wie wlan wirklich sicher machen

wie wlan wirklich sicher machen

Impressum | Werbung

Geizhals » Forum » Netzwerk »

wie wlan wirklich sicher machen (30 Beiträge, 237 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

in anlehnung an diesen thread: http://forum.geizhals.at/t316333,2224472.html#2224472

ich hab im büro auch ein wlan zu administrieren. bisher dachte ich immer, wep + mac-sperre sollte reichen. jetzt bin ich mir da nicht mehr so sicher.

was alles muss ich machen um das wlan wirklich sicher zu bekommen. oder welche sicherheitseinstellungen bringen aufgrund von was in wirklichkeit gar nix?

WEP, SSID verstecken, MAC Filter ---> sicher die Standardmaßnahmen zur
Sicherung eines WLAN.

per VPN ins eigene Netz (PP2P, IPSEC, ...) über einen Access Server mit User
Verwaltung per RADIUS, TACACS Protokoll

echt nötig? ich mein, wie schwer, oder leicht ist es nur mit oben genanntem ins wlan einzubrechen?

naja mittels genannten Tool, kann man versteckte Netze aufspüren, MAC Adressen herausfinden (da die ja in den gesendeten Paketen enthalten ist), und per zb Airsnort, kannst du mit einer gewissen Anzahl von Paketen den WEP key decrypten.

Wie Triplex schon erwähnte ist WPA natürlich fortschrittlicher, da es dynamische Keys verwendet, sprich der der Key wird in abständen neu generiert, das es natürlich dem "Einbrecher" sehr schwer macht. Der Einbrecher benötigt ja eine gewisse Zeit den key aus den Pakten herauszulesen und bis der diesen hat, gibts schon nen neuen.

WPA unterstützt auch EAP (Extensible Authentication Protocol) zur authentifizierung von Usern.

Amorphis

28.02.2005, 13:40 Uhr - Editiert von Amorphis, alte Version: hier

also müsst ich auf wpa umstellen, richtig?

warat net schlecht ^^
der Sicherheit halber

Clientseitig sollte es natürlich auch unterstützt werden

um wieviele Clients handelt es sich denn ?
Amorphis

28.02.2005, 13:48 Uhr - Editiert von Amorphis, alte Version: hier

eh nur 2. allerdings muss ich (aufgrund von empfangsproblemen) mit einem extra ap als client das signal in ein höheres stockwerk "bridgen". und ob das dann alles noch pfunziwunzifunztatatut wenn ich wpa aktiviere weiß ich nicht so genau. denn der als client eingerichtete ap ist ein anderes model als die beiden eigentlichen ap's....

ui ... na das is bled mit verschiedenen aps ...
also bei cisco aps, die wolln sich nur gegenseitig ^^
Amorphis

cisco will eigentlich nur cisco (können die sich auch leisten marktmässig)

WEP, SSID verstecken, MAC Filter ---> sicher die Standardmaßnahmen zur Sicherung eines WLAN.

Kannst aber alle per Sniffer (zb Kismet) herausfinden und verwenden.

Sicherer wäre natürlich noch eine Benutzerauthentifizierung.
wenn die Verbindung dann steht, eventuell noch eine Verbindung per VPN ins eigene Netz (PP2P, IPSEC, ...) über einen Access Server mit User Verwaltung per RADIUS, TACACS Protokoll

wäre echt sicher, doch für den Enduser sehr verwirrend. Hier wäre eine umfassende Doku wirklich wichtig.

wären mal die ersten Vorschläge von mir, denk aber noch ein bissl nach ^^

lg
Amorphis

28.02.2005, 13:06 Uhr - Editiert von Amorphis, alte Version: hier

auf Layer 1 Ebene wäre es noch zu empfehlen nicht die ganze Ausgangsleistung des APs zu verwenden, viele APs fahren von anfang an mit voller Leistung, sprich eine unnötig große Reichweite ist die Folge.

Gegen WLAN Profis wäre das mit einer Richtantenne dann auch nicht so ein Problem, aber für die MASSE an WLAN Sniffer Kiddies wären das dann alles nicht mehr zu durchbrechende Hindernisse
Amorphis

28.02.2005, 12:56 Uhr - Editiert von Amorphis, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

1) wep aber besser wpa verwenden
2) mac adresse sperren
3) vpn kannst machen falls es dein router bzw. ap kann
4) dhcp deaktivieren -> superparanoid

5) keine standard ip range verwenden ala 192.168.0.1 sondern z.B. 10.1.2.1
6) am router broadcast ssid auschalten

ich glaueb das sollte reichen...
mfg triplex

-------------------------------------------------------------------------------
Wer schneller hört hat mehr davon!

7) passwort ändern am router bzw ap !!
mfg triplex

-------------------------------------------------------------------------------
Wer schneller hört hat mehr davon!

ok, bis auf punkt 5 ist alles gemacht... ich hab halt nur in dem thread gelesen, dass es trotzdem noch möglich ist, die wep verschlüsselung zu knacken und die freien mac-adressen rauszufinden...

freie macs findet geht meines wissens nicht, doch du kannst eine verwendete mac adresse verwenden um mit dieser ins netz zu kommen.
Amorphis

jo wep key ist knackbar. das weiss man aber eh schon länger.
um das zu tun musst du unmengen von daten kopieren über dein wlan damit man den wep key entschlüsseln kann.
also solange du nur surfst und nichts grossartiges saugst hast du nichts zu befürchten.
deshalb sollte man eben wpa verwenden statt wep dort kann man den key nicht rausfinden.
mfg triplex

-------------------------------------------------------------------------------
Wer schneller hört hat mehr davon!

Obwohl das "hide ssid" auf jedenfall aktiviert werden sollte, ist das deaktiveren des DHCPs eigentlich nur unpraktisch. Wenn jemand mal WPA geknackt hat, dann machst du mit dem deaktivieren von DHCP den Hacker nur wütender und er wird vieleicht sogar zum Kracker

http://www.recht-gegen-rechts.de/

warum ist "hide ssid" unpraktisch? ich finde das super, mein wlan findest du nicht mit win xp oder 2k. alleine netstumbler findet ihn zeigt aber auch nur die mac adresse und den hersteller an vom router und sonst nix.
mfg triplex

-------------------------------------------------------------------------------
Wer schneller hört hat mehr davon!

ABER MIT LINUX ^^
Amorphis

Lies meinen Beitrag nocheinmal
Mfg Dogg

http://www.recht-gegen-rechts.de/

Sorry, aber das ist zwar alles verbreitete Meinung, aber komplett falsch.

1.) WEP nutzt nix.
Begründung:
Gegeben seien Klartexte K1, K2, Geheimtexte G1,G2, Schlüssel S
Dann gilt:
K1 XOR S = G1.

WEPn funktioniert wie folgt:
24 Bits initialisierungsvektor (IV)
n-24Bits Schlüssellänge.
Die idee ist, daß du rd. 16Mio alternierende Schlüssel mit n-24Bits Länge hast - soll von der Idee unknackbar sein. LOOOOL. Die hätten mal besser ein Semester Kryptoanalyse besucht.
Denn der IV wird im Klartext übertragen.

Du wirfst also deinen Lappy an und zeichnest den mitgesnifften Datenstrom auf.
Du wartest solange, bis bei 2 Paketen derselbe IV ist..
Dann gilt:
K1 xor S = G1
K2 xor S = G2

S ist ja derselbe, weil derselbe IV.

Dann machst du G1 xor G2 (die 2 hast du ja):
G1 xor G2 = K1 xor S xor K2 xor S      -> umformen
G1 xor G2 = K1 xor S xor S xor K2      -> Irgendwas xor S xor S = Irgendwas
G1 xor G2 = K1 xor K2   -> Der Schlüssel (egal wielange !!!) hat sich weggekürzt !!!!

Und mit dem Wissen G1 xor G2 = K1 xor K2  gibt's recht einfache stochastische Angriffe.

2. mac sperren:
Ich vergeb' mir auf meine Netzwerkkarte jede beliebige MAC.
Das bedeutet, daß ich einfach mitsniffe, welche online ist (das mach ich so oder so - man will ja nicht mit neuer Mac im Netz auffallen) und vergeb' mir dann die Mac eines abgeschalteten PC's. Wenn _niemals_ einer abgeschalten wird, dann erhöh' ich einfach meine Sendeleistung -> und flugs arbeit ich als der PC.
Wobei man net mal eine besondere NW-Karte braucht. Denn dne Promiscuous Mode können alle - notfalls löst man so das mitsniffen/Macsetzen.

