---

Hvis man kobler en ekstra computer på sit netværk via kabel eller
trådløst, hvordan er sikkerheden mellem de forskellige computere.

Jeg har læst at man vha en networksniffer kan opsamle ikke-krypteret
tekst, password osv der bliver udvekslet på en anden computer indenfor
netværket.

Jeg har selv prøvet at installere Wireshark herhjemme, men den
opsnapper kun information sendt fra den computer programmet er
installeret på.

---

Den Tue, 28 Jul 2009 02:18:18 -0700 (PDT) skrev Lars:
> Hvis man kobler en ekstra computer på sit netværk via kabel eller
> trådløst, hvordan er sikkerheden mellem de forskellige computere.
>
> Jeg har læst at man vha en networksniffer kan opsamle ikke-krypteret
> tekst, password osv der bliver udvekslet på en anden computer indenfor
> netværket.
>
> Jeg har selv prøvet at installere Wireshark herhjemme, men den
> opsnapper kun information sendt fra den computer programmet er
> installeret på.

Det hedder en switch. Den videresender kun trafikken til den computer
der skal have den. Bemærk at det er af hensyn til hastigheden, og
ikke som nogen form for sikkerhed. Det er ikke svært at få en
switch til at sende data ud på flere porte.

Trådløst kan alle lytte med, sålænge det ikke er krypteret. Det er jo
ganske alm. radiobølger. Men på trådløst kører man da mindst WPA, og
helst WPA2, gør man ikke?

Mvh
Kent
--
"The Brothers are History"

---

Hvad hvis man kryptere med WPA2. Udadtil vil det være sikkert. Men
hvis man giver passfrase til en anden til at logge på, kan han så
bruge den til at aflytte trådløs trafik fra andre på netværket ?


> Trådløst kan alle lytte med, sålænge det ikke er krypteret. Det er jo
> ganske alm. radiobølger. Men på trådløst kører man da mindst WPA, og
> helst WPA2, gør man ikke?

---

Lars <lars02355@gmail.com> wrote:

> Kent Friis <nospam@nospam.invalid> wrote:
>
> > Trådløst kan alle lytte med, sålænge det ikke er krypteret. Det er jo
> > ganske alm. radiobølger. Men på trådløst kører man da mindst WPA, og
> > helst WPA2, gør man ikke?
>
> Hvad hvis man kryptere med WPA2. Udadtil vil det være sikkert. Men
> hvis man giver passfrase til en anden til at logge på, kan han så
> bruge den til at aflytte trådløs trafik fra andre på netværket ?

Hvis 3. mand kobler sig på trådløst, så vil han i de fleste tilfælde
kunne sniffe den netværkstrafik der passerer gennem APen i routeren,
f.eks med Wireshark - med mindre APen i routeren har L2 Isolation.

Det er muligt at L2 Isolation, i specielle tilfælde kan snydes, lige som
switchen.


--
"I believe in having an open mind, but not so open that your brains fall
out." Grace M. Hopper.

---

Den Wed, 29 Jul 2009 14:52:44 +0200 skrev Axel Hammerschmidt:
> Lars <lars02355@gmail.com> wrote:
>
>> Kent Friis <nospam@nospam.invalid> wrote:
>>
>> > Trådløst kan alle lytte med, sålænge det ikke er krypteret. Det er jo
>> > ganske alm. radiobølger. Men på trådløst kører man da mindst WPA, og
>> > helst WPA2, gør man ikke?
>>
>> Hvad hvis man kryptere med WPA2. Udadtil vil det være sikkert. Men
>> hvis man giver passfrase til en anden til at logge på, kan han så
>> bruge den til at aflytte trådløs trafik fra andre på netværket ?
>
> Hvis 3. mand kobler sig på trådløst, så vil han i de fleste tilfælde
> kunne sniffe den netværkstrafik der passerer gennem APen i routeren,
> f.eks med Wireshark - med mindre APen i routeren har L2 Isolation.
>
> Det er muligt at L2 Isolation, i specielle tilfælde kan snydes, lige som
> switchen.

Hvordan virker L2 isolation? Forskellige keys per host?

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den Wed, 29 Jul 2009 14:52:44 +0200 skrev Axel Hammerschmidt:
>
> > Lars <lars02355@gmail.com> wrote:
> >
> >> Kent Friis <nospam@nospam.invalid> wrote:
> >>
> >> > Trådløst kan alle lytte med, sålænge det ikke er krypteret. Det er jo
> >> > ganske alm. radiobølger. Men på trådløst kører man da mindst WPA, og
> >> > helst WPA2, gør man ikke?
> >>
> >> Hvad hvis man kryptere med WPA2. Udadtil vil det være sikkert. Men
> >> hvis man giver passfrase til en anden til at logge på, kan han så
> >> bruge den til at aflytte trådløs trafik fra andre på netværket ?
> >
> > Hvis 3. mand kobler sig på trådløst, så vil han i de fleste tilfælde
> > kunne sniffe den netværkstrafik der passerer gennem APen i routeren,
> > f.eks med Wireshark - med mindre APen i routeren har L2 Isolation.
> >
> > Det er muligt at L2 Isolation, i specielle tilfælde kan snydes, lige som
> > switchen.
>
> Hvordan virker L2 isolation? Forskellige keys per host?

