PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie Wlan absichern?



dive
09.11.06, 11:46
Hallo Leute, werde mich in nächster Zukunft eingehender mit Wlan beschäftigen.

Nur wüßte ich nicht, wie man bestmöglich Wlan absichern kann und welche Info-Quellen es dazu so gibt. Mir ist schon bewusst, daß WPA nicht ausreicht, nur hilft auch das nicht wirklich weiter. Was dürfte denn zur Zeit die beste Lösung sein?

AceTheFace
09.11.06, 11:50
WPA(2) mit ausreichend langem Schlüssel sollte schon ziemlich sicher sein. Zusätzlich noch nen MAC-Filter drauf (auch knackbar).
Dann die ESSID verstecken.

Das zusammen sollte schon recht sicher sein...und mehr ist heutzutage glaube ich auch nicht möglich.

Gruß,
Ace

othan
09.11.06, 12:01
auf der Firewall nur 1 Port für VPN offen lassen und die sicherung des Netzes über OpenVPN o.ä. lösen

dive
09.11.06, 12:28
Eine Firewall wäre noch ne Idee.
Router und Adapter haben auf jeden Fall WPA integriert.

Aber wie kann ich denn die ESSID verstecken?

gadget
09.11.06, 13:16
Aber wie kann ich denn die ESSID verstecken?
Das stellst du im Router ein. Den Clients verrätst Du ja die ID.

asi_dkn
09.11.06, 14:37
- SSID ändern und SSID Broadcast deaktivieren (SSID sollte irgendwas dummes sein, nicht gleich dein nachname oder sowas)
- MAC Filter (nützt aber eh nur begrenzt da fakebar)
- WPA2 & PSK (Langer Key)
- Wenn du's nur in deinem Haus brauchst kannst du evtl. noch die Reichweite einschränken
- DHCP ausschalten.

Generell würde ich sagen wenn du so richtig paranoid bist und ultra-sensible Daten in deinem Netz hast, verzichte auf WLAN ;) ansonsten dürftest du mit den "Heimmitteln" relativ gut bedient sein.

framp
09.11.06, 19:20
auf der Firewall nur 1 Port für VPN offen lassen und die sicherung des Netzes über OpenVPN o.ä. lösen
Genau das mache ich für mein WLAN mit dem unsichern WEP :D
<EDIT>s/WPA/WEP/</EDIT>

gadget
09.11.06, 20:35
Gilt WPA mittlerweile wirklich schon als "unsicher"? Vor allem in der Kombinatino mit PSK???

-hanky-
09.11.06, 20:42
Gilt WPA mittlerweile wirklich schon als "unsicher"? Vor allem in der Kombinatino mit PSK???

Nur in Verbindung mit einem schwachen Passwort, ansonsten wohl eher nicht.

-hanky-

framp
09.11.06, 20:43
Sorry - war ein (korrigierter) Typo meinerseits. Nicht WPA ist unsicher - sonder WEP :D

gadget
09.11.06, 21:17
Dann wäre das ja schon die Antwort für den Thread-Ersteller: WPA mit einem sicheren Passwort (PSK-Verschlüsselt). Alles weitere wie Mac-Filter oder No-ESSID-Broadcast, Deaktivieren von DHCP sind Massnahmen, die ohne WPA-PSK nicht wirklich jemanden aufhalten und mit halt noch ein Sahnekringel sind.
Dass man sich gut überlegen sollte, welche Dienste man nach außen hin anbietet, ist eine generelle Sicherheitsfrage, unabhängig von WPA or so ...

Windoofsklicker
09.11.06, 22:43
Ich sichere meine WLANs wie folgt:

802.11b WLAN, HostAP mit täglich wechseldem Schlüssel und OpenVPN.
802.11g WLAN mit D-Link AP, WPA(AES)/802.1x mit Radius Auth.

Ohr4u|tux
10.11.06, 09:57
-WEP, da der Client einen ipw2100 Chip hat
-OpenVPN
-SSID Broadcast aus (Da finden Windows-Kisten das Wlan schonmal nicht mehr.)

Windoofsklicker
10.11.06, 10:01
Also, mein Notebook (FSC t3010) hat AFAIK auch einen IPW2100 und der kann WPA, zumindest unter Windows.

Rain_maker
10.11.06, 10:07
-WEP, da der Client einen ipw2100 Chip hat


Also, mein Notebook (FSC t3010) hat AFAIK auch einen IPW2100 und der kann WPA, zumindest unter Windows.

Und auch unter Linux geht das ..



/usr/sbin/wpa_supplicant
wpa_supplicant v0.5.3
Copyright (c) 2003-2006, Jouni Malinen <jkmaline@cc.hut.fi> and contributors

This program is free software. You can distribute it and/or modify it
under the terms of the GNU General Public License version 2.

Alternatively, this software may be distributed under the terms of the
BSD license. See README and COPYING for more details.

This product includes software developed by the OpenSSL Project
for use in the OpenSSL Toolkit (http://www.openssl.org/)

usage:
wpa_supplicant [-BddehLqquvwW] [-P<pid file>] [-g<global ctrl>] \
-i<ifname> -c<config file> [-C<ctrl>] [-D<driver>] [-p<driver_param>] \
[-b<br_ifname> [-N -i<ifname> -c<conf> [-C<ctrl>] [-D<driver>] \
[-p<driver_param>] [-b<br_ifname>] ...]

drivers:
hostap = Host AP driver (Intersil Prism2/2.5/3)
madwifi = MADWIFI 802.11 support (Atheros, etc.)
atmel = ATMEL AT76C5XXx (USB, PCMCIA)
wext = Linux wireless extensions (generic)
ndiswrapper = Linux ndiswrapper
ralink = Ralink rt61 driver
ipw = Intel ipw2100/2200 driver
wired = wpa_supplicant wired Ethernet driver und zwar schon ziemlich lange.

Greetz,

RM

-hanky-
10.11.06, 10:36
Da kann ich Rain_Maker nur zustimmen. Ich hab in meinem Laptop eine ipw2100 verbaut und die kann WPA unter Linux perfekt. Kein Grund als das unsichere WEP zu verwenden ;)

-hanky-

caspartroy
10.11.06, 12:42
ssid broadcast aus, dhcp aus usw ist für die sicherheit doch völlig unerheblich... wenn man wpa geknackt hat, braucht man doch kein dhcp um einzubrechen.

alles komfortable wie dhcp kann ruhig aktiviert sein, man muss nur in der üblichen art auf das passwort achten (unzugänglich aufbewahren, regelmäßig wechseln, sicheres passwort etc...). wpa ist mit einem guten passwort nicht realistisch knackbar.

falls das nicht reicht, bringt vpn noch einen wirklichen mehrwert.

dackel
10.11.06, 16:42
Die Frage ist sicher dämlich, aber wie "unsicher" ist WEP denn? Ich kann leider kein WPA einschalten. Zwar unterstützt es die Fritzbox, aber zwei meiner WLAN-Adapter (baugleich, einer in 'nem Linuxrechner, der andere in einer Winkiste) scheinen es nicht zu können - oder ich bin zu blöd.

Hab versucht ein möglichst sicheres PW zu nehmen, SSID-Broadcast ausgeschaltet u. den MAC-Filter aktiviert. Ist man damit trotzdem noch wirklich gefährdet?
Mir für meinen Teil geht es nicht um irgendwelche Daten, da auch die Netzwerkfreigaben Passwörter erfordern u. sollte ich mal über WLAN größere Daten schieben, läuft das sowieso über scp (weil einfach schneller als SMB) ... nur ... ich hätte wenig Lust darauf, einen ungewollten Mitsurfer an der Backe kleben zu haben.

Wie einfach ist diese Einstellung denn knackbar?

oli993
10.11.06, 17:13
Hab versucht ein möglichst sicheres PW zu nehmen, SSID-Broadcast ausgeschaltet u. den MAC-Filter aktiviert. Ist man damit trotzdem noch wirklich gefährdet?

...

Wie einfach ist diese Einstellung denn knackbar?

WEP ist unabhängig vom Passwort innerhalb von Minuten zu knacken, ob mit oder ohne MAC-Filter (MAC-Adressen werden sowieso unverschlüsselt übertragen und können leicht gefaked werden). SSID kannst Du senden oder nicht, macht keinen Unterschied.
Du bewegst dich also auf dünnem Eis...

Gruß Oli.

dackel
10.11.06, 19:09
WEP ist unabhängig vom Passwort innerhalb von Minuten zu knacken, ob mit oder ohne MAC-Filter (MAC-Adressen werden sowieso unverschlüsselt übertragen und können leicht gefaked werden). SSID kannst Du senden oder nicht, macht keinen Unterschied.
Du bewegst dich also auf dünnem Eis...

Gruß Oli.
Hmm ... ist natürlich blöd. Welche Alternativen gibt es denn? Den Router mit einer gehackten Firmware patchen kommt bisher noch nicht in Frage ... nicht solange ich kein Ersatzgerät habe (evtl. demnächst ja mal von 1u1) ...

Gibt es denn günstige Accesspoints / WLan-Router, die mit mit einem OpenVPN ausstatten könnte? Hab gerade nach Fritzboxen bei eBay geschaut. Die 7170, auf der OpenVPN ordentlich läuft, geht teils für 200 Euro weg u. das ist für mich als Schüler nicht wirklich bezahlbar.

Rain_maker
10.11.06, 20:20
aber zwei meiner WLAN-Adapter (baugleich, einer in 'nem Linuxrechner, der andere in einer Winkiste) scheinen es nicht zu können - oder ich bin zu blöd.

Ist hier zwar eigentlich OT, aber vielleicht könntest Du das "zwei meiner WLAN-Adapter" mal etwas präzisieren? Vielleicht unterstützen diese ja doch WPA und wenn nicht, dann kann man sich nach Alternativen umschauen, so teuer sind PCI-Wlan Karten nun auch wieder nicht, jedenfalls sehr wahrscheinlich billiger als ein Router für 200 Euronen oder gar mehr.

Greetz,

RM

zeeman
10.11.06, 22:07
Die Frage ist sicher dämlich, aber wie "unsicher" ist WEP denn? Ich kann leider kein WPA einschalten. Zwar unterstützt es die Fritzbox, aber zwei meiner WLAN-Adapter (baugleich, einer in 'nem Linuxrechner, der andere in einer Winkiste) scheinen es nicht zu können - oder ich bin zu blöd.


mit 2 netzwerkkarten ist es, mit den richtigen tools innerhalb von 45 min erledigt (gute verbindung, egal welches passwort)

ich verstehe das gegenargument gegen vpn nicht.
(ich kann jetzt nur von meinem fli4l sprechen, bei anderen routern wird es wohl ähnlich sein):

der router ist, wenn man im wlan selber eingewählt ist (sprich wpa/web geknackt hat) doch genauso angreifbar wie aus dem internet heraus (sprich rotes interface)

mit vpn gehts dann ab ins lokale netz und gut is. (und hat den vorteil, dass man den selben vpn-tunnel auch für den zugriff direkt übers internet nutzen kann)

dackel
11.11.06, 01:13
@Rain_maker:
Es sind zwei Longshine-USB-Sticks mit zd1211-Chip. Schien, wie ichs grad gelesen hab, aber wirklich etwas zu blöde zu sein ... zumindest auf der Seite des Treibers steht, dass WPA unterstützt wird. Werd da wohl nochmal kramen müssen.

@Zeeman:
Nunja ... ich meinte eher den Hardware-Router. Für die Fritzbox gibt es einen gewissen DS-Mod, der ein OpenVPN mitbringt. Das Problem ist: Probier ich den aus, es geht etwas schief u. ich kanns nichtmehr rückgängig machen, gibt es hier einen Internet- u. Telefonausfall u. die Garantie für das Gerät geht flöten.

Auch soll es mit der Fritzbox 7050 - die ich hier rumstehen hab - nicht sonderlich schön sein, OpenVPN zu nutzen, weil die Box verdammt wenig Speicher hat.
Einen "richtigen" Rechner würde ich ungern als Router verpflichten, auf dem ich den VPN-Server starte, da der dann durchgehend laufen müsste.

Nun ... wie gesagt, laut http://zd1211.ath.cx sollte nun auch WPA funktionieren. Mal schauen wie.

Rain_maker
11.11.06, 10:34
IIRC benötigt man für die Zd1211-Chips einen modifizierten wpa_supplicant, der aber bei den Treibern mit dabei ist. Wenn man sich den wpa_supplicant von der HP des Entwicklers holt, dann ist dort keine Unterstützung für diese Karten mit eingebaut, ähnliches gilt auch für einige Ralink-Karten.

OK, ist doch nicht bei den SVN-Trunks mit dabei, vielleicht müsste man es hiermit probieren:

http://www.atheros.com/RD/ZyDAS/web_driver/ZD1211_USB/Linux/wpa_supplicant-0.4.7_zydas.tar.gz

Allerdings kann man auch zuerst den "normalen" wpa_supplicant so einrichten, daß er die "wext"-Extension verwendet, vielleicht unterstützt diese mittlerweile den zd1211-Treiber.

Versuch macht kluch.

Und für Querleser (mit Kernel < 2.6.18) hier noch die Links zu den neusten Treibern und Firmware.

http://zd1211.ath.cx/download/

http://sourceforge.net/project/showfiles.php?group_id=129083&package_id=187875

Greetz,

RM