Gepubliceerd: Zaterdag 8 november 2008
Bijna tweederde van de Nederlandse isp's levert een niet of niet voldoende beveiligde router af bij abonnees. En de WPA encryptiestandaard voor WiFi is te omzeilen.
Toon volledig artikel
Inderdaad is een goede handleiding in Jip en Janneke-taal een goede start om de WIFI-beveiliging uit te leggen aan de gemiddelde (niet-technische-Nederlander). Dit geldt uiteraard voor andere ingewikkelde beschrijvingen met betrekking tot computers en dergelijke.
Het zou een heleboel helpen als een accesspoint met een redelijk veilige standaardconfiguratie geleverd werd: WPA aan en een briefje met SSIS en wachtwoord in de doos. Bij een nieuwe auto verwacht je ook niet dat je na aankoop zelf de ABS moet inschakelen.
Afleveren met een gezonde standaardconfiguratie, zodat de "Jip en Janneke" gebruiker veilig kan werken zonder de handleiding gelezen te hebben.
Dat gebeurt al met veel routers van providers. Er zit dan een sticker onderop waar de WPA-sleutel op staat. Probleem is dus wel dat de SSID ook gerandomiseerd is met dezelfde seed (serienummer) waardoor de WPA-sleutel van veel modellen te berekenen is.
Ik snap al die ophef niet helemaal.
Elke provider levert netjes een handleiding bij het modem.
Het grootste probleem is gewoon dat de mensen tegenwoordig niet lezen.
Als je een nieuwe auto koopt, zorg je er toch ook voor dat je eerst weet hoe alles werkt voordat je er mee gaat scheuren?
Inderdaad lezen de meeste mensen hun handleidingen niet meer. Maar draai het eens om: zijn die handleidingen wel te lezen? Ik vind dat veruit de meeste niet goed leesbaar zijn (Jip en Janneke-taal). Nu zijn we ook wel verwend geraakt met de 'plug and play' toepassingen rondom de computers, waardoor de echte noodzaak ook is verdwenen.
Ander issue is dat de meeste apparatuur tegenwoordig zoveel kan, dat je als gebruiker al snel het overzicht verliest. Vraag een gemiddelde Nederlander of ie alle mogelijkheden van zijn mobiele telefoon kent. Goede kans dat 90% zegt alleen de basisfuncties als spraak en SMS te gebruiken.
Ergo: dilemma van de vele mogelijkheden en dito dikke (slechte) handleidingen en niemand die ze leest!
Tegenwoordig hoeft niets meer je eigen verantwoording te zijn.
Wat er ook gebeurt, jij kunt er niets aan doen.
Ja, een apparaat zou zo simpel moeten zijn dat iedereen het koopt en ermee aan de slag kan zonder dat je weet wat je doet. Net als met een auto....ik bedoel computer.......ik bedoel kettingzaag........nah.. affin net als alle andere apparaten die zo eenvoudig zijn.
Hoe meer je met iets kan, hoe ingewikkelder het wordt. Als je iets niet kan bedienen ga je het leren (handleiding en google) of je gaat het niet gebruiken. Wat je ook kan doen is bestellen inclusief installatie. Is wat duurder. Maar je kunt het blijkbaar niet zelf. Ik bel ook een dakdekken en loodgieter terwijl ik bij de G*MMA het spul zo kan kopen.
Je kunt wel alles willen bedienen en dan piepen (in dit geval piept iemand anders voor deze consumenten) dat het niet veilig of ingewikkeld is.
Geloof me. Met je vingers controleren of een draaiende zaag wel goed snijd, blijft gevaarlijk. Je moet wel even de handleiding lezen.
Ik zeg, maak die routers dan maar zo dat wifi niet aan gaat tenzij veilig geconfigureerd. Dan moet de consument de handleiding wel lezen. Zo heb ik het ook geleerd.
Het probleem is dat providers het aanbieden als een product wat simpel te installeren is.
Gewoon aansluiten en het werkt.
De handleidingen van de routers zelf zijn onleesbaar (geprobeerd bij mijn ouders en die snapten er niets van).
De consumentenbond zegt ook dat de basisinstellingen van de routers beter moeten en een betere handleiding voor installatie. Er wordt nu (behalve bij Zeelandnet) overal een handleiding meegeleverd. Als je de installatieprocedure volgt volgens de handleiding zijn de instellingen bij veel providers niet veilig.
Het argument van de handleiding niet lezen gaat hier dus niet op. De oplossing is ook niet zo moeilijk. Gewoon betere handleidingen en de routers met betere basisinstellingen afleveren.
maak die routers dan maar zo dat wifi niet aan gaat tenzij veilig geconfigureerd.
Ben ik met je eens. Dat zou mooi zijn.
Ikdenkhetwel:
Sinds wanneer is een tcp/ip & IEEE802.11 netwerkdevice een simpel apparaat?
Weet wat je koopt, of koop het niet!(of haal er in ieder geval iemand bij je je kan uitleggen wat vooral niet te doen ;-) )
Volgens mij zeggen we hetzelfde. De voorbeelden die ik noemde zul je ook wel niet zo sterk gevonden hebben. Dat was precies mijn punt. Voor een auto vinden we het normaal dat je moet leren hoe hij werkt. Waarom nemen "we" dan aan dat een accesspoint zo simpel is?
