Fragen zur Verschlüsselung im WLAN

[Tintom]

Hallo,
da in meiner Umgebung immer mehr WLANs auftauchen hab ich einige Fragen, wie ich die Sicherheit meines Netzes noch weiter erhöhen kann. Es soll möglichst mit der aktuellen Netzwerkhardware durchgeführt werden, da ich schon genug Ärger hatte das WLAN so zum laufen zu bekommen, wie es momentan ist.
Zunächst mal ein grober Aufbau des WLAN:

Code: Alles auswählen

---- DLINK-DI-624+-Router (beherrscht WEP bis 128 Bit, WPA-PSK)
  |
  |-- Mein PC (Etch, RT73-WLAN-Stick, max. 128 Bit WEP, WPA/WPA2)
  |-- Vater (Win 98, SiS160-WLAN-Stick, max. 256 Bit WEP, kein WPA)
  |-- Server (Etch, Marvell-Libertas-WLAN-Karte, max. 128 Bit WEP, WPA)
  |-- Schwester (Win 2000, WLAN siehe Server)
  |-- 2x Netgear-WGE111-Bridge (µClinux-Kernel, 128 Bit WEP, WPA)

Der kleinste gemeinsame Nenner in diesem Netzwerk ist also 128 Bit-WEP, da WPA vom SiS-Chip im PC meines Vaters nicht unterstützt wird. Der Router hat ausserdem noch einen MAC-Filter, der auch aktiviert ist.

Meine Fragen:
Ist es sinnvoll, innerhalb des Netzwerks zu verschlüsseln (VPN etc)? Wie sicher ist die 128 Bit WEP-Lösung ?

Danke für eure Antworten

Gruß Tino

[uljanow]

Meine Fragen:
Ist es sinnvoll, innerhalb des Netzwerks zu verschlüsseln (VPN etc)? Wie sicher ist die 128 Bit WEP-Lösung ?

WEP ist für ca. 10 min sicher. VPN wäre eine Lösung. Ich weiß aber nicht ob es für die genannten Clients überhaupt sowas gibt.

[BeS]

Meine Fragen:
Ist es sinnvoll, innerhalb des Netzwerks zu verschlüsseln (VPN etc)? Wie sicher ist die 128 Bit WEP-Lösung ?

WEP ist unsicher und auch schnell geknackt.
Ob man den Aufwand eines VPN betreiben will muss man für sich selber entscheiden und vielleicht auch von der Gegend abhängig machen wo man wohnt.

Frage die ich mir hier z.B. stellen würde:

- Ist der Accesspoint immer an oder mache ich ihn nur gezielt an wenn ich ihn brauche?
- Habe ich irgendwelche Netzwerkfreigaben (vor allem Samba da damit die Windows Leute klar kommen) oder andere Dienste im Netz am laufen (bsp. Drucker) oder gibt es außer einen kostenlosen Internetzugang (und vielleicht das mitschnüffeln der Daten die gerade sonst noch unverschlüsselt durchs Netz fliegen) nichts was man bekommt wenn man im Netz ist?
- Habe ich wichtige/sensible Daten und bin dafür bekannt, soll heißen könnte jemand gesteigertes Interesse an meinem Netzwerk habe?
- Hat noch jemand in meine Reichweite WLAN (Nachbar etc.) bei dem ich mit meinem unsicheren Netz vielleicht den Sportsgeist/Neugier wecken könnte?
- Wo wohne ich überhaupt (Innenstadt einer Großstadt oder eher ländliche Gegend), da das ja durchaus eine Rolle spielt was um einen herum so abgeht.
usw.

Ich hatte hier selber WEP relativ lange im Einsatz, habe mich aber nicht unsicher gefühlt (obwohl ich wusste das die Technik an sich unsicher ist), da der Accesspoint nur an war wenn ich ihn für mein Notebook gebraucht habe, keine Netzwerkfreigaben hatte und Datenaustausch lief über ssh (==Verschlüsselt) und meine Umgebung/Wohngegend auch nicht so ist, dass alle fünf Minuten jemand mit einem WLAN fähigen Rechner in Reichweite ist.
Trotzdem WEP und Mac Filter reicht vielleicht als Abschreckung für ein paar Kiddies die vielleicht mal aus Spaß mit dem Notebook durch die Gegend rennen und schauen was alles offen ist, wenn jemand aber wirklich rein will ist WEP wie gesagt kein Hindernis.

[Tintom]

- Ist der Accesspoint immer an oder mache ich ihn nur gezielt an wenn ich ihn brauche?

Immer an

- Habe ich irgendwelche Netzwerkfreigaben (vor allem Samba da damit die Windows Leute klar kommen) oder andere Dienste im Netz am laufen (bsp. Drucker) oder gibt es außer einen kostenlosen Internetzugang (und vielleicht das mitschnüffeln der Daten die gerade sonst noch unverschlüsselt durchs Netz fliegen) nichts was man bekommt wenn man im Netz ist?

Samba läuft, jedoch geht ohne vorherige Benutzeranmeldung sowie Passwort nichts.

- Habe ich wichtige/sensible Daten und bin dafür bekannt, soll heißen könnte jemand gesteigertes Interesse an meinem Netzwerk habe?

Ich denke nicht, Top-Secret-Daten lagern hier nicht.

- Hat noch jemand in meine Reichweite WLAN (Nachbar etc.) bei dem ich mit meinem unsicheren Netz vielleicht den Sportsgeist/Neugier wecken könnte?

Seit Ende des letzten Jahres habe ich beim WLAN-Scannen zwei APs aus der Nachbarschaft in der Liste. Ich könnte nur vermuten, wem die gehören. Echte Freaks sind in meiner unmittelbaren Nähe wohl keine, jedenfalls traue ich das keinem zu.

- Wo wohne ich überhaupt (Innenstadt einer Großstadt oder eher ländliche Gegend), da das ja durchaus eine Rolle spielt was um einen herum so abgeht.

Ländliche Gegend.

Wenn man das Gesamtbild mal betrachtet lohnt sich der Aufwand für VPN nicht wirklich. Das Risiko durch Eindringlinge muss ich halt durch gute Absicherung der Dienste wie Samba hinkriegen. Schwachpunkt aber bleibt wohl dann die leichte Nutzung des Internets für Eindringlinge...

[neuss]

Hallo,

ich empfehle Dir auf WPA zu wechseln, brauchst doch nur den Stick deines Vaters auswechseln.
WEP ist wie schon gesagt ruckzuck geknackt und ein MAC Filter bringt überhaupt nichts.
Auch wenn bei dir aufgrund der Wohnlage nur ein kleines Risiko besteht, mir wäre es zu groß.
Stell dir einfach mal die möglichen Folgen vor, wenn jemand über dein Netz richtig böse Sachen macht.
Da kann man sich viel überflüssigen Ärger einhandeln.

gruss neuss

[123456]

ich empfehle Dir auf WPA zu wechseln, brauchst doch nur den Stick deines Vaters auswechseln.

Würde ich Dir auch empfehlen...

[Tintom]

Das Problem ist nur, dass das System von meinem Vaterr ziemlich zickig ist. Eine WLAN-Lösung mit PCI kann ich vergessen, da die neuen Karten eine neue Version des PCI-Bus brauchen, der bei meinem Vater (AMD-586-System) leider hoffnungslos veraltet ist. Die Marvell-Karten sind PCI-Karten, die haben den kompletten Bus lahmgelegt...
Dann habe ich den RT73-Stick von DLink gekauft, in guter Hoffung, dass es funktionieren würde - leider falsch gedacht, weder der DLink-Treiber noch der Originaltreiber von Ralink liefen. Diese kleine Odysee hat mir gereicht, denn ich habe nicht wirklich Lust, das komplette Saturn-Sortiment an WLAN-Sticks durchzutesten, in der Hoffnung, dass einer mal mit dem System funktionieren wird.

[DynaBlaster]

So wie es aussieht, scheint ja nur der Rechner deines Daddys das Problem zu sein. Besteht denn nicht die Möglichkeit, diesen Rechner irgendwie mit einem normalen Ethernet-Kabel an den Router anzuschließen. Je nachedem wie die örtlichen Begebenheiten es zulassen, könntest du ja einfach den Standort des Routers in das Zimmer, wo der PC deines Vaters steht, verlegen.

Netzwerkkarten mit RJ45-Steckern gibt es zur Not sogar in ISA-Ausführungen und du könntest anschließend das WLAN mit WPA verschlüsseln.

[Tintom]

So wie es aussieht, scheint ja nur der Rechner deines Daddys das Problem zu sein. Besteht denn nicht die Möglichkeit, diesen Rechner irgendwie mit einem normalen Ethernet-Kabel an den Router anzuschließen. Je nachedem wie die örtlichen Begebenheiten es zulassen, könntest du ja einfach den Standort des Routers in das Zimmer, wo der PC deines Vaters steht, verlegen.

Netzwerkkarten mit RJ45-Steckern gibt es zur Not sogar in ISA-Ausführungen und du könntest anschließend das WLAN mit WPA verschlüsseln.

