|
|
 | Trådløs Internet
Fra : Peter Elmkvist Snabe |
Dato : 14-07-04 15:54 |
|
Hej
Jeg har hjulpet noget familie med at installere trådløs internet og kunne i
den forbindelse godt tænke mig at få en sikkerhedsmæssig vurdering af det.
Det er i et lokal samfund, hvor 30 husstande er gået sammen i en forening
for at tilbyde medlemmerne trådsløst internet til billige penge. Selve
systemet er under opstartsfasen.
Hver enkelt husstand har så en antenne (fx på skorstenen), der peger i
retningen af fællesantennen (senderen), som er koblet op med en ADSL
forbindelse (4mbit/1mbit). Netværket tillader kun, at antenner med de
rigtige MAC-adresser kan komme på. Når systemet så kører stabilt bliver
kryptering af forbindelsen koblet på (alle husstande bruger den samme
krypteringsnøgle).
Foreningen kræver, at hver enkelt husstand skal opdatere sin windows en gang
ugentligt og have et antivirusprogram installeret. Det familiemedlem, jeg
har hjulpet, ved ikke rigtig noget om computere og kan ikke engelsk.
Softwarefirewall er derfor aldelels udelukket.
Men hvordan ser sikkerheden ud i sådan et projekt? Har de andre
foreningsmedlemmer let adgang til hinandens computere eller kræver det, at
man hacker sig ind hos hinanden? Hvordan med krypteringen - har det nogen
betydning at alle bruger samme krypteringsnøgle?
Håber I kan belyse det for mig.
| |
 Jacob Atzen (14-07-2004)
| Kommentar
Fra : Jacob Atzen |
Dato : 14-07-04 18:37 |
|
"Peter Elmkvist Snabe" <mitfornavn@mitefternavn.dk> writes:
> Men hvordan ser sikkerheden ud i sådan et projekt? Har de andre
> foreningsmedlemmer let adgang til hinandens computere eller kræver det, at
> man hacker sig ind hos hinanden?
Det kommer an på, hvordan du sætter maskinen op. Hvis du vælger at
dele dit C-drev på netværket har de andre formodentlig adgang til
det. Hvis du vælger ikke at dele noget som helst, har de andre ikke
adgang. Der er på denne måde ingen forskel på om man forbinder
trådløst eller om man forbinder via et kabel. Se evt. indlægget om
manuel lukning af porte for yderligere information.
> Hvordan med krypteringen - har det nogen betydning at alle bruger
> samme krypteringsnøgle?
<disclaimer>
Det skal siges, at jeg ikke har videre kendskab til de forskellige
trådløse protokoller, så det er muligt at nedenstående betragtning
ikke er gyldig i det aktuelle tilfælde.
</disclaimer>
Det betyder, at såfremt de andre, der har kendskab til nøglen kan
opfange signalet mellem klient og fællesantenne, så kan de også se den
traffik der bliver sendt mellem klienten og fællesantennen. Hvis man
så f.eks. benytter en ukrypteret forbindelser til sin mailserver, vil
andre kunne aflæse brugerens brugernavn og kodeord til vedkommendes
postkasse.
--
Med venlig hilsen
- Jacob Atzen
| |
Kent Friis (14-07-2004)
| Kommentar
Fra : Kent Friis |
Dato : 14-07-04 19:54 |
|
Den Wed, 14 Jul 2004 16:53:58 +0200 skrev Peter Elmkvist Snabe:
> Hej
>
> Jeg har hjulpet noget familie med at installere trådløs internet og kunne i
> den forbindelse godt tænke mig at få en sikkerhedsmæssig vurdering af det.
> Det er i et lokal samfund, hvor 30 husstande er gået sammen i en forening
> for at tilbyde medlemmerne trådsløst internet til billige penge. Selve
> systemet er under opstartsfasen.
>
> Hver enkelt husstand har så en antenne (fx på skorstenen), der peger i
> retningen af fællesantennen (senderen), som er koblet op med en ADSL
> forbindelse (4mbit/1mbit). Netværket tillader kun, at antenner med de
> rigtige MAC-adresser kan komme på.
Når vi snakker WLAN, plejer jeg at sige: "Hvis din sikkerheds-ekspert
så meget som nævner filtrering på MAC-adresser, så fyr ham lige på
stedet".
Det tager kortere tid at omgå MAC-filtrering, end det tager at aktivere
det, så sikkerhedsmæssigt er det spild af tid. Og hvis man har sat
det ordentlig op (fx IPSEC), så er det stadig håbløst at misbruge
nettet selvom der ikke er MAC-filtrering på.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Henning Petersen Wan~ (14-07-2004)
| Kommentar
Fra : Henning Petersen Wan~ |
Dato : 14-07-04 19:59 |
|
Kent Friis <nospam@nospam.invalid> wrote:
> Når vi snakker WLAN, plejer jeg at sige: "Hvis din sikkerheds-ekspert
> så meget som nævner filtrering på MAC-adresser, så fyr ham lige på
> stedet".
>
> Det tager kortere tid at omgå MAC-filtrering, end det tager at aktivere
> det, så sikkerhedsmæssigt er det spild af tid. Og hvis man har sat
> det ordentlig op (fx IPSEC), så er det stadig håbløst at misbruge
> nettet selvom der ikke er MAC-filtrering på.
Enig.
Sæt en linux-box op ved fælles-antenner, og lad den håndtere
VPN-forbindelser på WLAN (fx IPSEC)
Jeg overvejer at lave en lignende løsning på mit eget WLAN, men ved
det ekstra at der er begrænset offentlig adgang via mit access-point.
Begrænset på både båndbrede (64 eler 128kb) og en meget restrektiv
firewall.
En anden mulighed er at sætte en lille router på din vens forbindelse
ud i verden. På den måde for du adskilt hans net fra foreningens WLAN.
--
Venlig hilsen / Best regards
Henning Wangerin
Skoletoften 9, Blans
DK - 6400 Soenderborg
Tlf. 36948694 via www.musimi.dk - VoIP til det danske folk
| |
Povl H. Pedersen (17-07-2004)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 17-07-04 18:34 |
|
In article <40f58162$0$23868$14726298@news.sunsite.dk>, Kent Friis wrote:
> Når vi snakker WLAN, plejer jeg at sige: "Hvis din sikkerheds-ekspert
> så meget som nævner filtrering på MAC-adresser, så fyr ham lige på
> stedet".
>
> Det tager kortere tid at omgå MAC-filtrering, end det tager at aktivere
> det, så sikkerhedsmæssigt er det spild af tid. Og hvis man har sat
> det ordentlig op (fx IPSEC), så er det stadig håbløst at misbruge
> nettet selvom der ikke er MAC-filtrering på.
At omgå Mac filtrering kræver at hackeren observerer noget
trafik fra den enhed han vil klone adressen på. Så lidt sikkerhed
giver det, ligesom det også afviser på layer 2. Og hvis man kan
observere store mængder trafik er gammeldags WLAN kryptering
heller ikke meget værd.
Derudover giver MAC filtrering vel også sikkerhed mod at
der kommer flere klienter på ? Jeg ved ikke hvad der sker
med 2 klienter med samme MAC adresse.
WPA med 802.1x er minimum man skal gå efter.
Jeg kører med MAC filtrering og 802.1x herhjemme.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Get 5% discount on VMWare use discount/referral code: MRC-POVPED260
| |
 Kasper Dupont (17-07-2004)
| Kommentar
Fra : Kasper Dupont |
Dato : 17-07-04 19:26 |
|
"Povl H. Pedersen" wrote:
>
> Jeg ved ikke hvad der sker
> med 2 klienter med samme MAC adresse.
Det er jeg heller ikke helt sikker på, men jeg tror
i nogen tilfælde det vil være muligt for begge at
bruge forbindelsen samtidig.
Havde det været et switchet netværk ville switchen
huske på hvilken port MAC adressen sidst var set på,
og kun sende pakkerne til den port. Dermed ville det
kun være den sidste maskine, der havde sendt en
pakke, der ville kunne modtage.
Men med wireless forholder det sig ikke helt på samme
måde. Umiddelbart vil jeg tro, at begge maskiner
modtager pakker sendt til den pågældende MAC adresse.
Hvis begge maskiner også kører med samme IP adresse
(hvilket man nemt kan sikre sig), kan det ikke på
hverken ethernet eller IP laget ses, at der er to
maskiner.
