WLAN: reicht Absicherung mit Mac-Adresse?
 

habe heute zu mittag noch testeweise mal ein WLAN installiert, nachdem ich mir das mit der verschlüsslung noch nicht angeschaut habe, hab ich einfach mal die MAC-Adresse für den einen Laptop mit WLAN-Karte am Accespoint eingegeben, soweit ich es verstanden habe sollte keiner mit einer anderen MAC-Adresse aufs WLAN zugreifen können??
oder soll ich die verschlüsselung auch unbedingt machen ??

thx
lothar

Weder das noch eine WEP verschlüsslung hilft. (aber besser als nichts ist es trotzdem!)


Die MAC Adresse kannst mit jedem blöden Sniffer und einer WLAN Karte mit Lucent Chipset (Z.B. Netgear) rausfinden und dann spoofen. :D

ok, d.h. für mich das ganze wieder abbauen und wegschmeisen ??
oder den accespoint nur dann einschalten wenn ich selbst online gehen will??
thx
lothar

Nein, mach' es so wie du es vorgehabt hast. MAC + 128 bit WEP key + SSID nicht broadcasten ist mal besser als nix. Vielleicht kannst du ja auch WPA einsetzen. Über diese Sicherheitsproblematik gibt es sicher schon unmengen an Beitragen hier im forum oder im WWW.

Z.B. http://www.de.tomshardware.com/netwo.../wlan3-05.html

mac-adresse kriegst locker mit einem packet-sniffer raus. du bist auch ohne "gültiger" mac connected und kriegst ein paar packets mit, eines reicht schon und du hast die mac.
SSID findest mit networkstubmler raus. WEP is noch relativ sicher, mal nachschaun ob ma das irgendwie exploiten kann. ich hab bei mit 64bit wep, ssid-broadcast aus und mac-filterung.

auch WEP hat seine Schwächen, aber ist (ziemlich) sicher.
http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf

man braucht 5 bis 10 mio verschlüsselte Pakete, dauert also ziemlich lang das zu knacken

mfg

ohne irgendwelche kenntnisse kann man mit der knoppix security edition den wep innerhalb von paar tagen rausfinden!

mit anderen programmen auch in paar minuten...

bin auf einer fh.. und kenn daher leider das problem mit wlan...

meine mutter wollte jetzt auch die kabel los werden, daher wird der router jetzt nur aufgedreht, wenn sie oder meine sis on line will, ausserdem schau ich immer wieder mal online den bisherigen download an.. irgendwelche online-transaktionen machen eh beide nicht..

WEP= broken by design.

Literatur darüber gibt es massig.
Etwas zum einlesen:
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
http://www.heise.de/security/artikel/38099
http://www.zdnet.de/mobile/wireless/...00736-4,00.htm
http://www.microsoft.com/germany/ms/.../5min-209.mspx


HTH
g17

alle läst sich knacken -- frage ist immer der Aufwand und Fachwissen das dahinter steckt.

ja ist mir im prinzip klar, danke auch alle für die antworten mir geht es in erster linie darum das nicht jeder hauptschüler mit dem lapi seines vaters auf meine kosten surfen kann ich denk ich werd mir zur mac-adresse noch das mit dem WEP mal einrichten, hab gelesen das es da noch irgenwie so ein VPN-Funktion mit IP-sec auf dem Teil gibt, vielleicht schau ich mir das mal an, thx

WEP-Verschlüssung und auf ein paar MAC-Adressen begrenzen ist nett, aber nicht sicher..

du hast aber schon gelesen was ich geschrieben hab??

:ja: GUTER Ansatz!

der mac filter ist imho nur dann unsicher wenns jemanden innerhalb der wlan reichweite gibt der weis wie mans knackt und dies auch will. Je nach gebäude und der damit verbundenen reichweite reichts meist aus. Ich sperr auch nicht die klotür zu wenn ich allein daheim bin ;) .

Meiner Meinung nach reicht die MAC-Sperre + SSID broadcast deaktivieren.

Leute, die das aushebeln können, knacken auch WEP... hat mir ein Kollege mit seinem Laptop eindrucksvoll demonstriert (geht angeblich sogar mit einem PDA :eek: ).

Im Prinzip hält eine MAC-Sperre die Witzbolde ab, die offene Netze per Laptop/PDA suchen. Die gehen lieber zwei Türen weiter zum offenen WLAN, anstatt sich mit einem gesperrten Netz zu plagen.

Frage ist auch immer, wo man wohnt (Wohnung vs. Haus, Innenstadt vs. Land etc.). Blöd ist halt', wenn man als Nachbarn einen TU-Studenten hat :D

Ist für einen Wardriver genau 2 Secs arbeit die MAC zu spoofen und SSID rauszufinden.

WEP ist etwas mehr Arbeit allerdings auch ohne viel Aufwand möglich (wie schon gepostet, Knoppix Security Tools Distribution einlegen, booten, Proggie ausführen und warten ;))

Sicher ist derzeit nur VPN oder WPA mit Radius-Server ;)

mac-filterung is trotzdem offen genug. mitn packetsniffer hast die sofort herausen, tragst bei dir in der reg ein und bist drin. und dass die ssid nicht broadcasted wird merkt der wardriver schon gar nicht mal weil du mit network stumbler auch gleich die network-ID draußen hast ;)

edit: 0wn3d :motz:

ich nehme an das linux-tool macht an dictionary-bruteforce? wenn als passphrase keine dictionary-phrase verwendet wird kannst lang warten ;)

So what, genauer lesen bitte... ich habe nix von absolut sicher geschrieben.

Am sichersten ist kein WLAN einzusetzen und den Stöpsel vom Internet bei Nichtverwendung rauszuziehen. Sowie natürlich Kennwortsperren hoch 10 am PC, für mögliche Einbrecher. Alle Discs im Safe aufbewahren. Dann kann man nur noch die Unterwäsche von der Freundin klauen.

Get a life...

was solln das jetz? spar dir den scheiss :rolleyes:

schon klar, dass das nicht absolut sicher is, aber wie hannes schon gesagt hat sind diese zwei mechanismen viel zu leicht zu knacken und wep is ja auch leicht zu implementieren.

Die Attacke beruht auf einer Schwachstelle im WEP Algorithmus.

das war ein bruteforce :D

:D

ich fass den threat mal zam weil eh scho seit 2 seiten nur mehr das selbe steht!

MAC-Sperre und no broadcasting von SSID hat schon sinn aba kommt einer der sich a bissi auskennt is fürn orsch!

WEP hat anscheinend auch nicht viel sicherheit aba doch a bissi!

doch das erstere reicht volkommen wennst wo wohnst wos wurscht is, so wie bei mir!
wie gsagt du sperrst auch nicht dein zimmer ab wennst allein daheim bist!

aber nur dann wenn er in deine reichweite kommt.

reicht ja meistens wenn er unten auf der straße steht, gehn ja auch reflexionen durchs fenster usw.
mit cisco APs kann man beispielsweise eine kegelcharakteristik einstellen und dann weitmöglich mit der sendeleistung runtergehen dass die chancen sinken, dass jemand rundherum connecten kann. für 802.11b ab 600 urro aufwärts ;)

450 euro ;)

dann hast an guten dealer :D

bei GH: findet man nur 2... http://www.geizhals.at/?fs=cisco&in=&x=0&y=0

machts euch ned ins hemd.

als privatuser: mac filter, ssid deaktivieren + WEP. fertig

100%ige sicherheit ist halt den router auszuschalten wenn du ihn nicht brauchst :D

ist halt immer abhängig wer bei dir im umkreis wohnt.


ich selbst hab obige drei dinge. wep sogar nur mit 64-bit. der router läuft 24 / 7.
aber bei meinen nachbarn hab ich keine angst. und wenn einer von der strasse unten bei mir diese 3 "hürden" überwindet um surfen zu können, dann soll er doch. is ma eigentl. ziemlich tuttl.

und wenn auf einmal viel traffic is ohne das ich das bin, dann krieg ich das schon mit ;)


ganz anders schaut die sache natürlich bei firmenmässiger nutzung aus. da hilft nur VPN / WPA. alles andere is grob fahrlässig. aber das ist eine andere sache.

nicht wenn der ssid broadcast deaktiviert ist.

bei mir schon :confused:

hab netstumbler 0.4.0 Build 554 laufen, dreh ich den ssid broadcast ab ist der accesspoint weg, dreh ich ihn wieder auf erscheint er. Hab das mit 2 verschidenen accesspoints probiert, sobald man den broadcast abdreht findet der netstumbler garnichts.

hm, erscheint mir auch logisch, aber ich habs letztes mal beim SNR messen trotzdem gefunden... könnt vielleicht sein, dass ers gecached hat weil ich die SSID nicht geändert hab.

ich hör immer wie unsicher das ganze wlan zeug ist, aber bisher konnte mir niemand demonstrieren wie man ein wlan ohne ssid broadcast findet, ausser vielleicht damit:
http://www.smartid.com.sg/prod01.htm aber das teil findet ja nur geräte die auf der richtigen frequenz senden und nicht unbedingt ein wlan.


Habs im büro mit einem netgear getestet, nach dem abschalten des ssid broadcasts hat der stumbler das wlan noch angezeigt, aber nach einem de- und wieder aktivieren der wlan karte wars weg.

Daher meine schlussfolgerung: für ein privates netzwerk reicht ein abschalten des broadcasts vollkommen aus, sofern man eine eigene ssid verwendet. Für ein firmennetzwerk weniger weils ja jeder user auf seinem gerät auslesen kann und weitergeben.

Wenn man den ssid broadcast deaktiviert, bedeutet das das der accesspoint die broadcasts anderer wlan geräte die nach einem accespoint suchen ignoriert. (wie der stealtheffekt einer firewall die ein unauthorisiertes paket einfach ignoriert)

BTW: hat wer einen tipp für eine wlan karte die mit airsnort funktioniert, und bei UNS LEICHT erhältlich ist und nicht viel mehr kostet als die anderen WLAN karten von netgear, dlink und co? Hab gehört die DWL-650 von dlink soll laufen, aber welche, mittlerweilen gibts ja schon x versionen davon.

So bei diesem Gebiet blicke ich jetzt leider nicht mehr durch :(
Nur so viel:
Ich habe einen Internet Zugang über WLAN auf einen Access Point mit einer fixen IP und einer 128 Bit Verschlüsselung.
Laut meinen Provider kann ich nur auf diesen Accesspoint zugreifen weil meine IP nur auf diesen zutrifft.
Wie sicher ist die ganze Sache nun :confused:
Da ich nur diesen einen Accesspoint sehe habe ich auch noch nicht versucht auf einen anderen zuzugreifen.

das halte ich für einen absoluten blödsinn.

die ssid ist in diesem zusammenhang ned wirklich wichtig. hacken kannst dich immer in ein wlan, wenn die verschlüsselung "gut" genug ist dann hättest e.g. nur mehr ~ 20% reine datenübertragung. aber dazu gibts eigentlich genug infos im web

grundsätzlich sag ich mal (mM) ist eine wlan immer eine unsichere gschicht.

ja sicher, aber es geht primär darum die interesse des wardrivers auf den nächsten umzuleiten :D
vielleicht geb ich mir die ssid "beimnachbarngibtspr0ns" :lol:
ich hab bei mir den datenaustausch über NFS komplett aufgehoben und auf FTP mit 8-char-case-sensitive-non-dictionary-PWs und non-standard-port umgestellt :cool:
außerdem hab ich auf jedem rechner ein start-up-script was die admin-shares aufhebt - ja ich bin paranoid und steh dazu :D