13
Wie sicher ist Wlan / wie mach ich es sicher
brauche Infos über Sicherheitslücken und wie ich sie schließen kann
Hallo,
ich bin durch zufall auf eine Seite gekommen, die sich mit dem finden und ausspionieren von Wlan Ap beschäftigt (Wardriving). Dabei habe ich zu meinem erschrecken festgestellt, dass es mit einem Program möglich ist innerhalb von 4-6 h eine wep verschlüsselung von 128 bit auszulesen. Diese Angabe bezog sich zwar auf ein Unternehmen mit 1000 Mitarbeitern, ist aber trotzdem sehr erschreckend.
Das einzige, was umständlicher zu umgehen ist war eine mac-adresse basierende Zugangsberechtigung.
Könnt ihr mir sagen, wie ich so ein Netzwerk sichern kann ?
ich bin durch zufall auf eine Seite gekommen, die sich mit dem finden und ausspionieren von Wlan Ap beschäftigt (Wardriving). Dabei habe ich zu meinem erschrecken festgestellt, dass es mit einem Program möglich ist innerhalb von 4-6 h eine wep verschlüsselung von 128 bit auszulesen. Diese Angabe bezog sich zwar auf ein Unternehmen mit 1000 Mitarbeitern, ist aber trotzdem sehr erschreckend.
Das einzige, was umständlicher zu umgehen ist war eine mac-adresse basierende Zugangsberechtigung.
Könnt ihr mir sagen, wie ich so ein Netzwerk sichern kann ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1251
Url: https://administrator.de/contentid/1251
Printed on: April 23, 2024 at 02:04 o'clock
13 Comments
Latest comment
Hallo,
schau mal hier http://www.tecchannel.de/special/wlan.html oder google mal ein wenig.
Das ist ein sehr umstrittenes Thema, auch eine 256-Bit Verschlüsselung läßt sich irgenwie "knacken". Es kommt immer drauf an, wie sensibel Deine Daten sind.
Man sollte einen Router mit (NAT) Firewall benutzen, Standard-Passwörter ändern, die Verschlüsselung auch einschalten, häufig den Schlüssel wechseln... Es ist ja auch so, daß es nun nicht jeder 5-jähige fertigbringt, in Dein Netz einzusteigen, außerdem ist es erforderlich, erstmal eine Menge Daten mitzuhören, bis man den Schlüssel berechnen kann. Bei ein wenig drahtlos surfen dauert das also schon eine Weile, aber da hat jeder eine andere Ansicht.
Also mach Dir am besten selbst ein Bild.
Gruß Andreas
schau mal hier http://www.tecchannel.de/special/wlan.html oder google mal ein wenig.
Das ist ein sehr umstrittenes Thema, auch eine 256-Bit Verschlüsselung läßt sich irgenwie "knacken". Es kommt immer drauf an, wie sensibel Deine Daten sind.
Man sollte einen Router mit (NAT) Firewall benutzen, Standard-Passwörter ändern, die Verschlüsselung auch einschalten, häufig den Schlüssel wechseln... Es ist ja auch so, daß es nun nicht jeder 5-jähige fertigbringt, in Dein Netz einzusteigen, außerdem ist es erforderlich, erstmal eine Menge Daten mitzuhören, bis man den Schlüssel berechnen kann. Bei ein wenig drahtlos surfen dauert das also schon eine Weile, aber da hat jeder eine andere Ansicht.
Also mach Dir am besten selbst ein Bild.
Gruß Andreas
Vielen Dank Andreas,
der Link ist wirklich gut und ich habe viele Infos gefunden.
der Link ist wirklich gut und ich habe viele Infos gefunden.
Hallo
Ich habe seit 3 Wochen auch W-Lan
Ich habe mir ein MAC Filter eingerichtet, was ja schon recht sicher gegen Fremdzugriffe sichert.
Dann habe ich noch die SSID vom Access Point geändert und eingestellt, das er diese nicht veröffendlichen soll. Damit wird es schon schwerer den "Zugang" zu finden. (?)