Sådan indstiller jeg det på min TEW-510APB:

http://www.trendnet.com/emulators/TEW-510APB/Wireless.htm

Tryk på knappen for hjælp. Jeg går ud fra det virker som med en switch.
Jeg tror det er mest noget man bruger på Hotspots. Om det så er med keys
eller en RADIUS server, så giver det samme "sikkerhed".


--
"I believe in having an open mind, but not so open that your brains fall
out." Grace M. Hopper.

---

Den Wed, 29 Jul 2009 17:11:20 +0200 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Wed, 29 Jul 2009 14:52:44 +0200 skrev Axel Hammerschmidt:
>>
>> > Lars <lars02355@gmail.com> wrote:
>> >
>> >> Kent Friis <nospam@nospam.invalid> wrote:
>> >>
>> >> > Trådløst kan alle lytte med, sålænge det ikke er krypteret. Det er jo
>> >> > ganske alm. radiobølger. Men på trådløst kører man da mindst WPA, og
>> >> > helst WPA2, gør man ikke?
>> >>
>> >> Hvad hvis man kryptere med WPA2. Udadtil vil det være sikkert. Men
>> >> hvis man giver passfrase til en anden til at logge på, kan han så
>> >> bruge den til at aflytte trådløs trafik fra andre på netværket ?
>> >
>> > Hvis 3. mand kobler sig på trådløst, så vil han i de fleste tilfælde
>> > kunne sniffe den netværkstrafik der passerer gennem APen i routeren,
>> > f.eks med Wireshark - med mindre APen i routeren har L2 Isolation.
>> >
>> > Det er muligt at L2 Isolation, i specielle tilfælde kan snydes, lige som
>> > switchen.
>>
>> Hvordan virker L2 isolation? Forskellige keys per host?
>
> Sådan indstiller jeg det på min TEW-510APB:
>
> http://www.trendnet.com/emulators/TEW-510APB/Wireless.htm

Ikke "hvordan indstiller man det", men "hvordan virker det".

> Tryk på knappen for hjælp. Jeg går ud fra det virker som med en switch.

En switch virker ved at alle links er point to point, og så sidder der
noget logik i switchen og sender trafikken rundt til de rigtige porte.

Wireless er broadcast som en hub, ikke pointopoint som en switch, uanset
L2 isolation indstillingen. Derfor er kryptering nødvendig, hvis det skal
have noget at sige sikkerhedsmæssigt.

Jeg så godt indstillingen på mit eget access point, da jeg satte det
op, men lod være med at slå det fra, da jeg egentlig gik ud fra at det
var lige så sikkert som mac-filtrering (i.e. overhovedet ikke). At der
blot er tale om at AP'et ikke sender data ud til de andre hosts, eller
endda blot fortæller dem at de ikke må lytte med.

Fra en branche der er kendt for påfund som mac-filtrering og WEP, vil
jeg godt se noget dokumentation for hvordan det virker, før jeg
tillægger det nogen som helst sikkerhedsmæssig effekt.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis:

> Den Wed, 29 Jul 2009 17:11:20 +0200 skrev Axel Hammerschmidt:
>
>> Kent Friis <nospam@nospam.invalid> wrote:

<snip>

>>> Hvordan virker L2 isolation? Forskellige keys per host?
>>
>> Sådan indstiller jeg det på min TEW-510APB:
>>
>> http://www.trendnet.com/emulators/TEW-510APB/Wireless.htm
>
> Ikke "hvordan indstiller man det", men "hvordan virker det".
>
>> Tryk på knappen for hjælp. Jeg går ud fra det virker som med en
>> switch.
>
> En switch virker ved at alle links er point to point, og så sidder
> der noget logik i switchen og sender trafikken rundt til de
> rigtige porte.

Det er "til de rigtige" MAC adresser, når switchen ikke er managed.
Jeg går ud fra "L2" hentyder til "Lag 2" i OSI modellen:

http://da.wikipedia.org/wiki/OSI-model

og det virker efter samme princip på en AP med L2 Isolation.

> Wireless er broadcast som en hub, ikke pointopoint som en switch,
> uanset L2 isolation indstillingen. Derfor er kryptering nødvendig,
> hvis det skal have noget at sige sikkerhedsmæssigt.

Der er vel det samme problem i en switch?

> Jeg så godt indstillingen på mit eget access point, da jeg satte
> det op, men lod være med at slå det fra, da jeg egentlig gik ud
> fra at det var lige så sikkert som mac-filtrering (i.e.
> overhovedet ikke). At der blot er tale om at AP'et ikke sender
> data ud til de andre hosts, eller endda blot fortæller dem at de
> ikke må lytte med.

Jeg går ud fra det sparer noget båndbredde. Det er det hele.

> Fra en branche der er kendt for påfund som mac-filtrering og WEP,
> vil jeg godt se noget dokumentation for hvordan det virker, før
> jeg tillægger det nogen som helst sikkerhedsmæssig effekt.

Det er såmen ikke kun et problem med trådløs.


--
2GB RAM should be enough for anyone.

---

Den 29 Jul 2009 16:10:41 GMT skrev Axel Hammerschmidt:
> Kent Friis:
>
>> Den Wed, 29 Jul 2009 17:11:20 +0200 skrev Axel Hammerschmidt:
>>
>>> Kent Friis <nospam@nospam.invalid> wrote:
>
> <snip>
>
>>>> Hvordan virker L2 isolation? Forskellige keys per host?
>>>
>>> Sådan indstiller jeg det på min TEW-510APB:
>>>
>>> http://www.trendnet.com/emulators/TEW-510APB/Wireless.htm
>>
>> Ikke "hvordan indstiller man det", men "hvordan virker det".
>>
>>> Tryk på knappen for hjælp. Jeg går ud fra det virker som med en
>>> switch.
>>
>> En switch virker ved at alle links er point to point, og så sidder
>> der noget logik i switchen og sender trafikken rundt til de
>> rigtige porte.
>
> Det er "til de rigtige" MAC adresser, når switchen ikke er managed.

Og switchen har en tabel over mac <-> port. Enten en dynamisk eller
en statisk liste.

> Jeg går ud fra "L2" hentyder til "Lag 2" i OSI modellen:
>
> http://da.wikipedia.org/wiki/OSI-model

Hvilken er en tåbelig betegnelse, når der stort set ingen er der
kører OSI.

> og det virker efter samme princip på en AP med L2 Isolation.
>
>> Wireless er broadcast som en hub, ikke pointopoint som en switch,
>> uanset L2 isolation indstillingen. Derfor er kryptering nødvendig,
>> hvis det skal have noget at sige sikkerhedsmæssigt.
>
> Der er vel det samme problem i en switch?

En switch er - i modsætning til en hub - ikke broadcast. Den kan
narres til at sende trafikken ud på forkerte porte, men normalt
gør den det ikke.

Sikkerhedsporblemet består i at man kan narre den (en statisk
mac <-> port tabel burde faktisk forhindre det problem).

>> Jeg så godt indstillingen på mit eget access point, da jeg satte
>> det op, men lod være med at slå det fra, da jeg egentlig gik ud
>> fra at det var lige så sikkert som mac-filtrering (i.e.
>> overhovedet ikke). At der blot er tale om at AP'et ikke sender
>> data ud til de andre hosts, eller endda blot fortæller dem at de
>> ikke må lytte med.
>
> Jeg går ud fra det sparer noget båndbredde. Det er det hele.

Der er tale om et shared medium. At skulle sende trafikken hen
til access pointet og videre til de andre hosts, kræver dobbelt
så meget båndbredde som at at lade den anden host modtage
trafikken direkte.

Er trafikken krypteren per host, vil de pakker der skal ud til
alle hosts (broadcast-pakker) bruge meget mere end dobbelt så
meget båndbredde, hvis access-pointet skal sende en kopi ud
til hver enkelt host.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis:

> Den 29 Jul 2009 16:10:41 GMT skrev Axel Hammerschmidt:
>
>> Kent Friis:

<snip>

>>> Wireless er broadcast som en hub, ikke pointopoint som en
>>> switch, uanset L2 isolation indstillingen. Derfor er kryptering
>>> nødvendig, hvis det skal have noget at sige sikkerhedsmæssigt.
>>
>> Der er vel det samme problem i en switch?
>
> En switch er - i modsætning til en hub - ikke broadcast. Den kan
> narres til at sende trafikken ud på forkerte porte, men normalt
> gør den det ikke.
>
> Sikkerhedsporblemet består i at man kan narre den (en statisk
> mac <-> port tabel burde faktisk forhindre det problem).

Her nævner han noget MED VLAN:

http://osdir.com/ml/linux.drivers.madwifi.devel/2006-10/msg00025.html


--
2GB RAM should be enough for anyone.

---

Den 29 Jul 2009 17:59:31 GMT skrev Axel Hammerschmidt:
> Kent Friis:
>
>> Den 29 Jul 2009 16:10:41 GMT skrev Axel Hammerschmidt:
>>
>>> Kent Friis:
>
> <snip>
>
>>>> Wireless er broadcast som en hub, ikke pointopoint som en
>>>> switch, uanset L2 isolation indstillingen. Derfor er kryptering
>>>> nødvendig, hvis det skal have noget at sige sikkerhedsmæssigt.
>>>
>>> Der er vel det samme problem i en switch?
>>
>> En switch er - i modsætning til en hub - ikke broadcast. Den kan
>> narres til at sende trafikken ud på forkerte porte, men normalt
>> gør den det ikke.
>>
>> Sikkerhedsporblemet består i at man kan narre den (en statisk
>> mac <-> port tabel burde faktisk forhindre det problem).
>
> Her nævner han noget MED VLAN:
>
> http://osdir.com/ml/linux.drivers.madwifi.devel/2006-10/msg00025.html

Det ser ikke ud til at være den type L2 isolation almindelige access
points bruger. Han skriver blandt andet at han ikke ved om det er
brugbart.

Jeg mener iøvrigt at have læst at Windows ikke supporterer VLAN, så
den type vil antageligt kun virke med Linux maskiner.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den 29 Jul 2009 17:59:31 GMT skrev Axel Hammerschmidt:

<snip>

> > Her nævner han noget MED VLAN:
> >
> > http://osdir.com/ml/linux.drivers.madwifi.devel/2006-10/msg00025.html
>
> Det ser ikke ud til at være den type L2 isolation almindelige access
> points bruger. Han skriver blandt andet at han ikke ved om det er
> brugbart.
>
> Jeg mener iøvrigt at have læst at Windows ikke supporterer VLAN, så
> den type vil antageligt kun virke med Linux maskiner.

De fleste AP har da osse Linux som OS.


--
"I believe in having an open mind, but not so open that your brains fall
out." Grace M. Hopper.

---

Den Wed, 29 Jul 2009 23:20:58 +0200 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den 29 Jul 2009 17:59:31 GMT skrev Axel Hammerschmidt:
>
> <snip>
>
>> > Her nævner han noget MED VLAN:
>> >
>> > http://osdir.com/ml/linux.drivers.madwifi.devel/2006-10/msg00025.html
>>
>> Det ser ikke ud til at være den type L2 isolation almindelige access
>> points bruger. Han skriver blandt andet at han ikke ved om det er
>> brugbart.
>>
>> Jeg mener iøvrigt at have læst at Windows ikke supporterer VLAN, så
>> den type vil antageligt kun virke med Linux maskiner.
>
> De fleste AP har da osse Linux som OS.

"De fleste"? Enkelte dyre modeller, har. Men at sende VLAN-tagged
er ikke brugbart hvis PC'en i den anden ende ikke forstår VLAN. Og
gør iøvrigt heller ikke noget sikkerhedsmæssigt, da en eventuel
"medlytter" bare kan se bort fra VLAN tag'et.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den Wed, 29 Jul 2009 23:20:58 +0200 skrev Axel Hammerschmidt:
>
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den 29 Jul 2009 17:59:31 GMT skrev Axel Hammerschmidt:
> >
> > <snip>
> >
> >> > Her nævner han noget MED VLAN:
> >> >
> >> > http://osdir.com/ml/linux.drivers.madwifi.devel/2006-10/msg00025.html
> >>
> >> Det ser ikke ud til at være den type L2 isolation almindelige access
> >> points bruger. Han skriver blandt andet at han ikke ved om det er
> >> brugbart.
> >>
> >> Jeg mener iøvrigt at have læst at Windows ikke supporterer VLAN, så
> >> den type vil antageligt kun virke med Linux maskiner.
> >
> > De fleste AP har da osse Linux som OS.
>
> "De fleste"? Enkelte dyre modeller, har.

Alle mine "billige" har. De kommer som regel med kildekoden efter GPL på
CD. Eller osse kan man hente den - kildekoden - på producentens
hjemmeside.

Linksys laver en 54GL-model med Linux som OS. Den er heller ikke blandt
de dyre.

Det er mit indtryk, at alle dem hvor der kan installeres alternativ
firmware bruger Linux som OS.

> Men at sende VLAN-tagged er ikke brugbart hvis PC'en i den anden ende ikke
> forstår VLAN. Og gør iøvrigt heller ikke noget sikkerhedsmæssigt, da en
> eventuel "medlytter" bare kan se bort fra VLAN tag'et.

Der er åbenbart forskellige måder at lave VLAN på. Jeg har set en
beskrivelse, hvor de forskellige LAN får tildelt ip-adresser i
forskellige områder: 192.168.2.222, 192.168.3.222 osv, alle med Net Mask
255.255.255.0 fra switchen.


--
"I believe in having an open mind, but not so open that your brains fall
out." Grace M. Hopper.

---

Den Fri, 31 Jul 2009 00:58:16 +0200 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Wed, 29 Jul 2009 23:20:58 +0200 skrev Axel Hammerschmidt:
>>
>> > Kent Friis <nospam@nospam.invalid> wrote:
>> >
>> >> Den 29 Jul 2009 17:59:31 GMT skrev Axel Hammerschmidt:
>> >
>> > <snip>
>> >
>> >> > Her nævner han noget MED VLAN:
>> >> >
>> >> > http://osdir.com/ml/linux.drivers.madwifi.devel/2006-10/msg00025.html
>> >>
>> >> Det ser ikke ud til at være den type L2 isolation almindelige access
>> >> points bruger. Han skriver blandt andet at han ikke ved om det er
>> >> brugbart.
>> >>
>> >> Jeg mener iøvrigt at have læst at Windows ikke supporterer VLAN, så
>> >> den type vil antageligt kun virke med Linux maskiner.
>> >
>> > De fleste AP har da osse Linux som OS.
>>
>> "De fleste"? Enkelte dyre modeller, har.
>
> Alle mine "billige" har. De kommer som regel med kildekoden efter GPL på
> CD. Eller osse kan man hente den - kildekoden - på producentens
> hjemmeside.
>
> Linksys laver en 54GL-model med Linux som OS. Den er heller ikke blandt
> de dyre.

Det var netop den jeg tænkte på, i gamle dage var Linksys APs med Linux,
men så kom de billige modeller, som ikke havde RAM nok til at køre Linux,
men fordi en del kunder var glade for Linux-modellen, fortsatte de med
at producere den, til den noget højere pris.

> Det er mit indtryk, at alle dem hvor der kan installeres alternativ
> firmware bruger Linux som OS.

Og det er kun de dyre modeller med en rigtig processor og 8-16-32 MB
RAM.

>> Men at sende VLAN-tagged er ikke brugbart hvis PC'en i den anden ende ikke
>> forstår VLAN. Og gør iøvrigt heller ikke noget sikkerhedsmæssigt, da en
>> eventuel "medlytter" bare kan se bort fra VLAN tag'et.
>
> Der er åbenbart forskellige måder at lave VLAN på. Jeg har set en
> beskrivelse, hvor de forskellige LAN får tildelt ip-adresser i
> forskellige områder: 192.168.2.222, 192.168.3.222 osv, alle med Net Mask
> 255.255.255.0 fra switchen.

Det er jo bare flere subnets på samme fysiske net. VLAN er normalt
802.1Q, alternativt "port-based VLAN", som foregår internt i switchen
(altså svarende til at have to switche).

Mvh
Kent
--
"The Brothers are History"

---

Den 31 Jul 2009 14:38:33 GMT skrev Kent Friis:
> Den Fri, 31 Jul 2009 00:58:16 +0200 skrev Axel Hammerschmidt:
>> Kent Friis <nospam@nospam.invalid> wrote:
>>
>>> Den Wed, 29 Jul 2009 23:20:58 +0200 skrev Axel Hammerschmidt:
>>>
>>> > Kent Friis <nospam@nospam.invalid> wrote:
>>> >
>>> >> Den 29 Jul 2009 17:59:31 GMT skrev Axel Hammerschmidt:
>>> >
>>> > <snip>
>>> >
>>> >> > Her nævner han noget MED VLAN:
>>> >> >
>>> >> > http://osdir.com/ml/linux.drivers.madwifi.devel/2006-10/msg00025.html
>>> >>
>>> >> Det ser ikke ud til at være den type L2 isolation almindelige access
>>> >> points bruger. Han skriver blandt andet at han ikke ved om det er
>>> >> brugbart.
>>> >>
>>> >> Jeg mener iøvrigt at have læst at Windows ikke supporterer VLAN, så
>>> >> den type vil antageligt kun virke med Linux maskiner.
>>> >
>>> > De fleste AP har da osse Linux som OS.
>>>
>>> "De fleste"? Enkelte dyre modeller, har.
>>
>> Alle mine "billige" har. De kommer som regel med kildekoden efter GPL på
>> CD. Eller osse kan man hente den - kildekoden - på producentens
>> hjemmeside.
>>
>> Linksys laver en 54GL-model med Linux som OS. Den er heller ikke blandt
>> de dyre.
>
> Det var netop den jeg tænkte på, i gamle dage var Linksys APs med Linux,
> men så kom de billige modeller, som ikke havde RAM nok til at køre Linux,
> men fordi en del kunder var glade for Linux-modellen, fortsatte de med
> at producere den, til den noget højere pris.
>
>> Det er mit indtryk, at alle dem hvor der kan installeres alternativ
>> firmware bruger Linux som OS.
>
> Og det er kun de dyre modeller med en rigtig processor og 8-16-32 MB
> RAM.
>
>>> Men at sende VLAN-tagged er ikke brugbart hvis PC'en i den anden ende ikke
>>> forstår VLAN. Og gør iøvrigt heller ikke noget sikkerhedsmæssigt, da en
>>> eventuel "medlytter" bare kan se bort fra VLAN tag'et.
>>
>> Der er åbenbart forskellige måder at lave VLAN på. Jeg har set en
>> beskrivelse, hvor de forskellige LAN får tildelt ip-adresser i
>> forskellige områder: 192.168.2.222, 192.168.3.222 osv, alle med Net Mask
>> 255.255.255.0 fra switchen.
>
> Det er jo bare flere subnets på samme fysiske net. VLAN er normalt
> 802.1Q, alternativt "port-based VLAN", som foregår internt i switchen
> (altså svarende til at have to switche).

Jeg læste lige den sidste halvdel af linket igen, der ER tale om 802.1Q
tagged VLAN, men ikke "over the air". Kun imellem driveren og ethX.X
interfacet. IMHO en underlig måde at gøre det på, så kan driveren vel
lige så godt selv registrere flere interfaces.

Men det forklarer så ikke hvordan trafikken holdes adskilt trådløst.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis:

<snip>

> Men det forklarer så ikke hvordan trafikken holdes adskilt trådløst.

Det gi'r ikke nogen fornuftig hits på Google ved at søge med "L2
Isolation". Men søger man med "wireless client isolation" kommer der
masser af gode forklaringer.

Måske kan denne posting forklarer det:

<http://www.wirelessforums.org/alt-internet-wireless/client-isolation-ap-
isolation-how-does-work-774.html>

Kortlink:

http://tinyurl.com/k64tg

Som jeg forstår det, så forhindre APen, når L2 Isolation er slået til, at
data sendes fra een MAC (Media Access Controller) til en anden, når de
begge er forbundet trådløst.

Data sendes kun mellem det kablede LAN (og f.eks til/fra internet) og den
enkelte klients trådløse netkort, baseret på MAC adressen.

Er der så nogen sikkerhed ved det?

Tja... MAC adresser kan spoofes, men ikke uden at det gi'r problemer.

Jeg kender ikke noget trådløst netkort, som kan sættes i "Passive Mode"
samtidig med at det er aktivt forbundet til APen med Wireshark/Ethereal.
Det er kun lykkedes for mig at sniffe datapakker fra ukrypterede APer på
den måde.

Det er muligt det findes. Jeg husker svagt, fra da jeg legede med
Commview for wifi <http://www.tamos.com/products/commwifi> for nogle år
siden, at jeg kunne sniffe noget fra (min egen) tådløse opkoblinger.

Fra Tamos FAQ:

: Q. When monitoring a WLAN, can I be sure that the program will capture
: every packet being sent or received?
:
: A. No, and here is why. When a wireless station is connected and
: authenticated, the station and access point(s) employ a mechanism that
: allows them to resend the packets that were not received by the other
: party or damaged en route for some reason (e.g. radio interference).
: In case of CommView for WiFi, the wireless adapter is put into
: passive, monitoring mode. Therefore, the adapter cannot send
: "requests" to have packets resent, nor can it acknowledge successful
: receipt of packets. This results in loss of some packets. The
: percentage of lost packets may vary. Generally, the closer to other
: stations and access points you are, the fewer packets will be dropped.

Der skal nok være flere grunde til at det ikke er så lige til.

Har man lyst til at prøve, så er Commview for Wifi tilgængelig i en fuldt
funktionsdygtig version i 30 dage, som prøve. Eller koster det...

Det forudsætter man har et understøttet trådløst netkort. Man kan læse
mere om hvilke kort på Tamos hjemmeside.

Det er et super godt program til at analysere trådløs netværk. Har selv
været fristet flere gange til at fyre de $5-6C af på programmet.


--
Oops! I did it again.

---

Den 01 Aug 2009 10:59:48 GMT skrev Axel Hammerschmidt:
> Kent Friis:
>
> <snip>
>
>> Men det forklarer så ikke hvordan trafikken holdes adskilt trådløst.
>
> Det gi'r ikke nogen fornuftig hits på Google ved at søge med "L2
> Isolation". Men søger man med "wireless client isolation" kommer der
> masser af gode forklaringer.
>
> Måske kan denne posting forklarer det:
>
> <http://www.wirelessforums.org/alt-internet-wireless/client-isolation-ap-
> isolation-how-does-work-774.html>
>
> Kortlink:
>
> http://tinyurl.com/k64tg

Den forklaring går på at AP'et ikke sender noget tilbage til en host,
der kommer fra en anden host, men det skal ind forbi switchen først.
Det eneste man vil få ud af den løsning er dårligere performance.

Og det forhindrer stadig ikke at to PC'er på det trådløse net kan
kommunikere imellem hinanden udenom AP'et. Det er den del jeg søger
en forklaring på.

> Det er muligt det findes. Jeg husker svagt, fra da jeg legede med
> Commview for wifi <http://www.tamos.com/products/commwifi> for nogle år
> siden, at jeg kunne sniffe noget fra (min egen) tådløse opkoblinger.
>
> Fra Tamos FAQ:
>
> : Q. When monitoring a WLAN, can I be sure that the program will capture
> : every packet being sent or received?
> :
> : A. No, and here is why. When a wireless station is connected and
> : authenticated, the station and access point(s) employ a mechanism that
> : allows them to resend the packets that were not received by the other
> : party or damaged en route for some reason (e.g. radio interference).
> : In case of CommView for WiFi, the wireless adapter is put into
> : passive, monitoring mode. Therefore, the adapter cannot send
> : "requests" to have packets resent, nor can it acknowledge successful
> : receipt of packets. This results in loss of some packets. The
> : percentage of lost packets may vary. Generally, the closer to other
> : stations and access points you are, the fewer packets will be dropped.

Det fortæller jo kun at en sniffer ikke kan gardere sig mod
packet loss. Det kan den aldrig, trådløst eller ej.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis:

> Den 01 Aug 2009 10:59:48 GMT skrev Axel Hammerschmidt:
>> Kent Friis:
>>
>> <snip>
>>
>>> Men det forklarer så ikke hvordan trafikken holdes adskilt trådløst.
>>
>> Det gi'r ikke nogen fornuftig hits på Google ved at søge med "L2
>> Isolation". Men søger man med "wireless client isolation" kommer der
>> masser af gode forklaringer.
>>
>> Måske kan denne posting forklarer det:
>>
>> <http://www.wirelessforums.org/alt-internet-wireless/client-isolation-
>> ap- isolation-how-does-work-774.html>
>>
>> Kortlink:
>>
>> http://tinyurl.com/k64tg
>
> Den forklaring går på at AP'et ikke sender noget tilbage til en host,
> der kommer fra en anden host, men det skal ind forbi switchen først.
> Det eneste man vil få ud af den løsning er dårligere performance.

Jeg syntes du skal læse det igen. Det lyder meget fornuftigt.

> Og det forhindrer stadig ikke at to PC'er på det trådløse net kan
> kommunikere imellem hinanden udenom AP'et. Det er den del jeg søger
> en forklaring på.

Eh! Ikke forstået - udenom APen?

En hvilken som helst klient kan ikke sniffe (WPA) krypterede pakker med
data uden at kende session key. Den key har klienten først, når klienten
har været forbundet. Det forudsætter et handshake. Der kan ikke laves
handshake i passiv mode, jf FAQ fra Tamos.


--
Oops!... I did it again

---

Den 01 Aug 2009 12:55:32 GMT skrev Axel Hammerschmidt:
> Kent Friis:
>
>> Den 01 Aug 2009 10:59:48 GMT skrev Axel Hammerschmidt:
>>> Kent Friis:
>>>
>>> <snip>
>>>
>>>> Men det forklarer så ikke hvordan trafikken holdes adskilt trådløst.
>>>
>>> Det gi'r ikke nogen fornuftig hits på Google ved at søge med "L2
>>> Isolation". Men søger man med "wireless client isolation" kommer der
>>> masser af gode forklaringer.
>>>
>>> Måske kan denne posting forklarer det:
>>>
>>> <http://www.wirelessforums.org/alt-internet-wireless/client-isolation-
>>> ap- isolation-how-does-work-774.html>
>>>
>>> Kortlink:
>>>
>>> http://tinyurl.com/k64tg
>>
>> Den forklaring går på at AP'et ikke sender noget tilbage til en host,
>> der kommer fra en anden host, men det skal ind forbi switchen først.
>> Det eneste man vil få ud af den løsning er dårligere performance.
>
> Jeg syntes du skal læse det igen. Det lyder meget fornuftigt.

Hvordan det?

>> Og det forhindrer stadig ikke at to PC'er på det trådløse net kan
>> kommunikere imellem hinanden udenom AP'et. Det er den del jeg søger
>> en forklaring på.
>
> Eh! Ikke forstået - udenom APen?

Ja, det var derfor jeg startede med at spørge om der bruges separate
keys per host.

> En hvilken som helst klient kan ikke sniffe (WPA) krypterede pakker med
> data uden at kende session key. Den key har klienten først, når klienten
> har været forbundet. Det forudsætter et handshake. Der kan ikke laves
> handshake i passiv mode, jf FAQ fra Tamos.

Jeg snakker om flere PC'er connected til samme access point. Hvis der
bruges samme keys, vil de kunne dekryptere hinandens pakker. Hvis
broadcast skal være muligt uden at AP'et skal gentage den samme pakke
flere hundrede gange, skal de kunne dekryptere hinandens pakker.

Om netkortet tillader at du sniffer eller ej, har lige så lidt med
sikkerhed at gøre som et javascript der ikke vil lade browseren
poste hvis et tekstfelt indeholder '; drop table students--

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den 01 Aug 2009 12:55:32 GMT skrev Axel Hammerschmidt:
>
> > Kent Friis:

<snip>

> >> Og det forhindrer stadig ikke at to PC'er på det trådløse net kan
> >> kommunikere imellem hinanden udenom AP'et. Det er den del jeg søger
> >> en forklaring på.
> >
> > Eh! Ikke forstået - udenom APen?
>
> Ja, det var derfor jeg startede med at spørge om der bruges separate
> keys per host.

Jeg kan nu ikke lige se sammenhængen. Uden en aktiv forbindelse til APen
er der ingen forbindelse mellem de to klienter. Nøglen - key - giver
både adgang og skjuler indholdet.

Men der er noget der tyder på, at klienter kan have forskellige RC4 keys
med WPA-PSK (TKIP).

Link fra Google books til Gast, 802.11 Wireless Networks, om key mixing:

<http://tinyurl.com/mso9w2>

Det vidste jeg faktisk ikke. Jeg troede de var ens. Men om det betyder
noget...?


--
"I believe in having an open mind, but not so open that your brains fall
out." Grace M. Hopper.

---

Den Sat, 1 Aug 2009 22:44:50 +0200 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den 01 Aug 2009 12:55:32 GMT skrev Axel Hammerschmidt:
>>
>> > Kent Friis:
>
> <snip>
>
>> >> Og det forhindrer stadig ikke at to PC'er på det trådløse net kan
>> >> kommunikere imellem hinanden udenom AP'et. Det er den del jeg søger
>> >> en forklaring på.
>> >
>> > Eh! Ikke forstået - udenom APen?
>>
>> Ja, det var derfor jeg startede med at spørge om der bruges separate
>> keys per host.
>
> Jeg kan nu ikke lige se sammenhængen.

Bruger begge klienter samme key, kan de dekryptere trafik sendt til
den anden, og (forudsat der er tale om symmetrisk kryptering) sende
trafik direkte fra den ene til den anden uden at involvere AP'et.

> Uden en aktiv forbindelse til APen
> er der ingen forbindelse mellem de to klienter. Nøglen - key - giver
> både adgang og skjuler indholdet.

En situation hvor der ikke er forbindelse til et AP, er uinteressant
når diskussionen drejer sig om AP'ets indstillinger.

> Men der er noget der tyder på, at klienter kan have forskellige RC4 keys
> med WPA-PSK (TKIP).
>
> Link fra Google books til Gast, 802.11 Wireless Networks, om key mixing:
>
> <http://tinyurl.com/mso9w2>
>
> Det vidste jeg faktisk ikke. Jeg troede de var ens. Men om det betyder
> noget...?

Det er en beskrivelse af WPA. Krypteringen i WPA er den samme som i
WEP, men der dannes en ny key for hver frame. Svagheden i WEP består
i at når man har et vist antal frames krypteret med samme key, er det
relativt nemt at finde key'en. Det er en simpel workaround.

WPA2 bruger AES i stedet for RC4.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sat, 1 Aug 2009 22:44:50 +0200 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den 01 Aug 2009 12:55:32 GMT skrev Axel Hammerschmidt:
> >>
> >> > Kent Friis:
> >
> > <snip>
> >
> >> >> Og det forhindrer stadig ikke at to PC'er på det trådløse net kan
> >> >> kommunikere imellem hinanden udenom AP'et. Det er den del jeg søger
> >> >> en forklaring på.
> >> >
> >> > Eh! Ikke forstået - udenom APen?
> >>
> >> Ja, det var derfor jeg startede med at spørge om der bruges separate
> >> keys per host.
> >
> > Jeg kan nu ikke lige se sammenhængen.
>
> Bruger begge klienter samme key, kan de dekryptere trafik sendt til
> den anden, og (forudsat der er tale om symmetrisk kryptering) sende
> trafik direkte fra den ene til den anden uden at involvere AP'et.

Det er ikke korrekt. Med mindre den trådløse klient på den computer, der
skal modtage er i ad hoc mode kan det du påstår ikke lade sig gøre.

> > Uden en aktiv forbindelse til APen er der ingen forbindelse mellem de to
> > klienter. Nøglen - key - giver både adgang og skjuler indholdet.
>
> En situation hvor der ikke er forbindelse til et AP, er uinteressant
> når diskussionen drejer sig om AP'ets indstillinger.

Nu modsiger du dig selv. Lige ovenover her siger du:

: ... sende trafik direkte fra den ene til den anden uden at involvere
: AP'et.

> > Men der er noget der tyder på, at klienter kan have forskellige RC4 keys
> > med WPA-PSK (TKIP).
> >
> > Link fra Google books til Gast, 802.11 Wireless Networks, om key mixing:
> >
> > <http://tinyurl.com/mso9w2>
> >
> > Det vidste jeg faktisk ikke. Jeg troede de var ens. Men om det betyder
> > noget...?
>
> Det er en beskrivelse af WPA. Krypteringen i WPA er den samme som i
> WEP, men der dannes en ny key for hver frame. Svagheden i WEP består
> i at når man har et vist antal frames krypteret med samme key, er det
> relativt nemt at finde key'en. Det er en simpel workaround.

Nej. Krypteringen er ikke den samme. WPA er bagudkompatibelt med ældre
udstyr.

> WPA2 bruger AES i stedet for RC4.

Ja, og...?


--
"I believe in having an open mind, but not so open that your brains fall
out." Grace M. Hopper.

---

Den Sun, 2 Aug 2009 13:25:21 +0200 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Sat, 1 Aug 2009 22:44:50 +0200 skrev Axel Hammerschmidt:
>> > Kent Friis <nospam@nospam.invalid> wrote:
>> >
>> >> Den 01 Aug 2009 12:55:32 GMT skrev Axel Hammerschmidt:
>> >>
>> >> > Kent Friis:
>> >
>> > <snip>
>> >
>> >> >> Og det forhindrer stadig ikke at to PC'er på det trådløse net kan
>> >> >> kommunikere imellem hinanden udenom AP'et. Det er den del jeg søger
>> >> >> en forklaring på.
>> >> >
>> >> > Eh! Ikke forstået - udenom APen?
>> >>
>> >> Ja, det var derfor jeg startede med at spørge om der bruges separate
>> >> keys per host.
>> >
>> > Jeg kan nu ikke lige se sammenhængen.
>>
>> Bruger begge klienter samme key, kan de dekryptere trafik sendt til
>> den anden, og (forudsat der er tale om symmetrisk kryptering) sende
>> trafik direkte fra den ene til den anden uden at involvere AP'et.
>
> Det er ikke korrekt. Med mindre den trådløse klient på den computer, der
> skal modtage er i ad hoc mode kan det du påstår ikke lade sig gøre.

Hvad skulle forhindre det?

>> > Uden en aktiv forbindelse til APen er der ingen forbindelse mellem de to
>> > klienter. Nøglen - key - giver både adgang og skjuler indholdet.
>>
>> En situation hvor der ikke er forbindelse til et AP, er uinteressant
>> når diskussionen drejer sig om AP'ets indstillinger.
>
> Nu modsiger du dig selv. Lige ovenover her siger du:
>
> : ... sende trafik direkte fra den ene til den anden uden at involvere
> : AP'et.

Ja. Det er radiobølger vi snakker om.

>> > Men der er noget der tyder på, at klienter kan have forskellige RC4 keys
>> > med WPA-PSK (TKIP).
>> >
>> > Link fra Google books til Gast, 802.11 Wireless Networks, om key mixing:
>> >
>> > <http://tinyurl.com/mso9w2>
>> >
>> > Det vidste jeg faktisk ikke. Jeg troede de var ens. Men om det betyder
>> > noget...?
>>
>> Det er en beskrivelse af WPA. Krypteringen i WPA er den samme som i
>> WEP, men der dannes en ny key for hver frame. Svagheden i WEP består
>> i at når man har et vist antal frames krypteret med samme key, er det
>> relativt nemt at finde key'en. Det er en simpel workaround.
>
> Nej. Krypteringen er ikke den samme. WPA er bagudkompatibelt med ældre
> udstyr.

Der bruges netop RC4 i både WEP og WPA, fordi ældre udstyr ikke kan
klare de højere krav til AES.

>> WPA2 bruger AES i stedet for RC4.
>
> Ja, og...?

Det afsnit beskrev WPA, og er ikke relevant for WPA2.

Mvh
Kent
--
"The Brothers are History"

---

Hvis du går på IronGeek.com, så har han en video om, hvad man kan se
på LAN via et AP. Den er ganske interessant....


On 28 Jul., 11:18, Lars <lars02...@gmail.com> wrote:
> Hvis man kobler en ekstra computer på sit netværk via kabel eller
> trådløst, hvordan er sikkerheden mellem de forskellige computere.
>
> Jeg har læst at man vha en networksniffer kan opsamle ikke-krypteret
> tekst, password osv der bliver udvekslet på en anden computer indenfor
> netværket.
>
> Jeg har selv prøvet at installere Wireshark herhjemme, men den
> opsnapper kun information sendt fra den computer programmet er
> installeret på.