mboost-dp1
Ang. manglende sikkerhed på trådløst netværk
På mit uddannelsessted er der trådløst internet over det hele, og der er naturligvis en form for sikkerhed på dette. Dog er jeg betænkelig ved denne sikkerhed, men jeg ved ikke lige, hvad man kalder typen, så jeg har svært ved at slå op på Google, om der skulle være nogle sikkerhedsrisici ved at anvende det.
Måden, systemet fungerer på, er, at man kobler sig på det trådløse netværk uden kodeord (netværket er altså vist som usikkert/åbent). Når man er kommet på, så er al trafik lukket, og det eneste man kan tilgå er en http-side, hvor man skal indtaste brugernavn og kodeord. Herefter åbnes der op for al trafik.
Min betænkning ligger så i, at al trafik på det trådløse net vel næppe er krypteret, så enhver kan vel med et simpelt snifferprogram se, hvad der bliver sendt og modtaget af data? Eller tager jeg fejl her? Det er egentlig mit spørgsmål.
Jeg sidder i it-udvalget på stedet og har indtil nu anbefalet en VPN-baseret løsning i stedet, men hvis ovenstående er sikkert nok, så er det vel overflødigt?
Måden, systemet fungerer på, er, at man kobler sig på det trådløse netværk uden kodeord (netværket er altså vist som usikkert/åbent). Når man er kommet på, så er al trafik lukket, og det eneste man kan tilgå er en http-side, hvor man skal indtaste brugernavn og kodeord. Herefter åbnes der op for al trafik.
Min betænkning ligger så i, at al trafik på det trådløse net vel næppe er krypteret, så enhver kan vel med et simpelt snifferprogram se, hvad der bliver sendt og modtaget af data? Eller tager jeg fejl her? Det er egentlig mit spørgsmål.
Jeg sidder i it-udvalget på stedet og har indtil nu anbefalet en VPN-baseret løsning i stedet, men hvis ovenstående er sikkert nok, så er det vel overflødigt?
nu ved jeg selvfølgelig ikke hvilken uddannelse du er på, men bliver nødt til at spørge hvad det er for noget trafik der kan være så hemmeligt at det bliver nødt til at være krypteret.
Hvis det derimod er for at sikre folk som ikke skal have adgang ikke får det, så skal der nok bruges noget VPN eller noget 802.1X
Den løsning som i har nu lyder meget lig noget vi havde på HTX i sin tid, hvor mac adressen bliver tilladt adgang i et stykke tid hvorefter den bliver lukket igen. Det kræver dog ikke megen erfaring at sniffe lidt pakker og nuppe en mac adresse for så at imitere denne, og så er man ellers på nettet.
Så lidt mere information ville være rart :)
Hvis det derimod er for at sikre folk som ikke skal have adgang ikke får det, så skal der nok bruges noget VPN eller noget 802.1X
Den løsning som i har nu lyder meget lig noget vi havde på HTX i sin tid, hvor mac adressen bliver tilladt adgang i et stykke tid hvorefter den bliver lukket igen. Det kræver dog ikke megen erfaring at sniffe lidt pakker og nuppe en mac adresse for så at imitere denne, og så er man ellers på nettet.
Så lidt mere information ville være rart :)
#2 > Tjaa, der er da mange ting, jeg ikke ønsker, andre skal snage i eller have adgang til, bl.a min e-mail og min staff-konto her på siden, som jeg ofte tilgår fra skolen. På min Gmail bruger jeg dog https, men det er vel næppe alle, der ved nok om computere, til at de gør det. Det er også mere princippet i, at folk skal føle sig trygge ved at bruge netværket.
Men hvad angår MAC-adresser, så behøver man jo ikke engang imitere den. Jeg taler om, at andre studerende kan sniffe hinandens data.
Men hvad angår MAC-adresser, så behøver man jo ikke engang imitere den. Jeg taler om, at andre studerende kan sniffe hinandens data.
De kører samme løsning på den uddannelse jeg går på og umiddelbart har jeg samme tanke som dig.
Men kan du ikke bare afprøve det? Sæt airomon til at grabbe pakker fra netværket og bed en kammerat, der sidder ved siden af dig, logge på newz.dk. Hvis du så kan analysere pakkerne med wireshark og se de pakker han har sendt, er ukrypterede, så er det vel det.
På den anden side kan man vel sige, at det ikke gør meget forskel om netværket er krypteret, for der har alle jo alligevel krypteringsnøglen og kan derved afkryptere indholdet. I stedet er VPN eller en ssl proxy vel løsningen.
(nøj hvor lød det klogt, jeg må vist lige indskyde at jeg ikke aner det store om kryptering)
#5 Jeg hapser lige dine passwords til sites der ikke benytter ssl, det kan vist ikke være så vigtigt. De der personlige mails har du ikke noget imod jeg læser vel?
Men kan du ikke bare afprøve det? Sæt airomon til at grabbe pakker fra netværket og bed en kammerat, der sidder ved siden af dig, logge på newz.dk. Hvis du så kan analysere pakkerne med wireshark og se de pakker han har sendt, er ukrypterede, så er det vel det.
På den anden side kan man vel sige, at det ikke gør meget forskel om netværket er krypteret, for der har alle jo alligevel krypteringsnøglen og kan derved afkryptere indholdet. I stedet er VPN eller en ssl proxy vel løsningen.
(nøj hvor lød det klogt, jeg må vist lige indskyde at jeg ikke aner det store om kryptering)
#5 Jeg hapser lige dine passwords til sites der ikke benytter ssl, det kan vist ikke være så vigtigt. De der personlige mails har du ikke noget imod jeg læser vel?
Jeg vil nok anbefale at bruge 802.1x med radius, da vpn kan give nogle trælse port problemer, men det afhænger self af hvad jeres brugere skal have adgang til :)
Jeg har også den holdning man skal passe på ikk blive alt for mistænksom på alt og alle.. Selv kender de fleste af mine gode venner min pinkode til visakortet og min computer står tit ulåst frit tilgængelig for ca. alle datalogi- og softwarestuderende, og det gør mig ikk det fjerneste...
Jeg har også den holdning man skal passe på ikk blive alt for mistænksom på alt og alle.. Selv kender de fleste af mine gode venner min pinkode til visakortet og min computer står tit ulåst frit tilgængelig for ca. alle datalogi- og softwarestuderende, og det gør mig ikk det fjerneste...
Yo.
Det er alene et spørgsmål om, hvor man sniffer henne, så vil din trafik altid være ukrypteret - så derfor er der intet i vejen med den løsning din skole bruger.
Hvis du har brug for, at tale i krypteret tilstand, må du altså vælge en serviceudbyder, der tilbyder en sikker service.
Er det noget crew-halløj her på newz.dk som du mener er så kritisk, at det skal være krypteret, så må newz.dk lave deres crew-sider til https.
Ligeledes gælder det for mail-trafik, at din udbyder bør udbyde en sikker forbindelse - eller også må du vælge en anden udbyder.
Mht VPN, så bruges det jo ikke til at forbinde din computer til et AccessPoint, men det forbinder din computer til et netværk, over internettet - deraf navnet Virtual Private Network...
Det skal forståes sådan, at hvis din arbejdsgiver gerne vil have du skal have adgang til eksempelvis deres servere, kan han give dig en vpn-forbindelse, der forbinder din PC til firmaets interne netværk.
Men når du har oprettet din forbindelse til firmaet, og så vælger din usikre serviceudbyder, så vil dine pakker være ukryptret fra de rammer firmaets interne netværk, hele vejen ud på nettet og til din serviceudbyder, og tilbage igen - altså ingenting er vundet.
Det eneste du skal være opmærksom på, med din skole netværk (og det gælder som sådan alle de netværk du forbinder dig til, og som du ikke har kontrol over), det er, at du ikke ved hvordan deres firewall-løsning er sat op. I bund og grund betyder det, at du er nødt til at beskytte din PC, som om den var forbundet direkte på internettet.
Da du iøvrigt heller ikke kender de nadre brugere af nettet på din skole, er det en holdning der alligevel er værd at have, da angrebe ligesågodt kan komme indefra, som udefra.
Det er alene et spørgsmål om, hvor man sniffer henne, så vil din trafik altid være ukrypteret - så derfor er der intet i vejen med den løsning din skole bruger.
Hvis du har brug for, at tale i krypteret tilstand, må du altså vælge en serviceudbyder, der tilbyder en sikker service.
Er det noget crew-halløj her på newz.dk som du mener er så kritisk, at det skal være krypteret, så må newz.dk lave deres crew-sider til https.
Ligeledes gælder det for mail-trafik, at din udbyder bør udbyde en sikker forbindelse - eller også må du vælge en anden udbyder.
Mht VPN, så bruges det jo ikke til at forbinde din computer til et AccessPoint, men det forbinder din computer til et netværk, over internettet - deraf navnet Virtual Private Network...
Det skal forståes sådan, at hvis din arbejdsgiver gerne vil have du skal have adgang til eksempelvis deres servere, kan han give dig en vpn-forbindelse, der forbinder din PC til firmaets interne netværk.
Men når du har oprettet din forbindelse til firmaet, og så vælger din usikre serviceudbyder, så vil dine pakker være ukryptret fra de rammer firmaets interne netværk, hele vejen ud på nettet og til din serviceudbyder, og tilbage igen - altså ingenting er vundet.
Det eneste du skal være opmærksom på, med din skole netværk (og det gælder som sådan alle de netværk du forbinder dig til, og som du ikke har kontrol over), det er, at du ikke ved hvordan deres firewall-løsning er sat op. I bund og grund betyder det, at du er nødt til at beskytte din PC, som om den var forbundet direkte på internettet.
Da du iøvrigt heller ikke kender de nadre brugere af nettet på din skole, er det en holdning der alligevel er værd at have, da angrebe ligesågodt kan komme indefra, som udefra.
Jeg synes, jeg har fået nogle gode svar her, men jeg føler stadig ikke, at jeg har fået svar på tre ting:
1) Er den nuværende trafik ukrypteret, når der ingen kode er på det trådløse netværk, men kun et loginscript via http?
2) Hvis der bliver slået noget WPA til på netværket, er det så stadig muligt at dekryptere al data, hvis bare man har denne kode, eller er det kun den data, der er rettet til en selv, man kan se?
3) Findes der en open-source VPN-løsning med dertilhørende open source-klient, som fungerer rimeligt?
1) Er den nuværende trafik ukrypteret, når der ingen kode er på det trådløse netværk, men kun et loginscript via http?
2) Hvis der bliver slået noget WPA til på netværket, er det så stadig muligt at dekryptere al data, hvis bare man har denne kode, eller er det kun den data, der er rettet til en selv, man kan se?
3) Findes der en open-source VPN-løsning med dertilhørende open source-klient, som fungerer rimeligt?
#8
Depends.
Der kan sagtens koere med certifikater, men i saafald er det blot "security through obscurity" og ikke reel brugbar kryptering.
Det kan dog loeses paa "sjove" maader, saaledes at din MAC + timestamp er "salt" i en krypteringsnoegle, fx.
Det vil vaere relativt svaert at gaette for en sniffer :)
Det kommer an paa hvilken type authentication i bruger.
Vaelger i Pre-Shared Key, saa vil alle typisk bruge den samme noegle.
Der der, hoejst sandsynligt, koerer bagved jeres system, er netop en Radius server og noget WPA / AES i den forbindelse.
Hvis det er dette der koerer, saa har i kryptering paa systemet efter man er logget ind, og typisk en lidt "lettere" kryptering inden man logger ind.
Men snif dig frem :)
Ja, mange.
VPN er ikke "bare" VPN dog.
I skal finde ud af om i vil bruge IP baseret VPN ( saasom IPSEC ) eller om i vil lave det TCP baseret, saasom SSH-VPN :)
PPTP er ogsaa en mulighed, men denne er ogsaa TCP baseret.
IPSEC er oplagt paa et internt netvaerk eftersom man har en unik IP til hver enkelt maskine.
Det samme gaelder naar IPv6 bliver en realitet i Danmark.
Men skal det bruges udefra vil jeg anbefale SSH-VPN, PPTP eller andre former for TCP baseret VPN.
Dette skyldes at man kan risikere at sidde bag NAT hvorefter IPSEC kun vil virke for 1 person ad gangen.
1) Er den nuværende trafik ukrypteret, når der ingen kode er på det trådløse netværk, men kun et loginscript via http?
Depends.
Der kan sagtens koere med certifikater, men i saafald er det blot "security through obscurity" og ikke reel brugbar kryptering.
Det kan dog loeses paa "sjove" maader, saaledes at din MAC + timestamp er "salt" i en krypteringsnoegle, fx.
Det vil vaere relativt svaert at gaette for en sniffer :)
2) Hvis der bliver slået noget WPA til på netværket, er det så stadig muligt at dekryptere al data, hvis bare man har denne kode, eller er det kun den data, der er rettet til en selv, man kan se?
Det kommer an paa hvilken type authentication i bruger.
Vaelger i Pre-Shared Key, saa vil alle typisk bruge den samme noegle.
Der der, hoejst sandsynligt, koerer bagved jeres system, er netop en Radius server og noget WPA / AES i den forbindelse.
Hvis det er dette der koerer, saa har i kryptering paa systemet efter man er logget ind, og typisk en lidt "lettere" kryptering inden man logger ind.
Men snif dig frem :)
3) Findes der en open-source VPN-løsning med dertilhørende open source-klient, som fungerer rimeligt?
Ja, mange.
VPN er ikke "bare" VPN dog.
I skal finde ud af om i vil bruge IP baseret VPN ( saasom IPSEC ) eller om i vil lave det TCP baseret, saasom SSH-VPN :)
PPTP er ogsaa en mulighed, men denne er ogsaa TCP baseret.
IPSEC er oplagt paa et internt netvaerk eftersom man har en unik IP til hver enkelt maskine.
Det samme gaelder naar IPv6 bliver en realitet i Danmark.
Men skal det bruges udefra vil jeg anbefale SSH-VPN, PPTP eller andre former for TCP baseret VPN.
Dette skyldes at man kan risikere at sidde bag NAT hvorefter IPSEC kun vil virke for 1 person ad gangen.
Anbefal stedet at gøre lige som på AU -- der har vi 2-3 vlans på det samme fysiske netværk; to åbne, og et der bruger wpa2-eap (eduroam).
Som supplement til dette, så er det for de fleste studerende muligt at koble op med VPN til det institutet de er tilknyttet.
VPN er optional, men få i det mindste noget WPA-ish som supplement til det åbne netværk.
Som supplement til dette, så er det for de fleste studerende muligt at koble op med VPN til det institutet de er tilknyttet.
VPN er optional, men få i det mindste noget WPA-ish som supplement til det åbne netværk.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Support
Gå til bund