9
WPA vs. WPA2
Diskussionsbedarf...
Hallo,
also nun hat die ewige kontroverse mich auch ereilt:
ist WPA unsicherer als WPA2...
Klar; neue Verschlüsselungen biten immer Vorteile allerdings kann man auch mit Kanonen auf Spatzen schiessen.
Warum frag ich:
Hab da ein WLAN-Netzwerk (Cisco-AP's & Controller; komplexer WPA2-TKIP-Key) mit Handheld-PC's (Intermec CK61ex mit winMobile 5.x).
Die Clients haben echte Probleme mit korrupten Datenpakten, Einfrierenden Applikationen, Abstürzen etc.
Nun hab ich da mal anstelle WPA2 auf WPA mit einem ganz simplen Key geändert; zusätzlich MAC-Filter rein und SSID unsichtbar. Komischerweise verschwinden die Probleme auf "mysteriöse Weise". Keine Probleme mit einfachem WPA. Prompt die große Diskussion unter den kollegen entbrannt: WPA ist zu unsicher :-S
Nun mag man wieder unken "..aktualisiere mal die Treiber am Handheld.." --> es ist der aktuellste und es gibt keine neueren.
Hab noch von keinem Fall eines gehackten WPA-WLAN gehört? Einer von euch schon?
Freu mich über jede Meinung, Erfahrung & Idee dazu.
Greetings! Frank
also nun hat die ewige kontroverse mich auch ereilt:
ist WPA unsicherer als WPA2...
Klar; neue Verschlüsselungen biten immer Vorteile allerdings kann man auch mit Kanonen auf Spatzen schiessen.
Warum frag ich:
Hab da ein WLAN-Netzwerk (Cisco-AP's & Controller; komplexer WPA2-TKIP-Key) mit Handheld-PC's (Intermec CK61ex mit winMobile 5.x).
Die Clients haben echte Probleme mit korrupten Datenpakten, Einfrierenden Applikationen, Abstürzen etc.
Nun hab ich da mal anstelle WPA2 auf WPA mit einem ganz simplen Key geändert; zusätzlich MAC-Filter rein und SSID unsichtbar. Komischerweise verschwinden die Probleme auf "mysteriöse Weise". Keine Probleme mit einfachem WPA. Prompt die große Diskussion unter den kollegen entbrannt: WPA ist zu unsicher :-S
Nun mag man wieder unken "..aktualisiere mal die Treiber am Handheld.." --> es ist der aktuellste und es gibt keine neueren.
Hab noch von keinem Fall eines gehackten WPA-WLAN gehört? Einer von euch schon?
Freu mich über jede Meinung, Erfahrung & Idee dazu.
Greetings! Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138372
Url: https://administrator.de/contentid/138372
Printed on: April 18, 2024 at 20:04 o'clock
9 Comments
Latest comment
Hallo,
mit einem in keinem Wörterbuch für Bruteforceangriffe stehendem Passwort solltest du noch auf der aicheren Seite sein,
wenn es dir nur darum geht, dass niemand bei euch groß Daten abzieht.
mit einem in keinem Wörterbuch für Bruteforceangriffe stehendem Passwort solltest du noch auf der aicheren Seite sein,
wenn es dir nur darum geht, dass niemand bei euch groß Daten abzieht.
Ich glaube nicht das du mit einem etwas komplexeren Key, welcher natürlich keine zu erratenen Buchstabenfolgen enthält, einem MAC-Filter und der unsichtbaren SSID wirklich in Schwierigkeiten gerätst.
Du kannst dir auch einfach hier ein PW generieren lassen.
http://darkvoice.dyndns.org/wlankeygen/
greetz
Du kannst dir auch einfach hier ein PW generieren lassen.
http://darkvoice.dyndns.org/wlankeygen/
greetz
Nein man geht mittlerweile davon aus das sich WPA auch anders knacken lässt, also nicht nur via BruteForce. Die SSID zu verstecken, sowie ein Mac Filter ist nicht wirklich ein Security Feature.
