alex29
Goto Top

WLAN Absicherung

Hallo zusammen,

WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ist sicher, das viele Geräte gar kein Update auf WPA3 erhalten werden.
Meine Idee ist daher mein heimisches WLAN so umzustellen, dass der Zugriff nur über WPA2 mit zusätzlichem L2TP/IPSEC-VPN-Tunnel möglich ist.

Ich würde also ein separates VLAN aufmachen in das sich die WLAN-Clients mit WPA2 einloggen können. Um dann jedoch tatsächlich ins Netzwerk zu kommen soll erst ein VPN-Tunnel zu meinem MikroTik-Router aufgebaut werden, der eh das VLAN Routing im Netzwerk macht.

Mit dem VPN-Tunnel geht es mir um keine externe Kommunikation sondern nur um den „normalen“ Zugriff meiner WLAN-Clients auf das private Heimnetzwerk.

Ist das aus Eurer Sicht sinnvoll oder baut man sich mit dem VPN-Tunnel eher weitere Lücken und neue Probleme ein?

Vielen Dank für eure Meinungen

Alex

Content-ID: 521764

Url: https://administrator.de/forum/wlan-absicherung-521764.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 04.12.2019 aktualisiert um 12:06:32 Uhr
Goto Top
Moin,

das ist schon möglich. Ich wüsste nur keine Option wie das automatisiert funktioniert. Auch wäre natürlich zu beachten was für Clients überhaupt eine Verbindung aufbauen sollen.

Die Frage ist eben ob die Clients das können.

Gruß
Spirit
NordicMike
NordicMike 04.12.2019 um 12:08:00 Uhr
Goto Top
Ist WPA2-Enterprise damit auch schon geknackt?
Pletty
Pletty 04.12.2019 um 12:08:05 Uhr
Goto Top
Moin,

geknackt ist relativ. Es ist immernoch viel Aufwand nötig.

Für das heimische WLAN würde ich mir da keine Sorgen machen und die von dir vorgeschlagenen Änderungen wären wirklich ein echter Overkill.

Anscheinend kann auch Clientseitig gepatcht werden:
https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist ...
https://www.turn-on.de/tech/news/wpa2-wi-fi-verschluesselung-offenbar-ge ...

Maximal würde ich nicht mehr patchbare Geräte (alte Androids, altes Smart home etc.) in eine extra SSID auskoppeln die besonders gesichert ist und in der WLAN Geräte untereinander nicht kommunizieren dürfen.
Alex29
Alex29 04.12.2019 um 12:15:30 Uhr
Goto Top
Clients sind eigentlich nur Win7-Laptops und iPhones und iPads.
Zumindest bei den Apple-Geräten habe ich eine Möglichkeit gefunden, dass immer wenn sie mit einem definierten WLAN Verbindung aufnehmen dann auch ein VPN-Tunnel geöffnet wird.
Somit sollte das hier automatisiert funktionieren.

Gibt es eine besser Möglichkeit oder ist WPA2 noch sicher genug bzw. Ist IPSec besser?
NordicMike
NordicMike 04.12.2019 um 12:19:24 Uhr
Goto Top
Zum Thema "sicher genug":
Mach Dir lieber Gedanken über Windows 7 und was nächste Monat passiert ;c)
Spirit-of-Eli
Spirit-of-Eli 04.12.2019 um 12:24:12 Uhr
Goto Top
Und vor allem könnte schlicht WPA2 Enterprise genutzt werden. Die Authentifizierung würde dann über einen Radius laufen und pro Client einen Key generieren.
Das heißt im Zweifelsfall wird nur ein Client komprimiert.

Nachfolgend kann dann sogar noch eine Zugriffsrechteeinschränkung konfiguriert werden.

Also lieber das W10 Thema angehen und WPA2 Enterprise nutzen.
Alex29
Alex29 04.12.2019 um 12:32:16 Uhr
Goto Top
Ich nutze schon WPA2-Enterprise. Ich hatte es nicht erwähnt da ich der Meinung war, dass auch Enterprise von der KRACK-Attacke betroffen ist.

Vielen Dank für Eure schnellen Rückmeldungen.
Spirit-of-Eli
Lösung Spirit-of-Eli 04.12.2019 um 12:47:48 Uhr
Goto Top
Ich habe mir den ganzen Kram nochmals durchgelesen.
https://www.krackattacks.com/
Im Grund hast du Recht. Da hätte ich auch drauf kommen können, das ja jede Verbindung angreifbar ist. WPA2 Enterprise hat nur den Vorteil, sollte ein Client "geknackt" sein, nicht gleich alle Verbindungen kompromittiert werden da jeder Authentifizierung separat ausgehandelt wird.

Heißt, für den Angreifer ist es nur mehr Aufwand.

Klar wäre IPsec eine Option, aber kann auch wieder Nachteile bringen, wie erhöhter Aufwand, Einschränkung der Bandbreite usw.
Eine richtige Lösung zur Absicherung der Kommunikation gibt es derzeit nicht.

Bei einem IPhone lässt sich ja, wie du sagst, ein Tunnel direkt nach Verbindung aufbauen.
Bei einem Android wäre dann z.B. Tasker eine Option um das gleich zu realisieren. Ab Android 10 ist solch eine Option glaub ich schon implimentiert, habe ich aber noch nicht getestet.
aqui
aqui 04.12.2019 aktualisiert um 13:32:26 Uhr
Goto Top
Wie wäre es denn mit einer Radius Authentisierung. Das wäre dann richtig wasserdicht:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wenn du zum Gürtel noch den Hosenträger brauchst dann machst du darüber noch IPsec oder OpenVPN.
Letzteres ist aber dann schon etwas paranoid....oder kommt natürlich drauf an was du für Daten übertragen willst. Wenn das was Illegales ist sollte man dann schon verschlüsseln, da hast du Recht. Wenn nicht reicht die simple AES Encryption von WPA2.
Und mal ehrlich. Die ganzen Geheimdienste und Schlapphüte haben doch so oder so ALLE einen Grundschlüssel um alle Algorithmen zu knacken !! face-wink
Visucius
Visucius 04.12.2019 aktualisiert um 13:52:46 Uhr
Goto Top
Cool: Windows 7 aber über die Sicherheit von WPA2 philosophieren. Diese "gefühlte" Unsicherheit wird ja immer abstruser face-wink

Wenn Du da Sorgen hast, würde ich zuerst 2,4 Ghz ausschalten und evtl. sogar noch ne automatische "Nachtruhe" aktivieren. Wo nix erreichbar, da nix geknackt!

Und die Reichweite von 5 Ghz ist so klein, dass Dir Deine Wifi-Knacker schon fast auf dem Schoß sitzen müssen.
Alex29
Alex29 04.12.2019 um 13:53:47 Uhr
Goto Top
Vielen Dank für Eure Infos.

Im Ergebnis also WPA2-Enterprise nutzen und gut is - mir fehlte eben nur eine Einstufung wie groß das „Loch“ in WPA2 ist.
Anscheinend reicht Euch die WPA2 „Sicherheit“ aktuell ja auch noch völlig aus - ich werde mit meiner Hardware in der nächsten Zeit nur leider nicht auf WPA3 wechseln können.

Nochmals vielen Dank und

Viele Grüße
Alex
brammer
brammer 04.12.2019 um 17:00:26 Uhr
Goto Top
Hallo,

verstehe ich das falsch... oder?
Du willst das sich die WLAN clients die per WPA2 verbunden sind per VPN im dein Netzwerk lassen?

Welchen Sicherheitsgewinn erwartest du?

Die Löcher in WPA2 führen alle zu Angriffen auf die WLAN Verbindung.
Das heisst den WLAN Client ist sicher in dein Netz getunnelt, wird aber im WLAN angegriffen...
Was dazu führt das du den Clients, da sie ja per VPN kommen, vertraust...

Ich verstehe den Sinn nicht... das führt nach meinem Verständnis eher zu weniger Sicherheit...

Brammer
Alex29
Alex29 04.12.2019 um 20:44:09 Uhr
Goto Top
Hallo Brammer,

zur Zeit melden sich meine WLAN-Clients normal per WPA2-Enterprise im Netzwerk an und können auf die Resourcen zugreifen. Da WPA2 "geknackt" ist und meine Hardware wahrscheinlich nie WPA3 Unterstützung bekommen wird, war meine Idee den Traffic zwischen den kabellosen Clients und dem Netzwerk zusätzlich per IPSec zu verschlüsseln. Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.

Viele Grüße
Alex
tikayevent
tikayevent 04.12.2019 aktualisiert um 23:09:24 Uhr
Goto Top
Naja, WPA2 ist nicht unbedingt geknackt, sondern eine Erweiterung. Hierbei handelt es sich u.a. um 802.11r, vulgo Fast Roaming. In professionellen Geräten lässt sich dieses deaktivieren und damit ist WPA2 nicht angreifbar. Es muss zum Teil auch deaktivierbar sein, weil insbesondere ältere Geräte damit nicht klarkommen.

WLAN ist zwar eine Angriffsmöglichkeit, aber man muss sich auch die Frage stellen, wie wahrscheinlich ein Angriff ist. WLAN ist reichweitenbegrenzt, sprich ein Angreifer muss sich in Empfangsweite des Netzwerkes bewegen. Angriffe über Sicherheitslücken in Anwendungen, Betriebssystemen und Geräten sind hier um Welten wahrscheinlicher.

Wenn dein Netzwerk so kritisch ist, sollte man eh die Verwendung von funkbasierten Netzwerken überdenken.
Alex29
Alex29 04.12.2019 um 22:28:54 Uhr
Goto Top
Danke für die weitere Erläuterung! Nein so kritisch ist mein Netzwerk natürlich nicht.

Ich hatte wie gesagt nur nach einer Alternative für WPA3 gesucht - sehe aber ein, dass dies aktuell nicht erforderlich ist da WPA2 noch relativ sicher ist.
Danke!
Somit kann ich mir eventuelle neue Probleme durch das zusätzliche VPN/IPSec ersparen.

Viele Grüße
brammer
brammer 05.12.2019 um 06:41:35 Uhr
Goto Top
Hallo,


Zitat von @Alex29:
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.


Genau das ist dein Trugschluss.

Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...

Brammer
Alex29
Alex29 05.12.2019 um 08:05:23 Uhr
Goto Top
...ist das so???
Dies würde ja im Umkehrschluss heißen, dass wenn ich mich mit einem öffentlichen WLAN verbinde (ohne WPA2 bzw. eine andere Verschlüsselung) und dann zur Sicherung meiner Daten VPN einsetze, dass trotzdem „jeder“ auf meinen Client kommt.

????

Viele Grüße
Alex
Spirit-of-Eli
Spirit-of-Eli 05.12.2019 aktualisiert um 08:48:40 Uhr
Goto Top
Zitat von @brammer:

Hallo,


Zitat von @Alex29:
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.


Genau das ist dein Trugschluss.

Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...

Brammer

Die Darlegung hat mir ja noch niemand diesbezüglich erzählt.
Meines Wissens nach ist auch "KRACK" kein direkter Einbruch in den Client. Das heißt das nur die Verbindung angegriffen wird. Also schlägt es in die gleiche Kerbe wie "mitschneiden und per Brutforce knacken".

Ich würde einfach mal prüfen ob die APs überhaupt verwundbar sind. Mit Kali ist das in wenigen schritten erledigt und ist gibt einen Artikel auf Kali.org dazu:
https://www.kali.org/news/kali-on-krack/

Ganz rudimentär wird die Thematik bei Ubiquiti behandelt und deren Produkte wurden gepatcht. Solange dort keine "fast roaming" genutzt wird, sind die Geräte dahingehend abgesichert. In wie weit nun der Client selbst angreifbar ist, weiß ich derzeit nicht.
https://help.ubnt.com/hc/en-us/articles/115013737328--ARCHIVED-Ubiquiti- ...

Hier wird das Sniffen des Traffics kurz angerissen. Daher ist es ratsam WPA2 Enterprise über Radius einzusetzen:
https://forum.mikrotik.com/viewtopic.php?p=684954
Visucius
Visucius 05.12.2019 um 08:50:22 Uhr
Goto Top
Ist das so? Warum dann die Empfehlung in öffentlichen Wifis mit (eigenem) VPN zu arbeiten?