Jump to content

Sicherheit im W-LAN (Eure Meinung)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Wie sicher ist WEP Eurer Meinung nach?  

498 Stimmen

  1. 1. Wie sicher ist WEP Eurer Meinung nach?

    • Völlig unsicher. Würde auf jeden Fall weitere Sicherheit herstellen
      152
    • Für nicht sensible Daten reicht WEP völlig aus
      303
    • WEP ist ein sehr guter Schutz. Würde ich selbst bei Sicherheitsrelevanten Daten einsetzen
      38
    • WEP ist absolut sicher. Vertraue ihm so sehr, dass ich sogar geheime Daten drüber schicken würde
      5


Empfohlene Beiträge

hm...mal ne Frage zum knacken.

 

in meinem Acen20W kann ich bei WEP flgend Modi zur Verschlüsselung akiviren:

 

64 und 128 bit jeweils als ascii oder als HEX.

 

Wieviel Aufwand und wie lange braucht ein Profi um sich einzuloggen?

 

Habe selbst kein WLAN, aber Wk2 hat doch noch die Passwortabfrage und AD. Also, selbst wenn einer WEP knackt, ist er doch noch nicht in meinem Netz, oder?

 

Wird hier von einer theoretischen Möglichkeit gesprochen oder ist der Einbruch wirklich simple?

 

Gruss Newbie

Link zu diesem Kommentar

64 Bit Verschlüsselung ist halt geringer wie 128 Bit.

 

Bei dem ASCII meint man Passfrase. Das bedeutet, Du tippelst ein Wort Deiner Wahl in die Zeile und klickst auf den Erledigt-Button (oder wie der halt heißt)

 

Dieser generiert dann aus dem Wort den HEX Schlüssel automatisch. Auf alle Fälle kannst Du es drehen und wenden wie Du willst. Die WEP ist eigentlich die HEX Sache.

 

Sicher hast Du noch Dom.Kennwort usw. aaaaber:

Sollte ein Hacker den WEP Schlüssel knacken, erschnüffelt er natürlich auch die Pakete, die so in der Luft schwirren.

 

Diese braucht er ja nur abhören und warten, bis einer sein Kennwort eingibt. Dann die Pakete auswerten und er hat das Kennwort im Klartext.

 

Sozusagen ist das WEP im WLAN nix anderes wie die Ummantelung eines Netzwerkkabels :)

Link zu diesem Kommentar

Kleines Update zum obigen Post von mich:

 

Es werden natürlich keine Kennwörter im Klartext übertragen sondern wenn man das WEP hat, dann könnten die Hashes geschluckt werden. Das erfordert zwar dann wiederrum dickes Menpower damit was anzufangen, aber es geht.

 

Davon abgesehen geht es dann auch nicht um das rauskriegen eines Kennworts, sondern übertragene Daten sind ja dann auch erschnüffelbar und somit mitles-/manipulierbar

 

Soviel zum Update :)

Link zu diesem Kommentar

Also ich habe einen NetGear AP, eine PCI & PCMCIA Card und der Nachbar untermir auch. Anfangs kamen wir uns in die Quere weil er dann mal auf meinem AP war und ich auf seinem. War dann aber schnell geregelt. Mein AP hat ne neue IP und MAC-Schutz bekommen.

 

ICh weiß jedoch, das man die MAC Addy's "angeblich" mit alten Karten "fälschen" kann oder sich mit Linux(?) und kleinen tools neue geben kann!??

 

Stimmt das so überhaupt??

 

WEP benutze ich nicht, hat keinen sinn bei ner 11Mbit Verbindung und es würde auffallen wenn bei uns einer vor dem Haus parkt der da nix zu suchen hat :D ;)

Link zu diesem Kommentar

Hallo zusammen,

 

ich sehe nur dann ein wirkliches Problem im Einsatz eines W-LAN,

wenn keinerlei Verschlüsselung eingesetzt wird.

Auch bei der Auswahl des Schlüssels sollte man nicht gerade

banale Dinge wie das eigene Geburtsdatum, etc. verwenden.

 

Was mich generell ziemlich irritiert ist, daß selbst in Banken und

Versicherungen Paßwörter (im LAN) verwendet werden, die

selbst das billigste Tool entschlüsseln kann.

Da gibt es doch tatsächlich nach wie vor Leute die meinen,

es sei genug der Sicherheit, den Namen der Freundin,

das eigene KFZ-Kennzeichen oder ähnliches als Paßwort

zu verwenden.

Wer solche Schlüssel verwendet, der kann eigentlich auch gleich die

Haustür offen stehen lassen.

Es liegt also nicht ausschließlich an der Technik, wie sicher Eure

Netze sind!

 

 

Gruß cdis ;)

Link zu diesem Kommentar
Also ich habe einen NetGear AP, eine PCI & PCMCIA Card und der Nachbar untermir auch. Anfangs kamen wir uns in die Quere weil er dann mal auf meinem AP war und ich auf seinem. War dann aber schnell geregelt. Mein AP hat ne neue IP und MAC-Schutz bekommen.

 

Das ist zwar schon Schutz, aber darunter leidet die Performance. Wireless LAN technisch 'hängt' ihr immer noch zsammen, weil Ihr beide die Gleiche SSID habt. Dein Nachbar sollte eine SSID für seine Sachen haben und Du eine eigene. Dann hast auf alle Fälle schon mal bessere Performance

 

ICh weiß jedoch, das man die MAC Addy's "angeblich" mit alten Karten "fälschen" kann oder sich mit Linux(?) und kleinen tools neue geben kann!??

 

Stimmt das so überhaupt??

 

Der MAC Schutz ist im prinzip kein Schutz. Es ist ein absolut leichtes ne MAC Adresse zu spoofen. Wie das geht sag ich hier aber nicht. Das verbieten die Boardregeln.

Fühle Dich mit Deiner derzeitigen Sicherheit nicht in möglicher guter Sicherheit. Die Daten werden bei Dir derzeit im Klartext durch die Luft versendet!!!

 

WEP benutze ich nicht, hat keinen sinn bei ner 11Mbit Verbindung und es würde auffallen wenn bei uns einer vor dem Haus parkt der da nix zu suchen hat :D ;)

 

Hä? Wieso hat WEP keinen Sinn? Kappier ich nicht. Könntest Du das mal bitte erklären? Gerade WEP bietet Dir den Schutz, den Du mindestens haben solltest um slebst bei privater Nutzung mit ruhigerem Gewissen WLAN zu betreiben.

 

Es wäre evtl. nicht tragisch das jemand auf deine privaten Daten kommt. OK, solche Argumente akzeptiere ich gerade noch (mir würde das zwar schon Magenschmerzen bereiten). Spätestens wenn ein jemand aber über Deinen Account ins Internet surft und illegale Sachen macht, liegt der schwarze Peter bei Dir. Und da hilft nicht: Ich wusste ja nicht ...

Link zu diesem Kommentar

hmm daran hab ich noch garnicht gedacht!

 

hmm ich werd mich dann vielleicht doch mal an die WEP verschlüsselung setzten.. Besser is das

 

Sollte ich den MAC schutz trotzdem noch mitaktiviert lassen oder aufgrund der zusatzperformance dann deaktivieren?????

 

Vielen Dank schonmal und auch für die bisher gegeben Antoworten an Wildi und den rest!

 

lg Marco

Link zu diesem Kommentar

Also, wenn ich das jetzt richtig schnalle:

 

Ich habe ein Wk2 Server und 2 Clients.

 

Ich stöpsele jetzt einen AP dran damit die Clients ohne Kabel im AD Netz sind. Die können dann auch über den DSL Router im I-Net surfen.

 

Jetzt aktiviere ich WEP und vergebe einen 8stelligen Code (der muss ja nicht dauernd erneuert werden, oder?). Der client muss sich aber trotzdem per Wk2 Password im AD anmelden.

 

Jetzt kommt der böse Bube mit seinem Wohnmobil und stellt sich vor das Büro.

 

Die Clients sind im Betrieb von 9 Uhr bis 22 Uhr abends, dann geht das Licht aus und der AP auch.

 

Jetzt zu meiner eigentlichen Frage:

 

Wie hoch ist die Wahrscheinlichkeit, das jemand sich einloggt und wie hoch ist die wahrscheinlichkeit, das er das schafft?

 

Weil, wenn ich das alles überlege, was ich hier gelesen habe, dann ist das doch ziemlich unmöglich mich zu hacken, oder?

 

Also jeweils 8 stellige Passwörter für WEP und AD

Buchstaben/zahlenkombi

AD mit 128 Bit verschlüsselung (SP4)

 

Das schafft doch keiner, ausser er kommt mit einer Supermobilworkstationfarm ala CIA mit 1,2 Teraflops

 

Oder bin ich zu sorglos?

Link zu diesem Kommentar

Grundsatz:

 

Ein WLAN ist eigentlich nichts anderes wie ein gewöhnliches LAN.

 

Im LAN hast Du nen HUB und NIC's

Im WLAN hast Du nen AP und WLAN NIC's

 

Der einzige Unterschied ist die Verbindung. Im LAN nimmst Du Patchkabel zur Verbindung zwischen HUB und NIC. Im WLAN geht das Ganze halt über die Antennen zwischen AP und WLAN NIC('s)

 

Auch das Verhalten zwischen einem HUB und AP ist identisch. Je mehr Clients dranhängen, umso mehr teilt sich die Gesamtgeschwindigkeit auf die Anzahl der Clients auf.

 

Nun geht es halt darum, wie die Daten durch die Luft sausen. In einem normalen LAN würdest Du überlegen welche Kabel Du verwendest.

 

Du stellst also die SSID ein (Ein Wort was definiert, welche WLAN NIC's mit welchem AP kommunizieren). Die SSID ist nicht sicherheitsrelevant. Also hier nicht das mega Adminkennwort dazu verwenden. Also SSID z.B. 'PaulsWLAN'. Die im AP drin und die Clients damit versehen, gehören die Teile alle zusammen.

 

Jetzt die WEP Verschlüsselung. Bei 64 Bit WEP gibst Du einen 10stelligen HEX Schlüssel ein. Bei 128Bit WEP einen 23stelligen Schlüssel. Diesen Schlüssel gibst Du auch bei allen Client's im Konfigtool ein. Schwups bist Du drauf.

 

Die Daten in der Luft werden nun mit diesem Schlüssel beim Sender verschlüsselt und beim Empfänger entschlüsselt.

 

Ein Knacken dieser Datenübertragung ist nur dann möglich, wenn ein Volumen von x GB in einer Session übertragen wird. Es ist schon mal nicht möglich, wenn Du eine Datei mit sagen wir mal 500MB überträgst. Denn die Entschlüsselung setzt eine volle Datenlänge des WEP vorraus, für die man ein paar GB's benötigt. Selbst wenn Du 500MB überträgst und dann wieder 500MB überträgst. Es wären 2 Sessions. Jede für sich beginnt den Schlüssel von neuem. Ein Hacker hätte also nur Fragmente des Schlüssels.

 

Aber sollte es doch gelingen, den Schlüssel zu knacken, gut, dann steht er vor dem neuen Problem. Er ist also in Deinem WLAN mit der entschlüsselten WEP und der richtigen SSID. Somit wäre er nun ein gewöhnlicher Teilnehmer Deines WLAN's. Nu muss er sich dran setzen und Dein Domänenkennwort knacken. Das wäre dann die neue Baustelle.

 

OK, so gesehen hast Du recht das es viel arbeit ist. Jedoch kann ich mit nem WLAN wo ich drauf bin auch so schon viel anfangen. z.B. ich nutze den Internetanschluss des betreffenden WLAN Besitzers. Dafür brauch ich in der Regel, wenn nicht evtl. ein Proxy den Zugang regelt, keine Kennwörter.

 

Und das Einzige was nun gefährlich ist, ist das dieser Hacker evtl. illegale Sachen über meinen Account ins Internet macht. Dann liegt wie schon gesagt der schwarze Peter bei Dir. Denn Du bist dann in diesem Moment der Provider für diese Person.

Link zu diesem Kommentar

Morgähn :D

 

Mal ein paar lose Gedanken zur Security bei WLANs:

 

"Security" ist immer ein Massnahmenbündel, bestehen aus mehreren Einzelmassnahmen.

 

802.11b/g / WEP nach Standard bietet:

 

Authentifizierung nach Key, Keylängen 40 Bit oder 128 Bit. Es geistern zwar auch noch 56 Bit- und 64 Bit-Key durchs Gelände, das sind aber dank unserer amerikanischen Freunde nur Beruhigungspillen. Intern werden die 56/64-Bit Keys abgeschnitten auf 40 Bit. Hat historische Gründe und damit zu tun dass "starke" Kryptographie früher nicht oder nur eingeschränkt aus den USA exportiert werden durfte. Bei den kurzen Schlüsseln (40/56/64) wird generell alles länger als 40 Bit abgeschnitten und mit einem vordefinierten Bitmuster wieder aufgefüllt damit es die Mitarbeiter bestimmter US-Organisationen nicht ganz so schwer haben, den Traffic zu entschlüsseln - 40 Bit dürften die on the fly können. Ach ja, Hexadezimale 128 Bit-Keys haben genau 26 Stellen, nicht mehr und nicht weniger, einige Hersteller bieten an dass man beliebige Zeichen ASCII eintragen kann und rechnen das dann auf HexDez um - dann sind da 13 ASCII-Zeichen einzutragen weil ein ASCII-Zeichen durch zwei HexDez-Zeichen repräsentiert wird (13x2=26)

 

Die SSID (Service Set ID): Im Prinzip nur der Name des jeweiligen Funknetzes, kann mehr oder weniger frei vergeben werden. Beliebt sind aus irgendwelchen Gründen "sprechende" SSIDs damit auch ja jeder der vorbeikommt gleich weiss wem das WLAN gehört - und daraus schlussfolgern kann ob es sich vielleicht "lohnt", sich das mal näher anzusehen. SSID-Besonderheiten: Es gibt eine Wildcard-SSID "Any". Weiterhin werden die SSIDs im Standard als "Beacon" von den APs gebroadcastet - unverschlüsselt! Könnte man also auch genausogut eine nette, unauffällige Leuchtreklame "Hier ist ein WLAN" aufs Dach stellen.

 

Authentication Mode - "shared" oder "open": Open heisst dass sich jeder anmelden kann, egal mit welcher SSID und welchem WEP-Key.

 

Die MAC-Adressen der WLAN-Karten können als zusätzliches Sicherheitsmerkmal in den APs hinterlegt werden, nur hinterlegte MACs dürfen sich anmelden.

 

Wenn man das WLAN einigermassen sicher machen will ist da halt ein Massnahmenbündel angesagt:

 

- Authentication auf "shared" setzen.

 

- Nur 128er WEP-Keys verwenden. Die Keys nicht-trivial wählen, 0101010101010101... oder deadbeef.... geht zwar, das sind aber Klassiker die jeder Hacker mit Berufsehre kennt, ausserdem braucht Kryptographie den Zufall, Musterwiederholung oder triviale Bitmuster machen dem Hacker das Leben leicht. Wenn der Access-Point Key-Rotation kann dann nutzt dieses Feature (wenn die Clients das auch können). Bei Key-Rotation switchen die WLAN-Teilnehmer automatisch / zyklisch zwischen max. vier Keys - wenn das vier sehr unterschiedliche Keys sind hat der Kollege im Auto vor dem Haus mit seinem Sniffer viel Freude.

 

- Eine SSID setzen, die nicht so wählen dass aus der SSID auf Betreiber oder Standort geschlossen werden kann - die SSID wird eh nur benötigt wenn man die Verbindung in der Clientsoftware konfiguriert

 

- Den SSID-Beacon AUSSCHALTEN ("Leuchtreklame"). Einige "Hackertools" erkennen ein WLAN nur dann wenn Beacons in der Luft sind - kein Beacon kein Netz und der Hacker fährt weiter. Der Beacon ist für die Authentifizierung unwichtig, die SSID muss ja sowieso in der Clientkonfiguration hinterlegt werden.

 

- MAC-Adressen sollten auf den APs hinterlegt werden. Wenn MAC-Adressen auch nicht das hammermässige Sicherheitsfeature sind sorgen sie vielleicht doch dafür dass einige pubertierende Scriptkiddies nicht auf euer Netz kommen.

 

- DHCP - Administrators Liebling: Auch so eine Sache die einem "das Leben leichter" machen sollen. Was Euch das Leben leichter macht macht auch dem Hacker das Leben leichter, alles was dem Hacker das Leben leichter macht ist abzuschalten.

 

Natürlich kann man immer zwischen LAN und WLAN eine Firewall stellen und VPN konfigurieren - das dann bitte auch nur zusätzlich zu einem "richtig" konfigurierten WLAN.

 

Schaut Euch die WLAN-Komponenten an bevor Ihr sie kauft und lasst den Billigschrott aus Asien gleich im Laden. Sicherheit UND sparen verträgt sich nicht. Gute Adressen sind z.B. Cisco, Proxim, Symbol (in alphabetischer Reihenfolge). Das Mindeste sollten sein echtes 128 Bit WEP mit Key-Rotation. Cisco z.B. kann das - und zusätzlich noch RADIUS und LEAP (zertifikatsbasierende Authentifizierung) - und viele Karten von Markenherstellern unterstützen mittlerweile auch Cisco LEAP. Bei den Markenherstellern kann man sich auch drauf verlassen dass man neue Sicherheitsstandards per Softwareupdate nachrüsten kann.

 

Gute APs - wie z.B. die Cisco 12xx - schreiben ein Log mit, da kann man ab und zu mal einen Blick reinwerfen ob da "fremde" MAC-Adressen auftauchen oder abgelehnte Anmeldungen.

 

In grossen Infrastrukturen sollte man über ein zentrales Management nachdenken, da hat jeder bessere Hersteller was im Angebot und es gibt auch einige 3rd-Party-Lösungen. Mit einem zentralen Management stellt man einerseits sicher dass alle APs "richtig" Konfiguriert sind und normalerweise schlagen diese lösungen auch sofort Alarm wenn jemand versucht ins Netz reinzukommen oder wenn plötzlich "fremde" APs oder Clients im Netzbereich auftauchen.

 

Gruss

Markus

Link zu diesem Kommentar
Original geschrieben von Wildi

OK, so gesehen hast Du recht das es viel arbeit ist. Jedoch kann ich mit nem WLAN wo ich drauf bin auch so schon viel anfangen. z.B. ich nutze den Internetanschluss des betreffenden WLAN Besitzers. Dafür brauch ich in der Regel, wenn nicht evtl. ein Proxy den Zugang regelt, keine Kennwörter.

 

Und das Einzige was nun gefährlich ist, ist das dieser Hacker evtl. illegale Sachen über meinen Account ins Internet macht. Dann liegt wie schon gesagt der schwarze Peter bei Dir. Denn Du bist dann in diesem Moment der Provider für diese Person. [/b]

 

Danke für die ausführliche Antwort.

 

Also mit meiner Ansicht das WEP releativ sicher ist, hast du mich bestätigt.

 

Gibt es denn jetzt noch ne Möglichkeit das der Hacker nicht mein Internet benutzen kann?

 

Ich stelle mir das ja so vor, er steht jetzt ja VOR dem AD und dem Netzzugriff. In einem kleinen Netz müsste es doch möglichkeiten geben, das ich den Router so einstellen kann, das er nur bestimmten AD Mitgliedern zugriff gestattet oder das ich den zugriff nur bestimmten MAC Adressen gestatte, oder?

 

In meinem Router kann ich feste ip und Mac eintragen jeweils in einer include und einmal in einer exclude anweisung.

 

dann müsste doch wirklich nur noch james the hackergott himself da reinkommen????

 

schöne pfingsten newbie

Link zu diesem Kommentar

In meinem Router kann ich feste ip und Mac eintragen jeweils in einer include und einmal in einer exclude anweisung.

 

dann müsste doch wirklich nur noch james the hackergott himself da reinkommen????

 

schöne pfingsten newbie

 

Es ist nicht schwer die MAC Addi zu verändern. Und wenn man dein Netzwerk abhört (verschlüsselt oder unverschlüsselt) dann erfahr ich welche MAC zugelassen sein müssen ( und die IP natürlich auch)

 

Mit dem richtigen Programmen kein Hexenwerk.

 

Gruß Temp

Link zu diesem Kommentar
Original geschrieben von Temp

Es ist nicht schwer die MAC Addi zu verändern. Und wenn man dein Netzwerk abhört (verschlüsselt oder unverschlüsselt) dann erfahr ich welche MAC zugelassen sein müssen ( und die IP natürlich auch)

 

Mit dem richtigen Programmen kein Hexenwerk.

 

Gruß Temp

 

Ja, und wer hat so ein Programm? Jedes Scripptkiddi oder muss das schon ein Profi sein? Für einProfi bin ich mit meinem Netzwerk uninteressant, ein Scripptkiddi das eine sportlichen Erfolg sucht, dem ist es ja egal wo er hackt.

 

Bye the way ich bin im 4. Stock, gehen die Strahlen da bis runter? (Ist ne ernsthafte Frage, hatte noch nie ein WIFI)

 

newbie

Link zu diesem Kommentar

Nu geht's aber rund mit Hack und Security :)

 

Was Blacky da geschrieben hat ist sehr sinnvoll. Nach meiner Einschätzung ist ein WLAN 'relativ' sicher, wenn man die Standardfeatures gesamt und sinnvoll einsetzt.

 

Es kommt halt immer darauf an was man in seinem Netzwerk macht. Bin ich die streng geheime Entwiklungsfirma, würde ich wohl vollständige auf WLAN verzichten.

 

Bin ich ein Privatnutzer oder ein Unternehmen, wo mir zwar meine Daten wihtig sind, jedoch bei Verlust nicht meinen Ruin ausmachen, kann ich doch ein WLAN jederzeit einsetzen. Natürlich mit dem richtigen Sicherheitsbewusstsein vorausgesetzt.

 

Wir könnten jetzt hier Endlosdiskussionen durchführen, welche Zusatzsicherheit noch sinnvoll ist, wie schnell diese geknackt wird, wie einfach man an jenes Programm zum Entschlüsseln ran kommt usw.

 

Das führt doch zu nichts.

 

Was man mit WLAN an maximaler Sicherheit herstellen kann und ohne weitere Zusatzkosten, ist

 

Sinnvolle SSID

SSID Broadcast aus (aber vorsicht, manche Hersteller kommen damit nicht immer klar)

Anständigen 128Bit WEP (bei a-Standard sogar 152Bit)

Authentifizierung immer auf 'shared' (Muss bei den meisten Herstellern sogar, wenn WEP aktiv ist)

MAC Filter

 

wer es hat:

 

WPA Verschlüsselung (aber auch hier, nicht jeder Hersteller kann das)

 

Jede Spekulation jetzt noch Zusatzsicherheit einzubauen (VPN, SSH, Firewall usw.) ist jederzeit möglich aber hat doch mit dem eigentlichen Thema des Thread's nichts mehr zu tun.

 

Betrachtet das ganze engstirnig. Also nur das WLAN. Und darum geht es ja hier im Thread

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.




×
×
  • Neu erstellen...