F: Wlan-Security

Re: F: Wlan-Security

Marne — Sun, 08 May 2011 19:00:25 GMT

802.1x mit WPA2 - unschlagbar

Re(3): F: Wlan-Security

athis — Sun, 08 May 2011 16:09:08 GMT

genau - merkt man garnicht!

Re(2): F: Wlan-Security

mfe-pc.de — Fri, 06 May 2011 07:06:29 GMT

Hallo,

also es ist völlig ausreichend wenn die Verschlüsselung auf dem höchsten Stand des Gerätes ist, in diesem Fall WPA2 AES, inkl. langem Passwort mit Sonderzeichen.

Wenn dann doch einer in dein LAN möchte, dass muss er es gar nicht per WLAN probieren, sondern hängt sich an ein Kabel...

Das dauert dann keine Moante das PW zu errechnen .-)

Wichtig ist dann also, dass alle Freigaben an den PCs, NAS und etc. wieder entsprechend mit Username und PW geschützt sind.

Selbst wenn dann jemand im LAN sein sollte, kann er nicht viel erreichen kurzfristig.

Und wenn erst einmal unser Bundestrojaner bei Dir installiert ist, dann hast Du sowieso keine Chance mehr

Gruß
MAFL

Re: F: Wlan-Security

Devil's Sidekick — Fri, 29 Apr 2011 10:24:19 GMT

SSID auf einen Namen setzten der einprägsam und einzigartig ist aber nicht verrät wem das Wlan gehört.

WPA2-AES
langes (20+ Zeichen), zufälliges Passwort aus Zahlen, sowie großen und kleinen Buchstaben.

Alle anderen Maßnahmen machen es manchen Geräten unmöglich eine Verbindung herzustellen.

für WPA2-AES gibts derzeit keinen Hack außer Bruteforce und Dictionary also kannst dich entspannen.

Re(2): F: Wlan-Security

skareb — Fri, 29 Apr 2011 08:47:29 GMT

300 Sekunden erscheint mir etwas übertrieben kurz oder? Aber da merkt man performancemäßig wahrscheinlich eh nix denk ich

Re(6): F: Wlan-Security

kombipaket — Tue, 26 Apr 2011 19:06:33 GMT

Öd ist es natürlich wenn das irgendwelche Dinger sind die mit einer normalen TV FB via OSD den Key eingetippt bekommen.

Yup - ich denke da auch an WLAN-Inet-Radios...

Re(5): F: Wlan-Security

Desolationrob — Tue, 26 Apr 2011 18:38:08 GMT

aber sagen wir einmal pro Monat kann man das ding schon ändern imho. Inbesondere angenehm wenn man wenige oder fast ausschließlich WPS Geräte hat. Öd ist es natürlich wenn das irgendwelche Dinger sind die mit einer normalen TV FB via OSD den Key eingetippt bekommen.

Re: F: Wlan-Security

athis — Tue, 26 Apr 2011 15:48:56 GMT

wpa2-aes ist vollkommen ausreichend und auch mit einem cluster nicht zu knacken... erst recht, wenn du zB den key-renew-interval auf zB 300sekunden stellst.

lg

Re(4): F: Wlan-Security

kombipaket — Tue, 26 Apr 2011 15:16:39 GMT

Ja eh - weil üblicherweise die Gefahr besteht, dass
- er irgendwann "leakt"
- er irgendwann mit Brute-Force geknackt werden kann.

In einem _Heimnetzwerk_ sehe ich Gefahr (i) nicht.... Und bei langen AES-Schlüsseln die Gefahr 2 auch nicht.

Re(3): F: Wlan-Security

Desolationrob — Tue, 26 Apr 2011 08:23:12 GMT

weil es ein Standardverfahren ist den Key zu ändern, fertig.

Re: F: Wlan-Security

momo77 — Mon, 25 Apr 2011 20:35:46 GMT

Meine Sendeleistung ist auch nur so hoch wie ich es in der Wohnung unbedingt brauche. Ich "strahle" sogut wie garnicht nach außen. Sicher auch nicht verkehrt... so nach dem Motto "Ein Ziel was man nicht sieht kann man schwer angreifen"

Re(2): F: Wlan-Security

matrox — Mon, 25 Apr 2011 12:48:58 GMT

also meiner bescheidenen meinung nach, alles was es erschwert anmachen
auch mac filter und ssid broadcast aus... klar das bringt eigentlich nichts
wenn einer wirklich in dein wlan will ABER sie es mal aus der sicht eines s.g.
wardrivers... warum sich die mühe antun anstatt einfach n wlan zu nehmen das
wep, ssid b. active dhcp active und kein mac filtering hat... davon fliegen
jede menge rum... und da würde ich persönlich wenn ich sowas machen würde
sicher nicht vor nem haus stehnbleiben wo es schwer is reinzukommen... pff 100
meter weiter gibts ein wep wlan mit 0 sicherheitsmaßnahmen offen in sekunden
bis maximal minuten... der mensch geht im normalfall immer den weg des
geringsten

in die richtung habe ich anfangs auch gedacht. da aber wpa2-aes derzeit sowieso eine schwer zu umgehende hürde ist und mir die anderen features nur die administration erschweren, werde ich auf weitere maßnahmen verzichten.

der artikel
http://technet.microsoft.com/en-us/library/bb726942.aspx#EDAA
beschreibt die probleme bei disable ssid-brodcast

Re(2): F: Wlan-Security

matrox — Mon, 25 Apr 2011 12:48:58 GMT

also meiner bescheidenen meinung nach, alles was es erschwert anmachen
auch mac filter und ssid broadcast aus... klar das bringt eigentlich nichts
wenn einer wirklich in dein wlan will ABER sie es mal aus der sicht eines s.g.
wardrivers... warum sich die mühe antun anstatt einfach n wlan zu nehmen das
wep, ssid b. active dhcp active und kein mac filtering hat... davon fliegen
jede menge rum... und da würde ich persönlich wenn ich sowas machen würde
sicher nicht vor nem haus stehnbleiben wo es schwer is reinzukommen... pff 100
meter weiter gibts ein wep wlan mit 0 sicherheitsmaßnahmen offen in sekunden
bis maximal minuten... der mensch geht im normalfall immer den weg des
geringsten

Re: F: Wlan-Security

MaxPower81 — Sun, 24 Apr 2011 19:33:00 GMT

also meiner bescheidenen meinung nach, alles was es erschwert anmachen auch mac filter und ssid broadcast aus... klar das bringt eigentlich nichts wenn einer wirklich in dein wlan will ABER sie es mal aus der sicht eines s.g. wardrivers... warum sich die mühe antun anstatt einfach n wlan zu nehmen das wep, ssid b. active dhcp active und kein mac filtering hat... davon fliegen jede menge rum... und da würde ich persönlich wenn ich sowas machen würde sicher nicht vor nem haus stehnbleiben wo es schwer is reinzukommen... pff 100 meter weiter gibts ein wep wlan mit 0 sicherheitsmaßnahmen offen in sekunden bis maximal minuten... der mensch geht im normalfall immer den weg des geringsten *TRÖT*s...

und nur so nebenbei wpa != wpa2... vorsicht...

klar erschweren dir diese ganzen zusatzmaßnahmen ca in gleichem aufwand das leben wie dem "hacker" aber wenn dus so sicher wie möglich machen willst würde ich es nicht einfach ignorieren ganz nach dem motto every little bit helps!

das sicherste wäre natürlich zusätzlich zum wlan und den ganzen sicherheitsmaßnahmen das wlan nicht direkt in dein lan zu routen sondern einen vpn server dazwischenzuschalten... dann wird das ganze für einen hacker echt mühsam und sofern du nicht die codes für den tresor der nationalbank auf deinem pc hast auch den aufwand nicht wert

Re(4): F: Wlan-Security

momo77 — Sun, 24 Apr 2011 08:49:45 GMT

Ich nehme da immer ein Wort mit nicht zuvielen Buchstaben und gebe dann jeden Buchstaben 10x ein. Somit merkst du dir das Passwort auch leicht

Beispiel: Quaxi
qqqqqqqqqquuuuuuuuuuaaaaaaaaaaxxxxxxxxxxiiiiiiiiii

Ist bestimmt nicht so sicher wie bunt gemischte Zeichen aber besser als ein 4 stelliges Passwort ist es allemal
Ein Wort mit Umlauten ist das auch nicht verkehrt.

Re(4): F: Wlan-Security

momo77 — Sun, 24 Apr 2011 08:49:45 GMT

Re: F: Wlan-Security

m3t4tr0n — Sun, 24 Apr 2011 06:46:10 GMT

Netzwerknamen ändern (also statt "Linksys" lieber "MeinWLAN").

