Jump to content

Sicherheit im W-LAN (Eure Meinung)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Wie sicher ist WEP Eurer Meinung nach?  

498 Stimmen

  1. 1. Wie sicher ist WEP Eurer Meinung nach?

    • Völlig unsicher. Würde auf jeden Fall weitere Sicherheit herstellen
      152
    • Für nicht sensible Daten reicht WEP völlig aus
      303
    • WEP ist ein sehr guter Schutz. Würde ich selbst bei Sicherheitsrelevanten Daten einsetzen
      38
    • WEP ist absolut sicher. Vertraue ihm so sehr, dass ich sogar geheime Daten drüber schicken würde
      5


Empfohlene Beiträge

Hi,

 

ich denke, dass man ein WLAN ausreichend sicher gestalten kann. Bei mir zu Hause werkelt ein AP mit folgenden Einstellungen:

 

Mac-Address Table - nur explizit eingegebene WLAN Karten können connecten

WEP256 (DLink)

kein SSID Broadcast

 

außerdem ist der AP nicht permanent eingeschaltet. Sprich der Server läuft zwar durch, der Rest der Netzwerkhardware (Switch, DSL Router, WLAN AP) ist nur dann eingeschaltet wenn der Kram benötigt wird (spart Strom und Geräusch - mein Arbeitszimmer ist ja schließlich kein Serverraum ;)

 

Ich denke für WLan-Hacker gibt es interessantere Ziele als den AP einer Privatperson.

 

cu und gutes neues Jahr

Link zu diesem Kommentar
  • 4 Wochen später...

Sotalla, hier kommt mein versprochener Bericht über W-LAN. Danke R-T, dass Du mich nochmal erinnert hast.

 

Ich beziehe mich hier ausschließlich auf a, b und g Standard. Ausserdem nur WI-FI (Wireless Fidility). Alles was von WI-FI abweicht, insbesondere Zusatz-Sicherheitsaspekte betrachte ich mal nicht.

 

FACTS:

 

a-Standard: 5GHz/50mW 54MBit/s

b-Standard: 2,4GHz/50mW 11MBit/s

g-Standard: 2,4GHz/50mW 54MBit/s

 

WI-FI: SSID-Broadcast, MAC-Blocking, WEP 64/128 (152Bit nur zusätzlich bei a-Standard)

 

MEINE ERFAHRUNG UND MEINUNG:

 

Welcher Standard ist der Beste:

 

Der a-Standard ist ja wohl eher ein Flop. Ziemlich zeitgleich erschien der Standard zusammen mit g. Anfangs als das Maß aller Dinge gepriesen, stellt man hier sehr schnell fest, dass die Stabilität der Geschwindigkeit sehr schnell in die Knie geht. Überwiegend liegt das daran, dass bei gleichbleibender Sendeleistung (bzgl. b und g) allerdings die Frequenz wesentlich höher ist. Hochfrequenz ist ja immer so eine Sache. Faustregel allerdings: Je höher die Frequenz, umso störanfälliger ist das ausgesandte Signal. Kompensiert kann das nur durch höhere Leistung werden. Da der a-Standard jedoch mit gleicher Leistung sendet wie b und g, ist der a-Standard wesentlich störempfindlicher.

Man wird sehr schnell feststellen, dass das herunterstepen der Übertragungsgeschwindigkeit im a-Standard viel eher passiert, wie in den anderen Standards. Die 54MBit/s stepen schon nach etwa 4m Entfernung im selben Raum auf 48MBit/s. Ausserhalb des Raumes waren es nur noch 24MBit/s und bei geschlossener Holztür noch etwa 11MBit/s. Im Gebäude war nach rund 25m Schicht im Schacht.

 

b und g Standard. b 11MBit/s, g 54MBit/s. Will man auf verhältnismässig großer Reichweite eine stabile Geschwindigkeit, gerade dann, wenn man sich bei der Kommunikation bewegt, empfehle ich den b-Standard. Beim g-Standard erreicht man die 54MBit/s nur in unmittelbarer Reichweite des Access Points. Auch die anderen 'Zwischengeschwindigkeiten' bis 16MBit/s gehen sehr schnell in die Knie, so dass ca. nach 15m Radius um den AP auch nur noch 11MBit/s erreicht werden. Danach verhält sich der g-Standard völlig identisch wie der b-Standard.

 

Vorteil von g: Er ist mit b-Standard vollkommen kompatibel und man hat auf den 1. 15m wesentlich höhere Geschwindigkeiten wie bei b

 

Nachteil von g: Wird in einem g Netzwerk nur eine Einzige b Karte betrieben, arbeitet das gesamte g Netz wie ein b Netz. Das liegt daran, dass der b Standard von der Modulationsart des g-Standards völlig abweicht. Wird also ein g-AP ausschließlich mit g-Karten betrieben, arbeitet alles im g-Standard. Fügt man nun einen Client mit einer b-Karte hinzu, verhält sich das ganze Netz wie ein b-Netz.

 

Also, welcher Standard ist nun der Beste? Ich betrachte den a-Standard als flop. Der g-Standard steht preislich dem b-Standard nichts mehr nach. Durch den Geschwindigkeitsvorteil der 1. paar Meter würde ich den g-Standard empfehlen.

 

Heissgeliebtes Thema - Strahlung (Elektrosmog):

 

Dieses Thema ist sehr heikel. Ich persönlich stelle mich auf die Seite der Gruppe, die sagt, was uns nicht umbringt, macht uns nur härter. Nun, im Zeitalter von Handy, Richtfunk, Satellitentechnik, Rundfunk usw. werden wir von soviel EMV angeblasen, dass die 50mW wirklich nicht mehr viel ausmachen. Nur mal das Handy als Beispiel. Die Antenne direkt an der Birne und mit knapp nem GHz und ca. 2 Watt Strahlung halte ich für wesentlich gefährlicher als bei 2,4 (5) GHz mit 50mW, die nicht direkt an die Birne knallen. Dieses Thema könnte man nun philosophieren bis zum erbrechen.

Link zu diesem Kommentar

Reichweite:

 

Bedingt durch die gesetzlichen Auflagen, dürfen wir im Consumermarkt nur mit 50mW herumspielen. Bis vor kurzem gab es noch die Auflage, dass die Antennen Rundstrahlantennen sein müssen und fest montiert sein müssen. Hersteller, die abnehmbare Antennen an ihren AP's hatten, hatten sich somit eigentlich bei uns in einer Grauzone befunden. Denn das Fernmeldegesetz besagte, dass Geräte mit abnehmbaren Antennen die Möglichkeit von Richtfunk bieten, was wiederum nur durch geschultes Fachpersonal installiert werden darf und somit einer Anmeldung bedarf. Endlich haben die Gesetzeshüter aber eingesehen, dass 50mW wirklich lächerlich sind und abnehmbare Antennen-Geräte somit nicht unter dieses Richtfunkgesetz fallen. Sofern die Leistung der Geräte nicht z.B. durch Booster erhöht wird.

 

Was ist überhaupt Richtfunk? Wie der Name schon sagt, gerichteter Funk. Rundantennen geben ihre Leistung im Umkreis von 360 Grad verteilt ab. Eine Richtfunkantenne gibt die Leistung im idealsten Fall nur auf 8 Grad ab. Es versteht sich wohl von selbst, dass eine Antenne, die eine Leistung von 50mW im Umkreis von 360 Grad nicht so gute Reichweite hat wie eine Antenne mit einer Ausstrahlung von 8 Grad (Stichwort: Gebündelt). Ein Beispiel ist das Licht. Eine Taschenlampe strahlt ziemlich breitgefächert Licht ab. Eine Lampe mit 5 Watt schafft dabei vielleicht eine Reichweite von 5 Meter. Ein Laser hat einen gebündelten Lichtstrahl von rund einem Milimeter bei gerade 10mW und kommt damit einige 100 Meter. Genauso verhält sich Rundfunkstrahlung. Unsere Gesetzeshüter haben das Richtfunkgesetz eingeführt, weil Richtfunk natürlich auch gefährlicher ist als Rundsenden. Aber bei besagten 50mW ist selbst Richtfunk eher lächerlich bzgl. der Gefahr. Die Reichweitenangaben der Hersteller auf der Verpackung des W-LAN sind immer mit 360 Grad austritt angegeben. Allerdings sind diese Angaben eher Utopie.

 

Selbsttest der Reichweiten (b-Standard):

 

Doppelhaus (wenig Stahlbeton und Holztüren) AP im Keller, ca. Mitte des Gebäudes.

11MBit/s im gesamten Keller und im gesamten Erdgeschoss.

11MBit/s - 5,5MBit/s im gesamten 1. Stock

5,5MBit/s im gesamten 2. Stock und im Speicher

2MBit/s im Speicher ganz rechts und ganz links.

 

Im Bürokomplex (Stahlbeton und Metalltüren) AP in der Mitte des Kellers. Das Gebäude ist etwa so groß wie ein Doppelhaus

11MBit/s - 5,5MBit/s im Keller

5,5MBit/s - 1Mbit/s im Erdgeschoss

1MBit/s im 1. Stock, ziemlich genau über dem AP

 

Im Freien (Könnt ihr euch überhaupt vorstellen, wie doof das ausgesehen hat? Wildi mit AP und Autobatterie bewaffnet mitten auf nem Feld)

11MBit/s ca 50m vom AP weg

5,5MBit/s ca. 100m vom AP

Danach kamen Häuser und Bäume sodas der Verbindungsabriss nach ca. 10 weiteren Metern kam.

 

Grundsätzlich zur Übertragungsgeschwindigkeit:

 

Ausgehend von 11MBit/s. Man hat die 11 nie. Netto betrachtet gibts im Idealfall rund 7MBit/s. Das aber nur dann, wenn nur eine Karte vom AP bedient wird. Denn alle Clients teilen sich die Gesamtgeschwindigkeit (ähnlich HUB Verhalten). Warum aber nur ca. max. 7MBit/s? Anders wie beim Kabel LAN muss WLAN immer wieder handlen ob der Client noch vorhanden ist und in welcher Qualität er vorhanden ist. Das Verbrät die rund 4MBit/s.

 

Jetzt wird's spannend - Sicherheit:

 

Grundsätzlich empfehle ich immer die WEP Verschlüsselung zu aktivieren. Da es sich hierbei um eine Hardwareverschlüsselung handelt hat man kaum bis gar keine Geschwindigkeitseinbusse.

 

Warum gibt es verschieden hohe Sicherheitsstufen? Also 64/128 und bei a sogar 152Bit Verschlüsselung?

In Amerika war bis vor ca. 2 Jahren eine Verschlüsselung über 64 Bit verboten. Mir wurde mal zugetragen, dass das da sogar unter das Waffengesetz fiel. Keine Ahnung ob das stimmt. Nun ist aber die Verschlüsselungsstärke weltweit egal geworden. Ich empfehle im WLAN grundsätzlich die höchste Sicherheit von WEP Verschlüsselung.

Link zu diesem Kommentar

Medien Blah Blah über unsichere Verschlüsselung im WLAN gerechtfertigt?

 

Ich sage ganz klar NEIN!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Liest man mal einen Bericht über WLAN Sicherheit, stellt man sehr schnell fest, dass sich die meisten Berichte auf meine Aussage im 1. Posting dieses Threads beziehen. Also, Auspacken - Anschliessen - geht!!!!!!!!!!!!!