Und dann habe ich noch die 64bit Verschlüsselung eingeschaltet, damit es nicht (so einfach) belauscht werden kann.
Leider habe ich es spontan nicht geschafft die 128bit verschlüsselung zu aktivieren.
Mein W-lan ist von Siemens (Sinus irgendwas ;) und bei 64bit sehen die eingabe Masken für die Verschlüsselung gleich aus, wenn ich jetzt auf 128 bit umschalte, sieht die Maske am Access Point immernoch so aus, auf den Clients aber total anders (Ich glaube so herum war es).
Normalerweise sind da 2 stellige eingabe Felder, bei 128 Bit waren das aber plötzlich 4 lange eingabe Zeilen, die mit schlüssel 1-4 beschriftet waren.
(Ich weiß es nicht mehr genau, weil ich nur schnell etwas Sicherheit reinbringen wollte und eigentlich was anderes zu tun hatte, bin bisher noch nicht dazu gekommen mir das mal länger an zu gucken.)
Aber wenn ich einfach den "key" von Access Point dort eingetippt hatte, funktionierte es leider nicht
Die richtige Anleitung ist sehr bescheiden von dem Ding, aber das PDF Dokument auf der CD ist wohl umfangreicher, ich sollte mir das auch noch mal angucken^^
Also wenn jemand dies liest, der das schon richtig eingestellt hat und spontan eine kleine Anleitung schreiben kann, ist das gut, an sonnsten werde ich mich da selber irgendwann mal einarbeiten.
Grüße Maik
Ich habe seit 3 Wochen auch W-Lan
Ich habe mir ein MAC Filter eingerichtet, was ja schon recht sicher gegen Fremdzugriffe sichert.
Dann habe ich noch die SSID vom Access Point geändert und eingestellt, das er diese nicht veröffendlichen soll. Damit wird es schon schwerer den "Zugang" zu finden. (?)
Und dann habe ich noch die 64bit Verschlüsselung eingeschaltet, damit es nicht (so einfach) belauscht werden kann.
Leider habe ich es spontan nicht geschafft die 128bit verschlüsselung zu aktivieren.
Mein W-lan ist von Siemens (Sinus irgendwas ;) und bei 64bit sehen die eingabe Masken für die Verschlüsselung gleich aus, wenn ich jetzt auf 128 bit umschalte, sieht die Maske am Access Point immernoch so aus, auf den Clients aber total anders (Ich glaube so herum war es).
Normalerweise sind da 2 stellige eingabe Felder, bei 128 Bit waren das aber plötzlich 4 lange eingabe Zeilen, die mit schlüssel 1-4 beschriftet waren.
(Ich weiß es nicht mehr genau, weil ich nur schnell etwas Sicherheit reinbringen wollte und eigentlich was anderes zu tun hatte, bin bisher noch nicht dazu gekommen mir das mal länger an zu gucken.)
Aber wenn ich einfach den "key" von Access Point dort eingetippt hatte, funktionierte es leider nicht
Die richtige Anleitung ist sehr bescheiden von dem Ding, aber das PDF Dokument auf der CD ist wohl umfangreicher, ich sollte mir das auch noch mal angucken^^
Also wenn jemand dies liest, der das schon richtig eingestellt hat und spontan eine kleine Anleitung schreiben kann, ist das gut, an sonnsten werde ich mich da selber irgendwann mal einarbeiten.
Grüße Maik
Hallo Maik,
also eine Anleitung kann ich Dir nicht bieten, aber:
Es gbit grundsätzlich 2 Möglichkeiten einen Key zu "erzeugen": HEX und ASCI.
Je nachdem was Du eingestellt hast (muß bei Accesspoint und Karte gleich sein) mußt Du eine Zeichenfolge eingeben (wenn Du ASCI nimmst z.B: Fghh67*x9XWp). Je nachdem ob 64 Bit oder 128bit oder... ist der Schlüssel auch verschieden lang bei 128 bit ist er glaub ich 10 oder 12 stellig, das mußt Du probieren, wenn Zeichen fehlen, kommt eigentlich eine Fehlermeldung.
Schlüssel 1-4 dient eigentlich nur dazu, schnell mal den Key zu tauschen, Du brauchst aber auch nur jeweils das erste Feld ausfüllen (Accesspoint und Karte natürlich gleich) und dann sollte es funktionieren.
Gruß Andreas
also eine Anleitung kann ich Dir nicht bieten, aber:
Es gbit grundsätzlich 2 Möglichkeiten einen Key zu "erzeugen": HEX und ASCI.
Je nachdem was Du eingestellt hast (muß bei Accesspoint und Karte gleich sein) mußt Du eine Zeichenfolge eingeben (wenn Du ASCI nimmst z.B: Fghh67*x9XWp). Je nachdem ob 64 Bit oder 128bit oder... ist der Schlüssel auch verschieden lang bei 128 bit ist er glaub ich 10 oder 12 stellig, das mußt Du probieren, wenn Zeichen fehlen, kommt eigentlich eine Fehlermeldung.
Schlüssel 1-4 dient eigentlich nur dazu, schnell mal den Key zu tauschen, Du brauchst aber auch nur jeweils das erste Feld ausfüllen (Accesspoint und Karte natürlich gleich) und dann sollte es funktionieren.
Gruß Andreas
Hallo
Danke für die Info, die Eingabefelder sehen leider anders aus, so als ob das eine andere Treiber version währe, aber wahrscheinlich sieht das bei den Clients anders aus, weil man 4 keys eingeben kann, ich habe die 6(?) doppel eingabe Felder einfach nacheinander in das Lange Feld gechrieben, aber es klappte nicht, vielleicht habe ich mich auch einfach nur vertippt oder vergessen irgendwo auf übernehmen zu klicken ;)
Ich probiere das nochmal bei Gelegenheit, die verbindung zur Straße ist zwar schlecht, aber wer weiß, wo das sonnst noch hinstrahlt, 128bit ist doch um einiges sicherer als 64bit!!
Rein rechnerisch, ist es 4 mal so sicher? (auf jeden Fall mehr als doppelt so viel oder?)
Grüße Maik
Danke für die Info, die Eingabefelder sehen leider anders aus, so als ob das eine andere Treiber version währe, aber wahrscheinlich sieht das bei den Clients anders aus, weil man 4 keys eingeben kann, ich habe die 6(?) doppel eingabe Felder einfach nacheinander in das Lange Feld gechrieben, aber es klappte nicht, vielleicht habe ich mich auch einfach nur vertippt oder vergessen irgendwo auf übernehmen zu klicken ;)
Ich probiere das nochmal bei Gelegenheit, die verbindung zur Straße ist zwar schlecht, aber wer weiß, wo das sonnst noch hinstrahlt, 128bit ist doch um einiges sicherer als 64bit!!
Rein rechnerisch, ist es 4 mal so sicher? (auf jeden Fall mehr als doppelt so viel oder?)
Grüße Maik
Hallo Maik,
nun "doppelt so sicher" kann man nicht direkt sagen, es steigt einfach die erforderliche Rechenleistung, um den Schlüssel zu ermitteln. Im Klartext heißt das, je höher die Verschlüsselung, desto besser (teurer) muß die Hardware des Einbrechers sein.
Wenn der Schnüffler lange genug den Funkverkehr mitgeschnitten hat ( ca. 1 GB), dann benötigt er zum Berechnen des Schlüssels vielleicht 4 Stunden mit 64-Bit und 16 Stunden für 128 Bit-Schlüssel (das ist rein theroetisch gemeint, habe keine Ahnung wie lange sowas dauert). Es ist also nicht unbedingt doppelt oder vierfach sicherer.
Aber probier ruhig eine Weile, Deine 64-Bit sind besser, als keine Verschlüsselung. Wenn Du es raus hast, den 128-Bit Schlüssel einzugeben, dann nutze ihn auch. Bei mir hat die hohe Verschlüsselung auch nicht gleich geklappt, eh ich das mit den HEX und ASCII raus hatte, vergingen auch paar Tage, gerade wenn die Hardwarekomponenten von verschiedenen Herstellern stammen, muß man schon bissel rumprobieren. Seit ich alles von einem Hersteller habe, funktioniert die ganze Sache wesentlich stabiler.
Gruß Andreas
nun "doppelt so sicher" kann man nicht direkt sagen, es steigt einfach die erforderliche Rechenleistung, um den Schlüssel zu ermitteln. Im Klartext heißt das, je höher die Verschlüsselung, desto besser (teurer) muß die Hardware des Einbrechers sein.
Wenn der Schnüffler lange genug den Funkverkehr mitgeschnitten hat ( ca. 1 GB), dann benötigt er zum Berechnen des Schlüssels vielleicht 4 Stunden mit 64-Bit und 16 Stunden für 128 Bit-Schlüssel (das ist rein theroetisch gemeint, habe keine Ahnung wie lange sowas dauert). Es ist also nicht unbedingt doppelt oder vierfach sicherer.
Aber probier ruhig eine Weile, Deine 64-Bit sind besser, als keine Verschlüsselung. Wenn Du es raus hast, den 128-Bit Schlüssel einzugeben, dann nutze ihn auch. Bei mir hat die hohe Verschlüsselung auch nicht gleich geklappt, eh ich das mit den HEX und ASCII raus hatte, vergingen auch paar Tage, gerade wenn die Hardwarekomponenten von verschiedenen Herstellern stammen, muß man schon bissel rumprobieren. Seit ich alles von einem Hersteller habe, funktioniert die ganze Sache wesentlich stabiler.
Gruß Andreas
Hallo
Nein ich meinte das nur theoretisch, 4 mal so viele Möglichkeiten = vier mal so sicher.
Aber ein guter Tip, mit dem gleichen Hersteller, ich habe das zwar alles vom der gleichen Firma, aber eine Bekannte will sich demnächst auch W-Lan zulegen, werde ihr mal den Tipp geben, alles vom gleichen Hersteller zu nehmen.
Grüße Maik
Nein ich meinte das nur theoretisch, 4 mal so viele Möglichkeiten = vier mal so sicher.
Aber ein guter Tip, mit dem gleichen Hersteller, ich habe das zwar alles vom der gleichen Firma, aber eine Bekannte will sich demnächst auch W-Lan zulegen, werde ihr mal den Tipp geben, alles vom gleichen Hersteller zu nehmen.
Grüße Maik
Also ziemlich sicher denke ich wenn du ein VPN einrichten würdest, ist aber wie immer eine Frage des Aufwands.
Ansonsten Versschlüsselung rein, SSID Standardname ändern, Accesspoint nicht sichtbar konfigurieren, Mac-Adressbasierte Authentifizierung einrichten.
Ansonsten Versschlüsselung rein, SSID Standardname ändern, Accesspoint nicht sichtbar konfigurieren, Mac-Adressbasierte Authentifizierung einrichten.
Hallo!
Für WLAN-Router, wie Netgear WG602 oder AVM Fritz!Box WLAN FON, habe ich eine ziemlich umfassende Sicherheits-Checkliste erstellt:
http://timsbbs.dyndns.org/firma/service/wlan2/
Verbesserungsvorschläge werden gerne aufgenommen...
Gruss
Tim
Für WLAN-Router, wie Netgear WG602 oder AVM Fritz!Box WLAN FON, habe ich eine ziemlich umfassende Sicherheits-Checkliste erstellt:
http://timsbbs.dyndns.org/firma/service/wlan2/
Verbesserungsvorschläge werden gerne aufgenommen...
Gruss
Tim
Hi,
aus meiner Erfahrungen gibs da ein paar Dinge, wie du dein WLAN absichern kannst:
1. Namen des AP (SSID) und Zugangskennwort ändern
2. Broadcasting deaktivieren (der AP funkt dann nicht mehr seinen Namen in die Natur)
3. WPA Verschlüsselung einsetzen (WEP ist zu kacken)
4. MAC Adressen im AP einrichten (damit erlaubst du nur bestimmten Netzwerkkarten, sich mit dem AP zu verbinden)
Damit bist du auf jeden Fall schon mal ein ganzen Stückchen weiter
Gruss, Stefan
aus meiner Erfahrungen gibs da ein paar Dinge, wie du dein WLAN absichern kannst:
1. Namen des AP (SSID) und Zugangskennwort ändern
2. Broadcasting deaktivieren (der AP funkt dann nicht mehr seinen Namen in die Natur)
3. WPA Verschlüsselung einsetzen (WEP ist zu kacken)
4. MAC Adressen im AP einrichten (damit erlaubst du nur bestimmten Netzwerkkarten, sich mit dem AP zu verbinden)
Damit bist du auf jeden Fall schon mal ein ganzen Stückchen weiter
Gruss, Stefan
Hallo Stefan,
hab noch ein paar weitere Punkte, wobei die meisten aber eher für Firmen interessant sind
-Wenn möglich die Reichweite einstellen, so dass der AP nur dort empfangen werden kann wo dies auch nötig ist
-Die Wlanstrecke mit Firewall absichern und bei andern Sicherheitsplannungen als Gefahrenquelle einstuffen
-Router so platzieren, das keine unbefugten Personen drankommen (reboot -> Einstellungen zurücksetzen)
-Mitarbeiter über gefahren informieren (Wardriver erkennen, MAC weitergeben,...)
-Intrusion Detection Systeme verwenden
-Mac adressen der Clients nicht offen rumliegenlassen
hab noch ein paar weitere Punkte, wobei die meisten aber eher für Firmen interessant sind
-Wenn möglich die Reichweite einstellen, so dass der AP nur dort empfangen werden kann wo dies auch nötig ist
-Die Wlanstrecke mit Firewall absichern und bei andern Sicherheitsplannungen als Gefahrenquelle einstuffen
-Router so platzieren, das keine unbefugten Personen drankommen (reboot -> Einstellungen zurücksetzen)
-Mitarbeiter über gefahren informieren (Wardriver erkennen, MAC weitergeben,...)
-Intrusion Detection Systeme verwenden
-Mac adressen der Clients nicht offen rumliegenlassen
WLAN SICHER?!=?!
Das geht eigentlich nicht.
zum einen mit dem Programm Ethernal bekommt man die MAC Adressen des Acses Points
Mit CMD (Eingabeauforderung) die ARPs Listen und in IPs Schlüsseln und mit GIF daten Fischen. oder einfach mit Network Stumpler die Pakete aus der Luft Fischen. Du wirst lachen Nach meinen Infos sind nur verschlüsselte APs zu sniffen ILIGAL alles was offen ist ist jedem ja FREI zugänglich also der ALGEMEINHEIT frei.
Um einen AP so gut wie Möglich zu schützen einen möglichst langen Key AUTOMATISCH in ASCII au einem Logorytmus (der automatischen erstelungsfunktion der WLAN Karte) auf einem Satz aufbauen lassen das ist am sinnfollsten meiner meinung nach.
PS: die genannte Sofftwarre ist FERRWARE?!?!
Das geht eigentlich nicht.
zum einen mit dem Programm Ethernal bekommt man die MAC Adressen des Acses Points
Mit CMD (Eingabeauforderung) die ARPs Listen und in IPs Schlüsseln und mit GIF daten Fischen. oder einfach mit Network Stumpler die Pakete aus der Luft Fischen. Du wirst lachen Nach meinen Infos sind nur verschlüsselte APs zu sniffen ILIGAL alles was offen ist ist jedem ja FREI zugänglich also der ALGEMEINHEIT frei.
Um einen AP so gut wie Möglich zu schützen einen möglichst langen Key AUTOMATISCH in ASCII au einem Logorytmus (der automatischen erstelungsfunktion der WLAN Karte) auf einem Satz aufbauen lassen das ist am sinnfollsten meiner meinung nach.
PS: die genannte Sofftwarre ist FERRWARE?!?!
Falls noch nicht erwaehnt: Fernwartung und UPNP beim Router ausschalten...
