WEP wirklich unbrauchbar? |
Willkommen, Gast ( Anmelden | Registrierung )
WEP wirklich unbrauchbar? |
Gast_df7nw01_* |
20.04.2004, 21:45
Beitrag
#1
|
Gäste |
Hallo.
Ich habe diverse Artikel gefunden, aus denen hervorgeht, dass WEP-Verschlüsselung nicht sicher ist. Ich habe mir jetzt grade meinen D-Link-Router mit WLAN-Access Point gekauft, ist der jetzt unsicher und ich sollte ihn gegen einen VPN-Gateway tauschen? Oder gibt es andere Möglichkeiten, mein Netz sicher zu machen? Danke Stefan |
|
|
21.04.2004, 05:08
Beitrag
#2
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
WEP ist wenn man genug Datenverkehr sammelt relativ leicht knackbar, deswegen sollte man die Schluessel bei wichtigen Daten mehrmals am Tag rotierend wechseln.
Ansonsten solltest du noch unbedint die SSID selbst definieren und nicht ueber broadcast raussenden, zudem noch die MAC Adressen, der geraete eingeben, die zugriff haben und alle anderen blockieren. -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
Gast_Witti_* |
21.04.2004, 07:20
Beitrag
#3
|
Gäste |
WEP bietet wie die meißten Sicherheitssysteme keine 100% Schutz. Allzu leicht knackbar ist es auch nicht und mit einigem Zeitaufwand verbunden. 99,9% der Wardriver die Dein Netzt entdecken, wird es aber raushalten, wage ich zu behaupten.
Bevor Du Dir über den WEP-Key Sorgen machst, solltest Du die bereits erwähnt Punkte beachten. Dazu kommt natürlich noch die Änderung des Passworts des WLAN-Routers. |
|
|
21.04.2004, 11:04
Beitrag
#4
|
|
Virenreporter Gruppe: Freunde Beiträge: 4.077 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 6 Betriebssystem: Win XP Virenscanner: KAV |
QUOTE(Witti @ 21. April 2004, 08:19) WEP bietet wie die meißten Sicherheitssysteme keine 100% Schutz. Allzu leicht knackbar ist es auch nicht und mit einigem Zeitaufwand verbunden. 99,9% der Wardriver die Dein Netzt entdecken, wird es aber raushalten, wage ich zu behaupten. Dem kann ich voll zustimmen JFK -------------------- Statt zu klagen, dass wir nicht alles haben was wir wollen, sollten wir lieber dankbar sein, dass wir nicht alles bekommen, was wir verdienen
|
|
|
21.04.2004, 15:33
Beitrag
#5
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Ich nicht....habe mich in der Szene mal umgeschaut.
Auf vielen Internet Wardriving Seiten waren Tools wie WepCrack usw. zum downloaden. Denke das in der Szene das praktisch jeder mit dabei hat. Es haelt sicherlich das Scriptkiddie von nebenan fern, doch die echten WarDriver ganz sicherlich nicht. -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
21.04.2004, 16:02
Beitrag
#6
|
|
Gehört zum Inventar Gruppe: Freunde Beiträge: 3.252 Mitglied seit: 21.04.2003 Mitglieds-Nr.: 51 |
Die ersten Wardriver wollen aber sich auch keine privaten Netze knacken sondern eher in Firmen und so weiter, oder nicht?
Björn |
|
|
Gast_Witti_* |
21.04.2004, 18:22
Beitrag
#7
|
Gäste |
Echte War-Driver knacken überhaupt gar keine Netze. Die kartieren fleißig und freuen sich über offene Netze zwecks Online-Verbindung.
|
|
|
Gast_df7nw01_* |
21.04.2004, 18:50
Beitrag
#8
|
Threadersteller Gäste |
Also ich hab mir sagen lassen, dass die SSID ohnehin alle paar Minuten ausgestrahlt wird, und es von daher egal ist, wie man sie nennt, habe aber dennoch nicht den Standard-Wert gelassen. Ob sie gebroadcastet wird kann ich nicht einstellen bei dem D-Link Router, kann das sein?
Ansonsten hab ich alphanumerische WEP-Keys per Zufallsgenerator erstellt (256 Bit) und den MAC-Adressen-Filter eingeschaltet. Würde es denn was bringen, den DHCP-Range auf zwei IPs einzugrenzen, damit nur maximal meine beiden Rechner eine IP bekommen und andere Rechner außen vor bleiben oder geht das so nicht? Oder sollte ich den DHCP ganz abschalten, die IPs manuell vergeben und den IP-Filter einschalten? Ich denke in Verbindung mit WEP UND dem MAC-Filter sollte das doch schon einige Sicherheit bieten, oder? Weil dann müsste ein Intruder schon MAC-Adersse, IP und WEP spoofen, um reinzukommen, und ob sich das bei nem privaten Netz rentiert, ich weiß net... Der Beitrag wurde von df7nw01 bearbeitet: 21.04.2004, 18:57 |
|
|
Gast_Mommel_* |
21.04.2004, 19:24
Beitrag
#9
|
Gäste |
Also ich habe alle drei Möglichkeiten ausgenutzt, viel Arbeit ist es ja nicht...
Der Beitrag wurde von Mommel bearbeitet: 21.04.2004, 19:24 |
|
|
21.04.2004, 19:53
Beitrag
#10
|
|
Virenreporter Gruppe: Freunde Beiträge: 4.077 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 6 Betriebssystem: Win XP Virenscanner: KAV |
QUOTE df7nw01,21. April 2004, 19:49 Oder sollte ich den DHCP ganz abschalten, die IPs manuell vergeben und den IP-Filter einschalten? Das wäre das Beste QUOTE Weil dann müsste ein Intruder schon MAC-Adersse, IP und WEP spoofen, um reinzukommen, und ob sich das bei nem privaten Netz rentiert, ich weiß net... Würde mich mal interessieren wie ein Router mit eingeschalteten MAC Filter reagiert, wenn zwei Teilnehmer mit gleicher Mac Adresse im Netz arbeiten wollen JFK -------------------- Statt zu klagen, dass wir nicht alles haben was wir wollen, sollten wir lieber dankbar sein, dass wir nicht alles bekommen, was wir verdienen
|
|
|
21.04.2004, 20:23
Beitrag
#11
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.234 Mitglied seit: 08.12.2003 Mitglieds-Nr.: 261 Betriebssystem: WinXP SP3 Virenscanner: KAV 2009 |
Interessantes Thema.
Ich habe bei mir die WEP-Verschlüsselung eingeschaltet (128/104 Bit), die Mac-Adressen-Filterung eingeschaltet und den IP-Range auf 3 IPs begrenzt. Ich habe minimal zwei und maximal drei PCs am Router hängen. Außerdem wohne ich auf dem Dorfe. Nen Wardriver würde hier etwas auffallen. Selbst ein Nachbar mit einer Richtantenne müsste sich etwas anstrengen; die Reichweite meines Routers ist eher begrenzt Ach ja, das WEP-Passwort wechsle ich trotzdem ab und zu. Der meiste Traffic fällt eh über Kabel an. Gruß! MyThinkTank -------------------- |
|
|
Gast_NETELLIGENT_* |
27.04.2004, 04:40
Beitrag
#12
|
Gäste |
ein bissl spät, but
QUOTE Ich habe diverse Artikel gefunden, aus denen hervorgeht, dass WEP-Verschlüsselung nicht sicher ist. WLAN ist allgemein unsicher, WEP ist kein Witz sondern "war" eine Unverschämtheit. Der Kommentar der drei Crypto-Spezis die das entdeckt haben war glaube ich im Sinne von: "der Kerl der das verzapft hat, war sicherlich nur bei jeder 10ten Kryptographie-Vorlesung anwesend". Wer mehr zu diesem Thema wissen will, dem empfehle ich mal einen Blick in das folgende Whitepaper von Cisco. Das räumt auch mit den Voodo-(Sicherheits)-Empfehlungen bzgl. hide SSID, MAC-Filter, shared-key-auth auf bzw. lässt wenigstens erkennen das diese Feature "nicht" als "wirkliche" Sicherheitsfeature herhalten können. Seite: h##p://www.cisco.com/anz/channels/pnr/simplycisco/wireless/security.shtml Whitepaper: A Comprehensive Review of 802.11 Wireless LAN Security and the Cisco Wireless Security Suite h##p://www.cisco.com/anz/channels/pnr/simplycisco/pdf/wireless_security_WP.pdf QUOTE Ich habe mir jetzt grade meinen D-Link-Router mit WLAN-Access Point gekauft, ist der jetzt unsicher und ich sollte ihn gegen einen VPN-Gateway tauschen? tausch ihn zumindest gegen einen Router der "schon jetzt" (und nicht erst mit *future firmware release) WPA unterstützt. VLAN wäre natürlich noch besser (A system using 128 Bit WEP thinks its secure. A system using 0 bit WEP uses IPSec* and actually is.), kostet aber sicherlich ein paar Euro mehr (mal abgesehen von subventionierten Drayteks (2500WE) oder ZyXEL (650HW-37/660HW-67). Also als noch erschwingliche VPN-WLAN-"Router" mal die Draytek´s 2500WE u. 2900G sowie Zyxel Prestige 650HW-37 u. 653HW/I ansehen. Die ermöglichen VPN/IPSec zwischen Router/AP und WLAN-Client. Ein attraktiver Access-Point (auch Point-to-Point/Muli-Point-Bridge / Repeater) ist der B-3000 von ZyXEL der auch WPA und VLAN bietet, den G-Nachfolger gibt es allerdings noch nicht. Vernünftige Geräte bieten auch Log-file oder Warnungen.Ansonsten Cisco und Orinoco AP´s mit dynamischen-WEP-Keys, ist allerdings preislich wohl nicht so ganz das was der Soho-User sucht QUOTE Oder gibt es andere Möglichkeiten, mein Netz sicher zu machen? nein nicht wirklich, wenn dein Router Radius-Weiterleitung und dynamische WEP-Keys ermöglichen würde (was er sicherlich nicht tut) und du einen Windows oder Linux Server im Netzwerk hättest, dann könntest du EAP TLS, TTLS, PEAP oder MS-CHAP/PAP, LDAP, etc. und/oder Zertifikate einsetzen. Nette Sache für Linux z.B.: free-radius mit Open-SSL ... vom Aufwand aber doch eher etwas für Firmen. Mal zum ausprobieren z.B. winradiusAnsonsten kauf einen zweiten NAT-Router oder schalte eine Firewall (z.B. linux box) zwischen WLAN und LAN und bilde so ein screened subnet. Das macht den WLAN-Zugang zwar nicht sicherer, dafür ist das trennen der Netze sicherlich die sicherste Möglichkeit dein LAN vor Zugriffen zu schützen (natürlich auch vor den gewollten). Soviel Aufwand ist nötig: Weakness of WEP h##p://www.sans.org/rr/papers/68/149.pdf How to Hack Wi-Fi in 90 Minutes h##p://www.oreillynet.com/pub/a/wireless/excerpt/wirlsshacks_chap1/?page=last&x-order=date Using the Fluhrer, Mantin, and Shamir Attack to Break WEP h##p://www.isoc.org/isoc/conferences/ndss/02/proceedings/papers/stubbl.pdf Ähnlich dem Hack Wi-Fi nur in deutsch z.B.: h##p://www.it-academy.cc/content/article_browse.php?ID=593 persönliche Meinung: wer privat die bereits genannten "Schein-Sicherheits-Feature" nutzt, nicht wirklich viele Daten über WLAN verschiebt und ab und an den Key wechselt für den sollte WEP auch in Zukunft noch völlig ausreichen. Die netstumbler hält man sicherlich draussen. Alles andere ist nur eine Frage der Zeit und des Aufwand. Der eine verschiebt ein paar GB Daten in ein paar Minuten, der andere nicht in einem Monat. persönliche Erfahrung: meist machen sich die falschen Leute sorgen um ihre WLan-Sicherheit ... fahrt mal in ein(en) Industriegebiet/park ... da braucht man kein Kismet ... nur Karma Gruss NETELLIGENT |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 05.06.2024, 07:33 |