safir

Mina två cent

Att diskutera piratkopiering tror jag är nyttigt och det enda sättet att undvika en total låt-gå situation. Piratkopieringen blir inte mindre för att man förbjuder en diskussion på 99mac eller kastar ut Laseranders. Visst, ingen ska uppmana till piratkopiering men det är inte samma sak som att diskutera piratkopiering.

Danne V har förfasat sig över några av de trådar där Laseranders diskuterat piratkopiering. I de trådar jag själv sett så har "inlägg på gränsen" möts av ett direkt och omedelbar respons från olika medlemmar som med olika tydliga argument påpekar de negativa konsekvenserna av piratkopiering. Den diskussionen tror jag faktiskt leder till att fler verkligen tänker till på vad man sysslar med när man piratkopierar och inte bara gör "som alla andra" i slentrian. Av denna anledning vill jag att debatten ska fortgå. Ni som programutvecklar kom igen istället med konkreta konsekvenser av piratkopiering så förstår folk bättre vad det handlar om. Musiker likaså.

Däremot ska 99mac inte vara moralpolis och utesluta folk av anledningar att man diskuterar kontroversiella ämnen så länge man håller sig inom forumets regler (i detta fallet inte uppmana till piratkopiering). Att utestänga folk som diskuterar p2p-program är ju lite märkligt då p2p-program inte är olagliga (inte ens att hämta hem .mp3, däremot är de som lägger ut filerna lagbrytare). Att i det läget komma och påstå att alla som diskuterar p2p-program ska uteslutas för att "man vet ju vad dom är till för" håller inte.

Enda sättet att motverka piratkopiering är att konstant föra diskussionen och därigenom förhoppningsvis få folk att förstå konsekvensen av sina handlingar.

Jag har aldrig haft sådana problem med iPhoto. Jag raderar alltid själv från kameran och tillåter inget program att radera i kameran (vilket var oraken till de beskrivna problemen). Och då funkar det utmärkt även om den tidigare versionen varit ...hmmm ....långsam (understatement).

Det verkar vara några linux-fanatiker som ligger bakom detta. Masken ropar nämligen va 1024 millisekunder på sco.com med frågan "GET / HTTP/1.1" Detta anrop görs från varje infekterad dator, världen över.

Nån som är sur på SCO???

Och helt rätt detta funkar icke på Macar, möjligen om nån sitter med VPC och nån windblows-utgåva kan man drabbas.

Ja, är WEP-krypteringen tillslagen men rätt kryptonyckel ej inmatad (alltså överenstämmande mellan basstation och klienten) så får man problem som liknar de som beskrivs.

Lösningen är att vara säker på att det är rätt nyckel som är inmatad i klienten, och som har sagts i andra trådar, använder man en tredjepartsbasstation kan man bli tvungen att förklara för macen att nyckeln skrivs i 40/128-bitars hexadecimalt, vilket man väljer i en draglist. Då brukar det funka utmärkt (detta förutsätter att man har koll på huruvida ev. filtrering av MAC-adresser är tillslagen på basstationen).

Om du använder de inbyggda funktionerna i OS X så är det som du beskriver. Vad man då kan göra är att installera en alternativt GUI för att administrera brandväggen oberoende av inställningarna i fildelning. Ett exempel på sådan GUI-brandvägg är Brickhouse.

Det låter väldigt mycket som att ni inte får nyckelhanteringen i WEP att snurra som den ska. Är ni säkra på nyckelhanteringen funkar??

Alltför många är jag rädd.

Angående den sista länken så skulle jag vilja göra några kommentarer på lite olika ställen.

"The basic problem is that anyone with a $200 Linux box, a $60 wireless card, and AirSnort (free) can hack into a generic_ encrypted WLAN. If encryption is 40 bit and network traffic is veryheavy, this takes about 30-60 minutes. Heavy traffic and 128 bit takes 1-6 days to crack. Light traffic (home use) and 128 bit takes 6-12 months for enough packets to pass through (and who would bother?)."