Und genau darin sehe ich die Lücke. Die Hersteller machen es den Consumenten einfach zu leicht. Die Produkte werden im Default ausgeliefert. Keine Verschlüsselung, SSID auf Standardwert und ab die Post. Unbedarfte Kunden kaufen das Produkt und schimpfen sich dann Netzwerkguru, weil sie es doch tatsächlich geschafft haben ein LAN Kabel in den AP zu stecken und die Treiber der PCMCIA-Karte aufs Notebook geschafft haben. Weil natürlich ein DHCP Server im Hause steht sind sie auch gleich TCP/IP Profis. Neulich ein TV-Bericht bei Stern TV mit Günther Jauch. Zwei Jungs demonstrieren, wie unsicher WLAN ist. Packen einen Originalverpackten AP aus. Stecken in an einen Hub geben einer im Puplikum sitzenden Zuschauerin ein Notebook - schieben zuvor ne PCMCIA Karte rein und installieren den Treiber. Die Zuschauerin wurde angewiesen, Daten in eine Eingabemaske zu tippeln und die netten Jungs haben in kürzester Zeit demonstriert, wie leicht es doch ist, dass gerade eingegebene zu erschnüffeln. Alles Mist alles Schrott - so das Fazit. Aber, von möglichen Sicherheitsfeatures null die Rede.

 

Klar, eine Demonstration des Ganze über ein WEP Verschlüsseltes WLAN vorzuführen, hätte wohl auch den Rahmen der Sendezeit gesprengt.

 

Aber hay Leute - fair bleiben. !!!!!! So sollte man auch kein WLAN aufbauen.

 

WEP Verschlüsselung ist nicht sooooooooo unsicher, wie man behauptet. Das knacken geht überhaupt nur dann und egal ob 64/128/152Bit, wenn der WLAN Fluss durchgehend ist.

 

Bei einer 64Bit verschlüsselung bedeutet dass, natürlich auch abhängig von der Rechenleistung, dass wenn man ein WLAN findet, was tuschur senden würde das Knacken im Besten Fall nach ca. 3 Stunden erledigt ist.

 

Bei 128Bit sind es hingegen ca. 100 Stunden. Aber auch nur, wenn tuschur gesendet wird. Denn das ist eigentlich der Schwachpunkt von WEP. Bei jeder beginnenden Sendung wird mit dem Schlüssel neu begonnen.

 

Zeigt mir mal ein WLAN, dass wirklich tuschur sendet? Ausserdem ist nichts sicher.

 

Wer dem WEP nicht vertraut, der kann ja zusätzlich noch das MAC Blocking aktivieren. Hier wird dem AP gesagt, welche WLAN Client MAC überhaupt mit dem AP darf. Jetzt bin ich mir allerdings nicht ganz sicher, ob diese Sicherheit über das WEP läuft oder nicht.

 

Und wer selbst dem Braten nicht traut, der kann ja dann auch noch ein VPN erzeugen. Dann hat man aber die höchstmögliche Sicherheit.

 

So, und jetzt mag ich nimma. Das sollte auch reichen. Soviel zu meinen geistigen Ergüssen darüber.

 

Viel Spaß beim lesen

Roland

Link zu diesem Kommentar

Hi,

 

soweit ich das sehen konnte, habt ihr das Thema WPA Verschlüsselung noch gar nicht behandelt. Das ist der Nachfolger zu WEP und ist um einiges sicherer.

 

Infos gibt es hier: http://www.golem.de/0311/28361.html

 

@ Wildi: Die Access Kontrolle der MAC Adressen hat mit der Verschlüsselung nichts zu tun bzw. erfolgt erst nachdem man am AP authentifiziert hat.

 

SSID Broadcast sollte übrigens auch ausgeschaltet werden.

 

Grüße,

 

zman

Link zu diesem Kommentar

@ Wildi

 

Nö, ich habe hier einen WLan Router, der mit WPA-TKIP und einer WLan Karte 802.11b wunderbar läuft. Firmware update beim Router und das war es auch schon. Das ist wunderbar abwärtskompatibel. Für WInXP gibt es einen Patch, damit es WPA unterstüzt. (http://support.microsoft.com/?kbid=826942)

 

Siehe auch hier: http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_QA_german.pdf

Link zu diesem Kommentar

Ne, das ist schon klar. Aber WPA ist eben noch nicht WI-FI Konform (siehe dein Skript - Frage 3). Einige Hersteller bieten zwar Firmware dafür an, aber eben nicht alle.

 

Ich geb Dir da vollkommen recht. Es gibt noch jede Menge Sicherheitsfeatures für WLAN. Aber wenn sie nicht untereinander und für ALLE kompatibel sind und eben noch kein 100% verabschiedeter Standard sind, dann ist das für Firmennetzwerke nicht ganz interessant.

 

Hab ja eingangs geschrieben, es geht um den reinen Standard. ABer WPA wird sicher bald verabschiedet und dann ist's bei jedem Verfügbar. Das sollte dann das Sicherheitsloch von WEP entgültig stopfen und die Mäuler der Medienfutzis auch :)

 

Bei meinem Firmennetzwerk läuft auch WLAN. Ich hab allerdings auch jede Menge nicht WI-FI kompatible Funktionen am laufen. Das sollte man aber dann beim Zukauf von weiteren Produkten beachten. z.B. habe ich, nicht Wi-Fi kompatibel:

 

WPA, SSID Broadcast deaktiv

Link zu diesem Kommentar
  • 3 Monate später...

Kennt eigentlich jemand die Software, die ca vor 1.5 Jahren erschien, bei der man einen Rechner von einer CD bootet, ein paar einstellungen vornimmt und man diesen REchner als AP nutzen kann?? War bie Heise mal ein Thema. Der Rechner ist dann als Arbeitscomputer nicht mehr zu gebrauchen.

 

Ich hab jetzt vor einen alten Laptop mit Wlan Karte auszustatten, diese bootfähige CD einzulegen und diesen dann als AP zu nutzen.

 

Mir fehlen nur Erfahrungsberichte....

 

Micha

Link zu diesem Kommentar

Hallo,

 

damit Du besser hilfe bekommst, wäre ein neuer Thread von Vorteil.

 

Ich hab so'n Teil schon mal gesehen. Finde ich aber nicht wirklich prikelnd. Du verwendest dafür ja trotzdem ne Clientkarte. Und die ist von der Performance nicht so berauschend wie ein echter AP.

 

Außerdem, bei den Preisen, was heute ein AP kostet würde ich solche SPielereien nicht wirklich einsetzen. Vor 1 1/2 Jahren war es evtl. noch sinnvoll, weil da die AP's noch richtig Schotter gekostet haben.

 

Sorry, den Namen von der Software weiß ich nicht.

Link zu diesem Kommentar

WEB-Verschlüsselung, egal wie sicher, ist innerhalb kürzester Zeit auszuhebeln. Die MAC-Sperre deiner Router/Management-Switchs usw. kann man mit einem ganz primitivem Linux innerhalb von einer Minute umgehen (Traffic mitsniffen, Virtuelles Interface mit gleicher MAC erstellen und los gehts :-) Insgesammt kann man innerhalb einer halben stunde ein 128BIT WEP verschlüsseltes WLan hacken. Und dann noch nen LogIn auf dem Server rausforcen und der hacker kann alles machen was er will.

 

Lösung: IPSec

 

Verschlüssele dein internes netz zusätzlich per IPSec und gib die Clientzertifikate manuel aus (wenn nicht viele Clients im Netz sind, geht das) ansonsten sicher die CA für deine Domäne ab.

 

Ich verwende zwar kein WLan, allerdings VPN-Tunnel. Da hat man in etwa die gleichen Probleme bezgl. der Sicherheit.

 

VPN-Lösung: VPN over Internet (N2N)

 

Gates: Manuel Kompiliertes Linux. minimaler kernel, Freeswan, openssl, L2TP

 

Der Primäre Tunnel wird per L2TP aufgebaut, anschließend ein weiterer IPSec Tunnel im L2TP Tunnel. Schlüsselstärke 4096Bit, Verschlüsselung 3DES+AES, schlüsseltausch per Chipdrive mit PIN Geschützter Prozessorkarte 16K.

Brauchte 7 Monate um die Technik soweit zu entwickeln.

Am ende beider Tunnel kommt Netfilter (IPTables) als Firewall zum einsatz. Vor dem VPN-Gate (von intern gesehen) liegt noch eine zweite Firewall. 5 IT-Sicherheitsfirmen haben es nicht geschaft das Teil zu hacken. löl.

 

Kosten des Systems: Hardware+Downloadzeit für aktuellen Linux-Kernel und die Arbeitszeit. Vernetzt 5 Außenstellen mit Firmensitz, läuft über T-DSL 1500 = 256KBit Symetrische Leitung. Am Hauptsitz haben wir ne 2MBit Sym. standleitung.

 

Das hat zwar nichts mit dem Thema am Hut, vieleicht kann man das ja im WLan ähnlich einsetzen.

Link zu diesem Kommentar

@datasearch,

 

kannst Du mir bitte per PN mitteilen, welches Tool Du verwendet hast, was eine 128Bit WEP in einer halben Stunde knackt?

 

Ich beschäftige mich sehr mit W-LAN und versuche auch immer wieder dieses ach so schnell zu knackende WEP Problem nach zu vollziehen.

 

Ich weiß, dass es eine nicht so ganz perfekte Verschlüsselung ist. Jedoch habe ich es in dieser Zeit noch nicht geschafft.

 

Bitte das Ganze als PN. Ich habe keine Lust, dass der Thred wegen Missachtung einer Boardregel geschlossen wird.

 

Selbstverständlich würde ich dann zur Erklärung mein Ergebnis (immer unter Beachtung der Regeln) hier reinposten.

Link zu diesem Kommentar

Mein Erfahrungsbericht:

 

Habe ein PDA neu bekommen mit eingebauter Wlanfunktion. (802.11b)

 

War ein Garantietausch bei Acer, weil mein n20 defekt war und die keine mehr hatten.

 

ich mag wlan wegen der strahlung nicht, daher habe ich mich erst über das unnütze zeugs geärgert.

 

ABER! Ich liebe ihn! ich hätte das ja nie geglaubt, aber du brauchst mit dem Teil nur spazieren gehen und maximal alle 500 meter kannst du dich per dhcp irgendwo in ein netz einloggen und deine mails abrufen und im internet surfen.

 

dazu ist nicht mal ein verbotenes programm nötig sondern nur ein doppelklick auf den angezeigten AP. Nach circa 10 sec. hast du einen funktionierenden LINK und kannst surfen. Ich finde das unglaublich. in der fussgängerzone könnte man durchgängig surfen, wenn nicht diese erneuten Verbindungsaufbauten notwendig wären.

 

Die grösste Unsicherheit bei Wlan ist die Dummheit der Leute!

 

von 10 netzen sind nur 2 bis 3 mit verschlüsselung

 

und nur ein einziges netz das ohne verschlüsselung funkt und ip und gateway dynamisch vergibt ist nicht nutzbar, trotz link. Warum weiss ich zwar noch nicht, denn das Teil ist erst 1 Woche alt.

 

Es ist echt unglaublich. Sogar eine Apotheke (hat das beste Netz mit über 80% Linkqualität auf der Strasse im Eiscafe, (die müssen entweder ein ausländisches Teil mit 5Watt haben oder Aussenantennen)).

 

Wie sind denn eure erfahrungen mit offenen netzen?

 

Stimmt es, das das sogar erlaubt ist über ein offenes Netz zu surfen und mails abzurufen, weil ja kein unerlaubter sondern ein erlaubter zugriff ist?

 

newbie

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.




×
×
  • Neu erstellen...