Conclusie: Sommige dingen zijn nou eenmaal ingewikkeld tot de fabrikant erin slaagt het simpel te maken. Tot die tijd moet je het leren of laten doen.
Mensen willen graag Wifi omdat ze geen zin hebben om draden aan te leggen of dit lelijk vinden. Persoonlijk zou ik zeggen wil je geen risico lopen neem dan geen wifi.
In het begin was WEP veilig, maar die is ook gekraakt. Toen kwam WPA en die is ook gekraakt. Nu is er WPA-2 of WPA-AES, maar dat zal ook wel gekraakt worden en ga zo maar door.
Als je een normale UTP bekabeling gebruikt hoef je je geen zorgen te maken om de draadloze beveiliging. En hoef je ook geen nieuwe apparatuur te kopen. Iemand die een paar jaar geleden een WEP router of accespoint had gekocht is min of meer gedwongen om een WPA-2 te kopen.
Als je een normale UTP bekabeling gebruikt hoef je je geen zorgen te maken om de draadloze beveiliging.
Maar dan kan die dus wel nog, voor een ieder toegankelijk, open staan.
Hoeveel modems zonder antenne staan er nog in de winkel?
DHCP uitschakelen betekend dus alles handmatig instellen.
Ik mis hier even de Mac-Filters en IP-Filters.
Je kan netjes een lijst maken van alle mac-adressen die je wifi-apparaten gebruiken en je router beperken tot die mac-adressen.
(maar ook dit valt weer te spoofen als men het mac-adres weet).
IP-adressen filteren is wat lastiger bij DHCP dus enigzins kan DHCP uitschakelen helpen als je handmatig al je ip-adressen instelt en een ip-filter instelt , anders is het uitschakelen ervan wat doelloos.
Verder kan je nog het ip-range instellen waarbij je bijvoorbeeld voor maximaal aantal apparaten als range kan aangeven.
Stel ik heb 5 apparaten dan stel ik een range in van 192.168.1.101 t/m 192.168.1.105.
Hoewel dit niet altijd veilig hoeft zijn als 1 apparaat uitstaat betekent er nog 1 externe erop kan die de toegang weet te schaffen.
Verder attendeer ik graag nog iedereen met een Linksys router hun mac-filter goed te testen.
Tot mijn verbazing werkt deze geheel niet.
Ik heb net even een test gedaan:
- mac adressen toegevoegd aan de mac filter.
- 1 mac adres niet toegevoegd om de filter te testen
Resultaat het gaat gewoon dwars door de filter heen.
Firmware is up-to-date.
Betreft de volgende router: Etherfast® Cable/DSL Router BEFSR41 V3
Ik weet niet hoe het met de andere Linksys routers zit ik ga de andere nog testen (welke veel nieuwer is).
Ok ik ben er inmiddels achter blijkbaar heeft Linksys een heel kromme benadering bij die mac-filter voor de router.
Je kan er alleen mac-adressen uitsluiten i.p.v. toelaten ... ik snap niet hoe men bij die belachelijke logica de van omgekeerde wereld komt.
ik heb geen idee wat ik me daarbij moet voorstellen?
Je kunt onmogelijk alle bestaande mac adressen invullen.
Ik neem aan dat je weet hoe een mac-filter werkt.
Normaal gesproken schakel je de filter in en wordt alleen toegang gegeven tot de computer met het mac-adres die in het lijst voorkomt.
Bij deze type router werkt het precies omgekeerd je kan er alleen mac-adressen uitsluiten.
Dit is totaal onlogisch immers weet je andermans mac-adres niet.
Nog een ander probleem bij een nieuwere Linksys is een XP machine verbinden.
Dit heeft gewerkt totdat je mac-filters en SSID Broadcasting uitschakeld.
Linux/OSX hebben hier geen enkel probleem mee, behalve XP die weer eens totaal geen verbinding kan leggen.
Zelfs niet met zero configuration ... dit kan zowel aan XP liggen of aan de USB-Dongel maar die werkte gewoon.
Als je kijkt naar de Airport heeft deze een stukke betere verbinding/stabiliteit en een fatsoenlijk interface.
Puur jammer het zo slecht op elkaar is afgestemd met windows systemen.
als je tig machines er aan hebt hangen, dan is het juist handig om allen die roote appels buiten de deur te houden, ipv al je mac adressen er in te configureren.
Verder niet zo moeilijk doen joh.... Niks mis met Linksys.
Je weet toch niet het mac-adres van alle onbekenden?
Dus het is niet logisch.
Bij de nieuwe Linksys heb je de optie om de lijst te inverteren, dus een keuze.
Bij de oudere niet.
Ook de oudere firmware wordt totaal niet meer door linksys bijgewerkt.
Sterker nog het blijkt dat de nieuwste firmware op hun side een downgrade is op mijn oude router.
