WLAN richtig schützen / Mitsurfer entdecken ?

C

cristina

Neues Mitglied
Thread Starter
Dabei seit
08.01.2006
Beiträge
14
Reaktionspunkte
0
Da ich im Forum nichts passendes gefunden habe...

Welche Einstellungen muss ich auf jeden Fall beachten/einrichten, damit mein WLAN / Airport geschützt ist? Kann mir das mal jmd für blöde kurz zusammenfassen? :hamma:

Die zweite Frage ist: Wie kann ich feststellen, ob und wer heimlich mitsurft?

Danke schonmal für eure Antworten
 
Hi cristina,

Willkommen im Forum!

Also das wichtigste wäre eine WPA-Verschlüsselung
und am besten die SSID (Netzwerkname) verstecken.

Ich habe hier eine sehr gute Seite für dich,
die sich mit dem Thema beschäftigt und dir sicherlich weiterhilft: click!
 
Ich weiss spontan nicht, obs das für Mac gibt (Profis bitte), aber fürn PC konnte man Netzwerkzugriffe mit Ethereal protokollieren...
Für sichere WLANS sollte es mindestens WPA-verschlüsselt sein, WEP gilt mittlerweile als leicht knackbar
 
Ich schwöre nach wie vor auf die MAC Adressen Filterung.
SChau mal, dass du das im Router zusätzlcih zu der Verschlüsselung aktivierst.

Dann kann eigentlich nichts mehr passieren.

HAbe selbst nud WEP 128 mit dem MAC Adressen Filter. Falls einer das Pass knackt, kann er trotzdem nicht connecten. Zwar kann man MAC Adressen spoofen, aber das ist auch wieder nicht so einfach. Von daher... ;-)
 
hui, danke schonmal an alle :) das ging ja echt fix.
 
Hi,

ich empfehle alle Maßnahmen zusammen:
- SSID verstecken
- hohe Verschlüsselung (WPA, nicht WEP)
- MAC-Filterung
- Firmwares regelmässig aktualisieren

Eindringline sind damit äußerst unwahrscheinlich. Es gibt verschiedene weitere Maßnahmen und ungebetene Gäste auszusperren, wie zB ein VPN im eigenen Netz. Sowas lohnt sich allerdings eher um sensible Firmendaten zu schützen, eher nicht für den Privatmenschen.

Die Airport bietet meines Wissens keine vernünftige Möglichkeit Eindringlinge aufzuspüren. Man könnte mit Ethereal lauschen, aber der Aufwand wäre wiederum immens, wenn man die Datenpakete analysieren will. Die Fritzbox WLAN hat da ein ganz gutes Tool eingebaut, das zeigt alle je aktiven Teilnehmer an. Kann ich empfehlen. Funktioniert auch gut mit Apple-Computern ;-)

Pbrille
 
mactaetus schrieb:
Ich schwöre nach wie vor auf die MAC Adressen Filterung.
SChau mal, dass du das im Router zusätzlcih zu der Verschlüsselung aktivierst.

Dann kann eigentlich nichts mehr passieren.

HAbe selbst nud WEP 128 mit dem MAC Adressen Filter. Falls einer das Pass knackt, kann er trotzdem nicht connecten. Zwar kann man MAC Adressen spoofen, aber das ist auch wieder nicht so einfach. Von daher... ;-)
Zum Vergrößern anklicken....

Ähm, ne andere MAC setze ich dir mit "ifconfig eth0 hw ether ca:ff:ee:af:fe:11" in nichtmal 5 Sekunden. Das ist kein wirkliches Hinderniss.
 
AcidDemon schrieb:
Ähm, ne andere MAC setze ich dir mit "ifconfig eth0 hw ether ca:ff:ee:af:fe:11" in nichtmal 5 Sekunden. Das ist kein wirkliches Hinderniss.
Zum Vergrößern anklicken....

Und woher weisst Du, welche MAC-Adresse der Accesspoint zulässt?
 
In dem ich einfach mal 2-3 mins im promiscuous mode capture. Steht im Header vom IP Paket.
 
AcidDemon schrieb:
In dem ich einfach mal 2-3 mins im promiscuous mode capture. Steht im Header vom IP Paket.
Zum Vergrößern anklicken....

Interessant, das werde ich mal probieren. Mir sind schon des öfteren Access Points über den Weg gelaufen, die nur über MAC-Filterung geschützt waren. Das finde ich dann aber schon etwas schlampig implementiert.

Ich verstehe nicht ganz, wieso die Notwendigkeit besteht dafür, dem Client die zugelassene(n) Mac-Adresse(n) mitzuteilen. Sehr seltsam.

Kennst Du nen guten Sniffer, der auch auf Intel Macs läuft?

Pbrille
 
Es werden ja nicht alle zugelassenen Adressen mitgeteilt. Die muss man schon selbst aus den Paketen auslesen, die der User empfängt, der angemeldet ist.
Und dieser muss ja zugelassen sein im Netzwerk und damit hat man eine zugelassene MAC-Adresse.
 
"der zugelassen ist"?

Du meinst man muss erstmal einen Rechner haben, der schon im WLAN drin ist, und diesen im Promiscious Mode laufen lassen?
Das würde ja nichts bringen, denn wenn man um einzubrechen schon drin sein muss, ist das Paradox.
 
pbrille schrieb:
Interessant, das werde ich mal probieren. Mir sind schon des öfteren Access Points über den Weg gelaufen, die nur über MAC-Filterung geschützt waren. Das finde ich dann aber schon etwas schlampig implementiert.

Ich verstehe nicht ganz, wieso die Notwendigkeit besteht dafür, dem Client die zugelassene(n) Mac-Adresse(n) mitzuteilen. Sehr seltsam.

Kennst Du nen guten Sniffer, der auch auf Intel Macs läuft?

Pbrille
Zum Vergrößern anklicken....

Ich weiss nicht, ob ethereal bereits für Intel Macs verfügbar ist als Binary. Aber ich denke mal einer Kompilation aus dem Quellcode sollte nichts im Wege stehen. Problem wird jedoch eventuell sein, dass der Promiscuous Mode nicht aktiviert werden kann.
 
pbrille schrieb:
"der zugelassen ist"?

Du meinst man muss erstmal einen Rechner haben, der schon im WLAN drin ist, und diesen im Promiscious Mode laufen lassen?
Das würde ja nichts bringen, denn wenn man um einzubrechen schon drin sein muss, ist das Paradox.
Zum Vergrößern anklicken....

Der AP wird ja auch von irgendwem genutzt... muss ja kein Rechner von dir sein.
 
Nein, eben nicht.
Die Pakete kannst Du ja von außen "einsehen" ohne selbst der angemeldete User zu sein.
In diesen taucht dann auch eine Mac-Adresse auf, die demjenigen User gehört.
Hast Du diese, kannst Du Deine eigene spoofen und das Netzwerk denkt, Du seist zugelassen, da Du ja eine zugelassene Mac-Adresse vorgibst.


Sehr untechnisch erklärt. :rolleyes:
 
also zuerst mal die grundfrage
wieso das system verschliessen und nicht brauchbar machen für andere?

ich lasse meinen wlan immer offen und wenn da einer halt lust hat zu da im internet zu surfen stört mich das nicht gross, so lange meine eigenen kiste dicht ist und auch der datenverkehr verschlüsset wird

falls du das teil dichtmachen willst schaue einfach das du wpa bzw wpa2 benützt

die obigen tipps von wegen ausschalten von ssid und setzen von mac halte ich für schwachfug
sie bringen keine zusätzliche sicherheit und machen das ganze nur unkomfortabler
bei der mac musst du dann jedesmal wenn ein freund bei dir rein möchte dessen mac eintippen

und bei der sinnvol genütze ssid hilft dir das um das netzwerk besser von dem deines nachbarn zu unterscheiden

insgesamt beides funktionen die beide nützlich sind und im gegenzug beim verzicht keine zusätlichen nutzen bringen

aber muss jeder selber wissen ob er noch ein haar an die türe kleben möchte weil er sich dann sicherer fühlt da ja keiner die türe öffnen kann bei dem guten scotch band das es heute gibt
(wobei man beim haar wenigsten sieht wenn einer drinnen war)
 
mindblaster schrieb:
also zuerst mal die grundfrage
wieso das system verschliessen und nicht brauchbar machen für andere?

ich lasse meinen wlan immer offen und wenn da einer halt lust hat zu da im internet zu surfen stört mich das nicht gross, so lange meine eigenen kiste dicht ist und auch der datenverkehr verschlüsset wird
Zum Vergrößern anklicken....

Das verstehe ich nicht. Wenn das WLAN offen ist, dann hast du ja keine Verschlüsselung. Oder meinst du nur den verschlüsselten Transfer mit einigen Webseiten?
 
mindblaster schrieb:
also zuerst mal die grundfrage
wieso das system verschliessen und nicht brauchbar machen für andere?

ich lasse meinen wlan immer offen und wenn da einer halt lust hat zu da im internet zu surfen stört mich das nicht gross, so lange meine eigenen kiste dicht ist und auch der datenverkehr verschlüsset wird
Zum Vergrößern anklicken....

Wenn dein Nachbar den dir mitsurft und Kinderpornos runterläd ist das offiziell über DEIN Netz gelaufen und die Polizei steht vor deiner Türe und DU bekommst die Anzeige und dann beweiß mal das das dein Nachbar war und nicht du… :p

Ganz davon abgesehen gibt es ja auch Menschen die per Datentransfer bezahlen (hat ja nicht jeder eine Flatrate) und dann möchte man ja nun nicht den download eines Nachbarn mitbezahlen… ;)
 
camouflageX schrieb:
Das verstehe ich nicht. Wenn das WLAN offen ist, dann hast du ja keine Verschlüsselung. Oder meinst du nur den verschlüsselten Transfer mit einigen Webseiten?
Zum Vergrößern anklicken....
Ich denke das hast du schon richtig verstanden. Wenn das Wlan "offen" ist, dann hat er keine Verschlüsselung. Was natürlich nicht heißt, dass jeder auf die mit dem Wlan verbundenen Clients zugreifen kann. Ich halte das aber für sehr sehr bedenklich. Du bist für alles verantwortlich was mit deinem Anschluss passiert - d.h. auch wenn jemand z.B. illegale Seiten besucht oder irgendwelche illegalen Sachen herunterlädt, insofern würde ich hierfür dringendst abraten - es sei denn du möchtest diese Verantwortung gerne übernehmen.

Viele Grüße
::TheMagnificent::
 
Zuletzt bearbeitet:
mactaetus schrieb:
...
HAbe selbst nud WEP 128 mit dem MAC Adressen Filter. Falls einer das Pass knackt, kann er trotzdem nicht connecten. Zwar kann man MAC Adressen spoofen, aber das ist auch wieder nicht so einfach. Von daher... ;-)
Zum Vergrößern anklicken....
Das ist sogar extrem einfach, aber ich werde jetzt sicher keine Anleitung posten. Ich finde den MAC Filter nicht verkehrt, bringen tut er aber so ziemlich am wenigsten.

Was sehr viel bringt, ist eine vpn Absicherung in Kombination mit einer richtigen Firewall auf dem Router.
Hier kann man mit einer Schlüssellänge von 1028 Bit arbeiten (ja nach Paranoia kann man auch 2048, 4096 und mehr verwenden)
Bei FritzBoxen ist so etwas auf Umwegen machbar, erfordert aber einige Linux Kenntnisse. Auf manchen Linksys Routern geht das ebenfalls.

Anleitungen gibt es im Netz und demnächst auf meiner Website.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten