PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie sichere ich mein Wlan?


Choco
2005-03-27, 21:07:10
Ich habe den Linksys WRT54G.



Dieser kann folgende Verschlüsselungsarten:



WPA Pre-Shared Key

WPA Radius

Radius

WEB



Welche der 4 Arten soll ich am besten nehmen?



Habe 2 Laptops dran hängen.

Kann es denn sein, das Windows XP Prof ohne Servicepack WPA Pre-Shared Key nicht kann?



Danke Choco

ESAD
2005-03-27, 21:14:22
das kommt vorallem darauf an was deine laptop wlan karten können

ich würde dir aber raten dass du mindestens wep (128 bit)wenn möglich wpa
dazu einen macfilter und vorallem würde ich dir raten die sid zu verstecken

dass sollte reichen

bei radius brauchts du übrigend einen radius server der die keys autorisiert und vergiebt glaube kaum dass du sowas rennen hast

Trap
2005-03-27, 21:23:38
SID verstecken ist Pseudosicherheit, Macfilter genauso. Wenn man einen Sniffer laufen lässt kann man beides sofort umgehen. Man macht sich höchstens mit den Nachbarn Probleme wenn die den gleichen Channel einstellen und sich beide Netze stören.

WEP ist Sicherheit für Stunden, WPA ist das einzige was einigermaßen sicher ist, ist aber auch knackbar, wenn das Passwort schlecht gewählt ist.

Choco
2005-03-27, 21:31:39
Was ist Sid und was ist ein Macfilter?

Kenne mich da leider nicht aus?

Trap
2005-03-27, 21:37:39
SID ist die WLAN-Kennung, der Name vom Netzwerk der bei den WLAN-Clients angezeigt wird. Wenn man das ausmacht zeigt Windows das Netzwerk nichtmehr an.

MAC ist ein Nummer die jede Netzwerkkarte sendet und Macfilter ist einfach eine Positivliste. Dummerweise kann man die MACs ändern.

Oblivion
2005-03-27, 22:56:17
Also WEP (128 oder zumindest 64 - wirds sicher können)

aber wenn du sagst was für Laptops du hast könnte man nachschaun und es dir sagen :wink:

ESAD
2005-03-28, 12:13:49
also der macfilter ist schon wichtig da es millionen von macs gibt wird es eine weile dauern bis man eine funktionierende mac hat oder was meinst du wenn nur 2 eingetragen sind

Der Berater
2005-03-28, 16:25:48
also der macfilter ist schon wichtig da es millionen von macs gibt wird es eine weile dauern bis man eine funktionierende mac hat oder was meinst du wenn nur 2 eingetragen sind

[ ] Du hast Grundlagen von WLAN verstanden.

Macfilter => Spielkram
SSID => Spielkram
WEP (RC4) => Größter Fehler in Rivests Geschichte. Von allen Alternativen, die man hätte für den IEEE 802.11 Standard hätte wählen können die Schlechteste.

MfG,
P.

HellHorse
2005-03-28, 16:44:02
(RC4) => Größter Fehler in Rivests Geschichte.
RC4 passt schon. Und in der Doku steht auch, man solle verdammt noch einmal nicht so doof sein und CRC damit verwenden. :rolleyes:

Pinoccio
2005-03-28, 16:49:08
RC4 passt schon. Und in der Doku steht auch, man solle verdammt noch einmal nicht so doof sein und CRC damit verwenden. :rolleyes:Ich hoffe er meint, daß Rivest seinen RC4 dafür hergegeben hat.

mfg Sebastian

ESAD
2005-03-28, 16:52:38
[X] Du hast Grundlagen von WLAN verstanden.


so also der ominöse macfilter ist spielkram wenn es um sicherheit geht
schauen wir uns eine mac hald mal an eine mac besteht aus 12 zeichen (es gibt eine auswahl von jeweils 26 buchstaben sowie 10 zahlen) das ergibt 4738381338321616896 mögliche kombinationen die durchproviert werden müssen. proviert jetzt jemadn mit seinem rechner 1000000 kombuinationen pro sekunde durch braucht er 150253 jahre bis er alle durch hat. geht man jetzt davon aus, dass die mac ab der hälfe aller kombinationen erreicht wird braucht er 75126 jahre. durch einschränkungen kann man das sicher noch verringern doch unter 10 jahren wird man glaube ich trotzdem nicht kommen
wie man sicht ist der macfilter wenn man eine endliche zahl von immer gleichen pcs anhängen will KEIN spielkram


und das verstecken der ssid ist spielkram gut es mag sein dass es keine allheilmethode ist aber wenn man einen ungewöhnlichen netzwerknamen nimmt sollte es eine zeit dauern bis das netz gefunden wird(z.b netstubler findet netze mit versteckter ssid nicht)

so nun zu wep bei einer 128 bit wep verschlüsselung braucht man ca 500 mb traffic um sich das passwort auszurechnen hilft wie man sieht zwar nicht besonder viel sollte aber reichen um die kleinen hacker von nebenan
abzuhalten weiters wird wpa von einigen älteren laptopwlankarten nicht unterstützt

paulus000
2005-03-28, 17:11:06
Du kannst aber, wenn du Pakete abfängst die MAC Adresse herausfinden und faken.

darph
2005-03-28, 17:19:46
Du kannst aber, wenn du Pakete abfängst die MAC Adresse herausfinden und faken.
Ich würd emal vermuten, daß der Router mitbekommt, wenn sich zwei Geräte mit der gleichen MAC gleichzeitig anmelden wollen.

Ergo dürfte das Faken nur gehen, solange der andere Rechner nicht angemeldet ist.

Also: Warten, bis ein Rechner angemeldet ist. Sniffen und MAC rauskriegen. Warten, bis der andere Rechner abgemeldet ist. Einloggen.

Ein bisken viel Aufwand für den Gelegenheitswardriver - und für alle anderen dürfte ein normales Netz überhaupt nicht interessant genug sein.


Ein bißchen Sicherheit ist auch Sicherheit.

ESAD
2005-03-28, 17:25:02
dazu müstets du die dhcp request; dhcp offer; dhcp discover; dhcp ack packete abfangen sonst bringts nichts und von denen schwirren wenn es nur einen dhcp gibt und 2 rechner bei einer leastime von 7 tagen nicht besonders viele herum oder was meinst du? da kann man bei 7 tagen leastime im schlechtesten fall 3,5 tagen oder wenn zum zeitpunkt t1 nicht beantwortet worden ist bei t2 (da werden aber dann andauern pakete gesendet)aber bis da hin sind es dann schon 6,125 tage und meistens geht die anfrage und antwort beim zeitpunkt t1 eh klar

natürlich werden auch beim ersten anfragen der rechner(also nach dem einschalten) dhcp pakete gesendet aber allzu oft gehen die nicht raus

Pinoccio
2005-03-28, 17:33:16
[viel gefährliches Halbwissen]
[x] MAC-Adressen sind hexadezimal und bestehen aus 24 Stellen ergo 48 Bit
/edit: es sind natürlich 12 Stellen. Danke an ESAD für den Hinweis. (Irgendwie hatte mich da wohl der 24 Bit-IV des RC4 in WEP durcheinandergebracht.

[x] ein MAC-Filter lässt sich umgehen, wenn man a) snifft, b) offensichtlich authorisiert MAC-Adressen so herausfindet und c) seine eigene MAC-Adresse auf eine positive (i.S.v wird nicht gefiltert) ändert.

[x] SSID verstecken bringt nichts, weil sie zwangsläufig mindestens einmal gesendet werden muss, wenn jemand in das Netz reinkommt und weil sie nicht verschlüsselt wird.

[x] Deine Rechtschreibung ist extrem schlecht lesbar.

[x] Diese Kästchen-Technik ist extrem affig.

Zum Thema selbst: Intels Centrinos können WPA, aber nur mit neuer Software (Treiber oder Firmware).
Anosnten gilt immer noch: ein schwacher Schutz ist besser als gar nichts. Also lieber MAC-Filter, SSID verstecken und WEP aktivieren als gar nichts. Aber nnicht glaubven, das sei sicher.

mfg Sebastian

ESAD
2005-03-28, 18:11:50
Address 00:00:00:00:00:00

wie kommst du bitteschön auf 24 stellen????

zum rest schreibt ich dann später was muss jetzt weg

HeldImZelt
2005-03-29, 01:51:56
Gibt's eigentlich keine Set-Top Router, die VPN beherrschen? OpenVPN (SSL) sollte doch ausreichend sein, L2TP/IPSec wär natürlich besser...
Wenn man einen Desktoprechner laufen hat, kann man diesen auch als VPN Server betreiben und damit seine WLan Verbindung sichern...

Pinoccio
2005-04-07, 22:19:03
WEP ist Sicherheit für StundenStunden? "a team of FBI agents demonstrated current WEP-cracking techniques and broke a 128 bit WEP key in about three minutes"(Quelle (http://www.tomsnetworking.com/Sections-article111.php))zum rest schreibt ich dann später was muss jetzt weg;-)

mfg Sebastian

Gast
2005-04-08, 15:05:22
so bin wieder aus dem skikurs zurück war geil und hab nen haufen snowboarder eingeschneibt ^^

so weiter gehts

[x] ein MAC-Filter lässt sich umgehen, wenn man a) snifft, b) offensichtlich authorisiert MAC-Adressen so herausfindet und c) seine eigene MAC-Adresse auf eine positive (i.S.v wird nicht gefiltert) ändert.

so jetz mal der reihe nach zu a)/b) hm nun gut es ist möglich passende pakete abzufangen in denen die mac adressen enthalten sind doch dazu müsste man wieder die wep verschlüsselung knacken dann auf ein packet warten etc das wird langsam etwas umständlich wenn man nicht gerade in ein firmennetzwerk eindringen will (für geld) {es ist mir klar das die mac adressen des aps bei wep verschlüsselung nicht verschlüsselt sind aber wer tragt diese adresse schon in den macfilter ein?}

zu c) bei allen abkürzungen die ich bisjetzt gesehen habe ist mir eine neu und zwar i.S.v. wtf? ich glaube kaum dass es Internationale Schildkröten Vereinigung oder was weis ich heißt kannst du mal bitte schreiben was du genau meinst und was meinst du mit positiver mac?



[x] SSID verstecken bringt nichts, weil sie zwangsläufig mindestens einmal gesendet werden muss, wenn jemand in das Netz reinkommt und weil sie nicht verschlüsselt wird.

dass sie nicht verschlüsselt wird stimmt aber bei der überlegung gibt es nur ein problem bei meinem wlan router kann ich es so einstellen dass die ssid garnicht gesendet wird sondern mein laptop dann ein wlan netz aufbaut und er dann dazu konnektet
auf diese weise gibt es wohl nicht so besonders viele möglichkeiten die ssid abzufangen


ach ja eines hast du vergessen man könnte sich zwischen die netzwerkpartner "setzen" und den datenstrom über sein eigenes nb lenken und alles mitlesen



wenn wir grad dabei sind du hast nicht gerade eine packetsniffer für windows zu hand, der mir kopien der gesnifften packete anfertigt sodass man sie nacher untersuchen kann {hab da ein problem mit einem dhcp der nur die hälfte von dem raussendet was ich ihm angeschafft habe}(für linux habe ich genung bin aber zu faul suse zu installieren)

(del676)
2005-04-08, 15:21:37
wpa pre-shared keys nehmen
mac filter und ssid verstecken sind gegen halbwegs intelligente "hacker" sinnlos (wep ebenso)

wpa pre-shared key sollte auch mit älterer hardware funktionieren sofern man windows XP, sp2 und den WPA-Security Patch von MS drauf hat

Pinoccio
2005-04-08, 15:29:09
i.S.v. =Im Sinne von
"positive (i.S.v. nicht gefiltert) MAC-Adresse", soll heißen, daß es eine MAC-Adreesse ist, die laut MAC-Filter vetrauenswürdig/gut/authorisiert ist.

ach ja eines hast du vergessen man könnte sich zwischen die netzwerkpartner "setzen" und den datenstrom über sein eigenes nb lenken und alles mitlesenIch vermute, ich/wir haben noch viel mehr vergessen ...

wenn wir grad dabei sind du hast nicht gerade eine packetsniffer für windows zu hand, der mir kopien der gesnifften packete anfertigt sodass man sie nacher untersuchen kann {hab da ein problem mit einem dhcp der nur die hälfte von dem raussendet was ich ihm angeschafft habe}(für linux habe ich genung bin aber zu faul suse zu installieren)Hm, wenn Netstumbler (www.netstumbler.com) (Forum dazu (http://www.netstumbler.org/)) das nicht macht. Evtl Ethereal (http://www.ethereal.com/), aber keine Ahnung, ob das ein (beliebige) Netzwerkverbindung abhört oder nur Ethernet.
Könnte cygwin (http://www.cygwin.com/) helfen? Muss auch installiert werden und ist aber evtl nicht dicht genug an der Hardware.
Ansonsten wüsste ich da auch erstmal nix weiter.

mfg Sebastian

darph
2005-04-08, 16:16:07
Stunden? "a team of FBI agents demonstrated current WEP-cracking techniques and broke a 128 bit WEP key in about three minutes"(Quelle (http://www.tomsnetworking.com/Sections-article111.php))
Dann wiederum stellt sich die Frage, was man anstellen muß, damit eine Gruppe vom Kaliber eines FBI-Teams auf einen aufmerksam wird. :|

(del676)
2005-04-08, 16:16:46
Dann wiederum stellt sich die Frage, was man anstellen muß, damit eine Gruppe vom Kaliber eines FBI-Teams auf einen aufmerksam wird. :|

ich kenne mindestens 4 leute die dazu in der lage sind ein wep netz in 3 minuten zu knacken
5-10mb traffic im wlan vorausgesetzt

rokko
2005-04-08, 16:36:36
soll das also heissen das ein W-Lan generell net sicher ist?

Trap
2005-04-08, 17:21:50
Wenn es mit WPA verschlüsselt ist und dass WPA-Kennwort gut ist, ist ein WLAN einigermaßen sicher.
Ansonsten nicht.