Ik heb een draadloze D-Link router aangesloten op mijn kabelmodem, en via een airport kaartje in mijn iMac kan ik draadloos internetten. Ik heb encryptie uit staan. Echter als ik de router configureer op de lichtste encryptie (64 bits) heb ik helemaal geen verbinding meer. Airport knalt er dan uit. Als ik daarna mijn router weer selecteer, wordt mij om een wachtwoord gevraagd. Maar ik zou niet weten welk wachtwoord en hij accepteert ook geen enkel wachtwoord, niet het wachtwoord van mijn router, niet dat van de hex encryptie (dit lijkt me ook geen wachtwoord trouwens). Het lijkt er gewoon op dat ik mijn netwerk de nek omdraai zodra ik ook maar de lichtste encryptie inschakel, om nog maar te zwijgen van zwaardere encryptie. Ik heb alles al geprobeerd, hex encryptie, ascii encryptie, een ander channel selecteren (staat standaard op 6), maar het helpt allemaal niets. De handleiding is ook niet echt duidelijk voor een draadloos-leek als ik. Ik wil gewoon niet dat buren of zo van mijn internet gebruik kunnen maken - of zijn daar andere methodes voor?

Ik denk dat je D-Link router vast wel mac filtering ondersteunt.
Dat is een goed alternatief voor enscriptie.

Ik heb iets soortgelijks met een Vigor draadloze router en een iMac met Airport Extreme. Als ik WEP gebruik, dan wil mijn iMac de sleutel maar niet opslaan, en dat irriteert, elke keer na het ontwaken van je computer die sleutel weer intikken. Alle Airport fixes heb ik geinstalleerd.

Wat ik doe is het uitzenden van het station id uitzetten (dan ben je onzichtbaar voor de buren) en ik pas MAC adres filtering toe.

Wat bedoel je precies met de sleutel intikken, de hexadecimale code? Bij mij accepteert hij dat niet eens.

Inderdaad, dat bedoel ik. Dat doet het bij mij wel. Ik heb een Airport Extreme kaartje, misschien zijn er meer verschillen dan alleen de snelheid vergeleken met een gewoon Airport kaartje.

Ik kan me van mijn router herinneren dat je de HEX string als wachtwoord moet opgeven. Het wachtwoord is de sleutel waarmee je de verbinding kan decrypten. Op de website van D-Link kun je vinden wat je moet doen om de encryptie in te stellen (ga naar www.dlink.com->tech support->selecteerd je type router->ga naar de relevante vraag in de FAQ).

WEP Keys :
vul woord in --> druk op 'generate key' --> kies welke hex waarde hij moet accepteren (soms geeft hij er meerdere en moet je er een uitkiezen) --> vul deze hex waarde in bij de 'client'

Nogmaals :
Vaak zijn dit soort verbindingen moeizaam,
het is inderdaad aan te raden om de SSID (netwerknaam broadcast) uit te zetten, en daarnaast mac adressen te filteren (permit only instellingen).

1 je netwerk is moeilijker te detecteren door buitenstaanders
2 het duurt wel even voordat ze het mac adres gekraakt hebben (ze moeten ik weet niet hoeveel requests doen naaar de router voordat ze het juiste adres te pakken hebben)

De bovenstaande keuze is natuurlijk alleen bedoeld wanneer je alleen bekenden snel toegang wil geven aan je netwerk. Wanneer je onbekenden snel toegang wil geven is het makkelijker om de wep key methode te hanteren

Ga ook bij jezelf na : Ga niet klooien met enscriptie als je er te lang mee bezig bent en een ander alternatief beter / makkelijker is en ruimschoots volstaat.

Succes!

(Bewerkt door Big Mac om 13:48, 6-04-2004)

Bedankt voor de reacties, ik ga eens een en ander uitproberen.

Als het je lukt encryptie in te stellen, dan komt de volgende uitdaging: het opslaan van deze sleutel in je Mac!

Verberg SSID en gebruik MAC filtering, dan kan een computer niet op je netwerk, en weet zelfs niet dat er een draadloos netwerk is. Alleen met sniffer apparatuur kun je zien dat er draadloze communicatie is, en zou je zelfs delen kunnen capturen en afluisteren. Maar dat kan zelfs als je encryptie hebt (kost alleen veel meer tijd) of zelfs met UTP en zeer gevoelige apparatuur, bv gemonteerd aan de buitenkant van een kantoor...

Het wordt natuurlijk pas gevaarlijk als je zo'n KGB trabant bus een paar dagen lang voor de deur ziet staan met een enorme antenne op het dak          

Hahahahaha! Ik zal ze in de gaten houden. Er staan wel af en toe van die busjes van Essent, misschien moet ik daar ook maar voor oppassen!

Ik heb wel begrepen dat de AIVD dit soort dingen doet. Zo raar is dit nog niet hoor .

Ola,

gisteren heb ik toevallig een gastcollege gevolgd van Marco Davids. Marco is Senior Netwerk specialist bij SARA (Stichting Academisch Rekencentrum Amsterdam, http://www.sara.nl/ Sara beheert o.a. AMS-IX, het internet knooppunt van Nederland.

Dit college ging over beveiligingen van draadloze netwerken. WEP 128 en macadres filtering blijken beide geen goede beveiliging te zijn. WEP 128 sleutel is bij druk netwerkverkeer binnen een uurtje of 4 te kraken. Mac filtering werkt wel, maar een macadres is zo te spoofen (aan te passen). SSID uitzetten help ook niet echt, want er zijn programma's (macstumbler) die dit eruit filteren. Als jij je aanmeld namelijk bij een WLAN, wordt het SSID meegezonden.

Oplossingen particulieren:
Ververs regelmatig je WEP code en zet deze op 128 bits. Radius implementeren kost tijd. Ik ga het binnenkort eens proberen. Ik hou jullie op de hoogte van mijn bevindingen.

Oplossing bedrijven:
Zet een radius server in. Op het internet is zeer veel info te vinden over radius. Je moet de presentatie maar ff bekijken voor meer info.

Mochten jullie geinteresseerd zijn in zijn presentatie: http://giga.forfun.net/HvA8021x_5_4_2004.pps. Mocht je het bestand, zoals ik, niet kunnen openen probeer dan deze http://giga.forfun.net/HvA8021x_5_4_2004_ppt97-2002.ppt

Gegroet,
Martijn van Westerlaak

Hmm, ik ben bang dat ik er geen bal van snap, ook niet met de handleiding en de tech support erbij. Ik wil op jullie aanraden de SSID verbergen en MAC filtering gebruiken maar hoe doe je dat?

Bij SSID kan ik iets invullen (stond standaard op default maar ik heb er een eigen naam aan gegeven). Maar als ik hem wil verbergen, hoe doe ik dat dan? Misschien het veld leeg laten? Andere opties zijn er niet wat betreft SSID.

Mac filtering ben ik nergens tegengekomen. Heeft het misschien te maken met het al dan niet tonen van het Mac adres? Het mac adres staat in de settings ingevuld, ik weet niet meer of dit van de iMac is of van de Router zelf. Er staat trouwens "optional" bij dus kennelijk hoef je hett niet in te vullen. Of is dit iets heel anders dan mac filtering?

SSID moet / kun je zelf iets opgeven. Standaard bazuint de router die naam rond, zodat potentiele clients weten dat ze er verbinding mee kunnen maken, ook hackers. Dus dat uitzenden van het SSID is daarom uit te zetten.

Het MAC adres is het hardware adres van je Airport kaart. Je kunt je router zo configureren dat alleen een beperkte set adapters daadwerkelijk verbinding kan krijgen.

Dit moet je allenaal op je router instellen; zie de handleiding hoe dat moet.

Voor thuis is WEP128 voldoende.
Iemand met de KENNIS om in 4 UUR een THUISLOCATIE te hacken is intelligent genoeg om te begrijpen dat de verhoudingen KENNIS / MOEITE / RESULTAAT / RISICO in zo'n geval niet te rijmen zijn.

gr,

Door een $ teken voor de Hexadecimale string te zetten weet OS X dat het om een HEX key gaat en dan werkt het gewoon, zo heb ik het gedaan om in het Universiteits netwerk te kunnen komen.

Geen SSID en MAC filtering is voldoende voor de gemiddelde internetter, zelfs als je gaat internetbankieren. Met WEP zijn de risico's echt minimaal.

Maar als men wil, is het altijd af te luisteren (maar als de wil groot genoeg is, kan zelfs een bedraad netwerk afgeluisterd worden, zoals ik eerder al schreef).

Je kunt je huis zo goed beveiligen, een professional komt echt wel binnen. Alleen de kruimeldieven hou je buiten, en als je niet interessant genoeg bent voor professionals, heb je niets te vrezen.

Kom op mannen......
we zitten hier niet in Hacker aan de Ijsel.....
@ Martijn :
Wat leuk dat je ook eens een presentatie hebt gezien van Marco.
Ik heb hem ook een keer mogen meemaken in de collegebanken.
Wat betreft dat mac spoofing, dat kan idd , maar de varieteit aan mac adressen is zo groot, dat ook dit erg lang duurt, en dus ook echt niet opweegt tegen de beloning. Dat wordt natuurlijk anders bij instellingen zoals sara !

Maar goed, deze is dan voor de liefhebber  
http://home.jwu.edu/jwright/papers/wlan-mac-spoof.pdf

(Bewerkt door Big Mac om 23:46, 6-04-2004)

WEP (of opvolger WPA), mac-filtering en een firewall is genoeg voor thuis.

Wanneer je een wireless intern netwerkje wilt hebben moet je eerst even nadeken over jouw security policy; wat wil je wel en wat niet.

Volgens mij willen de meeste mensen gemak boven super dichtgetimmerd en veilig. En als je dan ook nog eens bereid bent er wat tijd in te steken kan ik het volgende aanraden:

zet je wireless netwerk op een apart netwerk segment, wireless kan wel internetten, maar niet bij je vaste interne netwerk en dus niet bij je shares, webserver, e-mail of wat je allemaal hebt draaien, alleen internet (via NAT uiteraard). Geen encryptie, geen mac adres filtering.

je interne netwerk dat wel shares doet, webserver, e-mail etc. kun je bereiken via een VPN. Deze VPN heeft encryptie uiteraard, en is eventueel zelfs vanaf het internet te benaderen. Alleen wanneer je op het wireless netwerk zit met daaroverheen de VPN kun je bij het interne prive netwerk. Maar voor dat laatste heb je wachtwoorden nodig.

Voordelen:
geen gezeur met WEP/WPA, SSID, mac adres filtering. Kortom wanneer je bezoek krijgt met een laptop kunnen deze direct internetten. Terwijl je wireless toch veilig is, want alles wat je wilt beveiligen aan je wireless is niet aanwezig, tenzij je de VPN aanzet, maar daarvoor zijn wachtwoorden nodig.

Bovendien is een VPN moeilijker te kraken dan WEP/WPA. Vooral WEP is een koekje en hoef je echt geen kennis voor te hebben: je kunt genoeg programma's downloaden die je opstart en dan een dag laat lopen. Dit kan iedere buurjongen

Nadelen:
de buurjongen kan jouw bandbreedte afsnoepen. Maar de oplossing daarvoor is simpel zat: unencrypted wireless beperken in bandbreedte (VPN connecties over wireless wel full speed geven), dan gaat de buurjongen heus niet via jouw wireless Kazaa-en. Bovendien moet je logs bijhouden van je DHCP server die de wireless adressen uitdeelt, dan zelfs als je buurjongen gaat lopen hacken of andere illegale dingen doen via jouw wireless is dit te achterhalen. Kortom je zit best wel veilig.

Maar een groot nadeel is ook dat je hiervoor een linux/bsd/macosx box nodig hebt die NAT/DHCP/VPN doet en drie netwerk kaarten bezit (als er ook een vast netwerk ligt tenminste). Want volgens mij kunnen van die standaard wireless-router bakjes deze geavanceerde setup niet aan. Bovendien moet je deze box redelijk configureren vanwege geavanceerde firewall en route tables en de speciale DHCP setup.

Ik moet erbij zetten dat ikzelf deze configuratie niet heb geprobeerd, omdat ik geen opstelling heb die dit nodig heeft. Maar zodra ik dat wel heb wordt dit mijn aanpak.