19
WLAN Absicherung
Hallo zusammen,
WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ist sicher, das viele Geräte gar kein Update auf WPA3 erhalten werden.
Meine Idee ist daher mein heimisches WLAN so umzustellen, dass der Zugriff nur über WPA2 mit zusätzlichem L2TP/IPSEC-VPN-Tunnel möglich ist.
Ich würde also ein separates VLAN aufmachen in das sich die WLAN-Clients mit WPA2 einloggen können. Um dann jedoch tatsächlich ins Netzwerk zu kommen soll erst ein VPN-Tunnel zu meinem MikroTik-Router aufgebaut werden, der eh das VLAN Routing im Netzwerk macht.
Mit dem VPN-Tunnel geht es mir um keine externe Kommunikation sondern nur um den „normalen“ Zugriff meiner WLAN-Clients auf das private Heimnetzwerk.
Ist das aus Eurer Sicht sinnvoll oder baut man sich mit dem VPN-Tunnel eher weitere Lücken und neue Probleme ein?
Vielen Dank für eure Meinungen
Alex
WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ist sicher, das viele Geräte gar kein Update auf WPA3 erhalten werden.
Meine Idee ist daher mein heimisches WLAN so umzustellen, dass der Zugriff nur über WPA2 mit zusätzlichem L2TP/IPSEC-VPN-Tunnel möglich ist.
Ich würde also ein separates VLAN aufmachen in das sich die WLAN-Clients mit WPA2 einloggen können. Um dann jedoch tatsächlich ins Netzwerk zu kommen soll erst ein VPN-Tunnel zu meinem MikroTik-Router aufgebaut werden, der eh das VLAN Routing im Netzwerk macht.
Mit dem VPN-Tunnel geht es mir um keine externe Kommunikation sondern nur um den „normalen“ Zugriff meiner WLAN-Clients auf das private Heimnetzwerk.
Ist das aus Eurer Sicht sinnvoll oder baut man sich mit dem VPN-Tunnel eher weitere Lücken und neue Probleme ein?
Vielen Dank für eure Meinungen
Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 521764
Url: https://administrator.de/contentid/521764
Printed on: April 28, 2024 at 02:04 o'clock
19 Comments
Latest comment
Moin,
das ist schon möglich. Ich wüsste nur keine Option wie das automatisiert funktioniert. Auch wäre natürlich zu beachten was für Clients überhaupt eine Verbindung aufbauen sollen.
Die Frage ist eben ob die Clients das können.
Gruß
Spirit
das ist schon möglich. Ich wüsste nur keine Option wie das automatisiert funktioniert. Auch wäre natürlich zu beachten was für Clients überhaupt eine Verbindung aufbauen sollen.
Die Frage ist eben ob die Clients das können.
Gruß
Spirit
Ist WPA2-Enterprise damit auch schon geknackt?
Moin,
geknackt ist relativ. Es ist immernoch viel Aufwand nötig.
Für das heimische WLAN würde ich mir da keine Sorgen machen und die von dir vorgeschlagenen Änderungen wären wirklich ein echter Overkill.
Anscheinend kann auch Clientseitig gepatcht werden:
https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist ...
https://www.turn-on.de/tech/news/wpa2-wi-fi-verschluesselung-offenbar-ge ...
Maximal würde ich nicht mehr patchbare Geräte (alte Androids, altes Smart home etc.) in eine extra SSID auskoppeln die besonders gesichert ist und in der WLAN Geräte untereinander nicht kommunizieren dürfen.
geknackt ist relativ. Es ist immernoch viel Aufwand nötig.
Für das heimische WLAN würde ich mir da keine Sorgen machen und die von dir vorgeschlagenen Änderungen wären wirklich ein echter Overkill.
Anscheinend kann auch Clientseitig gepatcht werden:
https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist ...
https://www.turn-on.de/tech/news/wpa2-wi-fi-verschluesselung-offenbar-ge ...
Maximal würde ich nicht mehr patchbare Geräte (alte Androids, altes Smart home etc.) in eine extra SSID auskoppeln die besonders gesichert ist und in der WLAN Geräte untereinander nicht kommunizieren dürfen.
Clients sind eigentlich nur Win7-Laptops und iPhones und iPads.
Zumindest bei den Apple-Geräten habe ich eine Möglichkeit gefunden, dass immer wenn sie mit einem definierten WLAN Verbindung aufnehmen dann auch ein VPN-Tunnel geöffnet wird.
Somit sollte das hier automatisiert funktionieren.
Gibt es eine besser Möglichkeit oder ist WPA2 noch sicher genug bzw. Ist IPSec besser?
Zumindest bei den Apple-Geräten habe ich eine Möglichkeit gefunden, dass immer wenn sie mit einem definierten WLAN Verbindung aufnehmen dann auch ein VPN-Tunnel geöffnet wird.
Somit sollte das hier automatisiert funktionieren.
Gibt es eine besser Möglichkeit oder ist WPA2 noch sicher genug bzw. Ist IPSec besser?
Zum Thema "sicher genug":
Mach Dir lieber Gedanken über Windows 7 und was nächste Monat passiert ;c)
Mach Dir lieber Gedanken über Windows 7 und was nächste Monat passiert ;c)
Und vor allem könnte schlicht WPA2 Enterprise genutzt werden. Die Authentifizierung würde dann über einen Radius laufen und pro Client einen Key generieren.
Das heißt im Zweifelsfall wird nur ein Client komprimiert.
Nachfolgend kann dann sogar noch eine Zugriffsrechteeinschränkung konfiguriert werden.
Also lieber das W10 Thema angehen und WPA2 Enterprise nutzen.
Das heißt im Zweifelsfall wird nur ein Client komprimiert.
Nachfolgend kann dann sogar noch eine Zugriffsrechteeinschränkung konfiguriert werden.
Also lieber das W10 Thema angehen und WPA2 Enterprise nutzen.
Ich nutze schon WPA2-Enterprise. Ich hatte es nicht erwähnt da ich der Meinung war, dass auch Enterprise von der KRACK-Attacke betroffen ist.
Vielen Dank für Eure schnellen Rückmeldungen.
Vielen Dank für Eure schnellen Rückmeldungen.
Ich habe mir den ganzen Kram nochmals durchgelesen.
https://www.krackattacks.com/
Im Grund hast du Recht. Da hätte ich auch drauf kommen können, das ja jede Verbindung angreifbar ist. WPA2 Enterprise hat nur den Vorteil, sollte ein Client "geknackt" sein, nicht gleich alle Verbindungen kompromittiert werden da jeder Authentifizierung separat ausgehandelt wird.
Heißt, für den Angreifer ist es nur mehr Aufwand.
Klar wäre IPsec eine Option, aber kann auch wieder Nachteile bringen, wie erhöhter Aufwand, Einschränkung der Bandbreite usw.
Eine richtige Lösung zur Absicherung der Kommunikation gibt es derzeit nicht.
Bei einem IPhone lässt sich ja, wie du sagst, ein Tunnel direkt nach Verbindung aufbauen.
Bei einem Android wäre dann z.B. Tasker eine Option um das gleich zu realisieren. Ab Android 10 ist solch eine Option glaub ich schon implimentiert, habe ich aber noch nicht getestet.
https://www.krackattacks.com/
Im Grund hast du Recht. Da hätte ich auch drauf kommen können, das ja jede Verbindung angreifbar ist. WPA2 Enterprise hat nur den Vorteil, sollte ein Client "geknackt" sein, nicht gleich alle Verbindungen kompromittiert werden da jeder Authentifizierung separat ausgehandelt wird.
Heißt, für den Angreifer ist es nur mehr Aufwand.
Klar wäre IPsec eine Option, aber kann auch wieder Nachteile bringen, wie erhöhter Aufwand, Einschränkung der Bandbreite usw.
Eine richtige Lösung zur Absicherung der Kommunikation gibt es derzeit nicht.
Bei einem IPhone lässt sich ja, wie du sagst, ein Tunnel direkt nach Verbindung aufbauen.
Bei einem Android wäre dann z.B. Tasker eine Option um das gleich zu realisieren. Ab Android 10 ist solch eine Option glaub ich schon implimentiert, habe ich aber noch nicht getestet.
Wie wäre es denn mit einer Radius Authentisierung. Das wäre dann richtig wasserdicht:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wenn du zum Gürtel noch den Hosenträger brauchst dann machst du darüber noch IPsec oder OpenVPN.
Letzteres ist aber dann schon etwas paranoid....oder kommt natürlich drauf an was du für Daten übertragen willst. Wenn das was Illegales ist sollte man dann schon verschlüsseln, da hast du Recht. Wenn nicht reicht die simple AES Encryption von WPA2.
Und mal ehrlich. Die ganzen Geheimdienste und Schlapphüte haben doch so oder so ALLE einen Grundschlüssel um alle Algorithmen zu knacken !!
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wenn du zum Gürtel noch den Hosenträger brauchst dann machst du darüber noch IPsec oder OpenVPN.
Letzteres ist aber dann schon etwas paranoid....oder kommt natürlich drauf an was du für Daten übertragen willst. Wenn das was Illegales ist sollte man dann schon verschlüsseln, da hast du Recht. Wenn nicht reicht die simple AES Encryption von WPA2.
Und mal ehrlich. Die ganzen Geheimdienste und Schlapphüte haben doch so oder so ALLE einen Grundschlüssel um alle Algorithmen zu knacken !!
Cool: Windows 7 aber über die Sicherheit von WPA2 philosophieren. Diese "gefühlte" Unsicherheit wird ja immer abstruser
Wenn Du da Sorgen hast, würde ich zuerst 2,4 Ghz ausschalten und evtl. sogar noch ne automatische "Nachtruhe" aktivieren. Wo nix erreichbar, da nix geknackt!
Und die Reichweite von 5 Ghz ist so klein, dass Dir Deine Wifi-Knacker schon fast auf dem Schoß sitzen müssen.
Wenn Du da Sorgen hast, würde ich zuerst 2,4 Ghz ausschalten und evtl. sogar noch ne automatische "Nachtruhe" aktivieren. Wo nix erreichbar, da nix geknackt!
Und die Reichweite von 5 Ghz ist so klein, dass Dir Deine Wifi-Knacker schon fast auf dem Schoß sitzen müssen.
Vielen Dank für Eure Infos.
Im Ergebnis also WPA2-Enterprise nutzen und gut is - mir fehlte eben nur eine Einstufung wie groß das „Loch“ in WPA2 ist.
Anscheinend reicht Euch die WPA2 „Sicherheit“ aktuell ja auch noch völlig aus - ich werde mit meiner Hardware in der nächsten Zeit nur leider nicht auf WPA3 wechseln können.
Nochmals vielen Dank und
Viele Grüße
Alex
Im Ergebnis also WPA2-Enterprise nutzen und gut is - mir fehlte eben nur eine Einstufung wie groß das „Loch“ in WPA2 ist.
Anscheinend reicht Euch die WPA2 „Sicherheit“ aktuell ja auch noch völlig aus - ich werde mit meiner Hardware in der nächsten Zeit nur leider nicht auf WPA3 wechseln können.
Nochmals vielen Dank und
Viele Grüße
Alex
Hallo,
verstehe ich das falsch... oder?
Du willst das sich die WLAN clients die per WPA2 verbunden sind per VPN im dein Netzwerk lassen?
Welchen Sicherheitsgewinn erwartest du?
Die Löcher in WPA2 führen alle zu Angriffen auf die WLAN Verbindung.
Das heisst den WLAN Client ist sicher in dein Netz getunnelt, wird aber im WLAN angegriffen...
Was dazu führt das du den Clients, da sie ja per VPN kommen, vertraust...
Ich verstehe den Sinn nicht... das führt nach meinem Verständnis eher zu weniger Sicherheit...
Brammer
verstehe ich das falsch... oder?
Du willst das sich die WLAN clients die per WPA2 verbunden sind per VPN im dein Netzwerk lassen?
Welchen Sicherheitsgewinn erwartest du?
Die Löcher in WPA2 führen alle zu Angriffen auf die WLAN Verbindung.
Das heisst den WLAN Client ist sicher in dein Netz getunnelt, wird aber im WLAN angegriffen...
Was dazu führt das du den Clients, da sie ja per VPN kommen, vertraust...
Ich verstehe den Sinn nicht... das führt nach meinem Verständnis eher zu weniger Sicherheit...
Brammer
Hallo Brammer,
zur Zeit melden sich meine WLAN-Clients normal per WPA2-Enterprise im Netzwerk an und können auf die Resourcen zugreifen. Da WPA2 "geknackt" ist und meine Hardware wahrscheinlich nie WPA3 Unterstützung bekommen wird, war meine Idee den Traffic zwischen den kabellosen Clients und dem Netzwerk zusätzlich per IPSec zu verschlüsseln. Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Viele Grüße
Alex
zur Zeit melden sich meine WLAN-Clients normal per WPA2-Enterprise im Netzwerk an und können auf die Resourcen zugreifen. Da WPA2 "geknackt" ist und meine Hardware wahrscheinlich nie WPA3 Unterstützung bekommen wird, war meine Idee den Traffic zwischen den kabellosen Clients und dem Netzwerk zusätzlich per IPSec zu verschlüsseln. Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Viele Grüße
Alex
Naja, WPA2 ist nicht unbedingt geknackt, sondern eine Erweiterung. Hierbei handelt es sich u.a. um 802.11r, vulgo Fast Roaming. In professionellen Geräten lässt sich dieses deaktivieren und damit ist WPA2 nicht angreifbar. Es muss zum Teil auch deaktivierbar sein, weil insbesondere ältere Geräte damit nicht klarkommen.
WLAN ist zwar eine Angriffsmöglichkeit, aber man muss sich auch die Frage stellen, wie wahrscheinlich ein Angriff ist. WLAN ist reichweitenbegrenzt, sprich ein Angreifer muss sich in Empfangsweite des Netzwerkes bewegen. Angriffe über Sicherheitslücken in Anwendungen, Betriebssystemen und Geräten sind hier um Welten wahrscheinlicher.
Wenn dein Netzwerk so kritisch ist, sollte man eh die Verwendung von funkbasierten Netzwerken überdenken.
WLAN ist zwar eine Angriffsmöglichkeit, aber man muss sich auch die Frage stellen, wie wahrscheinlich ein Angriff ist. WLAN ist reichweitenbegrenzt, sprich ein Angreifer muss sich in Empfangsweite des Netzwerkes bewegen. Angriffe über Sicherheitslücken in Anwendungen, Betriebssystemen und Geräten sind hier um Welten wahrscheinlicher.
Wenn dein Netzwerk so kritisch ist, sollte man eh die Verwendung von funkbasierten Netzwerken überdenken.
Danke für die weitere Erläuterung! Nein so kritisch ist mein Netzwerk natürlich nicht.
Ich hatte wie gesagt nur nach einer Alternative für WPA3 gesucht - sehe aber ein, dass dies aktuell nicht erforderlich ist da WPA2 noch relativ sicher ist.
Danke!
Somit kann ich mir eventuelle neue Probleme durch das zusätzliche VPN/IPSec ersparen.
Viele Grüße
Ich hatte wie gesagt nur nach einer Alternative für WPA3 gesucht - sehe aber ein, dass dies aktuell nicht erforderlich ist da WPA2 noch relativ sicher ist.
Danke!
Somit kann ich mir eventuelle neue Probleme durch das zusätzliche VPN/IPSec ersparen.
Viele Grüße
Hallo,
Genau das ist dein Trugschluss.
Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...
Brammer
Zitat von @Alex29:
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Genau das ist dein Trugschluss.
Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...
Brammer
...ist das so???
Dies würde ja im Umkehrschluss heißen, dass wenn ich mich mit einem öffentlichen WLAN verbinde (ohne WPA2 bzw. eine andere Verschlüsselung) und dann zur Sicherung meiner Daten VPN einsetze, dass trotzdem „jeder“ auf meinen Client kommt.
????
Viele Grüße
Alex
Dies würde ja im Umkehrschluss heißen, dass wenn ich mich mit einem öffentlichen WLAN verbinde (ohne WPA2 bzw. eine andere Verschlüsselung) und dann zur Sicherung meiner Daten VPN einsetze, dass trotzdem „jeder“ auf meinen Client kommt.
????
Viele Grüße
Alex
Zitat von @brammer:
Hallo,
Genau das ist dein Trugschluss.
Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...
Brammer
Hallo,
Zitat von @Alex29:
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.
Genau das ist dein Trugschluss.
Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...
Brammer
Die Darlegung hat mir ja noch niemand diesbezüglich erzählt.
Meines Wissens nach ist auch "KRACK" kein direkter Einbruch in den Client. Das heißt das nur die Verbindung angegriffen wird. Also schlägt es in die gleiche Kerbe wie "mitschneiden und per Brutforce knacken".
Ich würde einfach mal prüfen ob die APs überhaupt verwundbar sind. Mit Kali ist das in wenigen schritten erledigt und ist gibt einen Artikel auf Kali.org dazu:
https://www.kali.org/news/kali-on-krack/
Ganz rudimentär wird die Thematik bei Ubiquiti behandelt und deren Produkte wurden gepatcht. Solange dort keine "fast roaming" genutzt wird, sind die Geräte dahingehend abgesichert. In wie weit nun der Client selbst angreifbar ist, weiß ich derzeit nicht.
https://help.ubnt.com/hc/en-us/articles/115013737328--ARCHIVED-Ubiquiti- ...
Hier wird das Sniffen des Traffics kurz angerissen. Daher ist es ratsam WPA2 Enterprise über Radius einzusetzen:
https://forum.mikrotik.com/viewtopic.php?p=684954
Ist das so? Warum dann die Empfehlung in öffentlichen Wifis mit (eigenem) VPN zu arbeiten?
