srkonus 10 Geschrieben 21. September 2007 Melden Teilen Geschrieben 21. September 2007 Hallo, ich möchte das WLAN Thema einmal aufgreifen. Es ist geplant, ein WLAN im Besprechungsraum einzurichten. Meine Vorstellung ist, zwei SSIDs einzusetzen, einmal offen, wo nur http Verkehr durchgelassen wird. Ein zweites Netz, was mittels div. Sicherungsmassnahmen abgesichert wird und Zugriff auf das interne Netzwerk bietet. Jeglicher IP Traffic wird allerdings zur Zentrale geschickt und von dort erst ins Internet. Bei meiner Variante würde doch "Gäste" auch in das komplette Netzwerk kommen (z.B. andere Standorte), oder? mfg srkonus Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 21. September 2007 Melden Teilen Geschrieben 21. September 2007 zunächst sollte man sich die Frage stellen: Wer hat denn alles Zugriff auf das WLAN im Besprechnungsraum??? Nur interne Mitarbeiter oder auch externe und Gäste?? Wenn Du nur http-Traffic durchlässt, haben Gäste eigentlich nur Zugriff auf evtl. Intranet-Seiten (welches man aber Sperren könnte) oder auch auf Freigaben im Netzwerk. Auf das AD (und dessen Freigaben) dürften diese jedoch keinen Zugriff haben! Willst du die zwei SSID's auf einem AP einrichten oder eben zwei AP's einsetzen? Mach doch den offenen AP in einen eigenen IP-Kreis, der widerum nur Zugriff auf 0.0.0.0 bekommt, also aufs Internet... Zitieren Link zu diesem Kommentar
srkonus 10 Geschrieben 21. September 2007 Autor Melden Teilen Geschrieben 21. September 2007 Hallo tobi, dort ist ein AP installiert, zur Zeit noch offen (Sendeleistung ist zwecks Reichweitenbegrenzung reduziert). Zugriff auf das AD sollen nur interne Mitarbeiter haben, Gäste sollen ins Internet kommen dürfen - wenn dies technisch machbar ist - sie bräuchten allerdings eine proxy.pac. Ich werde mir mal das Handbuch unter mein Kopfkissen legen, mal schauen, was das Ding so alles kann. Zitieren Link zu diesem Kommentar
NenNetter 10 Geschrieben 21. September 2007 Melden Teilen Geschrieben 21. September 2007 Hm ich weiß nicht, ob das so gut ist, dass auch Gäste rauf kommen sollen. Das beste wäre eine WPA Verschlüsselung, die Sie von eine bestimmten Person dort erhalten. Ein MAC-Adressenfilter wäre natürlich noch besser. Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 21. September 2007 Melden Teilen Geschrieben 21. September 2007 Das beste wäre eine WPA Verschlüsselung, die Sie von eine bestimmten Person dort erhalten. Ein MAC-Adressenfilter wäre natürlich noch besser. MAC-Filter ist zwar eine Möglichkeit aber keineswegs sicher!! MAC-Adressen lassen sich clonen... WPA-Verschlüsselung ist ja auch gut, ABER: Dann brauchst du jedesmal wenn ein Gast ins WLAN möchte, einen Mitarbeiter, der dem Gast die Verbindung einrichtet und beim verlassen wieder die Einstellungen löscht. Den WPA-Key rauszugeben ist nicht, weil dann kann man auch gleich das Netz offen lassen... Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 21. September 2007 Melden Teilen Geschrieben 21. September 2007 Ich habe gehört, dass man jetzt schon WPA2 in geringer Zeit knacken kann. (Einen Quell-Link suche ich selbst noch) MAC-Filter und hidden SSID sind etwa so, wie deine Haustüre mit Tesa zu sichern. :D Du solltest eher mit einem RADIUS Server (IAS unter Windows) arbeiten, das bietet annehmbare Sicherheit für Unternehmensnetzwerke LG Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 21. September 2007 Melden Teilen Geschrieben 21. September 2007 @firefox: Habe ich zwar auch noch nicht wirklich gehört, aber habe hier was gefunden: Bei der Nutzung von Pre-Shared-Keys ist unbedingt auf die Qualität des verwendeten Passworts zu achten. Ein möglicher Angreifer kann über die Brute-Force-Methode oder einen Wörterbuchangriff das genutzte Passwort erraten und so alle möglichen Varianten des Pre-Shared-Keys generieren. Um zu sehen, welcher der generierten Schlüssel der richtige ist, muss ein Anmeldevorgang mitgehört werden (der von einem Angreifer jederzeit initiiert werden kann). Bei jeder Anmeldung findet ein Schlüsselaustausch statt, der über einen MD5-Hash gesichert wird und mit dessen Hilfe man die generierten Schlüssel auf ihre Richtigkeit überprüfen kann. Seit dem 28. April 2004 existiert für einen möglichen Wörterbuchangriff ein Proof-of-Concept, das im Mac-OS-X-Programm KisMAC implementiert wurde. Seit November 2004 existiert auch ein weiteres Programm, WPA Cracker, diesmal für Linux, das einen Offline-Wörterbuchangriff anhand mitprotokollierter Pakete durchführt und mittlerweile im Quelltext vorliegt. Für einen Brute-Force- oder Wörterbuchangriff auf den aufgezeichneten 4-Way-Handshake des TKIP-Protokolls kann "cowpatty" verwendet werden. Quelle: Wi-Fi Protected Access - Wikipedia Allerdings scheint dies nur für den WPA-PSK zu gelten.... //EDIT: und hier noch was: heise Security - Know-how - Angriffe auf WPA WPA im Enterprise-Modus ist von diesem Angriff nicht betroffen, weil dabei auch während der Authentifizierungsphase ein individueller, temporärer Schlüssel zum Einsatz kommt, den beispielsweise ein Radius-Server bereitstellt. Mit brauchbaren Passphrasen kann man auch WPA-PSK als sicher ansehen, denn bislang ist kein Erfolg versprechender, direkter Angriff auf die per Funk fließenden chiffrierten Daten bekannt. Der von WEP bekannte Angriff auf schwache Schlüssel mit Airsnort oder ähnlichen Tools läuft bei WPA wegen des doppelt so langen Intialization Vectors ins Leere: Einer Schätzung zufolge müsste man selbst in einem mit 500 MBit/s funkenden WLAN von übermorgen erst nach rund 200 Jahren den Schlüssel erneuern. Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 21. September 2007 Melden Teilen Geschrieben 21. September 2007 @srkonus: Wie wäre es denn mit sowas: HOTSPLOTS V.I.P: hotsplots ?? entweder man spart sich die Arbeit und den Service von denen oder man bastelt sich selbst einen entsprechenden RADIUS-Server mit dem ganzen drum herum... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.