Sorry maar ik vind dat een slecht beleid voor een bedrijf die beveiliging aanbied met routers.
precies, ik heb die befsr41 router ook(overigens geen wireless). Ikzelf heb V4.2.
Mooi ding he, ook die priority instellingen enzo. Echter indien je V2 hebt, let op de firmwareupdate. De site bevat een fout bij versie 4.2 selectie, je download dan 4.3 ipv 4.2. Als je die dan gebruikt om te updaten sloop je je befsr41 v4.2. (linksys is hiervan op de hoogte)
Ik denk dat je iets verkeerd hebt ingesteld. Ik heb met mac adres filtering gewerkt en nog nooit de situatie gezien die jij hier schetst. Op die linksys van mij moest ik toch echt de tweede laptop zetten anders was die niet op de router gekomen.
Het uitsluiten van mac adressen is als methode van een dermate stompzinnige aard dat ik het niet eens serieus ga nemen.
Dus tenzij je hard bewijs hebt, ga ik uit van een configuratie fout.
Wacht eens even, er valt hier een kwartje. Je zit in een verkeerd filter te kijken. :)
Op jouw router kan je rules instellen voor wie wel of niet verbinding met het internet mag maken. Dus niet het inkomende verkeer maar het uitgaande verkeer. Daar stel je inderdaad in dat een laptop niet naar buiten mag. Ik kan me voorstellen dat je daardoor in verwarring raakt.
Uit de handleiding:
In the MAC Filter Setting screen, enter the MAC addresses that you want to filter in the MAC address fields. The users with the filtered MAC addresses will not be able to access the Internet. Click the Apply button and the Continue button, before closing the window.
Het lijkt erop dat jou router niet in mac filtering geloofd voor inkomend verkeer, want ik heb zo niets kunnen vinden.
Ja dat had ik al vermeld het ligt aan de opties die de router heeft.
Je kan alleen uitsluitend van mac-adressen.
Het probleem voor windows is ook inmiddels wel opgelost, de limiet moest even verhoogd worden.
Ondanks ik al lang met mijn iPhone er had afgemeld.
Maar goed dat werkt.
Het enige kritische punt blijft de firmware out of date is en geen restricties van toe gestaande mac-adressen kan opgeven.
Verder is het gelukkig met Linux en OSX zo je op bestandsniveau makkelijk lees en schrijfrechten aan gebruikers kan toekennen.
Dus wat betreft die beveiliging is het vrij eenvoudig om het af te schermen met een sterke wachtwoord.
En uiteraard is FileVault een prachtige toepassing om de boel extra te beveiligen.
Ja dat had ik al vermeld het ligt aan de opties die de router heeft.
Je kan alleen uitsluitend van mac-adressen.
Ik zie je het nergens melden, dus ik vraag me af of je het begrepen hebt wat ik bedoel. Maar goed, ik vind het verder ook totaal oninteressant.
Bij deze type router werkt het precies omgekeerd je kan er alleen mac-adressen uitsluiten.
Dit is totaal onlogisch immers weet je andermans mac-adres niet.
Ietsje naar boven scrollen
Ip adres filteren, dhcp uitzetten SSID onderdrukken en een mac filter zijn voor wie dat wil gemakkelijk te omzeilen. Je houdt er misschien de gemiddelde downloader mee tegen, maar iemand die via je netwerk wilt hacken etc. niet.
Een hacker zou toch eerst je mac-adres moeten weten als SSID uitstaat en je firewall in stealthmodus is het al aardig lastig.
Soms is het nog beter om een Linux pc als router in te zetten waarbij je allerlei mogelijkheden hebt.
Dit werd in het verleden nogal vaak toegepast.
Zolang gebruik gemaakt wordt van de netwerk is een tooltje als Kismet en of Ethereal het SSID en een geschikt mac adres te vinden, ook met cloaking. Het IP adres is te spoofen. Er is genoeg info over.
Okee ik ken die tools niet.
Maar als die tools eerst een portscan toepassen heeft het weinig nut op mijn netwerk.
De port IDENT wordt hier namelijk buiten een range geforward en dus geen reply.
What is Kismet
Kismet is an 802.11 layer2 wireless network detector, sniffer, and
intrusion detection system. Kismet will work with any wireless card which
supports raw monitoring (rfmon) mode, and can sniff 802.11b, 802.11a,
802.11n, and 802.11g traffic (devices and drivers permitting).
Kismet identifies networks by passively collecting packets and detecting
standard named networks, detecting (and given time, decloaking) hidden
networks, and inferring the presence of non-beaconing networks via data
traffic.
Ik heb even gekeken naar Kismet het doet me wat denken aan Kiss_Mac ook een soort gelijkte tool voor OSX.
Maar zoals je leest gaat het hier wel om standaard netwerknamen.
Dit kan je dus tegen gaan om onlogische namen of allerlei karaktertekens door elkaar te halen.
Verder geloof ik best het ze wel uiteindelijk lukt daarom heb ik ook een limiet aantal devices aangegeven.
Als ik weet dat ik maximaal 5 apparaten aan het netwerk koppel dan stel ik deze limiet in op 5.
Verder kan je nog met bepaalde Unix/Linux commando's goed bekijken wat er op je netwerk gebeurd en wie/wat/waar is ingelogd.
standard named networks betekent dat het volgens bepaalde industrienormen opgezetten netwerken zijn die een naam dragen, niet dat ze een standaard-naam dragen.
Dit soort tooltjes werkt door de datapakketjes die anders door een kabeltje gaan nu "uit de lucnt" af te luisteren. Gegeven voldoende tijd en rekenkracht valt uit deze pakketjes zoveel informatie te halen, dat SSID, MAC-adressen, etc. kunnen worden achterhaald. Je firewall kan nog zo veilig ingesteld zijn, dat helpt je dus niet, helaas.
Overigens, wat is "buiten een range geforward"?
Het is een trucje voor als je router uit zichzelf niet goed stealth is te krijgen. Waarom routers dat niet zijn is mij niet duidelijk. Het schijnt dat sommige routers altijd antwoorden op een ident (port 113).
De truc bestaat eruit dat je een vraag op een port doorverwijst naar een adres wat niet op je interne netwerk voorkomt waardoor je voor de aanvrager alsnog stealth bent.
Meer info over ident kan je bijvoorbeeld op GRC vinden. Ik denk dat Meltdown veel waarde hecht aan de mening van Steve Gibson. En hoewel ik het idee heb dat die man inderdaad niet dom is, denk ik dat je zijn paniekvoetbal met een flinke korrel zout kan nemen.
Het is geen paniek of weet ik wat.
Maar aangezien ik tevens wat documentatie vastleg hoe je een maximale beveiliging kan neerzetten voor een gemixte netwerk
van Apple/Windows en Linux systemen.
Kortom hoe maak je het iemand lastig.
In hoe ver ga je de router afstemmen en het OS zelf.
Ga je bijvoorbeeld belangrijke documenten gewoon in een documenten map plaatsen of ga je deze in een beveiligde map afschermen
met gebruikers rechten.
Want ik neem aan elk gebruiker zorgeloos ook belangrijke gegevens op zijn computer wil bewaren.
En waarom niet in 1x extreem goed beveiligen dan je te beperken tot de eenvoudige opties.
Ik denk dat je de volgende keer beter eerst kan reageren en dan pas een joint roken. Je vorige reactie was onzamenhangend, maar deze kan ik helemaal geen chocola meer van maken.
Dat is dan pech voor jou.
Maar mag aannemen dat jij toch ook je systemen afschermt?
Zowel op systeem niveau, bestandsniveau en hardware/router niveau?
Allemaal beveiliging die er slechts voor zorgt dat het langer duurt en dus niet echt veilig is. De hacker heeft tijd zat tenzij hij aan het wardriven is.
Ik zou zeggen, zet je wifi in een dmz. Wil je toegang? Inlognaam/ww of VPN. 3x fout? Jammer dan. Jij mag niet meer.
Dan zou het helemaal mooi zijn als het in de router ingebouwd zit.
De slechte beveiliging van de modem/routers die de providers aanbieden is op zich treurig.
Mensen die nog geen draadloze verbinding hebben en een losse draadloze router kopen zijn helemaal de klos omdat bij veruit de meesten ook de beveiliging niet aanstaat.
De beveiliging is dik in orde. De standaard instellingen niet. Maargoed, welke sukkel stelt er dan ook geen wachtwoord in, of verandert het standaard wachtwoord niet. Dat is vragen om problemen.
Over UPnP hoor ik overigens niets? ;-)
Jij gaat ervan uit dat de gemiddelde media markt klant die zo'n doosje aansluit weet wat je allemaal kan instellen. Die vindt het waarschijnlijk al heel wat als hij de router aan kan sluiten en draadloos het internet op kan met z;n laptopje.
Maar in principe kun je wel meer doen. Zoals DHCP uitschakelen: een systeem dat automatisch netwerkadressen (IP-adressen) uitdeelt. Ook ongewenste bezoekers krijgen een IP adres. Je kunt ook SSID uitzetten. De afkorting SSID staat voor Service Set Identifier (SSID) en zorgt ervoor dat het Access Point zichtbaar is. Een beetje hacker weet echter ook hier raad mee. Je kunt ook filteren op MAC adressen. Dan zorg je ervoor dat alleen specifieke netwerkkaarten toegang krijgen tot het netwerk.
Allemaal onzinnige lapmiddelen.
WEP en WPA (niet WPA2) zijn allang lek, en een ieder behoort dat te weten.
Men kan het IP address eenvoudig handmatig configureren. Moeilijk hoor. Even denken. De gateway heeft dit IP. Waarschijnlijk route-ie een /24. Nou een DNS server kun je vast ook bedenken. En klaar. Het feit dan een ongewenste bezoeker een IP adres krijgt ligt aan het feit dat de ongewenste bezoeker blijkbaar toegang heeft tot het AP. Met WPA2 en een goed wachtwoord zou dit nooit gebeuren! SSID verbergen is ook onzin. Mac address is ook eenvoudig te clonen.
Het is simpel:
*) Je zet een goed wachtwoord op je router (aka modem).
*) Men gebruikt enkel WPA2 dmv een goed wachtwoord.
De firmware zou hierbij kunnen helpen dmv de gebruiker te forceren deze adviezen op te volgen, of dmv een wachtwoord generator. Hier zouden ISPs op in kunnen spelen.
Een andere oplossing is:
*) Mogelijkheid VPN opzetten met modem. User authenticatie via WWW interface of liever via SSH (dingen gebruiken helaas nog steeds telnet). Dan toestaan dat IP address en dat Mac address een VPN op te zetten. De rest van de verbindingen worden allen geblokkeert. Nadeel is dat men kan proberen de WWW interface of SSH server te kraken. Maar anders is de zwakke plek WPA2. Toestellen die geen WPA2 ondersteunen kunnen misschien middels deze optie toch een veilige verbinding opzetten.
Alle hardware die dit niet ondersteunt is een zwakke schakel in het netwerk en zou niet gebruikt mogen worden.
Zoals jezelf aangeeft een mac-adress is eenvoudig te clonen.
Met een sniffer programma kan je die bij veel routers gewoon al uitlezen.
Juist daarom is SSID wel nuttig omdat dan niet iemand zomaar je mac-adres kan uitlezen.
Juist daarom is SSID wel nuttig omdat dan niet iemand zomaar je mac-adres kan uitlezen.
Klok...klepel.
Het niet meesturen van het ssid door het AP heeft totaal geen invloed, zodat er gebruik gemaakt wordt van het AP dan gaan zowel het SSID als de betrokken MACs unencrypted door de ether.
Dus wordt het lastiger ....
En aangezien het signaal buitenshuis te zwak is om zomaar af te luisteren ... "neem aan jij geen mensen zomaar in je tuin toelaat om je AP te gebruiken" ... is de veiligheid wel te waarborgen mits je vervelende buren hebt.
Dus mocht er iets bijzonders uitlekken dan weet je waar je moet zijn.
Maar goed ik gebruik WPA 2 en geen WPA.
Dus wordt het lastiger ....
Alleen als je een hele domme hacker bent. Een ssid is niet meer dat een leuk naampje om te voorkomen dat je het mac adres van je router moet onthouden. Net als een url (www.webwereld.nl) een leuk naampje is voor het ip adres (213.244.172.180). Dus het uitzetten van van het ssid is maar van een heel beperkt nut.
En aangezien het signaal buitenshuis te zwak is om zomaar af te luisteren ...
Hoe kom je nu weer op dat zotte idee? Als ik de laptop aan zet dan heb ik hier binnenshuis zo al een stuk of 6 accespoints. En met een beetje richtantenne kan ik er waarschijnlijk nog wel een paar aan toevoegen. De range van een WiFi signaal ligt ergens tussen de 30 en 100 meter met standaard apparatuur, dus tenzij jij een enorme tuin hebt zal je voor misbruik toch iets verder moeten kijken dan alleen de buren.
Je kan toch een signaalsterkte aangeven? althans bij de Airports wel ... zeer handig!
Het signaal word veel te zwak aangezien er ook nog betonnen muren tussen zitten en andere elektrische apparatuur welke vaak al een signaal storing op die afstanden veroorzaakt.
Tja, maar dan moet je het signaal sterk genoeg houden om door het gewapende beton van je verdiepingen te komen tot je werkzolder. Maar aan de andere kant gaat het dan probleemloos door een raam, op de begane grond, naar drie huizen verderop.
Hij heeft wel een punt. Ik heb mijn antenne zodanig afgestelt dat ik precies in mijn hele huis, tuin, en oprit verbinding heb. In hoeverre mijn buren mee kunnen genieten weet ik niet. Maargoed, dat is meer afwerking. Erg nuttig is het niet; je moet gewoon WPA2 (of VPN) gebruiken, met een goed wachtwoord. Dit is de meest eenvoudige en effectieve beveiliging. De andere opties zijn lapmiddelen.
Ik heb mijn antenne zodanig afgestelt
Het kan, dat ontken ik ook niet. Maar ik denk niet dat de gemiddelde Jan met de Pet gaat controleren of hij voor op straat nog verbinding heeft. Sterker nog, een collega van mij heeft kabels getrokken zodat hij storingsbron kom omzeilen waardoor hij niet in de tuin kon internetten.
Toch blijf ik bij mijn standpunt: Providers moeten stoppen met wifi modems leveren.
gewoon ethernet modems(met kabel).
Indien de burger wifi wilt laat deze dan zelf zo'n device kopen(hint Fonera!). Dan verdiept deze zich in het apparaat(weet wat je koopt, of koop het niet). Want dan heb je een beknopte & uitgebreide gebruiksaanwijzing, en een cd met configuratie wizard, dus wat wil je nog meer.
In de meeste gevallen is misbruik bewerkstelligd door de beheerder van de wifi device. Door onkundige/onjuiste configuratie.
Tevens zijn er meer isp aansluitingen dan wifi kanalen in dichtbevolkte gebieden, dus isp, gewoon kappen met wifi modems leveren, scheelt je een hoop gezijk.
De techniek gaat ten onder door de NOOBS die maar niet weten hoe gebruiksaanwijzing/forum/knowledgebase/wikipedia te gebruiken. (internet kan ook educatief zijn hoor).
Toch blijf ik bij mijn standpunt: Providers moeten stoppen met wifi modems leveren.
Goed idee, dan kopen mensen zelf wel zo'n ding bij de Dixons. Dan heb je nog meer routers die op fabrieksinstellingen blijven staan.
Er kunnen ook openbare WiFi-netwerken aangelegd worden zodat niet ieder voor zich een netwerk hoeft aan te leggen. Dat kan in zelfbeheer zoals bijv. Loboxnet, Wireless Leiden en Wireless Emmer-Compascuüm doen. Maar de geest om in eigen beheer collectief iets te doen wordt door de ISP's bij voorbaat gedwarsboomd door de bepaling in hun leveringsvoorwaarden dat je je verbinding niet zou mogen delen. Wat je wel mag is flink dokken voor het inloggen op commerciële hotspots in binnen- en buitenland terwijl je nota bene al diep in de buidel moet grijpen voor je eigen internettoegang. En daar bedotten ze je vervolgens met draadloze routers die zogenaamd de wereld voor je open leggen.
Kortom negeer nou eens die bedotpolitiek van je internetprovider en sluit een FONera aan, leer een meshing netwerk aan te leggen (Freewlan, Open WRT, hint hint) en maak dat WiFi wel werkt voordat LTE en WiMAX duurbetaald gemeengoed worden.
Ik snap je betoog, maar leg me nu eens uit hoe dat in zijn werk gaat? Moet ik dan mijn verbinding openstellen voor de hele buurt? Moet ik mijn verbinding, waarvoor ik betaal, belangeloos open zetten voor een puistig jongetje drie huizen verderop die er een bittorrent verbinding op wil laten draaien waardoor ik nergens meer genoeg bandbreedte voor heb?
Ik weet dat je op een FONera bandbreedte limieten kan instellen, maar dat betekent waarschijnlijk dat de dodo van drie huizen verderop het verpest voor iedereen behalve mij. En dat die dodo er het hardste over klaagt dat ik die limieten heb ingesteld.
Vanuit idealistisch oogpunt heb ik bewondering voor je, maar ik denk niet dat dit zonder overheidsinmenging een succes gaat worden. Daarvoor is het narcisme te populair op dit moment.
Zoals je weet mag de overheid in zaken die het bedrijfsleven of ander (!) particulier initiatief ook zou kunnen realiseren geen initiërende of hoofdrol meer spelen. Dat vloeit voort uit de door de EU verboden staatssteun aan bedrijven. Dus die mogelijkheid kun je over het algemeen uitvlakken; alleen SURFnet, een ISP voor onderwijs- en onderzoekscentra, inmiddels uitgebreid tot culturele instellingen, opgericht door het Ministerie van Onderwijs, ontplooit onder overheidshoede initiatieven op het gebied van draadloze internetwerken middels Eduroam.
Het narcisme en het daaruit voortvloeiende misbruik van openbare dan wel collectieve middelen kan enkel gechargeerd worden door sociale controle en sociale sancties. Kortom: isoleer die geek/nerd sociaal, laat die persoon voelen dat dat soort egocentrisme afgekeurd wordt.
De grote niet-egocentrische maar berekenende meerderheid kun je overtuigen met argumenten als "overal kunnen internetten, in binnen- en buitenland, binnens- en buitenshuis" (vooralsnog alleen waar er FON Hotspots in werking zijn), na het voldoen van een bijdrage ten behoeve van de collectieve internetvoorziening. In feite verandert er niets, totdat men ontdekt dat er geen elkaar storende hotspots meer zijn, men nooit meer roamingkosten hoeft te betalen of een eigen router aan te schaffen, men zich nooit meer zorgen hoeft te maken over een slecht beveiligde verbinding (de MyPlace op een FONera heeft standaard WPA2 - en deelnemers aan het project krijgen een MyPlace-inlogcode; de passerende inlogger is ofwel al bekend bij FON want heeft een hotspot draaien, dan wel wordt centraal in Alcobendas, een voorstad van Madrid, waar FON gevestigd is, gelogd) of verouderde software op de draadloze routers daar FON deze op afstand automatisch update.
Daar staat natuurlijk wel tegenover dat deskundige lieden het netwerk opzetten en onderhouden, die ook nog eens administratief, bestuurlijk en financieel uit de voeten kunnen met de hen toebedeelde collectieve verantwoordelijkheden.
Maar ik kan er een hoop woorden aan besteden, beter is het eens een kijkje te gaan nemen in Leiden, de Utrechtse wijk Lombok of op het Zuidoostdrentse platteland (website normaliter hier te vinden maar helaas gemold door een overmoedige tiener) gedurende een Wireless Power Kamp (zie hier de website van het evenement in 2008). Of in het buitenland, bijvoorbeeld in de plaatsen opgesomd in deze lijst op de FON Wiki. Wil je zo'n project beginnen in bijv. een Vinex-wijk met een glasvezelnetwerk kun je steun zoeken bij FON-City.
Het narcisme en het daaruit voortvloeiende misbruik van openbare dan wel collectieve middelen kan enkel gechargeerd worden door sociale controle en sociale sancties. Kortom: isoleer die geek/nerd sociaal, laat die persoon voelen dat dat soort egocentrisme afgekeurd wordt.
Aangezien narcisme op dit moment meer de norm dan de uitzondering lijkt, zie ik dit niet gebeuren. Ik vind de gedachte mooi, maar ik moet nog zien of het een succes wordt. Ik geef toe dat ik op dit gebied een pessimist ben en dat ik graag blij verrast wordt. :)
Het begint bij consequent zelf niet narcistisch te doen. Ik weet dat altruïsme verbaast en dat er velen zijn die je maar al te graag (om die reden) misbruiken. Totdat blijkt dat de altruïst meer vrienden heeft gemaakt ...
Als je je buurt wilt voorzien van een wireless zonder last te hebben van leechers, dan moet je dus aan accounting doen. Dit doet FON ook, maar aangezien je zelf geen invloed hierop hebt en FON "broken by design" is moet je dus zelf de infrastructuur hiervoor opzetten:
-een radiusserver
-een authenticatie database
-wpa(2)-eap capabele accesspoints
Hiermee heb je de wireless equivalent van 8021.x.
De buren krijgen elk een eigen login/passwd, de radius server geeft wel of geen toegang indien de gebruiker nog binnen de gestelde limieten is (tijd of verbruikte bandbreedte (in te stellen per gebruiker indien gewenst)), indien de gebruiker over zijn limiet heen gaat tijdens een sessie wordt de verbinding netjes getermineerd.
Als de radius server toegankelijk is vanaf het internet kan je op andere plekken in de buurt extra APs neerzetten om meer mensen te voorzien en toch centraal de benodigde accounting doen.
FON werkt ook zo maar aangezien het een vrijwel totaal onbeveiligt netwerk is (de enige beveiliging is MAC filtering) is het misbruik door kwaadwillenden een groot risico (vooral voor de legitieme gebruiker die aansprakelijk wordt gesteld voor de illegale praktijken die vanaf "zijn" MAC plaatsvonden (ALTIJD uitloggen))
Ik zie alleen die authentificatie database als een hobbel. In feite zeg je daarmee dat je geen openbaar netwerk aanlegt maar eentje voor (buurt)abonnees.
Je wordt er geen ISP-er door maar wel een netwerkbeheerder en in al die adminstratief-technische zaken moet je maar zin hebben.
Het is niet zo dat de aanbieder van een openbare WiFi-verbinding geheel verantwoordelijk wordt gesteld. Wat er gebeurt is dat men bij die aanbieder komt nazoeken of dat degeen is geweest die het misbruik pleegde. Zoniet ga je vrijuit want in ons rechtstelsel is het nog altijd zo dat je onschuldig bent totdat bewezen is dat je schuldig bent - tenzij in de wet is omschreven dat er een omkering van de bewijslast mag gelden; dat hangt af van het soort gepleegd misbruik.
Dat je ISP kan gaan piepen is een ander verhaal. Ik denk dat ze wel wijzer zullen wezen want als ze die aanbieder afsluiten en dat in de publiciteit komt (en dat komt het, reken maar op de internetgemeenschap) stappen horden abonnees op bij zo'n ISP. En neem van mij aan, "ISP Nederland" vormt echt geen gesloten front in dit opzicht, ook al hebben ze allemaal een anti-sharing clausule in hun gebruiksvoorwaarden gezet.
Overigens voorkom je ook met dat abonneeverhaal geen misbruik. Want ken jij je buren van binnen en buiten? Ik niet, zou het niet willen, in wederzijdse vorm!
Even navraag gepleegd in de FON Community, maar als je Freewlan downloadt op je FONera (de gewone die niet meer via FON maar wel via andere kanalen nog volop te krijgen is) kun je die authentificatieserver gewoon op je router draaien. Je doet daar wel mee tekort aan het openbare wereldwijde community idee van FON.
Ja, en moet je ook gaan loggen. Ik denk dat je dan beter alles meteen over TOR kunt laten lopen.
Overigens hangt het ook af van waar je woont. De ene lokatie (druk kruispunt in het midden van de stad) is populairder dan de andere (afgelegen, nette buurt).
Wat ik nog mis in de hele discussie is dat je ook altijd nog UMTS/HSPA internet kan nemen. In dit geval hoeft de eindgebruiker helemaal niets in te stellen, want dat is inherent aan het systeem al beveiligd. De kosten zijn misschien wat hoger, maar het heeft ook wel weer voldoende voordelen om die prijs te rechtvaardigen.
Een commentaar van de ontdekkers van het WiFi-beveiligingslek, ontlokt door WiFi-journalist Glen Fleischman, wil ik de lezers niet onthouden:
The flaw in WPA is minor but important, and won't affect home users or most networks (yet): I spoke yesterday to Eric Tews, one of the co-authors of a paper covering a WPA flaw that he'll present next week in Japan at PacSec, a security conference. Tews and his collaborator Martin Beck, who discovered and tested the flaw, found that it's possible to use weaknesses that remain in WPA's TKIP encryption type (the weaker of two available in WPA2) to decrypt certain data.
I wrote about this at great technical length at Ars Technica but let me provide the high-level summary here.
The flaw is not a generic crack: it doesn't allow a WPA key to be recovered, nor does it work on all data passing the network. The flaw only affects packets encrypted using the TKIP system, which is a backwards-compatible upgrade to 802.11's original WEP system. It's also only possible at this point to recover the original text for short packets--those with predictable contents that are quite short. And it requires the use of 802.11e, the Quality of Service (QoS) standard that prioritizes voice and streaming data above that of normal data to provide voice quality and avoid video and audio stuttering.
With the Tews/Beck technique, short packets with mostly predictable content can be cracked through first applying a WEP-style crack that gets an attacker most of the way there, and then using a very slow method of determining the value of the remaining unknown bytes. This allows the keystream--the cryptographic overlay used to encrypt data as it flows, not the network key itself--to be recovered and used to "replay" arbitrary data, such as a changed packet. While TKIP includes replay protection, the graduate students found that the QoS queues would let them replay the same keystream, sidestepping this protection. (Their flaw discovery is very very clever, combining the use of three interrelated protocols' weaknesses.)
The solution for the flaw at present is to use AES, an encryption option that's part of WPA2 (and 802.11i, the underlying standard). If your network comprises all WPA2 devices, which nearly all equipment sold starting in 2003 is capable of, then you can opt to set routers to use just the AES type. For home networks or small offices, this would mean choose WPA2-PSK or WPA2 Personal in most cases. (While Windows lets you choose to identify a WPA2 key as TKIP or AES, the router is what controls which algorithms are acceptable.)
And because the crack potentially allows only the injection of changed packets for very specific network stuff, it's likely that you'd never see this used against a home network because there's very little you could do with such a flaw. On a corporate network, someone might try to redirect traffic through certain kinds of short forged messages, and that could be a problem.
However, corporate networks should be using robust enough equipment that the keys used for network communication are frequently swapped out, which disrupts this crack; and corporations may already have standardized on WPA2's AES, which is immune to any attack of this kind.
In the end, you should be wary, but not freaked out. Switching to AES has a price: older computers won't be able to join your network. But in 2008, the odds are increasingly low that anyone concerned about security would have a Wi-Fi adapter so old that it couldn't use WPA2.
Een veel diepgaandere uitleg geeft Fleischman op 2 pagina's op Ars Technica, zie blz. 1 en 2.
Het verbaasd me dat er weinig begrip is voor mensen die hun netwerk niet willen beveiligen.
Beveiliging moet wel een optie blijven, het kan namelijk in bepaalde gevallen veel makkelijker zijn om een onbeveiligd netwerk te hebben.
Als je je internet dan toch wil beveiligen kun je natuurlijk gewoon kabels trekken, of misschien dat aluminiumfolie om je huis ook helpt
Omdat je niet alleen op internet zit.
Beveilig jij je netwerk niet en koppelt het wel aan het internet dan maak je jezelf kwetsbaar.
En zodra hier crackers misbruik van maken ben je ook een gevaar/last voor anderen.
Cracker a maakt bij voorbeeld een achtergrond programma die vanaf jou netwerk spamruns draait.
Maar jij hebt niks door omdat je niks beveiligd hebt.
Hetzelfde is jij rijd iemand aan die geen autogordel omheeft, ondanks degene geen autogordel om had kunnen de gevolgen wel heel ingrijpend zijn op jou leven.
Spammers hebben genoeg botnets top hun beschikking. Daar gaan ze je netwerkje niet voor gebruiken. Het probleem zit meer in personen die je netwerk gebruiken om anoniem te hacken en criminele acties uit te voeren. Dan nog kun je je afvragen of je verantwoordelijk zou moeten worden gesteld voor wat anderen via jou netwerk doen. Het is maar net waar je vanuit gaat.
Tja maar je wil toch juist niet dat jou netwerk voor criminaliteit gebruikt wordt?
Als iedereen zo eenvoudig erover gaat denken maken we het ze wel erg makkelijk.
Het is zeker wel een stukje eigen verantwoordelijkheid.
Dat staat geheel los van of je aansprakelijk gesteld kan worden of niet.
Maar ook gezien uit morele verantwoording.
Spammers hebben genoeg botnets tot hun beschikking.
Er worden dagelijks zombies in het botnet opgeruimd, dus zijn spammers constant op zoek naar nieuwe computers die misbruikt kunnen worden. Plus natuurlijk het feit dat je botnet nooit te groot is. Het is een misvatting om te denken dat een botnet een statische groep is.
Gratis meesurfen is inderdaad niet zo erg, en best handig als je in een wildvreemde stad even ergens je mail wilt ophalen,
Zoveel gedaan toen ik oefening was met het leger of op vakantie. In Finland, Frankrijk, Duitsland, Noorwegen, Ierland. In Noorwegen is het een paradijs voor de mee-surfer.
Overigens nooit iets veranderd of ingekeken.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