Der Netzwerkname wird zum Salting verwendet, und wenn der gleiche Salt-Wert von vielen benutzt wird, verliert er an Wirkung (da man beim Aufbau diverser Tabellen für einen Angriff einfach von diesen Wert benutzt).

Re: F: Wlan-Security

m3t4tr0n — Sun, 24 Apr 2011 06:46:10 GMT

Re(3): F: Wlan-Security

kombipaket — Sat, 23 Apr 2011 20:21:13 GMT

Wenn AES geknackt werden kann, gibt es etwas empfindlichere Probleme als WLANs .

Es hängt hier nur wirklich von der Länge deines Schlüssels ab.
Nachdem es Dir ja nur darum geht, einen Zugriff OTA abzuwehren:

Nimm einen LAAAANGEn (Size DOES matter ) - und schreib ihn auf einen Zettel auf.
Wenn einer in dein Haus kommt und den findet, hast eh schon ganz andere Probleme...

Re(2): F: Wlan-Security

matrox — Sat, 23 Apr 2011 19:54:43 GMT

Also vieles davon sind "religiöse Fragen"

danke, ich habe es jetzt so eingerichtet

bin mal gespannt, wie lange es dauern wird bis wpa2 aes gecrackt wird....

Re(2): F: Wlan-Security

matrox — Sat, 23 Apr 2011 19:54:43 GMT

Also vieles davon sind "religiöse Fragen"

danke, ich habe es jetzt so eingerichtet
bin jetzt auch draufgekommen, dass es gar nicht anders funktionieren würde. auf meinem laptop bin ich nicht admin und da funktioniert nur dhcp...

bin mal gespannt, wie lange es dauern wird bis wpa2 aes gecrackt wird....

Re(2): F: Wlan-Security

kombipaket — Sat, 23 Apr 2011 18:26:29 GMT

Wobei ein langer, unerratbarer Key mit Sonderzeichen und Zahlen wohl sicherer sein wird als oftmaliges Key-wechseln .

Warum würdest Du überhaupt den Key wechseln ?
Wenn Du einen ausreichend langen Key hast (um BruteForce auszuschließen) sehe ich keinen Vorteil darin...

Re: F: Wlan-Security

Desolationrob — Sat, 23 Apr 2011 16:58:19 GMT

WPA2 nutzen, regelmässig key ändern, fertig

Re: F: Wlan-Security

kombipaket — Sat, 23 Apr 2011 15:08:59 GMT

Also vieles davon sind "religiöse Fragen" .

Meine Meinung:
(i) DHCP sperren, Mac-Adressen sperren, SSID sperren, ... sind obsolet.
(ii) WPA mit AES ist sehr stark

Die Punke aus (i) machen es nur für Dich unbequem, ohne deine Sicherheit real zu erhöhen.

Alternativ könntest auch ein VPN über WLAN betreiben (das ist ja genau der Sinn eines VPN: Sicherer Datentransport über unsichere Netze).

Dann würde schon WEP reichen (das sollte zumindest sein, damit ein Angreifer auch rechtliche Probleme bekommen kann). Die Clients könnten sich im WLAN dann nur beim Concentrator anmelden und von dort weiterfahren. Jedem Client würdest sagen, dass er alles - ausser im VPN - wegwerfen soll.

Wenn alle deine Geräte WPA/AES sprechen - reicht das IMHO.

F: Wlan-Security

matrox — Sat, 23 Apr 2011 14:52:10 GMT

Welche Wlan-Security Features außer WPA2-AES sollte man verwenden (DSL in Privatwohnung, Stadtgebiet)?

Ursprünglich hatte ich geplant, auch DHCP Disable, Mac-Filter + Disable SSID Brodcast zu aktivieren.
Lt. div. Inet Seiten ist das alles Unsinn und bringt überhaupt nix, da man a) Mac-Adressen im Klartext mitsniffen kann + b) die SSID auch von Clients ausgesendet wird und c) es nicht schwierig ist, eine brauchbare IP-Adresse im Netzwerk herauszufinden.

Ist also WPA2-AES alleine eine gute Lösung?

edith: ich habe eine linksys wrt54gs mit dd wrt wrt firmware. Allerdings einen V7 mit nur 2MB Flash.

F: Wlan-Security

matrox — Sat, 23 Apr 2011 14:52:10 GMT