Hallo !

Ich habe leider herausfinden müssen dass mein WLAN Client doch nur WEP beherrscht, werde aber erst im Winter Zeit haben mich mit der Beschaffung und Installation von WPA-Hardware zu befassen. Da ich nicht gerade in einer "Warez-Umgebung" lebe müsste das soweit gehen.

Welche Möglichkeiten gibt es WEP zu "härten" so dass es einigermaßen schwierig ist es zu "knacken" und vor allem "Wardriving" schwierig wird ?

-WEP Schlüssel: 128 Bit, kein Kennwort aus Wörterbüchern. (Das Maximum was die HW kann ...)
-WLAN Intensität auf 5 % gestellt um Reichweite und Belastung zu minimieren
-WLAN wird ausgeschaltet wenn es nicht benutzt wird (in der Zeit ist es dann wirklich sicher :D )
- Der Router ist so eingestellt dass "keine neuen MAC Adressen" akzeptiert werden.
- SSID wird nicht gesendet
- bei "vertraulichem" (z. B. Internet Banking) verwende ich nur verschlüsselte Seiten / Protokolle.

Die Hauptfrage : kann jemand über meinen Anschluss mitsurfen indem er z.B. seine MAC Adresse auf meine ändert wenn der Router gleichzeitig mit meinem Rechner verbunden ist ?

Gibt es weitere Maßnahmen (außer natürlich WPA-Hardware zu kaufen .... was mittelfristig die einzige wirkliche Methode ist....)

-WEP Schlüssel: 128 Bit, kein Kennwort aus Wörterbüchern. (Das Maximum was die HW kann ...)

Auch kryptische Keys sind in Sekunden errechenbar - immerhin schützt Du dich so vor der breiten Kindergarten-Fraktion ;)


-WLAN Intensität auf 5 % gestellt um Reichweite und Belastung zu minimieren

Sehr wirksam - das bringt am meisten. Was keiner weiß macht keinen heiß :)


-WLAN wird ausgeschaltet wenn es nicht benutzt wird (in der Zeit ist es dann wirklich sicher :D )

Gutde Idee - wenn nicht die Faulheit siegt ;)


- Der Router ist so eingestellt dass "keine neuen MAC Adressen" akzeptiert werden.
- SSID wird nicht gesendet

Hilft auch gegen die Kindergartenfraktion :)


- bei "vertraulichem" (z. B. Internet Banking) verwende ich nur verschlüsselte Seiten / Protokolle.

Darauf achten ob Zertifikatswarnungen erscheinen - jemand könnte dich durch Pharming auf seine eigene, gefakte Seite leiten. ist aber unwarscheinlich.


Die Hauptfrage : kann jemand über meinen Anschluss mitsurfen indem er z.B. seine MAC Adresse auf meine ändert wenn der Router gleichzeitig mit meinem Rechner verbunden ist ?


Gleichzeitig nicht, er könnte IMO nur vorher deinen Client durch eine Deauthentication Attack disconnecten und dann mit dieser MAC connecten.



Gibt es weitere Maßnahmen (außer natürlich WPA-Hardware zu kaufen .... was mittelfristig die einzige wirkliche Methode ist....)

Ich denke Du hast dir alle nötigen Gedanken gemacht - mir fällt spontan nichts ein. Außer vielleicht noch Alupapier so neben dem AP zu postieren so das das WLAN nur aus Richtung deines Client sichtbar ist :D

mfg
cane

Du könntest die Verbindung auch über ein VPN absichern.

Die Frage die Du Dir stellen solltest ist: Was möchte ich vor wem schützen?

Wenn es nur "billiges" Surfen ist. Was soll's? Da braucht man auch keine Verschlüsselung.
Wichtige Seiten (z.B. Banking) nur über Verschlüsselung (z.B. SSL) zu erreichen, hat erst einmal nichts damit zu tun, ob man ein WLAN hat oder nicht. Denn der böse Junge/das böse Mädel kann ja auch viel weiter drin im Netz hocken.

