WLAN sichern

[beatnut]

Also bei meinem Router gibt es mehrere Wege, um anderen Rechnern den Zutritt zum WLAN zu verweigern. Frage ist jetzt nur: Welchen soll ich nehmen?

Zu allerst: Mal weg von WEP und WPA* - würde es nicht reichen, wenn ich in der sog. "Wireless Card Access List" die MAC-Adresse von meinem Laptop eintrage und dann n Häckchen bei "Turn Access Control On" setze? Oder kann man dann mit anderen Rechnern trotzdem irgendwie rein?

Hab das eben mal ausprobiert. Übern normalen Rechner aktiviert und dann mit dem Laptop nicht mehr reingekommen. Aber vielleicht gibts ja noch n Hintertürchen

So jetzt zu den anderen Möglichkeiten (falls das erste nicht sicher ist):
- WEP
- WPA-PSK [TKIP]
- WPA2-PSK [AES]
- WPA-PSK [TKIP] + WPA2-PSK [AES]

Ich gehe mal davon aus, dass es von oben nach unten immer sicherer wird (aber damit auch immer mehr Übertragungsrate flöten geht).

Also: Falls das mit der "nur meine MAC-Adresse zulassen" nicht wirklich sicher ist - was würdet ihr mir empfehlen? Die Krönung wäre natürlich ne Begründung

[cutie]

Kannst du haben

Also der MAC-Filter allein reicht dir nich. Mit etwas Wissen und etwas krimineller Energie (oder einfach nur der Spannung zu testen ob man tortzdem reinkommt) is es ein leichtes das zu überwinden.

Gleiches gilt für WEP (is zwar schon besser, aber nicht mehr ausreichend, wenn du also ne andre möglichkeit hast solltest du was andres wählen!).

Mit deiner Vermutung, dass es in der Liste von oben nach unten immer sicherer wird liegst du fast richtig.
Ausser der letzte Eintrag, wenn dus dir genau anguggst erkennst du sicher, dass dies eine kombinierte Lösung aus WPA & WPA2 ist. Bietet also maximal die Sicherheit von WPA.
Musst halt wissen was deine WLAN-Clients so können. Verschlüsselung is absolutes Muss wenn du andre draussen halten willst. Natürlich würd ich dir WPA2 empfehlen, wenn du allerdings nen Client hast der nur WPA kann würd ich wohl zu der kombinierten Lösung greifen.
WEP kann ich dir eigentlich nicht mehr empfehlen!
Falls du Clients besitzt die nur WEP unterstützen solltest du mal beim Hersteller nach einem Firmware-Update suchen. Viele ham da was im Angebot das dann auch mit der älteren Hardware WPA möglich macht.

Zwecks Bandbreitenverlusst kann ich dir nichts sagen, hat ich nie interessiert!
Mir gehts primär um die Sicherheit, und wirklich wichtig ist das ja auch nicht. Für DSL langts allemal, Dateien übertrag ich eher selten übers WLAN und wer die Bandbreite zum zocken braucht is selber Schuld (am besten sich dann vorher noch Fastpath bestellen).

Reicht dir das als Begründung, oder willst du technische Details?
Falls du noch Fragen hast meld dich!

btw: Konfigurier das ganze über Kabel und teste dann ob es mit der Verschlüsslung geklappt hat,... Wärst nich der Erste der sich selbst aussperrt!

[NeXuS]

toll - dem ist wirklich nichts mehr hinzuzufügen

[cutie]

Danke

[beatnut]

Astrein, danke! "Du musst erst einige Beiträge anderer Benutzer bewertet haben, bevor du cutie erneut bewerten kannst."

Werd mich nächste woche nach meinen prüfungen ransetzen. vielleicht komme ich dann nochmal auf diesen fred zurück

[blubb]

seit irgendjemand vor ner ganzen weile mal mein WEP kennwort geknackt hat, läuft bei mir WPA + MAC filter und internetbandbreite beeinflusst das in keiner hinsicht.

allerdings hab ich in der entfernung zum router 36-54MBit WLAN und "nur" 6Mbit internet und da ich nich wirklich viele sachen übers netzwerk verschicke, kann ich nich sagen wieviel da wirklich drauf geht

[cutie]

Nee, die Inet Bandbreite wird das sicher nich beeinflussen, wie auch

Höchstens die Bandbreite der WLAN-Verbindung sinkt unter die der Inet Anbindung, aber das is eher unwarscheinlich.

