Discussion:
ssh vraag
(te oud om op te antwoorden)
EOS
2010-01-18 17:51:59 UTC
Permalink
Ik gebruik regelmatig "ssh -X ***@ip"
dit voor de videobewerkingssoft kino,
nu werk ik nog gewone camcorder DV files 720x576
maar binnenkort zou een een Full HD camcorder kopen....

de vraag is welke videokaart gebruik "ssh -x" eigenlijk,
die van de remote of die lokale pc?
ik vermoed dat ik een aangepaste beeldkaart zal moeten aankopen voor het
beeld van HD matriaal vloeiend te kunnen bewerken maar in welke pc zal ik
dit moeten voorzien.
--
EOS
www.photo-memories.be
Running KDE 4.4 RC1 / openSUSE 11.2
Philip Paeps
2010-01-18 18:28:32 UTC
Permalink
Post by EOS
dit voor de videobewerkingssoft kino,
nu werk ik nog gewone camcorder DV files 720x576
maar binnenkort zou een een Full HD camcorder kopen....
de vraag is welke videokaart gebruik "ssh -x" eigenlijk,
die van de remote of die lokale pc?
ik vermoed dat ik een aangepaste beeldkaart zal moeten aankopen voor het
beeld van HD matriaal vloeiend te kunnen bewerken maar in welke pc zal ik
dit moeten voorzien.
Die waar de Xserver op draait, dus die waar je het beeld ziet.

Merk op dat fancy X11 extensions niet zonder meer networkable zijn. Sinds de
userfriendly politie zich beginnen moeien is met X11, schort er een en ander.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

Because it's generated by a committee, it also generates an arbitrary
nonce just to be on the safe side.
-- Peter Linington on X.500
Gerben
2010-01-22 10:32:44 UTC
Permalink
Post by EOS
dit voor de videobewerkingssoft kino,
nu werk ik nog gewone camcorder DV files 720x576
maar binnenkort zou een een Full HD camcorder kopen....
de vraag is welke videokaart gebruik "ssh -x" eigenlijk,
die van de remote of die lokale pc?
ik vermoed dat ik een aangepaste beeldkaart zal moeten aankopen voor het
beeld van HD matriaal vloeiend te kunnen bewerken maar in welke pc zal ik
dit moeten voorzien.
Als je nu 100Mbit hebt loont het meer om te investeren in Gbit dan in
een goede videokaart, want het netwerk is hier waarschijnlijk de
bottleneck. Het beste is nog om de boel te capturen op de machine met de
firewirekaart (waar het denk ik om gaat) en dan te editen op de lokale
machine, dus dat dan zonder ssh -X.

Gerben
EOS
2010-01-23 08:17:20 UTC
Permalink
Post by Gerben
Als je nu 100Mbit hebt loont het meer om te investeren in Gbit dan in
een goede videokaart, want het netwerk is hier waarschijnlijk de
bottleneck.
ik gebruik nu al een giga router
dus dat is geen bottleneck ;-)
Post by Gerben
Het beste is nog om de boel te capturen op de machine met de
firewirekaart (waar het denk ik om gaat) en dan te editen op de lokale
machine, dus dat dan zonder ssh -X.
het capturen bij full hd zal niet meer zijn zoals DV
zal op sdhc kaart vliegen of de interne harddisk van de camera

de comp waar ik nu op typ (in de leefruimte)
is een "trage" maar vooral stille PC
bij bewerkingen van foto's en video gebruik ik een ssh -X
naar een "snelle comp" die in de kelder lawaai staat te maken ;-)
--
EOS
www.photo-memories.be
Running KDE 4.4 RC1 / openSUSE 11.2
Philip Paeps
2010-01-23 11:44:48 UTC
Permalink
Post by EOS
Post by Gerben
Als je nu 100Mbit hebt loont het meer om te investeren in Gbit dan in
een goede videokaart, want het netwerk is hier waarschijnlijk de
bottleneck.
ik gebruik nu al een giga router
dus dat is geen bottleneck ;-)
Post by Gerben
Het beste is nog om de boel te capturen op de machine met de
firewirekaart (waar het denk ik om gaat) en dan te editen op de lokale
machine, dus dat dan zonder ssh -X.
het capturen bij full hd zal niet meer zijn zoals DV
zal op sdhc kaart vliegen of de interne harddisk van de camera
de comp waar ik nu op typ (in de leefruimte)
is een "trage" maar vooral stille PC
bij bewerkingen van foto's en video gebruik ik een ssh -X
naar een "snelle comp" die in de kelder lawaai staat te maken ;-)
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde in
familiale kring, lijkt me?

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

hundred-and-one symptoms of being an internet addict:
105. When someone asks you for your address, you tell them your URL.
EOS
2010-01-23 16:26:20 UTC
Permalink
Post by Philip Paeps
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde
in familiale kring, lijkt me?
geen grote resolutie bij export, of mis ik iets.

bij gebruik van ssh is het easy één programma open te doen ipv de display te
zien en dan uw app te starten.
--
EOS
www.photo-memories.be
Running KDE 4.4 RC1 / openSUSE 11.2
Philip Paeps
2010-01-23 16:43:58 UTC
Permalink
Post by EOS
Post by Philip Paeps
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde
in familiale kring, lijkt me?
geen grote resolutie bij export, of mis ik iets.
bij gebruik van ssh is het easy één programma open te doen ipv de display te
zien en dan uw app te starten.
Eh, wat?

host1% xhost +host2
host1% ssh host2
host2% DISPLAY=host1:0 app&

Is dat zo veel moeilijker dan:

host1% ssh -X host2
host2% app&

?

In het eerste geval heb je geen overbodige crypto-overhead. In het tweede
geval belast je host1 en host2 met encryption en decryption. Is dat nodig in
je eigen huis?

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.
Huub Reuver
2010-01-23 23:31:34 UTC
Permalink
Post by Philip Paeps
Post by EOS
Post by Philip Paeps
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde
in familiale kring, lijkt me?
geen grote resolutie bij export, of mis ik iets.
bij gebruik van ssh is het easy één programma open te doen ipv de display te
zien en dan uw app te starten.
Eh, wat?
host1% xhost +host2
host1% ssh host2
host2% DISPLAY=host1:0 app&
host1% ssh -X host2
host2% app&
?
In het eerste geval heb je geen overbodige crypto-overhead. In het tweede
geval belast je host1 en host2 met encryption en decryption. Is dat nodig in
je eigen huis?
Tegenwoordig is het veel moeilijker, omdat elke zichzelf respecterende
distributie extra restricties meegeeft aan X. Bijvoorbeeld de optie:
"-nolisten tcp"

Daarnaast is het netter gebruik te maken van Xauth, maar dat is tegenwoordig
waarschijnlijk iedereen verleerd (als ze het ooit geweten hebben).
"ssh -X host" werkt dan een stuk eenvoudiger, want automagisch.

Met vriendelijke groet,
Huub Reuver
Philip Paeps
2010-01-24 11:53:33 UTC
Permalink
Post by Huub Reuver
Post by Philip Paeps
Post by EOS
Post by Philip Paeps
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde
in familiale kring, lijkt me?
geen grote resolutie bij export, of mis ik iets.
bij gebruik van ssh is het easy één programma open te doen ipv de display te
zien en dan uw app te starten.
Eh, wat?
host1% xhost +host2
host1% ssh host2
host2% DISPLAY=host1:0 app&
host1% ssh -X host2
host2% app&
?
In het eerste geval heb je geen overbodige crypto-overhead. In het tweede
geval belast je host1 en host2 met encryption en decryption. Is dat nodig in
je eigen huis?
Tegenwoordig is het veel moeilijker, omdat elke zichzelf respecterende
"-nolisten tcp"
Ik ga vanzelfsprekend uit van een fatsoenlijk geconfigureerde X11 installatie.
Die "-nolisten tcp" is een prachtige optie als je X11 gebruikt zonder netwerk,
of je om een of andere reden geen packet filter op je laptop wil zetten (met
andere woorden, als je jezelf graag overdreven veel werk geeft), maar voor de
rest biedt het helemaal geen meerwaarde.

Zowel op mijn laptop als thuis als op mijn werk, zijn de netwerk mogelijkheden
van X11 onmisbaar. Ik erger me mateloos aan het default uitzetten van die
dingen.

Op de meeste machines zet je dit uit in /etc/X11/xdm/Xservers. Als je een
andere display manager gebruikt, heeft die er ongetwijfeld ook een optie
ergens voor.
Post by Huub Reuver
Daarnaast is het netter gebruik te maken van Xauth, maar dat is tegenwoordig
waarschijnlijk iedereen verleerd (als ze het ooit geweten hebben). "ssh -X
host" werkt dan een stuk eenvoudiger, want automagisch.
xauth staat als een tang op een varken. Ooit is er eens iemand op het geniale
idee gekomen dat het X11 protocol misschien wel eens niet zo veilig zou kunnen
zijn, en is xauth er gekomen. En het lijkt nog steeds nergens naar.

Als je per sé xauth wil gebruiken, kan dat uiteraard ook. Als je $HOME op NFS
staat, zal het in de meeste gevallen zelfs gewoon automatisch werken. :-)

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.
Huub Reuver
2010-01-24 14:12:23 UTC
Permalink
Post by Philip Paeps
Post by Huub Reuver
Post by Philip Paeps
Post by EOS
Post by Philip Paeps
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Dit waag ik te betwijvelen.
In familiekring proberen vaak de ouders het netwerk met wisselend succes
deels af te schermen voor kinderen. Daarnaast maakt een "standaard" wifi
router het netwerk open voor toegang van buitenaf.

Security is geen absolute techniek. Het is slechts een "best effort".
Post by Philip Paeps
Post by Huub Reuver
Post by Philip Paeps
Post by EOS
Post by Philip Paeps
in familiale kring, lijkt me?
geen grote resolutie bij export, of mis ik iets.
bij gebruik van ssh is het easy één programma open te doen ipv de display te
zien en dan uw app te starten.
Eh, wat?
host1% xhost +host2
host1% ssh host2
host2% DISPLAY=host1:0 app&
host1% ssh -X host2
host2% app&
?
In het eerste geval heb je geen overbodige crypto-overhead. In het tweede
geval belast je host1 en host2 met encryption en decryption. Is dat nodig in
je eigen huis?
Tegenwoordig is het veel moeilijker, omdat elke zichzelf respecterende
"-nolisten tcp"
Ik ga vanzelfsprekend uit van een fatsoenlijk geconfigureerde X11 installatie.
Die "-nolisten tcp" is een prachtige optie als je X11 gebruikt zonder netwerk,
of je om een of andere reden geen packet filter op je laptop wil zetten (met
andere woorden, als je jezelf graag overdreven veel werk geeft), maar voor de
rest biedt het helemaal geen meerwaarde.
Zowel op mijn laptop als thuis als op mijn werk, zijn de netwerk mogelijkheden
van X11 onmisbaar. Ik erger me mateloos aan het default uitzetten van die
dingen.
Op de meeste machines zet je dit uit in /etc/X11/xdm/Xservers. Als je een
andere display manager gebruikt, heeft die er ongetwijfeld ook een optie
ergens voor.
Post by Huub Reuver
Daarnaast is het netter gebruik te maken van Xauth, maar dat is tegenwoordig
waarschijnlijk iedereen verleerd (als ze het ooit geweten hebben). "ssh -X
host" werkt dan een stuk eenvoudiger, want automagisch.
xauth staat als een tang op een varken. Ooit is er eens iemand op het geniale
idee gekomen dat het X11 protocol misschien wel eens niet zo veilig zou kunnen
zijn, en is xauth er gekomen. En het lijkt nog steeds nergens naar.
Als je per sé xauth wil gebruiken, kan dat uiteraard ook. Als je $HOME op NFS
staat, zal het in de meeste gevallen zelfs gewoon automatisch werken. :-)
Zelf zou ik in bijna alle gevallen "ssh -X" over "xauth" prefereren.
Vooraf zou ik testen hoeveel impact encryptie op de snelheid heeft.
Bij het gebruik van xhost zou ik overwegen een 2e netwerk aan te leggen
uitsluitend voor verkeer tussen de terminal en de server.

In veel gevallen is het toepassen van unencrypted remote X "bad practice".
Daarbij is een toepassing voor ad-hoc situaties vaak niet te vergelijken
met structurele oplossingen.

De combinatie van unencrypted X en NFS was leuk, 15 jaar geleden.

Met vriendelijke groet,
Huub Reuver
unknown
2010-01-25 19:35:44 UTC
Permalink
Post by Huub Reuver
Post by Philip Paeps
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Dit waag ik te betwijvelen.
In familiekring proberen vaak de ouders het netwerk met wisselend succes
deels af te schermen voor kinderen. Daarnaast maakt een "standaard" wifi
router het netwerk open voor toegang van buitenaf.
Hij had het over giga router, dus ik neem aan dat het over koper gaat.
Post by Huub Reuver
Zelf zou ik in bijna alle gevallen "ssh -X" over "xauth" prefereren.
Vooraf zou ik testen hoeveel impact encryptie op de snelheid heeft.
Bij het gebruik van xhost zou ik overwegen een 2e netwerk aan te leggen
uitsluitend voor verkeer tussen de terminal en de server.
Is dat niet wat overkill in een thuissituatie met alleen trusted users?
Post by Huub Reuver
In veel gevallen is het toepassen van unencrypted remote X "bad practice".
Daarbij is een toepassing voor ad-hoc situaties vaak niet te vergelijken
met structurele oplossingen.
Mee eens, maar je moet wel een risico analyse doen, met risico = kans *
schade. Ik zou de kans van inbreken op een bedraad thuis LAN behoorlijk
klein. De schade is overigens aanzienlijk. Er kunnen behoorlijk wat
gevoelige gegevens overheen gaan.

Persoonlijk zou ik meer inzetten op goede firewalling, dan in altijd
maar encryptie toepassen. Zie ook
http://www.wired.com/politics/security/commentary/securitymatters/2009/12/securitymatters_1223

Bart
--
Bart Blogt Beter: blog.friesoft.nl
Huub Reuver
2010-01-25 21:43:42 UTC
Permalink
Post by unknown
Post by Huub Reuver
Post by Philip Paeps
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Dit waag ik te betwijvelen.
In familiekring proberen vaak de ouders het netwerk met wisselend succes
deels af te schermen voor kinderen. Daarnaast maakt een "standaard" wifi
router het netwerk open voor toegang van buitenaf.
Hij had het over giga router, dus ik neem aan dat het over koper gaat.
In de veel thuissituaties hangt aan datzelfde netwerk nog een wifi router.
Makkelijk, voor de laptop en de rest.

Is niet aan mij te beoordelen, ik ken de situatie niet.
Post by unknown
Post by Huub Reuver
Zelf zou ik in bijna alle gevallen "ssh -X" over "xauth" prefereren.
Vooraf zou ik testen hoeveel impact encryptie op de snelheid heeft.
Bij het gebruik van xhost zou ik overwegen een 2e netwerk aan te leggen
uitsluitend voor verkeer tussen de terminal en de server.
Is dat niet wat overkill in een thuissituatie met alleen trusted users?
Dat ligt aan de situatie. Je kunt zonder, maar er zijn dingen waar je dan
even bij moet nadenken.

Het grootste probleem dat ik heb met X zonder encryptie is da je je eigen
standaard legt onder wat gebruikelijk is. Meestal heb je enkele problemen
achter elkaar nodig voor je een exploiteerbaar probleem hebt. En hier zet
je de deur alvast op een kier.

Kan wel, als je maar blijft opletten.
Post by unknown
Post by Huub Reuver
In veel gevallen is het toepassen van unencrypted remote X "bad practice".
Daarbij is een toepassing voor ad-hoc situaties vaak niet te vergelijken
met structurele oplossingen.
Mee eens, maar je moet wel een risico analyse doen, met risico = kans *
schade. Ik zou de kans van inbreken op een bedraad thuis LAN behoorlijk
klein. De schade is overigens aanzienlijk. Er kunnen behoorlijk wat
gevoelige gegevens overheen gaan.
Het probleem bij een inbraak is vaak eerder de psychologische schade dat
iemand in jou prive sfeer heeft rondgelopen.
Post by unknown
Persoonlijk zou ik meer inzetten op goede firewalling, dan in altijd
maar encryptie toepassen. Zie ook
http://www.wired.com/politics/security/commentary/securitymatters/2009/12/securitymatters_1223
Het firewall-idee is leuk. Dat is een beetje de gedachte achter een 2e
netwerk. Een netwerk zonder route naar buiten. In de praktijk zal echter
de pc met 2 netwerken of de firewall de zwakke schakel zijn.

Het idee van video unencrypted is ook leuk, zolang je maar zeker weet dat
alleen de video unencrypted is. En niet je su-sessie en telebankieren.

Er zijn ook mensen die zeggen "bij mij valt niets te halen" die vervolgens
de kop in het zand steken. Ook een benadering van het probleem.

De afweging van risico's kosten, moeite en effectiviteit zal de beheerder
toch zelf moeten maken omdat hij hopelijk zijn hele situatie overziet.

