Verschlüsselung ja oder nein?

[haha]

Hallo,

ich habe in meinem Heimnetzwerk auch eine WLAN-Strecke. Diese besteht aus der Basisstation (Fritz!Box7141) und einem Repeater (Fritz!Box3030) der meine Dreambox mit dem Internet verbindet.
Das WLAN ansich ist mit WPA2 verschlüsselt, sowohl in der Basisstation als auch im Repeater.
Weiterhin habe ich den MAC-Filter aktiviert. Ich lasse, außer den von mir eingetragenen Geräten, keine anderen zu.

Nun kann man aber in der Router-Konfiguration außerdem noch unter dem Punkt WLAN -> Repeater -> Sicherheit nochmal verschlüsseln.

Wofür ist das gut, oder brauche ich das gar nicht?
Im normalen Betrieb stört es eigentlich nicht, ich kann per HTTP, FTP und Telnet auf die Dreambox zugreifen. Nur wenn ich ein neues Image flashen will, erreiche ich mit dieser zusätzlichen Verschlüsselung das WebInterface des Bootmanagers der Dreambox nicht.

haha

 

[Ecki-No1]

Auch die WLAN-Verbindung zwischen Repeater und Basis sollte mit WPA/WPA2 abgesichert werden. Man kann ja nie wissen.

 

[haha]

Aber das WLAN ist doch ansich schon unter dem Menü-Punkt WLAN-Sicherheit per WPA2 verschlüsselt.
Wofür ist die zusätzliche WPA2 Verschlüsselung nur zwischen Repeater und Basisstation? Der Schlüssel ist auch ein anderer, und alle Geräte, die ich in den MAC-Filter eingetragen habe, können mit dem Schlüssel aus der normalen WPA2 Verschlüsselung auf das Netzwerk zugreifen.

haha

 

[Ecki-No1]

Genau, mehr kann ich dazu nicht schreiben.

 

[Nero FX]

@haha

Du siehst hier nicht das ganze Spektrum. Die Verschlüsslung hat mehr aufgaben als nur die Authorisation von Clients. Sie soll vor Abhören schützen. So bringt dir die WPA(2) verschlüsslung nix, da man ja eh zw. den Accesspoints abhören und sich einlogen kann.

 

[Ecki-No1]

So bringt dir die WPA(2) verschlüsslung nix, da man ja eh zw. den Accesspoints abhören und sich einlogen kann.

Mit genügend Know How ginge soetwas bestimmt, obwohl ich mir das nicht so einfach vorstelle, da im WDS-Repeater die MAC-Adresse des WDS-Clients steht und im WDS-Client die MAC-Adresse des WDS-Repeaters.

Aber wo ein Wille ist, ist auch ein Weg.

 

[haha]

Mir ist schon klar, daß die Verschlüsselung vorrangig dem Schutz vor Angriffen von außen dient.
Was mir nicht klar ist, warum ich das verschlüsselte WLAN zwischen Basis und Repeater noch einmal verschlüsseln muß.
Das verschlüsselte WLAN zwischen z.B. der Basis und meinem Drucker wird doch auch nicht noch einmal verschlüsselt.

haha

 

[Nero FX]

@haha

du verstehst das scheinbar falsch.

Client====AP-----Repeater====Client

= ist verschlüsselt
- unverschlüsselt

der AP entschlüsselt wieder! es ist nicht so das WPA2 durchgängig ist, sondern verschlüsselt wird nur auf der === Strecke, dann von AP wieder entschlüsselt und unverschlüsselt an Repeater weitergereicht und dann wieder von Repeater verschlüsselt zum Client gesendet und das in beide Richtungen.

 

[Ecki-No1]

Aaaaaaaaaaaaalso, ich hab da mal was gemalt.

 

[staubsauger-nono]

Ich weiß nicht, kann man die MAC aus der Repeaterverbindung sniffen und dann mit einer manipulierten MAC ein den Traffic eingreifen?
@Ecki
schön gemalt

 

[Ecki-No1]

Sagen wir mal so, ich würd' mich nicht drauf verlassen, dass es nicht doch einer schafft.

 

[staubsauger-nono]

Ich denke auch, alles was unverschlüsselt durch die Luft fliegt kann auch manipuliert werden.
Und bei 2 Fritzen sollte die WPA-Verschlüsselung auch kein Problem sein.

 

[frank_m24]

Hallo,

warum muss sich ein potentieller Straftäter in euer Netz einhacken per manipulierter MAC Adresse? Hat er doch gar nicht nötig. Da läuft er doch höchstens Gefahr, entdeckt zu werden. Nein, ich würde es mir einfacher machen: Einfach den unverschlüsselten Datenverkehr passiv aufzeichnen und offline auswerten. Es gibt keine Chance, das herauszufinden. Und was geht da alles unverschlüsselt durch die Luft:

• Authentifizierung zu Mail Konten
• Dateiübertragungen zwischen Rechnern
• Zugangsdaten zu Foren
• Inhalt von Mails oder HTTP Seiten
• usw. usw. usw.

Genug, um euch wirklich ernsthaft Schaden zuzufügen. Jedenfalls schlimmeren und unmittelbareren Schaden, als wenn er "nur" euren Internet-Zugang "mitbenutzt". Das ganze kann man auch schön mit WEP-Verschlüsseltem Datenverkehr machen. Und auch mit dem Datenverkehr zwischen Repeatern.

Man muss nicht ein Hacker vor dem Herr sein und sich innerhalb von Minuten an diversen Sicherheitsmaßnahmen vorbei in einen AP einklinken können, um euch zu schaden. Das geht viel bequemer.

 

[Nero FX]

@staubsauger-nono

jap das geht, habe ich selber getestet. Man muss nur die MAC fälschen, fertig, so wars bei mir in einer Testaufstellen (2x Netgear W602v3), in meinem Praktikumsbetrieb, die haben ITler ausgebildet ^^ und das Signal weils Obergeschoss war (über einer Kaufhalle) weit über den ganze Parkplatz empfangbar .
Daraufhin hab ich mich rangesetzt, erst WEP verschlüsslung (was massiv Probleme macht ohne wirklichen Sicherheitsgewinn) dann kam Netgear mit nem Firmwareupdate-->WPA2 WDS/Bridging das lief auch 1a mit Super Datendurchsatz.