WLAN & Security?

[Quintus14]

Hi,

immer wieder les' ich "... eingschaltet, und beim Nachbarn mitgesurft...".

Wie ist es nun mit der Sicherheit von WLAN bestellt?

In meinem Netzwerk dürfte es jetzt 2 Punkte geben:[list=a][*]Kommt ein Eindringling auf meine Daten am Debinan-Server?[*]Kann er bei mir mitsurfen? (Anm.: der Debian-Server spielt Firewall).[/list=a]
Wenn ich mich nicht irre, müsste ein Eindringling mal die richtige IP-Adresse haben, um vom Server akzeptiert zu werden, dann müsste er die richtige IP-Adresse des Debian-Servers wissen, dann müsste er die Arbeitsgruppe erraten (ned so schwierig, ist mein Familienname), angeblich gibt's ja auch eine Verschlüsselung...

Wie ist das Risiko nun wirklich einzuschätzen?

Thx
Quintus

P.S.: Kann ich davon ausgehen, dass ein WLAN durch 1-2 dicke Ziegelmauern geht und ich im ganzen Garten surfen könnte?

[ruprecht69]

Einen Access Point ohne Verschlüsselung und Authentisierung zu verwenden halte ich für grob fahrlässig.

Ein ungesichertes Netzwerk dahinter zu betreiben ebenso.

Zu deinen Fragen:

> a.) Kommt ein Eindringling auf meine Daten am Debinan-Server?
> b.) Kann er bei mir mitsurfen? (Anm.: der Debian-Server spielt
> Firewall).


ad.a.) kommt auf die Sicherheit des Debian Servers an
ad b.) kommt auf die FW Config an

ich würde mal behaupten mit einer WEP Verschlüsselung und einem sicheren Debian sollte von Skript Kiddies keine Gefahr ausgehen. Ganz anders als von der NSA . (WEP ist btw. auch schon gecrackt, der Angreifer muss 100 - 1000MB Traffic sniffen und kann dann mit einer guten Wahrscheinlichkeit den Key raten )

> P.S.: Kann ich davon ausgehen, dass ein WLAN durch 1-2 dicke
> Ziegelmauern geht und ich im ganzen Garten surfen könnte?

Sicher

[Quintus14]

Zitat:

ad.a.) kommt auf die Sicherheit des Debian Servers an

Kannst Du das etwas näher spezifizieren, was da alles notwendig wäre bzw. was ich kontrollieren müsste?

Thx
Quintus

[ruprecht69]

Es gibt zig Dinge auf die man aufpassen sollte um einen Server zu härten.

- unnötige Services abdrehen
- keinen ungesicherten Traffic (ftp,telnet,http,...) mit Authentisierung
- Security Patches einspielen
- Kernel Patchen
- Firewall Rules planen (bzw. von 0 weg konfigurieren)
- unnötige Benutzer sperren
- sichere Passwörter verwenden
- mal mit nem Sniffer drüberfahrn
- Security Foren lesen
- usw. usw.

da gibt's tonnenweise Literatur.

[Dr. Acula]

bitte,es gibt doch einfache mitteln im AP-Menü dies zu verhindern.

gib einfach die MAC-Adressen ein die akzeptiert werden,und zusätzlich verschlüssle mit 128 bit.

eventuell noch passwort abfragen,aber des is was für paranoiker.

[_m3]

Zitat:

Original geschrieben von Herr Karl
bitte,es gibt doch einfache mitteln im AP-Menü dies zu verhindern.

gib einfach die MAC-Adressen ein die akzeptiert werden,und zusätzlich verschlüssle mit 128 bit.

eventuell noch passwort abfragen,aber des is was für paranoiker.

MAC-Adressen? Das haelt hoechstens einen Script Kiddie auf. Detto die 128 bit Verschluesselung.
Die einzige sichere Methode ist zur Zeit ein VPN zwischen debian box und dem Client-Rechner uber das WLAN.

[Quintus14]

Zitat:

Die einzige sichere Methode ist zur Zeit ein VPN zwischen debian box und dem Client-Rechner uber das WLAN.

Äh - was bitte ist VPN?

Ich hab' z.Z. am Debian-Server die Shorewall als Firewall und den Samba-Server als Fileserver. User hab' ich definiert, Passworteingabe ist z.Z. nicht erforderlich.

Mit den Dingen, die ruprecht69 hier anführt, bin ich z.Z. sicher überfordert.

Könnte ich dem Debian-Server irgendwie beibringen, dass er mir nur eine ganz bestimmte Kiste via WLAN akzeptiert?

MfG
Quintus

[Quintus14]

Hab' jetzt gefunden, was VPN ist - eine Tunnelungsgeschichte.

Schaut aber so aus, dass es viel Mühe macht, das WLAN richtig abzusichern .... ich glaub', ich bleib' vorläufig beim Kabel.

MfG
Quintus

[ruffy_mike]

Also ich sag mal so, für Heim-WLAN's reicht eine MAC-Authentisierung. Dh. nur "bekannte" PC's kommen rein. WEP ist ganz nett, aber da es meistens die Geschwindigkeit drastisch runtersetzt, kommt es für mich nicht in Frage.

Die MAC-Sperre ist zumindest so gut, um den Nachbar und viele "Möchtegern"-Hacker auf jeden Fall raus hält. Es ist ähnlich wie bei der Eingangstür - ein Riegel ist sehr gut um Fremde abzuhalten, andererseits wenn's jemand wirklich drauf ankommen lässt, kommt er auch durch eine Tür mit 100 Riegel.

Dazu kommt noch, in welcher Gegend man wohnt bzw. was dort für Leute unterwegs sind. Am Land in einem Haus im Garten würde ich mir kaum Gedanken machen, ganz anders, wenn ich in einem Studentenheim wohnen würde...

[Quintus14]

Theoretisch jetzt mal weitergedacht: das mit der Einrichtung der MAC-Sperre sollte ja nicht so das große Problem sein - wird ja wohl jeder AP können (ein D-Link wäre mir da angenehm, nachdem meine anderen Netzwerk-Trümmer auch alle von D-Link sind).

Zu DHCP: meine PCs im Netzwerk haben alle fixe IP-Adressen. Müsste ich der Shorewall am Debian-Server unter "Edit Network Interface" die Option "dhcp" wegnehmen - dann sollte ein Eindringling, der die MAC-Hürde genommen hat, keine IP-Adresse kriegen - richtig?

Wenn ja, hätte ein Angreifer a.) die MAC-Hürde, b.) weiß er nicht, unter welcher IP-Adresse der Server tut, c.) kriegt er keine IP-Adresse und d.) wäre da noch die WAP-Verschlüsselung. Wären ja schon mal 4 Riegel.

Lieg' ich da jetzt so halbwegs richtig?

Thx
Quintus



Nachtrag: bei geizhals.at les' ich von den D-Link-APs nicht viel Gutes - Netgear scheint besser zu sein.