WLAN, WEP, WPA Verschlüsselung usw.

Da ich ja - wie im vorigen Thread bereits bemerkt - mein Internet nun auch schnurlos nutzen kann, würde ich gerne mal wissen, woran ichs eigentlich merke, dass auch wirklich WPA verschlüsselt wird?
Bei den WEP-Einstellungen hier am Client musste ich nur den 128Bit Schlüssel eingeben - und dann liefs nämlich! Eigentlich dachte ich, ich müsste da noch das WPA Kennwort irendwo angeben. Ich hab in meinem Medion MD40900 in den Einstellungen (übrigens neueste Firmware von gestern ) WPA Sicherheit mit "pre-shared" Key angegeben - aber den musste ich ja wie gesagt nirgends eintragen! (BS ist WinXP Pro SP1)
Ich möchte nämlich auf keinen Fall, dass hier jemand aus den umliegenden Häusern und Wohungen mein Internet - oder meinen Server(!) - gebraucht - ohne dass ichs merke!
(Gleich noch ne Frage hinterher: Woran merke ich eigentlich, wer alles per WLAN eingeloggt ist? Geht das?)




----
edit
Die letzte Frage in Klammern hab ich mir gerade selbst beantwortet - das kann man im WebInterface vom AccessPoint sehen!)

Hm, da ich mich hier ja kaum der Antworten erwehren kann...

Kennt jemand vielleicht ein gutes WLAN-Forum? Irgendwelche Newsgroups, in denen man mal nachgucken kann?

Hallo KOENICH ,

Du hast da je nach Konfiguration des WLans mehrere Möglichkeiten .

WLans lassen sich im AdHoc Mode und im Infrastructure Mode betreiben .

AdHoc :
Dieser Mode benötigt keinen Router .
Die Wlan Module kommunizieren direkt miteinander .
Der Internetzugang kann dann über beliebigen AccessPoint erfolgen , sofern der Betreiber des AP dies zulässt .

Infrastructure Mode
Hier erfolgt Datenaustausch und Internetzugang über einen Router (*) .
(*) verschiedenste Hardware Kombinationen möglich

Damit es jetzt nicht zu theoretisch wird , poste ich mal mein vergleichsweise bescheidenes Netzwerk :
2 PC mit USB-Wlan Stick und einen Zyxel Prestige 650HW37 ( AP , Router und DSL Modem Kombigerät).

Ich nehme an , daß Dein Netzwerkaufbau prinzipiell ähnlich ist .

Ich denke , daß Du zwei Dinge etwas durcheinander würfelst :
Verschlüssellung und Zugangskontrolle .

Die Verschlüssellung dient einzig und allein dazu , daß die Funkdaten nicht mitgelesen werden können .

Die Zugangskontrolle ist mehrstufig :

A. Netzwerk-Modus unabhängig
1. über Einrichtung von Benutzerrechten und Benutzern im OS
2. Konfiguration der Software-Firewall(s)

B. In Abhängigkeit des gewählten Netzwerkmodus

Adhoc Modus
Hier hast Du nur die Möglichkeiten wie unter Punkt A. beschrieben
Soll Datenverkehr auch mit fremden PC`s erfolgen , muss Konfiguration(*) wie unter Punkt A. beschrieben erfolgen
Zusätzlich muss auf Deinem und dem Fremd PC der selbe Schlüssel(*) für die Verschlüssellung verwendet werden .
(*)aus Sicherheitsgründen natürlich andere Daten als im KOENICH-Alone Netzwerk

Infrastructure Mode
1. wie unter Punkt A. beschrieben
2. Mit Router hast Du die zumindest die einfache Möglichkeit den Zugang nur den MAC-Adressen Deines Netzwerkes (WLan Module) zu gewähren und die Essid zu verstecken



Gruesse
SevenSpirits

Hoppsi... Thread übersehen... zum Glück gibt es die "Hochschieber"...



Also, ich nutze WLAN und hab es dementsprechend abgesichert.

Erstmal grundsätzlich zu meiner/deiner Absicherung, damit niemand dein WLAN nutzen kann, den du da net drin haben willst

1. Standard-IP der WLAN-Basis (Router oder AP) ändern
2. Passwort der Browser-Einrichtungs-Oberfläche ändern
3. SSID ändern (ist meistens als default der Hersteller deiner Basisstation)
4. SSID-Broadcast abschalten (dadurch wird deine SSID nicht mehr in den Beacons übertragen!)
5. MAC-Controlling aktivieren (jede WLAN-Karte hat eine einmalige Identität, ähnlich der IP eines Surfers. Jedoch ändert sich diese niemals. Du kannst deiner Basis verbieten, an andere MAC-Adressen ausser der eingetragenen Daten zu senden)
6. DHCP abschalten und feste IPs vergeben
7. WEP-Verschlüsselung (zwar gilt "je höher die Bitzahl, desto besser", jedoch macht es kaum einen Unterschied, da der WLAN-Hacker sowieso nur den 24-Bit IV braucht, um deine Verschlüsselung zu knacken.)
   [/list=1]
   
   Dabei solltest du bedenken, dass man all diese Mechanismen mit "relativ" wenig Aufwand knacken kann. So reichen ca. 800 MB abgefangener Traffic aus, um deine MAC-Adresse rauszufiltern und dann seine eigene zu "spoofen", also als deine auszugeben. Ebenso ist WEP recht leicht zu knacken, da man wie gesagt nur 24bit ermitteln muss.
   
   ABER:
   Über 80% aller WLAN Netze sind VOLLKOMMEN ungesichert, also ist eine, wenn auch nur kleine, Sicherung deines Netzes eine ausreichend große Abschreckung für Sniffer oder WarXing!!!
   
   (Wie erkennst du die Personen, die dein Netz mitnutzen:
   Am einfachsten geht es wohl über die Nutzeroberfläche deiner Basisstation. Diese sollte einen Punkt "attached devices" oder "angeschlossene Systeme" enthalten. Dort sieht man die IP und den Hostname der kontakteten Maschinen.)
   
   HIER noch ein Link zu einem WLAN-Forum, das recht nützlich ist.
   
   Bei weiteren Fragen kannste mich ja anhauen, bin des öfteren hier.
   
   EDIT: *grml*, jetzt hab ich meine Antwort auch in Klammern gesetzt

Ich habe als größte Sicherung einfach als einzige Mac-Addresse die der WLAN-Karte als erlaubt eingestellt, somit bleiben alle anderen außen vor. Verschlüsselung - naja - wer's braucht, ich nicht.

@penny:

Nope, gerade das allein ist ja auch nicht sicher. Wenn ich in deinem Funk-Bereich bin kann ich über diverse Programme deine MAC-Adresse auslesen und dann über meine legen, also spoofen. Dadurch erkennt mich deine Basis als DEINE MAC an und lässt mich zugreifen!

Ich empfehle immernoch, sämtliche Kombinationen einzustellen, die ich oben genannt hab!

In Pennys Funkbereich fällt jeder auf und wird kritisch beäugt, Schwarzwald eben

@nipple
:lachweg

@all
Ich danke euch soweit, besonders precxx - allerdings vermisse ich noch ein paar Infos zur WPA Verschlüsslung Aber in dem geposteten Forum guck ich mal rum.

@KOENICH:
büdde... mit WPA hab ich mich noch net eingehend beschäftigt. Ich kann dies zwar in meiner Basis auch aktivieren, aber ich "arbeite mich von unsicher nach sicher" durch, bin zZt bei WEP128 und will dass erstmal einigermaßer inner Materie verstehen. Danach wird WPA in Angriff genommen!

@precxx: Bei MIR fällt jeder auf. Bis zum nächsten Haus sind es ca 400m, steht im Sendebereich meines Routers jemand, ist er erstens auf unserem Grundstück (da gehe ich bei 18 Hektar davon aus ), ist also entweder ein Depp, weil er soweit fährt um zu surfen oder er wird vom Hund gefressen.

Hey Penny.... VERDAMMT NOCHMAL, meld dich sofort bei der IEEE!!!!!

Mit der Methode könnte man den sichersten Standard überhaupt aufbauen.
Mist, ich muss umziehen und mir nen Köter zulegen!!!

:lachweg

Also die Zugangskontrolle via MAC ist sehr leicht zu umgehen, WEP ist auch nicht das tollste und deshalb habe ich zu den beiden Mechanismen noch OpenVPN laufen.
Mein AccessPoint ist ein standalone Gerät und per Netzwerkkarte mit meinem Router verbunden. Auf dem Router sind dann alle Ports bis auf OpenVPN gesperrt.
Die Clients lassen auf dem WLAN-Adapter ebenfalls nur VPN-Verbindungen zu.
Mag zwar ein bisschen viel sein, aber nur so bin ich wirklich sicher... man weiss nicht wer durch die Gegend fährt bzw. in Reichweite wohnt... und das Internet ist auch so schon unsicher genug.
Bei den APs werden immer wieder neue Sicherheitslücken bekannt und selbst wenn jetzt jemand meinen AP knackt ist er längst noch nicht drin.

Um eine MAC-Adresse rauszufinden musst du ca. 800 mb Traffic abfangen und diesen entschlüsseln. Dann brauchst du ein Programm, um deine eigene MAC zu spoofen, du musst die IP-Range herausfinden wenn er DHCP aktiviert hat. Wenn nicht muss man die vergebenen IPs rausfinden...
Um WEP zu entschlüsseln musst du auch Traffic abfangen und die 24-bit-IV herausfinden.
Um dies alles zu machen brauchst du i.d.R. ein linux-system, da es kaum lauffähige sniffer und spoofer für win-systeme gibt.

.
.
.
So, und bis du meine Sicherheitsmechanismen ausgehebelt hast, zeige ich dir eins der ca. 90% ungesicherten WLANs und geb dir bei 50 % derer Netze Zugang.

Na, was ist wohl schwieriger?

Es geht bei der WLAN-Sicherheit nicht um die 100%ige Sicherheit, sondern darum, dass man MEHR abgesichert ist, als ca. 90% aller anderen WLANs.
Jeder, der warxing betreibt, wird sich eher in ein ungesichertes Netz cracken als ein geschütztes zu penetrieren!!!

Sorry, aber so stimmt das nicht.

Alles Blödsinn. Alles.

1) MAC-Adresse IMMER übertragen, in jedem Paket. Sogar in den Managment-Paketen

2) Um den WEP Schlüssel zu knacken, brauchst Du Traffic. Wieviel kann keiner genau sagen, da da auch Glück zu gehört.

3) MAC Spoofen ist sehr einfach.

4) Wenn Du DHCP aktiviert hast, muss Du nur eine DHCP Anfrage machen, und hast eine gültige Addresse, inkl. netmask, gateway, dns, etc....

5) Wenn kein DHCP aktiviert ist, kann man sehr leicht auf die IP-Range schliessen.
Beispiel: Connection www.web.de --> 192.168.0.34
Welche Range hat er. Interessiert auch nicht wirklich, ich kann ja 192.168.0.33 nehmen....

7) Mit Windows geht's auch. Es gibt z.B schon einen Port von airsnort auf Windows. MAC Spoofen ist auch kein Problem.


--------- quote follows --------
Um eine MAC-Adresse rauszufinden musst du ca. 800 mb Traffic abfangen und diesen entschlüsseln. Dann brauchst du ein Programm, um deine eigene MAC zu spoofen, du musst die IP-Range herausfinden wenn er DHCP aktiviert hat. Wenn nicht muss man die vergebenen IPs rausfinden...
Um WEP zu entschlüsseln musst du auch Traffic abfangen und die 24-bit-IV herausfinden.
Um dies alles zu machen brauchst du i.d.R. ein linux-system, da es kaum lauffähige sniffer und spoofer für win-systeme gibt.

Ja, alles Blödsinn. Und du bist Gott. Danke.

1) MAC-Adresse IMMER übertragen, in jedem Paket. Sogar in den Managment-Paketen

Zum Vergrößern anklicken....

Wo hab ich gesagt, dass das Übertragen der MAC abgeschaltet wird?

5)...Welche Range hat er. Interessiert auch nicht wirklich, ich kann ja 192.168.0.33 nehmen...

Zum Vergrößern anklicken....

Wenn du das C-Netz und die Range nicht kennst kommst du nicht ins geschlossene System. Aber net so schlimm... bist ja Gott.