gechger
Goto Top

WLAN-Problem: Geräte, die nur WEP können sollen in einem WPA2 Netz angemeldet werden

Guten Tag Community,

in einem bestehenden WLAN Netz mit Sicherheitsstufe WPA2 sollen in einem neuen Gebäudeteil mit Hilfe eines Repeaters weitere WLAN-Geräte verbunden werden.
Diese sind aber schon älter und können nur mit dem alten Sicherheitsprotokoll WEP laufen.

Meine Frage an die Community:
Gibt es Repeater, die ähnlich wie ein Router das WEP-Protokoll umsetzen und auf WPA2 weiterleiten?
Im neuen Netz wird es ausschließlich WEP-Geräte geben.

Idee: WPA2-Router -----> WPA2-Schnittstelle -- neuer Router -- WEP-Schnittstelle <---- alte WEP Geräte

Für andere Lösungsansätze bin ich natürlich offen. Voraussetzung: die alten WEP-Geräte können nicht ersetzt oder modernisiert werden!

Für jede Idee verfolgt Euch mein Dank
LG Chris

Content-Key: 316304

Url: https://administrator.de/contentid/316304

Ausgedruckt am: 03.10.2022 um 13:10 Uhr

Mitglied: ashnod
Lösung ashnod 27.09.2016 um 08:37:22 Uhr
Goto Top
Moin ....
Es dauert weniger als 5 Minuten um WEP zu knacken ... wie Ernst ist deine Frage gemeint?

VG

Ashnod
Mitglied: Looser27
Lösung Looser27 27.09.2016 um 08:39:06 Uhr
Goto Top
Moin,

kannst Du die Geräte nicht per LAN oder dLAN anbinden?

Gruß

Looser
Mitglied: StefanKittel
Lösung StefanKittel 27.09.2016 um 08:40:07 Uhr
Goto Top
Hallo,

ja, natürlich ist das möglich.
Viele Access Points beherschen den Client-Modus. Wandeln also WLAN in Kabel.
Einfach 2 APs mit Kabel verbinden. Einer als Client-Modus und einer als AP.

Aber bei WEP kannst Du die Verschlüsselung auch weglassen.
Es dauert nur Sekunden so etwas zu knacken. Und damit hat der Jemand dann den gleichen Zugriff wie im WPA2 Netz. Also kannst Du da die Verschlüsselung auch gleich ausschalten.

Du musst also, wenn wirklich nicht anders möglich, das WEP-Netz trennen und absichern.
Z.B. mit VLAN und einer Firewall.

Auch musst Du damit rechnen, dass dieses Netzwerk gehackt wird.
Was pasiert dann? Wie schlimm ist es wenn Jemand Zugriff auf die Geräte bekommt? Versuche mal den Aufwand und Schaden zu beziffern.
Wenn es um ungeschützt Produktionsmaschienen geht, kann der Schaden ja schnell 10 oder 100 TEUR betragen.
Bei Druckern wäre es nur nervig wenn Jemand an den Geräte rumfummelt.

Stefan
Mitglied: gechger
gechger 27.09.2016 um 08:43:45 Uhr
Goto Top
Grüß Dich Ashnod,

leider eine sehr ernste Frage.
Aber wegen knacken von WEP mache ich mir hier weniger Gedanken:
die Daten, die mit diesen Geräten produziert und versendet werden sind bereits geräteseitig verschlüsselt.
Sollte jemand das knacken bekommt er eh nur Müll zu sehen. Deshalb können diese Geräte auch nicht gewechselt werden.

Im WPA2 Netz sind Handys usw. angemeldet. Das ist auch gemäß moderner Richtlinien bestmöglich abgesichert.

VG Chris
Mitglied: wiesi200
Lösung wiesi200 27.09.2016 aktualisiert um 08:49:51 Uhr
Goto Top
Zitat von @gechger:

Grüß Dich Ashnod,

leider eine sehr ernste Frage.
Aber wegen knacken von WEP mache ich mir hier weniger Gedanken:
die Daten, die mit diesen Geräten produziert und versendet werden sind bereits geräteseitig verschlüsselt.
Sollte jemand das knacken bekommt er eh nur Müll zu sehen. Deshalb können diese Geräte auch nicht gewechselt werden.

