Schluss mit dem Halbwissen: Wie "gefährlich" ist denn nun WLAN?

Supernature

Supernature

Und jetzt?
Teammitglied
WLAN ist zur Zeit scheinbar der absolute Hype und die Preise für die erforderliche Hardware purzeln um die Wette. Mit Schrecken stelle ich nun fest, dass ich über dieses Thema genau jenes Halbwissen besitze, über das ich mich bei anderen Leuten gerne amüsiere, wie z.B. bei einem Bekannten, der es nach wie vor kategorisch ablehnt, seinen PC mit dem Internet zu verbinden, "weil man da ja immer so viel hört von wegen Hackern, Viren und so..."
Unglücklicherweise sah ich letzte Woche einen Fernsehbericht über WLAN und gewann dabei den Eindruck, dass das eigentlich nur was für Leute ist, die schon mit dem Leben abgeschlossen haben :ROFLMAO:

Aber nun mal Spaß beiseite, wo liegen denn genau die Risiken, wogegen kann man sich schützen und wogegen nicht?
Was ich schon glaube gelernt zu haben ist, dass man unbedingt mit Verschlüsselung arbeiten sollte und seine "SSID" erstens mit einem nicht allzu leicht zu erratenden Namen versehen und sie außerdem nicht sichtbar machen sollte ("Hide SSID", oder "Disable SSID Broadcasting").
Ich habe dann noch den Tipp gelesen, man solle die Dateifreigabe deaktivieren - aber das kann's ja nicht sein, dann kann man sein Netz ja auch gleich abschalten.

Nehmen wir mal den typischen Anwendungsfall: Man hat ein Laptop zu Hause und will damit über WLAN ins Internet, und hin und wieder will man sich von feststehenden PC ein paar Daten ziehen bzw. dorthin überspielen. Wie geht man vor, um sich zu schützen?
 
Ich denke ein Anfang sind sichere Passwörter und nicht irgendwelche Namen von Haustieren. Eigentlich mache ich mir mehr Sorgen wegen der zusätzlichen Strahlenbelastung und weniger wegen der Netzwerksicherheit. Wer sich wirklich in Dein Heimnetzwerk einklinken will schaft es auch, da bin ich sicher, ansonsten reicht die normale Verschlüsselung die so ein Router bietet mit Sicherheit aus, nur die meisten Leute, die ich kenne benutzen nichtmal diese Grundfunktionen obwohl im Handbuch des Routers steht man soll die Verschlüsselung aktivieren und ein neues Passwort für den Admin vergeben.
 
man solle die Dateifreigabe deaktivieren

da ist schon richtig, lediglich ein/zwei Odner sollten für den "temporären" Datenaustausch freigegeben sein und regelmäßig auch wieder geleert werden, so handhaben wir das jedenfalls.
 
Moin,

also ich hab mich mit der ganzen Materie mal etwas intensiver beschäftigt, da ich eben auch zu Hause ein wireless-Netzwerk aufbauen wollte.
Folgende Erkenntnisse kann ich dir präsentieren (in nem anderen Thread auch schonmal erwähnt):

1. SSID gibt deinem Netzwerk einen "Namen", also solltest du einen speziellen vergeben, durch den nicht auf deinen AccessPoint oder Router rückgeschlossen werden kann. Bei Netgear heissen die SSIDs zB per default "Netgear". Findet dieses WLAN jmd und sonst wurde keine weitere Sicherheit eingebaut, kann sich jeder mit den Standard-PWs Zugang zur AP-Verwaltung beschaffen.
Es sollte jedoch auch nicht erkennbar sein, dass diese SSID zu dir gehört, da man sonst den Standort verrät und sich Cracker gezielt bei dir Zugang verschaffen. Und wie du schon erwäht hast, kann man das Übertragen der SSID in jedem gesendeten "Beacon" auch unterdrücken, d.h. sie wird nicht mit übermittelt.
Beispiel: ich habe ein WLAN in einer Werkzeugbaufirma aufgebaut, jedoch eine SSID vergeben, die auf ein Nachbargebäude hindeutet. Ergo denkt ein "Interessent", dass das WLAN zum Nachbar gehört.

2. PWs und Zugangs-IP zum Router/AP ändern. Es gilt (wie bei allem): NIE die Standard-Einstellungen lassen, da sonst jeder Zugang bekommt. Beispiel Netgear: PW ist password und IP ist 192.168.0.1 Ändert man das nicht kommt jeder in die Verwaltung.

3. Zugangskontrolle einrichten. Jede WLAN-Karte hat eine weltweit eindeutige MAC-Adresse (wie ein Fingerabdruck). Man kann dem Zugangspunkt sagen, welche Karten in das Netz dürfen und welche nicht. Also darf kein ungebetener Gast in dein WLAN.

4. Datenverkehr verschlüsseln. Hier kommt das weitbekannte (oder auch nicht) WEP zum Spiel. WEP bedeutet Wired Equivalency Protocol, soll also der drahtgebundenen Sicherheit gleich kommen. Je nach bit-Zahl wird der Datenverkehr mit mehr oder minder hohen Sicherheit verschlüsselt, und nur der, der den WEP-Key kennt, kann aus dem "Salat" wieder was brauchbares machen.

5. AP/Router so positionieren, dass nur der Bereich abgedeckt wird, den man auch will. Also nicht unbedingt an die Wand stellen, an der der Nachbar ist, da es sonst in seinem Wohnraum mit reinstrahlt. Muss ja nicht sein, wenn man es auch zentral positionieren kann.

6. Bei drahtlosen Netzwerken kein DHC-Protokoll benutzen, da sonst automatisch an andere Rechner im Einstrahlungsbereich IPs vergeben werden. Lieber mit festen IPs arbeiten, solange man nicht in mehreren WLANs arbeitet.

So, das waren mal die grundsätzlichen Sicherheitsmethoden. Jedoch gilt: kein Sicherheitsmechnismus ist perfekt.

Nur als Beispiele:
WEP-Keys findet man mit ca. 800MB mitgehörtem Traffic raus. Je nach Saug-Mentalität ist das in 1 bis 2 Tagen erreicht. Dann kann der Verkehr entschlüsselt werden. Egal ob 64, 128 oder xxx bit, da es hauptsächlich auf den immer 24bit langen Initialisierungs-Vektor (IV) ankommt.
MAC-Adressen kann man ebenfalls durch den mitgehörten Traffic rausfinden und mit speziellen Adressen "spoofen", also vortäuschen, man hätte eine authorisierte MAC-Adresse.

USW USW USW USW...

So gesehen ist eine drahtlose Netzwerkumgebung natürlich unsicherer als ein Netzwerk, an das man erst hardwaremäßig "andocken" muss. Jedoch kommt es immer auf den Aufwand an, den ein Cracker betreiben will, um in das WLAN eines anderen zu kommen. Gerade, da ca. 85 bis 90 % aller WLANs ÜBERHAUPTNICHT gesichert sind. Und wo geht man lieber rein? In ein gesichertes Bankgebäude oder in das offene Bankhaus des Nachbarn?

Abschliessend noch eine besondere Art des "absicherns": VPN. Dieses Virtuelle Private Netzwerk ergibt noch immer die sicherste Stufe des drahtlosen Netzes. Ein Server und ein Client bauen einen "Tunnel" durch die "WLAN-Wolke" auf und nur in diesem nach aussen abgesicherten Tunnel werden Daten ausgetauscht. Niemand anderes kommt hinein. Jedoch auch wiederum nur eine xx%ige Sicherheit.

So habe ich mittlerweile bei mir zu Hause ein WLAN mit oben genannten Sicherheitsmethoden aufgebaut, ebenso bei meiner Freundin als auch in besagtem Werkzeugbau. Des weiteren nutze ich eine VPN-gesicherte Verbindung an meiner Uni.
Meiner Meinung sind die zur Zeit gängigen Sicherheitsmethoden alle vollkommen ausreichend für Privatpersonen. Firmen und Universitäten, also solche Bereiche, in denen vertrauliche Daten kursiren, würde ich jedoch zu VPN oder einer drahtgebundenen Vernetzung raten.
 
Axo, fast vergessen:

@Nipple:
Die Strahlenbelastung ist hier, meiner Meinung nach, völlig irrelevant. Ganz einfach aus folgendem Grund:
Die relative Strahlungsstärke eines DECT-Telefons (also schnurlos) ist 30 mal so hoch wie die relative Strahlungsstärke eines WLANs!!!

@heikefy:
kann ich zustimmen, lediglich einen oder zwei Ordner freigeben, in dem jedoch keine sensiblen Daten gelagert werden. Und dies auch regelmäßig kontrollieren.


Axo, @Supi: und das Gerät net unbedingt direkt neben ner Mikrowelle aufstellen, da die im gleichen Frequenzband senden! :D
 
Super, vielen Dank für die ausführliche Antwort (y)

Das mit der Dateifreigabe sollte man dann entsprechend berücksichtigen - ein gemeinsamer Ordner "Eigene Dateien" für Fest-PC und Laptop kommt demnach also nicht in Frage.
 
Der freigegebene Ordner sollte auch nicht "eigene Dateien" heißen, bzw. man sollte sowieso keine Dateien in diesem Ordner haben.
 
@präcks ;) :angel
Vielen Dank für die Auflistung - war gut, dass nioch mal so kompakt präsentiert zu bekommen!

Ich hab meine ersten WLAN-Konfigurationsversuche erstmal verschoben - auch weil ich meinen Medion-WLAN-Router gerade an eine bedürftigere WG verliehen habe...
 
@Supi & KOENICH:
:D Dafür bin ich doch da! ... vielleicht bekomm ich ja auch mal den Usertitel "WLAN-Supervisor" oder so ähnlich *liebguck*

@Supi nochmal:
Da es dir scheinbar auf ein Heimnetz ankommt, das du kabellos mit dem Laptop verbinden willst, dir aber mit freigegebenen Dateien noch etwas unsicher bist empfehle ich dir, die Datei- und Druckerfreigabe auf dem Laptop zu DEAKTIVIEREN, und einen freigegebenen Ordner auf dem verkabelten PC anzulegen. Darin kannst du dann für beide Parteien nutzbare Dateien ablegen und beim arbeiten in anderen WLANs kannst du sicher sein, dass niemand auf dein Notebook zugreifen kann!
 
Zuletzt bearbeitet:
Und noch ne kleine Ergänzung zu kein DHCP verwenden sondern Fixe IPs.


Meines Wissens ist es ja auch möglich, zudem die IP, an die MAC Adresse zu binden, das heisst, somit ist es nicht mehr möglich, auch wenn ne passende IP verwendet wird, hier sich einzuklinken, weil dass grad auch noch ne MAC gleich ist ist eigentlich fast unmöglich(weil sollte ja weltweit eindeutig sein)
sich da noch einzuklinken.
 
ganz kurz: ich habe schon erwähnt, dass man die MAC-Addy spoofen kann, also ist dies keine Ergänzung... ;) aber danke.
 
Mal sehen, ob ich das richtig verstanden habe:

- IP-Adresse des Routers ändern
- Administrator-Passwort des Routers ändern
- nur MAC-Adressen von zugelassenen Clients für den Zugriff aufs WLAN eintragen.
- SSID mit einem möglichst schwer zu erratenden Namen versehen
- SSID verstecken bzw. Broadcasting deaktivieren
- Verschlüsselung für die Datenübertragung aktivieren
- DHCP deaktivieren

Wenn dies alles der Fall ist, dann bedarf es doch einiger Anstrengungen und schon einer gewissen kriminellen Energie, um in mein Netzwerk einzubrechen.
Irgendwelche Kiddies, die mit dem Laptop im Auto spazieren fahren, werden keinen Erfolg mehr haben, richtig?

