(ausgestiegen) WLAN-Sicherheit

[guennid]

Eigentlich hatte ich ja mit WLAN nichts am Hut, musste aber zu Hause wegen eines hartnäckigen Problems, das zu erläutern hier überflüssig sein dürfte, mein kleines LAN um WLAN erweitern. Das läuft jetzt soweit, dank der Hilfe diverser DF-Mitglieder. Dass ein solches Netz ohne Verschlüsselung jedermann offensteht, war mir klar, aber blauäugig, wie ich bin, ging ich dabei davon aus, dass nur der Zugangspunkt (AP) einer Verschlüsselung bedarf. Ich bin kein professioneller Admin und habe nicht die Absicht, es zu werden. Ich habe sowohl beruflich als auch hobbymäßig noch genügend andere Interessen. Aber mittlerweile beschleicht mich der - möglicherweise paranoide - Verdacht, dass jede WLAN-NIC im System verschlüsselt werden muss. Ist das tatsächlich so? Es sind zwei Notebooks im System (TP X61 und T61), müssen deren Onbord-WLAN-Karten verschlüsselt werden?

Ich habe via Google keine entsprechenden Informationen gefunden, da geht es immer nur um die APs und um WEP vs. WPA. Mag daran liegen, dass mir wieder mal die zielführenden Schlagworte nicht eingefallen sind.

Grüße, Günther

[rendegast]

Die NICs der Geräte resp. deren Treiber arbeiten im Normalfall nur als Clients
(falls sie AP-Mode überhaupt unterstützen, evtl. bei neueren ralinktech-Treibern, aber auch das nur explizit),
und sie müssen normalerweise explizit zur Nutzung eines WLAN-Netzes angewiesen werden
(-> Kontrolle über die nötigen Anmeldeeinstellungen).

[guennid]

Ich versteh' zwar höchstens die Hälfte, ahne aber, dass du eine Verschlüsselung für überflüssig, bzw. gar nicht machbar hältst. Ahne ich richtig?

sie müssen normalerweise explizit zur Nutzung eines WLAN-Netzes angewiesen werden

Ich vermute, dass die unter diesem Satz liegende Bedeutung für mich hilfreich wäre.

Grüße, Günther

[uname]

Welche Verschlüsselunf nutzt du? Preshared Keys PSK sind natürlich überall gleich.

[guennid]

@uname
Es wäre nett, wenn du dich auf meine Frage beziehen könntest.

[owl102]

blauäugig, wie ich bin, ging ich dabei davon aus, dass nur der Zugangspunkt (AP) einer Verschlüsselung bedarf.

Da die Strecke in der Luft verschlüsselt übertragen werden soll, müssen natürlich beide verschlüsseln, Access Point (AP) und Laptop. In der Regel stellt man den Access Point so ein, daß er nur verschlüsselte Verbindungen akzeptiert, optimal "WPA2 only", wenn das alle Laptops können.

Am Laptop braucht man dann in der Regel nichts einstellen, denn sofern man mit wicd oder NetworkManager arbeitet, peilt er von alleine, daß Verschlüsselung gefragt ist. (BTW: Der NetworkManager zeigt bei den APs, die verschlüsselt arbeiten, ein Schlosssymbol an.)

[guennid]

Gehe ich recht in der Annhme, dass bei einem Rechner ohne einen solchen Netzwerkmanager die Verschlüsselung durch sowas:

Code: Alles auswählen

        wpa-proto WPA RSN
        wpa-psk "streng geheim"

in der /etc/network/interfaces bewirkt wird, und dass, wenn er diese Verschlüsselungsmethode nicht beherrschte, ich diese Zeilen per WLAN nicht hätte posten können?

Grüße, Günther

[wanne]

In die /etc/network/interfaces oder die /etc/wpa_supplicant/wpa_supplicant.conf kannst du erst mal alles rein schreiben. Wann dann am ende der AP oder der Stick die Verschlüsselung nicht mit macht, wird sich halt nicht verbunden.
Allerdings solltest du beachten dass dein Router am ende Wider alles entschlüsselt und dann wider jeder Mitlesen kann. Deswegen sollte man, wenn es um mehr als den Zugang zum Netz sondern das schützen von Verseneten Daten geht, Ende zu Ende verschlüsselung (z.B. SSL oder PGP...) nutzen.

[guennid]

Hat jemand eine Antwort auf meine letzte Frage?

[whisper]

Gehe ich recht in der Annhme, dass bei einem Rechner ohne einen solchen Netzwerkmanager die Verschlüsselung durch sowas:

Code: Alles auswählen

        wpa-proto WPA RSN
        wpa-psk "streng geheim"

in der /etc/network/interfaces bewirkt wird, und dass, wenn er diese Verschlüsselungsmethode nicht beherrschte, ich diese Zeilen per WLAN nicht hätte posten können?

Grüße, Günther

Ja.

Leider kann man nicht wirklich einfach feststellen, ob die Verbinung nun verschlüsselt ist. Interessiert mich auch.
Wenn man eine GUI hat, zeigt einem das Schloßsymbol an, das die Verbindung verschlüsselt ist. Richtig überprüfen kannst du es mit etherape oder wie es gerade aktuell heissen mag

[wanne]

Wie gesagt: Wenn in der /etc/wpa_supplicant.conf drin steht:

Code: Alles auswählen

proto=RSN
key_mgmt=WPA-PSK
pairwise=CCMP

Dann verbindet er sich nicht mit ner anderen Verschlüselung.
Was der genau macht kannst du unter /var/log/wpa_supplicant.log lesen.
Natürlich kann ein anderes Prog das trotzdem was anders machen. Oder der wpa_supplicant mit ner anderen config und nem anderen log betrieben wereden. Aber eigentlich gibt's nichts mehr was nicht den wpa_supplicant nutzt.

[rendegast]

ahne aber, dass du eine Verschlüsselung für überflüssig, bzw. gar nicht machbar hältst. Ahne ich richtig?

Nein,
Verschlüsselung des Funkverkehrs der beteiligten NIC ist wohl sehr zu empfehlen, könnte sogar vorgeschrieben sein.
Eventuell sollten Clients bei fehlender Verschlüsselung sogar darauf aufmerksam gemacht werden.

... dass die unter diesem Satz liegende Bedeutung ....

Ich habe

beschleicht mich der - möglicherweise paranoide - Verdacht, dass jede WLAN-NIC im System verschlüsselt werden muss. Ist das tatsächlich so?

so gedeutet, daß sich die Paranoia hier auf ALLE Deine NIC bezog,
also auch die welche nicht im WLAN eingebunden sind.
(Die welche eingebunden sind, sind bei Verschlüsselungsvorgabe durch den AP zwangsläufig auch verschlüsselt, andernfalls halt nicht eingebunden)
WLAN-NIC verhalten sich da anders als eth-Karten, die Hosts horchen ohne Anbindung an einen AP einfach nur den WLAN-Broadcast ab
(-> Nette Auflistung der erreichbaren Netze (wenn die den Broadcast überhaupt aussenden),
aber auch nützlich für die Kanalabstimmung der AP untereinander).
--------------------
EDIT Unangebundene WLAN-NIC sind wohl eher wie eth-Karten mit abgezogenem Kabel.
--------------------

Code: Alles auswählen

        wpa-proto WPA RSN
        wpa-psk "streng geheim"

Dazu

# proto: list of accepted protocols
# WPA = WPA/IEEE 802.11i/D3.0
# RSN = WPA2/IEEE 802.11i (also WPA2 can be used as an alias for RSN)
# If not set, this defaults to: WPA RSN
#

Das 'wpa-proto WPA RSN' würde WPA1 zulassen.
Empfehlenswert ist, es auf RSN resp. WPA2 einzuschränken (in Verbindung mit AES).
Die Übertragungsraten könnten aber aufgrund der höheren Rechenleistung zusammenbrechen, hardwareabhängig
(bei schlechten AP ist das in Software auf zu schwachem Prozessor implementiert).

[dufty]

Richtig überprüfen kannst du es mit etherape oder wie es gerade aktuell heissen mag

EtherApe ("a graphical network monitor") ab 0.9.9 hat 802.11 support, so duerfte es meine squeeze-ausgabe ( 0.9.8 ) noch nicht haben.

Evtl. meinst Du aber auch "Wireshark", welches aus "Ethereal" hervorgegangen ist,
denn "EtherApe" hat m. W. n. noch nie den Namen geändert.

[guennid]

@rendegast
Danke sehr für die ausführlichen Eräuterungen!

WLAN-NIC verhalten sich da anders als eth-Karten, die Hosts horchen ohne Anbindung an einen AP einfach nur den WLAN-Broadcast ab

Darüber muss ich jetzt erst mal länger nachdenken.

Grüße, Günther

[whisper]

Evtl. meinst Du aber auch "Wireshark", welches aus "Ethereal" hervorgegangen ist,
denn "EtherApe" hat m. W. n. noch nie den Namen geändert.

Ja

[guennid]

Das wird für mich jetzt ziemlich komplex. Möglicherweise reden wir auch aneinander vorbei.

Vielleicht mach ich mal hier weiter:

Wenn der AP eine Verschlüsselung verlangt, kann keine WLAN-NIC irgendwas im Netz abhorchen, ohne diese Verschlüsselung (also das Passwort) zu kennen - stimmt das so?

Oder vielleicht so herum: Alle in meinem Netz vorhandenen WLAN-Karten wurden so konfiguriert, wie ich es oben angegeben habe. Gehe ich recht in der Annahme, dass damit kein unbefugter Zugriff/kein unbefugtes Abhorchen (ohne das Passwort zu knacken, versteht sich) auf mein Netz möglich ist? (Danach können wir über WPA vs. WPA2 reden. WEP ist eh uninteressant.)

Grüße, Günther

[guennid]

Ich weiß leider immer noch nicht, ob ich mein wlan sinnvoll gesichert habe oder nicht. Weiß es hier jemand?

Grüße, Günther

[r900]

Du hast es doch selbst schon auf den Punkt gebracht. Wenn du den AP so konfigurierst dass er nur verschlüsselte Verbindungen akzeptiert, müssen alle Clients die sich anmelden wollen diese Verschlüsselung verwenden. Du kannst ja mal versuchen dich mit einem der Clients ohne Verschlüsselung mit dem AP zu verbinden. Es wird (bzw. sollte nicht) funktionieren.

Wenn der AP eine Verschlüsselung verlangt, kann keine WLAN-NIC irgendwas im Netz abhorchen, ohne diese Verschlüsselung (also das Passwort) zu kennen - stimmt das so?

Abhorchen kann jeder der nah genug dran ist, allerdings bekommt derjenige nur verschlüsselte Daten. Und ohne den Schlüssel wäre es zwar theoretisch möglich das zu knacken, aber praktisch wird niemand einen Supercomputer bemühen um deinen zuhause-WLAN Verkehr zu knacken.

[guennid]

Danke!

Du hast es doch selbst schon auf den Punkt gebracht.

Es hat aber außer whisper und jetzt dir bisher niemand meine Spekulationen bestätigt. Und nach whispers Beitrag kam rendegast mit neuen, mich verunsichernden Einwänden.

Um das, worum es mir eigentlich geht, nochmal "auf den Punkt" zu bringen: Wenn ich jeden AP und jeden Verstärker in meinem WLAN-Netz verschlüssele, kann niemand bei mir irgendwas abhorchen, es sei denn, er knackt das Passwort - richtig?

Grüße, Günther

[whisper]

Um das, worum es mir eigentlich geht, nochmal "auf den Punkt" zu bringen: Wenn ich jeden AP und jeden Verstärker in meinem WLAN-Netz verschlüssele, kann niemand bei mir irgendwas abhorchen, es sei denn, er knackt das Passwort - richtig?

Grüße, Günther

Richtig!
(Bist du Lehrer?)

[owl102]

Und ohne den Schlüssel wäre es zwar theoretisch möglich das zu knacken, aber praktisch wird niemand einen Supercomputer bemühen um deinen zuhause-WLAN Verkehr zu knacken.

Auch wenn es bei WPA schon aufwändiger ist, ist es aber machbar, siehe z.B.: http://www.heise.de/security/meldung/WP ... 68061.html

Ob das praktisch keiner machen würde, wage ich zu bezweifeln. Der vorhandene WLAN-Verkehr könnte Kreditkartennummern etc. beinhalten, und ein geknacktes WLAN lässt sich für allerlei Dinge mißbrauchen.

Wobei wir wieder beim "WPA2 only"-Thema sind.

[guennid]

Und ohne den Schlüssel wäre es zwar theoretisch möglich das zu knacken

Drückt euch möglichst eindeutig aus: Der schlichte Sinn des Zitierens dieses Satzes von r900 durch owl102 ist, wenn ich das recht sehe: "eine Verschlüsselung ist knackbar."
Das, mit Verlaub, war wohl von Anfang an jedem Beteiligten klar.

Wobei wir wieder beim "WPA2 only"-Thema sind.

Das ist aber nicht das Thema. Warum beginnst du hier nicht über Gänseblümchen zu philosophieren.

Im Grunde genommen bestätigst du nur whisper und r900 und rätst mir darüber hinaus, nur WPA2-Verschlüsselung zu verwenden, weil (nicht nur) du die für am sichersten hältst. Dann solltest du das aber auch sagen, und zwar beides.

Wenn ich das falsch interpretiere, dann habe ich wohl wieder was nicht verstanden.

Grüße, Günther

[schwedenmann]

Hallo


@guennid

Im Grunde genommen bestätigst du nur whisper und r900 und rätst mir darüber hinaus, nur WPA2-Verschlüsselung zu verwenden, weil (nicht nur) du die für am sichersten hältst. Dann solltest du das aber auch sagen, und zwar beides.

Wenn ich das falsch interpretiere, dann habe ich wohl wieder was nicht verstanden.

Ich verstehe bis jetzt dein Problem nicht, es haben dir doch alle klipp und klar erklärt
wpa nein, da knackbar
wpaa2 ist ok, da bis jetzt sicher
Zusätzlich solltest du aus Sicherheitsgründen natürlich MAC-Filter für die Clients im wlan-Netz aktivieren, aber das ist ja sowieso klar, oder ?


Wenn du trotz wpa2 paranoid bisdt, dann kannst du ja den wlan-verkehr zusätzlich zu wpa2 im Client per gnupg verschlüsseln, da sollte vermutlicvh für die nächsten 100 Jahre für Kryptologen nicht zu knacken sein.

P.S.
Abhorchen kannst du wlan immer : mit airsnort und konsorten, knacken ist was anderes.

mfg
schwedenmann

[hikaru]

Vorsicht, halbwissender Senf:

wpa nein, da knackbar

Soweit ich weiß ist WPA kaum sicherer als WEP und ich kenne ellenlange Threads in anderen Foren die sich nur damit beschäftigen mit Smartphones WLAN-Netze zu knacken.
Quintessenz dort: Alles außer WPA2 ist bei Interesse in akzeptabler Zeit knackbar.

wpaa2 ist ok, da bis jetzt sicher

Ich glaube mich zu erinnern irgendwo (vermutlich heise) vor einer halben Ewigkeit mal gelesen zu haben, dass selbst WPA2 nicht sicher ist, die Ausnutzung der Schwachstellen (kein brute force) aber zu aufwändig ist, als dass es sich bei beliebigen privaten Netzen lohnt.
Weiß jemand dazu mehr?

Zusätzlich solltest du aus Sicherheitsgründen natürlich MAC-Filter für die Clients im wlan-Netz aktivieren, aber das ist ja sowieso klar, oder ?

Einleuchtend? Ja! Selbstverständlich? Nein!
Ich hatte daran bisher nicht gedacht. Heute Abend werde ich wohl mal an meinem Router rumspielen.

Abhorchen kannst du wlan immer

Ich fand es eine Zeit lang spannend mit der Berliner S-Bahn und kismet* auf dem Netbook durch die Gegend zu fahren und mir anzuschauen welche Kreativität die Leute bei der SSID-Vergabe entwickeln.

*) @guennid:
Vorsicht! Noch so ein ncurses-Monster wie nload!

[uname]

Die NSA hat bestimmt schon Quantencomputer entwickelt, so dass sämtliche Verschlüsselungen knackbar sind. Wurde im übrigen schon das P-NP-Problem gelöst?

Zum Einstieg in das Thema Verschlüsselung ist das Buch "Geheime Botschaften. Die Kunst der Verschlüsselung von der Antike bis in die Zeiten des Internet" sehr lesenswert. Betrachtet aber eher die Geschichte als die Technik.