Sicherheit im Wlan Vigor2500WE

Wireless LAN Setup und alles was sonst noch zum Thema gehört

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Sicherheit im Wlan Vigor2500WE

Beitragvon wolfia » Fr 28.04.2006 - 21:06

Hallo,

ich habe einen 2500WE und ältere Elsa MCII Wlan Karten. Jedenfalls möchte ich den Zugriff aufs netz (Wlan) sichern, wie kann ich das am besten machen. Wäre schön wenn mir mal jemand ne Schritt für Schritt Anleitung geben könnte. Bin ein Newbie was das angeht.

Wolfia
wolfia
Grünschnabel
 
Beiträge: 2
Registriert: Fr 28.04.2006 - 21:03

Beitragvon Rouven » Fr 28.04.2006 - 22:14

Hi,

lies erstmal, das Handbuch welches sich auf der beiligenden CD befindet - denn dort findest Du alle relevanten Informationen verständlich auch für Anfänger!!

Kurzer Überblick über die Sicherheitsvorkehrungen, die Du eingehen solltest:

1. WEP Verschlüsselung 128 Bit aktivieren (prüfen ob alte WLAN Karte das mitmacht)
Das Passwort sollte min. 25 Zeichen lang und aus zufälligen Buchstaben Zahlenkolonnen bestehen!! (AFs538Hns83M.......)

2. MAC-Hardware-Adressprüfung aktivieren. (bring ein WENIG mehr Sicherheit vor Hackern)

Wenn alles eingestellt ist, die SSID verbergen lassen. (Im Router einstellen)

3. Gebe dem Router ein Configurationspasswort, damit nur DU Änderungen vornehmen kannst.

Sicherheitsrang in einer Scala von 1 bis 10 wobei 1 unsicher/offen und 10 Fort Knox bedeuten würde.

Gegen Normalos, die in das Netz eindringen zu versuchen: 5
Gegen Hacker, die in das Netz eindringen wollen: 1-2

NUR!! WPA bzw. WPA2 Verschlüsselung ist (bei richtigen Passwort, s. oben) 100% sicher.

Da Dein Router NUR WEP Verschlüsselung beherrscht, ist Dein WLAN Netz halt nicht sehr sicher, aber immerhin besser als gar kein Schutz.

Wenn Du zur WEP Verschlüsselung noch über einen VPN Tunnel ins Internet gehst, dann wird die ganze Angelegenheit wieder SEHR sicher.
Gruss Rouven
Benutzeravatar
Rouven
Power-User
 
Beiträge: 230
Registriert: Di 19.04.2005 - 11:37
Wohnort: Kiel

Beitragvon wolfia » Fr 28.04.2006 - 22:22

Und wie funktioniert die WEP Verschlüsselung was bewirkt diese?
wolfia
Grünschnabel
 
Beiträge: 2
Registriert: Fr 28.04.2006 - 21:03

Beitragvon frank_m » Sa 29.04.2006 - 09:33

Hallo,

WEP ist eine Verschlüsselung. Nur wer den passenden Schlüssel kennt, kann die Pakete empfangen.
Infos zu WEP gibt es ier: http://de.wikipedia.org/wiki/Wired_Equivalent_Privacy

Einige Anmerkungen: Bei WEP ist die Passwortlänge fest vorgegeben. Bei WEP64 sind es 5 Byte, bei WEP128 13 Byte. Du kannst die Passworte auch Hexadezimal angeben, was aber auf gleiche rauskommt, siehe Handbuch.

Viele Geräte bieten die Möglichkeit, bis zu vier WEP Schlüssel einzutragen. Im privaten Bereich sollte man immer den ersten Eintrag nehmen, da alle Geräte, die nicht 4 Einträge haben, nur den ersten zur Verfügung stellen. Dann benutzen beide Seiten den gleichen Eintrag.

Außerdem solltest du die SSID NICHT verbergen. Da das den offiziellen WLAN Standard verletzt, ist die Reaktion der WLAN Karten nicht vorherzusehen. Von gar keiner Verbindung bis hin zu unregelmäßigen Verbindungsabbrüchen ist alles drin. Außerdem bringt es für die Sicherheit gar nichts. SSID zu verbergen ist ungefähr so, als ob man sich mitten auf eine Kreuzung stellt mit einem Schild "Ich bin unsichtbar". Spezielle WLAN Hackertools brauchen nur wenige Sekunden, um den Namen einer versteckten SSID herauszufinden.

Viele Grüße

Frank
Router: FBF 7050 14.04.15
Netz: T-Net analog mit 1und1 DSL 6000 (3072 kBit) + 1und1 Deutschland Flat
VoIP: 1und1, GMX und sipgate über FBF
Telefon: Siemens Telefon + Noname Schnurlos an FBF
frank_m
Super-User
 
Beiträge: 321
Registriert: Mi 12.10.2005 - 17:45

Beitragvon Rouven » Sa 29.04.2006 - 09:48

Das mit der SSID ist geschmackssache.

Ob das gefährlich ist oder ungewollte Fehlfunktionen hervorrufen kann, ist mir neu und wenn dann nur in seltenen Fällen.

Schließlich empfehlen Sicherheitsexperten wie u.a die Ct Redaktion, die SSID zu verbergen.

Tausende von Router bieten diese Möglichkeit an. Wenns so Fehleranfällig wäre, dann würde kein Routerhersteller dieses Funktion implementieren!
Gruss Rouven
Benutzeravatar
Rouven
Power-User
 
Beiträge: 230
Registriert: Di 19.04.2005 - 11:37
Wohnort: Kiel

Beitragvon frank_m » Sa 29.04.2006 - 15:11

Hallo,

Rouven hat geschrieben:Ob das gefährlich ist oder ungewollte Fehlfunktionen hervorrufen kann, ist mir neu und wenn dann nur in seltenen Fällen.

Lies dich mal durch die wireless foren des ip-phone-forums.
Es ist wie gesagt eine Verletzung des Standards. Wenn man sich vorstellt, dass ein Nachbar in Reichweite auf die gleiche Idee kommt: Woran soll die WLAN Karte die Netzwerke dann noch auseinanderhalten? MAC geht nicht, es gibt APs, die ihre MAC munter wechseln, und Netzwerke, die aus mehreren APs bestehen. Permanente erfolglose Verbindungsversuche sind die Folge. Wird aufgrund der Empfangslage die Sendeleistung des Nachbarn größer, versucht die Karte einen Handover, der ins Nichts führt => Verbindung plötzlich weg.
Wenn jetzt wenigstens auch nur ein Hauch Sicherheitsvorsprung da wäre, aber das ist ja eben nicht der Fall. Der AP sendet seine Beacons im Sekundenabstand munter weiter durch die Gegend, nur der Teil mit der SSID hat die Länge Null. Ein Hacker weiss also sofort, dass da ein Netz ist, dass er attackieren kann. Er kennt halt nur (vorläufig) den Namen nicht.
Den rücken APs allerdings dann beim ersten Probe Request trotzdem raus - und in dem Augenblick können ihn die gängigen WLAN Sniffer auch mitlesen. Kismet arbeitet z.B. so.

Rouven hat geschrieben:Schließlich empfehlen Sicherheitsexperten wie u.a die Ct Redaktion, die SSID zu verbergen.

Da würde ich um ein Zitat bitten. Das habe ich da nämlich noch nicht gelesen.

Viele Grüße

Frank
Router: FBF 7050 14.04.15
Netz: T-Net analog mit 1und1 DSL 6000 (3072 kBit) + 1und1 Deutschland Flat
VoIP: 1und1, GMX und sipgate über FBF
Telefon: Siemens Telefon + Noname Schnurlos an FBF
frank_m
Super-User
 
Beiträge: 321
Registriert: Mi 12.10.2005 - 17:45

Beitragvon Rouven » Sa 29.04.2006 - 16:22

Zitat aus C't 21/2005 S. 152

"Oft liest man die Empfehlung für mehr Sicherheit das Aussenden des Funknetznamens (SSID-Broadcast) abzuschalten und die erlaubten Clients in einen MAC-Filter einzutragen. Das hält aber Cracker nicht auf. Denn die SSID ist auch ohne Broadcast herauszubekommen, und die MAC-Adresse der WLAN-Karte lässt sich problemlos auf eine erlaubte ändern. Dem geringen Sicherheitsgewinn steht eine deutliche Einbuße an Komfort gegenüber. Denn damit ein Freund sich mit seinem Notebook ins Netz einhängen kann, muss der Besitzer jedesmal am MAC-Filter schrauben. Eine sinnvoll gesetzte SSID (E-Mail-Adresse, Telefonnummer oder Adresse) erleichtert indes die Abstimmung mit Nachbarn, um Störungen zu minimieren."


Zitat aus C't 23/2004 S. 166

"Ein Abschalten des SSID-Broadcasts erschwert es WLAN-Schnüfflern, sich in fremde Funknetze einzuloggen. Dabei verschweigt der Access Point in seinem Beacon-Signal, dem "Hallo-ich-bin-noch-da" für seine Clients, den eingestellten Funknetznamen (SSID). Dann können sich nur noch Clients ins WLAN einklinken, die diesen bereits kennen. Das hält zumindest Schmalspur-Wardriver draußen, die sich auf die in Windows XP eingebaute WLAN-Erkennung verlassen."



Zitat aus C't 25/2003 S. 166

"Zu den weiteren Merkmalen, die Datenschnüfflern das Leben erschweren, gehören das Verbergen der Funknetzkennung (SSID-Broadcast abschaltbar) sowie Listen, die nur Karten mit eingetragener MAC-Adresse Zugriff gewähren (ACL, Access Control List). Allerdings sind dies Blockaden, die höchstens Zufallseinbrüche verhindern. Mit speziellen Werkzeugen suchende WLAN-Hacker halten sie nicht auf."


Zitat aus C't 14/2002 S.92

"Alle im Artikel beschriebenen Maßnahmen außer der WEP-Verschlüsselung sind keine ernsthaften Hindernisse für einen fachkundigen Einbrecher mit entsprechender Ausrüstung. Versteckte Netze sind mit einem Sniffer aufzuspüren, die SSID lässt sich aus den Paketen extrahieren und MAC-Adressen kann man einfach fälschen. Diese Mechanismen verhindern jedoch, dass zum Beispiel der Nachbar quasi aus Versehen in das Funknetz `reinstolpert´ und halten die meisten unerfahrenen Hobby-Cracker draußen."


Ich habe noch ein paar andere auch neuere Artikel gefunden, wo Sinngemäß das selbe drinsteht.
Es wird zwar nicht ausdrücklich gesagt:" schalte die SSID ab" aber es stand auch nirgends, das es schaden tut.....
Gruss Rouven
Benutzeravatar
Rouven
Power-User
 
Beiträge: 230
Registriert: Di 19.04.2005 - 11:37
Wohnort: Kiel

Beitragvon frank_m » Sa 29.04.2006 - 17:36

Hallo,

ja, die ganzen Zitate kann man denke ich als korrekt stehen lassen, unter Berücksichtigung des Verfassungszeitpunktes.

Es muss natürlich nicht zwangsläufig Probleme geben. Meistens treten sie erst auf, wenn es zwei Hidden SSIDs in Reichweite gibt. Im erwähnten Forum liest man allerdings auf öfter mal Threads, die von Verbindungsproblemen an hidden SSIDs berichten, die sich durch sichtbare SSIDs beheben ließen.
Man muss es ausprobieren, wenn man es unbedingt will.

Viele Grüße

Frank
Router: FBF 7050 14.04.15
Netz: T-Net analog mit 1und1 DSL 6000 (3072 kBit) + 1und1 Deutschland Flat
VoIP: 1und1, GMX und sipgate über FBF
Telefon: Siemens Telefon + Noname Schnurlos an FBF
frank_m
Super-User
 
Beiträge: 321
Registriert: Mi 12.10.2005 - 17:45


Zurück zu Wireless

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron