---

Hej,

jeg har ikke tidligere overvejet at gå over til trådløst netværk derhjemme,
men nu har jeg imidlertidig fået en bærbar med trådløs netkort, og det
virker MEGET fristende at skifte med en bærbar.

Er der noget jeg skal være opmærksom på sikkerhedsmæssigt i forbindelse med
opsætningen af en trådløs router, og hvad med styresystemerne (Windows XP
og Linux), er der noget der jeg skal huske at indstille?

---

Thomas Jespersen wrote:
>
> Hej,
>
> jeg har ikke tidligere overvejet at gå over til trådløst netværk derhjemme,
> men nu har jeg imidlertidig fået en bærbar med trådløs netkort, og det
> virker MEGET fristende at skifte med en bærbar.
>
> Er der noget jeg skal være opmærksom på sikkerhedsmæssigt i forbindelse med
> opsætningen af en trådløs router, og hvad med styresystemerne (Windows XP
> og Linux), er der noget der jeg skal huske at indstille?

http://sikkerhed-faq.dk/hjemme_net#wireless

Derudover vil jeg sige det er en fordel, hvis man ikke
stoler mere på sit access point end på en tilfældig
internetopkobling.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

On Mon, 26 Dec 2005 22:57:52 +0100, Kasper Dupont
<81717636006328244474@expires.06.feb.2006.kasperd.net.invalid> wrote:

> http://sikkerhed-faq.dk/hjemme_net#wireless
>
> Derudover vil jeg sige det er en fordel, hvis man ikke stoler mere
> på sit access point end på en tilfældig internetopkobling.

Hvis man kører med ordentlig sikkerhed på sit AP, er det at overdrive.
WPA med en god nøgle (64 tilfældige hex-cifre) er så svært at knække,
at det for os almindelige dødelige er Sikkert Nok(TM). Det er nemmere
simpelthen at bryde ind i huset og sætte en 'tap' på kabel-siden, for
eksempel.

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:j6t1r1906p48ccc4p4bf62vkib66m56bq9@4ax.com...
> On Mon, 26 Dec 2005 22:57:52 +0100, Kasper Dupont
> <81717636006328244474@expires.06.feb.2006.kasperd.net.invalid> wrote:
>
>> http://sikkerhed-faq.dk/hjemme_net#wireless
>>
>> Derudover vil jeg sige det er en fordel, hvis man ikke stoler mere
>> på sit access point end på en tilfældig internetopkobling.
>
> Hvis man kører med ordentlig sikkerhed på sit AP, er det at overdrive.
> WPA med en god nøgle (64 tilfældige hex-cifre) er så svært at knække,
> at det for os almindelige dødelige er Sikkert Nok(TM). Det er nemmere
> simpelthen at bryde ind i huset og sætte en 'tap' på kabel-siden, for
> eksempel.

Det er formentlig nemmere at bryde fysisk ind, end at knække en nøgle ifm
kryptering el. lign. sikkerhedsanstaltninger...
I det her tilfælde kan det bare ikke sammenlignes, da det specielle ved
trådløse net er at de ikke efterlader spor af angriberen. Hvis angriberen
ikke let vil kunne afsløres vil han altså foretrække den besværlige måde -
at bryde krypteringen el.lign.

Nu slog det mig lige... hvor svært er det egentlig at få adgang til et
tilfældigt hus' telefonledninger og derigennem udnytte en adslforbindelse?
F.eks. boede jeg tidligere i lejlighed og kunne relativ let få adgang til
den samleboks der sad ude på facaden udfor mit vindue. Her kunne jeg
snildt have lagt et ekstra kabel ind til mig selv fra de andre i
ejendommens forbindelser. I teorien kunne jeg sætte et adslfilter op og en
(modificeret?) adsl-router. Svjv er en adsl-forbindelse hverken krypteret
eller password-beskyttet og hvis den kun er passwordbeskyttet men ikke
krypteret er det jo ligegyldigt.
Er det egentlig ikke trivielt at lytte/udnytte en adsl-forbindelse på
denne måde?
Er der ikke ret mange steder hvor det er ret let at få adgang til
telefonledninger?
Det er selvfølgelig knapt så anonymt som at sidde og gemme sig i en bil et
sted mens man udnytter et åbent trådløst netværk... men hvis det
_virkelig_ er for at bedrive storkriminalitet kan man jo forestille sig at
man udvidede adsl-routeren med et ap og _så_ kunne man sidde og gemme sig
i en bil... det hele batteridrevet naturligvis.

/Jens Ulrik

---

On Mon, 9 Jan 2006 16:32:44 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
wrote:

> Det er formentlig nemmere at bryde fysisk ind, end at knække en nøgle
> ifm kryptering el. lign. sikkerhedsanstaltninger...
> I det her tilfælde kan det bare ikke sammenlignes, da det specielle
> ved trådløse net er at de ikke efterlader spor af angriberen.

At knække WPA er så svært, at det er væsentligt nemmere at bryde ind i
huset uden at efterlade spor...

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:eab5s1tjug9sr2ecp889bi8bukoetlcj0o@4ax.com...
> On Mon, 9 Jan 2006 16:32:44 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
> wrote:
>
>> Det er formentlig nemmere at bryde fysisk ind, end at knække en nøgle
>> ifm kryptering el. lign. sikkerhedsanstaltninger...
>> I det her tilfælde kan det bare ikke sammenlignes, da det specielle
>> ved trådløse net er at de ikke efterlader spor af angriberen.
>
> At knække WPA er så svært, at det er væsentligt nemmere at bryde ind i
> huset uden at efterlade spor...

Ok. Så fik vi skåret _det_ ud i pap.

/Jens Ulrik

---

On Mon, 9 Jan 2006 16:32:44 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
wrote:

> Nu slog det mig lige... hvor svært er det egentlig at få adgang til et
> tilfældigt hus' telefonledninger og derigennem udnytte en adslforbindelse?

Det er nemt at få adgang til det ledningerne, men ikke specielt nemt
at udnytte.

> F.eks. boede jeg tidligere i lejlighed og kunne relativ let få adgang til
> den samleboks der sad ude på facaden udfor mit vindue. Her kunne jeg
> snildt have lagt et ekstra kabel ind til mig selv fra de andre i
> ejendommens forbindelser.

Du kan ikke bruge det til afsindig meget på ADSL-siden, fordi du
overfor centralen skal opføre dig som et ADSL-modem og snakke ATM og
PPP, mens du overfor brugerens ADSL-modem skal opføre dig som en
central (en DSLAM). Selvfølgelig kan det lade sig gøre, men det er
ikke specielt nemt.

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:idb5s1ldno5ldsue33jnch9lcpcbj1jok8@4ax.com...
> On Mon, 9 Jan 2006 16:32:44 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
> wrote:
>
>> Nu slog det mig lige... hvor svært er det egentlig at få adgang til et
>> tilfældigt hus' telefonledninger og derigennem udnytte en
>> adslforbindelse?
>
> Det er nemt at få adgang til det ledningerne, men ikke specielt nemt
> at udnytte.
>
>> F.eks. boede jeg tidligere i lejlighed og kunne relativ let få adgang
>> til
>> den samleboks der sad ude på facaden udfor mit vindue. Her kunne jeg
>> snildt have lagt et ekstra kabel ind til mig selv fra de andre i
>> ejendommens forbindelser.
>
> Du kan ikke bruge det til afsindig meget på ADSL-siden, fordi du
> overfor centralen skal opføre dig som et ADSL-modem og snakke ATM og

Det er jo bare at sætte et adsl-modem op?

> PPP, mens du overfor brugerens ADSL-modem skal opføre dig som en
> central (en DSLAM). Selvfølgelig kan det lade sig gøre, men det er
> ikke specielt nemt.

Jeg mente ikke at man skulle lege man in the middle, men blot udnytte
adslforbindelsen - ligesom en trådløs forbindelse uden wpa el.lign.
foranstaltninger.

/Jens Ulrik

---

On 2006-01-10, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>
>> PPP, mens du overfor brugerens ADSL-modem skal opføre dig som en
>> central (en DSLAM). Selvfølgelig kan det lade sig gøre, men det er
>> ikke specielt nemt.
>
> Jeg mente ikke at man skulle lege man in the middle, men blot udnytte
> adslforbindelsen - ligesom en trådløs forbindelse uden wpa el.lign.
> foranstaltninger.

Og hvordan ville du gøre det uden at lege man in the middle?

--
Andreas

---

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnds6vd5.59i.apj@irq.dk...
> On 2006-01-10, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>>
>>> PPP, mens du overfor brugerens ADSL-modem skal opføre dig som en
>>> central (en DSLAM). Selvfølgelig kan det lade sig gøre, men det er
>>> ikke specielt nemt.
>>
>> Jeg mente ikke at man skulle lege man in the middle, men blot udnytte
>> adslforbindelsen - ligesom en trådløs forbindelse uden wpa el.lign.
>> foranstaltninger.
>
> Og hvordan ville du gøre det uden at lege man in the middle?

Som jeg inddirekte skrev - sætte et ekstra kabel på en boks ude på væggen
et sted. Montere et skillefilter herpå.
Her monteres så et adslmodem/-router og det skulle så være det.
Med i købet får man også mulighed for at bruge vedkommendes
telefonforbindelse til almindelig telefoni.

Det er muligt at man skal være heldig at vedkommende er af den sparsomme
slags, som slukker for adslmodemet når forbindelsen ikke bruges... jeg har
ikke teknisk indsigt i adsl til at vide hvor stort et problem det må være
at en forbindelse termineres i 2 adslmodem på en gang.

/Jens Ulrik

---

On 2006-01-10, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>
> Det er muligt at man skal være heldig at vedkommende er af den sparsomme
> slags, som slukker for adslmodemet når forbindelsen ikke bruges... jeg har
> ikke teknisk indsigt i adsl til at vide hvor stort et problem det må være
> at en forbindelse termineres i 2 adslmodem på en gang.

Det er et ganske stort problem, derfor vil det ikke virke med mindre du
leger MitM.

--
Andreas

---

Den Tue, 10 Jan 2006 09:51:17 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> On 2006-01-10, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>>
>> Det er muligt at man skal være heldig at vedkommende er af den sparsomme
>> slags, som slukker for adslmodemet når forbindelsen ikke bruges... jeg har
>> ikke teknisk indsigt i adsl til at vide hvor stort et problem det må være
>> at en forbindelse termineres i 2 adslmodem på en gang.
>
> Det er et ganske stort problem, derfor vil det ikke virke med mindre du
> leger MitM.

Eller bare klipper ledningen over, og håber på ejeren er på ferie. Kan
man komme til at pille den fra og sætte den til igen, kan man endda
bruge den imens ejeren er på arbejde, uden han opdager noget.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

"Jens U. K." wrote:
>
> Svjv er en adsl-forbindelse hverken krypteret
> eller password-beskyttet og hvis den kun er passwordbeskyttet men ikke
> krypteret er det jo ligegyldigt.

En af mine venner skulle på et tidspunkt have en ny computer på
sin ADSL forbindelse. Men han kunne ikke finde passwordet. Den
gamle computer stod der stadigvæk, men vi var ikke klar over,
hvor sådan et password var gemt.

Så vi satte simpelthen en ethernet hub op mellem computer og
ADSL modem. Så kørte vil lige ethereal op på en laptop, og så
var det trivielt at få fat i passwordet.

ADSL modemet laver mig bekendt bare PPP forbindelsen om til et
andet bæremedie, det tilføjer næppe nogen form for ekstra
sikkerhed.

> Er det egentlig ikke trivielt at lytte/udnytte en adsl-forbindelse på
> denne måde?

Jeg tror det kan lade sig gøre. Men jeg ved ikke, om et ADSL
modem er nok. Måske kræves der noget lidt bedre udstyr for at
de to modems på samme ledning ikke forstyrer hinanden. Hvis
man prøver at sende signaler på forbindelsen mens den er i
brug tror jeg det vil gå ud over den almindelige kommunikation.

> Er der ikke ret mange steder hvor det er ret let at få adgang til
> telefonledninger?

Jeg tror vores fordelerskab står i cykelkælderen. Så det er nok
også nemt at få adgang til.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

On Tue, 10 Jan 2006 12:27:18 +0100, Kasper Dupont
<22157902303383291364@expires.21.feb.2006.kasperd.net.invalid> wrote:

> ADSL modemet laver mig bekendt bare PPP forbindelsen om til et
> andet bæremedie, det tilføjer næppe nogen form for ekstra
> sikkerhed.

Det afhænger lidt af, hvad det er for et ADSL-modem. Et typisk et fra
TDC afleverer Ethernet IP og DHCP på kundesiden, og det er der slet
ingen sikkerhed i. Nogle andre setup bruger PPPoE på kundesiden, men
det er (som du har set) trivielt at sniffe sig frem til PPP bruger og
passowrd.

> Jeg tror det kan lade sig gøre. Men jeg ved ikke, om et ADSL
> modem er nok. Måske kræves der noget lidt bedre udstyr for at
> de to modems på samme ledning ikke forstyrer hinanden.

Det er ikke bare lige. Man skal huske, at ADSL-forbindelsen er strengt
punkt-til-punkt mellem en DSLAM og et ADSL-modem. En DSLAM kan på en
given port ikke snakke med to modems.

-A

---

Asbjorn Hojmark wrote:
>
> Det afhænger lidt af, hvad det er for et ADSL-modem. Et typisk et fra
> TDC afleverer Ethernet IP og DHCP på kundesiden,

Jeg har ikke lige set et af dem. Hvad sender det så på den
anden side?

>
> Det er ikke bare lige. Man skal huske, at ADSL-forbindelsen er strengt
> punkt-til-punkt mellem en DSLAM og et ADSL-modem. En DSLAM kan på en
> given port ikke snakke med to modems.

Ja det er klart nok. Men hvis man kan få et modem til at lytte
uden at sende, så kan man nok aflytte hvad der foregår på
linien. Og hvis man nøjes med at sende mens det andet modem er
slukket, skal det såmænd nok også virke. Hvis man vil misbruge
linien mens det andet modem er tændt bliver det selvsagt lidt
mere kompliceret. Og i så fald tror jeg der skal lidt mere end
et ADSL modem til.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

Kasper Dupont wrote in
<news:43C3D95A.F1E8DC33@expires.21.feb.2006.kasperd.net.invalid>:

> Ja det er klart nok. Men hvis man kan få et modem til at lytte
> uden at sende, så kan man nok aflytte hvad der foregår på
> linien. Og hvis man nøjes med at sende mens det andet modem er
> slukket, skal det såmænd nok også virke.

