WLAN: Sicher durch "verstecken"?

scharlor schrieb:
nimm eine niedrigere version, dann gehts ;)

Bitte? welche? 0.11b oder noch älter?
Warum steht auf der Seite, dass es mit der Extreme nicht geht? (oder meinst Du mit Version niedriger, dass ich die alte Airport-Karte nehmen soll - die habe ich ja nicht :))
 
Pingu schrieb:
Ähm hast Du schon einmal Kismet bzw. KisMAC gesehen? Das ist ein Menüpunkt.
attachment.php

Der Aufwand besteht also darin zu warten bis die 500 MiB bzw. 1 GiB an Daten zusammen gekommen sind. Das ist für Dich ein extremer Material und Arbeitsaufwand?

Pingu

Alles klar. Dann knackt doch bitte jemand so einen Router mal eben kurz zur Probe. Wenn das mit dem Programm so einfach ist, verkaufe ich sofort meinen Siemens WLAN Router. Der hat nämlich nur 128bit WEP und ich bildete mir ein sicher zu sein... Wer testet das mal aus? Hab leider momentan keinen WLAN USB Stick im mini...
 
Zuletzt bearbeitet:
@macsurfer: so etwas wollte ich bei meinem Schwiegervater eben testen!

Inzwischen weiß ich ja schon, dass ich dafür "passive" brauche. Habe gesehen, dass es von D-Link einen WLAN USB-Stick gibt der von OS-X unterstützt werden soll und KisMAC soll den auch im Passive-Mode betreiben können. kostet ~20,- - wir werden sehen. Ich benötige ja keine große Reichweite - bin ja im selben Zimmer wie der Router :D - ich will nur sehen, was möglich ist (mit vertretbarem Aufwand) und was nicht.

Er hat ja auch 128bit Verschlüsselung (WEP). Ich bin mal gespannt was er so alles über's netz reißen muss, bis der Schlüssel am Display auftaucht. - aber vermutlich werden wir das nicht stundenlang laufen lassen (haben ja noch andere Dinge zu tun) - aber interessieren tut mich das jetzt doch mal.

Evtl. werde ich mal mein eigenes Netz entsprechend konfigurieren, am anderen Notebook normal rumsurfen und gucken wie lange es dauert, bis der Mac sich mit einem Schlüssel meldet.

Ich finde diese Dinge wirklich spannend! Denn der CCC spricht immer davon, dass man eigentlich gar nicht erst schützen braucht, weil es ja eh alles sofort zu knacken ist (mal überspitzt formuliert). Die Frage ist nur: welches KnowHow und welcher Zeitaufwand ist für welche Maßnahmen nötig.

Der "wandelnde" sniffer wird keine Stunden an der Hauptstraße verbringen nur um eine Mail versenden zu können.
Der Nachbar jedoch hätte auch Wochenlang Zeit - von daher ist es schon spannend zu wissen was man tun kann, um sich zu schützen
 
macsurfer schrieb:
@Koma
Kann ich auch nur bestätigen. Für einen Laien ist der WEPKey nur mit extremen Material-, und Arbeitsaufwand zu knacken. Das lohnt sich nur für Profis die an geheime Forschungs-, und Firmendaten ranwollen. Ich denke, dass der Normaluser nicht mit so einer geballten Angriffskraft rechnen braucht und die Firmen die es betrifft, werden schon wissen wie man sich schützen muss...
Google mal nach Aircrack. Traffic in der Größenordnung von 1 GB kriegt man schon mit dem Download von einem iso-file zusammen. Also in ca. 3 Stunden über DSL. Wenn man das WLan auch als Lan nutzt, geht's noch deutlich schneller. Und dann ist mit Aircrack der WEP-Key in 5 Sekunden geknackt. Nix geballte Angriffskraft.

Seit ich Aircrack kenne, hat sich WEP für mich erledigt.

Snoop
 
elastico schrieb:
@macsurfer: so etwas wollte ich bei meinem Schwiegervater eben testen!

Inzwischen weiß ich ja schon, dass ich dafür "passive" brauche. Habe gesehen, dass es von D-Link einen WLAN USB-Stick gibt der von OS-X unterstützt werden soll und KisMAC soll den auch im Passive-Mode betreiben können. kostet ~20,- - wir werden sehen. Ich benötige ja keine große Reichweite - bin ja im selben Zimmer wie der Router :D - ich will nur sehen, was möglich ist (mit vertretbarem Aufwand) und was nicht.
Besorg' Dir Aircrack, das geht auch unter XP. Und ist AFAIK *viel* stärker als
Kismet und Co.
elastico schrieb:
Er hat ja auch 128bit Verschlüsselung (WEP). Ich bin mal gespannt was er so alles über's netz reißen muss, bis der Schlüssel am Display auftaucht. - aber vermutlich werden wir das nicht stundenlang laufen lassen (haben ja noch andere Dinge zu tun) - aber interessieren tut mich das jetzt doch mal.
Grob gesagt 500Mb bis 1Gb.
elastico schrieb:
Evtl. werde ich mal mein eigenes Netz entsprechend konfigurieren, am anderen Notebook normal rumsurfen und gucken wie lange es dauert, bis der Mac sich mit einem Schlüssel meldet.

Ich finde diese Dinge wirklich spannend! Denn der CCC spricht immer davon, dass man eigentlich gar nicht erst schützen braucht, weil es ja eh alles sofort zu knacken ist (mal überspitzt formuliert). Die Frage ist nur: welches KnowHow und welcher Zeitaufwand ist für welche Maßnahmen nötig.
eigentlich keines. Aircrack ist schön DAU-sicher. Zeitaufwand zwischen einer Viertelstunde und mehreren Tagen, je nach Traffic.
elastico schrieb:
Der "wandelnde" sniffer wird keine Stunden an der Hauptstraße verbringen nur um eine Mail versenden zu können.
Der Nachbar jedoch hätte auch Wochenlang Zeit - von daher ist es schon spannend zu wissen was man tun kann, um sich zu schützen
Letztlich nur WPA. WLan HW ohne sollte man IMHO in die Tonne kloppen.

Snoop
 
Artaxx schrieb:
Also ich denke dass sowohl verstecken als auch die Mac Adressen Verschlüsselung was bringt.

Gründe:
- Dass man Mac Adressen fälschen kann ist mir bewusst, aber woher soll derjenige der sie fälscht wissen, welche Mac Adressen freigegeben sind?

- Beim Verstecken dasselbe: Ohne SSID kein Zugang zum WLAN Netz. Und wenn ich die SSID dann auch noch ausgefallen wähle passt alles. Wir haben an der FH ein WLAN Netz, welches eine geschätzte Reichweite von 500 oder 600 Metern hat und an einer T3 Leitung hängt (also ein interessantes WLAN :D) Dieses Netzwerk ist nur durch Verstecken und Mac Adressen Verschlüsselung geschützt.

Gruß
Artaxx
Dir ist schon klar, dass bei einem unverschlüsselten WLan Mac-Adresse und SSID unverschlüsselt in jedem Paket drin sind? Zeitaufwand zum sniffen ca. 0,01 Sekunden....

Euer FH-WLan ist also faktisch ungeschützt.

Snoop
 
snoop69 schrieb:
Besorg' Dir Aircrack, das geht auch unter XP. Und ist AFAIK *viel* stärker als
Kismet und Co.

ich gucke mal. Das Problem ist nur:
Centrino wird nicht unterstützt
eine PC-Card hätte ich noch (müsste prüfen welcher Chipsatz) ABER: das ist ein Arbeitsgerät... mit WinXP... und Du weißt: da mag man nur ungern mit Treibern am System rumspielen :D

Deshalb warte ich mal den WLAN-Stick von D-Link ab. Damit soll es ja wohl mit KisMAC laufen.
Es wäre zwar auch lustig, wenn ich den Key knacken würde (so als Erfolgserlebnis für den Sieg über die Technik) - aber im Prinzip reicht es live zu sehen: "Es ist möglich"
(ein echter Wardriver hätte ja viel bessere Antennen und optimierte Software und viel mehr Erfahrung als ich)
 
Also KisMAC läuft (wie andere Tools auch) nicht im "passive-mode" mit der "Extreme". Das ist dokumentiert und liegt eben an der fehlenden Doku der WLAN-Karte seitens des Herstellers.

Aber die Versionen vor der 0.12 ranzen wenigstens nicht permanent ab ;)

Ich habe jetzt mal die 0.10 installiert. Und der D-Link USB-WLAN ist gestern auch gekommen. Siehe da. Damit läuft es im passive-mode und das ist echt interessant! Nun werde ich mal schauen, was man da so alles herauslesen kann.
 
Also ich hätte WPA, allerdings nur mit shared-key, was genau so sicher ist
als wenn ich WEP verwenden würde. Ich könnte ja ein RADIUS Server
aufsetzen, aber der Accesspoint gibt mir keinerlei Möglichkeit, den
anzugeben.

