|
WLAN & Security?
Hi,
immer wieder les' ich "... eingschaltet, und beim Nachbarn mitgesurft...". Wie ist es nun mit der Sicherheit von WLAN bestellt? In meinem Netzwerk dürfte es jetzt 2 Punkte geben:[list=a][*]Kommt ein Eindringling auf meine Daten am Debinan-Server?[*]Kann er bei mir mitsurfen? (Anm.: der Debian-Server spielt Firewall).[/list=a] Wenn ich mich nicht irre, müsste ein Eindringling mal die richtige IP-Adresse haben, um vom Server akzeptiert zu werden, dann müsste er die richtige IP-Adresse des Debian-Servers wissen, dann müsste er die Arbeitsgruppe erraten (ned so schwierig, ist mein Familienname), angeblich gibt's ja auch eine Verschlüsselung... Wie ist das Risiko nun wirklich einzuschätzen? Thx Quintus P.S.: Kann ich davon ausgehen, dass ein WLAN durch 1-2 dicke Ziegelmauern geht und ich im ganzen Garten surfen könnte? |
Einen Access Point ohne Verschlüsselung und Authentisierung zu verwenden halte ich für grob fahrlässig.
Ein ungesichertes Netzwerk dahinter zu betreiben ebenso. Zu deinen Fragen: > a.) Kommt ein Eindringling auf meine Daten am Debinan-Server? > b.) Kann er bei mir mitsurfen? (Anm.: der Debian-Server spielt > Firewall). ad.a.) kommt auf die Sicherheit des Debian Servers an ad b.) kommt auf die FW Config an ich würde mal behaupten mit einer WEP Verschlüsselung und einem sicheren Debian sollte von Skript Kiddies keine Gefahr ausgehen. Ganz anders als von der NSA :). (WEP ist btw. auch schon gecrackt, der Angreifer muss 100 - 1000MB Traffic sniffen und kann dann mit einer guten Wahrscheinlichkeit den Key raten :)) > P.S.: Kann ich davon ausgehen, dass ein WLAN durch 1-2 dicke > Ziegelmauern geht und ich im ganzen Garten surfen könnte? Sicher |
Zitat:
Thx Quintus |
Es gibt zig Dinge auf die man aufpassen sollte um einen Server zu härten.
- unnötige Services abdrehen - keinen ungesicherten Traffic (ftp,telnet,http,...) mit Authentisierung - Security Patches einspielen - Kernel Patchen - Firewall Rules planen (bzw. von 0 weg konfigurieren) - unnötige Benutzer sperren - sichere Passwörter verwenden - mal mit nem Sniffer drüberfahrn - Security Foren lesen - usw. usw. da gibt's tonnenweise Literatur. |
bitte,es gibt doch einfache mitteln im AP-Menü dies zu verhindern.
gib einfach die MAC-Adressen ein die akzeptiert werden,und zusätzlich verschlüssle mit 128 bit. eventuell noch passwort abfragen,aber des is was für paranoiker. |
Zitat:
Die einzige sichere Methode ist zur Zeit ein VPN zwischen debian box und dem Client-Rechner uber das WLAN. |
Zitat:
Ich hab' z.Z. am Debian-Server die Shorewall als Firewall und den Samba-Server als Fileserver. User hab' ich definiert, Passworteingabe ist z.Z. nicht erforderlich. Mit den Dingen, die ruprecht69 hier anführt, bin ich z.Z. sicher überfordert. Könnte ich dem Debian-Server irgendwie beibringen, dass er mir nur eine ganz bestimmte Kiste via WLAN akzeptiert? MfG Quintus |
Hab' jetzt gefunden, was VPN ist - eine Tunnelungsgeschichte.
Schaut aber so aus, dass es viel Mühe macht, das WLAN richtig abzusichern .... ich glaub', ich bleib' vorläufig beim Kabel. MfG Quintus |
Also ich sag mal so, für Heim-WLAN's reicht eine MAC-Authentisierung. Dh. nur "bekannte" PC's kommen rein. WEP ist ganz nett, aber da es meistens die Geschwindigkeit drastisch runtersetzt, kommt es für mich nicht in Frage.
Die MAC-Sperre ist zumindest so gut, um den Nachbar und viele "Möchtegern"-Hacker auf jeden Fall raus hält. Es ist ähnlich wie bei der Eingangstür - ein Riegel ist sehr gut um Fremde abzuhalten, andererseits wenn's jemand wirklich drauf ankommen lässt, kommt er auch durch eine Tür mit 100 Riegel. Dazu kommt noch, in welcher Gegend man wohnt bzw. was dort für Leute unterwegs sind. Am Land in einem Haus im Garten würde ich mir kaum Gedanken machen, ganz anders, wenn ich in einem Studentenheim wohnen würde... |
Theoretisch jetzt mal weitergedacht: das mit der Einrichtung der MAC-Sperre sollte ja nicht so das große Problem sein - wird ja wohl jeder AP können (ein D-Link wäre mir da angenehm, nachdem meine anderen Netzwerk-Trümmer auch alle von D-Link sind).
Zu DHCP: meine PCs im Netzwerk haben alle fixe IP-Adressen. Müsste ich der Shorewall am Debian-Server unter "Edit Network Interface" die Option "dhcp" wegnehmen - dann sollte ein Eindringling, der die MAC-Hürde genommen hat, keine IP-Adresse kriegen - richtig? Wenn ja, hätte ein Angreifer a.) die MAC-Hürde, b.) weiß er nicht, unter welcher IP-Adresse der Server tut, c.) kriegt er keine IP-Adresse und d.) wäre da noch die WAP-Verschlüsselung. Wären ja schon mal 4 Riegel. Lieg' ich da jetzt so halbwegs richtig? Thx Quintus Nachtrag: bei geizhals.at les' ich von den D-Link-APs nicht viel Gutes - Netgear scheint besser zu sein. |
wenn du den ssid broadcast am accespoint deaktivierst bist eigentlich absolut sicher.
|
Zitat:
Das glaub ich nicht, Tim! |
dann erzähl mal wie du ein wlan ohne ssid broadcast findest? Hab hier eh schon mal einen thread darüber aufgemacht und niemand hatte eine lösung. Ich mein jetzt mit einfachen mitteln (pc + wlan), ohne scanner udgl.
|
Wenn Du bei einem Lancom die SSID nicht änderst, kannst Du sie verstecken, was Du willst, ich geb einfach "linksys" ein, bei D-Link ist es oft "D-Link".
Ansonsten greif ich zu: http://www.wardriving.com/doc/Wardriving-HOWTO.txt und bin drinnen, auch mit versteckter SSID. "Security through abscurity" ist keine Sicherheit, wie auch schon Microsoft mehrmals lernen musste. |
dass man die default ssid ändert ist eigentlich eh logisch oder?
Mit welchen (windows-) tool kann man die ssid ausspionieren, der network stumbler kanns nicht? |
Ich fasse jetzt mal zusammen:
Nochmal die Frage: Zitat:
Thx Quintus |
Ich habe schon sehr lange Netgear-WLAN-Komponenten laufen, und bisher absolut keine Probleme. Generell, soweit ich mich erinnere, keine Probleme im Forum mit Netgear-Produkten. D-Link ist nicht so meins, kenne ich aber zu wenig. 3Com ist zumindest bei NIC's quasi Standard, wie es bei WLAN-Komponeten aussieht - kA ... 3Com war zudem auch noch nie billig...
|
kann mir bitte wer ein tool nennen mit dem man eine nicht gebroadcastete ssid ausspionieren kann? Hab viel darüber gelesen dass es geht nur einen beweis hab ich noch nicht gefunden. Hätte da das tool aerosol, nur des funzt ned mit meiner karte und wegen kismet will ich mir kein linux installieren.
|
- MAC adressenfilter
- SSID broadcast deaktivieren - 64Bit WEP verschlüsselung das sollte für ein heimnetzwerk mehr als ausreichen. sicher ist das kein wahnsinnig toller schutz aber alle möchtegern hacker werden dadurch wahrscheinlich so lange aufgehalten dass es uninteressant wird und sie sich ein anderes WLAN suchen. profis kannst du so und so nicht aufhalten. nur was sollen die bei mir zu hause? @Quintus14 lass dich nicht zu sehr von der panikmache anstecken ;) wie gesagt jemand der will und kann kommt auch an zig absicherungen vorbei. für die anderen ist es damit uninteressant. D-Link funktioniert bei mir sehr gut (hab den 614+ router) mit reinem WLAN netzwerk. ausserdem wegen mitsurfen: untertags/nachts ist bei mir das chello modem immer abgedreht, detto die computer. was soll ein "mitsurfwilliger" mit zugang zum router anfangen wenn er es schafft ins WLAN einzudringen? kein internet, keine daten. etwas langweilig. aber er könnte ja in die wohnung einbrechen und das modem aufdrehen :lol: |
also ich hab nur den mac filter und den ssid broadcast deaktiviert. WEP kostet zu viel leistung, ich schau gern videos die am fileserver liegen über wlan am notebook welches am fernseher hängt und mit wep ruckelts wie verrückt. Alle paar tage wird mal die umgebung gescannt obs irgendwelche wlan user in meinem empfangsbereich gibt und wenn ich nicht daheim bin wird der access point abgedreht. Mein wlan ist nur von den unmittelbaren nachbarn (wenn überhaupt) erreichbar und vor denen muss ich keine angst haben.
Durch das CSMA/CA verfahren welches bei wlan angewandt wird sinkt die bruttoübertragungsrate jedes 11mbit wlans schon einmal auf reelle 4-6mbit, durch wep sind nochmal 30% weg dann hast 3-4mbit bei optimalen empfang, wenn die entfernung zum accesspoint etwas grösser ist sinkt diese rate noch viel weiter. |
Zitat:
derwegen hat man 44Mbit von D-Link dann passt die rechnung wieder ;) aber prinzipiell hast du natürlich recht. |
Zitat:
|
Zitat:
|
Jetzt habe ich gerade interessehalber nachgesehen bei meinem wlan-Router: kann ich SSID-Broadcast nur per Option im dortigen Menü deaktivieren? Finde den entspr. Eintrag nämlich nicht (Netgear MR 314) - oder gibts dafür ein eigenes Tool?
|
also bei D-Link 614+ gibts in der router config, die du übers web interface erreichst so einen radio button oder isses eine check box, weiss ich jetzt nicht.
jedenfalls kannst du dort mit einem click den ssid broadcast deaktivieren. wird beim netgear nicht viel anders sein. aja und wie schon vorgeschlagen würd ich den standardmässigen ssid namen ändern. ajo und das standardmässige admin passwort am router zu ändern wär auch nicht schlecht ;) |
beim netgear fm114p gibts im wireless menü eine option wo du das hakerl bei ssid broadcast entfernen kannst, brauchst allerdings eine aktuelle firmware. Bei der älteren firmware ging dass noch nicht.
|
Absolut sicher wird WLAN nur mit VPN bzw IPSec. Der Rest ist so naja. Aber es hinter schon mal die Leute mitzusurfen die keine Ahnung haben. Und die Profis kannst du nie absolut fernhalten. Also WEP 128 Bit und MAC Filter reicht schon mal aus. Schau halt hi und da in der Log-File des WLAN Routers nach ob wer mitsurft, und wenn ja, dann reduzier die Sendeleistung. Und wer macht sich so viel Arbeit um wo mitzusurfen, hm denke das sich sowas nicht wirlich rechnet.
Ich besitze einen D-Link Router DI614+ So recht gut, aber da so elementare Sachen wie statische Routen fehlen und sogar RIP bin ich nicht so begeistert von dem Teil. Aber so funkt es einwandfrei .. |
SSID deaktivieren
|
| Alle Zeitangaben in WEZ +2. Es ist jetzt 01:34 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag