sysad
Goto Top

Ist WEP als Repeater-Verschluesselung ausreichend?

Hallo,

im Speedport W701V kann man den Repeaterverkehr nur mit WEP verschlüsseln (die WLAN-Clients hängen weiterhin per WPA2 dran). Ist diese WEP-Kommunikation zwischen den Repeatern ausreichend sicher oder sollte man das nicht verwenden?

Content-Key: 44318

Url: https://administrator.de/contentid/44318

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: aqui
aqui 13.11.2006 um 13:28:30 Uhr
Goto Top
Es MUSS leider ausreichend sein denn WDS Betrieb (Repeater) und WPA schliessen sich gegenseitig aus, jedenfalls für das Gros der Consumer Hersteller ! Du bist also auf WEP verhaftet !
Der Grund liegt darin, das WDS im Vergleich zu normalen WLAN Zellen einen symetrischen Aufbau darstellt. Keiner der beteiligten Access Points hat eine hierarchische Position und steuert den Datenverkehr. Genau das benötigt man aber für einen WPA Schlüsselaustausch ! Bei WPA ist genau festgelegt wer der Supplicant ist und wer der Authenticator, also wer genau welches Packet zu welchem Zeitpunkt schickt.
Aufgrund dieser Probleme funktioniert das nicht. Einige Hertsller haben proprietäre Verfahren implementiert die es trotzdem erlauben wie z.B. Siemens (Gigaset 108), Lancom und Apple. Allerdings funktionieren diese Geräte dann nur familienintern.
Meist reicht für Heimanwendungen aber eine WEP128 Verschlüsselung aus. Das sie natürlich knackbar ist ist unbestreitbar. Allerdings erfordert das eine erhebliche Menge von mitgesnifferten Daten die über lange Zeiten mitgeschrieben werden muss. Zum Knacken bräuchte man dann auch zusätzlich noch erhebliche Rechenpower und ob es das Wert macht für einen Angreifer auf ein Heimnetz mit relativ unwichtigen Daten bleibt zu bezeifeln bei diesem sehr hohen technischen Aufwand.....
So oder so...du hast keine andere Wahl als es mit WEP zu realisieren oder musst dir neue APs der o.g. Hersteller kaufen ! Aber auch dann lauert der Teufel im Detail, da WPA dann meist nur über einen einzgen WDS Hop supportet ist was dann den Einsatz mehrerer WDS Repeater mit WPA wieder ausschliesst !
Mitglied: filippg
filippg 13.11.2006 um 13:29:52 Uhr
Goto Top
Hallo,

WEP-Verschlüsselung kann leider nicht mehr als sicher angesehen werden, es wurden schon vor einigen Jahren Methoden gefunden, um sie schnell zu knacken.
Wenn du Clients noch sicher am AP hängen nutzt dir das auch nichts, wenn danach alles über eine unsichere Funkstrecke geht.

Filipp
Mitglied: sysad
sysad 13.11.2006 um 13:57:38 Uhr
Goto Top
Danke! Wir haben aus dem Grund bis jetzt Apple Airport Express eingesetzt, weil die sich als am kompatibelsten herausgestellt haben (speziell auch wenn man gemischt TKIP und AES braucht), dort kommen alle zuverlässig gut rein und 120€ ist gut verträglich. Leider ist die Airport Extreme Basis im moment wegen irgendeinem Umweltakt in der EU nicht erhältlich und die Reichweite der Express nicht berauschend.

Die Frage ist, könnte sich jemand in die WEP-gesicherte Kommunikation zwischen den Repeatern so reinhacken, dass er Zugang zum Netzwerk erhält (Macfilter sind an)?
Wird die Zugangsinfo zum WPA2-Zugang irgendwann über WEP übertragen oder, so habe ich es verstanden, bleibt die Zugangsinfo in der jeweiligen Basisstation bzw. Repeater und wird nicht übertragen?
Mitglied: aqui
aqui 13.11.2006 um 14:21:48 Uhr
Goto Top
Ja, stimmt mit den Apples geht das problemlos. Die EU Verordnung ist die RoHS Bestimmung. Der Engpass dürfte aber nur kurzfristig sein, da es sicher eine RoHS compliant Basis Station von Apple geben wird. Ggf. solltest du mal bei den Händlern rumfragen, denn das was noch auf Lager ist darf auch verkauft werden face-wink

Mit der WEP Sicherheit eine verlässliche Aussage zu treffen ist nicht einfach. Erstmal erfordert das wie gesagt eine erheblich Datenmenge. Die ist wieder davon abhängig ob das WLAN viel oder wenig genutzt ist. Bei Wenignutzung musst du über Tage Daten mitsniffern um den Schlüssel vielleicht errechnen zu können. Das dauert dann wieder...
Klar wenn man den Schlüssel hat dann kann man auch ins Netz. MAC Adressen sind auch veränderbar. Mit einer gehörigen Portion an krimineller Energie ist das möglich. Bei WEP Nutzung hilft dann nur regelmässiger Schlüsselwechsel aber ob das praktikabel ist ist eine andere Story.
Letztlich hängts davon ab was ihr über das WLAN übertragt und wie das Sicherheits Bauchgefühl ist.
Im Zweifelsfall baust du eine VPN Verbindung der WLAN Clients über das WLAN auf und überträgst darnin deine Daten. Das dürfte dann extrem sicher sein und dann könnte das WLAN sogar komplett offen sein.
Mitglied: filippg
filippg 13.11.2006 um 15:16:54 Uhr
Goto Top
Allerdings erfordert das eine
erhebliche Menge von mitgesnifferten Daten
die über lange Zeiten mitgeschrieben
werden muss.
Nein. Die ersten Attacken benötigten noch Datenmengen im GB-Bereich. Mittlerweile genügt es, eine ARP-Anfrage (die laufen zu Beginn jeder Kommunikation) zu erkennen, dann kann man den AP aktiv angreifen (10 min).
Die bereits vorgeschlagene Lösung mit dem VPN ist wohl generell die beste Lösung, um Funknetze wirklich sicher zu kriegen (wobei die Clients verwundbar bleiben, wenn bei ihnen auf dem WLAN-Interface nicht alles ausser VPN geblockt wird).

Filipp
Mitglied: Garfieldt
Garfieldt 16.11.2006 um 10:12:04 Uhr
Goto Top
Ein kleiner Nachtrag zu den oft Diskutierten MAC Filtern, diese erhöhen nicht die Sicherheit eines Netzes. Abhören ist trotz MAC Filter generell möglich, sich ins Netzwerk einloggen wird möglich, indem man eine andere MAC mitschickt, was auch kein grosses Problem mehr darstellt, d.h. ein WEP Netzwerk ist generell als unsicher zu betrachten, es sei denn man verwendet VPN (s.o.).