Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties
Bron: Techworld

Bedrijven blijken op het gebied van draadloze beveiliging achter de feiten aan te lopen. Om de beveiliging van wifi en van andere draadloze communicatie op peil te brengen, zullen veel bedrijven fors moeten investeren.

Dit blijkt althans uit een internationaal onderzoek onder zevenhonderd managers bij bedrijven in de Verenigde Staten, Groot-Brittannië, Duitsland, China, India, Zuid-Korea en Singapore. Het onderzoek is uitgevoerd in opdracht van netwerkfabrikant Cisco.

Driekwart van de respondenten zegt dat hun uitgaven aan beveiliging zullen stijgen door het gebruik van draadloze en mobiele technologie. De helft van deze groep verwacht een stijging van 10 procent. Nog eens 10 procent denkt dat hun it-budget voor dergelijke beveiliging met 20 procent zal stijgen.

Een mogelijke verklaring voor deze verwachte toename is de manier waarop bedrijven de afgelopen jaren hebben geïnvesteerd. Door de toenemende vraag naar draadloze en mobiele technologieën is er wel geld uitgetrokken voor de connectiviteit, maar is geen aandacht besteed aan de beveiliging er van.

Moderatie-faq Wijzig weergave

Reacties (28)

Dit zijn wat links waar het gebrek van veiligheid omschreven word, en hoe gemakkelijk het gekraakt kan worden:
http://www.hsc.fr/ressour...hakin9_wifi/index.html.en
http://www.grape-info.com...nfig/aircrack-ng-0.6.html

Radius is momenteel de enigste redelijk veilige vorm van beveiliging:
http://www.interlinknetwo...s/Link_Layer_Security.htm

Het grootste nadeel van wifi is dat iedereen binnen het bereik de pakketten kan sniffen. Bij een standaard bedraad netwerk zou je al op ee device in het pad moeten kunnen inprikken.

Als een bedrijf belangrijke info heeft zou je via wifi zelfs bedrijfsspionage kunnen doen. (Eerste sniffen daarna cracken/decoderen, voor zover ik weet kan dit gedaan worden zonder dat de wifi beheerder hier weet van heeft).
Als een bedrijf belangrijke info heeft zou je via wifi zelfs bedrijfsspionage kunnen doen. (Eerste sniffen daarna cracken/decoderen, voor zover ik weet kan dit gedaan worden zonder dat de wifi beheerder hier weet van heeft).
Zolang het bij onderscheppen blijft gaat ie er weinig van merken. Als je zelf actief op zoek gaat kan ie je wel eens sneller vinden dan je had verwacht. Al zal dat laatste wel meevallen, die jongens hangen ook niet de hele dag achter hun scherm logboeken door te spitten :)
Maar als je bij WIFI internet een MAC filter inschakelt en alleen de MAC adressen van mensen invoert die je kent is dat toch wel veilig? Of is dat ook makkelijk te kraken?
Het is iniedergeval wel omslachtig voor een groot bedrijf.
Als je er achter kunt komen welke mac-adressen wel worden toegestaan (moet niet zo moeilijk te eavesdroppen zijn als veel mensen van dat netwerk gebruik maken?), is het volgens mij een kwestie van je MAC-adres veranderen en je wordt toegelaten.

Ook wordt een mac-filter binnnen een bedrijf natuurlijk een ramp voor de sysadmin(s) om bij te houden.
MAC adressen kunnen onderschept worden en daarna kan je het MAC adres van je eigen netwerkkaart veranderen in het adres dat je net onderschept hebt.

Daarom is een MAC filter een zwakke beveiliging. Je kan het wel gebruiken om het ietsje moeilijker te maken.

Kijk maar eens bij de eigenschappen van je netwerkkaart in apparaatbeheer. Meestal staat er onder het tabblad "geavanceerd" een optie om je netwerkadres of MAC adres te veranderen.

[Reactie gewijzigd door Admiral Freebee op 2 september 2007 11:01]

Er zijn genoeg programmas zoals netstumbler die gewoon zaken onderscheppen. Het macadress gaat met ieder pakketje mee, dus is zeer makkelijk onderschept. Genoeg programmas om dan te copieren, zoals macmakeup als je driver software geen feature hiervoor op je os aanbiedt.

Een andere beveiliging is het uitsetten van het ssid. Dat is nog slechter. Een AP identificeert zichzelf met hallo ik ben accespoint blabla en stuurt dan 1 bit mee, weergeven of niet weergeven. Ook zeer makkelijk te onderscheppen en alsnog in te voeren.

Volgende beveiliging, WEP. Geen beveiliging maar alleen encryptie. Veilig neen. Heel makkelijk te te kraken. (ik zal geen programmas noemen, maar als je het spoor terug volgt kom je uit bij een linuxdistributie specifiek met dit soort programmas uitgerust)
het grootste probleem? Een kaart vinden die goed wordt ondersteund om zo snel mogelijk te hacken. Maar zolang je gewoon de paketten kan loggen kom je er met tiij al achter.

WPA beveiliging dan, eigenlijk wederom geen beveiliging maar een encryptie. Deze encyptie is redelijk veilig. Er bestaan nog weinig verbreidde mogelijkheden om dit te kraken en zoalng er geen zwakheid in het logaritme wordt gevonden zoals bij WEP kan je dit zeker bij WPA2 toch als veilig beschouwen.

Als beveiliging kan je kiezen voor radius/802.11 of een preselectedkey (diverse methodes tkip/psk). Een radius verplicht klanten om in te loggen via een ssl verbinding (ook encryptie dus) en na verificatie wordt een sessie sleutel aangemaakt. Voordeel van deze methode? Geen statische key, lastiger te hacken random karakters dus ook een brute force dictionairy hack zal weinig uitkomst bieden. Het enige risico hier is dat sommige randomgenerators niet zo random blijken te zijn.

Do optie vpn zoals genoemd, is dat veilig of niet? Nee in de zin dat het geen draadloze beveiliging is. Ja want de software voegt een extra laag toe in de zin van encryptie en vaak ook verificatie. Tegelijkertijd is het ook een extra risico in de zin dat men meer logins heeft en dus zaken zou kunnen opschrijven of te gemakkelijk kunnen kiezen. Het menselijke element dus.
Dit is de makelijkste manier om to omzeilen en je voorkomt niet dat gevoelige data niet gelezen kunnen worden door af te luisteren. Een goede encrypty is dan noodzakalijk en bij voerkeur een combinatie van meerdere beveiligings methodieken bv WPA + 802.1x met certificaten + VPN, nou dan is het heeel erg lastig voor de hacker.

[Reactie gewijzigd door bas_oostland op 2 september 2007 11:00]

Pas op met de term VPN als oplossing. PPTP is ook een VPN protocol, maar de authenticatie methode is erg zwak en 'eenvoudig' te omzeilen.

Ik gebruik overal SSL/TLS voor mijn IMAP. En voor het verzenden van mail graag ik een ssh tunnel richting de inlog server om te mailen. De rest gebeurt ook via tunnels en binenkort openvpn (voor het gemak).
Je kunt een MAC adres gewoon aanpassen. Dit is slechts een stap om het lastiger te maken.
Mac-adressen worden onversleuteld verstuurd, zelfs al heb je WEP encryptie. Die zijn dus zo op te vangen uit de lucht, en te kopieeren naar je eigen wifi-kaartje.

TKIP en AES encryptie lijkt me toch beter ;)
TKIP en AES encryptie lijkt me toch beter
Voor thuis veilig genoeg. Ik zou er nog een mac-address beveiliging opduwen aangezien je thuis misschien 1 of 2 laptopjes gebruikt is dat een kleine moeite. Juist voor thuisgebruik interesant. Mac-address-spoofing wordt aanzienlijk bemoeilijkt met zo weinig clients en in verhouding weinig traffic.

Voor zakelijk gebruikt is VPN/RSA keyencryption 'the only way to go'. Wifi-netwerkjes van thuis kun je als systeembeheerder natuurlijk nooit beveiligen dus dient er extra authenticatie plaats te vinden.

Ik kan me ook niet voorstellen dat een systeembeheerder wakker ligt van dit artikel...
een Mac address zit in je Netwerk kaart.
maar wordt in windows gewoon in het register gezet.
aanpassen en je hebt een ander

Mac bestaat voor communicatie Niet veiligheid.
Tja wifi-verbindingen zijn eigenlijk altijd onveilig - enige 'veilige' manier is om een apart wifi-netwerk aan te leggen zonder direct toegang tot het internet netwerk, en vervolgens VPN verbindingen op te zetten waarmee het verkeer beter versleuteld kan worden.
Als je soms bij verschillende bedrijven ziet dat men of een open wifi netwerk heeft of met een zeer slechte beveiliging en je via het wifi netwerk eigenlijk overal bijkan intern dan moet er echt behoorlijk wat aan uitgegeven worden om de infra te veranderen.
VPN of SSH over wifi helpt veel maar inderdaad. Zelfs WPA2-EAS is te kraken, het is nu nog te moeilijk om het binnen de "new key exchange" tijd te doen maar het is mogelijk.

En bedrijven en mensen moeten begrijpen dat WiFi gewoon standaard onveilig is en je het dus extra moet beveiligen!
Maar, nadeel van al dat "beveiligen! beveiligen!" is dat de bruikbaarheid drastisch achteruit loopt. Sommige chipsets en drivers komen niet verder dan wep-keys. Oke, dat noemen we dan even gewoon kut spul voor het gemak, maar embedded devices (smartphones, de Nintendo DS etc) die hebben al die toeters en bellen niet omdat ze al hun rekenkracht en ram al nodig voor het surfen zelf, die encryptie/decryptie erbij is niet echt een optie.

"beveiligen! beveiligen!" is leuk, maar het moet wel bruikbaar blijven. Wellicht is al die beveiliging alleen noodzakelijk als er bedrijfsgevoelige informatie door de lucht moet. Maar aan de anderen kant.. pak dan gewoon een snoer!
Ik ben het wel met je eens, soms is het voor bedrijven echter wenselijk dat men er ook draadloos op internet kan, flexibiliteit noemt men dat, al snap ik dat niet helemaal. Bij het bedrijf waar ik werk is gewoon bij ieder bureau minimaal één outlet voor een ethernetkabel (zelfs in de kantine zijn er 2) dus inpluggen en gaan.

