PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSID unsichtbar trotzdem connecten


Swp2000
2015-12-24, 09:12:10
Hallo Leute,

ich nutze das WLAN meiner FritzBox nur für Verbindungen meiner IP Kamera. Da Gäste nicht in Versuchung geraten sich mit diesem WLAN Hotspot zu verbinden habe ich ihn unsichtbar geschalten.
Wie ist das nun mit weiteren WLAN Geräten von denen ich eines habe, welches ich ab und an dort anmelden muss, hierzu muss man ja nun erst wieder das Netzwerk sichtbar machen, oder gibt es hier eine andere Möglichkeit?

Mosher
2015-12-24, 10:23:41
Du kannst manuell eine Verbindung einrichten und dort die SSID eingeben.

Swp2000
2015-12-25, 11:33:21
Achsow, damit mache ich es nicht wie üblich über die Netzwerksuche da diese eben das Netzwerk nicht anzeigen würde!? Deswegen manuell...

Mosher
2015-12-25, 11:41:42
Genau. Dieses "unsichtbar schalten" bewirkt nur, dass die SSID nicht übertragen wird, aber es gibt sie natürlich trotzdem noch.

Manuell hinzufügen kannst du unter Windows beim Netzwerk- und Freigabecenter.

http://abload.de/img/unbenanntwdsbv.png

Lokadamus
2015-12-25, 21:00:07
Achsow, damit mache ich es nicht wie üblich über die Netzwerksuche da diese eben das Netzwerk nicht anzeigen würde!? Deswegen manuell...Noch zur Info.
https://de.wikipedia.org/wiki/Service_Set#Versteckte_Netze

derpinguin
2015-12-25, 21:25:54
Noch zur Info.
https://de.wikipedia.org/wiki/Service_Set#Versteckte_Netze
Für sein Vorhaben, Besucher davon abzuhalten in sein WLAN einzuloggen trotzdem völlig ausreichend.

Sven77
2015-12-25, 21:49:25
Da wäre eine sichtbare SSID mit WPA2 Verschlüsselung und anständigem Passwort sinnvoller.. SSID verstecken verursacht gerne Verbindungsprobleme und täuscht Sicherheit vor die nicht vorhanden ist.. es macht einfach keinen Sinn die SSID zu verstecken

derpinguin
2015-12-25, 21:51:01
Da wäre eine sichtbare SSID mit WPA2 Verschlüsselung und anständigem Passwort sinnvoller.. SSID verstecken verursacht gerne Verbindungsprobleme und täuscht Sicherheit vor die nicht vorhanden ist.. es macht einfach keinen Sinn die SSID zu verstecken
Stimmt, aber wenn er keine Probleme damit hat und trotzdem noch einen Key verwendet ist doch alles ok.

Sven77
2015-12-25, 22:03:45
Alleine die Annahme von ihm das SSID in dieser Hinsicht irgendeinen Vorteil bietet ist nicht okay.. WLAN Network Cloaking ist das rote Tuch in der IT und das nicht ohne Grund.

Mosher
2015-12-25, 22:09:56
Wieso denn? Er will doch einfach nur die SSID vor seinen Gästen verbergen, damit diese sich nicht aus Versehen mit dem falschen verbinden. So hatte ich das zumindest verstanden.

Wenn unter seinen Gästen natürlich regelmäßig "Hacker" unterwegs sind, dann... okay.

Hacker in der Nachbarschaft hält eine verborgene SSID natürlich auch nicht ab, das ist richtig. Das war aber imho nicht Sinn der Aktion.

derpinguin
2015-12-25, 22:16:57
So hab ich das auch verstanden.

Swp2000
2015-12-26, 10:14:34
Wieso denn? Er will doch einfach nur die SSID vor seinen Gästen verbergen, damit diese sich nicht aus Versehen mit dem falschen verbinden.
So ist es auch angedacht.

Swp2000
2015-12-27, 12:39:49
Was mir auch noch auffällt, das jeden tag wohl jemand aus der Nachbarschaft versucht ins WLAN zu kommen. Ich habe immer wieder erfolglose Anmeldeversuche in der History.
Kann ich dem irgendwie entgegenwirken, nicht das er es irgendwann doch noch schafft das Passwort zu entschlüsseln.
Passwort hat 24 Zeichen inkl. Sonderzeichen und Zahlen.

Gast
2015-12-27, 13:15:46
Ich würde das Gastnetzwerk abschalten. Macht man eigentlich nur wenn man irgendwo einen AP betreiben will. Ob sich in deinem Netzwerk ständig absichtlich einer anmeldet. ist noch die Frage, wer weiß wie viele (offene) Netzwerke es bei euch gibt?

Unsichtbar schalten eines Netzwerks ist völliger Humbug und schützt nicht die Bohne, jeder halbwegs in der Materie stehende kriegt das in ein paar sec. zum laufen wenn es offen geschalten ist.

Also eher WPA2 Verschlüssung mit Zugangs-ID. Im Menü der Fritzbox kannst du unterdrücken das sich sich Fremde anmelden können, wenn du den Zugang auf bekannte Geräte (Macadressen) beschränkst.

Der Gastzugang ist nur sinnvoll wenn Anwender eben nicht auf das Netzwerklaufwerk zugreifen sollen.

Mit dem Macadressfilter kannst du den Zugriff permanenter Störenfriede auch unterdrücken.

Gast
2015-12-27, 13:33:19
Um zu sehen, wer gerade in deinem Netzwerk rumgurkt, lade dir den den Wireless Network Watcher in Version 1.91 runter. Der zeigt alles sofort in Echtzeit inklusive MAC-Address an.

derpinguin
2015-12-27, 13:51:29
Was mir auch noch auffällt, das jeden tag wohl jemand aus der Nachbarschaft versucht ins WLAN zu kommen. Ich habe immer wieder erfolglose Anmeldeversuche in der History.
Kann ich dem irgendwie entgegenwirken, nicht das er es irgendwann doch noch schafft das Passwort zu entschlüsseln.
Passwort hat 24 Zeichen inkl. Sonderzeichen und Zahlen.
MAC Filtering. Sperr dessen Adresse aus.

Darkman.X
2015-12-27, 14:30:49
Und bevor "Swp2000" es falsch versteht: MAC-Adressen-Filterung ist auch keine wirkliche Schutzfunktion, genauso wenig wie das Verstecken der SSID. Siehe auch http://www.heise.de/ct/hotline/MAC-Filter-sinnvoll-oder-nicht-2056401.html

Gast
2015-12-27, 16:27:32
Und bevor "Swp2000" es falsch versteht: MAC-Adressen-Filterung ist auch keine wirkliche Schutzfunktion, genauso wenig wie das Verstecken der SSID. Siehe auch http://www.heise.de/ct/hotline/MAC-Filter-sinnvoll-oder-nicht-2056401.html
@darkman
Mac Spoofing funktioniert nur wenn die Mac-adresse die gefiltert und erneut abgebildet wird-wurde, offline ist.

Ich meine die Firewall der Fritzbox erkennt das trotzdem und gibt einen Alarm aus, weil der Rechnername (IP) nicht stimmt.

Auch Requests würden die Firewall auslösen. Selbst sniffen wird bemerkt. WPA2 nacken wird schon schwieriger, für Laien bald unmöglich.

Der Sandmann
2015-12-27, 16:59:44
@darkman
Mac Spoofing funktioniert nur wenn die Mac-adresse die gefiltert und erneut abgebildet wird-wurde, offline ist.

Ich meine die Firewall der Fritzbox erkennt das trotzdem und gibt einen Alarm aus, weil der Rechnername (IP) nicht stimmt.

Auch Requests würden die Firewall auslösen. Selbst sniffen wird bemerkt. WPA2 nacken wird schon schwieriger, für Laien bald unmöglich.

Gubt es den schon möglichkeiten bei wpa2 ausser ein brutforce angriff?

lumines
2015-12-27, 17:10:07
Gubt es den schon möglichkeiten bei wpa2 ausser ein brutforce angriff?

Wenn man es richtig konfiguriert, dann ist man schon sehr auf der sicheren Seite.

Praktisch heißt das: WPS deaktivieren, CCMP als Protokoll benutzen (Voraussetzung für WPA2, bei WPA war es noch optional) und ein langes (>= 12 Zeichen), zufallsgeneriertes Passwort nutzen.

Solange man das beachtet, braucht man sich um Bruteforce-Angriffe absolut keine Sorgen zu machen.

Die SSID nicht zu broadcasten kann natürlich in Ausnahmen Sinn machen, wenn dadurch z.B. die Logs zugespammt werden, weil irgendwelche Clients Amok laufen und sich andauernd versuchen zu connecten. Man hat dadurch aber keinen Sicherheitsgewinn.

Swp2000
2015-12-27, 17:26:29
MAC Filtering. Sperr dessen Adresse aus.
Ich habe die Option" Nur bekannte WLAN Geräte zulassen" aktiviert, was dies ja beinhaltet. Gastnetzwerk ist nicht aktiv.
Habe nun mal die WLAN sendeLeistung auf 50% runtergeschraubt und muss nun mal sehen ob meine WLAN Geräte hier Probleme haben.

Gast
2015-12-27, 18:08:35
Ich habe die Option" Nur bekannte WLAN Geräte zulassen" aktiviert, was dies ja beinhaltet. Gastnetzwerk ist nicht aktiv.
Habe nun mal die WLAN sendeLeistung auf 50% runtergeschraubt und muss nun mal sehen ob meine WLAN Geräte hier Probleme haben.
Du kannst die WLAN Netzwerkstärke so setzen das die Box es automatisch (dynamisch) anpasst. Dann gibt es auch mit den angemeldeten Geräten keine Probleme.

Siehe: ...Sendeleistung wird nur für einzelne WLAN-Geräte verringert

Empfehlen würde ich, erstmal mit 100% den richtigen Funkkanal zu suchen, der den wenigsten Störquellen ausgesetzt ist.

Als SSID würde dir eine lange Buchstaben und Zahlenfolge empfehlem mit Groß und Kleinschreibung. Ab 15 zeichen wird es dann schon ziemlich sicher, für den allgemeinen Gebrauch.

Swp2000
2015-12-27, 19:41:07
Diese Option gibt es in der 7490 nicht, oder ich finde sie nicht!

Gast
2015-12-27, 20:10:43
Unter "Funkkanal": Sendeleistung auf den tatsächlichen Bedarf verringern-Haken rein, oberhalb wo du die Sendeleistung auswählst.

Ansonsten hast du eine Box mit einem Branding?

Darkman.X
2015-12-27, 23:50:48
Laut Google gibt es die Option nur bei der 7270. Die 7490 hat die Option nicht. Ich hatte mich schon eben gewundert, weil ich solch eine Option bei meiner ungebrandeten 7490 noch nie gesehen hatte. Also zumindest bei der Firmware 6.30 und 6.50. Und auch bei älteren Versionen nicht, wenn ich mich richtig erinnere.

Gast
2015-12-28, 12:14:00
Laut Google gibt es die Option nur bei der 7270. Die 7490 hat die Option nicht. Ich hatte mich schon eben gewundert, weil ich solch eine Option bei meiner ungebrandeten 7490 noch nie gesehen hatte. Also zumindest bei der Firmware 6.30 und 6.50. Und auch bei älteren Versionen nicht, wenn ich mich richtig erinnere.
Jupps, die manuelle Einstellung gibt es so nicht mehr, da die Box je nach verwendeten Standard die Bandbreite dynamisch anpasst. Im 5Ghz Band sollte man wissen, dass die höchste Bandbreite unter ac nur erreicht wird, wenn als Verschlüsselungverfahren AES-CMPP ausgewählt wurde.

Swp2000
2015-12-30, 10:15:33
Da wir es hier gerade von Verschlüsselungs Standarts haben, weiß jemand ob die FB auch WPA2-Enterprise beherrscht?

Gast
2015-12-30, 12:33:48
Da wir es hier gerade von Verschlüsselungs Standarts haben, weiß jemand ob die FB auch WPA2-Enterprise beherrscht?
Wenn du EAP und TTLS meinst (Radius-Server), nein dass kann sie im Auslieferungszustand nicht. Dazu müsste sie IEEE 802.11i/D9.0 unterstützen. Glaube der FRITZ!WLAN Repeater 1750E kann das bereits (kanns aber nicht zu 100% sagen).

Das Betreiben eines Radius Server ist im Homebereich wegen der übersichtlichen Nutzeranzahl eher seltener, mit Freetz könnte das trotzdem klappen. Weiss nicht obs für die 7490 auch angeboten wird: http://freetz.org/

Gast
2016-01-25, 16:06:33
MAC-Adr.-Filterung ist bezüglich WLAN leider relativ einfach zu umgehen. Gibt ja dutzende Wifi-Tools wie z.b. INSSIDER welche die MAC-Adressen aktiver Geräte in der Umgebung auslesen und dann bräuchte es nur noch MAC-Spoofing...

Sicher ist das also auch nicht, zugegeben ist der Aufwand dafür aber jetzt auch nicht so ohne und wird kaum damit zu rechnen sein das sich das der 0815-Gast antut.

Trotzdem ist der MAC-Filter sicher besser als nichts.

Gast
2016-01-25, 16:12:37
MAC-Adr.-Filterung ist bezüglich WLAN leider relativ einfach zu umgehen. Gibt ja dutzende Wifi-Tools wie z.b. INSSIDER welche die MAC-Adressen aktiver Geräte in der Umgebung auslesen und dann bräuchte es nur noch MAC-Spoofing...
Trotzdem ist der MAC-Filter sicher besser als nichts.
Siehe auch : https://de.wikipedia.org/wiki/MAC-Filter

lumines
2016-01-25, 18:46:41
Sicher ist das also auch nicht, zugegeben ist der Aufwand dafür aber jetzt auch nicht so ohne und wird kaum damit zu rechnen sein das sich das der 0815-Gast antut.

Quasi alle Macs können passiv lauschen. Wird von Apple sogar ganz offiziell unterstützt. Eine gültige MAC-Adresse rauszufinden kann da teilweise in wenigen Sekunden möglich sein.

Ich würde einen MAC-Filter nur als sehr lose Zugangskontrolle für eigene Geräte betrachten, aber nicht als Sicherheitsfeature.

Swp2000
2016-01-26, 19:20:30
Was würdest du mir empfehlen? Das Problem ist, das die IP-Cams kein WPA2 Enterprise können, sonst hätte ich schon längst einen Radius Server installiert.Was habe ich sonst noch für Möglichkeiten?

lumines
2016-01-26, 22:45:02
WPA2 Enterprise verschlüsselt nur für jeden Client unabhängig. Beide benutzen für die Verschlüsselung AES-CCMP. Deshalb sind sie, jedenfalls was die Verschlüsselung angeht, genau gleich sicher.

Ich würde einfach das Netzwerk sichtbar schalten und eine sichere Passphrase für WPA2 (Personal) benutzen. MAC-Filter und die SSID nicht zu broadcasten verschleiern nur, aber liefern keine Sicherheit. Dafür benutzt man eben WPA2, weil es auf starken, kryptografischen Protokollen basiert, die ziemlich erprobt sind.

Lass dich von den Logs nicht irritieren – niemand kann nach dem aktuellen Stand einfach so WPA2 brechen. Es geht nur über Brute Force und das ist nicht praktikabel bei einer starken Passphrase.

Wichtig ist nur eine starke Passphrase, die möglichst zufallsgeneriert ist. Du kannst dafür einen Passwort-Manager nehmen. KeePass sollte z.B. den PRNG (https://de.wikipedia.org/wiki/Zufallszahlengenerator#Pseudozufallszahlengenerator) deines Betriebssystems anzapfen und noch weitere Quellen heranziehen.

Solange in WPA2 keine Sicherheitslücken gefunden werden, können sich dann an deiner Fritzbox noch mehrere Generationen wortwörtlich totrechnen.

DerRob
2016-01-27, 19:14:44
Was mir auch noch auffällt, das jeden tag wohl jemand aus der Nachbarschaft versucht ins WLAN zu kommen. Ich habe immer wieder erfolglose Anmeldeversuche in der History.
Passiert möglicherweise garnicht mit Absicht. Vielleicht hat derjenige sich irgendwo mal mit einem WLAN mit gleicher SSID verbunden, und jetzt versucht sich das Gerät in regelmäßigen Abständen mit dem "bekannten" Netzwerk zu verbinden. Also nach Möglichkeit eine recht einzigartige SSID einrichten, und nicht so einen Allerweltsnamen wie "FB 7490" ;)

Einige der gespeicherten WLANs in meinem Handy:
FritzBox
FRITZ!Box WLAN 3170
FRITZ!Box Fon WLAN 7170
FRITZ!Box Fon WLAN 7270
FRITZ!Box Fon WLAN 7390
FRITZ!Box 7490
HITRON-A330
HITRON-C560
NetGear
TP-LINK
Wireless
WLAN

Sobald ich also in die Nähe eines WLANs mit der gleichen SSID komme, versucht sich mein Handy automatisch zu verbinden, und verursacht dann natürlich den einen oder anderen Log-Eintrag ;)