WLAN-Umgebung, die wirklich sicher ist?

ledowski

Neuer User
Mitglied seit
1 Aug 2005
Beiträge
71
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen!

Ist es für die nachfolgend geschilderte "Situation" möglich, ein wirklich sicheres Netzwerk einzurichten...?

Ein neues Büro soll ein Netzwerk erhalten, welches aus einem Server und 5 Clients (3 Desktops, 2 Notebooks) besteht. Das eigentliche "Problem" besteht in der Tatsache, daß aufgrund der baulichen Bedingungen eine Vernetzung via Kabel nicht bzw. nur mit sehr hohem Aufwand in Frage käme. Es soll nun geprüft werden, ob man via WLAN ein Netzwerk aufbauen kann, welches wirklich sicher ist. Es hat in der Vergangenheit bereits "Vorfälle" gegeben, die in Richtung Sabotage bzw. Industriespionage gehen, so daß dieser Faktor auch in der Zukunft besondere Beachtung erhalten muß. Eine Plug&Play WLAN Lösung wäre also in jedem Fall zu einfach/unsicher.

Welche Lösungsansätze (z.B. VPN, Radius-Server, etc.) wären für das oben geschilderte Szenario denkbar? Läßt sich das "sichere" WLAN-Netz überhaupt mit überschaubaren Kosten realisieren?

Besten Dank im Voraus und viele Grüße,
Mitja
 
Ja

Hi

Kein Problem. EInfach WPA2 als Verschlüsselung wählen und ein gutes Passwort.
WPA2 ist bis jetzt sicher.

Gruss

Psychodad
 
"gutes Password" heißt hier besonders auch "langes Password", sagen wir ca. 30 Zeichen.

Im Firmenumfeld würde ich aber keine PSK/TKIP-Verschlüsselung wählen,
sondern eine Lösung mit Zertifikaten/PKI (802.1x, 802.11i)

Aber keinesfalls WEP verwenden, das läßt sich in maximal einer Stunde öffnen,
auch wenn keine Daten fließen. (Die erzeuge ich nämlich als Angreifer einfach selbst...)

Gruß,
da-geek
 
Zuletzt bearbeitet:
Ok, man ist also schon "ganz gut dabei", wenn man auf Access Point und Clients WPA2 mit einem Paßwort der maximalen Länge (63 Zeichen) verwendet. Dies läßt sich ja mit aktuell gängiger Hardware recht einfach realisieren. Zusätzlich sind dann noch bestimmte Grundregeln einzuhalten: SSID verbergen, Werkseinstellung SSID verändern, Routerpaßwort anlegen/ändern, MAC-Adressen-Filterung, WLAN bei Nichtverwendung (z.B. nachts und am Wochenende) deaktivieren und Funkstärke am AP ggf. reduzieren (um Bereich zu verringern).

Die Frage ist, ob ich damit schon ein sicheres WLAN habe? Was kann zusätzlich (neben der schon erwähnten IEEE 802.1x Authentifizierung) noch unternommen werden, um das Netz zusätzlich zu sichern?

Lohnt sich beispielsweise ein VPN-Tunnel innehalb des WLAN? Wie sieht es mit einem Radius-Server aus? ...?

Gruß,
Mitja
 
Hmmm... mir ist da eben noch eine ganz andere Idee gekommen: Was haltet ihr als WLAN-Alternative von der Möglichkeit, Daten über das hausinterne Stromnetz (z.B. mit Produkten von devolo) auszutauschen?
 
Wenn sichergestellt ist, dass der firmeninterne Stromkreis auch TATSÄCHLICH nur firmenintern ist, dann ist das ein sicherere Sache, weil es für Eindringlinge schwerer ist, an das Datenübertragungsmedium zu kommen. Hängen allerdings Steckdosen im Vorgarten, Auffahrt oder in einer anderen Partei im Haus und sind alle im selben Kreislauf, dann wäre das wieder sinnlos. Könntest höchstens auf Sicherheit durch Absurdität bauen ;). Aber die Sicherheit sollte man nicht überstrapazieren.
 
Aber keinesfalls WEP verwenden, das läßt sich in maximal einer Stunde öffnen,
auch wenn keine Daten fließen. (Die erzeuge ich nämlich als Angreifer einfach selbst...)

Da hat aber jemand nicht nachgedacht.Diese Aussage stimmt nicht, denn Du kannst keinen Traffic in einem Netzwerk erzeugen, an dem Du noch gar nicht teilnimmst.Prinzipiell stimmt die Aussage bezüglich WEP, aber um ein WEP innerhalb einer Stunde zu knacken, müssen schon sehr ordentlich Pakete unterwegs sein.Und man kann dies eben nicht beschleunigen, da man wegen des fehlenden Keys eben nicht am Netzwerk teilnimmt.

Grüße

TWELVE
 
@Twelfe:
Nur kurz dazu: Falsch! Man kann sehr wohl den Traffic selbst erzeugen. Ist aber nicht schlimm, wenn man das nicht weiß :) Das bedeutet nämlich, dass du es noch nicht angewendet hast. Falls dazu weitere Fragen exestieren google ist für dich da :)

@Ruad:
Desweiteren ist zu beachten, dass firmenintern tatsächlich auch nur EIN Stromkreis vorhanden ist. Es ist durchaus üblich verschiedene Räume auf verschiedene Phasen zu legen (zumindest bei großen Wohnungen / Geschäftsräumen). Dann wirds nichts mit Devolo.

@All:
Ich würde zusätzlich zur (oder auch anstatt der) WPA-Verschlüsselung noch einen VPN-Tunnel aufbauen. Dann bist du wirklich sicher. Wenn das alles richtig Konfiguriert ist, ist dann hat auch der größte DAU kein Problem beim anmelden.
 
@Twelfe:
Nur kurz dazu: Falsch! Man kann sehr wohl den Traffic selbst erzeugen. Ist aber nicht schlimm, wenn man das nicht weiß :smile: Das bedeutet nämlich, dass du es noch nicht angewendet hast. Falls dazu weitere Fragen exestieren google ist für dich da :smile:

Na sicher hab ich es schon gemacht.Ich habe 40 min. dafür gebraucht.Aber nur, weil ich den Traffic in meinem Netzwerk selber erzeugen kann, weil ich ja Rechner mit dem korrekten Schlüssel in diesem Netzwerk habe.
In google kann man jede Menge solches Laienwissen nachlesen.Lauter Leute wie Du, die einfach etwas behaupten, ohne die technischen Zusammenhänge auch nur ansatzweise zu verstehen.
Nochmal: Du kannst keinen Traffic erzeugen in einem Netzwerk, an dem Du nicht teilnimmst.Nicht teilnehmen tust du deshalb, weil Du keinen gültigen Schlüssel besitzt.Ich kann Dir das gerne technisch erklären.Wenn Du es überhaupt verstehst.

Grüße

TWELVE
 
TWELVE schrieb:
Da hat aber jemand nicht nachgedacht.Diese Aussage stimmt nicht, denn Du kannst keinen Traffic in einem Netzwerk erzeugen, an dem Du noch gar nicht teilnimmst.Prinzipiell stimmt die Aussage bezüglich WEP, aber um ein WEP innerhalb einer Stunde zu knacken, müssen schon sehr ordentlich Pakete unterwegs sein.Und man kann dies eben nicht beschleunigen, da man wegen des fehlenden Keys eben nicht am Netzwerk teilnimmt.

Grüße

TWELVE


Doch, ich habe nachgedacht. Aber scheinbar sind Dir die aktuellen Methoden zum Öffnen von WEP nicht so ganz bekannt... Und es müssen eben auch nicht "ordentlich Pakete unterwegs" sein. Die Vorgehensweise (vereinfacht dargestellt): Ich schneide ein (!) passendes verschlüsseltes Paket mit und injiziere dieses dann millionenfach wieder an Deinen AP, dessen Antworten schneide ich wieder mit und komme so in kurzer Zeit (wie gesagt, max eine Stunde) an die nötige Anzahl von IV-Paketen. Da läuft dann Aircrack drüber und schwupps, nach weiteren 5 Minuten wird der WEP-128 Key (eigentlich ja nur 104) ausgespuckt.

Also: NIEMALS WEP benutzen! :)

Gruß,
da-geek
 
TWELVE schrieb:
Nochmal: Du kannst keinen Traffic erzeugen in einem Netzwerk, an dem Du nicht teilnimmst.Nicht teilnehmen tust du deshalb, weil Du keinen gültigen Schlüssel besitzt.Ich kann Dir das gerne technisch erklären.Wenn Du es überhaupt verstehst.

Falsch. Wie Odysseus schon schrieb. Du hast scheinbar die falschen (Laien-)Seiten ergoogelt... Weder MAC-Filter noch ein unbekannter Schlüssel hindern mich daran, Pakete in Dein Netz zu injizieren. (Google-Stichwort: "packet injection").

Gruß,
da-geek
 
dochdoch

Hi

Da muss ich da-geek zustimmen. Das mit dem Trafic erzeugen geht. Wer sich in die Thematik einlesen will findet z.B. bei www.wireless-forum.ch genug futter.

Alledings muss man schon sagen, das WLAN-hacken nicht wirklich trivial ist. Die üblichen DAU's und Script-Kiddies werden sicher schon an der nötigen Hardware und Software scheitern (Notebook mit Linux, zwei WLAN-Karten von ganz bestimmten Typen, diverse Software). Und trotztdem geht es nur bei WEP.
Vesteckte SSID und MAC-Filter dürften bei den Profis nur ein müdes Lächeln erzeugen. Da geht es schon etwas ins philosophische, meine Meinung ist, dass dadurch mehr Aufwand als Sicherheit entsteht.

WPA2 ist also nach wie vor ok. Zusätzlich noch ein VPN macht mehr bei benutzung fremder Hotspots (Hotel oder so) Sinn.

byby

Pychodad

da-geek schrieb:
Doch, ich habe nachgedacht. Aber scheinbar sind Dir die aktuellen Methoden zum Öffnen von WEP nicht so ganz bekannt... Und es müssen eben auch nicht "ordentlich Pakete unterwegs" sein. Die Vorgehensweise (vereinfacht dargestellt): Ich schneide ein (!) passendes verschlüsseltes Paket mit und injiziere dieses dann millionenfach wieder an Deinen AP, dessen Antworten schneide ich wieder mit und komme so in kurzer Zeit (wie gesagt, max eine Stunde) an die nötige Anzahl von IV-Paketen. Da läuft dann Aircrack drüber und schwupps, nach weiteren 5 Minuten wird der WEP-128 Key (eigentlich ja nur 104) ausgespuckt.

Also: NIEMALS WEP benutzen! :)

Gruß,
da-geek
 
Ich schneide ein (!) passendes verschlüsseltes Paket mit und injiziere dieses dann millionenfach wieder an Deinen AP, dessen Antworten schneide ich wieder mit und komme so in kurzer Zeit (wie gesagt, max eine Stunde) an die nötige Anzahl von IV-Paketen.

Wo haste das denn her..? Du kannst gar keine Pakete "injizieren", weil Du keinen gültigen Schlüssel hast.Aber das erwähnte ich ja achon mehrmals..:)

Viele abenteuerliche Sachen kann man hier lesen.Unter anderem von Linux PCs mit 2 Netzwerkkarten.Mir reicht dafür ein Windows Laptop mit einer D-Link DWL-G650 Karte.Erzeuge ich keinen Traffic im Netzwerk selber, dauert es mehrere Tage, bis ich überhaupt genügend Pakete gesammelt hab, um eine Chance zu haben, den Key zu errechnen.Ich befürchte, ich bin der einzige hier, der es schonmal selber gemacht hat.Also verschont mich mit Euren Google Weisheiten.Selber machen !

Grüße

TWELVE
 
TWELVE schrieb:
Wo haste das denn her..? Du kannst gar keine Pakete "injizieren", weil Du keinen gültigen Schlüssel hast.Aber das erwähnte ich ja achon mehrmals..:)

Viele abenteuerliche Sachen kann man hier lesen.Unter anderem von Linux PCs mit 2 Netzwerkkarten.Mir reicht dafür ein Windows Laptop mit einer D-Link DWL-G650 Karte.

Da solltest Du Dich mit dem Gedanken anfreunden, dass andere doch mehr wissen als Du.

Aber schau mal z.B.
http://www.wireless-forum.ch/forum/viewtopic.php?t=4753
oder
http://www.wireless-forum.ch/forum/viewtopic.php?t=4677&highlight=traffic+reinj

Mit einer zweiten Karte Traffic erzeugen ist absolutes Basiswissen in dem Bereich...

Damit sollte das ja geklärt sein.

Psychodad
 
TWELVE schrieb:
Wo haste das denn her..? Du kannst gar keine Pakete "injizieren", weil Du keinen gültigen Schlüssel hast.Aber das erwähnte ich ja achon mehrmals..:)

Es reicht langsam...

Auch wenn Du es mehrfach behauptest, wird es dadurch nicht richtiger!!

Wie gesagt, "packet injection" ist das richtige Suchwort für Dich. Ich habe mit Einverständnis von Kunden schon diverse WEP-128-Netze aufgemacht und zwar natürlich OHNE vorher den Schlüssel zu haben. Den habe ich dann aber hinterher den Kunden präsentiert. Könnte ich auch gern für Dein Netzwerk machen - je nachdem, wo Du wohnst...

Richtig ist, dass mittlerweile nur noch eine Netzwerkkarte dazu nötig ist, unter Windows gibt es dazu aber bisher NICHT die benötigten Tools. (Stichwort: "airtools")

Richtig ist außerdem, dass es nicht ganz trivial ist (DU z.B. scheinst ja nach wie vor zu glauben, dass das erst gar nicht geht! :) )

Lies mal lieber meinen Betrag SORGFÄLTIG: Ich injiziere ja ein gültiges Paket (welches aus Deinem Netz kam wieder in Dein Netz - und zwar geht das auch, ohne den Schlüssel zu kennen. (Stichwort: "Replay-Attacke")

TWELVE schrieb:
Erzeuge ich keinen Traffic im Netzwerk selber, dauert es mehrere Tage, bis ich überhaupt genügend Pakete gesammelt hab, um eine Chance zu haben, den Key zu errechnen.

Richtig. Weil das reine Mitlauschen viel zu lange dauert, erzeugt man ja eben selbst Traffic, um genügend Pakete zu erzeugen, aus denen man dann den Key bestimmen kann. (Müßte ich dazu den Key kennen, wäre die Aktion ja völlig sinnlos....)

Gruß,
da-geek

(edit: Zeilenumbrüche rausgenommen)
 
Zuletzt bearbeitet:
Ok, ein Replay würde gehen, aber dafür müßte man erstmal Pakete aufzeichnen können, die man dann wieder abspielen kann.An einem AP ohne Client gibt es nichts, das Du aufzeichnen kannst.Mir ging es darum, das Leute immer wieder behaupten, sie könnten Traffic in einem WLAN künstlich erzeugen, an dem sie wegen fehlendem Key nicht teilnehmen.
Ohne Aufzeichnung bereits gesendeter Pakete ist das nicht möglich.
Zu den Links: sehr akkurat, da wird von 3000 Paketen gesprochen, die man braucht..:) Ich denke eher, es sind 3 Millionen.Aber egal.



Grüße

TWELVE
 
TWELVE schrieb:
Ok, ein Replay würde gehen, aber dafür müßte man erstmal Pakete aufzeichnen können, die man dann wieder abspielen kann.An einem AP ohne Client gibt es nichts, das Du aufzeichnen kannst.Mir ging es darum, das Leute immer wieder behaupten, sie könnten Traffic in einem WLAN künstlich erzeugen, an dem sie wegen fehlendem Key nicht teilnehmen.
Ohne Aufzeichnung bereits gesendeter Pakete ist das nicht möglich.
Zu den Links: sehr akkurat, da wird von 3000 Paketen gesprochen, die man braucht..:) Ich denke eher, es sind 3 Millionen.Aber egal.

Grüße

TWELVE

Natürlich muß man erst ein Paket mitschneiden - und dazu auch noch ein passendes (Stichwort "ARP-request"). Habe aber nie was anderes behauptet. (Und ich kenne auch niemanden, der behauptet, Traffic künstlich erzeugen zu können...)

Aber was sollte auch ein AP ganz ohne Clients? Also wird's schon mal ein Paket zum Mitschneiden geben, wenn man lange genug sniffed.

Tja, die Links sind nicht wirklich gut, aber Psychodad wollte sicher nur ein paar erste Hinweise geben. Man braucht wirklich eher drei Mio passende Pakete. (Oft reicht aber schon eine Million)

Ist jedenfalls problemlos möglich und sollte eine Warnung für alle sein, die meinen "ich mache lokal so wenig traffic, das reicht nie zum Key berechnen, also ist es sicher"

Gruß,
da-geek
 
Wenn das dann auch nicht reicht einfach von einem WLAN zum anderen Rechner einen VPN Tunnel aufbauen und den dann zusätzlich verschlüsseln.
 
Diverse Anhaltspunkte und Informationen konnte ich durch diesen Thread ja schon sammeln - dafür vielen Dank an alle Beteiligten.

Um nochmal ganz kurz auf mein Szenario einzugehen: Die Absicherung vor Scriptkiddies ist die eine Sache, die Absicherung vor gezielten ("professionellen") Angriffen ist die andere Sache. Eine besondere Brisanz bekommt der letztgenannte Aspekt, da es in der Vergangenheit bereits "gezielte Vorfälle" gegeben hat und es (leider) nicht auszuschließen ist, daß da "noch was kommen könnte". - Vor diesem Hintergrund wird auch in Erwägung gezogen, sämtliche Festplatten (transparent) zu verschlüsseln, damit die Daten im Falle eines Diebstahles (z.B. eines Notebooks) "sicher" sind (aber das ist ein anderes Thema).

Ich bin gespannt, was dieser Thread noch an Informationen bieten wird...

Beste Grüße,
Mitja
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.