Im WPA2 Netz sind Handys usw. angemeldet. Das ist auch gemäß moderner Richtlinien bestmöglich abgesichert.

Es geht nicht um die Daten sondern das dann Angreifer sich schnell man in dein Haus Netz klinken können.
Sprich du kannst dir dann das WPA2 auch sparen.
Mitglied: Robbn-MB
Lösung Robbn-MB 27.09.2016 um 08:51:54 Uhr
Goto Top
Verdammt wiesi warst schneller ;)

Um das WPA2-Netz sicher zu halten, müsstest du vor dem WEP-Netz mit Firewall etc arbeiten, wie StefanKittel schon schrieb....

Es geht darum, dass jemand ins WEP-Netz leicht reinkommt, ich glaube so ziemlich alle ITler hier :D
Und sich dann im WPA2 vergnügen kann....
Mitglied: Kraemer
Lösung Kraemer 27.09.2016 um 09:05:40 Uhr
Goto Top
Moin,
Zitat von @gechger:
Diese sind aber schon älter und können nur mit dem alten Sicherheitsprotokoll WEP laufen.
da gibt es nur eines: Geräte austauschen. Punkt. Und egal wie du es drehst und wendest - du wirst für keine Alternative von den Fachleuten hier ein OK bekommen.

Gruß Krämer
Mitglied: 119944
Lösung 119944 27.09.2016 um 09:08:12 Uhr
Goto Top
Moin,

zur Sicherheit von WEP wurde ja schon genug gesagt...
Wenns dennoch sein muss, hast du 2 Möglichkeiten:
  • 1. Du verwendest einen extra AccessPoint welcher über Kabel mit deinem bestehenden Netz verbunden ist und konfigurierst hier WEP.
  • 2. Du nimmst einen Router welcher sich als Client in dein bestehendes WLAN hängt und gleichzeitig ein WEP Netz zur Verfügung stellt.

Lösen kannst du das wie bereits geschrieben z.B. mit einem MikroTik Router.
Ein Repeater welcher das Funksignal einfach nur "weiterleitet" kann an dieser Verschlüsselung nichts ändern!

VG
Val
Mitglied: gechger
gechger 27.09.2016 um 09:08:53 Uhr
Goto Top
Zunächst vielen Dank für die rege Beteiligung.

@looser: leider ist dort keine Verkabelung vorhanden und die Verkabelung aus Kostengründen abgelehnt. LAN scheidet aus, dLAN müßte ich mal prüfen lassen. Der Ansatz ist sehr gut.

zum Thema Sicherheit: wir haben im jetzigen WLAN bereits Filter auf MAC-Adressen im Einsatz. Das würde im WEP-Netz auch gemacht werden.
Sollte damit nicht ausreichende Sicherheit vorhanden sein?
Notfalls käme eine Firewall zum Einsatz.

@Stefan: die Geräte sind abgesichert. Manipulationen wären nur möglich, wenn man ins BIOS kommt, und das geht nur direkt am Gerät.
Zusätzlich braucht man dann auch noch ein Kenwort.

Mein Fokus muß also sein: wie verhindere ich es, daß ein potentieller Angreifer übers WEP mein WPA Netz hackt.

LG Chris
Mitglied: Tommy70
Lösung Tommy70 27.09.2016 um 09:21:35 Uhr
Goto Top
Zitat von @gechger:
zum Thema Sicherheit: wir haben im jetzigen WLAN bereits Filter auf MAC-Adressen im Einsatz. Das würde im WEP-Netz auch gemacht werden.
Sollte damit nicht ausreichende Sicherheit vorhanden sein?
Notfalls käme eine Firewall zum Einsatz.

Hallo,

MAC Filterung ist zwar schön, erhöht die Sicherheit aber nicht wirklich da jeder mit ein wenig Kentniss die MAC Adresse spoofen kann.

Tom
Mitglied: wiesi200
Lösung wiesi200 27.09.2016 um 09:22:53 Uhr
Goto Top
Zitat von @gechger:

Zunächst vielen Dank für die rege Beteiligung.

@looser: leider ist dort keine Verkabelung vorhanden und die Verkabelung aus Kostengründen abgelehnt. LAN scheidet aus, dLAN müßte ich mal prüfen lassen. Der Ansatz ist sehr gut.

Wenn das besagte Gerät LAN kann dann mit einem Accesspoint verbinden das sich in dein WAP2 Netz einwählen kann.

zum Thema Sicherheit: wir haben im jetzigen WLAN bereits Filter auf MAC-Adressen im Einsatz. Das würde im WEP-Netz auch gemacht werden.
Sollte damit nicht ausreichende Sicherheit vorhanden sein?

Nö, das ist überhaupt keine Sicherheit. Nur Augenwischerei.
Mitglied: StefanKittel
Lösung StefanKittel 27.09.2016 um 09:28:40 Uhr
Goto Top
Hallo,

Du must verhindern, dass Jemand aus dem WEP-Netzwerk auf irgendetwas wichtiges Zugriff bekommt.
Also kannst Du die Daten nicht durch ein anderes Netz durchleiten. Z.B. mit einem NAT-Router hinter dem WPA2-Netzwerk.

Du stellt also einen WEP-AP dort auf.
Dieser braucht eine direkte Verbindung, z.b. mit VLAN oder VPN zu Eurer Firewall und dort definierst Du wohin die Nutzer aus diesem Netzwerk dürfen.

Stefan
Mitglied: brammer
Lösung brammer 27.09.2016 um 09:31:19 Uhr
Goto Top
Hallo,

WEP mit MAC Adressen Filterung ist so ähnliche wie 2 gelochte Kondome übereinander ziehen......
Es bringt dir kein bisschen mehr an Sicherheit....

wlan-absichern-die-illusion-vom-sicheren-wlan

Wenn überhaupt dann einen AP mit WEP laufen lassen, dann kommt dahinter ein Firewall die nur Traffic durchlässt der vorher klar definiert sein.
Ein eigenes VLAN keinerlei Ausnahmen, dann kannst du einigermassen beruhigt in den Feierabend gehen....

Ansonsten kannst du dir die Mühe sparen überhaupt etwas abzusichern!

brammer
Mitglied: gechger
gechger 27.09.2016 um 09:32:21 Uhr
Goto Top
@krämer: ich hätte liebend gerne neue Geräte, leider gibt es diese nicht. Nachfolgemodelle kommen frühestens in 2 Jahren.

Die Meinung der Fachleute ist mir sehr wichtig, sonst würde ich hier nicht fragen.
Ich werde also dem Rat folgen und versuchen, über dLAN und Firewall die Sicherheit zu erhöhen.

Vielen Dank @all für die vielen Antworten
LG Chris
Mitglied: brammer
Lösung brammer 27.09.2016 um 09:36:20 Uhr
Goto Top
Hallo,

um was für Geräte handelt es sich eigentlich?

Ein Hersteller der keine Alternativen zu WEP anbietet, das bereits seit 2007 oder 2008 als geknackt anzusehen ist....
Da sollte man überdenken ob der Hersteller der richtige Partner ist....

brammer
Mitglied: Kraemer
Lösung Kraemer 27.09.2016 um 09:37:45 Uhr
Goto Top
Chris,

man muss auch mal "nein" sagen können! WEP gehört abgeschaltet - das ist nicht diskutierbar.

Gruß Krämer
Mitglied: aqui
Lösung aqui 27.09.2016, aktualisiert am 28.09.2016 um 10:03:58 Uhr
Goto Top
mit Hilfe eines Repeaters weitere WLAN-Geräte verbunden werden.
Ein Repeater ist immer tödlich für die Performance eines WLANs. Repeting ist in einem Firmenumfeld absolut unbrauchbar.
Der Gund liegt im Gleichkanalbetrieb und dem damit verbundenen Half Duplex Verfahren was bei jedem Hop die Bandbreite halbiert. Den finalen Rest gibt dem Repeater WLAN dann das Hidden_Station_Problem.
Fazit: Finger weg vom Repeating wenn immer es geht !
Wenn überhaupt solltest du das in ein eigenes Segment bringen mit Kabel oder PowerLAN sofern man partout kein Kabel verlegen kann. Wie hier z.B. beschrieben:
https://www.administrator.de/wissen/kopplung-2-routern-dsl-port-48713.ht ...
Die WEP Geräte bzw. das WLAN für diese solltest du aus den oben genannten Gründen IMMER in ein separates Segment bringen.
Per se kann man sie weiternutzen, das ist nicht das problem, du solltest sie aber niemals mit WPA2 Geräten mischen.
Allein aus Sicherheitssicht und Performancegründen macht das sehr wenig Sinn.

Die Lösung ist kinderleicht:
Beschaffe dir einen MSSID fähigen Accesspoint (oder mehrere sollte das WLAN eine größere Ausdehnung haben) und richte dort eine spezielle SSID für diese WEP Geräte ein wo nur diese kumuliert sind.
Alle WPA2 Geräte nimmst du in eine andere SSID.
So hast du einen saubere Trennung und kannst die Teile problemlos weiterverwenden. In dem WEP VLAN kannst du dann bei Bedarf weitere Sicherheitsvorkehrungen auf z.B. der Switch Infrastruktur o.ä. treffen.
Hier findest du ein detailieres HowTo wie das zu lösen ist:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
(Kapitel Praxisbeispiel)
Generelle Tips zum Einrichten von WLANs hier:
https://www.administrator.de/contentid/239551
Damit ist das im Handumdrehen umzusetzen und du kannst diese Geräte weiter integriert lassen.
Mitglied: gechger
gechger 27.09.2016 um 19:33:55 Uhr
Goto Top
@brammer: wenn der Markt es nicht fordert und WLAN sowieso nur ein Randbereich ist....
warum sollte ein Hersteller da investieren? Es geht um Geräte die normalerweise in einem LAN eingerichtet sind. In Ausnahmefällen kann man auch WLAN einsetzen. Hier gibt es so einen Ausnahmefall und ich muß sehen, wie ich das umgesetzt kriege. Es geht um Geräte zur elektronischen Zeiterfassung....

@aqui: Wieder einmal herzlichen Dank für Deinen detaillierten Lösungsansatz. Deine Ratschläge haben mch in der Vergangenheit schon mehrfach weiter gebracht und helfen mir auch hier weiter. Wie krämer sagt gehört WEP nicht in ein zeitgemässes Netzwerk-Konzept, aber in der Realität muß man leider immer wieder Wege suchen, Unbrauchbares in ein brauchbares Kleid zu wickeln. Letztendlich zählt das Ergebnis, welches Wirtschaftlichkeit und Sicherheit irgendwie unter einen Hut bringen muß. Der Leitfaden von Dir ist realisierbar.

Ich denke, diese Frage ist gelöst. Ich werde nach der Umsetzung berichten, wie wir es realisiert haben.

LG @all
Chris
Mitglied: aqui
Lösung aqui 28.09.2016 aktualisiert um 10:04:17 Uhr
Goto Top
Genau das war auch die Intention des o.a. Vorschlages. Das man eben diese Geräte einigermaßen sicher weiterbetreibt ohne das Gesamtkonzept oder die Sicherheit des Netzwerkes aufs Spiel zu setzen.
Jetzt msst du nur noch machen... face-wink
Mitglied: 119944
Lösung 119944 28.09.2016 um 10:20:46 Uhr
Goto Top
Es geht um Geräte die normalerweise in einem LAN eingerichtet sind. In Ausnahmefällen kann man auch WLAN einsetzen. Hier gibt es so einen Ausnahmefall und ich muß sehen, wie ich das umgesetzt kriege.
Haben die Geräte denn einen LAN Anschluss? Wenn ja kannst du einfach einen WLAN-Router im Client Modus verwenden und in dein WPA2 Netzwerk hängen. Das Zeiterfassungsgerät verbindest du dann einfach mit einem LAN Port. Lösen kann das z.B. ein 30€ Mikrotik hAP Lite. Falls das möglich ist wäre es vermutlich die sauberste Variante.

VG
Val
Mitglied: gechger
gechger 28.09.2016 um 19:24:23 Uhr
Goto Top
Hallo an alle Beteiligten dieser Diskussion,

wir haben nun ein Konzept erdacht, welches ich Euch nicht vorenthalten will.