Aber wie sehr WLAN von den verschiedenen Verschlüsslungsvarianten beeinflusst wird weiss ich auch nich.
Irgendwie habt ihr mich nu neugierig gemacht... ich werd ma guggen

[Scretch]

Rein aus Interesse:
Wie ist es denn möglich die MAC Filterung zu umgehen. Ich kann mir des irgendwie nich so wirklich vorstellen.
Man kann zwar angeblich (hab ich mal gehört) die MAC Adresse ändern, aber dazu müsste man doch erstmal eine zugelassene MAC Adresse kennen.

Also ich will jetzt hier keine konkrete Beschreibung wie ich sowas mache, um mich in irgendwelche Netzwerke zu hacken (unsere Nachbarn haben eh ungesichertes W-LAN ), aber interessieren tuts mich trotzdem.

[cutie]

Hmm, hab ich das hier im Forum nich grad vor en paar Tagen noch gelesen? Oder wars doch woanders?
Ach ka, die Erklärung kannst du kurz haben.

Also es gibt durchaus die Möglichkeit eine MAC Softwareseitig zu "manipulieren". Dem AP an dem man sich anmelden will beliebige MACs unterzujubeln ist also nicht das Problem.
Nun muss man noch gültige MACs kennen. Dazu könnte man z.b. ausprobieren Würde halt en bissel dauern. Aber da die ja auch irgenwie in ne Herstellerkennung,... aufgeteilt sind dürfte das die Zahl der Adressen die man durchprobieren muss schonmal etwas reduzieren.

Die etwas elegantere Lösung ist es dann natürlich die Datenpackete die so hin und her gesendet werden abzufangen, und da die gültige(n) MAC(s) auszulesen.
In wie weit die verschlüsselt sin,... hab ich mch noch nich beschäftigt, aber da du ja eh keine Anleitung wolltest reicht das ja nu auch so

[Scretch]

Ok, danke.
Mich hat auch in erster Linie interessiert oder der durchschnittliche Hobby-Hacker, der auf ner Parbank vor meinem Haus mit seinem Notebook ins Netz will, schnell mal meinen MAC Filter umgehen könnte.

[sad]

Darf ich konkret werden

Das Problem einer puren MAC Authentifizierung ist, das der gesamte Datenverkehr nicht verschlüsselt ist. Man kann die Pakte einfach mithören und so Sender und Absender IP und MAC herausfinden und die ganze Sache ist gegessen. Zum "sniffen" eignet sich zum Beispiel "Wireshark" (ehemals Ethereal). Wenn du bereits im Netzwerk bist kann man sich mit dem Befehl "arp -a" eine Liste von allen MAC Adressen im Netzwerk geben lassen.
Eine MAC Adresse ändern ist unter Linux in der "ifconfig" ohne weiteres möglich, unter Windows ist das wohl komplizierter, Tools dafür gibts aber auch. Man sollte bedenken, dass im Netzwerk alle MACs eindeutig sind und sich dort eigentlich keine zwei gleiche zur selben Zeit befinden können.

Also mit anderen Worten: eine reine MAC Authentifizierung reicht hinten und vorne nicht aus und ersetzt in _keinstem_ Fall eine Verschlüsselung.

Wenn es wen interessiert kann ich das Problem einer WEP Verschlüsselung erläutern.

[cutie]

Nee, is schon gut
Glaub die dies wissen wollen wissens eh schon, oder können sich informieren (is ja nu nix geheimes).

Aber wenn du grad dabei bist. Weisst du so aussem Stegreif wie es bei verschlüsseltem WLAN aussieht? Bekommt man da auch so einfach die MACs der Clients? sprich: Wird irgendwann ma ne MAC im Klartext versendet?

[NeXuS]

nein, wird es nicht - aber da man WEP mittlerweile innerhalb von Minuten knacken kann, kann man dann eben das MAC-Paket entschlüsseln (da gibt es IMHO bereits fertige Programmpakete für - schön für Skriptkiddies... )

Insgesamt fährt man einigermaßen sicher mit WPA, Mac-Filter und ohne Anzeige der SSID. Außerdem sollte man nicht vergessen, den Router mit einem Passwort zu schützen.
Problematisch wird es, wenn man Geräte hat, die partout kein WPA unterstützen wollen (der NOXON von Terratec zum Beispiel). Um hier einen Einbruch zu erschweren, sollte man - sofern das beim Router/AP möglich ist - die Sendeleistung soweit verringern, dass man außerhalb des benötigten Bereichs keinen Empfang mehr hat. Die wenigsten "Einbrecher" werden sich direkt vor ein Fenster setzen wollen, um mitsurfen zu können. In diesem Zusammenhang sollte man wissen, dass die Senderichtung der Antenne ringförmig um den Stummel am größten ist und am niedrigsten in die Richtung, in die die Antenne "zeigt". Durch eine Deaktivierung des b-Modus kann man noch einmal effektiv die Reichweite seines APs verringern.

[sad]

Ich machs kurz. WEP erlaubt "unsichere" bzw. fehlerhafte Pakete. Man kann also eine Zeit lang mithören, die unsicheren Pakte sammeln und aus diesen den WEP Key, MAC usw. entschlüsseln. Für die Geschichte braucht man relativ viel Trafic zum sniffen, je mehr, desto schneller ist die Sache entschlüsselt (die Länge des Verschlüsselungsalgorithmus spielt kaum eine Rolle). Wenn man also keine großen Dateien im WLAN verschifft, gehört schon wirklich viel kriminelle Energie (ich denke das kann man schon so sagen) und Zeit dazu ein WEP verschlüsseltes Netz zu knacken, trotzdem sollte man sich wenn möglich nicht darauf verlassen, siehe Post von cutie oder Nexus.
WPA und Konsorten sind bisher nicht geknackt...

[cutie]

Ok, so genau wollt ichs gar nich
Un wirklich gerafft hab ichs auch noch nich. Wird nu auf OSI Schicht 2 (is doch die MAC-Vermittlung oder irr ich mich grad?) schon verschlüsselt? oder erst darüber?
Irgendwie kann ich mir das nich so ganz vorstellen, und wenn erst darüber verschlüsselt wird, dann müsste man doch MACs einfach mitlesen können...

Hmpf, hätte mich vielleicht doch mal mit WLAN beschäftigen sollen, aber da unser IT-Sec Prof sich eh weigert WLAN zu nutzen hat ers auch nich behandelt

[sad]

Un wirklich gerafft hab ichs auch noch nich. Wird nu auf OSI Schicht 2 (is doch die MAC-Vermittlung oder irr ich mich grad?) schon verschlüsselt? oder erst darüber?

Jo, es wird in Schicht zwei verschlüsselt, wo auch die MAC drinn steht, denke ich

Hab mir das bisher auch nur selber angeeignet, Vorlesungen darüber gibts bei mir erst im Hauptstudium und da muss ich erstmal hin kommen

[cutie]

Ui, was sudierste denn? Un wo?

Man könnt sich ja mal den RFC durchlesen

[sad]

Technische Informatik an einer FH in Niedersachsen. Jetzt im 5. Semester (ja ich brauch ein bisschen länger ) und selbst?

[lightsout]

Man könnt sich ja mal den RFC durchlesen

cutie, wie oft noch? Wenn man keine Ahnung hat...

WPA(2) ist Teil der IEEE802.11 Standardfamilie. Wenn du die im Orginal lesen willst:
http://standards.ieee.org/getieee802/

[cutie]

Technische Informatik an einer FH in Niedersachsen. Jetzt im 5. Semester (ja ich brauch ein bisschen länger ) und selbst?

igitt
Angewandte Informatik an der FH Bingen 6. Semester bzw ab Semptember 7. un noch 3 *hoff* Semester bis zum Diplom.

cutie, wie oft noch? Wenn man keine Ahnung hat...

WPA(2) ist Teil der IEEE802.11 Standardfamilie. Wenn du die im Orginal lesen willst:
http://standards.ieee.org/getieee802/

owned
Ich hab mir noch überlegt einfach nur "Standard" zu schreiben
Wenn ich nachgedacht hätt hätt ich das wissen müssen. Hab in letzter Zeit nur noch mit RFCs rumgemacht... scheiss PKI Vorlesung *rausred*

[beatnut]

Und jetzt sag ich noch, dass ich n Wirtschaftsinformatiker im bald 5. Semester bin - Und trotzdem kein großen Plan von PCs hab

[sad]

Es ist auch ein absoluter Irrglaube das man als Informatikstudent zwingend Ahnung von PCs haben muss

[cutie]

Dat stimmt allerdings!
Aber Wirtschaftsinformatiker... das is ja fast so schlimm wie Bio-Informatiker

[beatnut]

Bio-Informatiker?
Naja, will mich nur nicht, wie die ganzen bwler in sachen edv, datenbanken und programmieren verarschen lassen können. hab selber nicht das ziel später programme zu schreiben.

[cutie]

... wie es bei verschlüsseltem WLAN aussieht? Bekommt man da auch so einfach die MACs der Clients? sprich: Wird irgendwann ma ne MAC im Klartext versendet?

Ok, da hätten wir wohl die Lösung oder?
"nicht allein anhand ihrer MAC-Adresse möglich: Diese wird stets unverschlüsselt übertragen"

[sad]

"nicht allein anhand ihrer MAC-Adresse möglich: Diese wird stets unverschlüsselt übertragen"

thx