Jeg tror ikke den går. Så vidt jeg husker har enheder før splitteren,
uanset type (og herunder sikkert også en anden splitter), en tendes til
at forstyrre signalet for meget til at linien kan traines. Det
forekommer mig dog at det må kunne lade sig gøre med noget specielt
hardware -- men igen, så er vi jo noget videre end "et almindeligt
modem"-scenariet.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

Hmm. Hvor er Martin Højriis når man har brug for ham?

---

"Niels Callesøe" wrote:
>
> Jeg tror ikke den går. Så vidt jeg husker har enheder før splitteren,
> uanset type (og herunder sikkert også en anden splitter), en tendes til
> at forstyrre signalet for meget til at linien kan traines. Det
> forekommer mig dog at det må kunne lade sig gøre med noget specielt
> hardware -- men igen, så er vi jo noget videre end "et almindeligt
> modem"-scenariet.

Det lyder sandsynligt. Spørgsmålet er hvor meget der skal til ud
over et almindeligt ADSL modem. Lidt filtre, signalforstærker,
og mulighed for at frakoble hvert modems adgang til at sende
burde kunne gøre det. Jeg vil ikke udtale mig om, hvorvidt det
er nemt at fremskaffe sådan noget udstyr.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

Kasper Dupont wrote in
<news:43C4089F.4EB6F892@expires.21.feb.2006.kasperd.net.invalid>:

> Det lyder sandsynligt. Spørgsmålet er hvor meget der skal til ud
> over et almindeligt ADSL modem. Lidt filtre, signalforstærker,
> og mulighed for at frakoble hvert modems adgang til at sende
> burde kunne gøre det.

Ja, kvantefysik er det jo ikke, så det kan nok lade sig gøre. Men i
betragtning af at man højest vil få halvdelen af en samtale tror jeg
ikke det er specielt kost-effektivt.

> Jeg vil ikke udtale mig om, hvorvidt det er nemt at fremskaffe sådan
> noget udstyr.

Jeg tror det er rigtig svært, med mindre man er svagstrømsingeniør og
meget dygtig med en loddekolbe. Men jeg ved det ret beset ikke.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

---

Kasper Dupont wrote:
> Det lyder sandsynligt. Spørgsmålet er hvor meget der skal til ud
> over et almindeligt ADSL modem. Lidt filtre, signalforstærker,
> og mulighed for at frakoble hvert modems adgang til at sende
> burde kunne gøre det. Jeg vil ikke udtale mig om, hvorvidt det
> er nemt at fremskaffe sådan noget udstyr.

Vi udlejede sådan udstyr i et tidligere firma.

http://www.home.agilent.com/USeng/nav/-536891763.0/pc.html

Dog har jeg aldrig rodet med WAN modulerne.

...

The Agilent Advisor WAN (J2300E) allows you to monitor all major WAN
communication protocols from 50 bps to 155 Mbps: Packet over SONET/SDH,
Frame Relay, ISDN, X.25, HDLC, SDLC, SNA, Sync/Async PPP, ATM-DXI and
encapsulated LAN protocols running over the wide area network.

V-Series interfaces, such as RS-232C/V.24, RS-449/422/423, V.10/V.11 and
V.35, are already built into the platform; for high speed V-Series (to
8.192 Mb/s) a plug-in module is also available. Slide-in modules add
test capability for ISDN BRI and PRI, T1, J2, E1, E3, T3 (DS3),
STM-1e/EC-3, ATM25 AND UTP155. Undercradles also add test capability for
Ethernet, switched Ethernet, Fast Ethernet, Gigabit Ethernet, FDDI and
STM-4/OC-12 (622 Mbps ATM). In addition, the Advisor can be expanded for
voice Quality Test through analog FXO and E&M interfaces.

---

"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns9747B732063C8k5j6h4jk3@62.243.74.163...
> Så vidt jeg husker har enheder før splitteren,
> uanset type (og herunder sikkert også en anden splitter), en tendes til
> at forstyrre signalet for meget til at linien kan traines.

Kun hvis der er non-lineære (en elektrisk egenskab) i mellem lederne.
Du kan få splitterfri ADSL der reelt "krydsede fingrene og håbede" på at der
ikke var sære apparater på linjen samtidig med modemet.
Point being: Man kan godt aflytte en ADSL ved at sætte noget (sofistikeret)
udstyr på centralsiden af splitteren, uden at ejeren kan opdage noget.

--
Martin Højriis Kristensen

---

Martin Højriis Kristensen wrote in
<news:43c5663b$0$2084$edfadb0f@dtext02.news.tele.dk>:

> Kun hvis der er non-lineære (en elektrisk egenskab) i mellem
> lederne. Du kan få splitterfri ADSL der reelt "krydsede fingrene
> og håbede" på at der ikke var sære apparater på linjen samtidig
> med modemet. Point being: Man kan godt aflytte en ADSL ved at
> sætte noget (sofistikeret) udstyr på centralsiden af splitteren,
> uden at ejeren kan opdage noget.

Alright, tak. Det kan dog ikke være helt let, for jeg har ikke hørt om
nogen der har gjort det i praksis endnu. Men det er da endnu et godt
argument for ikke at foretage sig ret meget i klartekst.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
>> Summon Højriis
<< 200 OK

---

On Wed, 11 Jan 2006 21:10:30 +0100, "Martin Højriis Kristensen"
<usenet@makr.dk> wrote:

> Point being: Man kan godt aflytte en ADSL ved at sætte noget (sofistikeret)
> udstyr på centralsiden af splitteren, uden at ejeren kan opdage noget.

Mjo, men diskussionen gik (oprindelig) på at udnytte forbindelsen. Det
er sværere (på den side af modemet).

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote in
<news:atsas1141tn4jp6kgu9gblqij8dgqcma1u@4ax.com>:

> Mjo, men diskussionen gik (oprindelig) på at udnytte forbindelsen.

Arh, hva? "Jens U. K." skrev

| Er det egentlig ikke trivielt at lytte/udnytte en adsl-forbindelse
| på denne måde?

Så må man vel nærmest selv om hvilken del af lytte/udnytte man
fokuserer på, eller hvad?

> Det er sværere (på den side af modemet).

Deri har du ganske givet ret -- i hvert fald hvis det er af betydning
om "målet" opdager noget eller ej.

Faktisk må det allerletteste man kan (i denne sammenhæng) vel være at
decideret overtage hele linien i en kort periode, for det kan man vel
ret beset gøre med et standard-modem og en tang. "Målets" telefoner mv.
holder ganske vist op med at virke, så det opdages relativt hurtigt,
men jeg kan da godt forestille mig situationer hvor det er nok.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

War-ADSL'ing, anyone?

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:atsas1141tn4jp6kgu9gblqij8dgqcma1u@4ax.com...
>> Point being: Man kan godt aflytte en ADSL ved at sætte noget
>> (sofistikeret)
>> udstyr på centralsiden af splitteren, uden at ejeren kan opdage noget.
> Mjo, men diskussionen gik (oprindelig) på at udnytte forbindelsen. Det
> er sværere (på den side af modemet).

Spottet, jeg korrigerede bare en enkelt detalje i en del-tråd.

--
Martin Højriis Kristensen

---

On Tue, 10 Jan 2006 16:57:14 +0100, Kasper Dupont
<47159484784855893695@expires.21.feb.2006.kasperd.net.invalid> wrote:

>> Det afhænger lidt af, hvad det er for et ADSL-modem. Et typisk et
>> fra TDC afleverer Ethernet IP og DHCP på kundesiden,

> Jeg har ikke lige set et af dem. Hvad sender det så på den anden
> side?

IP over PPP over ATM over ADSL.

> Men hvis man kan få et modem til at lytte uden at sende, så kan man
> nok aflytte hvad der foregår på linien.

Nå sådan. Ja, det kan man. Men spørgsmålet gik på, om man kunne
misbruge linien.

> Og hvis man nøjes med at sende mens det andet modem er slukket

Det er da vist ikke mange, der slukker deres ADSL-modems, så man kan
komme til at vente meget, meget længe.

-A

---

Asbjorn Hojmark wrote:
>
> On Tue, 10 Jan 2006 16:57:14 +0100, Kasper Dupont
> <47159484784855893695@expires.21.feb.2006.kasperd.net.invalid> wrote:
>
> >> Det afhænger lidt af, hvad det er for et ADSL-modem. Et typisk et
> >> fra TDC afleverer Ethernet IP og DHCP på kundesiden,
>
> > Jeg har ikke lige set et af dem. Hvad sender det så på den anden
> > side?
>
> IP over PPP over ATM over ADSL.

Betyder det så ikke, at man har to seperate IP segmenter
og enheden derfor også er nødt til at foretage routning?

>
> > Og hvis man nøjes med at sende mens det andet modem er slukket
>
> Det er da vist ikke mange, der slukker deres ADSL-modems, så man kan
> komme til at vente meget, meget længe.

Så skal man bare have en eller anden måde at frakoble det
legitime modem, når man vil misbruge linien. Det kræver
selvfølgelig en eller anden form for udstyr, hvis man ikke
vil gøre det manuelt.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

On Tue, 10 Jan 2006 20:10:25 +0100, Kasper Dupont
<48466594275737682551@expires.21.feb.2006.kasperd.net.invalid> wrote:

>> IP over PPP over ATM over ADSL.

> Betyder det så ikke, at man har to seperate IP segmenter og enheden
> derfor også er nødt til at foretage routning?

Nej, det er (typisk) bridget.

(Ellers var det strengt taget en router. Mange 'ADSL-modems' er
teknisk set (også) bridges).

-A
--
http://www.hojmark.org/

---

Den Tue, 10 Jan 2006 22:35:02 +0100 skrev Asbjorn Hojmark:
> On Tue, 10 Jan 2006 20:10:25 +0100, Kasper Dupont
> <48466594275737682551@expires.21.feb.2006.kasperd.net.invalid> wrote:
>
>>> IP over PPP over ATM over ADSL.
>
>> Betyder det så ikke, at man har to seperate IP segmenter og enheden
>> derfor også er nødt til at foretage routning?
>
> Nej, det er (typisk) bridget.
>
> (Ellers var det strengt taget en router. Mange 'ADSL-modems' er
> teknisk set (også) bridges).