Das geht leider schlecht, da ich dann mit Router, DSL-Modem sowie der kompletten Telefonanlage umziehen müsste. Aber danke für die Tipps von allen, so wie es aussieht, ist nicht mehr drin an zusätzlicher Sicherheit mit dieser Konfiguration. Da mein Vater nur selten das Internet/Netzwerk nutzt bin ich am überlegen WPA dauerhaft einzuschalten und für die paar Minuten, die er dann irgendwann mal surft, die Verbindung auf WEP "umzuschlüsseln".

[123456]

Du könntest doch auch für Deinen Vater einen weiteren WLAN Access Point (gebraucht ebay?) installieren, der per Kabel an den normalen Router angeschlossen ist. Der zweite AP hat dann nur WEP mit eigener ESSID und anderem Kanal, damit nichts durcheinander kommt...

[BeS]

Es gibt doch mittlerweile auch Netzwerkadapter die ein lokales Netzwerk über das Stromnetz aufbauen, vielleicht wäre das auch eine Möglichkeit dein Vater seinen PC ohne WLAN mit dem Router zu verbinden, Steckdosen hat man ja eigentlich überall?

[pluvo]

Es gibt doch mittlerweile auch Netzwerkadapter die ein lokales Netzwerk über das Stromnetz aufbauen, vielleicht wäre das auch eine Möglichkeit dein Vater seinen PC ohne WLAN mit dem Router zu verbinden, Steckdosen hat man ja eigentlich überall?

Lieber nicht

http://de.wikipedia.org/wiki/Powerline


Edit: Am besten du stellst alles auf WPA um. Und die Methode mit dem zweiten Accesspoint ist garnicht mal so schlecht.

[neuss]

Also die Idee mit dem zweiten AP will mir nicht einleuchten. Tintom hat jetzt ein quasi offenes Wireless mit WEP, über das jeder mit geringsten Kenntnissen von aussen ins Internet kann. Den jetzigen AP auf WPA umzustellen und einen zweiten mit WEP für seinen Vater zu installieren, ändert doch nichts an der Situation.

Da ist der Vorschlag von BeS doch sinniger. Sollte tatsächlich ein Hobbyfunker in der Nachbarschaft in Mitleidenschaft gezogen werden, wäre dies doch nur die späte Rache für jahrzehntelange TV-Störungen durch den Hobbyfunker ( ich kenn die Jungs und ihre Antennenbasteleien ) .
Der Nachteil bei den PowerLAN Adapter ist eher der hohe Preis. Da würde man auch schon wieder einen guten gebrauchten Rechner für bekommen, der nicht die Probleme wie der bestehende von Tintoms Vater macht.

Ansonsten fällt mir noch ein, da ein SIS160 Stick läuft einen WLAN-Stick mit SIS163 zu probieren. Die können WPA und es gibt auch noch Treiber für WIN98. Der SIS163 ist oftmals in der 20 Euro Klasse verbaut, aber von aussen ist dies leider nie zu erkennen. Ich habe hier noch einen rumliegen, den ich letzten Winter beim Pro-Markt gekauft habe, das Teil ist weiß und in grün steht DIGITUS drauf.

gruss neuss.

[123456]

Also die Idee mit dem zweiten AP will mir nicht einleuchten. Tintom hat jetzt ein quasi offenes Wireless mit WEP, über das jeder mit geringsten Kenntnissen von aussen ins Internet kann. Den jetzigen AP auf WPA umzustellen und einen zweiten mit WEP für seinen Vater zu installieren, ändert doch nichts an der Situation.

Doch, das Sicherheitsloch bleibt - aber da der Rechner vom Vater nur zeitweise genutzt wird - gibt es das Loch nur temporär und nicht auf allen Rechnern. Wenns mal eingerichtet ist, wäre es auch einfacher zu handeln. Ist aber suboptimal. Optimal wäre Netzanbindung.

Ansonsten fällt mir noch ein, da ein SIS160 Stick läuft einen WLAN-Stick mit SIS163 zu probieren. Die können WPA und es gibt auch noch Treiber für WIN98. Der SIS163 ist oftmals in der 20 Euro Klasse verbaut, aber von aussen ist dies leider nie zu erkennen. Ich habe hier noch einen rumliegen, den ich letzten Winter beim Pro-Markt gekauft habe, das Teil ist weiß und in grün steht DIGITUS drauf.

Vielleicht gibt es auch Isa Karten für den Rechner. Oder Vater bekommt mal einen neuen Rechner mit XP - wenn er den alten nicht UNBEDINGT wegen Spielen oder anderem benötigt.