Warnung/Checklist...

WLAN Frage von Wlan Laien (11 Beiträge, 782 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Folgende Voraussetzungen:

WLAN-fähiges Notebook, Internetzugriff über Telefonleitung analog.
Ich will einfach nur mit dem Notebook über WLAN (keinen Telefonkabelsalat mehr) im Internet surfen.

Was für ein "WLAN-Gerät" brauche ich (Access Point + Router + Modem wenn ich richtig liege)??
Was könnt ihr mir empfehlen (natürlich günstig

)??
Danke für die Infos!

Gruß Marvin

Re: WLAN Frage von Wlan Laien (Fly am 26.01.2005, 14:50:26)

Re: WLAN Frage von Wlan Laien (ikarus7 am 26.01.2005, 16:09:54)

Re(2): WLAN Frage von Wlan Laien (marvinsmurf am 03.02.2005, 07:58:01)

Re: WLAN Frage von Wlan Laien (TaO am 30.01.2005, 16:59:35)

Hi !

Du hast dein Teil schon gekauft - also ist es wohl zu spät...
Falls es doch hilft: Folgende Checkliste für WLAN-Teile:

1.) Lege besonderen Wert darauf, daß die Teile WPA/AES können.
2.) Kümmer dich drum, daß sie das auch dann können, wenn du WLAN-bridgest
(Achtung: Steht nicht in der Anleitung).
3.) Einschränkungen auf MAC/IP, Nicht-Broadcasten der SSID sind _kein_ Schutz - vergiß' das (macht's nur unbequemer und bringt NULL).
4.) Achte darauf, daß sich dein WLAN-RTR so einstellen läßt, daß er _NICHT_ aus dem WLAN wartbar ist.

Für die Punkte 1-3 gibt's Script-kiddy-tools, die ausnutzen, wenn Du dich nicht daran hältst.

Als Checklist mag das reichen. Nun zur bißchen-Nerd-Begründung:
Dein Bedrohungsbild sind alle, die dein WLAN mitbenutzen wollen/können.
Als realistisches Szenario würde ich mir vorstellen, daß gegen alles, was sich via Tools durch Skript-Kiddies _ohne_ irgendein KnowHow nutzen läßt, Abwehrmaßnahmen getroffen werden sollen, daher kam meine Liste.
1: AFAIK bieten alle WLAN-Teile Verschlüsselung. Man teilt sie grob in WPA und WEP. WEP wird meist in den Stufen WEP64, WEP128,WEP256 angeboten. Das Problem ist, daß WEP einen Designfehler hat und WEP64 gleich schnell offen ist wie WEP128 wie WEP18Millionen...
Ein Angreifer mit einem altem Laptop und 1GB Platz zum Mitsniffen reicht, damit er ganz sicher dein WEP geknackt hat. (Man greift nicht den Schlüssel, sondern den Initialisierungsvektor (der immer gleich bei 24Bit bleibt) an, den WEP im Klartext überträgt).
Die Menge hast i.d.R. recht schnell zusammen - in ein paar Stunden.
WPA ist der "advanced" Standard. WPA implementiert beim Krypten meist TKIP (Standard), es gibt aber auch schon AES-Lösungen. AES ist der "Advanced Encryption Standard" und gilt als vor allem außer der NSA sicher. Meist klappt das aber nur innerhalb von Produkten desselben Herstellers.

2.) Belkin bietet zB WPA mit TKIP und AES - aber das klappt nicht mehr, wenn du eine WLAN-Bridge aufbaust. (WLAN-Bridge: Wenn du zwischen dem RTR und dem Endgerät keine Verbindung aufbaust, kannst du von der Idee noch einen RTR nehmen und in die Mitte stellen). Dann bietet Belkin nur noch WEP - also keinen Schutz. Vermeide Belkin und sieh' dich bei den anderen Herstellern um.

3.)
SSID: wird zB bei WEP weiterhin im Klartext in den Paketen übertragen - der Angreifer kriegt sie automatisch mit, wenn er mitsniffed.
MAC/IP: Wenn ich angreife, sniff' ich halt zuerst mit, welche Macs/IPs vorhanden sind - und hab dann 2 Varianten:
a.) Ich wart, bis du deinen Lappy abdrehst oder
b.) Ich geh' mit mehr Leistung rein
und vergeb' mir dieselbe MAC/IP.

4.) Die Idee dahinter ist, daß wenn einer mal reingekommen ist, er nicht gleich noch mehr öffnet.

Wenn du wirklich Sicherheit willst (also nicht nur vor Kiddies), geht's ohne extra-PC (darf gerne alt sein - Pentium66 reicht) nimmer.
Das bedeutet dann, daß du den PC so konfigurierst, daß er deine Modem-Verbindung aufbaut.
Ungefähre Beispiel-Config:
INet --- VPN-Concentrator (alter PC)(V) -- WLAN-RTR(W) -- Laptop(L).
W: hat ein WLAN-Netz - zB 192.168.0.1 und Natted alles auf ein anderes am WAN-Port (zB 192.168.2.100)

V: verwirft alles von 192.168.2.100 - außer den VPN-Port. Dein eigenes WLAN-Netz (192.168.0.0) betrachtest du als gleich feindlich wie das INet bei der Config von V. V hängt via ethernet am WAN-Port von W.

Der Ablauf sei dann wie folgt:
1.) L bekommt eine IP aus dem WLAN-Netz zugewiesen (da die IP eh kein Schutz ist, kannst gerne den bequemen DHCP-Mechanismus vom RTR verwenden).
2.) Der WLAN-RTR natted auf 192.168.2.100.
3.) L baut einen verschlüsselten VPN-Kanal zu V auf.
4.) V gibt L eine neue IP - zB 192.168.4.1

Wichtig dabei ist die Auswahl des VPN.
Bei Windows-Clients hast IPSec und PPTP-Clients als Bordmittel dabei (Verbinden mit Firmennetz oder so). IPSec- und PPTP-Concentratoren kannst auch mit Linux gut auf V betreiben (IPSec ist in Vanilla drin, PPTP->PoPToP). Beide haben aber Probleme mit NAT (wegen GRE).

Ich würde dir daher zu openvpn.sf.net anraten - das klappt unter allen verbreiteten Systemen (Linux/Mac/Win/BSD/...), ist echt einfach zu verwenden und bietet starke Kryptographie (Hab mich daheim dafür entschieden).

Im Endeffekt kann zwar weiterhin jeder Wardriver dein Netz stören (WLAN-Immanent - shared Medium) - aber mehr als Störsender kann er net spielen. Er bekommt dann sogar brav eine IP zugewiesen - die er aber net nutzen kann (nicht einmal um L anzugreifen, denn L wird so konfiguriert, daß L auch alles aus dem 192.168.0er-Netz verwirft).

Der Vorteil bei der VPN-Lösung ist, daß du den billigsten WLAN-RTR nehmen kannst (denn schließlich baut V dann die INet-Connection auf), daß du weit mehr Sicherheit hast, und daß diese Lösung wahrscheinlich bei einem Technologiewechsel (ISDN/schnelleres ADSL/Chello/sonstwas) seeehr wahrscheinlich leicht adaptieren kannst. Der Aufwand für die Konfig ist zwar einmalig zugegeben sehr hoch, bei jedem weiteren Teil aber seeeehr einfach.

cu
gepeinigter.

Re: Warnung/Checklist... (patos am 18.03.2005, 20:02:55)

Re(2): Warnung/Checklist... (gepeinigter_aon_neukunde am 18.03.2005, 22:05:55)

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung