WLAN Frage von Wlan Laien

Re(2): Warnung/Checklist...

gepeinigter_aon_neukunde — Fri, 18 Mar 2005 21:05:55 GMT

Hmm...

Das stimmt natürlich und streit' ich ja auch nicht ab.
Wobei - die Bedingung ist, daß alle Teile dann - wie du schreibst - WPA können.

Spanner-Schutz ist üpbrigens net des einzige Problem - viel mehr Sorgen hätt' ich bei Man-in-the-Middle-Attacks zu Bankverbindungen... Auf heise-Security werden ausgereifte Tools dazu erwähnt...

Re: Warnung/Checklist...

patos — Fri, 18 Mar 2005 19:02:55 GMT

Nur.. du musst einen PC 24/7 rennen haben und das will nicht jeder. Für jeden normalsterblichen deren Videos ich nicht einmal ungewollt sehen möchte, ist WPA als "Spanner-Schutz" ausreichend.

Warnung/Checklist...

gepeinigter_aon_neukunde — Thu, 03 Feb 2005 11:55:13 GMT

Hi !

Du hast dein Teil schon gekauft - also ist es wohl zu spät...
Falls es doch hilft: Folgende Checkliste für WLAN-Teile:

1.) Lege besonderen Wert darauf, daß die Teile WPA/AES können.
2.) Kümmer dich drum, daß sie das auch dann können, wenn du WLAN-bridgest
(Achtung: Steht nicht in der Anleitung).
3.) Einschränkungen auf MAC/IP, Nicht-Broadcasten der SSID sind _kein_ Schutz - vergiß' das (macht's nur unbequemer und bringt NULL).
4.) Achte darauf, daß sich dein WLAN-RTR so einstellen läßt, daß er _NICHT_ aus dem WLAN wartbar ist.

Für die Punkte 1-3 gibt's Script-kiddy-tools, die ausnutzen, wenn Du dich nicht daran hältst.

Als Checklist mag das reichen. Nun zur bißchen-Nerd-Begründung:
Dein Bedrohungsbild sind alle, die dein WLAN mitbenutzen wollen/können.
Als realistisches Szenario würde ich mir vorstellen, daß gegen alles, was sich via Tools durch Skript-Kiddies _ohne_ irgendein KnowHow nutzen läßt, Abwehrmaßnahmen getroffen werden sollen, daher kam meine Liste.
1: AFAIK bieten alle WLAN-Teile Verschlüsselung. Man teilt sie grob in WPA und WEP. WEP wird meist in den Stufen WEP64, WEP128,WEP256 angeboten. Das Problem ist, daß WEP einen Designfehler hat und WEP64 gleich schnell offen ist wie WEP128 wie WEP18Millionen...
Ein Angreifer mit einem altem Laptop und 1GB Platz zum Mitsniffen reicht, damit er ganz sicher dein WEP geknackt hat. (Man greift nicht den Schlüssel, sondern den Initialisierungsvektor (der immer gleich bei 24Bit bleibt) an, den WEP im Klartext überträgt).
Die Menge hast i.d.R. recht schnell zusammen - in ein paar Stunden.
WPA ist der "advanced" Standard. WPA implementiert beim Krypten meist TKIP (Standard), es gibt aber auch schon AES-Lösungen. AES ist der "Advanced Encryption Standard" und gilt als vor allem außer der NSA sicher. Meist klappt das aber nur innerhalb von Produkten desselben Herstellers.

2.) Belkin bietet zB WPA mit TKIP und AES - aber das klappt nicht mehr, wenn du eine WLAN-Bridge aufbaust. (WLAN-Bridge: Wenn du zwischen dem RTR und dem Endgerät keine Verbindung aufbaust, kannst du von der Idee noch einen RTR nehmen und in die Mitte stellen). Dann bietet Belkin nur noch WEP - also keinen Schutz. Vermeide Belkin und sieh' dich bei den anderen Herstellern um.

3.)
SSID: wird zB bei WEP weiterhin im Klartext in den Paketen übertragen - der Angreifer kriegt sie automatisch mit, wenn er mitsniffed.
MAC/IP: Wenn ich angreife, sniff' ich halt zuerst mit, welche Macs/IPs vorhanden sind - und hab dann 2 Varianten:
a.) Ich wart, bis du deinen Lappy abdrehst oder
b.) Ich geh' mit mehr Leistung rein
und vergeb' mir dieselbe MAC/IP.

4.) Die Idee dahinter ist, daß wenn einer mal reingekommen ist, er nicht gleich noch mehr öffnet.

Wenn du wirklich Sicherheit willst (also nicht nur vor Kiddies), geht's ohne extra-PC (darf gerne alt sein - Pentium66 reicht) nimmer.
Das bedeutet dann, daß du den PC so konfigurierst, daß er deine Modem-Verbindung aufbaut.
Ungefähre Beispiel-Config:
INet --- VPN-Concentrator (alter PC)(V) -- WLAN-RTR(W) -- Laptop(L).
W: hat ein WLAN-Netz - zB 192.168.0.1 und Natted alles auf ein anderes am WAN-Port (zB 192.168.2.100)

V: verwirft alles von 192.168.2.100 - außer den VPN-Port. Dein eigenes WLAN-Netz (192.168.0.0) betrachtest du als gleich feindlich wie das INet bei der Config von V. V hängt via ethernet am WAN-Port von W.

Der Ablauf sei dann wie folgt:
1.) L bekommt eine IP aus dem WLAN-Netz zugewiesen (da die IP eh kein Schutz ist, kannst gerne den bequemen DHCP-Mechanismus vom RTR verwenden).
2.) Der WLAN-RTR natted auf 192.168.2.100.
3.) L baut einen verschlüsselten VPN-Kanal zu V auf.
4.) V gibt L eine neue IP - zB 192.168.4.1

Wichtig dabei ist die Auswahl des VPN.
Bei Windows-Clients hast IPSec und PPTP-Clients als Bordmittel dabei (Verbinden mit Firmennetz oder so). IPSec- und PPTP-Concentratoren kannst auch mit Linux gut auf V betreiben (IPSec ist in Vanilla drin, PPTP->PoPToP). Beide haben aber Probleme mit NAT (wegen GRE).

Ich würde dir daher zu openvpn.sf.net anraten - das klappt unter allen verbreiteten Systemen (Linux/Mac/Win/BSD/...), ist echt einfach zu verwenden und bietet starke Kryptographie (Hab mich daheim dafür entschieden).

Im Endeffekt kann zwar weiterhin jeder Wardriver dein Netz stören (WLAN-Immanent - shared Medium) - aber mehr als Störsender kann er net spielen. Er bekommt dann sogar brav eine IP zugewiesen - die er aber net nutzen kann (nicht einmal um L anzugreifen, denn L wird so konfiguriert, daß L auch alles aus dem 192.168.0er-Netz verwirft).

Der Vorteil bei der VPN-Lösung ist, daß du den billigsten WLAN-RTR nehmen kannst (denn schließlich baut V dann die INet-Connection auf), daß du weit mehr Sicherheit hast, und daß diese Lösung wahrscheinlich bei einem Technologiewechsel (ISDN/schnelleres ADSL/Chello/sonstwas) seeehr wahrscheinlich leicht adaptieren kannst. Der Aufwand für die Konfig ist zwar einmalig zugegeben sehr hoch, bei jedem weiteren Teil aber seeeehr einfach.

cu
gepeinigter.

Re(2): WLAN Frage von Wlan Laien

marvinsmurf — Thu, 03 Feb 2005 06:58:01 GMT

Danke für den Tipp!!
Habs gekauft; easy intallation; funktioniert tadellos.

Gruß Marvinsmurf

Re: WLAN Frage von Wlan Laien

TaO — Sun, 30 Jan 2005 15:59:35 GMT

Auch ich bin ein Neuling in diesem Bereich.
Habe versucht in den letzten Tagen ein paar Infos zu sammeln.

Wenn du nur kabellos surfen willst, dann kannst du ja vielleicht über ein Bluetooth-Set (Empfänger+Modem => ~70-80 EUR) nachdenken.
"http://geizhals.at/deutschland/?cat=blue&sort=p&bpmax=&asuch=modem&filter=+Angebote+anzeigen+"

Das ganze wird natürlich komplizierter, wenn du über ein analoges Modem per WLAN ins Internet gehen willst. Meines Wissens nach, gibt es nur wenige WLAN-Router, die über einen seriellen Abschluß für ein analoges Modem verfügen. Standard hier ist ein RJ45-Anschluß für DSL-Modems.

allgm. Aufbau ist: (ohne Gewehr )

Tel.Anschluß>--(DSL-Splitter)-->Modem-->Router>>>>>>>>Empfänger am Notebook (wie z.B. WLAN-Karte/USB-Adapter, ...)

Ausführliche Infos bekommst du unter:
"http://www.tomsnetworking.com/NeedToKnows.php"

Falls du noch keinen Empfänger am Notebook hast, dann würde ich mal diesen Thread unter Beobachtung stellen
"http://forum.geizhals.at/t309499.html"
...
(Falls überhaupt jemand demnächst was dazu äußern sollte.)

im Übrigen reichen dir bei einer analog Konfiguration ansonsten schon 802.11a/b WLAN-Geräte. 802.11g ist eigentlich schon overkill hierfür.

Cha\o.

Re: WLAN Frage von Wlan Laien

TaO — Sun, 30 Jan 2005 15:59:35 GMT

Auch ich bin ein Neuling in diesem Bereich.
Habe versucht in den letzten Tagen ein paar Infos zu sammeln.

Wenn du nur kabellos surfen willst, dann kannst du ja vielleicht über ein Bluetooth-Set (Empfänger+Modem => ~70-80 EUR) nachdenken.
"http://geizhals.at/deutschland/?cat=blue&sort=p&bpmax=&asuch=modem&filter=+Angebote+anzeigen+"

Das ganze wird natürlich komplizierter, wenn du über ein analoges Modem per WLAN ins Internet gehen willst. Meines Wissens nach, gibt es nur wenige WLAN-Router, die über einen seriellen Abschluß für ein analoges Modem verfügen. Standard hier ist ein RJ45-Anschluß für DSL-Modems.

allgm. Aufbau ist: (ohne Gewehr )

Tel.Anschluß--DSL-Splitter]-->Modem-->Router>>>>>>>>Empfänger am Notebook (wie z.B. WLAN-Karte/USB-Adapter, ...)

Ausführliche Infos bekommst du unter:
"http://www.tomsnetworking.com/NeedToKnows.php"

Falls du noch keinen Empfänger am Notebook hast, dann würde ich mal diesen Thread unter Beobachtung stellen
"http://forum.geizhals.at/t309499.html"
...
(Falls überhaupt jemand demnächst was dazu äußern sollte.)

im Übrigen reichen dir bei einer analog Konfugiration ansonsten schon 802.11a/b WLAN-Geräte. 802.11g ist eigentlich schon overkill hierfür.

Cha\o.

Re: WLAN Frage von Wlan Laien

TaO — Sun, 30 Jan 2005 15:59:35 GMT

Auch ich bin ein Neuling in diesem Bereich.
Habe versucht in den letzten Tagen ein paar Infos zu sammeln.

Wenn du nur kabellos surfen willst, dann kannst du ja vielleicht über ein Bluetooth-Set (Empfänger+Modem => ~70-80 EUR) nachdenken.
"http://geizhals.at/deutschland/?cat=blue&sort=p&bpmax=&asuch=modem&filter=+Angebote+anzeigen+"

Das ganze wird natürlich komplizierter, wenn du über ein analoges Modem per WLAN ins Internet gehen willst. Meines Wissens nach, gibt es nur wenige WLAN-Router, die über einen seriellen Abschluß für ein analoges Modem verfügen. Standard hier ist ein RJ45-Anschluß für DSL-Modems.

allgm. Aufbau ist: (ohne Gewehr )

Tel.Anschluß--DSL-Splitter)-->Modem-->Router>>>>>>>>Empfänger am Notebook (wie z.B. WLAN-Karte/USB-Adapter, ...)

Ausführliche Infos bekommst du unter:
"http://www.tomsnetworking.com/NeedToKnows.php"

Falls du noch keinen Empfänger am Notebook hast, dann würde ich mal diesen Thread unter Beobachtung stellen
"http://forum.geizhals.at/t309499.html"
...
(Falls überhaupt jemand demnächst was dazu äußern sollte.)

im Übrigen reichen dir bei einer analog Konfugiration ansonsten schon 802.11a/b WLAN-Geräte. 802.11g ist eigentlich schon overkill hierfür.

Cha\o.

Re: WLAN Frage von Wlan Laien

TaO — Sun, 30 Jan 2005 15:59:35 GMT

Auch ich bin ein Neuling in diesem Bereich.
Habe versucht in den letzten Tagen ein paar Infos zu sammeln.

Wenn du nur kabellos surfen willst, dann kannst du ja vielleicht über ein Bluetooth-Set (Empfänger+Modem => ~70-80 EUR) nachdenken.
"http://geizhals.at/deutschland/?cat=blue&sort=p&bpmax=&asuch=modem&filter=+Angebote+anzeigen+"

Das ganze wird natürlich komplizierter, wenn du über ein analoges Modem per WLAN ins Internet gehen willst. Meines Wissens nach, gibt es nur wenige WLAN-Router, die über einen seriellen Abschluß für ein analoges Modem verfügen. Standard hier ist ein RJ45-Anschluß für DSL-Modems.

allgm. Aufbau ist: (ohne Gewehr )

Tel.Anschluß>--(DSL-Splitter)-->Modem-->Router>>>>>>>>Empfänger am Notebook (wie z.B. WLAN-Karte/USB-Adapter, ...)

Ausführliche Infos bekommst du unter:
"http://www.tomsnetworking.com/NeedToKnows.php"

Falls du noch keinen Empfänger am Notebook hast, dann würde ich mal diesen Thread unter Beobachtung stellen
"http://forum.geizhals.at/t309499.html"
...
(Falls überhaupt jemand demnächst was dazu äußern sollte.)

im Übrigen reichen dir bei einer analog Konfugiration ansonsten schon 802.11a/b WLAN-Geräte. 802.11g ist eigentlich schon overkill hierfür.

Cha\o.

Re: WLAN Frage von Wlan Laien

ikarus7 — Wed, 26 Jan 2005 15:09:54 GMT

So blöd es auch klingen mag ... beim Eduscho haben die jetzt ein Bluetooth Analog Modem mit Cl. A Chip ( 100m ) um 79,90 oder so ....

Re: WLAN Frage von Wlan Laien

Fly — Wed, 26 Jan 2005 13:50:26 GMT

Was Du im Prinzip brauchst (sofern Dein Notebook WLan eingebaut hat, was die meisten aktuellen haben) ist ein WLan Router, der mit analogen Anlagen kann. Gibt's als all-in-one Gerät, was erstens günstiger ist als 3 Geräte und zweitens auch den Kabelsalat zwischen diesen verhindert.

WLAN Frage von Wlan Laien

marvinsmurf — Wed, 26 Jan 2005 13:36:59 GMT

Folgende Voraussetzungen:

WLAN-fähiges Notebook, Internetzugriff über Telefonleitung analog.
Ich will einfach nur mit dem Notebook über WLAN (keinen Telefonkabelsalat mehr) im Internet surfen.

Was für ein "WLAN-Gerät" brauche ich (Access Point + Router + Modem wenn ich richtig liege)??
Was könnt ihr mir empfehlen (natürlich günstig )??
Danke für die Infos!

Gruß Marvin