40946
Goto Top

Lan - Netzwerk mit Access Point sicher betreiben

Ich habe ein Lan - Netzwerk ( Eumex ) nachträglich mit einem Access Point ausgestattet.
Ich möchte gerne die Wlan-Verbindung verschlüsseln. Wie es aussieht, ist eine Verschlüsselung seitens des APs nicht möglich. Soll heißen: Ich habe es noch nicht geschafft softwaretechnisch
mit dem Gerät (AP) verbindung aufzunehmen. Wie ich der Bedienungsanleitung bisher entnehmen kann, ist eine Keyeinstellung wohl auch nicht möglich. Gibt es eine Möglichkeit ein Lan-Netzwerk dieser Art trotzdem sicher zu betreiben? Mein Wunsch ist es, dass man sich nicht sofort über die zur zeit offene Wlananbindung einwählen kann.

Content-ID: 47815

Url: https://administrator.de/contentid/47815

Ausgedruckt am: 06.11.2024 um 04:11 Uhr

aqui
aqui 03.01.2007 um 14:17:32 Uhr
Goto Top
Nein !
Ohne Verschlüsselung ist das Netzwerk offen und jedem Eindringling sind Tür und Tor geöffnet. Werden über den Account damit strafbare Handlungen von Dritten im Internet begangen bist du als Account Inhaber strafrechtlich voll verantwortlich dafür ! In dieser Beziehung hat es auch schon ein paar Grundsatzurteile gegeben.

Was du allerdings schreibst bzgl. deines AP und nicht vorhandener Verschlüsselung kann eigentlich nicht stimmen !
Auch der allerbilligste Taiwan Accesspoint vom Grabbeltisch bietet heute IMMER eine Verschlüsselung an ! Das Mindeste was alle Systeme unterstützen ist eine WEP Verschlüsselung die dein AP und auch ältere Clients mit Sicherheit supportet !!!
WEP ist allerdings heutzutage nicht mehr ganz sicher, da dafür Decodierprogramme existieren aber das erfordert noch einen erheblichen technischen Aufwand. Besser ist es auf WPA auszuweichen, das sicherer ist. Allerdings bist du auf das angewiesen was dein Client minimal supportet das ist aber immer, auch im worst Case, WEP mit 128 Bit !

Leider hast du ja nicht deinen AP Hersteller/Modell mal geposted, dann hätte man dir mit der Einrichtung des Schlüssels unter die Arme greifen können obwohl das auch sehr sehr einfach ist. Dieser Schlüssel des APs ist dann auch im Client zu konfigurieren und dann ist das Netzwerk sicher.
Ob es wirklich mit Verschlüsselung rennt kannst du z.B. immer mit dem Netstumbler Tool (www.netstumbler.com) überprüfen, das dir alle verfügbaren Netzwerke im Umfeld anzeigt. Siehst du vor den Netzwerknamen (SSID) ein kleines Vorhängeschloss als Symbol ist das Netzwerk sicher verschlüsselt.

Eine Minimalhürde wären MAC Accesslisten allerdings ist das kein wirklicher Schutz denn MAC Adressen sind frei konfigurierbar und so eine Liste allerleichtestens aushebelbar in Sekunden. 2. Punkt ist das deine Daten die Übertragen werden damit weiterhin offen über die Funkschnittstelle gehen ! Mailpasswörter und andere sicherheitsrelevante Dinge sind dann weiterhin problemlos auszuspionieren !
Fazit: An einer Verschlüsselung führt kein Weg vorbei, wenn du nicht ein VPN Link über ein offenes WLAN fahren willst.
40946
40946 03.01.2007 um 19:02:00 Uhr
Goto Top
Erst einmal möchte ich mich für die schnelle und umpfangreiche Hilfe / Information bedanken.
Das Problem was ich hatte war: Das die IP Adresse des APs nichts mit der angegebenen IP aus der Bedienungsanleitung zu tun hat. Mit Hilfe des Prog. "Wireless Navigator" bin ich dann auf die richtige IP Adresse gekommen. Nun ist es mir möglich Einstellungen im AP vorzunehmen. Hierzu ist deine Ausführung sehr hilfreich.

Meine Einstellungen sind jetzt: WEP-Verschlüsselung mit 128 Bit, SSID unsichtbar, Eintrag in MAC Accessliste vorgenommen. Ich hoffe das so ein gewisser Schutz gegeben ist.
aqui
aqui 04.01.2007 um 14:19:17 Uhr
Goto Top
Ja das sollte reichen für die Sicherheit...
Mit der hidden SSID musst du aber immer bedenken, das Freunde, Bekannte, Besucher usw. die dein Netzwerk benutzen wollen diese wissen müssen um Zugang zu erlangen. Ebenso musst du natürlich dann deren MAC freigeben in der Liste.
krachtor
krachtor 06.01.2007 um 13:36:26 Uhr
Goto Top
Hallo,

SSID auf Non-Broadcast (hidden) ist eine Moeglichkeit, den AP unsichtbar zu machen. Sobald jedoch ein Client diese SSID sendet ist diese scan-bar.
Der WEP-Key ist heute mit einfachen WLAN-Sniffing-Tools berechenbar und damit nicht sicher.
Die MAC-Adresse ist in jedem Fall scan-bar und kann so mit Tools wie ettercap vom Angreifer uebernommen werden.

Somit ist die nach dem heutigen Stand der Technik einzige sichere Moeglichkeit die folgende Kombination:
- Non-Broadcast SSID (hidden)
- IPSec-VPN als Client-to-Server-VPN gegen einen VPN-Server/Concentrator im kabelgebunden Router/Server im LAN mit folgenden Parametern:
- Encryption AES-256
- Hashing SHA-1
- Rekeying-Zeiten unter 1 Stunde (IKE/ISAKMP etwas laenger, ESP etwas kuerzer)
- Preshared Key mit mindestens 32 Zeichen (Gruppen-Account) oder Zertifikat
- User-Account mit alphanumerischen Username/Passwort (nicht Woerterbuch-konform)
- PFS (Perfect Forwarding Secracy) = Neuberechnung des Keying-Materials

Damit ist der MAC ueberfluessig (hat sowieso keinen besonderen Schutz). Der WEP-Key auch (ist sowieso crackbar).

Gruss,
krachtor