Wie sicher ist mein Netzwerk hinter einem WLAN Router? - wie möglichst gut gegen Angreifer absichern?

Und hier noch eine Testmöglichkeit in Sachen Sicherheit.

http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Hallo,

Normaler weise macht der AVM FB Router ja SPI & NAT
und somit ist von der Internetseite kaum etwas möglich,
es sei denn der Router ist,
- falsch konfiguriert
- Das WLAN ist offen und nicht gesichert
- hat geöffnete und nicht gesicherte Ports
- SSH oder Wartungszugang vom Internet her ist erlaubt
- Firmware ist veraltet und alte Bugs so wie Fehler sind noch vorhanden
und können ausgenutzt werden.

Ja und auch praktisch.
So eher nicht aber das wäre schon eine Möglichkeit auch wenn das so
nicht gemacht wird!
Wohl eher weniger wenn SPI & NAT eingeschaltet sind und keine
Ports geöffnet sind, ist die WAN-LAN Verbindung schon recht sicher.

Ja das geht, wenn es auch ca. zwei Wochen dauert, bzw. je nach
Ausstattung.

s.o. Das wohl eher weniger.

??? Core i7 Laptop, mehrere Alpha WLAN USB Adapter,
Software in VM oder nativ installiert. 2 Wochen Zeit um
aufzunehmen und auszuwerten.

LAN:
- keine Ports öffnen
- Nur via VPN von außen einwählen
- Die Fernwartung von außerhalb anschalten
WLAN:
- Nur mit bekannten Klienten verbinden aktivieren
- WPA2 aktivieren
- Kleiner Radiusserver auf RapsBerry PI installieren oder aber einen
MikroTik Router der hat das alles schon mit an Board, beides kostet
je 30 € und man ist dann wirklich auf der richtigen Seite, es ist dann
zwar immer noch möglich nur eben verdammt schwer und für Laien
nicht mehr zu schaffen.

- Kleiner Radiusserver auf RapsBerry PI installieren oder aber einen
MikroTik Router der hat das alles schon mit an Board, beides kostet
je 30 € und man ist dann wirklich auf der richtigen Seite, es ist dann
zwar immer noch möglich nur eben verdammt schwer und für Laien
nicht mehr zu schaffen.

Ja den Link hat Dir ja schon einer gepostet.

Gruß
Dobby

Hallo,

Ja, und auch Praktisch

Daten abfangen ja, Passwörter wenn in Klarschrift eher nicht, selbst WPA ist nicht mehr sicher.

Je nach dem welche Möglichkeiten vor Ort sind, Ja.

Damals (2012) kostete es noch USD 200, jetzt 300.000 Wörter 1USD. https://www.cloudcracker.com/ Und ja, der Dienst ist legal.

Frag Cloudcracker welche Hardware er betreibt.

Nicht nur Apple. das mit den Äpfel war nur das demo.

Wenn du ein HotSpot hinstellst der zufälligerweise eine SSID wie dein Nachbar hat .... und du entsprechendes Fachwissen, Geräte sowie Software hast um ...

Gruß,
Peter

Moin,

zumindest im WLAN-Bereich sind deine Maßnahmen unsinnig - denn die gehen erst wenn ich bereits im WLAN bin. Dann finde ich aber auch schnell ne freie IP. Den MAC-Filter kann man genauso einfach überlisten...

Ich geh einfach mal davon aus das du deine box bei dir zuhause sichern möchtest. Daher würde ich beim LAN eher wenig Aufwand reinstecken. Zumindest bei mir is es so das die Leute die in meine Bude kommen auch bei mir bekannt sind - und die werden sicher nicht einfach irgendwas irgendwo am Netzwerk anschließen (die würde ich auch mit dem Netzwerkkabel erdrosseln!). Im WLAN-Bereich ist der leichteste Schutz (falls die Fritzbox das unterstützt): Die Sendeleistung reduzieren. Bestimmte WLAN-APs können das. Und wenn du dein WLAN so einrichtest das die Sendeleistung eh nur für deine Wohnung reicht hast du das WLAN schon sehr stark gesichert. Selbst der beste Hacker kann nicht ins WLAN wenn er einfach kein Signal bekommt ;).

Ich würde ggf. noch bei der SSID ansetzen. Zum einen nicht die Default-SSIDs - da man ggf. daraus einfach eine Information über den verwendeten Router/AP bekommt und den Angriff deutlich gezielter fahren kann. Weiterhin würde ich die SSID gar nicht per Broadcast rausjagen. Dies ist natürlich auch kein "Schutz" im eigentlichen Sinne. Aber für die meisten Deppen die da so auf der Strasse rumlaufen reicht es - solang die kein WLAN sehen wissen die nich mal das da was wäre...

Meist ist es andersrum: Anhand des von der GL zur Verfügung gestellten Budgets ! Und das happert meistens. Sicherheit muss, darf aber nichts kosten. Kennen wir doch alle......

Wollte gerade sagen das ein Hidden SSID überhaupt nichts bringt. Für Otto-Normal wohl, aber bei denen musst Du auch nichts verstecken da die auch so nichts damit anfangen können

Den Broadcast zu verstecken bringt nur der Psyche des Administrators was, sonst nichts.

nSSIDer, NetStumbler, oder Kismet finden ALLE SSID's und zwar sehr einfach

Das waren bestimmt die Schwachmatiker von RTL oder Sat1 Unterschichten TV !
Mit Windows ist das übrigens von viel viel einfacher möglich:
Guckst du hier:
Netzwerk Management Server mit Raspberry Pi
Ohh...sorry du wolltest ja keine Tips...

Deine recht oberflächliche Frage ist nicht einfach zu beantworten. Generell sind statische Passwörter bei WLAN immer ein Risiko.
Auch der WPS Knopf ist ein erhebliches Risiko, denn den kann jeder Besucher drücken und bekommt so sofort Zugang.
WPS gehört also wenn Sicherheit dann sofart deaktiviert.
Ein statisches Passwort sollte mindesten 16 Stellen haben und entsprechend aussehen.
Noch besser ist du arbeitest mit Radius oder Zertifikaten, dann kannst du zu 99,9% sicher sein das dein WLAN ziemlich sicher ist.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Gäste sofern man sie überhaupt über private Netze reinholen will, gehören getrennt ausgesperrt mit entsprechenden Filterlisten für den Zugang:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Das Grundproblem ist immer der Faktor Mensch !

Moin,

mir ist bewusst das eine SSID zu verstecken nicht soviel bringt (und schon gar nicht die einzige Option sein sollte!). Aber: Man sollte auch mal überlegen was man schützen möchte. Ganz einfach: Hast du bei deinem Auto Panzerglas und 30cm Stahltüren drin? Nicht? Fühlst du dich in deinem Auto denn nicht unsicher - "das Biest" hat es schließlich auch...

Wenn wir hier über ein privates Netzwerk reden dann sind zu 90% schon mal höchstens "Angriffe" von Leuten zu erwarten die höchstens Grundkenntnisse haben. Die werden entsprechend "sichtbare" Wlans nehmen die möglichst noch drauf hoffen lassen das Default-Passwörter verwendet wurden (z.B. indem die AP-Kennung verrät welcher Hersteller dabei ist und man hofft das z.B. das Default-PW bei nem Hersteller xyz auch xyz ist). DIESE Leute werden ein verstecktes Netz nicht angreiffen - schleicht weil sie nicht wissen das es da ist.

Dann kommt es auch darauf an wo ich mich aufhalte. Bin ich z.B. in der oberen Etage eines Wolkenkratzers ist die Chance das jemand mit einem entsprechenden Scanner vorbeiläuft schon deutlich geringer als wenn ich genau über nem McDonalds, Starbucks o.ä. wohne.

Von daher muss man bei sowas einfach schauen wie viel Aufwand man betreiben möchte. Beim Auto fährst du vermutlich auch nicht "das Biest" von Onkel Obama - da die Chance das jemand auf dich schiesst doch deutlich geringer ist (und noch geringer das derjenige mittlere bis schwere Waffen dabei hat). Dein Bestreben wird wohl eher sein das du sparsam fahren kannst, das du einen evtl. normalen Unfall halbwegs gut überstehst usw. Und derselbe Ansatz sollte auch mal für private Netzwerke dienen. Klar - ich kann da auch ne dedizierte Firewall reinpacken, ich kann mir privat ne DMZ aufbauen, restriktive Regeln einbauen usw... Oder ich überlege einfach wieviel Schutz nötig ist - und mein WLAN wirst du z.B. ausserhalb meiner Wohnung ggf. noch direkt vor der Haustür sehen. DA reicht dann ne "Basis-Sicherung" - stehst du mit dem Laptop vor meiner Tür rum und ich komm um die Ecke dann gibts ne rein manuelle Firewall...

Was macht dich da denn so sicher ?
Das ist Blödsinn und fahrlässig, denn auch Blutige Laien werde für sowas einen WLAN Sniffer verwenden mit dene sie sofort auch die WLANs sehen dessen SSID Beaconing abgeschaltet ist.
InSSIDer nicht mehr kostenlos
Anhand der BSSID Adresse erkennt auch ein Anfänger mit Bastelkenntnissen sofort den Hersteller und damit die Schwachstellen.
So zu denken ist also ein bischen zu blauäugig und auch fahrlässig.
Ach so...und das es handliche Richtantennen gibt die die Reichweite mal eben verzehnfachen lässt du dabei vollkommen außer Betracht, oder ? Blauäugig !

Wenn du dir nur ein einziges Mal die Mühe gemacht hättest einen Wireshark an deinem Internet Port laufen zu lassen oder deine WLAN Umgebung so zu betrachen würdest auch du nicht mehr so reden.
OK, hinterm Deich oder auf der einsamen Alm ist das sicher anders, das ist aber nicht die Regel.
Das einzige womit du ansatzweise Recht hast ist der Wert dessen was man schützen will. Lohnt das nicht und ist einem das egal lohnt auch sicher der Aufwand nicht oder man ist interlektuell gar nicht in der Lage das zu beurteilen oder entsprechende technische Maßnahmen zu ergreifen.
Wenn einem das aber was wert ist sollte man besser anders denken.
Du kaufst beim Auto ja auch ABS und ESP und Anschnallgurte als Minimalausstattung ! Darum geht es doch. Nicht das Panzerglas.

Ziehst Du kurz, funken "wir" eben lang!

Also ich möchte nicht Ihr das jeder "Ar...." von den Nachbarskindern meiner Tochter nach dem duschen
beim Umziehen durch Ihre Webcam auf dem Monitor zuschaut! Von daher sollte man alles was an
Sicherheitsfunktionen zur Verfügung steht

Das mag sein, aber wenn das Foto bzw. das Video Deiner Tochter
erst einmal in der Schule rum ist und auf jedem Smartphone verteilt
ist dann ist das auch nicht soooooo, der Hit, denn dann bringt es eben
auch nichts dem Typen dafür die Zähne auszuschlagen und das Jochbein
zu brechen!

Ist ja schon richtig nur Sicherheit ist eben auch immer etwas was aus mehreren Teilen
besteht und wenn man alles einem zur Verfügung stehende nutzt, ist es auch schon
wieder sicherer als vorher.

Allen Webcams eine kleine Socke überziehen (gerollt) oder ein Pflaster draufkleben (iMAC)
Wenn die Webcam, das Ziel einer Attacke war oder ist, denn hat man es Ihnen damit schon
für nur ein ganz kleines Geld versaut!!!
- WLAN aus für 14 Tage
Und danach erst die SSID verstecken macht schon mehr Sinn
- "Nur mit bekannten Klienten verbinden", für das WLAN Aktivieren (Experten Modus)
- Geräten immer wieder die selbe IP Adresse vergeben aktivieren
- SSID wählen die keinen Rückschluss auf Dich gibt, wie "Seerosenteich" sondern
lieber etwas benutzen was auch gut und gerne auf andere Leute in der Nachbarschaft
hindeuten könnte, z.B. meyerwlan, müllernetz, schulzesnet, usw....
- Logfiles aufzeichnen und per Email an sich selber versenden!
- Ein langes WLAN Passwort wählen max. 63 Zeichen (bei AVM FBs)
- WPA2 CCM benutzen
- WLANs aus der Umgebung anzeigen lassen und einen anderen Kanal auswählen
- Einen kleinen RaspBerry PI für 30 € kaufen und einen Radiusserver aufsetzen!!!!
Das aber auch keinem erzählen!!!

Notfalls WLAN ausmachen und via Kabel surfen und gut ist es.

Der Raspberry PI kostet 30 € und mit @aquis Anleitung ist
das auch schnell erledigt einfach abtippen.

Gruß
Dobby

P.S.
Und man benutzt vor allen Dingen dann auch alle Sachen zusammen
und nicht nur den Anschnallgurt alleine.

Aber wenn wir alle uns aussuchen dürften, in welchem Auto wir
fahren wollen, würden sehr viele auch lieber so ein gesichertes
Auto bevorzugen, zumindest wenn man einen Unfall hat, würde
jeder gerne lieber in so einem Auto sitzen wollen, denn es ist sicherer!

Kein Thema ! Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und auch
Netzwerk Management Server mit Raspberry Pi
Gar nix, denn da ist alles verschlüsselt !
Siehe oben...
Nicht wirklich. Du brauchst logischerweise den mit dem LAN Port. Ob du den alten Single Core oder den Quad Core nimmst ist eigentlich egal. Da der Preisunterschied mit einem Euro minimal ist solltest du gleich den neuen Quadcore nehmen:
http://www.reichelt.de/index.html?ACTION=3;ARTICLE=152728;SEARCH=RASPBE ...
Ja, denn diese Funktionen haben mit dem Zugriff auf das WLAN selber nicht das geringste zu tun !
alle neuen Geräte zulassen = Schaltet nur den MAC Filter an und Mac Filter kann auch ein Laie mit einem Mausklick umgehen
Geräte dürfen untereinanfer kommunizieren = Das die WLAB Clients die ja dann schon im Netz sind NICHT untereinander über das WLAN Zugreifen können sondern nur auf das LAN angeschlossenen Netz.
Beides hat mit dem Zugang also nichts oder nur bedingt zu tun und nützt rein gar nix.

Hallo,

Dahinter! Also der kann einfach an den AVM FB Router angeschlossen werden!
Dieser "vergibt" (eigentlich machst Du das) dann Zertifikate also Eintrittskarten
für Dein Netzwerk und wer keine hat, der kommt auch nicht rein!

Ja genau so ist es!

Das ist leider falsch!!! Denn Du solltest auswählen; "Nur mit bekannten Geräten Verbindung
zulassen!" D.h. der Router lässt nur alle Geräte zu, die er schon kennt und mit denen
schon einmal eine Verbindung bestanden hat!

> und "Geräte dürfen untereinanfer kommunizieren" deaktiviere.
Das ist auch falsch, denn das sollen die Geräte ja nicht!
Sollte jemand einmal in Dein WLAN rein kommen, kann er nicht auf die anderen Geräte
anderen im WLAN zugreifen und das ist ja auch so gewollt.

Man sollte natürlich zuerst alle WLAN Klienten löschen und sich dann mit den
WLAN Klienten neu anmelden und dann die Option wählen bekannten Klienten
immer wieder die gleiche IP zuweisen und dann erst nur mit bekannten Klienten
verbinden und Klienten dürfen nicht untereinander kommunizieren.

Aber natürlich, voll und ganz sogar!
- Man scannt die Umgebung
- Findet das die WLAN SSID "Seerose"
- Merkt sich den Kanal
- und dann verbindet man sich mit Deinem WLAN mittels dieser Daten
SSID, Kanal und Passwort

Sicherheit greift immer an mehreren Punkten und das ist auch sicherlich gut so.

Nur ich denke Du solltest Dir unbedingt einmal jemanden besorgen,
der davon wirklich etwas versteht und auch Ahnung hat!!!! Sonst bohrst Du Dir
da nur noch mehr Löcher rein vor lauter Angst und/oder Unkenntnis und dann
muss man Dein WLAN/LAN gar nicht mehr "hacken" sondern sich nur noch
anmelden!

Wichtig ist auch das man alles zusammen benutzt, denn dann wird es immer ein Stück
schwerer in ein Netzwerk einzubrechen! Daher geht man auch immer von 100 % Unsicherheit
aus und mit jedem Punkt erhöht man die Sicherheit mehr oder weniger und entfernt sich dann
immer mehr von der Unsicherheit hin zur Sicherheit!!!

Hier noch einmal wie ich das alles umsetzen würde:
Allen Webcams eine kleine Socke überziehen (gerollt) oder ein Pflaster draufkleben (iMAC)
Wenn die Webcam, das Ziel einer Attacke war oder ist, denn hat man es Ihnen damit schon
für nur ein ganz kleines Geld versaut!!!

- WLAN aus für 14 Tage
Und danach erst die SSID verstecken macht schon mehr Sinn

- "Nur mit bekannten Klienten verbinden", für das WLAN Aktivieren (Experten Modus)
- Geräten immer wieder die selbe IP Adresse vergeben aktivieren
- SSID wählen die keinen Rückschluss auf Dich gibt, wie "Seerosenteich" sondern
lieber etwas benutzen was auch gut und gerne auf andere Leute in der Nachbarschaft
hindeuten könnte, z.B. meyerwlan, müllernetz, schulzesnet, usw....

- Logfiles aufzeichnen und per Email an sich selber versenden!
- Ein langes WLAN Passwort wählen max. 63 Zeichen (bei AVM FBs)
- WPA2 CCM benutzen und kein TKIP
- WLANs aus der Umgebung anzeigen lassen und einen anderen Kanal auswählen
- Einen kleinen RaspBerry PI für 30 € kaufen und einen Radiusserver aufsetzen!!!!
Das aber auch keinem erzählen!!! Zertifikate auf Deinen WLAN Klienten installieren.

RaspBerry PI 2 Starter Bundle

Gruß
Dobby

a.)
Ja, aber ein kleiner 6 Euro 5 Port Switch kann das ja bequem wieder ausgleichen
http://www.reichelt.de/Hubs-Switch/EDI-ES-3305P/3/index.html?&ACTIO ...
b.)
Ja, es sei denn du steckst noch einen kleinen USB WLAN Adapter:
http://www.reichelt.de/EDIMAX-EW-7811UN/3/index.html?&ACTION=3& ...
und installierst auf dem auch noch einen Software Accesspoint:
Netzwerk Management Server mit Raspberry Pi
Dann kann der RasPi auch als Accesspoint arbeiten.
Normal aber hat der ja nur den LAN Port und macht rein nur die Authentisierung für dein WLAN über die FB !
Er ist aber ein Tausensassa der natürlich noch mehr kann.
c.)
Ja, das geht...siehe Punkt b.)
d.)
Ja natürlich ! Guckst du hier:
Netzwerk Management Server mit Raspberry Pi
Er kann gleichzeitig Windows Server, Cloud Server, Drucker Server usw. usw. sein. Die Anwendungen sind tausendfach.

a.)
Jein, es reicht auch wenn man das WLAN Passwort irgendwie mitbekommt oder wenn man mal zu Besuch ist und den WPS Knopf am AP drückt.
Das kann man dann mitsniffern und dann den kompletten Traffic entschlüsseln. Es gibt also nocht mehr Optionen.
Ein Grund auch warum man WPS zwingend deaktivieren sollte.
b.)
Nicht nur Free WLAN sondern jegliche anderen je verbundenen WLAN Netze auch.
c.)
Ja wenn ein Angreifer das darauf anlegt. Die checken aber erst wo noch alte WEP und WPA Netze sind die es sich anzugreifen lohnt bzw. wo es schnell geht.
d.)
Ja die gibt es natürlich aber das sind dann mehr oder weniger exotische Dinge die aber gemacht werden wenn der Aufwand dafür lohnt.

Wenn du dir nur mal 10 Minuten Zeit genommen hättest und dir den freien Wireshark Sniffer auf deinen Rechner geladen hättest
https://www.wireshark.org
und den mal auf dein WLAN Interface gestellt hättest, dann hättest du diese Frage nicht stellen müssen...!
Alles was zur Administration der WLAN Infrastruktur übermittelt wird ist im WLAN immer frei. Wenn du eine aktive WPA2 Session zw. 2 Clients hast ist die natürlich verschlüsselt. Du kannst sie aber mitcapturen und wenn du irgendwann mal an den Schlüssel kommst auch entschlüsseln.
Nur mit dem Mitsniffern des Traffics bei WPA2 verschlüsselten Sessions kannst das Passwort nicht extrahieren...jedenfalls bis dato nicht.
WPA2 gilt bei einem Passwort mit mehr als 16 Stellen und kein Banalwassport als hinreichend sicher.
Bei einem eigenen WLAN was WPA2 mit AES/CCMP (kein TKIP !) gesichert ist und ein starkes Passwort hat was geheim ist ist das hinreichend sicher. Da wäre es Blödsinn ein VPN zu nutzen zusätzlich. Das ist so wenn du zum Gürtel noch den Hosenträger brauchst.
Bist du aber in einem Hotel WLAN oder öffentlichen Hotspot sollte ein VPN Pflicht sein !