WLAN: Sicher durch "verstecken"?

cilly schrieb:
Ich frage mich immer, warum die meisten Benutzer zwar Ihr WLAN absichern, aber dann die Emails im Klartext verschicken und sich sogar gegenüber den Mailservern über unsichere Verbindungen einloggen... Irgendwie stimmt das Sicherheitsempfinden nicht...
In meinen e-mails steht nichts wirklich wichtiges drin ;)

Wenn aber einer KiPoXXXs über mein WLan verteilt, könnte ich ganz schnell ein dickes Problem haben...

Snoop
 
cilly schrieb:
Ich frage mich immer, warum die meisten Benutzer zwar Ihr WLAN absichern, aber dann die Emails im Klartext verschicken und sich sogar gegenüber den Mailservern über unsichere Verbindungen einloggen... Irgendwie stimmt das Sicherheitsempfinden nicht...

Du schreibst mir aus der Seele. Wobei nicht nur der Absender verschlüsseln sollte, sondern der Empfänger gleichfalls arbeiten sollte.

Zumindest ist bei verschiedenen Anbietern die Web-Oberfläche verschlüsselt (siehe web.de). Mit dem Hintergrdanke schaue ich auch erst bei web.de online nach Emails :)
 
SirSalomon schrieb:
Er kann zwar die Einstellung per Software vorgegeben bekommen, ob er dann aber die Sendeleistung verringert, habe ich seiner Zeit nicht feststellen können.

Den Nachteil, den ich bei einer umgeschriebenen Firmware sehe, liegt in dem Umfeld, dass ich nicht weiß, was da passiert. Somit kann ich auch keinem die Verantwortung übertragen. Schließlich sagt selbst Linksys, dass die Verwendung einer solchen Firmware die Verantwortung beim User liegt.

Bei Routern mit closedSource Firmware ist das einfacher.

Stell Dir vor, Du kannst die Sendeleistung nicht nur per Software verringern, sondern auch erhöhen. Wo ist dann schluß? Und wenn die Firmware auf Opensource basierd, kann ich das oberste Level eventuell sogar bis zum physikalischen Maximum anheben? Folgeschäden sind vorprogrammiert.

Wobei ich kein Verfechter von Opensource bin...

gut, rechtssicherheit benötige ich hier zu hause nicht. beim kunden ist das natürlich ein ko-kriterium. da setze ich aber auch keinen linksys ein (wenn überhaupt wlan) ;)
der ist nur für mich zu hause zum frickeln, da ich mir professionelle geräte zu hause nicht leisten kann und will.

auch das erhöhen der sendeleistung ist möglich. ich habe das allerdings noch nicht getestet, da mein router mein gesamtes grundstück auch so versorgt. dass das erhöhen von sendeleistung aber mittelfristig den physikalischen defekt nach sich zieht ist im linuxbereich lange bekannt. daher würd ich das auch nicht empfehlen, selbst wenns möglich ist. (sollte ja dank unix unterbau auch mit osx und der aiport karte möglich sein)
 
Ich habe den WRT raus geschmissen, da er mir ständig abgestürzt war und die DHCP-Zuweisung nicht richtig hinbekommen hat. Firewall war auch so ein Problem.

Seit her habe ich einen Draytek und bin hoch zufrieden...
 
cilly schrieb:
Ich frage mich immer, warum die meisten Benutzer zwar Ihr WLAN absichern, aber dann die Emails im Klartext verschicken und sich sogar gegenüber den Mailservern über unsichere Verbindungen einloggen... Irgendwie stimmt das Sicherheitsempfinden nicht...

Gute Argumentation! Ich baue immer eine verschlüsselte Verbindung auf, wenn ich mich mit meinem Mailserver verbinde.

Gruss,
 
Zuletzt bearbeitet:
Jazz_Rabbit schrieb:
Gute Argumentation! Ich baue immer eine verschlüsselte Leitung auf, wenn ich mich mit meinem Mailserver verbinde.

Gruss,

naja, da ist schon ein unterschied. bei standard pop3/smtp können zwar meine mails mitgelesen werden, da ich sie aber sowieso als postkarte sehe, tangiert mich das periphär. wenn aber jemand in meinem lokalen netz ist, kann er nicht nur meine mails lesen, sondern auch problemlos in meinem namen verschicken, wenn ich t-online habe oder meine shares durchsuchen usw. und was noch schlimmer ist, er kann in meinem namen (mit meine IP) im netz surfen, downloaden, whatever. (bsp: backdoors, ddos, spamserver, warezftp, keylogger... (wenn w32 im spiel))

wobei ich den sinn verschlüsselten verkehrs mit mailservern nicht in frage stelle, ich finde nur die argumentation etwas reisserisch.
 
Zuletzt bearbeitet:
hustinettenbär schrieb:
und was noch schlimmer ist, er kann in meinem namen (mit meine IP) im netz surfen, downloaden, whatever.

Wobei sich das relativ einfach unterbinden läßt, wenn es denn der Router unterstützt.

Stelle die Firewall vom Router so ein, dass nur bestimmte IP-Adresse (resp. ein Teilnetz) Zugriff auf das Internet haben. Alle anderen sind davon ausgenommen und werden geblockt.
 
SirSalomon schrieb:
Wobei sich das relativ einfach unterbinden läßt, wenn es denn der Router unterstützt.

Stelle die Firewall vom Router so ein, dass nur bestimmte IP-Adresse (resp. ein Teilnetz) Zugriff auf das Internet haben. Alle anderen sind davon ausgenommen und werden geblockt.

gute idee, hab ich allerdings AFAIK noch bei keinem soho router gesehen, der das bietet (aber ehrlichgesagt auch noch nicht danach gesucht).
leider hat das ganze aber auch wieder eine schwäche, denn ins lan kommt der eindringling ja trotzdem, er kann lediglich nicht surfen. dann könnte er das web-/telnetinterface des routers knacken und die sperre aufheben. oder sich eine ip in der nähe der benutzten ips geben, die chance, dass die zum freigegebenen bereich gehört, ist gross. nebenbei dürften nicht immer alle berechtigten ips online sein.

zugegeben, alles mehr oder weniger thoretische spinnerei :D
 
hustinettenbär schrieb:
gute idee, hab ich allerdings AFAIK noch bei keinem soho router gesehen, der das bietet (aber ehrlichgesagt auch noch nicht danach gesucht).

Der Draytek Vigor 2900G hat diese Option :D

leider hat das ganze aber auch wieder eine schwäche, denn ins lan kommt der eindringling ja trotzdem, er kann lediglich nicht surfen. dann könnte er das

Er kann nicht in's lokale Netz kommen. Basierend auf der Annahme, dass der MAC-Filter aktiv ist, die SSID versteckt, passiert erstmal nichts.

Kein Broadcast im WLAN, keine IP-Zuweisung. Wenn Du dann noch die IP-Adresse manuell vergibst, passiert nichts weiter.

web-/telnetinterface des routers knacken und die sperre aufheben. oder sich eine ip in der nähe der benutzten ips geben, die chance, dass die zum freigegebenen bereich gehört, ist gross.

Fällt bedingt aus, da er ja keinen IP-Adressbereich kennt.

nebenbei dürften nicht immer alle berechtigten ips online sein.

zugegeben, alles mehr oder weniger thoretische spinnerei :D

Selbst wenn nicht alle IP-Adressen online sind, spielt das keine so wichtige Rolle. Für ein wenig Sicherheit im Netz ist grundsätzlich mehr nötig.

Wenn Du NETBeui, das WINS, und andere Windows - Spezifische Dinge deaktivierst, passiert nichts. Kein WINS-Broadcast, kein Netzwerkname.

Die lokalen Rechner solltest Du eh gesondert "behandeln", schließlich ist ein Book ja auch mal dafür da, um es an einem anderen Ort zu verwenden :D
 
SirSalomon schrieb:
Du bringst im Grunde immer wieder Variablen ein, die die Sache vom Prinziep her nicht betreffen. Im ersten Ansatz hattest Du von Deinem Nachbarn gesprochen, dann waren es 500 Meter und jetzt kommt er aus der anderen Ecke Deutschlands.

Ich glaube wir reden aneinander vorbei. Mir geht es darum, dass es der Radius-Server auf dem Router die Sicherheit des WLANs nicht zwangsläufig untergräbt, denn wenn der Angreifer den Router über das Internet in seine Gewalt bringt, ist es sehr wahrscheinlich, dass er so weit entfernt ist, dass er niemals in die Nähe des WLANs kommen wird.

SirSalomon schrieb:
Die IP Deines Router heraus zu bekommen, ist eines der kleineren Probleme, dafür gibt es IP-Sniffer. Habe ich die IP, dann kann ich ein whois starten und sehe, was das für eine IP ist, bzw. welcher Domainname sich dahinter verbirgt.

Wenn Du die IP-Adresse bereits kennst, kannst Du den Router ansprechen, ohne die Domäne zu wissen. Aber zum eigentlichen Problem:

Mein Router hat zwei IP-Adressen, die öffentliche im Internet und die private im lokalen Netz. Um den Router über das WLAN zu knacken müsste man im WLAN sein, was ja aufgrund der Verschlüsselung erst mal nicht möglich ist. Also bleibt nur der Weg über das Internet. Hierzu brauche ich aber die öffentliche IP-Adresse des Routers. Die taucht aber im Verkehr des WLANs gar nicht auf. Habe es gerade mit Ethereal ausprobiert. Ich sehe nur meine eigene Adresse, die entfernte Adressen und die interne Adresse meines Router bei DNS-Anfragen oder wenn er als Proxy genutzt wird. Die öffentliche Adresse des Routers ist in keinem Paket angezeigt worden. Woher soll der Angreifer also wissen, wie er meinen Router über das Internet ansprechen kann um ihn zu hacken?

Nachdem was ich bisher gelesen habe greift die WPA-Verschlüsselung auf Schicht zwei im OSI-Model. Das würde bedeuten, dass Du im WLAN ohnehin niemals eine IP-Adresse im Klartext sehen wirst.

SirSalomon schrieb:
Dann ein Portscan auf die IP-Adresse und ich sehe, dass Dein Router die Ports entsprechend behandelt. Somit weiß ich, dass ein Radius dahinter steckt. Ein Radius-Server zeigt mit gleichzeitig, dass eine verschlüsselte Authentifizierung erfolgt.

Einen Portscan auf welche Adresse? Die öffentliche, vom Internet aus, die du nicht wissen kannst, da sie nicht im WLAN auftaucht und die Du, selbst wenn sie auftauchen werden würde, aufgrund der Verschlüsselung gar nicht sehen würdest? Hättest Du die Adresse trotzdem, woher auch immer, würde der Portscan schießlich an der Firewall abgewiesen werden.

Oder einen Portscan auf die private Adresse über das WLAN, was allerdings nicht möglich ist, da du ja nicht in das WLAN darfst. Oder übersehe ich hier etwas?

SirSalomon schrieb:
Ein Portscan wird auf eine IP-Adresse angesetzt. Damit kann ich z.B. bei vielen Routern verhindern, dass sie auflegen, falls eine Idle-Time eingestellt ist.

Zudem gibt mir der Portscan die Sicherheit, dass Dein Router reagiert und Dein lokales Netzwerk online bleibt. Somit ist auch Dein WLAN online und bietet sich mir an.

Ich weiß was ein Portscan ist und wozu man ihn braucht. Ich verstehe nur nicht, aus den oben genannten Punkten, wie Du ihn nutzen willst! Aber wie schon geschrieben, vielleicht habe ich ja etwas übersehen.
 
Im Grunde hast weder Du noch ich etwas übersehen.

Wir sollten das mal bei einem Kaffee besprechen und austesten :)

So langsam verliere ich den Überblick :D
 
Jazz_Rabbit schrieb:
Was ist für Dich ein 08/15 PSK?

Ein Schlüssel der leicht zu erraten ist, also 1. sehr kurz und 2. nicht zufällig. Ein kurzer Vorname wäre z.B. ein 08/15 key.

Jazz_Rabbit schrieb:
Sag mal liest irgendwer richtig mit?
Ich hab geschrieben, was man im Falle WEP tun kann um ein wenig mehr
Sicherheit zu erzielen. Dass das nicht der allumfassende Schutz ist weiss
ich selber.

Und ich habe geschrieben, dass das "wenig mehr" bei genauer Betrachtung nicht wirklich was bringt und durch den Einsatz der Verschlüsselung überflüssig ist.

Jazz_Rabbit schrieb:
Welche AP's wären das, wo man die Sendeleistung per Software
hinunter regeln kann? Meiner kann das nicht, da muss ich mir anders
behelfen.

LinkSys WAP54G mit third party firmware. Will man einen AP der das von Haus aus kann, z.B. Cisco Aironet, die kosten dann aber deutlich mehr.
 
SirSalomon schrieb:
Im Grunde hast weder Du noch ich etwas übersehen.

Wir sollten das mal bei einem Kaffee besprechen und austesten :)

So langsam verliere ich den Überblick :D

Wann und Wo? :D würde ich ja auch interessieren
 
Da ich das "Ding" angestoßen habe, mache ich mal den Vorschlag und sammel einfach mal. Vielleicht finden sich noch weitere und wir können daraus ein "Workshop" machen...

Ort : Dresden
Zeit : weit nach Ostern, Ende April / Anfang Mai
Für Übernachtungen kann gesorgt werden. Die Hotels sind nicht teuer.

Rahmenprogramm wird entsprechend formuliert und ausgearbeitet.
 
Dresden sind für mich ~3h einfache Fahrt :)

Göttingen, Hannover, ... wäre zentraler ;)
Zeit: nicht im Mai '05 (voll ausgebucht)
 
Zurück
Oben Unten