WLAN: Sicher durch "verstecken"?

elastico

Aktives Mitglied
Thread Starter
Dabei seit
25.08.2004
Beiträge
5.156
Reaktionspunkte
77
Hallo,

ich war heute mit meinem PowerBook bei meinem Schwiegervater. Der hat sich jetzt ein WLAN zum drahtlosen surfen in der Wohnung aufgebaut.
Wir wollten nun prüfen, ob sein WLAN auch sicher vor den Nachbarn ist. Er ist von der Sicherheit ziemlich überzeugt, das wollte ich dann mal prüfen.

Er hat ein Windows-Netzwerk. Der WLAN-Router ist von der Telekom (gehörte zum DSL-Angebot dazu). Er hat folgendes gemacht:
1.) ein Passwort hinterlegt (WEP, 128bit)
2.) "Netzwerk verstecken" gewählt (unterdrückt wohl die SSID)

Ich habe also mal das PowerBook gestartet und gewartet. Nichts. Ich habe keine Verbindung und bekomme auch keine Netze gezeigt.

Also habe ich mal "iStumbler" und auch mal "MacStumbler" gestartet und gewartet. Nichts. Kein Netz wird angezeigt.

Gegenprüfung: ein zweiter WLAN-Router (selbes Modell, aber noch nicht konfiguriert) wurde angeschlossen. Bingo! Sofort taucht ein "WLAN - offen" in den Stumbler-Programmen auf.

Meine Frage jetzt:
- ist das WLAN dort wirklich sicher, allein dadurch, dass es versteckt ist?

Ich bin nun wirklich nicht der WLAN-Crack und habe besseres zu tun als mit aufgeklapptem Notebook durch die Innenstadt zu rennen um stolz wie Oskar eine Mail über fremde Netze zu versenden.
Ich möchte hier wirklich nur sicherstellen, dass das Netz dort sicher ist bzw. ausloten, wie "unsicher" es dennoch ist. Es ist für meinen Schwiegervater und mich also eine Art Lernprozess um einschätzen zu können, wo die Risiken eines solchen Netzes liegen.

Wenn sich hier also jemand wirklich gut mit diesen Dingen auskennt: ich würde mich über Statements freuen.
Falls es nun die Forum-Regeln verletzt andere Programme zu "empfehlen", dann bitte per PN Kontakt aufnehmen - ich möchte hier niemanden auf krumme Gedanken bringen - aber wie soll man die Sicherheit prüfen, wenn nicht mit denselben Tools wie die "bösen"?

Wer jetzt glaubt, dass ich im großen Stil wardriven will, der möge sein Fenster bitte gleich schließen und sich einen Kommentar ersparen! Wer mich kennt der weiß, dass ich nun wirklich besseres zu tun habe.

Also schon mal vielen Dank für konstruktive Hinweise zum Thema WLAN-Sicherheit und wie man sie möglichst lückenlos prüfen kann.
DANKE!!
 
Also ich bin zwar auch kein Crack, aber das sieht doch schon mal einigermaßen sicher aus. Zusätzlich kann man aber noch die MAC-Adressen der benutzten WLAN Karten im Router eintragen und den Filter aktivieren. Zwar gibt es Tools mit denen potentielle Hacker ihre eigene MAC Adresse ändern können, aber je schwieriger man es einem macht, desto besser.
Falls die WLAN Karten Deines Schwiegervaters das leisten, kann man auch die bessere WPA Verschlüsseleung einschalten. Da wird der Schlüssel in einstellbaren Zeitabständen autark geändert.
Deine Frage, ob das ausgeschaltete Broadcasting ein Erschnüffeln eines WLAN Netzwerkes oder sogar der SSID ermöglicht, würde mich allerdings auch mal interessieren.
 
Verstecken bringt überhaupt kein Plus an Sicherheit (das WLAN funkt genauso durch die Luft), genausowenig das Einschränken auf bestimmte MAC-Adressen (die können gefälscht werden). Aus diesem Grund nutze ich keine der beiden Möglichkeiten.
Stattdessen verschlüssle ich mit einem langen WPA-Key. Jemand der wirklich in das Netz will überwindet die beiden ersten Möglichkeiten ohnehin schneller als man schauen kann und um die Nachbarn abzuhalten reicht WPA dicke aus.
 
Zuletzt bearbeitet:
Eine Sicherheit auf die beiden Punkte zu begrenzen ist nicht sinnvoll.

Es sind Eckpunkte des gesamten Konzeptes und erschweren einem Eindringling seine Arbeit.

Hier mal einige Punkte, je nach Router vorhanden oder auch nicht :)

* Zugang begrenzen über MAC
* SSID verstecken
* WEP-Verschlüsselung, besser ist WPA mit hoher Verschlüsselung
* VPN-Verbindung im WLAN
* Authentifizierung über 802.1x/WPA (wer's kann :) )
* Authentifizierung über PKI
* Radius-Server im Hintergrund

Das sind einige Punkte, es wird bestimmt Router geben, die mehr oder weniger können, der private Nutzer muss sich aber die Frage stellen, wie sicher will ich mein Netzwerk gestallten? Hier im Haus sind drei WLANs, zwei sind offen wie ein Scheunentor.

Wenn das lokale Netzwerk an sich sicher gestalltet werden soll, ist die Sicherheit im WLAN unumgänglich.
 
schon mal danke für die weiteren Infos.
WPA geht leider nicht (wird nicht unterstützt)

Dass das Netz auch ohne SSID durch die Gegend funkt ist schon klar - aber ich war erstaunt, dass es die stumbler nicht anzeigen! Ich hatte erwartet das Netz trotzdem zu sehen (eben ohne Namen) - Ich hatte nicht gedacht, dass diese Tools (die ja wohl auch zum driven benutzt werden?) diese Netze nicht anzeigen.
Sollte es wirklich so einfach sein das Netz vor neugierigen Blicken zu schützen?
Oder hatte ich die falschen Tools zum prüfen? (z.B. weil die netten Entwickler das Netz zwar finden würden, es aber dem User nicht zeigen weil es ja versteckt sein soll)
Welche Software hätte mir das Netz gezeigt? Ich würde gerne beim nächsten Besuch ein wenig mehr "zeigen" können (u.a. eben auch um ein besseres Gefühl zu vermitteln - entweder dafür, wie sicher es ist, oder eben dafür, was noch getan werden muss)

Welche Nachteile handele ich mir eigentlich ein durch das verstecken der SSID?
 
Also ich denke dass sowohl verstecken als auch die Mac Adressen Verschlüsselung was bringt.

Gründe:
- Dass man Mac Adressen fälschen kann ist mir bewusst, aber woher soll derjenige der sie fälscht wissen, welche Mac Adressen freigegeben sind?

- Beim Verstecken dasselbe: Ohne SSID kein Zugang zum WLAN Netz. Und wenn ich die SSID dann auch noch ausgefallen wähle passt alles. Wir haben an der FH ein WLAN Netz, welches eine geschätzte Reichweite von 500 oder 600 Metern hat und an einer T3 Leitung hängt (also ein interessantes WLAN :D) Dieses Netzwerk ist nur durch Verstecken und Mac Adressen Verschlüsselung geschützt.

Gruß
Artaxx
 
Zuletzt bearbeitet:
ah - der VLC konnte es auch abspielen.
Verdammt - das ist ja mega-interessant! VIELEN Dank für diesen Link! werde ich ihm direkt mal schicken!!!

Das bekloppte: KissMac hatte ich schon heruntergeladen. Ich hatte mich nur nicht getraut es zu installieren (will einen richtigen Installer starten - statt nur Drag&Drop)

damit werde ich dann nochmal zu ihm fahren. Das ist ja echt Hammer was man durch die Luft auslesen kann.

Mehr Infos? Immer her damit!!
 
huhu leute,

will ich auch mal nen bisschen von meinem halbwissen beisteuern. das mit der mac adresse ist doch unsicherer als ich gedacht hab. hab mich in den semesterferien mal spasshalber etwas mehr mit meinem ap beschaeftigt um mal zu sehen ob das knacken wirklich so einfach ist wie es in den hinz und kunz-pc zeitschriften geschrieben wird.
an die registrierten mac adressen kommt man relativ leicht, hierzu muss nur jemand ueber den ap surfen. ist dies der fall kann man den datenstrom per ethereal mitschneiden, in der ua. auch die mac adresse steht. ich meine das funktionierte sogar in wep netzen. diese laesst sich dann einfach per ifconfig (oder wars iwconfig?) auf die eigene karte setzen.
den ssid broadcast auszustellen ist auch nicht wirklich ein grosser sprung in sachen sicherheit. wenn ich hier am ibook den macstumbler starte sehe ich mein netz, allerdings mit <no ssid>. per airsnort oder kismet laesst sich diese aber - regen traffic ueber den ap voraus gesetzt - auch relativ schnell herausfinden.
der wepkey laesst sich auch durch das mitsniffen von einigen hunderttausend pakete erledigen, ich habs allerdings nach ein paar stunden aufgegeben da ich - trotz kontinuierlichem traffic ueber meinen ap - bei weitem nicht genuegend pakete zusammen bekommen hab.
in meinen augen ist mein netz also fuer mich sicher genug :)

gruesse,

tobias
 
hm - also der MacStumbler hat das Netz nicht angezeigt! Das hatte mich ja auch sehr verwundert.

KissMac hab ich jetzt mal installiert (0.12a). Aber leider will das mit der "Airport extreme" im PowerBook nicht so richtig gut. Hängt sich schnell auf. Und läuft nur im "active"-Modus der wohl nicht alle Funktionen bietet.
 
@Artaxx: Das Zauberwort heißt Sniffer (z.B. KisMAC) und passiver Modus der WLAN-Karte. Diese Programme lauschen einfach ob irgendjemand etwas durch die Gegend funkt. Dabei erfahren sie dann sowohl die SSID als auch die MAC-Adressen. Als Schutz völlig unbrauchbar, höchsten vor dem Nachbarn, der selber DAU genug ist, sein WLAN offen zu betreiben. Man handelt sich eigentlich nur Nachteile ein.
 
@Koma
Kann ich auch nur bestätigen. Für einen Laien ist der WEPKey nur mit extremen Material-, und Arbeitsaufwand zu knacken. Das lohnt sich nur für Profis die an geheime Forschungs-, und Firmendaten ranwollen. Ich denke, dass der Normaluser nicht mit so einer geballten Angriffskraft rechnen braucht und die Firmen die es betrifft, werden schon wissen wie man sich schützen muss...
 
Zuletzt bearbeitet:
elastico schrieb:
schon mal danke für die weiteren Infos.
WPA geht leider nicht (wird nicht unterstützt)
Ist das das aktuelle DSL-Modem/Router aus dem Komplettangebot von T-Online? Mit nur einem Ethernetport? Habe nem Kollegen das Teil eingerichtet und mich gewundert, dass nur WEP möglich ist... werde mal nachschauen, ob ein Upgrade auf WPA möglich ist... ansonsten kann ich diesen Router echt nicht empfehlen.
 
@macmeikel: ja, das müsste es sein. Aber selbst wenn der Router es könnte, sein Notebook (ein älteres Compaq) kann es nicht.

Inzwischen weiß ich, dass KisMac nicht passiv läuft (auf der "extreme") weil die Sourcen/Infos zur Extreme nicht offen liegen. Schon blöd.

Da muss ich dann mal gucken nach einer Software für das Windows-Notebook. Vielleicht gibt es da eine "passiv"-Software zum vorführen.
 
macsurfer schrieb:
@Koma
Kann ich auch nur bestätigen. Für einen Laien ist der WEPKey nur mit extremen Material-, und Arbeitsaufwand zu knacken.
Ähm hast Du schon einmal Kismet bzw. KisMAC gesehen? Das ist ein Menüpunkt.
attachment.php

Der Aufwand besteht also darin zu warten bis die 500 MiB bzw. 1 GiB an Daten zusammen gekommen sind. Das ist für Dich ein extremer Material und Arbeitsaufwand?

Pingu
 

Anhänge

  • kismac.jpg
    kismac.jpg
    7,8 KB · Aufrufe: 519
elastico schrieb:
Inzwischen weiß ich, dass KisMac nicht passiv läuft (auf der "extreme") weil die Sourcen/Infos zur Extreme nicht offen liegen. Schon blöd.
Eine 3com PC-Card sollte es tun bzw. Linksys oder so heißen die ja jetzt. Oder eben Kismet unter Linux. Den KisMAC ist ja "nur" der Mac-Port von Kismet.

Pingu
 
@Pingu: auf dem X40 läuft aber WinXP :) und auf dem PowerMac liegt es eben an den fehlenden Dokus zur "Extreme".

Nun habe ich das 12" PB, und da hilft mir auch keine PC-Card (die ich sogar noch hätte - von Netgear).

Müsste es nicht auch mit USB-WLAN funktionieren? Da gibt es doch auch verschiedene Modelle... ist nur die Frage, welche von KisMAC unterstützt werden.
 
elastico schrieb:
....

KissMac hab ich jetzt mal installiert (0.12a). Aber leider will das mit der "Airport extreme" im PowerBook nicht so richtig gut. Hängt sich schnell auf. Und läuft nur im "active"-Modus der wohl nicht alle Funktionen bietet.

nimm eine niedrigere version, dann gehts ;)
 
Zurück
Oben Unten