIC, og så brugte den til at route/firewalle mellem de
>> to net, så ville du jo kunne lave stort set alt det sikkerhed, du
>> kan ønske dig i den boks.

> Jeg overvejer, om ikke det kan lade sig gøre at nøjes med at
> tildele det allerede eksisterende NIC endnu en addresse

Jo, men så gør du dig afhængig af, at ingen bryder sikkerheden i
dit AP og konfigurerer det om til at have adgang til hele det
(wired) subnet. Det undgår du ved at bruge et separat fysisk if.

-A
PS: Dine BSD-specifikke spørgsmål har jeg ikke meget forhold til.
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Niels Callesøe wrote:
> (som nævnt, er et af mine krav
> "ingen nyanskaffelse af hardware").

Jeg "hører" hvad du siger...
Men no-name fås fra kr. 30,-

Så "anskaffelse": Ja.
"Investering": Nærmest ikke tilstedeværende...
--
Uni Bull
København K
http://uni.bull.dk - støjdæmpning af min computer