Frage zu Wlan und sicherheit

[Helmi]

hi.
bin in sachen wlan noch ziemlicher nuub und habe jetzt folgende frage.
eigentlich haben wir alles so gelassen wies am anfang eingestellt war nur haben dem acces point nen neuen SSID namen gegeben und SSID Broadcast ausgeschaltet. Jetzt kommt immer die "Meldung", dasses ein ungeschütztes netzwerk sei.
jetzt zur eigentlich frage, was is ein unbedingtes MUSS für die sicherheit und was is eher überflüssig ? WEP WPA-PSK klingen ja ganz schön nur sagen mir nichts.
danke

 

[Sas~iN~LoVe]

Nimm WPA, das ist sicherer als WEP.

 

[Helmi]

danke das hillft schonmal etwas :]

 

[1StEiN3]

Nunja:

-> SSID ein
-> SSID Broadcast aus
-> WEP / WPA ein
-> MAC Filterung ein

Das sind so die Maßnahmen, die OK / wichtig sind.

Und ob du nun WPA oder WEP nimmst - das ist für ein Heimnetz aus meiner Sicht relativ egal. Ich denke "Angreifer" auf ein Heimnetz wollen hauptsächlich den internetzugang nutzen. Und warum sollte man sich da lange mit einer Verschlüsselung aufhalten, wenn man 50 m weiter ein ungesichertes findet?

Und grunsätzlich bräuchte man eh nicht mehr als eine MAC Filterung - da es a) grundsätzlich nur 1 Netzwerkkarte mit der eingestellten MAC-Adresse gibt (kann sein, dass es ältere Netzwerkkarten die selbe Adresse wie eine aktuelle haben, aber das sind dann keine WLAN Karten) und man b) selbst bei Manipulation erstmal rausfinden muss, welche MAC-Adressen sich eiklinken dürfen und c) der entsprechende Rechner des Heimnetzwerkes nicht verbunden sein darf.

Für alle die nicht wissen, was das für eine Funktion ist: Die MAC-Adresse ist eine eindeutig identifizierende Nummer für die Netzwerkkarte. Man kann das WLAN so einrichten, dass nur bestimmte Netzwerkkarten (durch die MAC-Adresse definiert) sich ins Netzwerk einloggen können. Alle anderen Netzwerkkarten / MAC-Adressen haben keinen Zugriff aufs Netzwerk.

 

[Greg]

ich finde WEP reicht für ein heimnetzwerk mehr als aus, wpa ist sicherer aber wie gesagt für ein heimnetzwerk ist das relativ egal.

mac filtering soll übrigens das unsicherste von allem sein da es reicht über längere zeit den datenverkehr mitzuhören mit progs wie airsnort um die "zugelassene" mac adresse rasuzufinden... und ändern kann man sie dann problemlos.

also zusammenfassend, stell die höchste WEP verschlüsselung ein die router und wlanadapter bei dir erlauben und gut ist.

 

[Moep_Dr.Redhec2]

so pass auf,
ssid broadcast ausmachen, bringt sowas von absolut rein garnichts.
jeder der es drauf anlegt fischt den string raus, ich erklär anbei auch warum:


solltest du dein netzwerk nicht verschlüsseln, via WEP oder WPA
fliegt alles im klartext durch die luft, und jeder der seine wlan karte in den monitor mode bringt kann es rausfischen, egal ob ssid broadcast aus oder macadressen filterung..

hab ich erstmal die SSID + MAC, bin ich drin.

So zur verschlüsselung,
vergiss bitte den post über mir!

vergiss WEP, warum auch was spricht gegen WAP wenn deine geräte router + wlankarte WAP können nichts einfacher als das ??
--> WAP TKIP --> hash ausdenken woerter + zahlen sind möglich, glücklich werden.
dadurch sparrst du dir den sinnlosen mist mit mac-adressen filterung + ssid broadcast komplett, brauchst du nicht mehr.


WEP ist durch, es dauert zwei stunden, dann hat man genügend schwache pakete "IV"'s zusammen und kann den key gegenrechnen, also man benötigt ca 300.000 dieser IV sollte der traffic im netz nicht aussreichen um es in gegebener zeit zu bewerkstelligen, verursacht man mit aireplay pakete welche an die wlan-gegenstellen geschickt werden um diese zu animieren IV's zu versenden. dann schafft man das ganze auch in 3 minuten

um weitere diskussionen zu vermeiden, les dir das durch
http://www.tomsnetworking.com/Sections-article111-page1.php
wenn die in 3 minuten ne 128bit WEP knacken, und du mir immernoch ned glaubst ... tja dann ....

 

[Greg]

gut das sind freaks mit viel plan die es drauf anlegen und klar, wenn empfänger und router WPA zulassen, ich wollte damit nur sagen dass 128 oder 256er WPA gegen den durchschnittlichen scriptkiddi ausreicht, mac aber nicht unbedingt.

 

[Moep_Dr.Redhec2]

Original geschrieben von Greg
gut das sind freaks mit viel plan die es drauf anlegen und klar, wenn empfänger und router WPA zulassen, ich wollte damit nur sagen dass 128 oder 256er WPA gegen den durchschnittlichen scriptkiddi ausreicht, mac aber nicht unbedingt.

nein.

sie haben auditor benutzt, das kann jeder drittklassige pc nutzer bedienen, anleitungen gibt es zuhauf im inet.
im übrigen weiss ich wovon ich rede, ich habe es selbst schon gemacht, eventuell ziehst du diesen schritt auch mal in erwähgung, und gibst erst dann zu sicherheits relevanten themen, tipps.

 

[1StEiN3]

Redhec - ich gehe einfach mal davon aus, das es hier erstmal darum geht, das WLAN vor Fremden Zugriffen zu schützen - z.B. seinen Internetzugang für sich zu beanspruchen.
Dafür reichen die Methoden voll und ganz aus.

Und das mit dem Mitsniffen, toll, soller doch mitsniffen - ich denke kaum, dass ein 3tklassiger PC Nap mit seinem Auto durch die Stadt fährt, und bei einem privaten WLAN das Gefunke mitschneidet um dann nach 2 Stunden den Key zu benutzen. Alle 50 m steht dann doch ein offenes WLAN rum.
Erklär mir bitte mal den Sinn...
Und ich glaube auch kaum, das jemand als Privatperson dem Angreifer damit Zugriff auf so brisante Daten gibt, dass sich 2 Stunden oder mehr Zeit lohnt den Key zu generieren.
Bei einer Firma ist das was anderes, bei einer Privatperson ist das Schwachsinn.


Klar hast du Recht mit dem was du gesagt hast - aber wohl ehr im Bezug auf Firmennetzen (wie gesagt). Ich denke auch das der Großteil des "WLAN - Betrugs" für die Internetverbindung genutzt wird, da reicht WEP als Verschlüsselung voll und ganz aus.

 

[Moep_Dr.Redhec2]

gut ich mach es nochmal langsam.

man braucht lediglich 3 minuten, einziger unterschied man braucht entweder eine karte die senden & empfangen kann, oder zwei karten.
die zwei stunden benötigt man nur wenn man aireplay nicht benutzt.

gut du findest es also unwahrscheinlich das jemand mit dem auto durch die gegend fährt, sich vor deine tür stellt und mitsnifft? na dann guten morgen.


http://www.wardriving.ch/hpneu/index2.html
http://wdgn.keinkabel.net/
http://www.kismetwireless.net/
http://www.wardriving-forum.de

gut aber glaubt doch was ihr wollt, wenn ihr denkt das ihr es besser wisst, gerne ich will euch doch von nichts abhalten.
wie gesagt es bleibt dabei WPA, aonsonsten selbstschuld.

 

[Greg]

reddy, ich hab dir doch garnicht widersprochen dass man WPA auch nutzen sollte wenns das system erlaubt... ist ja vom konfigurationsaufwand auch nicht viel mehr arbeit. Ich hab nur gesagt dass es auch nicht sonderlich schlimm ist wenn das system kein wpa unterstützt (bei mir z.B. weil mein pda nur WEP supported) und es kein grund ist sofort in nen laden zu laufen um sich neues wlan equipment zu kaufen... also ka warum du dich so da reinverbeißt.

 

[Sas~iN~LoVe]

Naja, ich würde heute nichts mehr kaufen, was nicht wenigstens WPA1 unterstützt. Selbst meine zum Teil schon zwei Jahre alte Hardware läuft hier mit WPA problemlos. Mein PDA auch, wenn auch nur mit mickrigen 11MBit

 

[Dr. Picasso]

zum glück ist die sendeleistung meines routers so schwach, dass bei mir sowieso keiner was machen kann

 

[Greg]

sas, was fürn speed kriegst du im durchschnitt mit dem pda hin? ich krieg beim dl so 60-70kb hin beim download von einem ftp server im heimnetzwerk... beim upload sinds eher 25-30 hab ne sandisk wi fi sd card + 256mb... meiner rechnung nach solltens mehr sein :/

 

[Sas~iN~LoVe]

Hab ich noch nicht getestet, aber auf jeden Fall habe ich bei HTTP-Downloads über 1MBit DSL die vollen 120k.

Ich weiß allerdings nicht, wie schnell SDIO sein sollte, vielleicht ist das der Flaschenhals. Oder aber es ist einfach nicht genug Platz für ne anständige Antenne in der Mini-Karte. Mit meinem PDA hab ich oft auch besseren Empfang als mit Laptop und PCMCIA-Card.

 

[Helmi]

vielen dank, besonders redhac

deinen aussagen nach kann man ja ein wep gesichertes wlan relativ leicht und schnell "knacken". ist es denn so leicht, dass ich einfach mit nem notebook vonnem freund das einfach probieren kann ? wenn ja bekommt man ne anleitung dafür in einem deiner geposteten links ?
merci schonmal

 

[Greg]

naja die meisten dort arbeiten mit linux, bei mir ists also schonma daran gescheitert.

hab zwar dieses topic gefunden http://www.wardriving-forum.de/viewtopic.php?t=5740 aber noch keine zeit gehabt es durchzulesen... wenn dus also hinkriegst, sag bescheid

 

[Sas~iN~LoVe]

Für die Nicht-Linuxer gibts doch extra bootbare CDs mit allem was man braucht.

 

[Moep_Dr.Redhec2]

Original geschrieben von Sas~iN~LoVe
Für die Nicht-Linuxer gibts doch extra bootbare CDs mit allem was man braucht.

ja mit linux, sehr sinnige aussage.

aber vorweg, lasst es einfach, wenn man weiss wie ist es kinderkram, aber der weg drothin ist lang.
arrangiert euch mit linux, oder lasst es, der weg über windows, funktioniert nur sehr beschränkt, und ihr müsst euch strikt an die vorgaben zur hardware halten.

da für windows keine treiber mit monitormode für die wlan hardware zuhaben sind, behilft man sich und nimmt treiber von einem softwareanbieter der eine teure software anbietet, die jedoch solche treiber auch für windows mitliefert.

aufsetzend auf diese treiber kann man dann mit airsnort und einigen anderen tools die es auch für windows gibt, arbeiten. alles sehr unausgereift, aber wenn man so auf windows besteht.. wagt einfach mal den schritt und schnuppert in linux rein, wenn euch die materie echt so interessiert.
ansonsten ist das topic selbsterklärend und ne ziemliche einfach zu verstehende todo list wo wirklich jeder schritt erklärt ist.

 

[Sas~iN~LoVe]

Mit "Nicht-Linuxer" meinte ich natürlich Leute, die nicht sowieso Linux auf dem Notebook haben

 

[HERR 2FICKENDEHUNDE]

http://de.wikipedia.org/wiki/Aircrack


gibt noch einige andere tools. mit aircrack dauerts minuten, im übrigen sind auch wpa verschlüsselungen längst knackbar ....

 

[Moep_Dr.Redhec2]

Original geschrieben von 2FICKENDEHUNDE
http://de.wikipedia.org/wiki/Aircrack
im übrigen sind auch wpa verschlüsselungen längst knackbar ....

nein.


wenn man allerdings so blöde ist ein pw zu wählen das einer bruteforce attacke nicht standhält ist man es selbst schuld.