Druckversion des Themas

Geschrieben von: df7nw01 20.04.2004, 21:45

Hallo.

Ich habe diverse Artikel gefunden, aus denen hervorgeht, dass WEP-Verschlüsselung nicht sicher ist.
Ich habe mir jetzt grade meinen D-Link-Router mit WLAN-Access Point gekauft, ist der jetzt unsicher und ich sollte ihn gegen einen VPN-Gateway tauschen?
Oder gibt es andere Möglichkeiten, mein Netz sicher zu machen?

Danke

Stefan

Geschrieben von: Remover 21.04.2004, 05:08

WEP ist wenn man genug Datenverkehr sammelt relativ leicht knackbar, deswegen sollte man die Schluessel bei wichtigen Daten mehrmals am Tag rotierend wechseln.
Ansonsten solltest du noch unbedint die SSID selbst definieren und nicht
ueber broadcast raussenden, zudem noch die MAC Adressen, der geraete
eingeben, die zugriff haben und alle anderen blockieren.

Geschrieben von: Witti 21.04.2004, 07:20

WEP bietet wie die meißten Sicherheitssysteme keine 100% Schutz. Allzu leicht knackbar ist es auch nicht und mit einigem Zeitaufwand verbunden. 99,9% der Wardriver die Dein Netzt entdecken, wird es aber raushalten, wage ich zu behaupten.

Bevor Du Dir über den WEP-Key Sorgen machst, solltest Du die bereits erwähnt Punkte beachten. Dazu kommt natürlich noch die Änderung des Passworts des WLAN-Routers.

Geschrieben von: JFK 21.04.2004, 11:04

Dem kann ich voll zustimmen

JFK

Geschrieben von: Remover 21.04.2004, 15:33

Ich nicht....habe mich in der Szene mal umgeschaut.
Auf vielen Internet Wardriving Seiten waren Tools wie WepCrack usw. zum downloaden.
Denke das in der Szene das praktisch jeder mit dabei hat.

Es haelt sicherlich das Scriptkiddie von nebenan fern, doch die echten WarDriver
ganz sicherlich nicht.

Geschrieben von: Lucky 21.04.2004, 16:02

Die ersten Wardriver wollen aber sich auch keine privaten Netze knacken sondern eher in Firmen und so weiter, oder nicht?

Björn

Geschrieben von: Witti 21.04.2004, 18:22

Echte War-Driver knacken überhaupt gar keine Netze. Die kartieren fleißig und freuen sich über offene Netze zwecks Online-Verbindung.

Geschrieben von: df7nw01 21.04.2004, 18:50

Also ich hab mir sagen lassen, dass die SSID ohnehin alle paar Minuten ausgestrahlt wird, und es von daher egal ist, wie man sie nennt, habe aber dennoch nicht den Standard-Wert gelassen. Ob sie gebroadcastet wird kann ich nicht einstellen bei dem D-Link Router, kann das sein?
Ansonsten hab ich alphanumerische WEP-Keys per Zufallsgenerator erstellt (256 Bit) und den MAC-Adressen-Filter eingeschaltet.
Würde es denn was bringen, den DHCP-Range auf zwei IPs einzugrenzen, damit nur maximal meine beiden Rechner eine IP bekommen und andere Rechner außen vor bleiben oder geht das so nicht?
Oder sollte ich den DHCP ganz abschalten, die IPs manuell vergeben und den IP-Filter einschalten? Ich denke in Verbindung mit WEP UND dem MAC-Filter sollte das doch schon einige Sicherheit bieten, oder? Weil dann müsste ein Intruder schon MAC-Adersse, IP und WEP spoofen, um reinzukommen, und ob sich das bei nem privaten Netz rentiert, ich weiß net...

Geschrieben von: Mommel 21.04.2004, 19:24

Also ich habe alle drei Möglichkeiten ausgenutzt, viel Arbeit ist es ja nicht...

Geschrieben von: JFK 21.04.2004, 19:53

Das wäre das Beste
Würde mich mal interessieren wie ein Router mit eingeschalteten MAC Filter reagiert, wenn zwei Teilnehmer mit gleicher Mac Adresse im Netz arbeiten wollen

JFK

Geschrieben von: MyThinkTank 21.04.2004, 20:23

Interessantes Thema.

Ich habe bei mir die WEP-Verschlüsselung eingeschaltet (128/104 Bit), die Mac-Adressen-Filterung eingeschaltet und den IP-Range auf 3 IPs begrenzt. Ich habe minimal zwei und maximal drei PCs am Router hängen.

Außerdem wohne ich auf dem Dorfe. Nen Wardriver würde hier etwas auffallen. Selbst ein Nachbar mit einer Richtantenne müsste sich etwas anstrengen; die Reichweite meines Routers ist eher begrenzt

Ach ja, das WEP-Passwort wechsle ich trotzdem ab und zu. Der meiste Traffic fällt eh über Kabel an.

