Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WLAN Absicherung

Mitglied: Alex29

Alex29 (Level 1) - Jetzt verbinden

04.12.2019 um 12:00 Uhr, 695 Aufrufe, 19 Kommentare

Hallo zusammen,

WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ist sicher, das viele Geräte gar kein Update auf WPA3 erhalten werden.
Meine Idee ist daher mein heimisches WLAN so umzustellen, dass der Zugriff nur über WPA2 mit zusätzlichem L2TP/IPSEC-VPN-Tunnel möglich ist.

Ich würde also ein separates VLAN aufmachen in das sich die WLAN-Clients mit WPA2 einloggen können. Um dann jedoch tatsächlich ins Netzwerk zu kommen soll erst ein VPN-Tunnel zu meinem MikroTik-Router aufgebaut werden, der eh das VLAN Routing im Netzwerk macht.

Mit dem VPN-Tunnel geht es mir um keine externe Kommunikation sondern nur um den „normalen“ Zugriff meiner WLAN-Clients auf das private Heimnetzwerk.

Ist das aus Eurer Sicht sinnvoll oder baut man sich mit dem VPN-Tunnel eher weitere Lücken und neue Probleme ein?

Vielen Dank für eure Meinungen

Alex
Mitglied: Spirit-of-Eli
04.12.2019, aktualisiert um 12:06 Uhr
Moin,

das ist schon möglich. Ich wüsste nur keine Option wie das automatisiert funktioniert. Auch wäre natürlich zu beachten was für Clients überhaupt eine Verbindung aufbauen sollen.

Die Frage ist eben ob die Clients das können.

Gruß
Spirit
Bitte warten ..
Mitglied: NordicMike
04.12.2019 um 12:08 Uhr
Ist WPA2-Enterprise damit auch schon geknackt?
Bitte warten ..
Mitglied: Pletty
04.12.2019 um 12:08 Uhr
Moin,

geknackt ist relativ. Es ist immernoch viel Aufwand nötig.

Für das heimische WLAN würde ich mir da keine Sorgen machen und die von dir vorgeschlagenen Änderungen wären wirklich ein echter Overkill.

Anscheinend kann auch Clientseitig gepatcht werden:
https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist ...
https://www.turn-on.de/tech/news/wpa2-wi-fi-verschluesselung-offenbar-ge ...

Maximal würde ich nicht mehr patchbare Geräte (alte Androids, altes Smart home etc.) in eine extra SSID auskoppeln die besonders gesichert ist und in der WLAN Geräte untereinander nicht kommunizieren dürfen.
Bitte warten ..
Mitglied: Alex29
04.12.2019 um 12:15 Uhr
Clients sind eigentlich nur Win7-Laptops und iPhones und iPads.
Zumindest bei den Apple-Geräten habe ich eine Möglichkeit gefunden, dass immer wenn sie mit einem definierten WLAN Verbindung aufnehmen dann auch ein VPN-Tunnel geöffnet wird.
Somit sollte das hier automatisiert funktionieren.

Gibt es eine besser Möglichkeit oder ist WPA2 noch sicher genug bzw. Ist IPSec besser?
Bitte warten ..
Mitglied: NordicMike
04.12.2019 um 12:19 Uhr
Zum Thema "sicher genug":
Mach Dir lieber Gedanken über Windows 7 und was nächste Monat passiert ;c)
Bitte warten ..
Mitglied: Spirit-of-Eli
04.12.2019 um 12:24 Uhr
Und vor allem könnte schlicht WPA2 Enterprise genutzt werden. Die Authentifizierung würde dann über einen Radius laufen und pro Client einen Key generieren.
Das heißt im Zweifelsfall wird nur ein Client komprimiert.

Nachfolgend kann dann sogar noch eine Zugriffsrechteeinschränkung konfiguriert werden.

Also lieber das W10 Thema angehen und WPA2 Enterprise nutzen.
Bitte warten ..
Mitglied: Alex29
04.12.2019 um 12:32 Uhr
Ich nutze schon WPA2-Enterprise. Ich hatte es nicht erwähnt da ich der Meinung war, dass auch Enterprise von der KRACK-Attacke betroffen ist.

Vielen Dank für Eure schnellen Rückmeldungen.
Bitte warten ..
Mitglied: Spirit-of-Eli
LÖSUNG 04.12.2019 um 12:47 Uhr
Ich habe mir den ganzen Kram nochmals durchgelesen.
https://www.krackattacks.com/
Im Grund hast du Recht. Da hätte ich auch drauf kommen können, das ja jede Verbindung angreifbar ist. WPA2 Enterprise hat nur den Vorteil, sollte ein Client "geknackt" sein, nicht gleich alle Verbindungen kompromittiert werden da jeder Authentifizierung separat ausgehandelt wird.

Heißt, für den Angreifer ist es nur mehr Aufwand.

Klar wäre IPsec eine Option, aber kann auch wieder Nachteile bringen, wie erhöhter Aufwand, Einschränkung der Bandbreite usw.
Eine richtige Lösung zur Absicherung der Kommunikation gibt es derzeit nicht.

Bei einem IPhone lässt sich ja, wie du sagst, ein Tunnel direkt nach Verbindung aufbauen.
Bei einem Android wäre dann z.B. Tasker eine Option um das gleich zu realisieren. Ab Android 10 ist solch eine Option glaub ich schon implimentiert, habe ich aber noch nicht getestet.
Bitte warten ..
Mitglied: aqui
04.12.2019, aktualisiert um 13:32 Uhr
Wie wäre es denn mit einer Radius Authentisierung. Das wäre dann richtig wasserdicht:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
Wenn du zum Gürtel noch den Hosenträger brauchst dann machst du darüber noch IPsec oder OpenVPN.
Letzteres ist aber dann schon etwas paranoid....oder kommt natürlich drauf an was du für Daten übertragen willst. Wenn das was Illegales ist sollte man dann schon verschlüsseln, da hast du Recht. Wenn nicht reicht die simple AES Encryption von WPA2.
Und mal ehrlich. Die ganzen Geheimdienste und Schlapphüte haben doch so oder so ALLE einen Grundschlüssel um alle Algorithmen zu knacken !!
Bitte warten ..
Mitglied: Visucius
04.12.2019, aktualisiert um 13:52 Uhr
Cool: Windows 7 aber über die Sicherheit von WPA2 philosophieren. Diese "gefühlte" Unsicherheit wird ja immer abstruser

Wenn Du da Sorgen hast, würde ich zuerst 2,4 Ghz ausschalten und evtl. sogar noch ne automatische "Nachtruhe" aktivieren. Wo nix erreichbar, da nix geknackt!

Und die Reichweite von 5 Ghz ist so klein, dass Dir Deine Wifi-Knacker schon fast auf dem Schoß sitzen müssen.
Bitte warten ..
Mitglied: Alex29
04.12.2019 um 13:53 Uhr
Vielen Dank für Eure Infos.

Im Ergebnis also WPA2-Enterprise nutzen und gut is - mir fehlte eben nur eine Einstufung wie groß das „Loch“ in WPA2 ist.
Anscheinend reicht Euch die WPA2 „Sicherheit“ aktuell ja auch noch völlig aus - ich werde mit meiner Hardware in der nächsten Zeit nur leider nicht auf WPA3 wechseln können.

Nochmals vielen Dank und

Viele Grüße
Alex
Bitte warten ..
Mitglied: brammer
04.12.2019 um 17:00 Uhr
Hallo,

verstehe ich das falsch... oder?
Du willst das sich die WLAN clients die per WPA2 verbunden sind per VPN im dein Netzwerk lassen?

Welchen Sicherheitsgewinn erwartest du?

Die Löcher in WPA2 führen alle zu Angriffen auf die WLAN Verbindung.
Das heisst den WLAN Client ist sicher in dein Netz getunnelt, wird aber im WLAN angegriffen...
Was dazu führt das du den Clients, da sie ja per VPN kommen, vertraust...

Ich verstehe den Sinn nicht... das führt nach meinem Verständnis eher zu weniger Sicherheit...

Brammer
Bitte warten ..
Mitglied: Alex29
04.12.2019 um 20:44 Uhr
Hallo Brammer,

zur Zeit melden sich meine WLAN-Clients normal per WPA2-Enterprise im Netzwerk an und können auf die Resourcen zugreifen. Da WPA2 "geknackt" ist und meine Hardware wahrscheinlich nie WPA3 Unterstützung bekommen wird, war meine Idee den Traffic zwischen den kabellosen Clients und dem Netzwerk zusätzlich per IPSec zu verschlüsseln. Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.

Viele Grüße
Alex
Bitte warten ..
Mitglied: tikayevent
04.12.2019, aktualisiert um 23:09 Uhr
Naja, WPA2 ist nicht unbedingt geknackt, sondern eine Erweiterung. Hierbei handelt es sich u.a. um 802.11r, vulgo Fast Roaming. In professionellen Geräten lässt sich dieses deaktivieren und damit ist WPA2 nicht angreifbar. Es muss zum Teil auch deaktivierbar sein, weil insbesondere ältere Geräte damit nicht klarkommen.

WLAN ist zwar eine Angriffsmöglichkeit, aber man muss sich auch die Frage stellen, wie wahrscheinlich ein Angriff ist. WLAN ist reichweitenbegrenzt, sprich ein Angreifer muss sich in Empfangsweite des Netzwerkes bewegen. Angriffe über Sicherheitslücken in Anwendungen, Betriebssystemen und Geräten sind hier um Welten wahrscheinlicher.

Wenn dein Netzwerk so kritisch ist, sollte man eh die Verwendung von funkbasierten Netzwerken überdenken.
Bitte warten ..
Mitglied: Alex29
04.12.2019 um 22:28 Uhr
Danke für die weitere Erläuterung! Nein so kritisch ist mein Netzwerk natürlich nicht.

Ich hatte wie gesagt nur nach einer Alternative für WPA3 gesucht - sehe aber ein, dass dies aktuell nicht erforderlich ist da WPA2 noch relativ sicher ist.
Danke!
Somit kann ich mir eventuelle neue Probleme durch das zusätzliche VPN/IPSec ersparen.

Viele Grüße
Bitte warten ..
Mitglied: brammer
05.12.2019 um 06:41 Uhr
Hallo,


Zitat von Alex29:
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.


Genau das ist dein Trugschluss.

Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...

Brammer
Bitte warten ..
Mitglied: Alex29
05.12.2019 um 08:05 Uhr
...ist das so???
Dies würde ja im Umkehrschluss heißen, dass wenn ich mich mit einem öffentlichen WLAN verbinde (ohne WPA2 bzw. eine andere Verschlüsselung) und dann zur Sicherung meiner Daten VPN einsetze, dass trotzdem „jeder“ auf meinen Client kommt.

????

Viele Grüße
Alex
Bitte warten ..
Mitglied: Spirit-of-Eli
05.12.2019, aktualisiert um 08:48 Uhr
Zitat von brammer:

Hallo,


Zitat von Alex29:
Wenn dann jemand den WPA2-WLAN-Verkehr mitliest (weil geknackt) sieht er nur den VPN-Tunnel mit IPSec-Verschlüsselung.
Somit wollte ich die WLAN-Sicherheit von WPA2 um IPSec erhöhen.


Genau das ist dein Trugschluss.

Die WPA2 gesicherte Verbindung und der VPN Tunnel sind ja 2 logische Verbindung .
Wenn der Angreifer WPA2 knackt ist er auf dem Client und der Client ist kompromitiert. Dann kann er in aller Seelen Ruhe die VPN Einstellungen auslesen und dann ist es mit der Sicherheit passe...

Brammer

Die Darlegung hat mir ja noch niemand diesbezüglich erzählt.
Meines Wissens nach ist auch "KRACK" kein direkter Einbruch in den Client. Das heißt das nur die Verbindung angegriffen wird. Also schlägt es in die gleiche Kerbe wie "mitschneiden und per Brutforce knacken".

Ich würde einfach mal prüfen ob die APs überhaupt verwundbar sind. Mit Kali ist das in wenigen schritten erledigt und ist gibt einen Artikel auf Kali.org dazu:
https://www.kali.org/news/kali-on-krack/

Ganz rudimentär wird die Thematik bei Ubiquiti behandelt und deren Produkte wurden gepatcht. Solange dort keine "fast roaming" genutzt wird, sind die Geräte dahingehend abgesichert. In wie weit nun der Client selbst angreifbar ist, weiß ich derzeit nicht.
https://help.ubnt.com/hc/en-us/articles/115013737328--ARCHIVED-Ubiquiti- ...

Hier wird das Sniffen des Traffics kurz angerissen. Daher ist es ratsam WPA2 Enterprise über Radius einzusetzen:
https://forum.mikrotik.com/viewtopic.php?p=684954
Bitte warten ..
Mitglied: Visucius
05.12.2019 um 08:50 Uhr
Ist das so? Warum dann die Empfehlung in öffentlichen Wifis mit (eigenem) VPN zu arbeiten?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN-Gästenetz - Absicherung
Frage von foxtrotlima26LAN, WAN, Wireless8 Kommentare

Hallo Zusammen, ich habe die Aufgabe eine vorhandene Gäste WLAN – Infrastruktur auf aktuellen Stand zu bringen. Geplant habe ...

Netzwerkmanagement
Absicherung internes Firmennetzwerk
Frage von banane31Netzwerkmanagement7 Kommentare

Guten Abend zusammen, ich habe mir hier sämtliche Netzwerk Tutorials schon durch geschaut, komme aber Ad Hoc nicht weiter. ...

LAN, WAN, Wireless

Absicherung des kabelgebundenen Heimnetzwerks

gelöst Frage von gregmanLAN, WAN, Wireless14 Kommentare

Hallo ihr, ich erweitere in meinem Haus Schritt für Schritt das Heimnetzwerk und baue bis zu diesem Zeitpunkt auf ...

Netzwerkmanagement

Absicherung Synology Diskstation per VLAN

Frage von zaph0dNetzwerkmanagement4 Kommentare

Hallo, ich möchte über eine Synology DiskStation meine Kalender und Kontakte verwalten und diese auch mit mehreren Endgeräten synchronisieren ...

Neue Wissensbeiträge
Windows Tools
7-Zip v19.0 MSI silent uninstall
Tipp von Dirmhirn vor 16 StundenWindows Tools5 Kommentare

Hi, ich versuchte grade 7-Zip v19.0 MSI silent zu deinstallieren. mit msiexec /x stürzt mir immer der Explorer ab. ...

Windows 10

Theoretisches dauerhaftes Abschalten von Windows-Updates (Windows 10)

Tipp von beidermachtvongreyscull vor 20 StundenWindows 101 Kommentar

Moin Kollegen, ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf ...

Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 5 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 6 TagenDatenschutz

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

LAN, WAN, Wireless
Ca. 120 Ubiquiti Unifi AP-AC Pro in einem Netz
Frage von aditzLAN, WAN, Wireless20 Kommentare

Hallo Ubiquiti-Spezialisten, geplant ist ein flächendeckendes WLAN für ein Altenheim mit den oben genannten APs. Ich habe mal auf ...

Windows 10
Win10 Build Nummer auslesen
Frage von MotoMicWindows 1017 Kommentare

Hallo, ich habe hier einen Windows 10 Pro installierten Rechner. Leider ist mir nicht bekannt, welche Build Nummer installiert ...

Server-Hardware
Anschaffung neuer Server
Frage von tschip1801Server-Hardware13 Kommentare

unsere Firma bekommt einen neuen Server, ich bin schon sehr lange nicht mehr so tief im geschehen um hier ...