Met vriendelijke groet,
Huub Reuver
Philip Paeps
2010-01-26 00:45:55 UTC
Permalink
Post by Huub Reuver
Post by unknown
Post by Huub Reuver
Post by Philip Paeps
Waarom tunnel je over SSH in een thuisnetwerk? export gewoon DISPLAY en
gebruik xhost "access control" (haha). Encryption biedt weinig meerwaarde
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Dit waag ik te betwijvelen.
In familiekring proberen vaak de ouders het netwerk met wisselend succes
deels af te schermen voor kinderen. Daarnaast maakt een "standaard" wifi
router het netwerk open voor toegang van buitenaf.
Hij had het over giga router, dus ik neem aan dat het over koper gaat.
In de veel thuissituaties hangt aan datzelfde netwerk nog een wifi router.
Makkelijk, voor de laptop en de rest.
Iemand die een beetje besef heeft wat wat "wireless" betekent, zorgt ervoor
dat dat ding in een apart vlan hangt en niet gewoon gebridget is! En
vanzelfsprekend draait zo'n access point ook WPA2 met een verstandige keying
policy.

Tussen het wireless vlan en het wired vlan zet je scherpe tanden.
Post by Huub Reuver
Is niet aan mij te beoordelen, ik ken de situatie niet.
Ik ook niet. Maar ik ga er van uit dat je in een huiselijke situatie de
physical layer onder controle hebt.
Post by Huub Reuver
Post by unknown
Post by Huub Reuver
Zelf zou ik in bijna alle gevallen "ssh -X" over "xauth" prefereren.
Vooraf zou ik testen hoeveel impact encryptie op de snelheid heeft.
Bij het gebruik van xhost zou ik overwegen een 2e netwerk aan te leggen
uitsluitend voor verkeer tussen de terminal en de server.
Is dat niet wat overkill in een thuissituatie met alleen trusted users?
Dat ligt aan de situatie. Je kunt zonder, maar er zijn dingen waar je dan
even bij moet nadenken.
Het grootste probleem dat ik heb met X zonder encryptie is da je je eigen
standaard legt onder wat gebruikelijk is. Meestal heb je enkele problemen
achter elkaar nodig voor je een exploiteerbaar probleem hebt. En hier zet
je de deur alvast op een kier.
Aha. Iemand moet dus buiten je huis je wireless gekraakt hebben, er op een of
andere manier in slagen om packets van dat netwerk naar het wired netwerk te
krijgen, en wel op zo'n manier dat hij een X11 session kan intercepten. Dit
lijkt me vrij onwaarschijnlijk.

Mijn standpunt blijft: op een controlled netwerk blijft X11 over SSH zinloze
overhead. Als er iemand meeluistert, is het iemand die je kent. Zelfs als je
je wifi gewoon meebridget, is het zo onwaarschijnlijk dat ongemerkt je WPA2
gekraakt wordt dat je nog steeds kan stellen dat je het netwerk onder controle
hebt.
Post by Huub Reuver
Kan wel, als je maar blijft opletten.
Als je in je huis je netwerk niet onder controle hebt, moet je even nadenken
of je het echte probleem wel probeert op te lossen met die encryptie.
Post by Huub Reuver
Post by unknown
Post by Huub Reuver
In veel gevallen is het toepassen van unencrypted remote X "bad practice".
Daarbij is een toepassing voor ad-hoc situaties vaak niet te vergelijken
met structurele oplossingen.
Ik ben het niet met je eens. In een untrusted netwerk, encrypt je zoveel je
wil. In een trusted netwerk heeft het helemaal geen zin.
Post by Huub Reuver
Het firewall-idee is leuk. Dat is een beetje de gedachte achter een 2e
netwerk. Een netwerk zonder route naar buiten. In de praktijk zal echter
de pc met 2 netwerken of de firewall de zwakke schakel zijn.
Dat is steeds het geval.
Post by Huub Reuver
Het idee van video unencrypted is ook leuk, zolang je maar zeker weet dat
alleen de video unencrypted is. En niet je su-sessie en telebankieren.
Dat heet "common sense". Een webbrowser over remote X11 gebruiken en daarin
telebankieren is bepaald niet verstandig.
Post by Huub Reuver
Er zijn ook mensen die zeggen "bij mij valt niets te halen" die vervolgens
de kop in het zand steken. Ook een benadering van het probleem.
Nota bene: ik geloof zeer sterk in security en in privacy.

Maar ik geloof ook in oplossingen in functie van problemen en geen nodeloze
problemen uitvinden.
Post by Huub Reuver
De afweging van risico's kosten, moeite en effectiviteit zal de beheerder
toch zelf moeten maken omdat hij hopelijk zijn hele situatie overziet.
Klopt.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.
John Bokma
2010-01-26 02:28:06 UTC
Permalink
Post by Philip Paeps
Ik ook niet. Maar ik ga er van uit dat je in een huiselijke situatie de
physical layer onder controle hebt.
Ik draai hier subversion over SSL in huiselijke situatie omdat het een
enkele keer kan voorkomen dat een gast hier op het lokale netwerk
aangesloten wordt. En dan vind ik een kabel in de laptop net iets
makkelijker dan die persoon op de wifi hangen.

Daarnaast zie ik het als training. Net als hier op het tuinhek een
hangslot zit, ook als we in de tuin zitten. Plus dat als subversion in
de meeste andere situaties die ik tegenkom (opdrachtgevers), ook over
SSL gaat. Ik wil dan niet telkens hoeven nadenken dat ik een s moet
inkloppen. Net als ik automatisch bij het verlaten de tuin het
hangslot er af haal, en terug doe.
--
John Bokma j3b

Hacking & Hiking in Mexico - http://johnbokma.com/
http://castleamber.com/ - Perl & Python Development
Martijn van Buul
2010-01-26 10:12:49 UTC
Permalink
Post by Philip Paeps
Iemand die een beetje besef heeft wat wat "wireless" betekent, zorgt ervoor
dat dat ding in een apart vlan hangt en niet gewoon gebridget is! En
vanzelfsprekend draait zo'n access point ook WPA2 met een verstandige keying
policy.
Als je je wireless de nutteloosheid in wil beschermen kun je hem net zo goed
uitzetten. Bespaart nog stroom ook, en het netto resultaat is vergelijkbaar.
VLANs is niet voor iedereen weggelegd en levert bijkomende problemen op,
het "vanzelfsprekende met een verstandige keying policy" WPA2 blijkt in de
praktijk niet ondersteund door de devices die je wireless wil verbinden, en
zo kan ik nog wel even doorgaan. Er wil wel eens een WEP netwerkje lopen bij
mij thuis, en dat is niet omdat ik masochistisch ben ingesteld.

Of je gaat er vanuit dat je wired netwerk niet zo beschermd is.
--
Martijn van Buul - ***@dohd.org
Rob
2010-01-26 10:15:48 UTC
Permalink
Post by Martijn van Buul
Post by Philip Paeps
Iemand die een beetje besef heeft wat wat "wireless" betekent, zorgt ervoor
dat dat ding in een apart vlan hangt en niet gewoon gebridget is! En
vanzelfsprekend draait zo'n access point ook WPA2 met een verstandige keying
policy.
Als je je wireless de nutteloosheid in wil beschermen kun je hem net zo goed
uitzetten. Bespaart nog stroom ook, en het netto resultaat is vergelijkbaar.
VLANs is niet voor iedereen weggelegd en levert bijkomende problemen op,
Nou als je fatsoenlijke spullen koopt is het geen probleem hoor.
Wat hooguit wel eens irritant kan zijn is dat je een "gratis draadloze
router" bij je internet abonnement krijgt, en dit dan zo'n wrakkig ding
blijkt te zijn waar je niks mee kunt.
Maar dan kun je altijd nog een echte kopen...
Martijn van Buul
2010-01-26 10:31:04 UTC
Permalink
Post by Rob
Post by Martijn van Buul
Als je je wireless de nutteloosheid in wil beschermen kun je hem net zo goed
uitzetten. Bespaart nog stroom ook, en het netto resultaat is vergelijkbaar.
VLANs is niet voor iedereen weggelegd en levert bijkomende problemen op,
Nou als je fatsoenlijke spullen koopt is het geen probleem hoor.
Wat zijn "fatsoenlijke spullen" dan precies? En welke concessies neem je
daarbij op de koop toe?

Mensen in deze nieuwsgroup willen wel eens over het hoofd zien dat ze geen
representatieve consument zijn. De gemiddelde consument *wil* geen corporate
cisco router thuis - maar wel een Nintendo DS en/of Sony PSP, danwel een
wat oudere laptop.
--
Martijn van Buul - ***@dohd.org
Rob
2010-01-26 10:34:56 UTC
Permalink
Post by Martijn van Buul
Post by Rob
Post by Martijn van Buul
Als je je wireless de nutteloosheid in wil beschermen kun je hem net zo goed
uitzetten. Bespaart nog stroom ook, en het netto resultaat is vergelijkbaar.
VLANs is niet voor iedereen weggelegd en levert bijkomende problemen op,
Nou als je fatsoenlijke spullen koopt is het geen probleem hoor.
Wat zijn "fatsoenlijke spullen" dan precies? En welke concessies neem je
daarbij op de koop toe?
Mensen in deze nieuwsgroup willen wel eens over het hoofd zien dat ze geen
representatieve consument zijn. De gemiddelde consument *wil* geen corporate
cisco router thuis - maar wel een Nintendo DS en/of Sony PSP, danwel een
wat oudere laptop.
Als je een draadloze router voor de consumentenmarkt met support voor
VLAN's, meerdere SSID's e.d. zoekt, kijk dan bij Draytek.
Bas Janssen
2010-01-26 11:10:04 UTC
Permalink
Post by Rob
Post by Martijn van Buul
Post by Rob
Post by Martijn van Buul
Als je je wireless de nutteloosheid in wil beschermen kun je hem net zo goed
uitzetten. Bespaart nog stroom ook, en het netto resultaat is vergelijkbaar.
VLANs is niet voor iedereen weggelegd en levert bijkomende problemen op,
Nou als je fatsoenlijke spullen koopt is het geen probleem hoor.
Wat zijn "fatsoenlijke spullen" dan precies? En welke concessies neem je
daarbij op de koop toe?
Mensen in deze nieuwsgroup willen wel eens over het hoofd zien dat ze geen
representatieve consument zijn. De gemiddelde consument *wil* geen corporate
cisco router thuis - maar wel een Nintendo DS en/of Sony PSP, danwel een
wat oudere laptop.
Als je een draadloze router voor de consumentenmarkt met support voor
VLAN's, meerdere SSID's e.d. zoekt, kijk dan bij Draytek.
Ik ben zelf ook altijd wel tevreden met de wrt routertjes van spul van
linksys.. Niet al te duur, zet DD-WRT erop en je hebt alles wat je maar
zou kunnen willen qua opties...

http://www.dd-wrt.com/
--
Bas Janssen /. ***@dds.nl /. www.bas.dds.nl /. PGP#0x22FA2C9F

Shaw's principle: Build a system that even a fool can use, and only a
fool will want to use it.
Martijn van Buul
2010-01-26 11:58:44 UTC
Permalink
Post by Bas Janssen
Ik ben zelf ook altijd wel tevreden met de wrt routertjes van spul van
linksys.. Niet al te duur, zet DD-WRT erop en je hebt alles wat je maar
zou kunnen willen qua opties...
Ik ben *HEEL* blij dat ik die zooi achter me heb gelaten. Open/DD/Free/wrt
/tomato is een ramp. Ik heb het ongeveer anderhalf jaar gedraaid, en het
was niet best.
--
Martijn van Buul - ***@dohd.org
Martijn van Buul
2010-01-26 12:05:46 UTC
Permalink
Post by Martijn van Buul
Post by Bas Janssen
Ik ben zelf ook altijd wel tevreden met de wrt routertjes van spul van
linksys.. Niet al te duur, zet DD-WRT erop en je hebt alles wat je maar
zou kunnen willen qua opties...
Ik ben *HEEL* blij dat ik die zooi achter me heb gelaten. Open/DD/Free/wrt
/tomato is een ramp. Ik heb het ongeveer anderhalf jaar gedraaid, en het
was niet best.
Mocht iemand daar anders over willen denken: Ik heb nog een Asus WL500GP
in de aanbieding.
--
Martijn van Buul - ***@dohd.org
Bas Janssen
2010-01-26 12:41:29 UTC
Permalink
Post by Martijn van Buul
Post by Bas Janssen
Ik ben zelf ook altijd wel tevreden met de wrt routertjes van spul van
linksys.. Niet al te duur, zet DD-WRT erop en je hebt alles wat je maar
zou kunnen willen qua opties...
Ik ben *HEEL* blij dat ik die zooi achter me heb gelaten. Open/DD/Free/wrt
/tomato is een ramp. Ik heb het ongeveer anderhalf jaar gedraaid, en het
was niet best.
Oh??? Nooit echt problemen mee gehad.. Wat ging er mis bij je?
--
Bas Janssen /. ***@dds.nl /. www.bas.dds.nl /. PGP#0x22FA2C9F

Shaw's principle: Build a system that even a fool can use, and only a
fool will want to use it.
Martijn van Buul
2010-01-26 13:05:21 UTC
Permalink
Post by Bas Janssen
Oh??? Nooit echt problemen mee gehad.. Wat ging er mis bij je?
Wat ging er goed?

* Belabberd packagemanagementsysteem. Geen security updates, ondanks grove
security issues (Botnet!)
* Verdacht weinig software beschikbaar, zelf compileren van dingen omslachtig
en stelt vreemde eisen aan host (Headers van host worden gebruikt voor
het compileren naar de target)
* Matige performance
* Knullige scripts en krakke oplossingen. Nee, 'ssh ***@localhost' is *niet*
hetzelfde als su.
* OpenWRT maakte het nog een tandje erger door maar gewoon te besluiten dat
bestaande hardware maar gewoon niet meer gesupport hoeft te worden. DD-WRT
doet het wat beter op dat gebied.

Verder sloot het niet aan met mijn verwachtingspatroon (maar dat ligt aan
mij)
--
Martijn van Buul - ***@dohd.org
Huub Reuver
2010-01-26 20:52:14 UTC
Permalink
Post by Martijn van Buul
Post by Rob
Post by Martijn van Buul
Als je je wireless de nutteloosheid in wil beschermen kun je hem net zo goed
uitzetten. Bespaart nog stroom ook, en het netto resultaat is vergelijkbaar.
VLANs is niet voor iedereen weggelegd en levert bijkomende problemen op,
Nou als je fatsoenlijke spullen koopt is het geen probleem hoor.
Wat zijn "fatsoenlijke spullen" dan precies? En welke concessies neem je
daarbij op de koop toe?
Mensen in deze nieuwsgroup willen wel eens over het hoofd zien dat ze geen
representatieve consument zijn. De gemiddelde consument *wil* geen corporate
cisco router thuis - maar wel een Nintendo DS en/of Sony PSP, danwel een
wat oudere laptop.
Als je iets wilt neerzetten dat veilig is zit je inderdaad niet meer aan
de *-PSK routers. En dan heb je er dus een auth-server bij te onderhouden.
Alternatief is inderdaad zoals Martijn opmerkt een dood stukje netwerk
voor wifi.

Beide oplossingen zie ik niet zo snel in een huiskamer. Met andere woorden,
tenzij je wifi uitzet moet je er vanuit gaan dat je netwerk meer open
is dan je misschien zou willen.

In de praktijk zie je vaak een combinatie:
wifi staat aan, de beveiliging is standaard alsof het complete netwerk
bekabeld is en de gebruiker denkt dat het net zo veilig is.

Met vriendelijke groet,
Huub Reuver
unknown
2010-01-26 21:28:06 UTC
Permalink
Post by Huub Reuver
wifi staat aan, de beveiliging is standaard alsof het complete netwerk
bekabeld is en de gebruiker denkt dat het net zo veilig is. \
Maar dat is WEP toch? Wired Equivalent Privacy? Toch?

Bart
--
Bart Blogt Beter: blog.friesoft.nl
Martijn Lievaart
2010-01-27 13:19:01 UTC
Permalink
Post by unknown
In de praktijk zie je vaak een combinatie: wifi staat aan, de
beveiliging is standaard alsof het complete netwerk bekabeld is en de
gebruiker denkt dat het net zo veilig is. \
Maar dat is WEP toch? Wired Equivalent Privacy? Toch?
Ik dacht dat het stond voor Will Enable Piracy...

M4

John Bokma
2010-01-26 18:18:43 UTC
Permalink
Post by Rob
Post by Martijn van Buul
Post by Philip Paeps
Iemand die een beetje besef heeft wat wat "wireless" betekent, zorgt ervoor
dat dat ding in een apart vlan hangt en niet gewoon gebridget is! En
vanzelfsprekend draait zo'n access point ook WPA2 met een verstandige keying
policy.
Als je je wireless de nutteloosheid in wil beschermen kun je hem net zo goed
uitzetten. Bespaart nog stroom ook, en het netto resultaat is vergelijkbaar.
VLANs is niet voor iedereen weggelegd en levert bijkomende problemen op,
Nou als je fatsoenlijke spullen koopt is het geen probleem hoor.
Een Dell Axim X51v is geen fatsoenlijk ding? Met WM5 doet het in
iedergeval geen WPA2... (Wel WPA, wat ik dus gebruik).
--
John Bokma j3b

Hacking & Hiking in Mexico - http://johnbokma.com/
http://castleamber.com/ - Perl & Python Development
Loading...