Går vi op på UDP eller TCP laget er det ikke helt så
trivielt at lade to maskiner dele både MAC og IP
adresse. Hvis den ene maskiner opretter en forbindelse
ud på nettet vil begge modtage svaret. Men kun den
maskine, der oprettede forbindelsen, vil kendes ved
svaret. Den anden vil sende en fejlmelding tilbage
(TCP reset eller ICMP port unreachable), og når denne
fejlmelding når frem vil forbindelsen brydes.
Men kører begge maskiner med en firewall, der i strid
med standarden, smider pakkerne væk uden at sende den
krævede fejlmelding, vil de faktisk godt kunne deles
om en IP adresse. Dette er endnu en grund til at det
vildt opreklamerede stealth mode begreb er en dårlig
idé.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.
| |
Niels Callesøe (17-07-2004)
| Kommentar
Fra : Niels Callesøe |
Dato : 17-07-04 20:53 |
|
Kasper Dupont wrote in <news:40F96F1A.EE714BA7@nospam.lir.dk.invalid>:
> Men kører begge maskiner med en firewall, der i strid
> med standarden, smider pakkerne væk uden at sende den
> krævede fejlmelding, vil de faktisk godt kunne deles
> om en IP adresse. Dette er endnu en grund til at det
> vildt opreklamerede stealth mode begreb er en dårlig
> idé.
En angriber kunne måske endda gå et skridt videre og helt overtage
forbindelsen i perioder (efter forgodtbefindende) hvis "offeret" kører
en "stealth" firewall, ved selektivt at sende RST til nogle eller alle
offerets forbindelser. Endnu mere drastisk kunne angriberen måske
afbryde og derefter spoofe (eller genafspille) udvalgte forbindelser.
--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Learn Postfix; live Postfix; love Postfix.
| |
Povl H. Pedersen (17-07-2004)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 17-07-04 21:33 |
|
In article <Xns9529DEA98B3DCk5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
> Kasper Dupont wrote in <news:40F96F1A.EE714BA7@nospam.lir.dk.invalid>:
>
>> Men kører begge maskiner med en firewall, der i strid
>> med standarden, smider pakkerne væk uden at sende den
>> krævede fejlmelding, vil de faktisk godt kunne deles
>> om en IP adresse. Dette er endnu en grund til at det
>> vildt opreklamerede stealth mode begreb er en dårlig
>> idé.
>
> En angriber kunne måske endda gå et skridt videre og helt overtage
> forbindelsen i perioder (efter forgodtbefindende) hvis "offeret" kører
> en "stealth" firewall, ved selektivt at sende RST til nogle eller alle
> offerets forbindelser. Endnu mere drastisk kunne angriberen måske
> afbryde og derefter spoofe (eller genafspille) udvalgte forbindelser.
Ja, det skulle være trivielt. Men det er det også på LAN, hvis
man kan få hældt ARP svar til offeret, så vedkommende tror din
MAC adresse er default GW..
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Get 5% discount on VMWare use discount/referral code: MRC-POVPED260
| |
Niels Callesøe (17-07-2004)
| Kommentar
Fra : Niels Callesøe |
Dato : 17-07-04 23:00 |
|
Povl H. Pedersen wrote in
<news:slrncfj386.ok.povlhp@povl-h-pedersens-computer.local>:
>> En angriber kunne måske endda gå et skridt videre og helt
>> overtage forbindelsen i perioder (efter forgodtbefindende) hvis
>> "offeret" kører en "stealth" firewall, ved selektivt at sende RST
>> til nogle eller alle offerets forbindelser. Endnu mere drastisk
>> kunne angriberen måske afbryde og derefter spoofe (eller
>> genafspille) udvalgte forbindelser.
>
> Ja, det skulle være trivielt. Men det er det også på LAN, hvis
> man kan få hældt ARP svar til offeret, så vedkommende tror din
> MAC adresse er default GW..
Nu er der jo forskel på at parkere en bil nede på gaden og at bryde ind
for at tilgå trådet LAN. Derudover er det ikke så trivielt hvis
gatewayen svarer--og der findes forskellige modtræk mod ARP poisoning,
som for eksempel statiske ARP entries.
--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Learn Postfix; live Postfix; love Postfix.
| |
|
|