Reakwon
Addicted
|
Hiho..
also ich habe ueber am Wlan Router eingestellt, dass nur die mac adressen meiner wlan karte und die meiner Freundin access zum router haben..
ist wep dennoch empfehlenswert ?
muesste ja eigentlich reichen, oder ?
|
T3XT4
Beißer
|
naja, wenns wer mit skill drauf anlegt reichts nicht, nein.. und wep is nur noch ein zusätzlicher schutz.. aber auch ned grad unknackbar 
|
Frys_Assassin
information keeper
|
naja, nur eine MAC protection umgehen hat nicht so viel mit skill zu tun. brauchst einfach nur paket mitsniffen, da steht die MAC drin, dann tragst es bei deiner eigenen NWKarte ein.
Würde schon zu WEP raten.
|
Lizardking
Big d00d
|
|
quattro
Alive For The Journey
|
Bearbeitet von quattro am 27.04.2005, 22:09
|
Reakwon
Addicted
|
|
samuel
.:: unnahbar ::.
|
root passwort aendern
DHCP deaktivieren
unverschluesselten zugang verbieten
WEP deaktivieren (wenn notebook WPA kann)
WPA aktivieren (deaktivieren wenn notebook nur WEP kann)
alles konfiguerieren und testen
SSID broadcast ausschalten
...
das sind mal die mindesten schritte, ohne die ich gar nichts machen wuerde. in weiter folge sind dann zB VPNs interessant. (aber fuer anfaenger nicht so geeignet)
sam
|
quattro
Alive For The Journey
|
root passwort aendern
DHCP deaktivieren
unverschluesselten zugang verbieten
WEP deaktivieren (wenn notebook WPA kann)
WPA aktivieren (deaktivieren wenn notebook nur WEP kann)
alles konfiguerieren und testen
SSID broadcast ausschalten
...
das sind mal die mindesten schritte, ohne die ich gar nichts machen wuerde. in weiter folge sind dann zB VPNs interessant. (aber fuer anfaenger nicht so geeignet)
sam das ist ja total übertrieben... sobald WPA eingeschalten ist kann praktisch keiner mehr mit endlichem aufwand hinein, solage das passwort stark genug gewählt ist. ich z.B. verwende eine 25-stellige Groß/Kleinbuchstaben/Ziffern/Sonderzeichen-Kombination, z.B. sowas: *v#l2$7IDj$Te'q"7IhMvu9Pm SSID broadcast deaktivieren nutzt nix, kann schon bald jedes script kiddie mit einem entsprechenden programm wieder sichtbar machen DHCP deaktivieren ist auch sinnlos, weil in das WPA-verschlüsselte Netz sowieso wieder keiner reinkann, und selbst wenn da wer durchkäme ist das ein leichtes spiel sich einfach selbst eine IP zuzuweisen
|
Medice
Intensivlaie
|
[...]
DHCP deaktivieren
[...]
SSID broadcast ausschalten
[...] "security through obscurity is no securtiy at all" zusammen mit anderen Dingen machen solche vielleicht das Leben der bösen Jungs etwas anstrengender - aber alleinig is damit nix zu machen. In diesem Fall is mit den beiden Maßnahmen überhaupt kein Leiberl zu machen.
|
samuel
.:: unnahbar ::.
|
das ist ja total übertrieben...
*snip*
SSID broadcast deaktivieren nutzt nix, kann schon bald jedes script kiddie mit einem entsprechenden programm wieder sichtbar machen
DHCP deaktivieren ist auch sinnlos, weil in das WPA-verschlüsselte Netz sowieso wieder keiner reinkann, und selbst wenn da wer durchkäme ist das ein leichtes spiel sich einfach selbst eine IP zuzuweisen nichts ist sinnlos, was sich mit geringem aufwand durchfuehren laesst und den ein oder anderen mehr von deinem netzwerk fern haelt. mir sind durchaus mittel und wege bekannt, um diverse huerden zu umgehen, aber das heisst nicht, dass die ganze welt den gleichen wissensstand hat. und durch die von mir genannten sicherheitseinstellungen ergeben sich fuer den benutzer selbst keine bis kaum nachteile (bequemlichkeit geht immer gegen sicherheit) sam @ medice: ich habe auch nicht behauptet, dass diese methoden alleine sicherheit bieten... aber so hast du zumindest mal nicht den unachtsamen nachbarn aus "versehen" in deinem netz
Bearbeitet von samuel am 28.04.2005, 11:29
|
that
Hoffnungsloser Optimist
|
"security through obscurity is no securtiy at all" Jedes Passwort beruht auf "security through obscurity"...
|
quattro
Alive For The Journey
|
nichts ist sinnlos, was sich mit geringem aufwand durchfuehren laesst und den ein oder anderen mehr von deinem netzwerk fern haelt.
mir sind durchaus mittel und wege bekannt, um diverse huerden zu umgehen, aber das heisst nicht, dass die ganze welt den gleichen wissensstand hat. und durch die von mir genannten sicherheitseinstellungen ergeben sich fuer den benutzer selbst keine bis kaum nachteile (bequemlichkeit geht immer gegen sicherheit)
sam
@ medice: ich habe auch nicht behauptet, dass diese methoden alleine sicherheit bieten...
aber so hast du zumindest mal nicht den unachtsamen nachbarn aus "versehen" in deinem netz geh bitte... muss ich das alles wirklich nochmal erklären  betrachten wir 2 WLANs, beide mit WPA verschlüsselt, starke Passphrase (z.B. so eine die ich oben gepostet habe). das eine hat SSID broadcast ausgeschaltet und verwendet statische IP-Adressen. Das zweite hat SSID broadcast eingeschaltet und verwendet DHCP. ein Angreifer müsste in jedem Fall die WPA-Verschlüsselung knacken, um überhaupt in den Genuss der automatischen IP-Zuweisung vom zweiten Netz zu kommen. Das Knacken einer WPA-Verschlüsselung ist extrem unrealistisch, daher ist dieses Netz als sicher zu betrachten. Für das erste Netz müsste er zuerst die SSID herausfinden, oft nur eine Sache von einigen Minuten. Danach scheitert er wieder an der WPA-Verschlüsselung. selbst wenn er die knackt, kann er immer noch die gängigsten IPs auf gut Glück probieren (z.B. wären das die von der IANA für private Netze vorgegebenen Bereiche 10.0.0.0/255.0.0.0, 172.16.0.0/255.255.0.0 und 192.168.0.1/255.255.255.0) oder einfach den Traffic mitsniffen und die verwendeten IPs herausfinden. wir sehen also: der eigentlich wichtige faktor, der das Netz absichert ist die Verschlüsselung. SSID-broadcast und DHCP zu deaktivieren ist wirklich nur eine verringerung des komforts, die nicht notwendig ist. meine Empfehlung für sichere WLAN-Netze: - WPA-PSK für kleine private Netze aktivieren, starke Passphrase wie oben gepostet
- WPA Enterprise mit RADIUS-Server für größere Firmennetze
- SSID so wählen, dass sie keinen Hinweis auf den Besitzer/Standort des Netzes gibt - d.h. der Firmenname hat dort absolut nix zu suchen, würde eher wieder eine sinnlose Zeichen/Zahlenkombination wählen. Mein WLAN z.B. heisst tNftk6D3
- SSID sichtbar machen - damit erspart man sich das manuelle Eintippen, weiss aber auf jeden fall beim Auswählen das es sich um das eigene Netz handelt, weil sonst echt fast keiner so eine "schwachsinnige" SSID verwendet.
- DHCP, ... ganz normal weiterverwenden
- je nachdem, wie die örtlichen begebenheiten aussehen kann man die sendeleistung des AP drosseln, dann ist das Netz überhaupt nicht mehr von aussen zugänglich
du wirst in einem verschlüsselten Netz niemals weder aus Versehen noch jemand fremden mit böser absicht drinnenhaben. schon gar nicht den "unachtsamen" nachbarn. vielleicht die NSA oder so, aber da bin ich mir auch nicht sicher, und die würden über den deaktivierten SSID-broadcast sowieso so laut lachen dass du sie bis ins haus hören kannst. natürlich steht es dir frei dein netz so abzusichern, dass du selber viel mehr aufwand beim konfigurieren hast, soll leute geben die das so mögen
Bearbeitet von quattro am 28.04.2005, 19:47
|
samuel
.:: unnahbar ::.
|
tja, diesen post finde ich jetzt sinnlos. deine einzige aussage ist, dass eine wpa verschluesselung NIEMALS (ausser von der NSA) werden kann geknackt. tut mir leider, aber ich bin hier einfach anderer meinung.
dass die restlichen methoden die ich genannt habe die schwachstellen von wpa nicht ausbessern ist sicher richtig, ich denke aber dennoch, dass man sauber vorgehen soll.
den von mir als naechste schritt empfohlen zusaeatzlich zu wpa waere ein vpn. welche implementierung, auf welchem layer und mit welchen verschluesselungen sollte halt dementsprechend geplant werden.
sam
|
quattro
Alive For The Journey
|
tja, diesen post finde ich jetzt sinnlos. deine einzige aussage ist, dass eine wpa verschluesselung NIEMALS (ausser von der NSA) werden kann geknackt. tut mir leider, aber ich bin hier einfach anderer meinung. nein, das hast du falsch verstanden. die aussage sollte folgende sein: es ist extrem unwahrscheinlich, dass WPA geknackt wird, wenn ein ordentliches Passwort verwendet wird. ich kenne momentan nur eine einzigige schwachstelle in WPA, die betrifft WPA-PSK-Netze mit schwacher Passphrase (um die 6 Zeichen). Der Kern der Aussage ist der, dass jemand, der in der lage ist, die WPA-Verschlüsselung zu knacken, in minuten die versteckte SSID weiß und auch die verwendeten IP-Adressen. also ist das deaktivieren des SSID-broadcast und das manuelle konfigurieren der IP-Adressen aus administrativer sicht eher unsauber, da der verwaltungsaufwand steigt. zeig mir bitte glaubhafte artikel, in denen WPA-PSK in einem vernünftigen zeitrahmen unter realbedingungen mit einer starken passphrase geknackt wird. aber bitte nicht irgendwelche "1 4m t3h 1337 haxx0r - cr4ck3d WP4" von irgendeiner dubiosen wardriver-page edit: selbst ein VPN würde ich einer WPA-Enterprise-Verschlüsselung nicht vorziehen - diese VPNs muss der Nutzer in fast allen Fällen manuell starten, was z.B. in Firmen zur Benutzerauthentifizierung über ein Netzwerk unbrauchbar ist, und wenn sowieso ein Server als VPN-Konzentrator aufgestellt werden muss, kann man den gleich als RADIUS-Server inkl. EAP-TLS oder EAP-PEAP aufstellen. dann wird der PMK bei jedem Verbindungsaufbau mit dem WLAN, bei jedem Basisstationswechsel und nach Ablauf der frei definierbaren Session-Dauer neu generiert. Wenn man das auf 20 Minuten runterdreht hat im Prinzip gar niemand mehr eine Chance da reinzukommen.
Bearbeitet von quattro am 29.04.2005, 10:36
|
Neo-=IuE=-
Here to stay
|
ich würds mal sagen SSID Broadcast und DHCP kann man lassen, denn wenn ein Hacker WPA knackt, hindert grade den des kaum ins Netz zu kommen, wenn besagte eben aus sind...
|
Anmeldung