Zusammenfassung:
----------------
Ziel dieses Textes ist es das teilweise in diesem Forum verbreitete Märchen, dass Vigor-WLANs im Moment sicher seien, zu widerlegen.
!!! Jede Art von WLAN Sicherung, die der Vigor im Moment kann ist mit sehr einfachen Mittel zu umgehen !!!
Motivation für diesen Text:
---------------------------
1) Aufklärung
2) Draytek zu motivieren, mittels bereits vorhandener Mittel ein sicheres WLAN zu ermöglichen, da sie evtl. nur ein paar Kleinigkeiten hierzu in der Firmware erweitern müssten (siehe Text)
Warum bietet mir WEP (Verschlüsselung des Funkverkehrs) keinen Schutz (mehr) ?
--------------------------------------------------------------
Aufgrund einer kryptographischen Schwachstelle des bei WEP verwendeten rc4-Algorithmus (siehe [1]) ist WEP unsicher.
Mittels Software kann der verschlüsselte Datenverkehr aufgezeichnet werden und aus diesen Daten auf den verwendeten Schlüssel zurück gerechnet werden (siehe [2]).
Das besondere ist, dass dies rein Passiv geschehen kann, daher kein Eingriff ins Netzwerk erfolgt. Die einfache Bedienung der Software ermöglicht dies auf für Laien.
Warum bietet mir WEP128 (mit 128 Bit Schlüssellänge statt 40 Bit) keinen Schutz ?
------------------------------------------------------------
Beim Zurückrechnen auf den Schlüssel kommt kein brute-force zum Einsatz (sprich das lineare Durchprobieren aller Kombinationen), daher hat anders wie z.B. bei DES die Schlüssellänge auf die Schwachstelle (fast) keinen Einfluss.
Bei WEP128 wird nur minimal mehr Datenmaterial zum Zurückrechnen benötigt als bei WEP40.
Warum bieten mir MAC - Adressenfilter keinen Schutz ?
-----------------------------------------------------
Bei jeder besseren Netzwerkkarte kann man die jeweilige MAC Adresse frei einstellen und so den Filter umgehen.
Die einzustellende MAC Adresse wird auch bei WEP Verschlüsselung im Klartext im Funknetz von Clients gesendet.
Natürlich funktioniert dies nicht, wenn der Client gleichzeitig aktiv im Netz ist. Aber hier kann man Nachhelfen (Stichwort Denial-of-Service beim Client).
Der Vigor ist sogar selber hierzu fähig - siehe Weboberfläche > Quick Setup> Internet Access Setup.
Vorurteil: Ich habe keine wertvollen Daten und somit hat niemand Interesse mein Netzwerk aufzuknacken.
--------------------------------------------------------
Das interessante sind nicht die Daten sondern vielmehr der mit dem Router verbundene Internetzugang.
Jemand hackt dein Netz und geht ins Internet. Dort begeht er Straftaten und du wirst im Falle einer Aufklärung als Straftäter zur Verantwortung gezogen (es war ja schließlich dein Anschluss) !
Vorurteil: Warum sollte jemand durch hacken meines Netzes eine Straftat begehen ?
--------------------------------------------------------------
Hacken eines Funknetzes ist sehr wahrscheinlich nicht strafbar, da das betreiben eines Funknetzes als grob fahrlässig gilt. (siehe [3])
Wie kann ich in der Zukunft ein sicheres Funknetz betreiben ?
---------------------------------------------------
Im Moment gibt es unterschiedliche Veränderungen / Erweiterungen des WEP Standards, allerdings ist noch nicht absehbar, was sich in der Zukunft durchsetzen wird.
Egal was es wird, es sind auf jeden Fall auch Änderungen bei den Clients notwendig, die nur von den Herstellern der jeweiligen Client Hardware/Software gemacht werden können.
Bis jeder Herstellen im gesamten Markt nachgezogen hat, wird eine lange Zeit vergehen.
Wie kann ich heute ein sicheres Funknetz betreiben ?
--------------------------------------------------
Die einzige Möglichkeit hierzu ist folgende:
- Die Clients verpacken und verschlüsseln ihre IP Netzwerkpäckchen in IPSec
- IPSec wird (unverschlüsselt) übers Funknetz übertragen
- Die Firewall / der Router authentifiziert (das heisst sie stellt die Identität des Clients/Benutzers) anhand IPSec fest, entpackt die IPSec Päckchen und leitet sie ans kabelgebunde IP Netz (z.B. intern oder Internet) weiter.
- Wichtig ist noch, dass die Firewall / der Router jede Art von IP Protokoll, das an der Funkschnittstelle ankommt, strikt ablehnt.
Der Draytek Vigor 2200W kann bereits sowohl WLAN als auch IPSec. Leider (im Moment) nicht in dem passenden Zusammenspiel.
Warum ist PPTP als Tunnelprotokoll unsicher ?
---------------------------------------------
Die Sicherheit der bei PPTP eingesetzten Verschlüsselung ist sehr anzuzweifeln. (siehe unter anderem [4])
Was währe notwendig um mit dem Vigor 2200W ein sicheres Funknetz zu betreiben ?
-------------------------------------------------------
- Es müsste möglich sein, sich übers Funknetz per IPSec beim Vigor "einzuwählen"
- Es müsste konfigurierbar sein, dass der Vigor alle nicht IPSec Daten vom Funknetz abblockt (dies schliesst sämtliche IP Daten mit ein). Dies würde Vorraußetzen, dass der WLAN Teil nicht am internen Switch des Vigors als Bridge angeschlossen ist, sondern ein eigenes Netzwerkinterface hat ! (wer weiss hierzu mehr ?)
[1] http://www.crypto.com/papers/others/rc4_ksaproc.ps
[2] http://airsnort.shmoo.com/
[3] http://www.heise.de/newsticker/data/pab-25.04.02-000/
[4] http://listserv.ntbugtraq.com/scripts....=&P=663
http://online.securityfocus.com/archive/1/10265
Soweit hierzu & Viele Grüße
Micha Behrendt - mb@michael-behrendt.net
TwoCom Online-Forum
Erfahrungsaustausch, Konfigurationshilfen rund um DrayTek Vigor Produkte und User unter sich.
Infos zu Sicherheit bei Funknetzwerken
Moderatoren: alf, Petrus, andreastc, DSL-Hexe, nobody
4 Beiträge
• Seite 1 von 1
von deMattin » Do 25.04.2002 - 19:09
Hi Micha,
"Sehr einfach", naja.
1. du musst den Traffic mitloggen - geht das überhaupt, wenn du nicht am Netz hängst, weil deine MAC nicht zugelassen ist?
2. du musst deine MAC der Funklan-Karte faken - ist wohl nicht ganz so einfach Beitrag aus Heise-Forum
3. du musst du Pakete zurückrechnen bzw. analysieren
Keine Frage, es muss/sollte was getan werden, weil hier eine Sicherheitslücke entdeckt wurde.
Aber ich denke, die Frage sollte sein: Ist WLAN absolut sicher?
Darauf mag die Antwort "Nein" sein. Wie bei fast allen Techniken (nicht nur in der Welt der Computer).
Aber was ist schon "absolut sicher"?
- Telefonleitungen können abgehört werden.
- Man kann aus der Ferne den Bildschirminhalt ausspionieren (kein Fernglas, sondern über die Bildschirmstrahlung = Funk)
- Betriebssysteme (nicht nur win.. sondern auch ..ix und ..ux) haben Sicherheitslücken ohne Ende.
- Verbindungsdaten und andere Daten auf dem Rechner können bei bestehender Internetverbindung durch Einbruch (Hacken) in den Rechner auspioniert werden.
- auch hochbezahlte Administratoren scheuen sich vor (Sicherheits-)Patches weil es Arbeit bedeutet und jeder Patch immer auch ein (Stabilitäts-)Risiko beinhaltet oder natürlich auch aus Unwissenheit
- und dann noch das höchste Sicherheitsrisiko: "der Mensch"
Und trotzdem vernetzen die Leute ihre Rechner, gehen ins Internet und trauen sich, e-mails zu verschicken o.ä.