Der Hersteller der Geräte wird eine neue Firmware liefern, die WPA2 unterstützt.
Dennoch werden wir für diese Geräte ein eigenes autarkes WLAN-Netz errichten: eigener IP-Bereich und NAT für den Transport der Daten. Die Daten werden nochmals verschlüsselt, weil sie einen Tunnel im Internet (VPN) nutzen sollen, um die Daten in der Zentrale abzuliefern.
Wir werden mehrere verteilte Hotspots nutzen, die per LAN/dLAN die Daten an einen DSL-Router schicken. Zusätzlich wird eine Filterregel eingerichtet, die nur registrierte MAC-Adressen für den Dialog zuläßt.

Damit sollten auch die Sicherheits-Überlegungen ausreichend berücksichtigt sein.
Ich erwarte gerne Kommentare, falls an dem Konzept noch etwas zu verbessern wäre.

Auf jeden Fall möchte ich mich erneut bei allen Beteiligten bedanken für die zahlreichen Gedanken und Empfehlungen.
Wenn man den Wald vor lauter Bäumen nicht mehr sieht fragt man besser mal die Community face-smile

LG Chris
Mitglied: aqui
aqui 28.09.2016 aktualisiert um 19:29:23 Uhr
Goto Top
Das ist der richtige Weg. Nur warum du noch ein eigentlich überflüssiges NAT dieser Daten machst bleibt schleierhaft. Vermutlich hat das aber einen Grund, oder ?
Auch warum du sie verschlüsselst damit sie in einem VPN dann nochmals verschlüsselt werden ist eigentlich technischer Unsinn ?!
Wenn du dann letztendlich noch darauf achtest das deine APs MSSID fähig sind, dann machst du alles richtig face-wink
Mitglied: Kraemer
Kraemer 28.09.2016 um 20:56:31 Uhr
Goto Top
Zitat von @gechger:
Der Hersteller der Geräte wird eine neue Firmware liefern, die WPA2 unterstützt.
So einfach kann es gehen ;-p
Mitglied: brammer
brammer 29.09.2016 um 09:16:08 Uhr
Goto Top
Hallo,

na also...

Manchmal muss man dem Hersteller etwas Druck machen...

brammer
Mitglied: gechger
gechger 29.09.2016 um 19:20:07 Uhr
Goto Top
Hallo Aqui,

bei dem beschriebenen Konzept müßen wir einen DSL-Router verwenden, der sowiso NAT macht. Die zusätzliche Verschlüsselung ist politisch zu sehen und soll einfach mehr Vertrauen schaffen. Deshalb ist es im Konzept enthalten.
Macht allerdings auch Sinn für andere Projekte, die nicht so einen Tunnel besitzen. Falls wir mal übers offene Internet senden müssen, wird das auf jeden Fall verwendet.
Wenn dieses Projekt erfolgreich umgesetzt werden kann erhoffen wir uns natürlich Folgeprojekte. Deshalb soll das Konzept schon viele Möglichkeiten abbilden.

LG Chris
Mitglied: aqui
aqui 30.09.2016 um 09:18:58 Uhr
Goto Top
OK, etwas fragwürdig, denn es gibt ja entsprechende DSL Routerhardware bei denen man das NAT dann im Setup deaktivieren kann. Mit so einer HW kannst du dann immer flexibel auf unterschiedliche Designsituationen reagieren. Die Netto Durchsatzrate geht dann ziemlich in die Knie. Gut, wenn die alten WEP Geräte eh ein sehr geringes Datenvolumen haben ist das natürlich vernachlässigbar. OK weisst du sicher auch selber.
Die doppelte Encryption Enkapsulierung plus dann noch PPPoE bei xDSL on Top birgt gewisse Gefahren mit der Paket MTU Size. Das solltest du unbedingt auf dem Radar haben, denn du musst dann ganz sicher die MTU bzw. MSS verkleinern damit diese doppelt, bzw. bei xDSL dann dreifach enkapsulierten Pakete, sauber übertragen werden.
Nur das du das bei der Konfig beachtest...
Mitglied: gechger
gechger 04.10.2016 um 19:15:47 Uhr
Goto Top
Danke Aqui für den Tip mit der MTU. Daran hab ich wirklich noch nicht gedacht....