Wlan: Vorschläge zur Absicherung jenseits von WEP und WPA

[E. coli]

Hallo,

ich überlege hin und wieder, wie ich denn mein Wlan möglichst sicher gestalten könnte. Da dieses Thema von allgemeinem Interesse sein könnte, würde ich hier gerne einige Vorschläge zu dem Thema sammeln. Daraus könnten wir dann evtl. einen neuen Wiki-Eintrag (z.B. WlanSicherheit) aufbauen.

Also was wären die einfachsten, wenn auch nicht sehr effektiven Massnahmen:
- MAC-Adressen-Filter aktivieren
- Ip-Adressen-Filter aktivieren
- Verschlüsselung verwenden, die die Hardware anbieten, also: WEP, WPA oder WPA2

Einem potentiellen Eindringling ist damit das Leben schon etwas erschwert, aber wirkliche Hürden sollten diese Massnahmen noch nicht darstellen. Ip- und Mac-Adressen lassen sich leicht anpassen. WEP lässt sich relativ leicht knacken, dazu müssen nur ca. 700MB Datenvolumen abgehört werden (gut kann lange dauern, kann aber auch beim Verschieben eines ISO-Images erledigt sein). WPA bietet auch keine wirkliche Sicherheit. Wie es mit WPA2 aussieht weiss ich im Moment nicht.
[edit]Wie der Verlauf des Beitrags ergeben hat, lag ich hier doch falsch. Bei Wahl eines sicheren Passworts sollte WPA doch hinreichende Sicherheit bieten![/edit]

Um ein Wlan also wirklich sicher zu gestalten müssen also schwerere Kaliber herangezogen werden.

Wenn man ein Wlan nach gegenwärtigem Stand der Dinge wirklich absichern will gibt es, soweit ich weiss, nur die Option ein VPN sowie einen Radius-Server aufzubauen.
Für die Realisierung eines VPN bieten sich StrongSwan sowie OpenSwan an. Diese bieden Lösungen sind jedoch mit einem erheblichen Aufwand verbunden, ebenso der Radius-Server (benutzen z.B. Inernet-Provider zum Login).

Ich habe hier jedoch noch eine weitere Option im Sinn, kann aber nicht genau sagen, wie sicher sie im Ergebnis sein wird bzw. ob es überhaupt sinnvoll ist. Weitere Meinungen dazu wären daher sehr willkommen. Es ist dies:
Könnte man das VPN nicht auch mit ssh aufbauen? Gemäss dieser Anleitung: VPN PPP-SSH Mini-HOWTO. Mittels Ip-tables könnte man dann noch alle Zugriffe bis auf Port 22 sperren.

Weitere Meinungen sowie weiterführende Vorschläge zu dem Themenkomplex sind sehr willkommen.

Grüsse
E. coli

[BeS]

WPA bietet auch keine wirkliche Sicherheit. Wie es mit WPA2 aussieht weiss ich im Moment nicht.

Nach meinen Informationen ist WPA/WPA2 nach heutigem Stand sicher.

[pluvo]

WEP lässt sich relativ leicht knacken, dazu müssen nur ca. 700MB Datenvolumen abgehört werden (gut kann lange dauern, kann aber auch beim Verschieben eines ISO-Images erledigt sein). WPA bietet auch keine wirkliche Sicherheit. Wie es mit WPA2 aussieht weiss ich im Moment nicht.

Sorry, aber warum bietet WPA keine Sicherheit? Wenn man ein normales Wort benutzt, dass sich in einem Wörterbuch befindet, ist man selber schuld.

Und WEP lässt schon eher knacken:

Außerdem kommen neben den passiven Angriffen auch aktive Angriffe zum Einsatz. So kann man Antworten des Access-Points forcieren, um innerhalb kürzester Zeit (~5 bis 10 min) ausreichend Daten für einen erfolgreichen passiven Angriff zu sammeln. Dazu werden ARP-Pakete anhand bestimmter Signaturen gezielt abgefangen und – ohne ihren entschlüsselten Inhalt zu kennen – wieder verschlüsselt in das WLAN eingespeist.

Quelle: http://de.wikipedia.org/wiki/Wired_Equi ... achstellen


Edit: Sicherheitsmaßnahmen für WPA/WPA2

An erster Stelle sollte die Wahl einer sicheren pass phrase (Pre-Shared-Key) stehen. Diese sollte die maximale Schlüssellänge von 63 Zeichen nutzen. Wichtig ist hierbei die lose Kombination von Buchstaben, Ziffern und Sonderzeichen, um Brute-Force- oder Wörterbuchangriffe zu erschweren.

Weitere Sicherheitsmaßnahmen sind:

* Das Standard-Passwort des Access-Points sollte geändert bzw. überhaupt erst einmal ein Passwort gesetzt werden.
* Die Zugriffskontrollliste (ACL = Access Control List) sollte aktiviert werden, um vom Access-Point nur Endgeräte mit bekannter MAC-Adresse zuzulassen. Diese Maßnahme ist jedoch kein wirklicher Sicherheitsgewinn, denn MAC-Adressen sind leicht manipulierbar.
* Die SSID des Access-Point sollte keine Rückschlüsse auf verwendete Hardware, Einsatzzweck oder Einsatzort zulassen.
* Umstritten ist die Deaktivierung der SSID-Übermittlung (Broadcasting). Sie verhindert das unabsichtliche Einbuchen in das WLAN, jedoch kann die SSID auch bei deaktiviertem Broadcasting mit einem Sniffer ausgelesen werden.
* WLAN-Geräte (z. B. der Access Point) sollten nicht per WLAN konfiguriert werden, sondern ausschließlich über eine kabelgebundene Verbindung.
* Im Access Point sollte, sofern vorhanden, die Fernkonfiguration abgeschaltet werden.
* WLAN-Geräte sollten ausgeschaltet werden, solange sie nicht genutzt werden.
* Die Reichweite des WLANs sollte minimiert werden. Dies kann durch Reduzierung der Sendeleistung bzw. Standortwahl des WLAN-Gerätes durchgeführt werden.
* Regelmäßige Firmware-Aktualisierungen des Access-Points sollten durchgeführt werden, um sicherheitsrelevante Verbesserungen zu erhalten.

Quelle: http://de.wikipedia.org/wiki/Wi-Fi_Prot ... 3.9Fnahmen

[uljanow]

Wenn man ein Wlan nach gegenwärtigem Stand der Dinge wirklich absichern will gibt es, soweit ich weiss, nur die Option ein VPN sowie einen Radius-Server aufzubauen.
Für die Realisierung eines VPN bieten sich StrongSwan sowie OpenSwan an. Diese bieden Lösungen sind jedoch mit einem erheblichen Aufwand verbunden, ebenso der Radius-Server (benutzen z.B. Inernet-Provider zum Login).

Ist erheblicher Aufwand im Sinne von Overhead zu verstehen? Denn das Einrichten von z.B. freeradius oder openswan hält sich in Grenzen. Wenn Windowsclients im Netzwerk vorhanden sind, wäre l2tp+ipsec eine gute Wahl.
Ich benutze selbst WPA2+Radiusserver mit PKI und es funktioniert problemlos mit Debian- und Windowsclients.

[E. coli]

Danke für die Hinweise!

Ich hatte mich bislang an einem Buch über WarDriving orientiert (hat mir geholfen mein eigenes Wlan einzurichten) und an diesem Artikel: Aircrack bei Wikipedie

Aircrack ist eine Sammlung von Computerprogrammen, die es ermöglichen, in mit WEP oder WPA geschützte WLANs einzudringen.
...
Mit WPA verschlüsselte Netzwerke kann Aircrack mittels einer Wörterbuchattacke angreifen, indem es den beim Verbindungsaufbau stattfindenden Four-Way-Handshake einer WPA-Verbindung mitliest und diesen anschließend mittels Brute-Force zu entschlüsseln versucht.

Das Brute Force ein erheblicher Aufwand sein kann hatte ich dabei nicht so ganz bedacht. Ausserdem hatte ich aus meinem Buch noch in Erinnerung, dass dort WPA als unsicher eingestuft wurde.
Da habe ich mich wohl zu schnell zu einer Aussage über die Sicherheit/Unsicherheit hinreissen lassen.

Allerdings habe ich mit meiner Hardware noch kein WPA sondern leider nur WEP und alles neu kaufen ist mir gegenwärtig zu kostspielig. Daher wollte ich gerne noch etwas mehr Sicherheit haben.

Ich hatte mal angefangen mir die Doku zu strongswan anzusehen, aber gegenwärtig habe ich nur begrenze zeitliche Resourcen und bin dann doch nicht so weit gekommen. Linux ist halt nur ein Hobby bzw. Arbeitsgerät, mein Studium ist ein anderes Fach (keine Informatik). Daher hatte ich mir von ssh einen schnelleren Erfolg erhofft. Ich weiss halt nur nicht, ob es die gewünschte Sicherheit erbringen würde.

Aber ich werd mir das VPN (openswan oder strongswan) oder freeradius bei Gelegenheit doch mal genauer ansehen. Falls meine bevorstehenden Praktika von den kommenden Semesterferien etwas über lassen schau ich es mir an - ich will ja schliesslich etwas neues lernen. Die Aussage:

Denn das Einrichten von z.B. freeradius oder openswan hält sich in Grenzen.

hat mir da meine Befürchtungen, was die zu investierende Zeit betriffe, schon deutlich gemindert.


Gruss und Danke
E. coli

[chilli]

Soweit ich weiss ist nur WPA2 im moment sicher( arbeitet mit AES verschlüsselung).

Alles darunter, WEP und WPA wurden schon "geknackt"!

[123456]

Empfehlenswert wäre WPA2 und ein "sicheres" Passwort.

Wenn Du wie Du schreibst nur WEP hast - kannst Du dieses durch ein VPN tunneln. Die Lösung mit ssh sollte theoretisch auch gehen. Das kostet aber im Vergleich zur WPA(2) Lösung Performance.

Das einfachste wäre, Du besorgst Dir gebrauchtes WPA(2) Equipment.