Kanske det, men man ska tänka på att räckvidden ofta är MYCKET begränsad för en sådan här utrustning. Men, visst sitter det en potentiell hacker inom den räckvidden så okej för det då!

'AirSnort requires approximately 5-10 million encrypted packets to be gathered. Once enough packets have been gathered, AirSnort can guess the encryption password in under a second."

Huruvida det tar unbder en sekund eller inte är irrelevant, men det är rätt att det måste till ytterligare säkerhetsåtgärder för att man ska få till ett godtagbart skydd.

"Effective Strategy I"

"Buy a proprietary solution that provides better security. The most standard of these "non-standard" solutions basically use Public Key standards (Kerberos) to update the WEP clients with new 128 bit WEP encryption passwords every few minutes."

För en normal Svensson håller jag inte med, gör istället allt du kan göra så kan du få en hyfsad säkerhet som säkert är tillräcklig för dom flesta.

"Generally Effective Strategy II"

"Enable WEP, and insist on 128-bit WEP capability._ Nearly all Wi-Fi certified product ships with at least basic (crummy, 40 bit) encryption capabilities, but they're disabled by default. You need 128 bit."

Det är rätt

"Only purchase access points that have flashable firmware -- in case fixes ever emerge."

Irrelevant, alla basstationer går att nollställa om man så skulle vilja (hårt)

"Don't do backups over a WLAN, in fact, don't do heavy traffic. (WLAN's are too slow for heavy traffic anyway.)"

Irrelevant, står man ut med att det tar tid så kör för det. Antar att han syftar på att det skulle kunna gen material för att knäcka nyckeln. Om man är orolig för det, byt nyckel efter backuptagning....

"Change your WEP passwords every 2-3 months (so traffic sampling won't build up enough data)"

Okej för det även om det för en vanlig Svensson kanske är lite häftigt, men okej för det då.

"Tighten up all your shares with solid passwords and don't use any software that would pass those passwords over the LAN. Assume, in other words, that your LAN is public"

Riktigt, vill man skydda känslig information på nätet kan man alltid textskydda det med tex ett filkrypto (tex. PGP).

"Change the default password on your access point or wireless router."

JA, viktigt, alltför många låter admin med lösenord "1234" ligga kvar. Ren katastrof säkerhetsmässigt.

"Consider moving your WAP into a "DMZ" or limiting WAP access to Internet services only. This makes the WAP less useful (can't access wired LAN assets from your wireless client), but it's much safer."

Det är ju väldigt säkert men det finns ju också den lite enklare möjligheten att slå till brandväggar på alla klienter bakom basstationen samt med inloggning. Då blir det genast svårare att göra något även om man skulle komma in på det lokala nätet.

"Known Ineffective Strategies"

"These probably only work against a very naive attacker, and they'd be defeated by the WEP encryption anyway."

"You need to change the WLAN_ SSID to something distinctive to enable users to easily move between WLANs. Since WAPs usually broadcast the SSID, others will see it - so don't give it a name you don't want others to see. If your access point can disable SSID broadcast (mine cannot) you can make it a kind of cheap, crummy, easily defeated password. If you want to do that don't change the SSID to reflect your company's main names, divisions, or products. Don't change the SSID to your street address. If you try this feeble method, the client SSID must be manually set to match the WLAN SSID. I don't think it's worthwhile."

Rätt, detta här vi beskrivit tidigare i tråden.

"Many access points allow you to control access based on the MAC address of the client NIC attempting to associate with it. Enable this. (But packet analysis will pick up MAC addresses, so this is probably pointless unless one doesn't even use WEP. It's probably more bother than it's worth."

Helt fel, det höjer ribban lite till och är väldigt enkelt att implementera. Kan vara tillräckligt för att en hackare inte ska orka bry sig utan fortsätter leta efter en vidöppen basstation istället.

"If you're deploying a wireless router, think about assigning static IP addresses for your wireless NICs and turn off DHCP"

Ja, fungerar bra så länge det är statiskt läge vad gäller klienter. Är det så att klienter kommer och går så är det ett pyssel att hålla på med hela tiden.

"If you're using a wireless router and have decided to turn off DHCP, also consider changing the IP subnet. Many wireless routers default to the 192.168.1.0 network and use 192.168.1.1 as the default router, if hackers guess this configuration they can connect with a fixed IP"

De enda serier man ska använda är dom som inte få användas på nätet för att undvika fölrvirring, dessa är 192.168.X.X, 169.X.X.X och 10.10.X.X. Sistnämnda är inget bra att använda då telia av någon outgrundlig anledning använder denna.

"Consider using an additional level of authentication, such as RADIUS, before you permit an association with your access points, or if you need only one AP (home) disable association if possible. Orinoco access points, for example, can enforce RADIUS authentication of MAC addresses to an external RADIUS server. Intermec access points include a built-in RADIUS server for up to 128 MAC addresses."

Få basstationer i hemmiljöer har möjligheter liknande RADIUS.

"Look for products that support additional security features that are either not defined by the 802.11b standard, or not mandated by the standard. For example Agere Systems' Orinoco access points include a feature called "closed network". With Orinoco's closed network, the AP doesn't broadcast the SSID, so someone using NetStumbler won't see it. The client workstation must be configured with a matching SSID to associate with the AP. The default "ANY" configuration wouldn't associate with a closed network."

Då måste man kolla noga så att man verkligen vet att dessa specialfunktioner verkligen funkar på våra Macar. Skulle kunna vara VPN eller WPA tex.

"Locate access points toward the center of your building rather than near the windows to reduce external emissions."

Man kan ofta inte välja var basstationen ska sitta då det ofta hamnar i anslutning till första uttag i ADSL eller kabeluttag eller motsv. Men visst ligger det lite i det. Men om man placerar basstationen så den ger sämre mottagning (lägre kvalitet) sjunker också hastigheten, detta gäller även för alla säkerhetsfunktioner du lägger på. Med max. säkerhet sjunker den praktiska nyttolasten i ett nät ner till cirka hälften mot angiven standard.

När du aktiverat Airport går du till Airport-ikonen i den övre listen (högst upp på skärmen). Du väljer ditt nätverk i listan. Då syker en ruta upp som heter "ange lösenord". Överst i rutan står det "trådlös säkerhet", det som är standard är att den står i läge WEP-lösenord. Klicka på den och du får ytterligare tre val att välja mellan 40/-128 bitars hex. 40/-128-bitars ASCII samt LEAP. Välj 40/-128 bitars hex. Skriv in ditt lösenord i hex, i 128-bitar innebär detta att det måste vara 26tecken. Hexlösenordet hittar du i ditt webbgränssnit för basstationen, sannloikt under "advanced" och "wireless".
Använd den hexkombination som står vid "key1". Spara lösenordet i nyckelringen (kryssa i rutan i "ange lösenord")

Detta förutsätter såklart att basstationen står i läge 128-bitars WEP.

Voila, nu ska det funka (iaf vad gäller kryptering). Sen tillkommer ju MAC-adressfiltret med det har du väl kläm på redan?

Må ju så vara,men aktiverar vi våra skydd bakom basstationen på klienten så kommer han ju inte åt nåt viktigt. Som mest kan han ju då bara använda anslutningen ut, vilket i sig kan vara allvarligt om det är någonting elakt han tänker ägna sig åt (då det ser ut som någon annan som gör det utåt).

Du ska ställa Netgearen på 128-bitars WEP. Du ser antagligen fyra nycklar (1-4) i hex. Nyckel 1 tar du och skriver in i dina nätverksinställningar under Aiport. Observera att du måste markera att det är 128-bitars hex som anges. Sedan ska det funka.

Förutom WEP och MAC-adresseringsfiltret så bör du också dra igång din interna brandvägg på dina klienter bakom Netgearen för att förhindra att någon kan ta sig in där.

Kontrollera att du har inloggning tillslagen för alla som nyttjar datorerna.

Kontrollera att du inte tillåter anslutning till dom olika klienterna utan inloggning och lösenord.

Se till att välja ett lösenord om minst sex bokstäver varav åtminstone 1-2 st. bör vara "konstiga" tecken, typ %*!?\€$£& eller motsvarande.

Ett litet extratrick man kan testa med är att "blanka ut" SSID-namnet. Funkar det utan att det står något i SSID har man gjort det betydligt svårare för en hacker då nätet inte längre syns när man scannar.

Behöver man ha mer säkerhet än så här ska man nog överväga att kommunicera med VPN istället eller köpa en annan basstation som stöder WPA.

Anledningen att man är lite osäker är ju att dessa inställningar gjorde dom om i och med införanet av Panther.

Om man går in via systeminställningar-nätverk-airport så har man två val att välja mellan. Antingen väljer man "automatiskt" under förvalt nätverk eller också väljer man "ett specifikt nätverk". Om man väljer det sistnämnda kommer det att innebära att du måste gå upp till airport-ikonen och välja just det nätverk du vill ansluta till i en lista över nätverk. Väljer du istället "automatiskt" så ska den komma logga på automatiskt på ditt nätverk. Testade på min PB här och bootade om den för säkerhets skull och den loggade på snyggt och fint. Samma sak ifrån viloläget.

I Jaguar var inställningarna annorlunda, där skulle man kryssa i "anslut till senaste nätverk" i inställningrna under airportikonen för att datorn skulle fatta att den skulle återansluta automatiskt vid bootning eller efter vila.

Nu sitter jag lite taskigt till så jag kan inte ge dig de exakta inställningarna. Men när du är uppkopplad mot ditt nätverk kan du under inställningar för Airport på klienten få den att ansluta automatiskt när maskinen vaknar ur vila eller startas upp. Om du behöver kan jag mer exakt beskriva detta ikväll när jag kommer hem och har möjlighet att titta på mina inställningar.

Oavsett om din station ska uppdateras eller inte gäller följande:

OM basstationen ska uppdateras så är det .bin-filen som ska laddas ner till apparaten. Att försöka packa upp denna .bin-fil går alltså inte. Detta har inget med Mac att göra.

Att ditt kort är ett 802.11g-kort ska inte spela någon roll, bara att det går långsammare.

Följande saker ska man alltid kolla:

Har du kryptering tillslagen, är det kryptering som stöds av bägge apparater. Har du rätt nyckel inskriven i klienten jämfört med swirchen. Observera att du skriver in nyckeln i regel i hex-format.

Kolla MAC-adresseringsfiltret om det är aktivt i switchen. Finns G5:ans MAC-adress med där? Om nej lägg dit den.

Kan svära på att problemet är någon av dessa två.

Jag skulle önska att man gjorde lite grundläggande jobb här
istället för att direkt hoppa på olika slutlösningar. Följande skulle jag vilja ha uträtat INNAN man börjar spekulera i program, databaser, hårdvaror etc.

Vad är målet med förändringen? (vad vill man uppnå, vad är viktigt, vad är mindre viktigt, vad är absolut krav)

Processbeskrivning för hur man jobbar räknar jag med att Anders underlag räknas som.(med ev. kompletteringar)

Budget

Vilka styrande urvalskriterier finns? (tex. Internet kan/får inte användas för spridning, inköp av iPod är inte aktuellt etc.). Listat snyggt och prydligt.

Sen är det dags att välja teknik på principstadiet (arkitektur)

När allt detta är framtaget är det nog lite lättare att titta på tekniska lösningar. Alltför många hoppar över dom första bitarna i ett projekt och börjar direkt bygga fast sig i tekniska lösningar som bara gör att man får stora problem i slutet.