Sichere Verbindung über WLAN

[Preacher]

Ich habe 2 Verbindungen mit WLAN, wobei immer ein WLAN-AP im Access-point Modus und einer im Wirreless-Client Modus läuft.
Funktioniert soweit perfekt, auch mit 128-Bit WEP Verschlüsselung.
Bislang hielt ich diese Verschlüsselung für ausreichend, da auch wenig Traffic auf der Verbindung besteht.
Nun hab ich in der letzten c't gelesen, dass man mit entsprechenden Tools innerhalb von Minuten in ein WEP-gesichertes WLAN einbrechen kann.
Da der AP im Client-Modus wie so viele andere Geräte kein WPA-PSK kann, bleibt mir leider nur WEP.

Ich sehe nun nur 2 Möglichkeiten.
- Einen Radius-Server aufzustellen ,der oft genug die Keys wechselt oder die Verbindung zu verschlüsseln.
Nur hab ich keie Ahnung, wie ein Radius-Server funktioniert, wie man so ein Teil halbwegs sicher konfiguriert und wo man den halbwegs kostengünstig bekommt.
- Verschlüsselung der Kommunikation mit einem VPN-Tunnel.
Dazu sollte ein Rechner vor dem AP 2 (oder 3- für einen weiteren AP) NW-Karten haben, über der einen hängt das Gerät am LAN, die andere Seite hängt am AP. Darauf läuft dann ein VPN-Server. Auf der Gegenseite sind dann entweder Notebooks oder ein weiterer Rechner mit 2 NW-Karten, die dann die Kommunikation mittels VPN-Client wieder entschlüsseln.
Nun jetzt die Frage nach der benötigten Software. Einen Linux-Rechner, der VPN-Server spielen könnte hätte ich bereits. Was müsste ich da installieren. Reicht für Notebooks der Windows VPN-Client? Welche Software würde ich am Rechner für das andere LAN benötigen, der dann über einen Switch weitere Rechner anbindet?
Aussehen sollte das wie folgt:
LAN----VPN-Server++++WLAN******VPN-Client
und
LAN----VPN-Server++++WLAN******WLAN-Client++++++VPN-Client.....Switch------LAN
Eine Idee?

[LouCypher]

so leicht bzw. schnell gehts auch wieder nicht. Um ein wep128 innerhalb von minuten zu knacken, genauer gesagt sind es 20 ca. minuten muss das netz voll ausgelastet sein. Wenn nur gesurft wird und keine großen datenmengen auf dauer übertragen werden dauerts tage oder sogar wochen bis der key geknackt wird.

Die gefahr hält sich imho sehr in grenzen, das beste wär wenn du die sendeleistung der geräte drosseln kannst damit das signal gar nicht zum potentiellen angreifer hinkommt. Das geht bei den billig zeug aber nicht.

[Preacher]

Ich hab da mehrere D-Link DWL-2000AP+ im Einsatz, da kann man die Sendeleistung einstellen.
Das mit dem Knacken hatte ich bislang auch so gesehen, dachte bei wenig Traffic und abgeschaltetem SSID-Broadcast wäre das kein Risiko, also sch*** drauf, denn kaum jemand wird sich einen Tag mit einem Notebook auf die Straße stellen, dachte ich mir.
Nur hab ich nun von neuen Tools gelesen, die Pakete abfangen, diese umbauen und damit ihrerseits so viel Traffic generieren, dass da genug Pakete zusammen kommen. und anstatt dann eine Anzahl von einigen 100.000 Paketen zu untersuchen wenden diese Tools spezielle Algorithmen an, um so schneller an den Key zu kommen. Siehe auch http://www.heise.de/security/artikel/59098 und die aktuelle c't.

[LouCypher]

Das alles ist imho sehr viel theorie, ausserdem brauchts nicht 500,000 sondern 500,000-1,000,000 pakete und das ist verdammt viel wenn nur gesurft wird. Was das traffic generieren angeht:
[quote]
Durch das künstliche Erzeugen von viel Verkehr in einem Funknetzwerk soll es beispielsweise dem US-amerikanischen FBI auf einer Vorführung gelungen sein, den WEP-Schlüssel in einem 54MBit/s schnellen Funknetz in drei Minuten zu knacken. [
/quote]
na gut das FBI hats geschafft, aber wenns die jungs von Heise nicht zsammbringen wirds dein nachbar vermutlich auch nicht schaffen.

[Preacher]

Naja, für mich privat wäre mir das egal.
Aber da sWLAN bindet 2 Außenbüros an das Firmennetz an, das eine inst am selben Gelände, ca 20m über eien Weg, die andere Strecke geht aber ca. 50m über eine öffentliche Straße, das birgt theoretisch doch ein gewisses Risiko.
Auf der anderen Seite hängen zwei PCs und ein IP-Telefon im Netz, die PCs greifen auf Netzlaufwerke zu und holen Mails ab.
Traffic wahrscheinlich nicht mehr als ca. 200MB/Tag.

[LouCypher]

dann würd ich wpa-psk hardware investieren. VPN wär auch eine lösung nur brauchst dann einen ap der eine firewall auf der wlan seite bietet bzw. zusätzlich eine firewall nach dem ap, dann kannst gleich ein wpa taugliches gerät kaufen.

[Preacher]

Problem ist, dass ich die Hardware grad erst angeschafft hab, da wird man mich auch fragen, ob es mir noch ganz gut geht.
Na vielleicht bringt D-Link noch mal eine WPA-taugliche Firmware raus.
Angeblich kann man ja auch eine gepatchte USR-Firmware reinspielen, nur hab ich noch keine genaue Aussage finden können, ob damit WPA im Client-Mode funktioniert und mit welchen Hardware Revisionen des APs das geht.

[LouCypher]

dann scan halt mal die nähere umgebung nach wlans, um die gefahr einzuschätzen. Wenn du zb. wochentlich den wep key änderst, kannst ja eh 4 oder so verwalten bist imho sicher.

Probier mal ein wlan mit airsnort oder aircrack zu knacken du wirst dich wundern wie lang das dauert, da muss schon jemand im wohnmobil kommen.

[Preacher]

Werd ich mal machen, die große Antenne anhängen und mal gucken!
Danke Dir für die Ratschläge.
ich wollt mich nur mal gegenversichern, ob ich nicht vielleicht zu sorglos bin.
Und außerdem muß ich eine Antwort und einen möglichen Lösungsansatz bereit haben, wenn mal Scheffe kommt und fragt, wie sicher denn unser WLAN ist und wie lange es dauert, bis jemand einbrechen kann.

[LouCypher]

probiers mal selber zu knacken und zwar bei dem tatsächlichen datenvolumen welches übers wlan wandert, dannach weist wie lang ein angreifer braucht und kannst den wep key abhängig davon ändern.