thermotubbie
Goto Top

Wie sicher ist Wlan / wie mach ich es sicher

brauche Infos über Sicherheitslücken und wie ich sie schließen kann

Hallo,
ich bin durch zufall auf eine Seite gekommen, die sich mit dem finden und ausspionieren von Wlan Ap beschäftigt (Wardriving). Dabei habe ich zu meinem erschrecken festgestellt, dass es mit einem Program möglich ist innerhalb von 4-6 h eine wep verschlüsselung von 128 bit auszulesen. Diese Angabe bezog sich zwar auf ein Unternehmen mit 1000 Mitarbeitern, ist aber trotzdem sehr erschreckend.
Das einzige, was umständlicher zu umgehen ist war eine mac-adresse basierende Zugangsberechtigung.

Könnt ihr mir sagen, wie ich so ein Netzwerk sichern kann ?

Content-ID: 1251

Url: https://administrator.de/contentid/1251

Ausgedruckt am: 05.11.2024 um 02:11 Uhr

Kirschi
Kirschi 06.06.2004 um 12:50:05 Uhr
Goto Top
Hallo,
schau mal hier http://www.tecchannel.de/special/wlan.html oder google mal ein wenig.
Das ist ein sehr umstrittenes Thema, auch eine 256-Bit Verschlüsselung läßt sich irgenwie "knacken". Es kommt immer drauf an, wie sensibel Deine Daten sind.
Man sollte einen Router mit (NAT) Firewall benutzen, Standard-Passwörter ändern, die Verschlüsselung auch einschalten, häufig den Schlüssel wechseln... Es ist ja auch so, daß es nun nicht jeder 5-jähige fertigbringt, in Dein Netz einzusteigen, außerdem ist es erforderlich, erstmal eine Menge Daten mitzuhören, bis man den Schlüssel berechnen kann. Bei ein wenig drahtlos surfen dauert das also schon eine Weile, aber da hat jeder eine andere Ansicht.
Also mach Dir am besten selbst ein Bild.
Gruß Andreas
ThermoTubbie
ThermoTubbie 06.06.2004 um 13:43:55 Uhr
Goto Top
Vielen Dank Andreas,
der Link ist wirklich gut und ich habe viele Infos gefunden.
Maik
Maik 07.06.2004 um 10:17:42 Uhr
Goto Top
Hallo

Ich habe seit 3 Wochen auch W-Lan face-smile

Ich habe mir ein MAC Filter eingerichtet, was ja schon recht sicher gegen Fremdzugriffe sichert.

Dann habe ich noch die SSID vom Access Point geändert und eingestellt, das er diese nicht veröffendlichen soll. Damit wird es schon schwerer den "Zugang" zu finden. (?)

Und dann habe ich noch die 64bit Verschlüsselung eingeschaltet, damit es nicht (so einfach) belauscht werden kann.

Leider habe ich es spontan nicht geschafft die 128bit verschlüsselung zu aktivieren.

Mein W-lan ist von Siemens (Sinus irgendwas ;) und bei 64bit sehen die eingabe Masken für die Verschlüsselung gleich aus, wenn ich jetzt auf 128 bit umschalte, sieht die Maske am Access Point immernoch so aus, auf den Clients aber total anders (Ich glaube so herum war es).

Normalerweise sind da 2 stellige eingabe Felder, bei 128 Bit waren das aber plötzlich 4 lange eingabe Zeilen, die mit schlüssel 1-4 beschriftet waren.
(Ich weiß es nicht mehr genau, weil ich nur schnell etwas Sicherheit reinbringen wollte und eigentlich was anderes zu tun hatte, bin bisher noch nicht dazu gekommen mir das mal länger an zu gucken.)
Aber wenn ich einfach den "key" von Access Point dort eingetippt hatte, funktionierte es leider nicht face-sad
Die richtige Anleitung ist sehr bescheiden von dem Ding, aber das PDF Dokument auf der CD ist wohl umfangreicher, ich sollte mir das auch noch mal angucken^^

Also wenn jemand dies liest, der das schon richtig eingestellt hat und spontan eine kleine Anleitung schreiben kann, ist das gut, an sonnsten werde ich mich da selber irgendwann mal einarbeiten. face-smile

Grüße Maik
Kirschi
Kirschi 07.06.2004 um 13:40:20 Uhr
Goto Top
Hallo Maik,
also eine Anleitung kann ich Dir nicht bieten, aber:

Es gbit grundsätzlich 2 Möglichkeiten einen Key zu "erzeugen": HEX und ASCI.
Je nachdem was Du eingestellt hast (muß bei Accesspoint und Karte gleich sein) mußt Du eine Zeichenfolge eingeben (wenn Du ASCI nimmst z.B: Fghh67*x9XWp). Je nachdem ob 64 Bit oder 128bit oder... ist der Schlüssel auch verschieden lang bei 128 bit ist er glaub ich 10 oder 12 stellig, das mußt Du probieren, wenn Zeichen fehlen, kommt eigentlich eine Fehlermeldung.

Schlüssel 1-4 dient eigentlich nur dazu, schnell mal den Key zu tauschen, Du brauchst aber auch nur jeweils das erste Feld ausfüllen (Accesspoint und Karte natürlich gleich) und dann sollte es funktionieren.
Gruß Andreas
Maik
Maik 07.06.2004 um 13:51:50 Uhr
Goto Top
Hallo

Danke für die Info, die Eingabefelder sehen leider anders aus, so als ob das eine andere Treiber version währe, aber wahrscheinlich sieht das bei den Clients anders aus, weil man 4 keys eingeben kann, ich habe die 6(?) doppel eingabe Felder einfach nacheinander in das Lange Feld gechrieben, aber es klappte nicht, vielleicht habe ich mich auch einfach nur vertippt oder vergessen irgendwo auf übernehmen zu klicken ;)

Ich probiere das nochmal bei Gelegenheit, die verbindung zur Straße ist zwar schlecht, aber wer weiß, wo das sonnst noch hinstrahlt, 128bit ist doch um einiges sicherer als 64bit!!
Rein rechnerisch, ist es 4 mal so sicher? (auf jeden Fall mehr als doppelt so viel oder?)

Grüße Maik
Kirschi
Kirschi 07.06.2004 um 17:04:34 Uhr
Goto Top
Hallo Maik,

nun "doppelt so sicher" kann man nicht direkt sagen, es steigt einfach die erforderliche Rechenleistung, um den Schlüssel zu ermitteln. Im Klartext heißt das, je höher die Verschlüsselung, desto besser (teurer) muß die Hardware des Einbrechers sein.
Wenn der Schnüffler lange genug den Funkverkehr mitgeschnitten hat ( ca. 1 GB), dann benötigt er zum Berechnen des Schlüssels vielleicht 4 Stunden mit 64-Bit und 16 Stunden für 128 Bit-Schlüssel (das ist rein theroetisch gemeint, habe keine Ahnung wie lange sowas dauert). Es ist also nicht unbedingt doppelt oder vierfach sicherer.
Aber probier ruhig eine Weile, Deine 64-Bit sind besser, als keine Verschlüsselung. Wenn Du es raus hast, den 128-Bit Schlüssel einzugeben, dann nutze ihn auch. Bei mir hat die hohe Verschlüsselung auch nicht gleich geklappt, eh ich das mit den HEX und ASCII raus hatte, vergingen auch paar Tage, gerade wenn die Hardwarekomponenten von verschiedenen Herstellern stammen, muß man schon bissel rumprobieren. Seit ich alles von einem Hersteller habe, funktioniert die ganze Sache wesentlich stabiler.
Gruß Andreas
Maik
Maik 08.06.2004 um 11:06:40 Uhr
Goto Top
Hallo

Nein ich meinte das nur theoretisch, 4 mal so viele Möglichkeiten = vier mal so sicher.

Aber ein guter Tip, mit dem gleichen Hersteller, ich habe das zwar alles vom der gleichen Firma, aber eine Bekannte will sich demnächst auch W-Lan zulegen, werde ihr mal den Tipp geben, alles vom gleichen Hersteller zu nehmen.

Grüße Maik
mathu
mathu 09.06.2004 um 01:32:03 Uhr
Goto Top
Also ziemlich sicher denke ich wenn du ein VPN einrichten würdest, ist aber wie immer eine Frage des Aufwands.

Ansonsten Versschlüsselung rein, SSID Standardname ändern, Accesspoint nicht sichtbar konfigurieren, Mac-Adressbasierte Authentifizierung einrichten.
timbeil
timbeil 19.05.2005 um 08:18:42 Uhr
Goto Top
Hallo!

Für WLAN-Router, wie Netgear WG602 oder AVM Fritz!Box WLAN FON, habe ich eine ziemlich umfassende Sicherheits-Checkliste erstellt:

http://timsbbs.dyndns.org/firma/service/wlan2/

Verbesserungsvorschläge werden gerne aufgenommen...

Gruss
Tim
netzbastler
netzbastler 15.08.2005 um 19:10:12 Uhr
Goto Top
Hi,

aus meiner Erfahrungen gibs da ein paar Dinge, wie du dein WLAN absichern kannst:

1. Namen des AP (SSID) und Zugangskennwort ändern
2. Broadcasting deaktivieren (der AP funkt dann nicht mehr seinen Namen in die Natur)
3. WPA Verschlüsselung einsetzen (WEP ist zu kacken)
4. MAC Adressen im AP einrichten (damit erlaubst du nur bestimmten Netzwerkkarten, sich mit dem AP zu verbinden)

Damit bist du auf jeden Fall schon mal ein ganzen Stückchen weiter

Gruss, Stefan
ThermoTubbie
ThermoTubbie 16.08.2005 um 18:06:32 Uhr
Goto Top
Hallo Stefan,

hab noch ein paar weitere Punkte, wobei die meisten aber eher für Firmen interessant sind

-Wenn möglich die Reichweite einstellen, so dass der AP nur dort empfangen werden kann wo dies auch nötig ist
-Die Wlanstrecke mit Firewall absichern und bei andern Sicherheitsplannungen als Gefahrenquelle einstuffen
-Router so platzieren, das keine unbefugten Personen drankommen (reboot -> Einstellungen zurücksetzen)
-Mitarbeiter über gefahren informieren (Wardriver erkennen, MAC weitergeben,...)
-Intrusion Detection Systeme verwenden
-Mac adressen der Clients nicht offen rumliegenlassen
Ebert05
Ebert05 07.12.2005 um 10:12:49 Uhr
Goto Top
WLAN SICHER?!=?!
Das geht eigentlich nicht.
zum einen mit dem Programm Ethernal bekommt man die MAC Adressen des Acses Points
Mit CMD (Eingabeauforderung) die ARPs Listen und in IPs Schlüsseln und mit GIF daten Fischen. oder einfach mit Network Stumpler die Pakete aus der Luft Fischen. Du wirst lachen Nach meinen Infos sind nur verschlüsselte APs zu sniffen ILIGAL alles was offen ist ist jedem ja FREI zugänglich also der ALGEMEINHEIT frei.

Um einen AP so gut wie Möglich zu schützen einen möglichst langen Key AUTOMATISCH in ASCII au einem Logorytmus (der automatischen erstelungsfunktion der WLAN Karte) auf einem Satz aufbauen lassen das ist am sinnfollsten meiner meinung nach.

PS: die genannte Sofftwarre ist FERRWARE?!?!
Ultraschnecke
Ultraschnecke 08.03.2006 um 01:44:31 Uhr
Goto Top
Falls noch nicht erwaehnt: Fernwartung und UPNP beim Router ausschalten...