Ich habe momentan zwei Rechner und dementsprechend sehr viele Ordner, zum Teil sogar ganze Laufwerke freigegeben, und das würde ich nur ungern ändern.
Also werde ich eher entscheiden müssen, ob ich mit dem Restrisiko leben kann, und das scheint mir der Fall zu sein. Denn unter Beachtung der erwähnten Sicherheitsmassnahmen muss es jemand schon gezielt auf mich abgesehen haben - und in dem Fall dürfte man ohnehin kaum Chancen haben, ist mit der Internet-Sicherheit ja auch nicht anders.
 
Nun, ich denke, das verhält sich das so:
Die Schritte, die oben genannt und von Supi nochmal so schön aufgelistet sind, helfen gegen verschiedene Methoden:
Methode 1: In den Router einbrechen. Dagegen sollte danach nur noch "Brute Force" helfen...
Methode 2: "Abhören", dagegen kannst du nichts machen - und es gehört nich allzuviel Energie dazu. Die Tools gibts bei Google direkt nach den Dialern ;).

Ich bleibe bei meinem guten, alten LAN - ganz ohne W. Wenn hier einer einbricht hat er a) Meine Firewall ausgetrickst b) Meinen Virenscanner ausgetrickst oder c) sich an den Switch angeschlossen ^^

Ich nehme das Kabel gerne in Kauf. Und irgendwann kommt bestimmt WEP mit "echten" 128 Bit + ohne das man "nur" 800MB Daten braucht um reinzuschauen...
 
@Supi: got mail :D

@Wolfi: hab das mit VPN schon vorgeschlagen *g*...

@KaZaR:
Normale Script-Kiddies haben bei den von mir genannten Sicherungsmethoden eine Chance, die gegen Null geht. Zwar kann jeder mittels eines Netstublers die WLANs erkennen, um einzudringen braucht man jedoch entweder ein Linux-System mit Aerosnort oder Aeropeek und spezieller WLAN-Karte (Orinoco zB) oder Windows mit Aeropeek und spezieller WLAN-Karte (nur Orinoco afaik). Dann muss man mittels der Tools noch über 800 MB Traffic abhören um den WEP-Key herauszufinden. Dann muss man die MAC-Addy herausfinden und mit einem weiteren Tool (afaik nur für Linux) spoofen, eine zugeteilte IP finden, die noch nicht belegt ist (ohne DHCP wohl "etwas" schwierig, auch wenn man ganze Ranges scannt), und um dies zu tun muss man schon wissen, in welchem Klasse-C-Netz der Router läuft. USW USW USW... ich mag jetzt net alles aufzählen, jedenfalls ist man mit den genannten Methoden hinreichend gesichert (+ Hard- und Softwarefirewall), zur Not wie gesagt noch ein VPN einrichten und gut ist.
Sofern du net der Boss von BMW bist macht sich keiner die Mühe, in solch ein System einzubrechen.
So far, stay recklezz! :D
 
Achja, wenn's passt, kann man den AP ja auch noch etwas mehr sichern:
Einstellung (wenn vorhanden): nur via Kabel administrieren. Also keine Verwaltung aus dem WLAN heraus zulassen.

WEP: Da lief doch letztes Jahr eine Meldung, dass die ganze Datensammlerei (von wegen der 800MB) nicht wirklich nötig wär', sondern dass das Knacken des WEP-Schlüssels mit Tricks schon nach dem Sniffen weniger Pakete möglich ist...
 
Original geschrieben von Ernst_42
WEP: Da lief doch letztes Jahr eine Meldung, dass die ganze Datensammlerei (von wegen der 800MB) nicht wirklich nötig wär', sondern dass das Knacken des WEP-Schlüssels mit Tricks schon nach dem Sniffen weniger Pakete möglich ist...
Zum Vergrößern anklicken....

Hmm... war das vielleicht so Anfang April... maybe der 1. April???
Nee, mal im Ernst. Afaik geht dies nicht, und wenn dann möchte ich doch bitte eine Quelle zu dieser Theorie!
 
Neben der Verschlüsselung mittels "WEP" (Wired Equivalent Privacy) gibt es noch eine zweite Methode namens "WPA-PSK" (Wi-Fi Protected Access Pre-Shared Key) - welche von den beiden ist denn die grundsätzlich sicherere?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben