WLAN Absicherung
Hallo zusammen,
WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ist sicher, das viele Geräte gar kein Update auf WPA3 erhalten werden.
Meine Idee ist daher mein heimisches WLAN so umzustellen, dass der Zugriff nur über WPA2 mit zusätzlichem L2TP/IPSEC-VPN-Tunnel möglich ist.
Ich würde also ein separates VLAN aufmachen in das sich die WLAN-Clients mit WPA2 einloggen können. Um dann jedoch tatsächlich ins Netzwerk zu kommen soll erst ein VPN-Tunnel zu meinem MikroTik-Router aufgebaut werden, der eh das VLAN Routing im Netzwerk macht.
Mit dem VPN-Tunnel geht es mir um keine externe Kommunikation sondern nur um den „normalen“ Zugriff meiner WLAN-Clients auf das private Heimnetzwerk.
Ist das aus Eurer Sicht sinnvoll oder baut man sich mit dem VPN-Tunnel eher weitere Lücken und neue Probleme ein?
Vielen Dank für eure Meinungen
Alex
WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ist sicher, das viele Geräte gar kein Update auf WPA3 erhalten werden.
Meine Idee ist daher mein heimisches WLAN so umzustellen, dass der Zugriff nur über WPA2 mit zusätzlichem L2TP/IPSEC-VPN-Tunnel möglich ist.
Ich würde also ein separates VLAN aufmachen in das sich die WLAN-Clients mit WPA2 einloggen können. Um dann jedoch tatsächlich ins Netzwerk zu kommen soll erst ein VPN-Tunnel zu meinem MikroTik-Router aufgebaut werden, der eh das VLAN Routing im Netzwerk macht.
Mit dem VPN-Tunnel geht es mir um keine externe Kommunikation sondern nur um den „normalen“ Zugriff meiner WLAN-Clients auf das private Heimnetzwerk.
Ist das aus Eurer Sicht sinnvoll oder baut man sich mit dem VPN-Tunnel eher weitere Lücken und neue Probleme ein?
Vielen Dank für eure Meinungen
Alex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 521764
Url: https://administrator.de/forum/wlan-absicherung-521764.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
19 Kommentare
Neuester Kommentar
Moin,
geknackt ist relativ. Es ist immernoch viel Aufwand nötig.
Für das heimische WLAN würde ich mir da keine Sorgen machen und die von dir vorgeschlagenen Änderungen wären wirklich ein echter Overkill.
Anscheinend kann auch Clientseitig gepatcht werden:
https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist ...
https://www.turn-on.de/tech/news/wpa2-wi-fi-verschluesselung-offenbar-ge ...
Maximal würde ich nicht mehr patchbare Geräte (alte Androids, altes Smart home etc.) in eine extra SSID auskoppeln die besonders gesichert ist und in der WLAN Geräte untereinander nicht kommunizieren dürfen.
geknackt ist relativ. Es ist immernoch viel Aufwand nötig.
Für das heimische WLAN würde ich mir da keine Sorgen machen und die von dir vorgeschlagenen Änderungen wären wirklich ein echter Overkill.
Anscheinend kann auch Clientseitig gepatcht werden:
https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist ...
https://www.turn-on.de/tech/news/wpa2-wi-fi-verschluesselung-offenbar-ge ...
Maximal würde ich nicht mehr patchbare Geräte (alte Androids, altes Smart home etc.) in eine extra SSID auskoppeln die besonders gesichert ist und in der WLAN Geräte untereinander nicht kommunizieren dürfen.
Und vor allem könnte schlicht WPA2 Enterprise genutzt werden. Die Authentifizierung würde dann über einen Radius laufen und pro Client einen Key generieren.
Das heißt im Zweifelsfall wird nur ein Client komprimiert.
Nachfolgend kann dann sogar noch eine Zugriffsrechteeinschränkung konfiguriert werden.
Also lieber das W10 Thema angehen und WPA2 Enterprise nutzen.
Das heißt im Zweifelsfall wird nur ein Client komprimiert.
Nachfolgend kann dann sogar noch eine Zugriffsrechteeinschränkung konfiguriert werden.
Also lieber das W10 Thema angehen und WPA2 Enterprise nutzen.
Ich habe mir den ganzen Kram nochmals durchgelesen.
https://www.krackattacks.com/
Im Grund hast du Recht. Da hätte ich auch drauf kommen können, das ja jede Verbindung angreifbar ist. WPA2 Enterprise hat nur den Vorteil, sollte ein Client "geknackt" sein, nicht gleich alle Verbindungen kompromittiert werden da jeder Authentifizierung separat ausgehandelt wird.
Heißt, für den Angreifer ist es nur mehr Aufwand.
Klar wäre IPsec eine Option, aber kann auch wieder Nachteile bringen, wie erhöhter Aufwand, Einschränkung der Bandbreite usw.
Eine richtige Lösung zur Absicherung der Kommunikation gibt es derzeit nicht.
Bei einem IPhone lässt sich ja, wie du sagst, ein Tunnel direkt nach Verbindung aufbauen.
Bei einem Android wäre dann z.B. Tasker eine Option um das gleich zu realisieren. Ab Android 10 ist solch eine Option glaub ich schon implimentiert, habe ich aber noch nicht getestet.
https://www.krackattacks.com/
Im Grund hast du Recht. Da hätte ich auch drauf kommen können, das ja jede Verbindung angreifbar ist. WPA2 Enterprise hat nur den Vorteil, sollte ein Client "geknackt" sein, nicht gleich alle Verbindungen kompromittiert werden da jeder Authentifizierung separat ausgehandelt wird.
Heißt, für den Angreifer ist es nur mehr Aufwand.
Klar wäre IPsec eine Option, aber kann auch wieder Nachteile bringen, wie erhöhter Aufwand, Einschränkung der Bandbreite usw.
Eine richtige Lösung zur Absicherung der Kommunikation gibt es derzeit nicht.
Bei einem IPhone lässt sich ja, wie du sagst, ein Tunnel direkt nach Verbindung aufbauen.
Bei einem Android wäre dann z.B. Tasker eine Option um das gleich zu realisieren. Ab Android 10 ist solch eine Option glaub ich schon implimentiert, habe ich aber noch nicht getestet.
Wie wäre es denn mit einer Radius Authentisierung. Das wäre dann richtig wasserdicht:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wenn du zum Gürtel noch den Hosenträger brauchst dann machst du darüber noch IPsec oder OpenVPN.
Letzteres ist aber dann schon etwas paranoid....oder kommt natürlich drauf an was du für Daten übertragen willst. Wenn das was Illegales ist sollte man dann schon verschlüsseln, da hast du Recht. Wenn nicht reicht die simple AES Encryption von WPA2.
Und mal ehrlich. Die ganzen Geheimdienste und Schlapphüte haben doch so oder so ALLE einen Grundschlüssel um alle Algorithmen zu knacken !!
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wenn du zum Gürtel noch den Hosenträger brauchst dann machst du darüber noch IPsec oder OpenVPN.
Letzteres ist aber dann schon etwas paranoid....oder kommt natürlich drauf an was du für Daten übertragen willst. Wenn das was Illegales ist sollte man dann schon verschlüsseln, da hast du Recht. Wenn nicht reicht die simple AES Encryption von WPA2.
Und mal ehrlich. Die ganzen Geheimdienste und Schlapphüte haben doch so oder so ALLE einen Grundschlüssel um alle Algorithmen zu knacken !!
Cool: Windows 7 aber über die Sicherheit von WPA2 philosophieren. Diese "gefühlte" Unsicherheit wird ja immer abstruser
Wenn Du da Sorgen hast, würde ich zuerst 2,4 Ghz ausschalten und evtl. sogar noch ne automatische "Nachtruhe" aktivieren. Wo nix erreichbar, da nix geknackt!
Und die Reichweite von 5 Ghz ist so klein, dass Dir Deine Wifi-Knacker schon fast auf dem Schoß sitzen müssen.
Wenn Du da Sorgen hast, würde ich zuerst 2,4 Ghz ausschalten und evtl. sogar noch ne automatische "Nachtruhe" aktivieren. Wo nix erreichbar, da nix geknackt!
Und die Reichweite von 5 Ghz ist so klein, dass Dir Deine Wifi-Knacker schon fast auf dem Schoß sitzen müssen.
Hallo,
verstehe ich das falsch... oder?
Du willst das sich die WLAN clients die per WPA2 verbunden sind per VPN im dein Netzwerk lassen?
Welchen Sicherheitsgewinn erwartest du?
Die Löcher in WPA2 führen alle zu Angriffen auf die WLAN Verbindung.
Das heisst den WLAN Client ist sicher in dein Netz getunnelt, wird aber im WLAN angegriffen...
Was dazu führt das du den Clients, da sie ja per VPN kommen, vertraust...
Ich verstehe den Sinn nicht... das führt nach meinem Verständnis eher zu weniger Sicherheit...
Brammer
verstehe ich das falsch... oder?
Du willst das sich die WLAN clients die per WPA2 verbunden sind per VPN im dein Netzwerk lassen?
Welchen Sicherheitsgewinn erwartest du?
Die Löcher in WPA2 führen alle zu Angriffen auf die WLAN Verbindung.
Das heisst den WLAN Client ist sicher in dein Netz getunnelt, wird aber im WLAN angegriffen...
Was dazu führt das du den Clients, da sie ja per VPN kommen, vertraust...
Ich verstehe den Sinn nicht... das führt nach meinem Verständnis eher zu weniger Sicherheit...
Brammer
Naja, WPA2 ist nicht unbedingt geknackt, sondern eine Erweiterung. Hierbei handelt es sich u.a. um 802.11r, vulgo Fast Roaming. In professionellen Geräten lässt sich dieses deaktivieren und damit ist WPA2 nicht angreifbar. Es muss zum Teil auch deaktivierbar sein, weil insbesondere ältere Geräte damit nicht klarkommen.
WLAN ist zwar eine Angriffsmöglichkeit, aber man muss sich auch die Frage stellen, wie wahrscheinlich ein Angriff ist. WLAN ist reichweitenbegrenzt, sprich ein Angreifer muss sich in Empfangsweite des Netzwerkes bewegen. Angriffe über Sicherheitslücken in Anwendungen, Betriebssystemen und Geräten sind hier um Welten wahrscheinlicher.
Wenn dein Netzwerk so kritisch ist, sollte man eh die Verwendung von funkbasierten Netzwerken überdenken.
WLAN ist zwar eine Angriffsmöglichkeit, aber man muss sich auch die Frage stellen, wie wahrscheinlich ein Angriff ist. WLAN ist reichweitenbegrenzt, sprich ein Angreifer muss sich in Empfangsweite des Netzwerkes bewegen. Angriffe über Sicherheitslücken in Anwendungen, Betriebssystemen und Geräten sind hier um Welten wahrscheinlicher.
Wenn dein Netzwerk so kritisch ist, sollte man eh die Verwendung von funkbasierten Netzwerken überdenken.
Hallo,
Genau das ist dein Trugschluss.
Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...
Brammer
Zitat von @Alex29:
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Genau das ist dein Trugschluss.
Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...
Brammer
Zitat von @brammer:
Hallo,
Genau das ist dein Trugschluss.
Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...
Brammer
Hallo,
Zitat von @Alex29:
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Genau das ist dein Trugschluss.
Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...
Brammer
Die Darlegung hat mir ja noch niemand diesbezüglich erzählt.
Meines Wissens nach ist auch "KRACK" kein direkter Einbruch in den Client. Das heißt das nur die Verbindung angegriffen wird. Also schlägt es in die gleiche Kerbe wie "mitschneiden und per Brutforce knacken".
Ich würde einfach mal prüfen ob die APs überhaupt verwundbar sind. Mit Kali ist das in wenigen schritten erledigt und ist gibt einen Artikel auf Kali.org dazu:
https://www.kali.org/news/kali-on-krack/
Ganz rudimentär wird die Thematik bei Ubiquiti behandelt und deren Produkte wurden gepatcht. Solange dort keine "fast roaming" genutzt wird, sind die Geräte dahingehend abgesichert. In wie weit nun der Client selbst angreifbar ist, weiß ich derzeit nicht.
https://help.ubnt.com/hc/en-us/articles/115013737328--ARCHIVED-Ubiquiti- ...
Hier wird das Sniffen des Traffics kurz angerissen. Daher ist es ratsam WPA2 Enterprise über Radius einzusetzen:
https://forum.mikrotik.com/viewtopic.php?p=684954