3. VPN:
Das ist mal ein richtiger Vorschlag. Nur würd' ich das nie den RTR machen lassen - sondern das ganze WLAN als unsicherstes Medium sehen (analog INet). Daher sollt' ein Rechner VPN-Konzentrator das machen.

4: DHCP deaktivieren:
Bringt nix. Denn schließlich vergibt man sich ja nicht nur dieselbe Mac sondern auch dieselbe IP wie ein "legaler" PC. Schlimmer noch, man bekommt vielleicht durch die DHCPd-Logs evtl. raus, daß da zu einer "falschen" zeit ein Lease vergeben wurde... Die Möglichkeit nehm' ich mir weg, wenn ich DHCP deaktivier.

5: keine standard ip range
siehe oben. Bringt _NIX_

6: am router broadcast ssid auschalten
Argh. Macht's für Windows-Rechner nur unbequemer und bringt auch nix.
RFC-Leser wissen mehr. Auch bei aktivierter WEP-Verschlüsselung (He, ein Oxymoron

) wird die SSID in den Packerln mitübertragen. Der Angreifer hat sie also so oder so.

All das oben ist in Script-Kiddy-Tools enthalten.
Man braucht also net der Super-Hacker sein - es reicht vollkommen, wenn man google bedienen kann....

WPA-PSK ist sicherer.. wenn das dein AP und die Karten können nimm das..
Sinnvoll wäre auch IPSec.

Dann DHCP (falls vorhanden) auch noch mit MAC Sperre einrichten.
Mehr geht ned wirklich

I google, therefore I am
nico

Vote 4 FireFox

Public CSS: server.rawclan.at

*wirklich* sicher kannst du ein WLAN nicht machen, das ist unmöglich.
Du kannst es sicherer machen, aber 100%igen Schutz gibts nie.

Tipp neben den restlichen Empfehlungen: Radius, praktisch Pflich in einer Firma.
--

DiTech postete:
Sie haben offensichtlich 7mal mit dem Goldadler positive Erfahrung gemacht. Bei dieser Menge an Glück sollten Sie Lotto spielen.

no ssid, mac filter und wep sind schon mal nicht so schlechte voraussetzungen...
wenn einer in dein netz will, ist das zwar nicht umöglich, der "durchschnitts-wlan-hacker" wirds bei der konfiguration aber nicht mehr versuchen.

will jemand aber wirklich daten haben braucht er halt ein bisschen zeit, genügend traffic und ein bisschen glück.

also wenns geht würd ich auf wpa umsteigen.. mit alternativen firmwares für den AP bzw den wlan kartn.
das sollte eigentlich schon reichen

noch sicherer bist du, wie schon erwähnt wurde mit vpn, radius usw...

mfg sharjy

Findest du in meinem Posting hier
http://forum.geizhals.at/t308511,2156325.html#2156325

Dein Problem ist grundsätzlich, daß
1.) Ein Büro in Reichweite Prima zum angreifen ist (weil meist praktisch immer WLAN aktiviert).
2.) WEP, SSID-Broadcast-Unterdrückung und Mac-Sperre nix nutzen.

Vorschläge:
Wenn's nicht deine Firma ist:
Mach dem Chef klar, daß
a.) das doch eher 1 Arbeitswoche dauert
b.) die Investition deiner Arbeitszeit absolut wichtig ist, da
b1.) WLAN Infratsruktur ist und ein Ausfall sehr teuer kommen kann
b2.) Mißbrauch des WLANs (zB für illegalen Content, Spam, ... sehr unangenehm seni kann - insbesondere für Firmen, denen eine EDV-Überwachung zuzumuten ist
b3.) Auch die Ausspähung von Daten [insbesondere durch den Mitbewerb] sehr schlimm wirken kann

Wenn's hingegen deine Firma ist:
Source die Aufgabe an mich aus

cu
gepeinigter.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung