Sikkerheden ved mobilt bredbånd

pendec skrev: Flere router som købes idag har standard ikke nogen indgående trafik tilladt eller DMZ (peger på 1 bestemt maskine) åbnet. Så derfor menes der nok i artiklen er disse løsninger er bedre sikret idag for de almindelige bruger, da man som standard ikke kan angribes direkte udefra uden at have en spyware allerede på maskinen som fungerer som kommunikations led. (altså indefra og ud imod internet)

En standard Windows PC har ikke særligt mange sårbare services længere, så det er ikke i sig selv en katastrofe at sætte den på en offentlig IP. Man skal selvfølgelig ikke aktivere fildeling uden passwords...

Jeg tror at det største problem er malware som folk frivilligt downloader, og det beskytter en router eller en firewall ikke mod. Det er ikke engang givet at antivirus hjælper.

Kandersen skrev: ikke enig i, at problemet på ADSL forbindelse er løst med routere. for de fleste aner slet ikke hvad en router er, hvordan den bruges/misbruges. Den bruges primært som en slags fordeler oftest pga. indbygget hub, hvilket absolut ikke er dens primære funktion. Tværtimod er det nærmest en dødssynd!

Når man bestiller internet (LAN/WLAN) fra en udbyder, modtager man så en router eller en hub ? Bør man undlade at bruge den til andet (eks. Squeezebox)?

jeje skrev: Når man er på et offentligt hotspot bør man passse på.

Prøver lige at blive lidt klogere :

1. Vil det være usikkert at logge på netbank på et off. hotspot selv om netbank bruger https (ikke at jeg har gjort det).
2. Hvis Oister krypterer mobiltbredbånd er det så ligeså sikkert som LAN og krypteret-WLAN.
3. Et subnet er det dem der deler samme delnet på en mast?
4. Vil der være forskel på sikkerheden ved eks. LAN/WLAN hvis udbyderen er eks. FULLRATE vs. Bolignet.
5. Jeg undrer mig over, at hvis jeg eks. besøger http://www.arlet.dk/ så kan siden umiddelbart se: min IP, min internetoperatør, min Windows version og min browser. Jeg troede at min IP generel ikke var offentlig. Oven i det kører jeg Zonealarm med Internet Zone sat til High/Stealth Mode. Det virker da ikke til, at der er meget Stealth Mode over det?

Håber nogle af jer kan afklare disse spørgsmål og gøre mig lidt it-klogere .

@clausewitz

1) Nej, under ingen omstændigheder. Netbanker kører altid HTTPS som er krypteret plus der er yderligere sikkerhed. Truslen mod netbanker er keyloggers, som du selv downloader (via warez software, sikkerhedshuller i Internet Explorer, social engineering, etc). Det gælder på alle forbindelser, også din kablede forbindelse hjemme.

2) Ja (med det forbehold at du normalt ikke har din egen router mellem din computer og interforbindelsen når du bruger mobilt bredbånd; det har du derimod normalt på din hjemmeforbindelse).

3) Et subnet er IP adresser som der ikke skal routes mellem. Typisk er det IP adresser som kun afviger på sidste tal. Eksempel: 192.168.1.144 og 192.168.1.67 er i samme subnet (hvis subnet mask er 255.255.255.0 hvilket er det normalt). Det er generel netværksteknik, læs mere her.

4) Visse bolignet broadcaster lidt for meget trafik om andre på samme subnet, nærmest svarende til dit eget LAN bag en router. Det forringer sikkerheden i forhold til setups hvor dette ikke er muligt. Det mener jeg ikke at ADSL forbindelser gør (min TDC ADSL gør i hvert fald ikke).

5) Hvis du er bag en router, får din computer en privat IP adresse. Men når du kommunikerer med andre computere på internettet, ser disse computere din router som har en offentlig IP adresse. Du kan ikke være 100% anonym på internettet: hvis vi ikke kan se din IP adresse, kan vi heller ikke route trafik til dig. En analogi: hvis du ikke vil oplyse din adresse, kan julemanden på Grønland heller ikke sende gaver til dig.

Du spurgte ikke om det, men en anden myte er...

6) Nej, det er ikke i sig selv farligt at downloade pr0n (i hvert fald ikke for din computer; kæresten bliver måske mopset men det er en anden sag).

JesperLund skrev: jeje skrev: Jeg bliver nødt til at ændre mit nej til et ja, da en sniffer kun behøver at kunne sniffe trafikken til en enkelt modtager og ikke al trafik til en mast. Hvis operatøren ikke krypterer, svarer det til ukrypteret WLAN. Hvis snifferudstyret placeres i nærheden af nogle modtagere, vil forbindelserne kunne sniffes. Hvis operatøren krypterer mobilforbindelserne svarer det ikke til WLAN, da hver modtager benytter sin egen krypteringsnøgle, og kunderne kan ikke sniffe hinandens trafik. Er du sikker på at subnettet er maste-relateret? Du får vel ikke tildelt en ny IP adresse fra udbyderen når du roamer fra en mast til en anden?

Nej, jeg ved ikke noget om subnettenes fordeling. Men det er også ligegyldigt i denne sammenhæng. Hvis et radiosignal kommer forbi med ukrypterede data, kan data sniffes uanset subnet.

I øvrigt betyder roaming brug af fremmed operatør, så lad os nøjes med at kalde det skift af mast.

jeje skrev: Vil det være muligt for en kriminel at opsætte et hotspot med en computer, som kan agere HTTPS-mellemled og gemme kommunikationen i ukrypteret form, uden at hotspotbrugerne aner uråd? Computeren skal kunne køre HTPPS til hotspottet og til Internettet og ikke bare overføre kommunikationen uændret men i stedet afslutte begge HTTPS-forbindelser i serveren selv, så forbindelsen internt i serveren sker i ukrypteret form.

Måske...

Du kan sagtens hijack'e trafikken så https://www.hackerbank.dk dirigeres til din server. Det kan du gøre ved at forfalske DNS opslaget, eventuelt ved at skrive til brugernes host fil eller angribe en DNS resolver hos en ISP som ikke er opdateret, jf. Kaminsky sagen sidste år (i dette tilfælde er det meget nemt fordi hotspot'en vil være DNS resolver for brugerne).

Men du kan ikke få browseren til at validere SSL certifikatet, medmindre du er i stand til at forfalske certifikatet (det er dog lykkedes i enkelte tilfælde, se her, men generelt bør det ikke være muligt hvis CA'en har styr på tingene). Brugeren vil derfor få en advarsel om at SSL certifikatet ikke er gyldigt. En stor del af brugerne vil desværre ignorere disse advarsler, blandt andet fordi der er alt for mange falsk-positive advarsler pga inkompente server admins der ikke kan finde ud af at installere og opdatere deres SSL certifikat, herunder SKAT).

Når først SSL forbindelsen (hand shake) er etableret, er det end-to-end kryptering, så en eventuel proxy server under hackerens kontrol, kan ikke se trafikken.


Redigeret af JesperLund - 16-Maj-2009 kl. 23:32

jeje skrev: Kandersen skrev: ... for de fleste aner slet ikke hvad en router er, hvordan den bruges/misbruges. Den bruges primært som en slags fordeler oftest pga. indbygget hub, hvilket absolut ikke er dens primære funktion. Tværtimod er det nærmest en dødssynd! Routere har da vist switche og ikke hubs. Jeg forstår ikke det med, at routere primært bruges som fordelere. Mener du, at de fleste routere bliver brugt til andet end at forbinde lokalnettet med Internettet?

Når der siges primære funktion ikke bruges, er den mangel på viden og forståelse..

Router = Routing = dirigering af traffik. så Jo, dens primære funktion bruges fuldt ud. om det er lokalt -> internet , eller LAN -> LAN (bridging)

Og ingen benytter hub's mere idag, problemet er nemlig at disse overbelaster netværket da pakker dirigeres ude på alle porte som ingen pc ønsker at se traffik fra. så her arbejdes på en anden protokol i switche og kun trafik til den enkelte pc sendes til den.

Fordi router udstyr også har ap og andre funktioner idag, betyder det ikke at der foregår en dødssynd..

og fordi JEG ikke bruger SMS på min mobil, og kun bruger dens telefoni funktion, bruger jeg stadig en mobils primære funktion.
Det er dog derfor vi kalder en smartphone noget andet og jeg bruger udtrykket mobiltelefon.. to forskellige begreber og forskellige funktioner.

Redigeret af pendec - 17-Maj-2009 kl. 09:24