Og hvis man bruger ProAccess, er der først en bridge (modem'et), og
så en router ved siden af.

Bliver man træt af at have rfc1918-numre piller man bare routeren
fra.

(Eller sådan var det da jeg havde ProAccess, det kan være lavet om i
mellemtiden).

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Asbjorn Hojmark wrote:
>
> On Tue, 10 Jan 2006 20:10:25 +0100, Kasper Dupont
> <48466594275737682551@expires.21.feb.2006.kasperd.net.invalid> wrote:
>
> >> IP over PPP over ATM over ADSL.
>
> > Betyder det så ikke, at man har to seperate IP segmenter og enheden
> > derfor også er nødt til at foretage routning?
>
> Nej, det er (typisk) bridget.

Skulle den så ikke arbejde med ethernet pakker på begge sider?

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

Den Tue, 10 Jan 2006 23:15:06 +0100 skrev Kasper Dupont:
> Asbjorn Hojmark wrote:
>>
>> On Tue, 10 Jan 2006 20:10:25 +0100, Kasper Dupont
>> <48466594275737682551@expires.21.feb.2006.kasperd.net.invalid> wrote:
>>
>> >> IP over PPP over ATM over ADSL.
>>
>> > Betyder det så ikke, at man har to seperate IP segmenter og enheden
>> > derfor også er nødt til at foretage routning?
>>
>> Nej, det er (typisk) bridget.
>
> Skulle den så ikke arbejde med ethernet pakker på begge sider?

Den bridger imellem ethernet og ppp. Der er ikke ethernet fra
modem'et til centralen.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On Tue, 10 Jan 2006 23:15:06 +0100, Kasper Dupont
<24769950814915024445@expires.21.feb.2006.kasperd.net.invalid> wrote:

> Skulle den så ikke arbejde med ethernet pakker på begge sider?

Nej.

-A
PS: FUT
--
http://www.hojmark.org/

---

On 2006-01-10, Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>
>>> Det afhænger lidt af, hvad det er for et ADSL-modem. Et typisk et
>>> fra TDC afleverer Ethernet IP og DHCP på kundesiden,
>
>> Jeg har ikke lige set et af dem. Hvad sender det så på den anden
>> side?
>
> IP over PPP over ATM over ADSL.

Øeh? Nej. IP over RFC2684 over ADSL....det du beskriver da vist PPPoA
(som TDC ikke bruger)?

--
Andreas

---

On Wed, 11 Jan 2006 12:07:02 +0000 (UTC), Andreas Plesner Jacobsen
<apj@daarligstil.dk> wrote:

>> IP over PPP over ATM over ADSL.

> Øeh? Nej. IP over RFC2684 over ADSL....det du beskriver da vist PPPoA
> (som TDC ikke bruger)?

Ja, jeg sludrer. TDC bruger jo 1483, så det er ikke med PPP.

-A

---

Asbjorn Hojmark wrote:
> Hvis man kører med ordentlig sikkerhed på sit AP, er det at overdrive.
> WPA med en god nøgle (64 tilfældige hex-cifre) er så svært at knække,
> at det for os almindelige dødelige er Sikkert Nok(TM). Det er nemmere
> simpelthen at bryde ind i huset og sætte en 'tap' på kabel-siden, for
> eksempel.

Det er måske ikke nødvendigt hverken at knække nøgler eller at bryde ind.

Prøvet evt. at læs bogen: http://www.counterpane.com/sandl.html


http://seclists.org/lists/bugtraq/2006/Jan/0238.html

---

On Sat, 21 Jan 2006 12:01:54 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>> Hvis man kører med ordentlig sikkerhed på sit AP, er det at overdrive.
>> WPA med en god nøgle (64 tilfældige hex-cifre) er så svært at knække,
>> at det for os almindelige dødelige er Sikkert Nok(TM). Det er nemmere
>> simpelthen at bryde ind i huset og sætte en 'tap' på kabel-siden, for
>> eksempel.

> Det er måske ikke nødvendigt hverken at knække nøgler eller at bryde ind.
>
> Prøvet evt. at læs bogen: http://www.counterpane.com/sandl.html
>
> http://seclists.org/lists/bugtraq/2006/Jan/0238.html

Ja, det er da en meget interessant fejl, men hvad vil du sige med det
ift. ovenstående om WPA? Når pc'en er associeret med at AP, går den jo
netop ikke i Ad Hoc mode.

I øvrigt har det altid være en del af en fornuftig sikkerheds-
konfiguration, at man slår Ad Hoc mode fra på pc'erne, men det har
ikke noget med WPA at gøre.

-A

---

Asbjorn Hojmark wrote:
>>http://seclists.org/lists/bugtraq/2006/Jan/0238.html
> Ja, det er da en meget interessant fejl, men hvad vil du sige med det
> ift. ovenstående om WPA? Når pc'en er associeret med at AP, går den jo
> netop ikke i Ad Hoc mode.

Jo, det er præsis hvad den gør!?!

> I øvrigt har det altid være en del af en fornuftig sikkerheds-
> konfiguration, at man slår Ad Hoc mode fra på pc'erne, men det har

http://www.sockpuppet.org/tqbf/log/2006/01/karmas-blast.html

...An empty preferred networks list is not even completely safe. With
most 802.11b-only cards under XP, the card will also probe for
randomly-generated SSIDs between rounds of scanning for preferred
networks and will even associate to a network if it responds to the
random probe (albeit it will only be associated for about a minute
before scanning again)...

> ikke noget med WPA at gøre.

Enig. Men ved brugerne det?

---

On Sat, 21 Jan 2006 14:18:32 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>> Ja, det er da en meget interessant fejl, men hvad vil du sige med det
>> ift. ovenstående om WPA? Når pc'en er associeret med at AP, går den jo
>> netop ikke i Ad Hoc mode.

> Jo, det er præsis hvad den gør!?!

Nej den gør ej. Der er noget helt basalt, du har misforstået.

Som der stod i det første, du refererede til: "This is basically a
configuration error". Hvis man ikke vil have, at pc'en skal køre Ad
Hoc, så slår man det bare fra.

Det har altid været god karma at slå det fra, og nu er der bare kommet
en grund mere. (At når man først har været i Ad Hoc mode, vil pc'en
også næste gang annoncere det samme SSID).

>> I øvrigt har det altid være en del af en fornuftig sikkerheds-
>> konfiguration, at man slår Ad Hoc mode fra på pc'erne, men det har
>
> http://www.sockpuppet.org/tqbf/log/2006/01/karmas-blast.html
>
> ...An empty preferred networks list is not even completely safe.

Jeg snakker ikke om at lave en tom preferred networks. Jeg snakker
netop om, at man skal have sit (sine) valide netværk i preferred
networks, og at man skal konfigurere sin maskine til ikke at bruge
andet end preferred networks. Slut på det problem.

>> ikke noget med WPA at gøre.

> Enig. Men ved brugerne det?

Du svarede med ovenstående på en udtalelse fra mig om WPA. Ovenstående
har intet med WPA eller sikkerheden i WPA at gøre.n

-A

---

Asbjorn Hojmark wrote:
> Nej den gør ej. Der er noget helt basalt, du har misforstået.

Nej, læs evt. http://www.theta44.org/karma/aawns.pdf

> Som der stod i det første, du refererede til: "This is basically a
> configuration error". Hvis man ikke vil have, at pc'en skal køre Ad
> Hoc, så slår man det bare fra.

Enig.

> Det har altid været god karma at slå det fra, og nu er der bare kommet
> en grund mere. (At når man først har været i Ad Hoc mode, vil pc'en
> også næste gang annoncere det samme SSID).

Nej, det er ikke tilfældet. Det er _alle_ netværk i den "fortrukne
netværksliste".

Jeg kan ikke gennemskue om en klient vil associere sig, hvis netværket i
klientens liste kræver WPA. I tilfældet med WEP er det faktisk muligt at
få klienten til at associere sig, hvorefter man kan køre almindelige WEP
angreb.

Endvidere kan angriberen håbe på klienten har et netværk i sin
"fortrukne netværksliste" som er uden kryptering. Hvilket er standard på
alle almindelig brugeres bærbar jeg har set.

>>>I øvrigt har det altid være en del af en fornuftig sikkerheds-
>>>konfiguration, at man slår Ad Hoc mode fra på pc'erne, men det har
>>
>>http://www.sockpuppet.org/tqbf/log/2006/01/karmas-blast.html
>>
>>...An empty preferred networks list is not even completely safe.
>
>
> Jeg snakker ikke om at lave en tom preferred networks. Jeg snakker
> netop om, at man skal have sit (sine) valide netværk i preferred
> networks, og at man skal konfigurere sin maskine til ikke at bruge
> andet end preferred networks. Slut på det problem.

Hvis "Ad Hoc" mode'en er slået fra er der ikke noget problem, ellers er
problemet der forsat.

---

On Sat, 21 Jan 2006 19:10:25 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>> Nej den gør ej. Der er noget helt basalt, du har misforstået.

> Nej, læs evt. http://www.theta44.org/karma/aawns.pdf

Du skrev "Det er måske ikke nødvendigt hverken at knække nøgler eller
at bryde ind." ifm. med et indlæg, jeg skrev om WPA. Jeg kan ikke
finde noget, der siger at WPA ikke er sikkert, i den information du
linker til.

Hvis du ikke er i stand til at forklare, *hvorfor* du mener, der er
noget nyt her, der skulle gøre WPA usikkert, står jeg af. Jeg gider
ikke prøve på at gætte, hvad du mener.

-A

---

Asbjorn Hojmark wrote:
> Du skrev "Det er måske ikke nødvendigt hverken at knække nøgler eller
> at bryde ind." ifm. med et indlæg, jeg skrev om WPA. Jeg kan ikke
> finde noget, der siger at WPA ikke er sikkert, i den information du
> linker til.

På en klient med to netværk i "fortrukne netværksliste", fx et hjemme
netværk beskyttet af WPA og et scandic hotel der er åbent, vil en
angriber kunne udnytte scandic hotel'et selvom brugeren tror han er
koblet på hjemme netværket.

---

Kasper Dupont
<81717636006328244474@expires.06.feb.2006.kasperd.net.invalid> wrote:

>> jeg har ikke tidligere overvejet at gå over til trådløst netværk derhjemme,
>> men nu har jeg imidlertidig fået en bærbar med trådløs netkort, og det
>> virker MEGET fristende at skifte med en bærbar.
>>
>> Er der noget jeg skal være opmærksom på sikkerhedsmæssigt i forbindelse med
>> opsætningen af en trådløs router, og hvad med styresystemerne (Windows XP
>> og Linux), er der noget der jeg skal huske at indstille?
>
>http://sikkerhed-faq.dk/hjemme_net#wireless

Der er vist et "ikke" der ikke skulle være der.

"Mange 802.11 netværk bruger ***ikke*** WEP som standard, og da WEP
kan brydes relativt let forstår man det godt"

Derudover synes jeg godt man måske kunne fortælle lidt om de tre
grundprincipper.

1) Identificering (godkendelse, autentifikation o.l.)
2) Beskyttelse af data (kryptering)
3) Integritet (at folk ikke ændrer på data mellem afsender og
modtager)

Her kunne man jo komme lidt ind på WPA med pre-shared-keys og at man
bør bruge TKIP og per-packet-rekeying og Mic. Hvis altså ikke man kan
køre WPA2 og AES-CCM.

Man kunne komme ind på det ved at forklare lidt mere præcist hvad det
svagheden ved WEP er og hvorfor TKIP løser det. TKIP er jo i
princippet ikke andet end en udvidelse til WEP.

>Derudover vil jeg sige det er en fordel, hvis man ikke
>stoler mere på sit access point end på en tilfældig
>internetopkobling.

Det er lidt ekstremt. WLAN er formentlig mere sikkert end de fleste
trådede LAN - hvis det er gjort ordentligt.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Sat, 21 Jan 2006 13:13:56 +0100 skrev Lars Kim Lund:
> Kasper Dupont
> <81717636006328244474@expires.06.feb.2006.kasperd.net.invalid> wrote:
>
>>Derudover vil jeg sige det er en fordel, hvis man ikke
>>stoler mere på sit access point end på en tilfældig
>>internetopkobling.
>
> Det er lidt ekstremt. WLAN er formentlig mere sikkert end de fleste
> trådede LAN - hvis det er gjort ordentligt.

De fleste kabel-baserede LAN er sikret af noget som selv den dygtigste
angriber ikke kan kan knække fra sin PC. Det hedder mursten.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote:

>> Det er lidt ekstremt. WLAN er formentlig mere sikkert end de fleste
>> trådede LAN - hvis det er gjort ordentligt.
>
>De fleste kabel-baserede LAN er sikret af noget som selv den dygtigste
>angriber ikke kan kan knække fra sin PC. Det hedder mursten.

Pointen var at mange LAN er mere eller mindre åbne og sårbarhede for
angreb hvis man blot har fat på et stik. Sikerheden øges gradvist men
jeg tror der går meget længe før man ser dot1x og kryptering på LAN i
større skala.

Så i mange scenarier vil det være en bedre angrebsvektor at luske sig
til et ledigt stik i en bygning end at bryde ind på et trådløst
netværk der er beskyttet med en god EAP og TKIP eller AES.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Sat, 21 Jan 2006 18:31:40 +0100 skrev Lars Kim Lund:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Det er lidt ekstremt. WLAN er formentlig mere sikkert end de fleste
>>> trådede LAN - hvis det er gjort ordentligt.
>>
>>De fleste kabel-baserede LAN er sikret af noget som selv den dygtigste
>>angriber ikke kan kan knække fra sin PC. Det hedder mursten.
>
> Pointen var at mange LAN er mere eller mindre åbne og sårbarhede for
> angreb hvis man blot har fat på et stik.

Og stik er normalt ikke tilgængelige i flere hundrede meters radius. Man
skal først bryde ind, og så kan amn jo lige så godt tage hele netværket
med når man alligevel er inde.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Thomas Jespersen wrote:
> Er der noget jeg skal være opmærksom på sikkerhedsmæssigt i forbindelse med
> opsætningen af en trådløs router, og hvad med styresystemerne (Windows XP
> og Linux), er der noget der jeg skal huske at indstille?

På din XP skal du huske:

http://seclists.org/lists/bugtraq/2006/Jan/0238.html

...

Workaround #3 (recommended):

1. Click on the Wireless option in the System Tray and open the Wireless
Network Connection window.
2. Click on "Change advanced settings".
3. In the Wireless Network Connection Properties window, click on the
Wireless
Networks tab.
4. Click on the Advanced button.
5. Click on "Access point (infrastructure) networks only"