Besserwisser
· Västra Götalands
· 11 200 inlägg
Vad jag har läst så är det typiskt ingen separation mellan WLAN-delen och ethernet-delen i billiga hemma accesspunkter så exv. ARP-spoofing skulle fungera även över radiosnittet på gästroutern via ethernet till den gemensamma switchen tillbaka över ethernet och sedan radiosnittet till hemmanätet. Och då är man torsk igen. (Men det här är inget jag prövat själv i lab, skall tilläggas). Så så länge man inte kan konfa någon port security och delar ethernet så ligger man sämre till. Eller kör någon ARP-övervakning på det lokala nätet, om MAC-adressen till din default gateway hos din leverantör ändras så är antagligen något på gång...mrfrenzy skrev:
Nu har ni kollrat bort mig helt och då har jag tyckt att jag har ganska bra koll på vad som kn göras för att säkra upp normalt. Känns som att ni håller på att säkra upp för att han hyr ut stugan till ett gäng hackers som ska ha lanfest eller nått. Normala användare blir mest glada åt ett wlan och gör inget mer dumt än att max hämta någon fil på piratebay mfl. Sedan finns det mer avanserade och de bryter sig ju in i det wlan han redan har och försöker inte då komma åt det den vägen som som nu diskuteras eller??
Besserwisser
· Västra Götalands
· 11 200 inlägg
Ja, jag har tidigare predikat vad jag alltid predikar till mina studenter, nämligen att säker är man bara i relation till ett hot. Så här kan det ju duga att man först kollar om de som hyr stuga ser ut som ett gäng hackare som skall LANa.
Fast om de är det så är du nog torsk om du använder WLAN överhuvudtaget. Och om de är riktigt duktiga så hjälper det inte om du håller dig till trådat, eller två burkar med snöre emellan...
Om det är något 10+ år i datasäkerhetsträsket har lärt mig så är det att de allra allra flesta är snälla och trevliga människor. (Och att de flesta som är elaka också är dumma). ;-)
Fast om de är det så är du nog torsk om du använder WLAN överhuvudtaget. Och om de är riktigt duktiga så hjälper det inte om du håller dig till trådat, eller två burkar med snöre emellan...
Om det är något 10+ år i datasäkerhetsträsket har lärt mig så är det att de allra allra flesta är snälla och trevliga människor. (Och att de flesta som är elaka också är dumma). ;-)
WLAN-delen och Ethernet-LANportarna är bryggade. Den bryggan är i sin tur isolerad från WAN-porten.lars_stefan_axelsson skrev:Vad jag har läst så är det typiskt ingen separation mellan WLAN-delen och ethernet-delen i billiga hemma accesspunkter så exv. ARP-spoofing skulle fungera även över radiosnittet på gästroutern via ethernet till den gemensamma switchen tillbaka över ethernet och sedan radiosnittet till hemmanätet. Och då är man torsk igen. (Men det här är inget jag prövat själv i lab, skall tilläggas). Så så länge man inte kan konfa någon port security och delar ethernet så ligger man sämre till. Eller kör någon ARP-övervakning på det lokala nätet, om MAC-adressen till din default gateway hos din leverantör ändras så är antagligen något på gång...
Besserwisser
· Västra Götalands
· 11 200 inlägg
OK, men ARP måste fortfarande fungera från LAN/WLAN till WAN för det fallet att man inte kör NAT, eller gör "routern" proxy-arp för WAN-interfacet? Det har jag svårt att tro... Och om den inte gör det så har man antagligen ingen broadcastdomängräns mellan WLAN/LAN och WAN interfacet. Och då är man torsk på en ARP-spoof igen. (Eller agerar routern äkta router beroende på om man konfigurerat NAT eller inte? Det skulle iofs vara rätt, men jag håller inte andan att exv. D-link skulle få detta rätt, givet allt annat de fått fel under åren...)mrfrenzy skrev:
Men visst, om det skulle fungera så så skulle två parallelkopplade "routrar" i en tredje där den "WLAN router" som servar gästnätet också är satt att NATa skulle dela upp broadcastdomänerna så att en ARP-spoof blev omöjlig.
Det är dock som alltid mycket hålla tungan rätt i mun...