Gruß!
MyThinkTank

Geschrieben von: NETELLIGENT 27.04.2004, 04:40

ein bissl spät, but

WLAN ist allgemein unsicher, WEP ist kein Witz sondern "war" eine Unverschämtheit. Der Kommentar der drei Crypto-Spezis die das entdeckt haben war glaube ich im Sinne von: "der Kerl der das verzapft hat, war sicherlich nur bei jeder 10ten Kryptographie-Vorlesung anwesend". Wer mehr zu diesem Thema wissen will, dem empfehle ich mal einen Blick in das folgende Whitepaper von Cisco. Das räumt auch mit den Voodo-(Sicherheits)-Empfehlungen bzgl. hide SSID, MAC-Filter, shared-key-auth auf bzw. lässt wenigstens erkennen das diese Feature "nicht" als "wirkliche" Sicherheitsfeature herhalten können.
Seite:
h##p://www.cisco.com/anz/channels/pnr/simplycisco/wireless/security.shtml
Whitepaper:
A Comprehensive Review of 802.11 Wireless LAN Security and the Cisco Wireless Security Suite
h##p://www.cisco.com/anz/channels/pnr/simplycisco/pdf/wireless_security_WP.pdf

tausch ihn zumindest gegen einen Router der "schon jetzt" (und nicht erst mit *future firmware release) WPA unterstützt. VLAN wäre natürlich noch besser (A system using 128 Bit WEP thinks its secure. A system using 0 bit WEP uses IPSec* and actually is.), kostet aber sicherlich ein paar Euro mehr (mal abgesehen von subventionierten Drayteks (2500WE) oder ZyXEL (650HW-37/660HW-67). Also als noch erschwingliche VPN-WLAN-"Router" mal die Draytek´s 2500WE u. 2900G sowie Zyxel Prestige 650HW-37 u. 653HW/I ansehen. Die ermöglichen VPN/IPSec zwischen Router/AP und WLAN-Client. Ein attraktiver Access-Point (auch Point-to-Point/Muli-Point-Bridge / Repeater) ist der B-3000 von ZyXEL der auch WPA und VLAN bietet, den G-Nachfolger gibt es allerdings noch nicht. Vernünftige Geräte bieten auch Log-file oder Warnungen.
Ansonsten Cisco und Orinoco AP´s mit dynamischen-WEP-Keys, ist allerdings preislich wohl nicht so ganz das was der Soho-User sucht

nein nicht wirklich, wenn dein Router Radius-Weiterleitung und dynamische WEP-Keys ermöglichen würde (was er sicherlich nicht tut) und du einen Windows oder Linux Server im Netzwerk hättest, dann könntest du EAP TLS, TTLS, PEAP oder MS-CHAP/PAP, LDAP, etc. und/oder Zertifikate einsetzen. Nette Sache für Linux z.B.: free-radius mit Open-SSL ... vom Aufwand aber doch eher etwas für Firmen. Mal zum ausprobieren z.B. winradius
Ansonsten kauf einen zweiten NAT-Router oder schalte eine Firewall (z.B. linux box) zwischen WLAN und LAN und bilde so ein screened subnet. Das macht den WLAN-Zugang zwar nicht sicherer, dafür ist das trennen der Netze sicherlich die sicherste Möglichkeit dein LAN vor Zugriffen zu schützen (natürlich auch vor den gewollten).
Soviel Aufwand ist nötig:
Weakness of WEP
h##p://www.sans.org/rr/papers/68/149.pdf
How to Hack Wi-Fi in 90 Minutes
h##p://www.oreillynet.com/pub/a/wireless/excerpt/wirlsshacks_chap1/?page=last&x-order=date
Using the Fluhrer, Mantin, and Shamir Attack to Break WEP
h##p://www.isoc.org/isoc/conferences/ndss/02/proceedings/papers/stubbl.pdf
Ähnlich dem Hack Wi-Fi nur in deutsch z.B.:
h##p://www.it-academy.cc/content/article_browse.php?ID=593

persönliche Meinung: wer privat die bereits genannten "Schein-Sicherheits-Feature" nutzt, nicht wirklich viele Daten über WLAN verschiebt und ab und an den Key wechselt für den sollte WEP auch in Zukunft noch völlig ausreichen. Die netstumbler hält man sicherlich draussen. Alles andere ist nur eine Frage der Zeit und des Aufwand. Der eine verschiebt ein paar GB Daten in ein paar Minuten, der andere nicht in einem Monat.
persönliche Erfahrung: meist machen sich die falschen Leute sorgen um ihre WLan-Sicherheit ... fahrt mal in ein(en) Industriegebiet/park ... da braucht man kein Kismet ... nur Karma

Gruss
NETELLIGENT