Problematisch ist ein WLAN mit Sicherheit in einem Firmennetz mit hochsensiblen Daten - da hat es wahrscheinlich nichts verloren. Wer den Zugang zum Firmengelände mit Security, Keycard u.ä. und seine Rechner mit teurer High-Tech Authentifizierungshardware (Finger-Print, Iris-Check, ...) absichert, sollte wohl grundsätzlich kein Funknetz betreiben.
Dass ich gegen "Profispione" mit entsprechendem KnowHow nicht geschützt bin, ist mir bewusst.
Das fängt schon bei meiner Haustür an - ein Profi mit entsprechendem Werkzeug knackt die ohne jede Spuren.
Soll ich deswegen in einen Bunker ziehen mit Stacheldraht und Selbstschussanlage (was aber von noch besseren "Profis" auch wieder zu knacken wäre)?
Es ist alles ein Abwägen zwischen Risiko und Nutzen.
Und das Risiko ist durch das Entdecken dieser "Knackbarkeit des WEP" grösser geworden - aber es ist noch lange kein "Märchen".
Ich habe das hier geschrieben, nicht um den Inhalt deines Postings zu verharmlosen - ich geben dir absolut Recht, dass eine Sicherheitslücke zu schliessen ist und zwar auch schnellstmöglich!
Ich wollte nur das Wort "einfach" und den Eindruck, dass ein (mit WEP und MAC konfiguriertes) WLAN problemlos zu knacken ist, etwas relativieren.
Und sicher ist ein Technik grundsätzlich nur solange, bis jemand herausgefunden hat, wie man das Schloss umgeht oder knackt. Die Frage ist, wie gross ist der Aufwand und das erforderliche Wissen oder Werkzeug?
Und ich sehe das im Moment (noch) so, dass es nicht einfach ist, ein WLAN mit WEP und MAC auszuhebeln.
Und die 100 Leute in Deutschland, für die es auf Grund deren Kompetenz einfach sein sollte, die dürften kaum Interesse daran haben, in mein WLAN einzubrechen.
Warum das Voraussetzung sein muss, kann ich zwar nicht nachvollziehen - die Firewall bzw. die internen Sicherheitsalgorythmen müssen doch eigentlich nur wissen, woher das Paket kommt und dürfen es dann nicht an die Switch (den LAN-Port) weitergeben.
Aber ich denke nicht, dass das WLAN ein separates Interface hat (zumindest ist keines per SNMP oder telnet ersichtlich) - wlan wird also schon direkt am WAN-Interface hängen.
Gruss,
Martin
!!! Jede Art von WLAN Sicherung, die der Vigor im Moment kann ist mit sehr einfachen Mittel zu umgehen !!!
"Sehr einfach", naja.
1. du musst den Traffic mitloggen - geht das überhaupt, wenn du nicht am Netz hängst, weil deine MAC nicht zugelassen ist?
2. du musst deine MAC der Funklan-Karte faken - ist wohl nicht ganz so einfach Beitrag aus Heise-Forum
3. du musst du Pakete zurückrechnen bzw. analysieren
Keine Frage, es muss/sollte was getan werden, weil hier eine Sicherheitslücke entdeckt wurde.
Aber ich denke, die Frage sollte sein: Ist WLAN absolut sicher?
Darauf mag die Antwort "Nein" sein. Wie bei fast allen Techniken (nicht nur in der Welt der Computer).
Aber was ist schon "absolut sicher"?
- Telefonleitungen können abgehört werden.
- Man kann aus der Ferne den Bildschirminhalt ausspionieren (kein Fernglas, sondern über die Bildschirmstrahlung = Funk)
- Betriebssysteme (nicht nur win.. sondern auch ..ix und ..ux) haben Sicherheitslücken ohne Ende.
- Verbindungsdaten und andere Daten auf dem Rechner können bei bestehender Internetverbindung durch Einbruch (Hacken) in den Rechner auspioniert werden.
- auch hochbezahlte Administratoren scheuen sich vor (Sicherheits-)Patches weil es Arbeit bedeutet und jeder Patch immer auch ein (Stabilitäts-)Risiko beinhaltet oder natürlich auch aus Unwissenheit
- und dann noch das höchste Sicherheitsrisiko: "der Mensch"
Und trotzdem vernetzen die Leute ihre Rechner, gehen ins Internet und trauen sich, e-mails zu verschicken o.ä.
Problematisch ist ein WLAN mit Sicherheit in einem Firmennetz mit hochsensiblen Daten - da hat es wahrscheinlich nichts verloren. Wer den Zugang zum Firmengelände mit Security, Keycard u.ä. und seine Rechner mit teurer High-Tech Authentifizierungshardware (Finger-Print, Iris-Check, ...) absichert, sollte wohl grundsätzlich kein Funknetz betreiben.
Dass ich gegen "Profispione" mit entsprechendem KnowHow nicht geschützt bin, ist mir bewusst.
Das fängt schon bei meiner Haustür an - ein Profi mit entsprechendem Werkzeug knackt die ohne jede Spuren.
Soll ich deswegen in einen Bunker ziehen mit Stacheldraht und Selbstschussanlage (was aber von noch besseren "Profis" auch wieder zu knacken wäre)?
Es ist alles ein Abwägen zwischen Risiko und Nutzen.
Und das Risiko ist durch das Entdecken dieser "Knackbarkeit des WEP" grösser geworden - aber es ist noch lange kein "Märchen".
Ich habe das hier geschrieben, nicht um den Inhalt deines Postings zu verharmlosen - ich geben dir absolut Recht, dass eine Sicherheitslücke zu schliessen ist und zwar auch schnellstmöglich!
Ich wollte nur das Wort "einfach" und den Eindruck, dass ein (mit WEP und MAC konfiguriertes) WLAN problemlos zu knacken ist, etwas relativieren.
Und sicher ist ein Technik grundsätzlich nur solange, bis jemand herausgefunden hat, wie man das Schloss umgeht oder knackt. Die Frage ist, wie gross ist der Aufwand und das erforderliche Wissen oder Werkzeug?
Und ich sehe das im Moment (noch) so, dass es nicht einfach ist, ein WLAN mit WEP und MAC auszuhebeln.
Und die 100 Leute in Deutschland, für die es auf Grund deren Kompetenz einfach sein sollte, die dürften kaum Interesse daran haben, in mein WLAN einzubrechen.
Dies würde Vorraußetzen, dass der WLAN Teil nicht am internen Switch des Vigors als Bridge angeschlossen ist, sondern ein eigenes Netzwerkinterface hat ! (wer weiss hierzu mehr ?)
Warum das Voraussetzung sein muss, kann ich zwar nicht nachvollziehen - die Firewall bzw. die internen Sicherheitsalgorythmen müssen doch eigentlich nur wissen, woher das Paket kommt und dürfen es dann nicht an die Switch (den LAN-Port) weitergeben.
Aber ich denke nicht, dass das WLAN ein separates Interface hat (zumindest ist keines per SNMP oder telnet ersichtlich) - wlan wird also schon direkt am WAN-Interface hängen.
Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
-
deMattin - Super-User
- Beiträge: 448
- Registriert: Mo 23.07.2001 - 19:40
- Wohnort: Nordpott
von mbehrendt » Fr 26.04.2002 - 16:44
Hallo Martin,
ja, nennt sich "promiscuous mode" und wird eigentlich fast allen Netzwerkkarten unterstützt. Der Vigor MAC-Adress-Filter ist teil des Vigor Betriebssystems und hat mit Ethernet nichts zu tun.
Ethernet ist von Haus auf als "shared" Medium angelegt worden. Daher es hängen alle Rechner an einem Bus (z.B. BNC/Koax oder TP Verkabelung mit Hub oder empfangen sich gegenseitig per Funk) und hören alles. Anders sieht es aus, wenn du einen Switch verwendest. In der Netzwerkkarte ist ein kleiner Filter, der die jeweils interessanten Päckchen (daher mit passender Adresse) aussortiert und des Rest wegschmeisst. Schaltest du diesen Filter (es ist ein anderer gemeint wie oben) aus, bist du im "promiscuous mode" und bekommst alles, egal ob per MAC an dich Adressiert oder nicht.
Eventuelle Bestätigungspäckchen wie im Heise Link erwähnt, spielen keine Rolle, da du rein passiv zuhörst und nichts sendest.
Mag ein Problem der Vorkenntnisse sein. Ich sehe hierbei von meiner Seite aus keine großen Schwierigkeiten. Es gibt genügend theoretische Überlegungen dazu (siehe Bugtraq Mailingliste www.securityfocus.com) und auch jede Menge fertige Tools.
spätestens seit der Verfügbarkeit fertiger Programme hierzu wie z.B. Airsnort kannst du dies machen (sprich eine Kommandozeile eintippen) und musst nicht mal dazu wissen wie es funktioniert, geschweige denn, etwas selber entwickeln.
Es gibt einen kleinen, aber sehr wichtigen Unterschied bei Funknetzen zu den von dir genannten Beispielen.
Man kann es am ehesten mit Funk-DECT-Telefonen vergleichen. Übertragen würde dies bedeuten, daß jeder der sich ein bisschen damit beschäftigt, vom Auto, geparkt in der Straße vor deinem Haus, an deinem Telefon einfach anmelden kann und es ohne dein zutun benützen kann. Hierbei kann dir als Schaden entweder Gesprächsgebühren (bzw. Traffic-Kosten) entstehen, oder jemand anders setzt von diesem Anschluss aus z.B. Morddrohungen ab.
Dies ist etwas anderes, als wenn du z.B. heikle Daten per eMail im Klartext verschickst, da du bei vorherigem Problem nicht direkt beteiligt bist und somit auch nicht eingreifen (z.B. durch Verschlüsselung) kannst.
Bei der letzten Wardriving Aktion im Großraum Nürnberg/Erlangen vor ein paar Wochen wurden von 57 gefunden Funklans 56 ohne größere Probleme geknackt. Hierunter waren Netzwerke von Versicherungen, Banken, großen Industriekonzernen, ... Das einzige Netz, welches nicht geknackt wurde, ist mit IPSEC wie oben beschrieben aufgebaut.
Deswegen hast du ja (so hoffe ich) einen Sicherheitszylinder, der nicht von Amateuren mit einem Dietrich aufgemacht werden kann.
Das bedenkliche ist im Moment, daß zum Öffnen eines WEP geschützten LANs der Dietrich von einem (interessierten) Amateur vollkommen ausreicht.
Nur wird dies leider, im Gegensatz zu den Herstellern von Schliesszylindern, nicht entsprechend von den Herstellern von Funklans beworben.
Ich möchte übrigens noch anmerken, daß auch mir klar ist, daß absolute Sicherheit immer "Stecker ziehen" bedeutet. Aber ich denke die Risikoschwelle liegt weit tiefer als gemeinhin bekannt.
Falls du mit dem letzten Satz LAN-Interface meinst (Tipfehler?), würde daß Probem bestehen, daß damit ein Datenverkehr zwischen Funknetz über internen Switch an einen per Kabel an den Switch angeschlossenen Rechner möglich währe, ohne das das Vigor Betriebssystem etwas davon mitbekommt. Folgedessen kann es dann diesen Datentransfer auch nicht blockieren, wie es für ein sicheres IPSEC Netz notwendig währe. Die weitere Folge hiervon währe, daß aufgrund der Hardware sich das Netz selbst mit anderer Firmware nicht wie Vorgeschlagen aufbauen läßt und damit der Vigor (endgültig) bezüglich WLAN unbrauchbar ist.
Viele Grüße
Micha
1. du musst den Traffic mitloggen - geht das überhaupt, wenn du nicht am Netz hängst, weil deine MAC nicht zugelassen ist?
ja, nennt sich "promiscuous mode" und wird eigentlich fast allen Netzwerkkarten unterstützt. Der Vigor MAC-Adress-Filter ist teil des Vigor Betriebssystems und hat mit Ethernet nichts zu tun.
Ethernet ist von Haus auf als "shared" Medium angelegt worden. Daher es hängen alle Rechner an einem Bus (z.B. BNC/Koax oder TP Verkabelung mit Hub oder empfangen sich gegenseitig per Funk) und hören alles. Anders sieht es aus, wenn du einen Switch verwendest. In der Netzwerkkarte ist ein kleiner Filter, der die jeweils interessanten Päckchen (daher mit passender Adresse) aussortiert und des Rest wegschmeisst. Schaltest du diesen Filter (es ist ein anderer gemeint wie oben) aus, bist du im "promiscuous mode" und bekommst alles, egal ob per MAC an dich Adressiert oder nicht.
Eventuelle Bestätigungspäckchen wie im Heise Link erwähnt, spielen keine Rolle, da du rein passiv zuhörst und nichts sendest.
2. du musst deine MAC der Funklan-Karte faken - ist wohl nicht ganz so einfach Beitrag aus Heise-Forum
Mag ein Problem der Vorkenntnisse sein. Ich sehe hierbei von meiner Seite aus keine großen Schwierigkeiten. Es gibt genügend theoretische Überlegungen dazu (siehe Bugtraq Mailingliste www.securityfocus.com) und auch jede Menge fertige Tools.
3. du musst du Pakete zurückrechnen bzw. analysieren
spätestens seit der Verfügbarkeit fertiger Programme hierzu wie z.B. Airsnort kannst du dies machen (sprich eine Kommandozeile eintippen) und musst nicht mal dazu wissen wie es funktioniert, geschweige denn, etwas selber entwickeln.
Aber was ist schon "absolut sicher"? ... (Beispiele) ... Und trotzdem vernetzen die Leute ihre Rechner, gehen ins Internet und trauen sich, e-mails zu verschicken o.ä.
Es gibt einen kleinen, aber sehr wichtigen Unterschied bei Funknetzen zu den von dir genannten Beispielen.
Man kann es am ehesten mit Funk-DECT-Telefonen vergleichen. Übertragen würde dies bedeuten, daß jeder der sich ein bisschen damit beschäftigt, vom Auto, geparkt in der Straße vor deinem Haus, an deinem Telefon einfach anmelden kann und es ohne dein zutun benützen kann. Hierbei kann dir als Schaden entweder Gesprächsgebühren (bzw. Traffic-Kosten) entstehen, oder jemand anders setzt von diesem Anschluss aus z.B. Morddrohungen ab.
Dies ist etwas anderes, als wenn du z.B. heikle Daten per eMail im Klartext verschickst, da du bei vorherigem Problem nicht direkt beteiligt bist und somit auch nicht eingreifen (z.B. durch Verschlüsselung) kannst.
Problematisch ist ein WLAN mit Sicherheit in einem Firmennetz mit hochsensiblen Daten - da hat es wahrscheinlich nichts verloren. Wer den Zugang zum Firmengelände mit Security, Keycard u.ä. und seine Rechner mit teurer High-Tech Authentifizierungshardware (Finger-Print, Iris-Check, ...) absichert, sollte wohl grundsätzlich kein Funknetz betreiben.
Bei der letzten Wardriving Aktion im Großraum Nürnberg/Erlangen vor ein paar Wochen wurden von 57 gefunden Funklans 56 ohne größere Probleme geknackt. Hierunter waren Netzwerke von Versicherungen, Banken, großen Industriekonzernen, ... Das einzige Netz, welches nicht geknackt wurde, ist mit IPSEC wie oben beschrieben aufgebaut.
Das fängt schon bei meiner Haustür an - ein Profi mit entsprechendem Werkzeug knackt die ohne jede Spuren.
Deswegen hast du ja (so hoffe ich) einen Sicherheitszylinder, der nicht von Amateuren mit einem Dietrich aufgemacht werden kann.
Das bedenkliche ist im Moment, daß zum Öffnen eines WEP geschützten LANs der Dietrich von einem (interessierten) Amateur vollkommen ausreicht.
Nur wird dies leider, im Gegensatz zu den Herstellern von Schliesszylindern, nicht entsprechend von den Herstellern von Funklans beworben.
Ich möchte übrigens noch anmerken, daß auch mir klar ist, daß absolute Sicherheit immer "Stecker ziehen" bedeutet. Aber ich denke die Risikoschwelle liegt weit tiefer als gemeinhin bekannt.
Warum das Voraussetzung sein muss, kann ich zwar nicht nachvollziehen - die Firewall bzw. die internen Sicherheitsalgorythmen müssen doch eigentlich nur wissen, woher das Paket kommt und dürfen es dann nicht an die Switch (den LAN-Port) weitergeben.
Aber ich denke nicht, dass das WLAN ein separates Interface hat (zumindest ist keines per SNMP oder telnet ersichtlich) - wlan wird also schon direkt am WAN-Interface hängen.
Falls du mit dem letzten Satz LAN-Interface meinst (Tipfehler?), würde daß Probem bestehen, daß damit ein Datenverkehr zwischen Funknetz über internen Switch an einen per Kabel an den Switch angeschlossenen Rechner möglich währe, ohne das das Vigor Betriebssystem etwas davon mitbekommt. Folgedessen kann es dann diesen Datentransfer auch nicht blockieren, wie es für ein sicheres IPSEC Netz notwendig währe. Die weitere Folge hiervon währe, daß aufgrund der Hardware sich das Netz selbst mit anderer Firmware nicht wie Vorgeschlagen aufbauen läßt und damit der Vigor (endgültig) bezüglich WLAN unbrauchbar ist.
Viele Grüße
Micha
- mbehrendt
- Grünschnabel
- Beiträge: 3
- Registriert: Sa 09.02.2002 - 14:09
von deMattin » Mo 20.05.2002 - 15:51
Hi Micha,
Was hältst du eigentlich von der neuen Funktion in der Firmware 2.1b (bisher leider nur für den 2200We und Wplus), dass man die SSID (wireless LAN Service Set ID) verstecken (verschlüsseln?!) kann?
Info aus den Release Notes:
Add "Hide SSID" configuration to improve security
Info aus dem Webinterface:
Hide SSID : the scanning tool can't read the SSID when sniffing radio.
Ich weiss zwar nicht, wie das Ganze technisch realisiert wurde, aber wenn es nicht (so einfach) zu umgehen sein sollte (was ich ebenfalls nicht weiss), wäre das schon ein guter Schritt weiter.
Denn ohne Kenntnis der SSID kann ich mich bei entsprechend konfiguriertem Router (Accesspoint) ja nicht ins LAN einloggen.
Theoretisch wäre ja eine Bruteforce-Attacke oder Try-And-Error-Attacke denkbar - aber wenn die SSID nur entsprechend unüblich (wie eben ein gutes Passwort) ist, dann sehe ich hier einen deutlichen Sicherheitsgewinn.
Also wir haben jetzt MAC-Adresse, WEP und SSID-Verstecken - das sieht doch nach einer ziemlichen "Hürde" aus, oder?
Gruss,
Martin
Edited By deMattin on Mai 20 2002 at 16:52
Was hältst du eigentlich von der neuen Funktion in der Firmware 2.1b (bisher leider nur für den 2200We und Wplus), dass man die SSID (wireless LAN Service Set ID) verstecken (verschlüsseln?!) kann?
Info aus den Release Notes:
Add "Hide SSID" configuration to improve security
Info aus dem Webinterface:
Hide SSID : the scanning tool can't read the SSID when sniffing radio.
Ich weiss zwar nicht, wie das Ganze technisch realisiert wurde, aber wenn es nicht (so einfach) zu umgehen sein sollte (was ich ebenfalls nicht weiss), wäre das schon ein guter Schritt weiter.
Denn ohne Kenntnis der SSID kann ich mich bei entsprechend konfiguriertem Router (Accesspoint) ja nicht ins LAN einloggen.
Theoretisch wäre ja eine Bruteforce-Attacke oder Try-And-Error-Attacke denkbar - aber wenn die SSID nur entsprechend unüblich (wie eben ein gutes Passwort) ist, dann sehe ich hier einen deutlichen Sicherheitsgewinn.
Also wir haben jetzt MAC-Adresse, WEP und SSID-Verstecken - das sieht doch nach einer ziemlichen "Hürde" aus, oder?
Gruss,
Martin
Edited By deMattin on Mai 20 2002 at 16:52
http://www.vigor-users.de - Die Seite für User der Vigor-Router
-
deMattin - Super-User
- Beiträge: 448
- Registriert: Mo 23.07.2001 - 19:40
- Wohnort: Nordpott
4 Beiträge
• Seite 1 von 1
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste
News
Site map
SitemapIndex
RSS FeedDieses Forum ist Bestandteil von www.2-com.de
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO