Voer een zoektekst in:
Op het web Op Aesir.nl

INFORMATIE

Home

Download
   FloppyT (Mirrored)
   FloppyT modules (Mirrored)
   Overige Downloads

Documentatie
   FloppyT HOWTO
   RAID Gids
   Active vs Passive FTP
   SCSI Technieken
   Wireless Networking beveiliging

Artikelen
   Linux mythen en fabels
   Netwerkbeveiliging met FloppyT
   Review FloppyT 0.9

Vaste prik
   Dagboek van een Geek
   Geekworld

Resources
   FloppyT Forum
   FloppyT FAQ (Officieel)
   FloppyT FAQ (Onofficieel)
   FloppyT Links
   Links

Bazar
   Software
   Hardware
   Boeken
   Diversen

WIRELESS NETWORKING - deel 2
VPN

Je kunt een extra beveiliging opzetten om de tekortkomingen van WEP te omzeilen en dat is gebruik maken van VPN (Virtual Private Networking). Door middel van VPN bescherm je eigenlijk dubbel je gegevenstroom als je dus WEP ingeschakeld hebt. WEP beveiligd de verbinding door middel van een 56 of 104 bits encryptie en VPN versleutelt de data die verzonden wordt via een netwerk (wel of niet wireless).

De WiFi apparatuur komt steeds vaker met deze gecombineerde beveiliging omdat fabrikanten de waarde inzien van een goede beveiliging (voornamelijk om hun winst en markt aandeel te behouden en niet vanwege veiligheid). Heb je echter wat oudere apparatuur of heb je niet de middelen voor aanschaf van een dergelijk prijzig apparaat dan heb je wellicht wat aan losse software die VPN voor je kan regelen. Op het internet vindt je VPN oplossingen voor diverse besturingssystemen waaronder Linux, Mac OS en Windows. Deze oplossingen zijn te gebruiken zonder problemen.

Andere mogelijkheden?

Uiteraard zijn er andere mogelijkheden zoals fabrikant-eigen toevoegingen aan de 802.11b standaard. Lucent bijvoorbeeld heeft een 128 bits WEP sleutel mogelijkheid en het is mogelijk om een closed network te maken door het niet doorgeven van SSID's. Deze producten werken echter dan weer niet (goed) samen met producten van andere fabrikanten met als gevolg "vendor lock-in". Iets waar de meeste bedrijven absoluut niet van gediend zijn.

Je kunt ook een procedure instellen die de broadcast sleutel roteert. WiFi gebruikt 2 WEP sleutels. Èèn voor de versleuteling van de data en èèn voor de versleuteling van broadcast en arp data. Omdat deze sleutels over het algemeen dezelfde zijn is er nooit iets over gezegd totdat Cisco dynamisch gegenereerde sleutels met een korte levensduur introduceerde in èèn van de eerste revisies van hun firmware. Ondanks dat het een idee was van Cisco omarmden de overige fabrikanten van WiFi apparatuur het idee om draadloos netwerken veiliger te maken. Omdat de levensduur van deze sleutels in te stellen is kun je een dusdanig korte levensduur instellen dat het onmogelijk is om genoeg data te ontvangen om de Wep sleutel te kunnen achterhalen. Omdat deze methode alleen van toepassing is op broadcasting data is het niet geschikt om het hierbij te laten.

Mac adres filtering is ook een optie. Echter, ook deze mogelijkheid is niet waterdicht. Afgezien van het feit dat dit een bewerkelijke manier is van beveiligen (immers, de MAC adressen dienen stuk voor stuk ingevoerd te worden) is het ook mogelijk om MAC adressen te spoofen (namaken).

Alle mogelijkheden hierboven instellen en inzetten zijn de moeite waard. Toch zeker als je maar een klein netwerk te beveiligen hebt (in het geval van MAC adressen en WEP adres wijzigingen).

Toekomstige mogelijkheden.

Wat zit er aan te komen op het gebied van beveiliging? Veel. De IEEE (een standaarden organistatie die o.a. communicatiestandaarden beheert) beseft dat beveiliging van WiFi een must is. Toch zeker gezien in het licht van de huidige anti-terrorisme houding onder bedrijven en overheden. De onderstaande nieuwe voorstellen en standaarden, waarvan sommige al in nieuwere apparatuur beschikbaar zijn, moeten derhalve een eind maken aan de onveilige draadloze netwerken.

802.1X is in April al door IEEE in goedgekeurd en in gebruik genomen. Deze beveiliging bevindt zich op port level. Deze standaard was in eerste instantie bedoeld voor normale netwerken (bekabeld) maar bleek ook uitermate bruikbaar voor WiFi. Deze nieuwe Layer 2 veiligheids protocol zit al op het niveau van authenticatie. Derhalve wordt het dus onmogelijk voor een cracker om informatie uit deze sessie te kunnen halen. In combinatie met RADIUS (Remote Authentication Dial-In User Service) wordt deze in het algemeen gebruikt om dial-in gebruikers te authenticeren. De exacte definitie is te vinden in 802.1X standaard EAP (Extended Authentication Protocol). EAP is een verzamelnaam voor verschillende toepassingen en mogelijkheden die ontwikkelaars geboden wordt om eigen authenticatie middelen te ontwikkelen zonder van 802.11b af te wijken. Op dit moment zijn er 4 in omloop: EAP-MD5, EAP-Cisco Wireless (ook wel bekend als LEAP), EAP-TLS en EAP-TTLS.

  • EAP-MD5 vertrouwd op een MD5 versleuteling van gebruikersnamen en wachtwoorden om te authenticeren door middel van een RADIUS server. Het biedt geen key management of dynamisch gegenereerde sleutels. Dit voorkomt het direct gebruikmaken van je netwerk maar biedt geen extra beveiliging op het punt van WEP versleuteling.

  • EAP-Cisco is een standaard die is ontwikkeld door tadaa... Cisco. Deze variant is de basis van de goedgekeurde delen van EAP. Net als de bovenstaande methode wordt ook hier gebruik gemaakt van een RADIUS authenticatie. Het verschil is de extra toevoegingen in verband met WEP versleuteling. Bij de initiële verbinding wordt eenmalig een WEP sleutel gegenereerd voor de sessie. Dit betekent dat iedereen een sleutel heeft die regelmatig veranderd (per sessie) en bovendien niemand kent. Daarnaast kun je dit combineren met sessie time-out instellingen van de RADIUS server. Op deze manier worden frontale aanvallen op het WEP protocol gedwarsboomd omdat de sleutels niet lang genoeg geldig zijn voor cracker om ze te kunnen achterhalen. Daarnaast specificeert deze EAP variant authenticatie van cliënt naar AP en van AP naar cliënt. Dit komt dan bovenop de 802.1X specificaties.

    Er zijn op dit moment wel twee nadelen verbonden aan deze standaard. Het maakt gebruik van MS-CHAP versie 1 die nu niet bepaald bekend staat voor zijn beveiliging. Heeft een cracker de juiste tools en genoeg tijd dan is dit zo gekraakt. De tweede is dat het op dit moment allen maar werkt in Cisco apparatuur.

  • EAP-TLS is ontwikkeld door MicroSoft en wordt in RFC 2716. In plaats van gebruikersnaam en wachtwoord combinaties werkt EAP-TLS via de Transport Layer Security en maakt gebruik van certificaten (om precies te zijn X.509 certificaten). Dit is een poging tot standaardisatie van SSL (Secure Sockets Layer) om PKI informatie door te geven aan de EAP verzamelbak. Net als EAP-Cisco werkt ook deze standaard middels dynamisch eenmalig gegenereerde WEP sleutels. Verassend genoeg werkt deze standaard ook voor Linux en wordt natuurlijk ook ondersteund in alle Windows varianten behalve CE.

  • EAP-TTLS is ontwikkeld door Funk software. Deze methode werkt als hierboven maar met de toegevoegde waarde van challenge protocollen als PAP, CHAP, MS-CHAP (versie 1 en 2) of EAP. De enige hindering is het feit dat het gebruikt maakt van certificatie die net iets minder veilig zijn dan die gebruik wordt door EAP-TLS.

Als toekomstig lid van de bovenstaande familie komt PEAP (Protected EAP) er aan. Deze werkt exact hetzelfde als EAP-TTLS maar is ontwikkeld door MicroSoft en Cisco. Daarnaast werkt de IEEE aan de opvolger van dit alles 802.11i. Deze standaard maakt gebruik van 104 bits WEP versleuteling en gebruikt de 802.1X standaard als authenticatie en beveiligingstoevoeging. Het is nu al duidelijk dat deze standaard onderscheid maakt tussen legacy (huidige) WiFi apparatuur en WiFi apparatuur welk gebruik maakt van de nieuwe 802.11i standaard.
© 2003 Walther Ligtvoet. Powered by Linux, Apache, Perl and MySQL.