Als het echt nodig is, is het VPN-idee wel het beste. Maar wat dacht je van meervoudige authenticatie, zoals WPA èn een radius-server achter de router? Duurt even voordat men dat gekraakt heeft hoor.

Voor particulieren is beveiligen ook wel belangrijk maar dat moeten we denk ik niet overdrijven. WPA is al wel voldoende. Vaak is het zo dat als iemand die jouw internetverbidning even wil 'lenen' (of dat nu om te spammen of even het nieuws te lezen is) al verder kijkt als je verbinding beveiligd is. Het kraken van een WPA-key is vooralsnog zo omslachtig dat men er wel heel wat voor over moet hebben, en als men dat heeft is er vaak iets niet in de haak. Want ik zie zelf de hypothetische buurman die compromitterende foto's op je netwerk zoekt dat nog niet doen voor de key veranderd is.
Ik verwacht eigenlijk niet dat er in de kantoren van de bedrijven veel met een Nintendo DS gespeeld wordt :?
Nintendo DS en de PSP hebben een browser. Was overigens maar een voorbeeld, ik doelde op embedded apperatuur algemeen.
Tja wifi-verbindingen zijn eigenlijk altijd onveilig
802.1x met certificaten of SMS wachtwoorden doen anders toch al veel lijkt me. En een domein is ook geen slecht gedacht...
wij werken met een WIFI verbinding die op een eigen subnet staat
men 'ziet' alleen de andere draadloze clients

verder staan hierop alleen maar wat 'gekeurde' nieuwssites zoals Nu.nl en een aantal veelgelezen kranten, via een proxy

Wil men meer access dan mag je idd inloggen op het vpn, daarvoor heeft ieder die dat "mag" een sleutelhanger met RSA keygenerator

en als je dan misbruik maakt van het netwerk, kunnen de individuele keys worden ingetrokken
Bij mij aan de overkant is het draadloos netwerk van de Politie in de binnenstad tot een paar maanden terug gewoon onbeveiligd geweest. :+
Plus nog een stuk of 30 bedrijven in de binnenstad waar je zo het netwerk op kon.
Lijkt me duidelijk dat Cisco een punt heeft.

Ik wacht met smart op de dag dat er bekend wordt gemaakt dat de gehele wifi techniek schadelijk voor de gezondheid is.
Wat wat gaat er nou boven een ouderwets stukje koper naar je pc? (m.u.v. glasvezel)
Wat dacht je van kosten?
Ik wacht met smart op de dag dat er bekend wordt gemaakt dat de gehele wifi techniek schadelijk voor de gezondheid is.
Op die dag hoop ik ook, maar die komt er nooit. Simpelweg omdat wederom de economische belangen te groot zijn. De overheid heeft er een aardig zakcentje mee verdiend (veiling van de frequenties) de UMTS palen staan er nu net, de abbo's zijn verkocht, de telefoons zijn verkocht, iedereen is er lekker mee gemaakt en als men dan begint over schadelijke effecten is iedereen kwaad en wordt er nooit terug verdiend wat er in op gegaan is. It is that simple. Deze wereld draait om keiharde centen en niet om leven in welke vorm dan ook.

En inderdaad, wat is er nou zo vervelend aan een metertje koper meenemen in je laptop tas?

[Reactie gewijzigd door merethan op 2 september 2007 18:57]

Ik zat laatst in de trein een beetje te spelen met m'n laptop, en te zoeken naar acces points (kan toch geen verbinding maken, maar goed). Op een gegeven moment, vlakbij station Sloterdijk, kwam ik een acces point met de naam "FNV" tegen. Onbeveiligd. Niet te geloven toch?
Misschien een kantoor persoontje dat even een simpel routertje aangesloten heeft ( omdat hij beter op laptops werkt ).

Een buurman heeft een onbeveiligt netwerk draaien...maar je moet wel inloggen op een VPN draaiend op OpenBSD voordat je ook echt er gebruik van kan maken. VPN over WiFi maakt dingen al veel veiliger!
kwam ik een acces point met de naam "FNV" tegen. Onbeveiligd. Niet te geloven toch?
Misschien een "honeypot"?

Ik denk dat dit vaak voor komt. Je eigen gebruikers zijn vaak het grootste risico probleem. Fijn zo'n gebruiker die zelf een wifi-router (of AP) neerkletst. Als je ooit een cursus beveiliging hebt gehad (tenminste de laatste paar jaar) wordt ook verteld dat het helemaal niet raar is om zelf om te snifferen/war-driven binnen en buiten het gebouw. Het begint natuurlijk allemaal naar duidelijke instructies naar de medewerker... en dat dit soort zaken kunnen leiden tot ontslag...
Heel slim van cisco om dit te laten onderzoeken. kunnen ze weer meer beveiliging aan die bedrijven verkopen nu ze ze ongerust hebben gemaakt :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True