WLAN-Umgebung, die wirklich sicher ist?

[ledowski]

Stimmen die Angaben, die der Network Stumbler bietet?

Ich habe mich nun doch ein wenig mehr um das Thema "WLAN Sicherheit" gekümmert und mal mein eigenes Funknetz unter die Lupe genommen. Dabei bin ich auf folgende "Merkwürdigkeit" gestoßen:

Ich habe mal den 'Network Stumbler' bemüht, meine Umgebung nach Funknetzwerken abzuscannen. Natürlich tauchte da mein eigenes Netzwerk bei auf. Ein wenig beunruhigend finde ich nun die Tatsache, daß bei mir unter "Encryption" der Eintrag "WEP" zu lesen ist, obwohl der Router auf "AES(WPA2)" eingestellt ist. Das Tool "Access Connections" (Verbindungstool auf IBM/Lenovo Thinkpads) auf meinem Laptop sagt mir auch unter Sicherheit: "Ja (WPA2-PSK/AES)". - Wer "lügt" denn nun?

In diesem Zusammenhang noch schnell eine andere Frage: Auf dem Router (Fritz!BOX) findet sich die Einstellung "Group Key Intervall"; gibt es für diesen Wert irgendeine "Idaleinstellung"? Gibt es irgendeinen Zusammenhang zwischen diesem Wert und der Netzwerksicherheit?

Viele Grüße,
Mitja

 

[da-geek]

Ich habe mal den 'Network Stumbler' bemüht, meine Umgebung nach Funknetzwerken abzuscannen. Natürlich tauchte da mein eigenes Netzwerk bei auf. Ein wenig beunruhigend finde ich nun die Tatsache, daß bei mir unter "Encryption" der Eintrag "WEP" zu lesen ist

Liegt am Netstumbler, der sieht nur, dass es verschlüsselt ist, nicht wie und womit.

Gruß,
da-geek

 

[da-geek]

Und hier die absolute DAU Anleitung mit es auch jetzt der Letzte glaubt.

Es ist wirklich nicht schwer.

http://www.tomsnetworking.com/Sections-article118.php

http://www.tomsnetworking.com/Sections-article120-page1.php


Ich habe deshalb alles gleich auf WPA2 mit TKIP+AES umgestellt was der WRT54G ja recht gut kann.

Gute Idee (das mit der Umstellung auf WPA2). Mit der Anleitung kann es dann auch TWELVE

Gruß,
da-geek

 

[da-geek]

Um nochmal ganz kurz auf mein Szenario einzugehen: Die Absicherung vor Scriptkiddies ist die eine Sache, die Absicherung vor gezielten ("professionellen") Angriffen ist die andere Sache. Eine besondere Brisanz bekommt der letztgenannte Aspekt, da es in der Vergangenheit bereits "gezielte Vorfälle" gegeben hat und es (leider) nicht auszuschließen ist, daß da "noch was kommen könnte". - Vor diesem Hintergrund wird auch in Erwägung gezogen, sämtliche Festplatten (transparent) zu verschlüsseln, damit die Daten im Falle eines Diebstahles (z.B. eines Notebooks) "sicher" sind (aber das ist ein anderes Thema).

Ich bin gespannt, was dieser Thread noch an Informationen bieten wird...

Beste Grüße,
Mitja

Also wenn es schon die direkte Vermutung eines kommenden Angriffes gibt, empfiehlt sich in jedem Fall ein zusätzlicher IPSec-Tunnel (VPN). (Vom Design her: WLAN-Access-Point steht in einer DMZ und erlaubt nur den IPSec-Zugriff auf das VPN-Gateway. Erst dieses läßt die Tunnel dann (nach erfolgreichem VPN-Tunnelaufbau) auf den definierten Ports durch eine weitere Firewall.

Wenn Geld keine Rolle spielt, sollte zur Authentifizierung des VPN-Users ein Token (z.B. RSA SecureID) zum Einsatz kommen. Wenn das zu teuer ist,
sollte Authentifizierung mittels Zertifikaten (und entsprechender PKI) gewählt werden. Vorteil: Wird der Laptop gestohlen, kann das geweilige Zertifikat gesperrt werden und erlaubt so keinen VPN-Zugang mehr.

Verschlüsselung der Festplatten ist OK und zumindest bei Windows XP auch mit Bordmitteln brauchbar. (Auch hier leistet eine eigene Public-Key-Infrastruktur dann gute Dienste.) Aber bitte nicht die Windows 2000 integrierte Filesystemverschlüsselung verwenden, die ist bereits offen...

Gruß,
da-geek

 

[TWELVE]

Gute Idee (das mit der Umstellung auf WPA2). Mit der Anleitung kann es dann auch TWELVE :smile:

Immer schön fluffig bleiben.Mit persönlichen Diffamierungen kommst Du hier nicht allzuweit.Das was ich gesagt hab, kann ich technisch begründen.Kannst Du es auch, ohne eine Anleitung abzuschreiben..? Es wird immer viel behauptet auf diversen Seiten, aber eine handfeste technische Erklärung dafür abgeben können die wenigsten.

 

[da-geek]

Immer schön fluffig bleiben.Mit persönlichen Diffamierungen kommst Du hier nicht allzuweit.Das was ich gesagt hab, kann ich technisch begründen.Kannst Du es auch, ohne eine Anleitung abzuschreiben..? Es wird immer viel behauptet auf diversen Seiten, aber eine handfeste technische Erklärung dafür abgeben können die wenigsten.

Wieso persönliche Diffamierungen??? DU hast Dich doch selbst hier (und zwar gleich wiederholt) blamiert, in dem Du mehrfach geschrieben hast, das man keine Pakete ins Netz injizieren könne, ohne den Schlüssel dafür zu haben, obwohl hier gleich drei Leute unabhängig gesagt haben, dass es geht. Du hast aber trotzdem hartnäckig behauptet, dass es NICHT geht (und wiegst damit die anderen Leute, die sich nicht so gut auskennen, in falscher Sicherheit).

Dabei hatte ich bereits ganz oben geschrieben:

Die Vorgehensweise (vereinfacht dargestellt): Ich schneide ein (!) passendes verschlüsseltes Paket mit und injiziere dieses dann millionenfach wieder an Deinen AP, dessen Antworten schneide ich wieder mit und komme so in kurzer Zeit (wie gesagt, max eine Stunde) an die nötige Anzahl von IV-Paketen.

Also habe ich da schon ganz deutlich gesagt: ERST MITSCHNEIDEN UND DANN INJIZIEREN!

Ich verdiene mein Geld mit IT-Sicherheit, Schwerpunktmäßig mit Netzwerk-Sicherheit, mache das seit mehr als 20 Jahren und kann Dir auch so ziemlich alles, was damit zusammenhängt, fundiert erklären. (Allerdings gebe ich keine Step-by-Step-Anleitung zu Straftaten.)

Hier ging es um sicheres WLAN und den Umstand, dass WEP nicht sicher ist (und warum) - nicht aber, wie man Designfehler im Detail ausnutzt...

Sieh's doch bitte ein, Du hast Dich doch hier mächtig mit Deinen Falsch-Aussagen vergallopiert und anstatt jetzt etwas kleinlaut zurückzurudern, wirst Du auch noch frech. Ich versteh's echt nicht, jeder macht mal Fehler oder ist nicht auf dem aktuellen Stand - das kann man auch gern mal zugeben.

Aber lassen wir das jetzt, der ursprüngliche Thread-Starter wollte Sicherheits-Infos und keine Diskussion um Wissen und Nicht-Wissen...

Gruß,
da-geek