Das einzige, was man in dem Fall machen kann ist:

- MAC Adressen beschränken
- Broadcast ausschalten (Keine SSID schicken)
- 128-Bit key, den 2x Wöchentlich wechseln
- Kein Ad-Hoc, sondern Infrastructure-mode
- Nie grosse downloads über WLAN starten
- Antenne abschrauben (so, dass die Reichweite nur mehr noch für die Wohnung reicht.
- WLAN immer nur dann aufdrehen, wenn mans benötigt.

WLAN lässt sich leicht knacken.. es gibt einige tools dazu..
Z.B.: unter linux gibt es die linux-wireless-tools.. mit dabei ist
ein scan programm, womit man mitsniffen kann.

Wenn man einen Gateway hat, der auf UNIX basiert, sollte
man immer ein Auge auf das Programm 'arp' haben bzw.
ein Script damit schreiben, das auf unbekannte Mac-Adressen
reagiert. Zum überwachen kann man auch 'iptraf' oder diverse
Watchdog Applikationen nehmen. Am besten wär es natürlich,
über IPSec mit einem RADIUS Server zu fahren, um ins Internet
zu gelangen. Am besten auch noch verschlüsselt, entweder über
SSL oder MPPE via PPTP.

Es gibt viele Möglichkeiten, Script Kiddies aufzuhalten, allerdings
wahre Hacker kommen immer rein.. früher oder später.

Die Frage stellt sich auch: Wie interessant ist mein Netzwerk?
Wenn es eine Anwaltskanzlei, Bankinstitut, Unternehmensberatung,
Arztpraxis, usw. ist, würde ich diese Sicherheitsvorkehrungen auf
jedenfall treffen und WLAN nur dann einsetzen, wenn es absolut
nötig ist (Zum Beispiel weil es im Besprechungsraum kein LAN-Anschluss
gibt oder man hält sich mit dem Kunden im Gelände auf und muss
auf Firmeninterne Daten kurz zugreifen, etc.).
 
Zuletzt bearbeitet:
Jazz_Rabbit schrieb:
Also ich hätte WPA, allerdings nur mit shared-key, was genau so sicher ist
als wenn ich WEP verwenden würde. Ich könnte ja ein RADIUS Server
aufsetzen, aber der Accesspoint gibt mir keinerlei Möglichkeit, den
anzugeben.
Das stimmt nicht. WPA mit PSK ist nur unwesentlich unsicherer als mit einem Radius-Server. Der PSK wird nur für die erste Kontaktaufnahme zwischen NIC und AP genutzt, danach kommen zufällig generierte Schlüssel zum Einsatz, die in kurzen Intervallen ausgetauscht werden. Ausserdem ist z.B. mein PSK 20 alphanumerische Zeichen lang (d.h. 72^20), WEP hat nur 2^104 . Das ist ein Unterschied von 5 Zehnerpotenzen!
Jazz_Rabbit schrieb:
Das einzige, was man in dem Fall machen kann ist:

- MAC Adressen beschränken
bringt nichts.
Jazz_Rabbit schrieb:
- Broadcast ausschalten (Keine SSID schicken)
bringt genausowenig
Jazz_Rabbit schrieb:
- 128-Bit key, den 2x Wöchentlich wechseln
bringt ein bisschen was, ist aber super nervig. Eigentlich müsstest Du alle 200 MB den Key wechseln....

WPA ist wesentlich sicherer. Allerdings nur mit einem langen, zufälligen, alphanumerischen Passwort (wenn's der Router erlaubt noch mit Sonderzeichen).

Dann langt's IMHO für den privaten Bereich. Geschäftlich sollte man mittels VPN und extra Verschlüsselung arbeiten, drunter wäre IMHO fahrlässig....

Snoop
 
zum KisMAC: sammelt der die Packages automatisch oder muss ich das Protokollieren irgendwie anwerfen.

Ich habe heute mal in der Firme gehorcht und konnte unser WLAN problemlos sehen. Der Empfang war so extrem schlecht, dass ich dort nie einen Connect bekommen habe - trotzdem hat es zum "zuhören" gereicht. Interessant.
Allerdings ist das WLAN dort nur für einen Rechner am Empfangsbildschirm und somit fließen quasi kaum Daten - Ein "Angriff" lief also wg. zu wenig Daten ins leere - wieviele Daten braucht man denn um einen WEP-Schlüssel zu knacken (um es zu versuchen)? 200 MB wurde gesagt - aber wieviele Packages sind das? Und landen die beim sniffen alle auf dem Rechner?

Mein Schwiegervater jedenfalls guckte schon interessiert und meinte, dass er sich schon auf einen Test bei ihm zu Hause freut. Noch glaubt er mir nicht, dass ich sein WLAN nun sehen könnte - auch ohne SSID :)
 
@Jazz-Rabit:
WPA-PSK ist nicht WEP. Das ist falsch. Die verschlüsselung ist zwar die gleiche, bei WPA-PSK werden die Schlüssel für die Verschlüsselung aber ständig neu generiert, was das ganze wesentlich sicherer macht, sofern man keinen 08/15 PSK verwendet.

Und das mit dem SSID-Broadcast ausschalten, bzw. auf MAC-Adressen beschränken ist Unsinn. So einfach wie du hier tust ist es auch nicht WPA-PSK zu knacken. Jemand der das schafft, der lacht doch über deinen deaktivierten Broadcast oder über die MAC-Beschränkung. So einer hat diese Hürden schneller überwunden als du deinen PSK eingetippt hast.

Das mit den Antennen abschrauben ist auch witzig. Ein vernünftiger AP erlaubt es die Sendeleistung per Software zu regeln. Das andere ist doch nur Gefrickel.

Ich gebe dir aber recht, dass WPA über Radius besser ist als mit PSK. Am besten dann gleich mit AES.

Um meine Nachbarn auszusperren (die selber WLANs nutzen, die teilweise überhaupt nicht oder nur mit WEP verschlüsselt sind) reicht WPA-PSK und das, ohne dass ich fremde MAC-Adressen blockiere oder die SSID unterdrücke.
 
@cava

ich glaube Du solltest das etwas relativieren. Was willst Du vor wem schützen? So wie Du es selber geschrieben hast, ist WLAN nicht unbedingt für das Firmennetz geeignet. Eben wegen dem (für Firmen) schlechten Schutz.

Für den privaten Bereich ist aber der Umstand und Aufwand völlig ausreichend. Für den privaten reicht eben WPA mit PSK. Und auch SSID und MAC-Filter bietet für den privaten Bereich ein gewisser Schutz.

Wenn Du jetzt über den Einsatz im Firmenbereich sprichst, muß Du Dir selber die Frage stellen, ob Du eine solche Sicherheitslücke dulden willst. Selbst das BSI Grundschutzhandbuch sieht vom WLAN-Einsatz in Firmenumgebung ab...
 
@SirSalomon:

Ich arbeite in einem großen chemischen Betrieb und wir müssen WLAN für mobile Datenerfassungsgeräte einsetzen. Da kann das BSI schreiben was es will. An WLAN führt kein Weg vorbei. Oder sollen wir z.B. an unsere Stapler kilometerlange Kabel anbringen?
Ich selber betreue eine SAP R/3 Applikation die über Handscanner der Firma Symbol bedient wird. Hier nutzen wir natürlich kein WPA-PSK sondern WPA-TKIP Verschlüsselung in Verbindung mit dem LEAP Authentifizierungsverfahren. Mittelfristig werden wir allerdings auf PEAP und AES umsteigen. In der Firma würde ich auch kein WPA-PSK nutzen wollen.

Ich nutze privat auch ein WLAN, momentan mit WPA-PSK und TKIP, wobei mein AP auch Radius und AES unterstüzen würde. Dazu muss ich aber erst mal einen Radius-Server aufsetzten. Und wenn ich AES nutzen will brauche ich unter Windows noch einen separaten Client. Ob das am Mac notwendig ist, weiß ich nicht, da mein Powermac per Kabel am Router hängt und ich mich noch nicht näher damit befasst habe. Und hier kommen wir in einen Bereich, wo man sich die Frage stellen muss, ob das privat den Aufwand rechtfertigt. Wenn ich mir anschaue wie meine Nachbarn mit dem Thema umgehen ist die Antwort definitiv nein. Die fahren selber bestenfalls WEP, wenn überhaupt. Vor denen bin ich mit WPA-PSK bestens geschützt.
 
Zuletzt bearbeitet:
cava schrieb:
---CUT---

mich noch nicht näher damit befasst habe. Und hier kommen wir in einen Bereich, wo man sich die Frage stellen muss, ob das privat den Aufwand rechtfertigt. Wenn ich mir anschaue wie meine Nachbarn mit dem Thema umgehen ist die Antwort definitiv nein. Die fahren selber bestenfalls WEP, wenn überhaupt. Vor denen bin ich mit WPA-PSK bestens geschützt.

Das ist es, was ich gemeint habe. Vor wem will man sich denn schützen? Den "Aufwand" einer professionellen Sicherheit lohnt nicht für den privaten Bereich, da der privat genutze Zugang für einen "Datenspion" in der Regel uninteressant ist.

Und die Scriptkiddies kannst Du mit den gegebenen Mitteln durchaus fernhalten.
 
@Cava & SriSalomon
Ich habe da mal eine Frage an Euch: Mehr und mehr soll ja angeblich VoIP die herkömliche Telefonie längfristig gesehen ersetzen. Das ganz läuft dann mobil über WLAN. Dafür gibt es jetzt schon erste Hersteller (z. B. Siemens Gigaset), die die ganze VoIP-Software im Mobilteil integriert haben und sich per WLAN am AP anmelden können. Die Frage: Bedeutet das die Invasion der offenen WLANs? Denn irgendwie kann ich mir nicht vorstellen, wie "die" das Telefon für den normalen Benutzer einfach bedienbar machen wollen und gleichzeitig eine gesicherte Verbindung herstellen wollen, wo "komplizierte" Schlüssel eingegeben werden müssen.

Pingu
 
Mal ne Frage.

Ich habe hier einen SMC2804WBR Router. In den Wlanoptionen kann ich 802.1x auswählen. Als Server Typ kann ich nur Radius auswählen.

Was genau ist 802.1x und geht das nur mit Radius? Und falls ja, was ist ein Radius Server? Die Wlanmaterie ist doch etwas komplizierter als ich dachte. Zurzeit habe ich WPA PSK und der Key ist ziemlich zufällig gewählt(Tastaturhämmern ;)) Das sollte ausreichen wie ich hier gelesen habe, aber wenn der Router noch 802.1x bietet und ich es nuten könnte, wieso nicht.
Den ganzen anderen Rest mit SSID und MAC Filter hab ich alles gemacht, auch wenns nicht wirklich was bringt, aber schaden kann es nicht!

Gruß
 
Es kommt darauf an, welches VoIP-Telefon Du verwenden willst. Die analogen Geräte (angeschlossen über einen ATA-Wandler) übertragen in der Regel im DECT-Verfahren. Das ist eh verschlüsselt.

Wie sich aber jetzt der Transfer im Netz darstellt, habe ich noch nicht gefunden. WEB.DE bietet ja auch die Möglichkeit über SIP zu telefonieren. Das geht an sich auch gut (die Qualität ist beeindruckend). Sicherheit an sich läßt sich aber nicht bei der Software, oder auch Hardware, einstellen.

Grundsätzlich muß aber in dem Zusammenhang die Frage gestellt werden, was Du mit einem solchen Mitschnitt anstellen willst? Schließlich werden dort Sprachpakete übertragen. Allein dort liegt sicherlich schon eine Schwierigkeit in sich.
 
g-pole schrieb:
Mal ne Frage.

Was genau ist 802.1x und geht das nur mit Radius?

802.1x beschreibt "nur" eine einheitliche Technologie für die Medienzugangsschicht.

Was diese Normung nun genau beschreibt, würde hier den Rahmen völlig sprengen. Da kann ich Dir nur die Seiten der IEEE empfehlen.

Und falls ja, was ist ein Radius Server? Die Wlanmaterie ist doch etwas

RADIUS; Abkürzung für Remote Authentication Dail-In User Service

Ein Radius-Server ist also nicht anderes als ein Server der Anmeldungen entgegen nimmt und auf seine richtigkeit prüft. Dabei spielt das Verfahren einer solchen Anmeldung eine sehr große Rolle.

Ein einfaches Verfahren verfügt über eine ständige Verbindung, bei der Benutzername, Kennwort und andere Daten übertragen werden.

Bei ediner Radius-Anmeldung findet zwar nichts anderes statt, die Verbindung wird jedoch nicht ständig aufrecht gehalten. Zudem ist eine Anmeldung an einem Radius-Server nach der ersten Berechtigungsanfrage ("ich will mich anmelden") bereits verschlüsselt.

hier gelesen habe, aber wenn der Router noch 802.1x bietet und ich es nuten könnte, wieso nicht.

Weil ein extra Computer nur für die Anmeldung etwas übertrieben ist. Es sei denn, Du bist Deinem Geld böse :D
 
Zurück
Oben Unten