WLAN: Sicher durch "verstecken"?

Zuletzt bearbeitet von einem Moderator:
SirSalomon schrieb:
Ich selber war letzte Woche in Kiel und musste an meine Emails ran. Das Hotel hat zwar WLAN gehabt, aber das kam bei mir im Zimmer nicht an. Da bin ich in's Auto und drei Straßen weiter hatte ich dann meinen WLAN-Zugang.

Auf dem Powerbook habe ich das noch nicht gemacht, hoffe aber doch die Erfahrung nachholen zu können :)
interessanter aspekt übrigens!
habe das gefühl, daß die interne antenne recht emfangsschwach ist (wg abschirmung durch alu gehäuse und durch die kleinen randöffnungen (gunnileisten) sehr gerichtet).
bisher habe ich es mit dem pb noch nicht einmal geschafft fremde wlans (auch wenn mir deren existenz bekannt war) sichtbar zu machen.
verwende istumbler und mac stumbler.
gruß
w

p.s. wie sind eure erfahrungen?
 
Pingu schrieb:
das ist witzig ;)
in den hochhäusern gibt´s sicher ´ne menge hotspots - eher overkill ;) bis der sprit alle ist... :D
im ernst - interessant ist, daß alle, die sich dem thema quasi professionell nähern auf orinocco karten zurückgreifen - die haben nämlich externe antennenausgänge... das fehlt unseren pb´s :(

gruß
w
 
Es ist übrigens auch saumäßig gefährlich über eine Straße zu gehen - und erst Recht über einen Bahnübergang. Die Zeitungen und Nachrichten zeigen immer wieder wie gefährlich so was sein kann.
Und wie oft sind wir alle jetzt schon über eine Straße gegangen ohne dass etwas passiert ist? Wieviele Autofahrer WOLLTEN dass etwas passiert (haben also gezielt maßgenommen)?

Mag ja sein, dass es eine Gruppe von Leuten gibt, die im Flieger fremde Netze ausfindig machen. Aber mal Hand aufs Herz: Warum sollte ich mich dagegen schützen? Ich habe ja auch kein Schutzschild gegen Asteroiden. Diese WarFlyer fallen doch eher in die Kategorie "Freaky / Hobby" - aber die, die sich das leisten können, haben es doch eigentlich gar nicht nötig oder?

Das meine ich mit akademisch.

wie gesagt - ein entsprechendes Treffen könnte Aufschluss bringen. Dazu würde allerdings einiges Equipment benötigt. zwei Rechner mit WLAN-Router sollte ja nicht das Problem sein und genügend Notebooks mit WLAN finden wir sicher auch. Aber wer hat externe Antennen und entspr. Anschlussmöglichkeiten?

Das mit dem Hotelzimmer:
3 Straßen weiter hattest Du aber nicht das WLAN vom Hotel, nicht wahr? Sondern ein OFFENES Wlan gefunden, richtig? Oder hast Du mal schnell das nächste WEP-LAN gehackt - wohl kaum, oder?
 
Wechsel der BSSID

Hoi zäme,

Angeregt durch den interessanten Thread habe ich mir heute Kismac installiert um mein eigenes WLAN auf die Probe zu stellen. Nach dem ich mittlerweile über 30'000 packets gesnift habe, steht immer noch key unresolved. So weit so gut... (wep 128bit)

Kismac hat mir aber das geschlossene WLAN eines Nachbars angezeigt (20-jährig, Informatikstudent) und nun kommts: SSID und BSSID sind zwar sichtbar, ca. jede Minute bzw. nach etwa 150 packets änderts sich aber die BSSID und es erscheint ein neuer Eintrag! Mittlerweile wird schon das 180. WLAN angekündigt ;-) Das scheint mir doch eine sehr sichere Art ein WLAN zu sichern, oder wie seht ihr das? Kennt jemand von euch diese Methode?

PS: ich habe keine «Extreme» sondern eine «alte» Airport Basisstation mit 11Mbps. Stimmt es, dass die mehrfach beschriebene MAC-Selektion und WPA mit ihr nicht möglich sind, oder mach' ich was falsch?

lg Mercury
 
elastico schrieb:
3 Straßen weiter hattest Du aber nicht das WLAN vom Hotel, nicht wahr? Sondern ein OFFENES Wlan gefunden, richtig? Oder hast Du mal schnell das nächste WEP-LAN gehackt - wohl kaum, oder?

Warum soll ich mir die Mühe machen und ein WEP hacken, wenn es genügend offene Netze gibt? :D

Und ein WEP habe ich das letzte mal im Büro gehackt. Das war aber Aufgabenstellung und durch meinen Beruf rechtlich abgedeckt.

Alles andere werde ich nicht machen, egal ob es mir jemand erlaubt oder nicht :)
 
Nachdem mein Internetzugang über einen FLI4l-Router läuft, der sowieso always on ist, habe ich darauf den Freeradius installiert. Etwas problematisch war das Erzeugen der Zertifikate, da ich erst über Fink die aktuelle OpenSSL-Version installieren und die mitgelieferten Skripte anpassen musste. Nun rennt es aber mit WPA-Radius. Verschlüsselung ist weiterhin TKIP, der AP kann zwar AES, der Client (DWL-G650+ unter XP SP2) nicht.
 
Na gut, wenn Du eh einen Rechner mit FLI4Linux als Router abgestellt hast, ist RADIUS kein Problem.

Wobei Du dem Punkt "Sicherheit durch Radius" etwas veralberst.

Einen RADIUS-Server auf dem Router zu installieren ist in etwa so, wie den Hausschlüssel unter die Fußmatte legen.

Die Sicherheit in einem RADIUS basierenden Netzwerk beruht darauf, dass der Authenifizierngsserver zwar im Netz ist, sich dann aber ehr im DMZ-Bereich befindet.

Das Du erst openSSL installieren und einrichten musst, ist leider ein Nachteil vom MAC, er kennt diesen Umstand nicht von Haus aus.
 
Du hast Recht, dass es nicht die optimale Lösung ist, den Radius auf dem Router zu betreiben, aber extra einen zweiten Rechner aubauen wäre Overkill. Und dein Vergleich hinkt etwas. Der Router wird vom Internet ja erst mal durch eine Firewall geschützt. Solange keine Exploits gefunden werden, die einen Zugriff auf die Kiste erlauben, ist die Lösung erst einmal extrem sicher, zumal ich die privaten Schlüssel nicht auf dem Router lagere, was ein Eindringen in das WLAN nicht gerade vereinfacht.

Aber nehmen wird mal 2 Beispiele:
1. Der Angreifer findet meinen Router im Netz kann sich damit verbinden, findet die Zertifikate und generiert eigene, die passen würden. Woher um alles in der Welt soll er nun wissen, wo ich wohne und wo mein WLAN in Betrieb ist?
2. Der Angreifer findet mein WLAN. Woher soll er wissen, dass der Radius auf einem Router läuft? Wie findet er raus, welche IP-Adresse dazu gehört? Gibt es überhaupt einen Exploit? Wenn ja, kann er die privaten Zertifikate erstellen?

Ich bin immer noch der Meinung, dass das die sicherste Lösung ist, die ich momentan betreiben kann. Zumal sich potentielle Angreifen wohl mit dem offenen Netz eines Bewohners im Nachbarhaus zufrieden geben würden :)
 
Zu Deinen Beispielen :)

Zu 1.: Das Programm nennt sich NEOTRACE und findet Deine geologische Adresse, teilweise sogar bis in die Straße.

Zu 2.: Das in Deinem Netz ein Radius-Server läuft, verrät Dir dann jeder Netzwerksniffer. Der stellt in den Datenpaketen auf den Ports 1645/1646 eine Anfrage fest und der "Angreifer" weiß das sich dahinter ein Radius-Server befindet. Wobei die Feststellung an sich auf dem Port 1646 als UDP-Paket auftaucht.

Du hast aber schon Recht in Deiner letzten Feststellung. Kein "Angreifer" macht sich die Mühe, wenn er nur mal eben schnell in's Netz will.

Ich für meinen Teil prüfe in regelmäßigen Abständen die Clientaccess, abgesehen davon, dass ich meine SSID versteckt und den MAC-Filter eingeschaltet habe. Ein Portscan funktioniert bei mir nur bedingt, da mein Router nach 100 Paketen von der gleichen IP-Adresse diese dann sperrt und gegen Null fährt.

Den Rest an Absicherung behalte ich für mich :D
 
Wie kann man eigentlich den Clientaccess prüfen? Und kann man automatisch (Programm?) feststellen, wenn da jemand drin ist, der zu einem selbst gehört?
 
@SirSalomon:

Ich denke wir sind grundsätzlich ähnlicher Meinung, ich möchte aber doch noch auf deine Ausführungen zu meinen Beispielen eingehen.

1.: Neotrace dürfte bei dynamischen IP-Adressen aber bestenfalls die Adresse meines Providers finden, nicht aber meine eigene. Aber selbst wenn die Daten bekannt wären und mein Router kompromitiert wird, was für mich ohnehin ein größeres Problem darstellt, als die Möglichkeit, dass der Angreifer demnächst in mein WLAN eindringt, und er alle notwendigen Daten sammeln bzw. erzeugen kann, dann halte ich es für sehr unwahrscheinlich, dass er die Anreise auf sich nimmt, um bei mir über das WLAN surfen zu können (mein Netz ausspionieren kann er über den gehackten Router eh schon). Vielleicht kommt er ja aus dem anderen Ende Deutschlands oder gar aus einem anderen Land. Ich glaube, dass ich eher im Lotto den Jackpot knacke, als das passiert.

2.: Noch mal langsam für mich zum mitdenken: Jemand sieht, dass mein WLAN mit WPA verschlüsselt ist und dahinter ein Radius läuft (wobei er aufgrund der verschlüsselten Daten gar nicht erkennen dürfte, was überhaupt abgeht). Und nun? Woher soll er wissen, dass der Radius auf dem Router läuft? Und selbst wenn er das vermutet, woher soll er wissen, mit welcher IP mein Router im Internet hängt, bzw. ob ich überhaupt online bin? Nicht jeder hat DSL und eine Flatrate oder einen Volumentarif.

Ich stelle mir das gerade so vor. Der Angreifer schleicht auf unser Grundstück, sieht meinen AP, will verbinden, bekommt gerade so viel Signal, dass er mitbekommt, dass ein Radius im Spiel ist, denkt sich, dass der Radius mit Sicherheit auf dem Router läuft, rennt um das Haus und versucht über die Namen der Hausbewohner bei der DENIC, INTERNIC, etc. herauszubekommen ob Domänen registriert sind, die vielleicht die IP-Adresse meines Routers auflösen. Als Internetzugang für diese Abfragen verwendet er das offene WLAN vom Haus gegenüber...

Zu deinen Sicherheitsmaßnahmen:
MAC-Filter und SSID verstecken hält bestenfalls die Leute ab, die sich an jeder Art der Verschlüsselung ohnehin die Zähne ausbeissen würden. Genau aus diesem Grund nutze ich das nicht. Mir bringt es eigentlich nur Nachteile (Filter pflegen, etc.)

Das mit dem Portscan verstehe ich nicht ganz. Wenn der Angreifer, aufgrund deiner Verschlüsselung, nicht in das WLAN kommt, wohin soll er dann einen Portscan absetzen und wozu? Und vom Internet her werden zumindest bei mir alle Anfragen an der Firewall rejected.
 
cava schrieb:
Zu deinen Sicherheitsmaßnahmen:
MAC-Filter und SSID verstecken hält bestenfalls die Leute ab, die sich an jeder Art der Verschlüsselung ohnehin die Zähne ausbeissen würden. Genau aus diesem Grund nutze ich das nicht. Mir bringt es eigentlich nur Nachteile (Filter pflegen, etc.)
Genau. Ausserdem bedeutet MAC-Filterung, dass wenn jemand das WLan knackt, er von meinen Rechnern erstmal nicht zu unterscheiden ist. Wenn er eine "fremde" MAC hat, merke ich den Einbruch wenigstens....

Snoop
 
elastico schrieb:
Wie kann man eigentlich den Clientaccess prüfen? Und kann man automatisch (Programm?) feststellen, wenn da jemand drin ist, der zu einem selbst gehört?

Mein Router führt eine Liste mit den Zugriffen. Da sind die erlaubten, die erfolgreichen und die fehlgeschlagenen Zugriffe aufgeführt.
 
cava schrieb:
@SirSalomon:

dann halte ich es für sehr unwahrscheinlich, dass er die Anreise auf sich nimmt, um bei mir über das WLAN surfen zu können (mein Netz ausspionieren kann er über den gehackten Router eh schon). Vielleicht kommt er ja aus dem anderen Ende Deutschlands oder gar aus einem anderen Land. Ich glaube, dass ich eher im Lotto den Jackpot knacke, als das passiert.

Du bringst im Grunde immer wieder Variablen ein, die die Sache vom Prinziep her nicht betreffen. Im ersten Ansatz hattest Du von Deinem Nachbarn gesprochen, dann waren es 500 Meter und jetzt kommt er aus der anderen Ecke Deutschlands.

Du hast schon Recht, wir fahren grundsätzlich die selbe Meinung. Nur sprechen wir die ganze Zeit über die Möglichkeiten ein WLAN zu hacken. Da spielt die Entfernung nur bedingt eine Rolle. Klar, ich kann kein WLAN in Hamburg aus Dresden hacken, aber darum ging es auch nicht.

2.: Noch mal langsam für mich zum mitdenken: Jemand sieht, dass mein WLAN mit WPA verschlüsselt ist und dahinter ein Radius läuft (wobei er aufgrund der verschlüsselten Daten gar nicht erkennen dürfte, was überhaupt abgeht). Und nun? Woher soll er wissen, dass der Radius auf dem Router läuft? Und selbst wenn er das vermutet, woher soll er wissen, mit welcher IP mein Router im Internet hängt, bzw. ob ich überhaupt online bin? Nicht jeder hat DSL und eine Flatrate oder einen Volumentarif.

Die IP Deines Router heraus zu bekommen, ist eines der kleineren Probleme, dafür gibt es IP-Sniffer. Habe ich die IP, dann kann ich ein whois starten und sehe, was das für eine IP ist, bzw. welcher Domainname sich dahinter verbirgt.

Ist sie dynamisch, ist die Möglichkeit wahrscheinlich, dass die Verbindung irgendwann beendet wird.

Dann ein Portscan auf die IP-Adresse und ich sehe, dass Dein Router die Ports entsprechend behandelt. Somit weiß ich, dass ein Radius dahinter steckt. Ein Radius-Server zeigt mit gleichzeitig, dass eine verschlüsselte Authentifizierung erfolgt.

Wenn ich dann noch ethereal verwende, bekomme ich jedes Datenpaket aus dem Netzwerk übermittelt und stelle fest, dass 24 Bit gleich sind (also ist das eine WEP-Verschlüsselung). Weiteres Verhalten zeigt mir Deine Gewohnheiten, wo Du surfst, wann Du wie lange online bist.

Wenn ich diese Verhaltensweisen in einer gewissen Regelmäßigkeit feststelle, komme ich auch hinter Deinen Emailkonten.

Und so weiter, und sofort :)

Zu deinen Sicherheitsmaßnahmen:
MAC-Filter und SSID verstecken hält bestenfalls die Leute ab, die sich an jeder Art der Verschlüsselung ohnehin die Zähne ausbeissen würden. Genau aus diesem Grund nutze ich das nicht. Mir bringt es eigentlich nur Nachteile (Filter pflegen, etc.)

MAC-Filter und SSID zu verwenden ist nur ein Teil eines Sicherheitskonzeptes, dass eh ständig gepflegt sein möchte :)

Das mit dem Portscan verstehe ich nicht ganz. Wenn der Angreifer, aufgrund deiner Verschlüsselung, nicht in das WLAN kommt, wohin soll er dann einen Portscan absetzen und wozu? Und vom Internet her werden zumindest bei mir alle Anfragen an der Firewall rejected.


Ein Portscan wird auf eine IP-Adresse angesetzt. Damit kann ich z.B. bei vielen Routern verhindern, dass sie auflegen, falls eine Idle-Time eingestellt ist.

Zudem gibt mir der Portscan die Sicherheit, dass Dein Router reagiert und Dein lokales Netzwerk online bleibt. Somit ist auch Dein WLAN online und bietet sich mir an.

Aber Du hattest es schon eingangs erwähnt, grundsätzlich sind wir einer Meinung mit verschiedenen Ansichten :)
 
Zuletzt bearbeitet:
snoop69 schrieb:
Genau. Ausserdem bedeutet MAC-Filterung, dass wenn jemand das WLan knackt, er von meinen Rechnern erstmal nicht zu unterscheiden ist. Wenn er eine "fremde" MAC hat, merke ich den Einbruch wenigstens....

Snoop

Ein Mac-Filter ist nur sinnvoll, wenn die SSID versteckt wird. Ansonsten wird mit jedem SSID-Broadcast die MAC-Adresse mit übermittelt und ich kann eine MAC-Adresse "übernehmen".

Deswegen macht MAC-Filterung nur in Verbindung mit versteckter SSID sinn.
 
cava schrieb:
@Jazz-Rabit:
WPA-PSK ist nicht WEP. Das ist falsch. Die verschlüsselung ist zwar die gleiche, bei WPA-PSK werden die Schlüssel für die Verschlüsselung aber ständig neu generiert, was das ganze wesentlich sicherer macht, sofern man keinen 08/15 PSK verwendet.

Was ist für Dich ein 08/15 PSK?

cava schrieb:
Und das mit dem SSID-Broadcast ausschalten, bzw. auf MAC-Adressen beschränken ist Unsinn. So einfach wie du hier tust ist es auch nicht WPA-PSK zu knacken. Jemand der das schafft, der lacht doch über deinen deaktivierten Broadcast oder über die MAC-Beschränkung. So einer hat diese Hürden schneller überwunden als du deinen PSK eingetippt hast.

Sag mal liest irgendwer richtig mit?
Ich hab geschrieben, was man im Falle WEP tun kann um ein wenig mehr
Sicherheit zu erzielen. Dass das nicht der allumfassende Schutz ist weiss
ich selber.

cava schrieb:
Das mit den Antennen abschrauben ist auch witzig. Ein vernünftiger AP erlaubt es die Sendeleistung per Software zu regeln. Das andere ist doch nur Gefrickel.

Welche AP's wären das, wo man die Sendeleistung per Software
hinunter regeln kann? Meiner kann das nicht, da muss ich mir anders
behelfen.

cava schrieb:
Ich gebe dir aber recht, dass WPA über Radius besser ist als mit PSK. Am besten dann gleich mit AES.

Um meine Nachbarn auszusperren (die selber WLANs nutzen, die teilweise überhaupt nicht oder nur mit WEP verschlüsselt sind) reicht WPA-PSK und das, ohne dass ich fremde MAC-Adressen blockiere oder die SSID unterdrücke.

Es ist für mich einfacher den Überblick zu behalten, wenn ich nur jene
Mac-Adressen erlaube, die ich eingetragen habe.. Ausserdem starte ich
nie grosse Downloads über WLAN, sondern nutze es, wenn ich es mir mal
gemütlich auf der Couch machen will. Mein AP nur paar Stunden am Abend
an. Noch ein Problem kommt hinzu, das ich eine Bridge zwischen zwei AP's
habe. In diesem Modus kann ich nicht WPA-PSK fahren (leider). Sonst hätt
ichs wahrscheinlich schon längst umgestellt.

Gruss,
 
Jazz_Rabbit schrieb:
Welche AP's wären das, wo man die Sendeleistung per Software
hinunter regeln kann? Meiner kann das nicht, da muss ich mir anders
behelfen.

der kostengünstige wrt54g(s) von linksys wäre so einer. der kann auch noch einige nette sachen mehr wie QoS zB.
mit gehackter firmware auch vpn, verzeichnisse mounten und vieles mehr :)
 
Ich frage mich immer, warum die meisten Benutzer zwar Ihr WLAN absichern, aber dann die Emails im Klartext verschicken und sich sogar gegenüber den Mailservern über unsichere Verbindungen einloggen... Irgendwie stimmt das Sicherheitsempfinden nicht...
 
hustinettenbär schrieb:
der kostengünstige wrt54g(s) von linksys wäre so einer. der kann auch noch einige nette sachen mehr wie QoS zB.
mit gehackter firmware auch vpn, verzeichnisse mounten und vieles mehr :)

Er kann zwar die Einstellung per Software vorgegeben bekommen, ob er dann aber die Sendeleistung verringert, habe ich seiner Zeit nicht feststellen können.

Den Nachteil, den ich bei einer umgeschriebenen Firmware sehe, liegt in dem Umfeld, dass ich nicht weiß, was da passiert. Somit kann ich auch keinem die Verantwortung übertragen. Schließlich sagt selbst Linksys, dass die Verwendung einer solchen Firmware die Verantwortung beim User liegt.

Bei Routern mit closedSource Firmware ist das einfacher.

Stell Dir vor, Du kannst die Sendeleistung nicht nur per Software verringern, sondern auch erhöhen. Wo ist dann schluß? Und wenn die Firmware auf Opensource basierd, kann ich das oberste Level eventuell sogar bis zum physikalischen Maximum anheben? Folgeschäden sind vorprogrammiert.

Wobei ich kein Verfechter von Opensource bin...
 
Zurück
Oben Unten