Ich setzte auf meinen Cisco AP'S auch auf WPA allerdings in Verbindung mit einem Radius Server
Grüße
Micha
Ich setzte auf meinen Cisco AP'S auch auf WPA allerdings in Verbindung mit einem Radius Server
Grüße
Micha
Hi !
Unsichtbare SSID und MAC-Filter bringen rein gar nix....
Damit der Betreiber des PW-Generators, die Daten gleich hat oder wie?
Ich würde besser einen selbterdachten Key verwenden, der halt nur aus willkürlichen Buchstaben und Zahlen besteht und wenn es im gewerblichen Umfeld ist, dann ist RADIUS sicherlich eine Überlegung wert...
mrtux
Zitat von @Peacer:
Ich glaube nicht das du mit einem etwas komplexeren Key, welcher natürlich keine zu erratenen Buchstabenfolgen enthält,
einem MAC-Filter und der unsichtbaren SSID wirklich in Schwierigkeiten gerätst.
Ich glaube nicht das du mit einem etwas komplexeren Key, welcher natürlich keine zu erratenen Buchstabenfolgen enthält,
einem MAC-Filter und der unsichtbaren SSID wirklich in Schwierigkeiten gerätst.
Unsichtbare SSID und MAC-Filter bringen rein gar nix....
Damit der Betreiber des PW-Generators, die Daten gleich hat oder wie?
Ich würde besser einen selbterdachten Key verwenden, der halt nur aus willkürlichen Buchstaben und Zahlen besteht und wenn es im gewerblichen Umfeld ist, dann ist RADIUS sicherlich eine Überlegung wert...mrtux
Zitat von @hamsterbau:
Nein man geht mittlerweile davon aus das sich WPA auch anders knacken lässt, also nicht nur via BruteForce. Die SSID zu
verstecken, sowie ein Mac Filter ist nicht wirklich ein Security Feature.
Nein man geht mittlerweile davon aus das sich WPA auch anders knacken lässt, also nicht nur via BruteForce. Die SSID zu
verstecken, sowie ein Mac Filter ist nicht wirklich ein Security Feature.
Man geht davon aus?
Ich weiss nur, dass man einzelne Pakete entschlüsseln kann und evtl. einzelne einschleußen, aber den key knacken?
Ich würde da nicht so leichtgläubig an die Sache herangehen, wie Peacer vorschlägt. Eine Verschlüsselung mit WPA ist zwar immer besser als keine Verschlüsselung, aber seit letztem Jahr muss WPA als unsicheres Verschlüsselungsverfahren gelten. Hierzu fällt mir spontan die folgende Heise-Meldung ein:
http://www.heise.de/newsticker/meldung/Angriff-auf-WPA-verfeinert-75335 ...
Und dass MAC-Filter sowie das Unterdrücken der SSID die Sicherheit nicht erhöhen, sondern nur ein falsches Gefühl der Sicherheit verbreiten, hat ja Hamsterbau bereits erwähnt. Im Zweifelsfall würde ich an Deiner Stelle die verschiedenen Angriffsmöglichkeiten einfach mal an einem eigenen Testnetz ausprobieren. Ich finde, dass soetwas den eigenen Blickwinkel ordentlich geraderücken kann. Mit den entsprechenden Suchbegriffen ist es kein Problem über Google Anleitungen zu finden.
Grüße,
Fitzcarraldo
http://www.heise.de/newsticker/meldung/Angriff-auf-WPA-verfeinert-75335 ...
Und dass MAC-Filter sowie das Unterdrücken der SSID die Sicherheit nicht erhöhen, sondern nur ein falsches Gefühl der Sicherheit verbreiten, hat ja Hamsterbau bereits erwähnt. Im Zweifelsfall würde ich an Deiner Stelle die verschiedenen Angriffsmöglichkeiten einfach mal an einem eigenen Testnetz ausprobieren. Ich finde, dass soetwas den eigenen Blickwinkel ordentlich geraderücken kann. Mit den entsprechenden Suchbegriffen ist es kein Problem über Google Anleitungen zu finden.
Grüße,
Fitzcarraldo
Hi Fitzcarraldo,
hast Du Dir Deinen Heiseartikel mal durchgelesen?
Steht genau das drin was chewbakka schon geschrieben hatte.
Und bedenke: Die schaffen das unter "Laborbedingungen"!
Also WPA jetzt schon als unsicheres Verschlüsselungsverfahren einzustufen halte ich für etwas überzogen.
mfg
kowa
hast Du Dir Deinen Heiseartikel mal durchgelesen?
Steht genau das drin was chewbakka schon geschrieben hatte.
Und bedenke: Die schaffen das unter "Laborbedingungen"!
Also WPA jetzt schon als unsicheres Verschlüsselungsverfahren einzustufen halte ich für etwas überzogen.
mfg
kowa
Hallo Kowa,
ich habe "meinen" Heise-Artikel zwar nicht selbst geschrieben, aber den von mir verlinkten Artikel habe ich gelesen. Niemand möge sich bitte auf den Schlips getreten fühlen, aber da steht meiner Meinung nach etwas deutlicher drin, wozu die in chewbakkas knappen Antwort erwähnte Paketfälschung benutzt werden kann: Eine Man-in-the-Middle-Attacke. Desweitern wird auf die Zusammenfassung der japanischen Forscher hingewiesen. Der Link ist zwar tot, das PDF gibt es aber zum Beispiel hier hier zu Lesen: http://www.infsec.ethz.ch/education/as09/secsem/papers/WPA.pdf
Ich persönlich finde es immer netter, auch seine Quellen preiszugeben, auf die man aufbaut. Das hatte ich damit getan. Nicht mehr und nicht weniger.
Neben dem Hinweis auf die MITM-Attacke steht in dem Heise-Artikel auch: "[...] Die Verbesserung ermöglicht einem Angreifer aber immer noch nicht, in das Funknetzwerk einzudringen, den gesamten Verkehr mitzulesen oder den AP zu manipulieren.[...]"
Ob jetzt WPA als unsicher einzustufen ist, hängt wohl davon ab, welche Anforderungen man an die Sicherheit im geplanten Einsatzszenario stellt. Eine MITM-Attacke ermöglicht möglicherweise den Zugriff auf sensible Daten. Ich habe da Bedenken. Andere mögen das als überzogen einstufen.
Ist man sich dessen bewusst, auf welchem Weg das Verfahren angreifbar ist, so kann man mit weiteren Maßnahmen darauf reagieren. Zum Beispiel mit einer verschlüsselten Datenübertragung in einem VPN.
Freundliche Grüße,
Fitzcarraldo
ich habe "meinen" Heise-Artikel zwar nicht selbst geschrieben, aber den von mir verlinkten Artikel habe ich gelesen. Niemand möge sich bitte auf den Schlips getreten fühlen, aber da steht meiner Meinung nach etwas deutlicher drin, wozu die in chewbakkas knappen Antwort erwähnte Paketfälschung benutzt werden kann: Eine Man-in-the-Middle-Attacke. Desweitern wird auf die Zusammenfassung der japanischen Forscher hingewiesen. Der Link ist zwar tot, das PDF gibt es aber zum Beispiel hier hier zu Lesen: http://www.infsec.ethz.ch/education/as09/secsem/papers/WPA.pdf
Ich persönlich finde es immer netter, auch seine Quellen preiszugeben, auf die man aufbaut. Das hatte ich damit getan. Nicht mehr und nicht weniger.
Neben dem Hinweis auf die MITM-Attacke steht in dem Heise-Artikel auch: "[...] Die Verbesserung ermöglicht einem Angreifer aber immer noch nicht, in das Funknetzwerk einzudringen, den gesamten Verkehr mitzulesen oder den AP zu manipulieren.[...]"
Ob jetzt WPA als unsicher einzustufen ist, hängt wohl davon ab, welche Anforderungen man an die Sicherheit im geplanten Einsatzszenario stellt. Eine MITM-Attacke ermöglicht möglicherweise den Zugriff auf sensible Daten. Ich habe da Bedenken. Andere mögen das als überzogen einstufen.
