Hi!

Ich habe an meinem Laptop nur ein altes WLAN-Modem, welches WEP-Verschlüsselung bietet.

Hab mal gegoogelt und einen beunruhigenden Bericht auf der PCWelt-Homepage gefunden. http://www.pcwelt.de/start/sicherheit/sonstiges/news/76435/wlan_wep_in_kaum_einer_minute_entschluesselt/

Was meint Ihr? Ist es zu riskant nur WEP Online zuhehen?

Ja, diese Verschlüsselung ist imho schnell und ohne sehr tiefe Kentnisse der Materie geknackt. Du solltest mindestens auf WPA- AES umsteigen.

lg

Riskant in Bezug auf was?

Bei WEP kann jeder der möchte das WLAN mitnutzen und wie dein Provider deinen kompletten unverschlüsselten Internetverkehr mitlesen.

Wenn dich Mitnutzer der Internetverbindung nicht stören, dein Rechner keine Sicherheitslücken für Angriffe aus dem Netzwerk hat und du nur verschlüsselte Verbindungen ins Internet nutzt, kannst du auch problemlos WEP nutzen. :wink:

Riskant in Bezug auf was?

Bei WEP kann jeder der möchte das WLAN mitnutzen und wie dein Provider deinen kompletten unverschlüsselten Internetverkehr mitlesen.

Wenn dich Mitnutzer der Internetverbindung nicht stören, dein Rechner keine Sicherheitslücken für Angriffe aus dem Netzwerk hat und du nur verschlüsselte Verbindungen ins Internet nutzt, kannst du auch problemlos WEP nutzen. :wink:

Wozu dann überhaupt WEP benutzen?
WEP ist veraltet und unsicher und sollte daher nicht mehr verwendet werden.

so weit ich weiß gibts noch kein Windowsprogramm das WEP einfach mal so knackt, ich glaube man braucht Linux mit speziellen Treibern+Atheroskarte.

oder hab ich was verpasst?

so weit ich weiß gibts noch kein Windowsprogramm das WEP einfach mal so knackt, ich glaube man braucht Linux mit speziellen Treibern+Atheroskarte.

oder hab ich was verpasst?

Google + 5 Min reichen. Selbst ausprobiert.

Mit WEP verhindert man dass sich jeder Depp einfach so einwählen kann, dafür wird nämlich ein Passwort verlangt. Wenn du denkst dass jemand überhaupt auf die Idee kommt dein WLAN knacken zu wollen wäre natürlich WPA2 oder besser angesagt. Aber WEP verhindert den zufälligen Einstieg ud ist für die Meiste völlig ausreichend.

Mit WEP verhindert man dass sich jeder Depp einfach so einwählen kann, dafür wird nämlich ein Passwort verlangt. Wenn du denkst dass jemand überhaupt auf die Idee kommt dein WLAN knacken zu wollen wäre natürlich WPA2 oder besser angesagt. Aber WEP verhindert den zufälligen Einstieg ud ist für die Meiste völlig ausreichend.

Entweder will ich 100% davon abhalten mitzulesen, oder gar keinen. Bei WEP kannst du dir nie sicher sein, das keiner mitliest.

Aber ich weiß, dass mein DAU-Nachbar nicht ausversehen auf meiner Leitung surft!

Ein Drahtseil als Fahrradschloss kann auch jeder mit ner kleinen Zange knipsen. Aber wenn einer mein Fahrrad vor der Kneipe stehen sieht und zu faul zum laufen ist, habe ich ohne Drahtseil ein Problem - bzw. kein Fahrrad mehr ;)

(Was nicht heißen soll, dass ich WEP nutzen würde ;))

Gegen DAUs hilft ein MAC filter.

WEP ist so schnell geknackt... Laptop, Backtrack 3 von Live-CD booten und da gibt es mitlerweile automatisierte Progys die WEP knacken.

Und wer denkt "Mir egal, da kann man ja nur mitsurfen" hat sich geschnitten. Einmal im WLAN => Man-in-the-Middle-Attacke und dann kann man alles an unverschlüsseltem Internetverkehr mitlesen, den User auf gefakte Seiten umleiten etc.

Nojo. Opa Hartmut kann nicht rein. Sein idiotischer Neffe hat es mit Hilfe von Google in einer halben Stunde geknackt.

WEP ist unter einer Minute knackbar.

Ich würde stark zu WPA2-PSK raten (AES), und falls das nicht zur Verfügung steht zumindest WPA-PSK.

Was auch oft übersehen wird, ist dass man ein zu kurzes Passwort wählt. Buchstaben und Zahlen haben nur ca. 2 oder 3 Bit Entropie pro Zeichen, da müsste man also schon sehr lange Romane schreiben um die 128 bit von AES wirklich auszunutzen.

Stimmt schon, nur ein 63 Stellen Passwort kann schonmal lästig sein wenn man öfter Gäste hat die auch mal rumsurfen.

Man muss da eine halbwegs brauchbare Mischung aus Paranoia und Komfort finden.

Stimmt schon, nur ein 63 Stellen Passwort kann schonmal lästig sein wenn man öfter Gäste hat die auch mal rumsurfen.

Für Gäste gibt es einen USB-Stick mit dem Passwort. FAT kann so ziemlich jedes Betreibssystem lesen, und wenn es keine Textdateien anzeigen kann wird auch kein WLAN funktionieren. UND man muss nicht irgendwelche abstrusen Zeichenkombinationen diktieren mit drölfzig Rückfragen in Form von
"großes oder kleines Z?"
"ein D, kein Z. Und groß"
"ein kleines T?"
"ARRGH" *klatsch*

USB Stick scheitert schon wenn man FatEX primär nutzt. (Geht auf XP nicht) und ich werde sicher nicht nen extra USB Stick für Gäste kaufen ;) Davon ab sind die vollen 63 Stellen wirklich paranoia. Die 08/15 "Wardriver" scheitern schon an 8.

klar ist WEP nicht gerade das beste

aber in kombination mit einem mac filter und ein verbergen der SSID (wobei darüber ja gestritten wird) ist es besser als nichts...und hält zumindest die DAUs davon ab über das netz mit zu surfen

klar ist WEP nicht gerade das beste

aber in kombination mit einem mac filter und ein verbergen der SSID (wobei darüber ja gestritten wird) ist es besser als nichts...und hält zumindest die DAUs davon ab über das netz mit zu surfen

Für DAUs reicht WEP mit einem Buchstaben als Key. Verbergen der SSID und MAC-Filter sind kosmetische Maßnahmen ohne Sicherheitsgewinn. Man geht einfach demjenigen der eindringen will noch weiter auf die Nerven. Mehr nicht.

SSID verbergen würde ich eh NIE machen. Vor allem bei WPA nicht...
Dann kann man nämlich schön den User kicken, sich selber den gleichen Namen des AP geben und u.U. connected der User dann auf dem gefakten AP...

Stimmt schon, nur ein 63 Stellen Passwort kann schonmal lästig sein wenn man öfter Gäste hat die auch mal rumsurfen.

Man muss da eine halbwegs brauchbare Mischung aus Paranoia und Komfort finden.

Wie wäre es mit Ethernetverkabelung?


Das ist eh besser als dieses ganze WLAN zeugs.



@ Threadstarter
WEP ist völlig unsicher, es ist so unsicher das du auch gleich unverschlüsseltes WLAN nehmen könntest.

In letzterem Fall könntest du aber für dein WLAN eine verschlüsselte Verbindung über VPN ins Internet aufbauen.
Das ist die beste Lösung falls du keinen neuen WLAN USB Stick mit WPA2 Unterstützung für 10,50 € kaufen willst.

klar ist WEP nicht gerade das beste

aber in kombination mit einem mac filter und ein verbergen der SSID (wobei darüber ja gestritten wird) ist es besser als nichts...und hält zumindest die DAUs davon ab über das netz mit zu surfen


Wie schon gesagt, bevor man WEP bentuzt, benutzt man eher ein VPN und das bietet danna auch die Verschlüsselungsstärke von WPA2.

Gut, VPN läuft ne Ebene über WEP und WPA2, aber das ist ja jetzt nicht das Problem.



Und für Gäste gibt es übrigens aus Ethernetkabel noch vorkonfigurierte Linux Live CDs.

Wie schon gesagt, bevor man WEP bentuzt, benutzt man eher ein VPN und das bietet danna auch die Verschlüsselungsstärke von WPA2.

Ist sogar sicherer als WPA2. Aber für Laien schwieriger zu realisieren ;)

Darum nutzen echte Männer Kabel! X-D

Wie wäre es mit Ethernetverkabelung?


Das ist eh besser als dieses ganze WLAN zeugs.



@ Threadstarter
WEP ist völlig unsicher, es ist so unsicher das du auch gleich unverschlüsseltes WLAN nehmen könntest.

In letzterem Fall könntest du aber für dein WLAN eine verschlüsselte Verbindung über VPN ins Internet aufbauen.
Das ist die beste Lösung falls du keinen neuen WLAN USB Stick mit WPA2 Unterstützung für 10,50 € kaufen willst.

Bei den festen Rechnern ist alles verkabelt das ist eh klar. Aber wenn sich jemand mit nem Netbook, Notebook, PDA, Smartphone usw dazu pflanzt wirds wlan angeworfen. Bei Lanparties mit richtigen Rechnern wird ebenfalls verkabelt das ist klar.

Ist sogar sicherer als WPA2.
Aus welchem Grund? Ich seh keinen.

mac filter soll nichts bringen? wie bitte soll der angreifer meine mac adresse heraussfinden wenn ernicht lokal am notebook sitzt? das versteh ich nich so ganz... hab ich schon öfters gehört.

nunjam ich nutze WPA2-AES und mac filter :)

Sobald du mit dem AccessPoint kommunizierst ist in jedem Teil deiner Kommunikation deine MAC-Adresse enthalten. Wenn ich die Verschlüsselung gebrochen habe dann habe ich kein Problem mehr die MAC-Adresse zu finden.

Also: Es nervt weil ich einen zusätzlichen Schritt tun muss um ins Netz zu kommen, aber:
- bei WEP macht es keinen Sinn weil die Verschlüsselung schnell gebrochen wird
- bei WPA macht es keinen Sinn weil die Verschlüsselung schon das Netz schützt

Aus welchem Grund? Ich seh keinen.
Technisch gesehen nicht, aber da wesentlich weniger Leute VPN benutzen und WPA2 einfach wesentlich verbreiteter ist, gibt es auch mehr Tools für Skriptkiddies um WPA2 zu knacken.
Ob das dann technisch in absehbarer Zeit möglich ist sei dahingestellt.

Bei gut gewählten Passwörtern ist natürlich beides fast unknackbar.

Aus welchem Grund? Ich seh keinen.

Eventuell wenn man mit Zertifikaten arbeitet. Das, IMHO, ist aber Overkill ;)

WPA2 und fertig, MAC-Filter und womöglich SSID verstecken bringen keinen Sicherheitsmehrwert..

@ Threadstarter
WEP ist völlig unsicher, es ist so unsicher das du auch gleich unverschlüsseltes WLAN nehmen könntest.



das ist mal quatsch

natürlich ist WEP unsicher das wissen wir alle...

aber zumindest hält es Ilse von nebenan, die gerade ihr neues Aldinotebook ausprobiert, davon ab das sie über sein wlan mitsurft weil es in der liste der gefundenen wlans auftaucht nachdem sich der windows verbindungsassistent bei ihr gemeldet hat

es gibt doch folgende szenarien

a) wir haben einen Angreifer der seinen Internetverkehr mitsnifft oder sich zugang zu seinen rechnerdaten verschaffen will (da kann man ja nochmal andere hürden zusätzlich einbauen) und somit in sein homenetz will

b) jemand der seinen internetzugang für böswillige aktionen missbrauchen will

c) Ilse von nebenan die sich über nen kostenlosen internetzugang freut

d) jemand der zufällig mal kurz in der gegend ist und mal schnell ins netz will

das WEP bei a) und b) versagt liegt auf der hand....aber für c) und d) ist es definitiv besser als gar nichts zu machen....

und selbst wenn Ilse eigentlich Stefan ist zwar keine ahnung hat aber weiß wo man sich schlau machen kann...kommt er nicht in versuchung wenn sein wlan wizard nicht aufpoppt und ihm da ein verfügbares wlan in der nähe anzeigt...

bzw. dann nutzt er eher das wlan des nachbarn was keine verschlüsselung bietet bzw. was in der netzwerkliste auftaucht

ausserdem meine ich mich daran erinnern zu können das es nicht verboten ist offene fremde wlans zu nutzen, sehr wohl aber erst verschlüsselungen zu umgehen

und der vergleich mit dem fahrradschloss war schon richtig

wenn ich als dieb einen fahrradständer mit 10 fahrrädern sehe wovon 5 unverschlossen sind und 5 mit einem kettenschloss gesichert...mach ich mir doch nicht erst die mühe meine zange rauszuholen sondern setz mich auf eins der 5 ohne schloss

Und dann gibts noch die Leute die sich von verschlüsselten WLANs geradezu magisch angezogen fühlen und es als sportliche Herausforderung sehen gerade die zu knacken. Aber das sind nur sehr wenige.

WEP ist so schnell geknackt... Laptop, Backtrack 3 von Live-CD booten und da gibt es mitlerweile automatisierte Progys die WEP knacken.

Und wer denkt "Mir egal, da kann man ja nur mitsurfen" hat sich geschnitten. Einmal im WLAN => Man-in-the-Middle-Attacke und dann kann man alles an unverschlüsseltem Internetverkehr mitlesen, den User auf gefakte Seiten umleiten etc.
Man glaubt ihr, dass an jeder Ecke en Hacker lauert? Sicher ist WEP ein Witz und MAC Filter auch, da man MAC Adressen fälschen kann aber in nem Wohnblock wo sich WLANs häufen ist es besser WEP+MAC Filter zu nehmen und dann aber auf Online-Einkäufe etc. zu verzichten (es sei denn die nutzen SSL).
Man sollte natürlich über eine Aufrüstung nachdenken und das nur als Notlösung nutzen aber z.B. ist auch unser Uni-WLAN nur maximal mit WEP verschlüsselt (plus irgendso ein EAP Authentifizierungszeug).
Aber es wird sicher nicht die halber Bevölkerung Man-in-the-Middle Attacken an seinen Nachbarn durchführen wollen. Man kann immer solche Freaks in seiner Umgebung haben aber wie hoch ist die Warschenlichkeit?

WEP auf jeden Fall vermeiden. Bei ungewollter Nutzung Deines Internetanschlusses durch Dritte für rechtlich nicht einwandfreies Zeug steht *Deine* IP in den Logs. Ist zwar nur ein (objektiv gesehen) kleines Risiko - aber eines mit gehörigem Ärgerpotential. Vielleicht bin ich ja auch nur paranoid.

Wenn es unbedingt unbedingt WEP sein soll: Dann über VPN Tunnel "nach draußen".

So manch einer könnte sich die Nachbarschaft in Reserve halten, falls das eigene Internet mal streikt. Selbst wenn niemand mitsurft, heißt das nicht, dass nicht jemand einen schlauen Zettel im Regal liegen hat. WEP128 ist nicht in einer Minute geknackt, aber dennoch relativ schnell in vielleicht 10-20min je nach Empfang und gesammelter Pakete/IVs. Das macht man eher mal nebenbei in der VM.

MAC Filter und hidden SSIDs haben eher demotivierenden Einfluss auf den Angreifer. Die Attraktivität eines Angriffs wird bedingt gemildert und ein direkter Zugriff auf den Client ist nicht mehr möglich (MAC Kollision). Ein Einbruch ins Netzwerk ist aber nach wie vor problemlos durchführbar. In Abwesenheit des Clients kann er dennoch surfen und die versteckte SSID kriegt er auch problemlos heraus, indem der Client zwangsgetrennt wird, sich automatisch neu einloggt und damit die SSID zwangsläufig verraten muss. Wird der Angreifer sauer, kann er die MAC Adresse spoofen (fälschen) und bewusst kollidieren lassen, damit die Fehlerrate des Datenstroms massiv in die Höhe getrieben wird, so dass die Leitungsqualität drastisch sinkt. Das geht immer und zu jeder Zeit, unabhängig vom Passwort.

Es gibt keine One-Click Tools, schon gar nicht unter Linux. Unter Windows gibt es kaum Injection Treiber, die ein blindes Einschleusen von Datenpaketen ermöglichen, die für (schnelles) WEP Knacken erforderlich sind (active attacks). Die Industrie weiß schon warum sie diese Funktion bewusst ausschließt. In Windows existiert quasi keine "Network Security" Szene. Man kann sicherlich auch still (passiv) lauschen, aber das würde bei normalem Traffic (Surfen) wahrscheinlich mehrere Tage dauern, bei Volldurchsatz aber theoretisch genau so schnell wie mit aktiven Attacken. Aber nur unerfahrene Anfänger nutzen Windows für sowas.

WPA/WPA2 ist auch nicht narrensicher. Es ist anfällig auf Dictionary Attacks (Wörterbuchattacken), d.h. der Angreifer schickt ein Trennsignal und löst die Verbindung zwischen Client und AP und erzwingt damit eine neue Authentisierungs- und Verbindungsanfrage der beiden Geräte (4-way handshake). Dieser wird aufgezeichnet und kann mit presalted dictionaries offline abgeglichen und attackiert werden. Schwache Passwörter haben keine Chance und sind auch hier anfällig.

Edit:
Dies ist eine nette Karte von Berlin (http://wardriving-forum.de/imgredir.php?maps/Berlin.jpeg) (Rot=WPA, Gelb=WEP, Grün=Offen). Man kann auch seine eigene Gegend (Karte) abfragen. Die Karten sind recht aktuell, weil viele mit ihrem Laptop zur Arbeit fahren. ;)

http://www.computerbase.de/news/internet/hacker_sicherheit/2009/januar/wlan-passwort-knacker_gpu-unterstuetzung/

http://www.computerbase.de/news/internet/hacker_sicherheit/2009/januar/wlan-passwort-knacker_gpu-unterstuetzung/
Einfach mal quoten und null verstehen was eigentlich drin steht ist immer toll :rolleyes:

Einfach mal quoten und null verstehen was eigentlich drin steht ist immer toll :rolleyes:

Naja, was soll man da schon grossartig falsch verstehen können?
Es wird per Brute-Force versucht das Passwort zu entschlüsseln.
Bei WPA2 mit 63 Stellen/62 Zeichen und 100000 Passwörtern/Sekunde (ca. das doppelte des im Link aufgezeigten Spitzenreiters) würde das ca.:

26416168822754789094415163723371417151251914996617045756607116681132886608049517 040758148689269904106 Jahre dauern.

Ihr könnt euch ja jetzt mal daraus ableiten, wieviel Passwörter/Sekunde man bräuchte um es in einem Jahr zu knacken. X-D

Naja, was soll man da schon grossartig falsch verstehen können?
Weil es um die Sicherheit von WPA2 ging, und der Link sieht danach aus, als würde er ernsthaft glauben damit könne man es wirklich brechen.

Ich hab mich schon geärgert als diese Meldung durchs Netz ging. Selbst wenn man 10.000x mehr Rechenleistung hätte wäre es noch aussichtslos, wenn man gescheite Passwörter verwendet.

Die Wahrscheinlichkeit auch WPA2 in Nullkommanix zu brechen dürfte recht gut sein, weil Lieschen Müller zwar das "sichere" WPA2 einstellt, dann aber den Vornamen des Freundes/Haustiers als Passwort nimmt, weil man sich den so gut merken kann.

er ernsthaft glauben damit könne man es wirklich brechen.
Wo habe ich das geschrieben?

Immerhin zeigt die Meldung das aktuelle ATI-Karten wesentlich leistungsfähiger als die Nvidia-Karten, welche ja nicht ma DX10.1 supporten :D

Nein, es zeigt bloß dass sie mehr ALU-Rechenleistung haben. Das hat mit D3D10.1 exakt nichts zu tun.

Über die Texturleistung, die ROP-Leistung, die Framebufferkompression und alle anderen Dinge die noch für 3D-Spiele benötigt werden sagt es überhaupt nichts aus. Und das zeigt ja auch die Praxis.

Wo habe ich das geschrieben?

Immerhin zeigt die Meldung das aktuelle ATI-Karten wesentlich leistungsfähiger als die Nvidia-Karten, welche ja nicht ma DX10.1 supporten :D

Und das hat jetzt was genau mit dem Thema zu tun?