Wenn es ein lokales Netz (z.B. Datenserver) zu schützen gilt, dann könnte man sich auch Alternativen zur reinen WLAN-Verschlüsselung überlegen, z.B. VPN.

Daher immer zuerst das Szenario betrachten, dann die Möglichkeiten erkunden und schließlich entscheiden.

.. das hilft schonmal gewaltig....


Ich hatte vergessen genau zu beschreiben was ich schützen will: ich will einfach kein Kabel in der Wohnung verlegen und mit einem (in Worten: einem) PC Verbindung zu meiner FritzBox aufnehmen um ins Internet zu kommen.

Daher wäre die VPN Lösung overshoot (dazu benötige ich ja einen zweiten Rechner).

Es geht mir hauptsächlich darum dass niemand über meinen Anschluß Dinge tut die mir hinterher Ärger bereiten, also wirklich hauptsächlich um die "Script Kiddies" ... kostenloses Mitsurfen über meine Flatrate würde mich an sich nicht stören... irgendwelche Abmahnungen oder Anzeigen der Musikindustrie dagegen sehr ....


Wenn ich euch richtig verstanden habe würde ich es also merken wenn jemand bei laufendem System meine MAC Adresse "kapert" ? (D.h. Surfen / Streamripper / Mail würden sich "seltsam" verhalten ? )

Nach Benutzung schalte ich immer ab ... d.h. dass jemand den Anschluss nutzt wenn mein PC nicht läuft ist extrem unwahrscheinlich.



=> Also sollte es kein Problem sein dieses System so zu nutzen bis ich Zeit habe auf WPA umzustellen ... wenn mir beim Surfen (oder Streamripper) Unregelmässigkeiten auffallen sollten könnte ich ja den Internetkonsum einschränken oder bei dringenden Fällen auf meine Ethernet-Backupstrippe ausweichen (die ich wirklich nur sehr ungern quer durch die Wohnung ziehe :D )

Du hast alles verstanden - passt so.

mfg
cane

Gegen Kiddies ist das alles recht wirksam. Wenns jemand darauf anlegt helfen die 5% Reichweite dagegen nichts (gescheite Antenne und Karte).



Zitat von cane:
Gleichzeitig nicht, er könnte IMO nur vorher deinen Client durch eine Deauthentication Attack disconnecten und dann mit dieser MAC connecten.




Zitat von Newbie314:
Wenn ich euch richtig verstanden habe würde ich es also merken wenn jemand bei laufendem System meine MAC Adresse "kapert" ? (D.h. Surfen / Streamripper / Mail würden sich "seltsam" verhalten ? )

Hier moechte ich mal nachhaken, denn das stimmt nicht im Bezug auf ein offenes Wlan (hab das schon getestet).
Das kann allerdings bei verschluesselten Verbindungen wegen diversen Verschluesselungsmerkmalen anders sein (wuerde mich mal interessieren).

Zusaetzlich stellt sich die Frage ob du eine Deauthentication ueberhaupt bemerken wuerdest. (ne Dauerattacke schon, weil dann das wlan blockiert aber gezielt?)

Dennoch ist das alles recht theoretischer Natur. Fuer deine Zwecke werden alle von dir aufgezaehlten Massnahmen vollkommen ausreichen.

mfg Tobyy

Naja es gibt ja im Grunde zwei Probleme: Einmal könnte wer deinen Netzwerkverkehr mithören. Das ist mehr oder weniger deine Sache wie viel du da verschlüsselst, per vpn oder sonstwas. Kommt drauf an was du da für möglichkeiten mit Servern usw. hast.

Andererseits könnte jemand anders über deinen Anschluss surfen. Wenn Traffic auf dem Wlan ist, du also gerade surfst lässt sich wep innerhalb von 1-2 Minuten knacken, vollkommen egal was du für einen Schlüssel hast, die Mac-Sperrung ist auch nicht wirklich wirkungsvoll, ich weiß nicht auswendig was genau passiert wenn jemand anders deine mitbenutzt, aber abgesehen davon dass du dadurch möglicherweise merkst dass jemand dein Netzwerk mitbenutzt hält das niemanden wirklich auf.
Wlan ausschalten und Reichweite begrenzen ist wohl das sinnvollste.

Andererseits: Deine Wlankarte im notebook kann höchstwahrscheinlich wpa, jedenfalls mit den Linuxtreibern, also hängt es am Router und da gibt es für <50€ nen neuen der Wpa kann. Da ist halt die Frage wie viel dir die Arbeit und die Umstände durch Wep wert sind.

Mein Router kann WPA 2.. ich habe nen D-Link Access point als Client konfiguriert an dem mein Desktop über ne normale Ethernetkarte dranhängt...

Eigentor: letztes Jahr gekauft, seit diesem Jahr ist WEP nichtmehr sicher. (d.h. selbst für den Privatmann... knackbar war es ja schon länger) .. Firmware Update ist laut D-Link für diesen Client nichtmehr zu erwarten... was mich ärgert ist dass das Ding als Access Point sogar WPA 2 kann ....

Werde mir also in ein paar Monaten eine WPA taugliche Karte (nicht von D-Link ;-) ) in den Desktop reinbauen und schauen dass ich sie unter Linux zum Laufen bringe (siehe andere Threads, da scheint es ja recht problemlose Karten zu geben...).


Bin nur jetzt beruhigt dass ich nicht sofort das Kabel aus dem Keller holen muss ;-)

Die Reichweiten-Begrenzung und das Abschalten werde ich aus "Umweltschutzgründen" auch unter WPA beibehalten ...

SSID Broadcast abschalten hilft genau gegen was? Sogar der Intel Pro Wireless Client zeigt das Netz dann einfach als "<SSID nicht übertragen>" an.


PS: Karten mit unterstützem Atheros Chipsatz laufen wohl recht gut.

Hi!


PS: Karten mit unterstützem Atheros Chipsatz laufen wohl recht gut.
Ich habe mit Broadcom-Chipsätzen gute Erfahrungen gemacht. So einer steckt sowohl im WLAN-Router als auch in der PCI-Karte für den Desktop. Läuft via wpa_supplicant auch mit WPA2 (AES).

Gruß
fuffy

Danke !

.. grins...

Den Thread werd ich aber kurz vor Neukauf nochmal aufmachen... Das was ich bei Opensuse in der Kompatibilitätsliste gefunden habe wirft mich nicht wirklich vom Hocker (scheint z.T. recht altes Zeugs zu sein).

Bei Tuxhardware.de bin ich mit meinem damaligen WLAN Stick der angeblich Linuxkompatibel war, bei mir zwar erkannt wurde aber einfach nicht zum Laufen zu bringen war auf die Nase gefallen.. hab das Ding dann vertickert ...


Also für Tipps zu Karten die mit Opensuse 10.2 / (ab Herbst 10.3) mit möglichst wenig Aufwand zum Laufen zu bringen sind und WPA 2 können bin ich echt dankbar, werde aber im Herbst dazu nochmal nen Thread aufmachen.

Tipps die hier gepostet werden werd ich dann gleich in den anderen Thread rüberkopieren....

Vielen Dank !

Hi!


Ich habe mit Broadcom-Chipsätzen gute Erfahrungen gemacht. So einer steckt sowohl im WLAN-Router als auch in der PCI-Karte für den Desktop. Läuft via wpa_supplicant auch mit WPA2 (AES).

Gruß
fuffy

kann aber auch in die hose gehen, hab hier eine broadcom BCM4310 die sich derzeit nicht mit den nativen treibern betreiben lässt.
immerhin geht ndiswrapper, wenns auch keine tolle lösung ist.

2x die gleiche MAC in einem Netz ist ( leider ) kein Problem.
Es muss nur 2 separate IPs geben ( Static IP, da DHCP-Server bei doppelter MAC öfters blocken ).

Ein "kostenloser" und "anonymer" Internet-Zugang reizt Nachbarn oft zum hemmungslosen Saugen.

Praktisch hilft nur WPA oder kurzfristig irgendeine VPN-Lösung.

PS: Ich hab gute erfahrungen mit zd1211(b)-Chipsätzen gemacht.

Du hast doch sicherlich im Keller irgendwo einen verstaubten alten Pentium rumstehen. Hau da Linux drauf mit openvpn - dann openvpn auf den CLient und sicher ist's.
So habe ich mehrere Jahre meine AP mit WEP gefahren - und kein Script Kiddie war drin ;-)

Mrsuicide: und ich dachte mit meinen statischen Adressen wäre mein Netz besonders Sicher ! :ugly:

Framp: Im Herbst / Winter kommt ne WPA2 Karte drauf. Der Rechner steht bei mir im Wohnzimmer, das DSL-Modem in Sichtweite im Gang .. da will ich keine zweite Kiste rumstehen haben (Lärm, Optik, Strom etc...).

Bei mir steht übrigens kein Pentium im Keller: meinen jetzigen Rechner habe ich gekauft als beim alten PIII die Stromversorgung "abrauchte" .. ich verwende meine Hardware wirklich so lange wie sie noch Spaß macht.. und das ist bei Linux ziemlich lange .....

Ob WPA(1) oder WPA2 ist sicherheitstechnisch völlig egal.
Praktisch findet man aber immer noch allgemein eine bessere Hardwareunterstützung von WPA(1).

.. muss ich mal nachlesen.. ich dachte WPA 2 wäre durch die Art wie die Keys übertragen werden noch etwas schwerer zu knacken ...

(Ich will nicht neue Hardware kaufen und dann in einem halben Jahr wieder vor dem gleichen Problem stehen ....)

Ein gutes Passwort ist im Falle von WPA (Untermenge von 802.11i) genauso sicher.

mfg
cane

Hi!


Ein gutes Passwort ist im Falle von WPA (Untermenge von 802.11i) genauso sicher.
Ich fühle mich mit WPA2 (Vollständige Implementierung von IEEE 802.11i) trotzdem sicherer, gerade wegen des Einsatzes von AES statt RC4.

Gruß
fuffy

Kann WPA(1) nicht auch AES, oder irre ich mich da?

Kann WPA(1) nicht auch AES
Nein (http://de.wikipedia.org/wiki/WPA2#Unterschiede_zu_WPA)

Gruß
fuffy

WPA1 ist nur ein modifiziertes WEP, während WPA2 ein ganz anderer Algorithmus ist. Daher ist WPA1 bisher auch weiter verbreitet. Denn WPA1 lässt sich normalerweise einfach per Software nachrüsten.

Bei WPA1 findet die eigentliche Verschlüsselung wie bei WEP statt. Der Unterschied ist, dass man bei WEP den Pre-Shared Key selber festlegt (meistens sogar nur aus dem Bereich der normalen ASCII-Zeichen). Während bei WPA1 aus dem WPA1-Pre-shared Key über einen Hash-Mechanismus der WEP-Pre-shared Key erzeugt wird, der dann je nach Einstellung bis maximal 1h gültig ist. Nach dieser maximal 1h wird aus dem WPA1-Pre-shared Key einer neuer WEP-Pre-shared Key erzeugt.

.. nachdem dieses TU-Darmstadt Tool WEP Keys innerhalb von Minuten knacken kann wäre ja demnach WPA 1 auch längst nichtmehr sicher ?

Nicht ganz, weil erstens arbeitet WPA1 auch mit einem größeren Initialisierungsvektor und die kollidierenden IVs sind verboten. Außerdem liegt normalerweise die Zeitspanne bei wenigen Minuten.

Nicht ganz, weil erstens arbeitet WPA1 auch mit einem größeren Initialisierungsvektor und die kollidierenden IVs sind verboten. Außerdem liegt normalerweise die Zeitspanne bei wenigen Minuten.

PTW braucht eben viele Pakete ( ab etwa 20000-40000 ), die mit *einem* Key verschlüsselt sind. Der Key ändert sich aber dauernd ( glaube oben wurde alle 10 kB erwähnt ).