Ist man sich dessen bewusst, auf welchem Weg das Verfahren angreifbar ist, so kann man mit weiteren Maßnahmen darauf reagieren. Zum Beispiel mit einer verschlüsselten Datenübertragung in einem VPN.
Freundliche Grüße,
Fitzcarraldo
Hallo ihr alle,
Ui; da hat sich aber eine lange Latte an Meinungen und Diskussionen ergeben; danke an euch alle dafür!
Aber generell steh ich im einkllang mit "Fitzcarraldo". Es kommt immer darauf an was man vor hat.
In meinem Speziellen fall sind es WLAN-Handscanner zum lesen von Barcode-Tag's. Diese genben über eine Citrixsession auf einen Server. In meinem fall reicht dadurch WPA aus denn weiter als bis zum citrixserver kommt ein angreifer nicht (und das ist gut so).
De Facto hab ich festgestellt, das je mehr ich die Verschlüsselung verschärfe die Fehlerrate der Datenpakete massiv zunimmt. So hat ein client mit einfacher WEP-Verschüsselung 104bit etwa 1/3 weniger Transceive/Receive - Errors als ein Client mit WPA und dieser wiederumg etwa 10% weniger als ein WPA2-Client. Warum auch immer; ist aber nachweisbar. Nun muss ich einen konsens finden zwischen Leistung/Stabilität und Datensicherheit.
Und da kommt die würze in die Suppe: ich hab da eine Fabrikationshalle von Ausmaßen 1200m x 650m. Genug gelegenheit das sich ein mit krimineller Energie ausgestatteter Angreifer neben die gebäudewand stellt und "herumspielt". Obendrein im zeitalter der WLAN-Handys und neugieriger User kann auch ein Angriff und Datenklau von innen nie ausgeschlossen werden.
Für mich speziell werd ich dann wohl mal auf WPA gehen (wegen optimierung der defekten Datenpakete)mit versteckter SSID und einem RADIUS-Server sowie MAC-Filtering. Sollte sich raus stellen das meine neuen Geräte besser mit WPA 2 zurechtkommen.
So long! Frank
Ui; da hat sich aber eine lange Latte an Meinungen und Diskussionen ergeben; danke an euch alle dafür!
Aber generell steh ich im einkllang mit "Fitzcarraldo". Es kommt immer darauf an was man vor hat.
In meinem Speziellen fall sind es WLAN-Handscanner zum lesen von Barcode-Tag's. Diese genben über eine Citrixsession auf einen Server. In meinem fall reicht dadurch WPA aus denn weiter als bis zum citrixserver kommt ein angreifer nicht (und das ist gut so).
De Facto hab ich festgestellt, das je mehr ich die Verschlüsselung verschärfe die Fehlerrate der Datenpakete massiv zunimmt. So hat ein client mit einfacher WEP-Verschüsselung 104bit etwa 1/3 weniger Transceive/Receive - Errors als ein Client mit WPA und dieser wiederumg etwa 10% weniger als ein WPA2-Client. Warum auch immer; ist aber nachweisbar. Nun muss ich einen konsens finden zwischen Leistung/Stabilität und Datensicherheit.
Und da kommt die würze in die Suppe: ich hab da eine Fabrikationshalle von Ausmaßen 1200m x 650m. Genug gelegenheit das sich ein mit krimineller Energie ausgestatteter Angreifer neben die gebäudewand stellt und "herumspielt". Obendrein im zeitalter der WLAN-Handys und neugieriger User kann auch ein Angriff und Datenklau von innen nie ausgeschlossen werden.
Für mich speziell werd ich dann wohl mal auf WPA gehen (wegen optimierung der defekten Datenpakete)mit versteckter SSID und einem RADIUS-Server sowie MAC-Filtering. Sollte sich raus stellen das meine neuen Geräte besser mit WPA 2 zurechtkommen.
So long! Frank
