LotharGehlhaar - Teichbauforum

Hallo
Ich lese immer wieder über W-Lan in den Foren aber selten über die Gefahr welche vom W-Lan ausgeht.
Aus gegebene Anlass schreibe ich hier eine Miniaturabhandlung über W-Lan.
Ich selber verfüge über einen sehr starken W-Lan, der mein gesamtes Haus und Grundstück abdeckt. Wenn ich meinen W-Lan konfiguriere, oder mein Notebook mal eben suchen lasse, habe ich von meinem Wohnzimmer aus die Auswahl zwischen 4-5 W-Lans, aber nur einer davon ist sicher.
Jetzt habt Ihr bestimmt die Schwierigkeit zu erraten, dass es mein eigener ist.
Meinen Nachbarn habe ich bereits erzählt, wie dessen Rechnername ist, dass er einige Standardfreigaben auf seinen Rechner hat und dass sein d-Link W-lan Router immer noch das Standardpasswort von der Auslieferung hat etc.
Das ist bis zu diesem Punkt absolut legal. Es fängt erst dann an sittenwiedrig zu werden, wenn ich mir seine Dateien anschaue, nicht strafrechtlich. Zu den anderen Leuten habe ich kein Kontakt aufgebaut, da ich Sie nicht kenne. Mein PDA hat ein kleines Programm welches W-Lan analysiert, dieses benötige ich primär in der Firma um schnell zu sehen ob die Funkleistung im Außenbereich vorhanden ist. Dieses Programm kann aber sehr viel mehr. Es ist interessant was alles so in der Luft liegt und es ist noch lange kein Ende in Sicht.
Kein normaler Internetbenutzer weiß wie man eine eine sichere W-Lanverbindung aufbaut. Mit jeder Generation wird es komplizierter sich im Wirrwar zurechtzufinden und somit bleibt die Sicherheit auf der Strecke.


Sicherheit in WLAN Netzwerken
Heute bekommt man mit einem DSL-Zugang einen WLAN-Router mehr oder weniger nachgeworfen. Ansonsten kauft man sich halt einen: der Preis liegt oft unter 100 €. Viele Geräte sind bei der Auslieferung leider in einem schlecht oder gar nicht gesicherten Zustand. Hier ein paar grundlegende Regeln, die man beim Betrieb eines WLAN-Routers oder allgemein eines WLANs beachten sollte:
•Bei der Inbetriebnahme sollte man unbedingt ein Konfigurations-Passwort setzen, das auch Zahlen und Zeichen enthält. Damit verhindert man Wörterbuch-Attacken.
•Eine Fernkonfiguration wird im privaten Bereich eigentlich nie benötigt. Also: deaktivieren.
• Selbstverständlich sollte eine WLAN-Verschlüsselung (WEP besser WPA oder herstellereigene) aktiviert werden.
• Wenn dann aber der Schlüssel automatisch übertragen wird, nachdem man sich (legal + korrekt) eingeloggt hat, ist das ein gefundenes Fressen für einen Lauscher. Er bekommt den Key ohne Aufwand geliefert. Daher sollte man Optionen wie "automatische Schlüsselübertragung" deaktivieren.
• Eine andere Maßnahme, die es zumindest erschwert, in ein WLAN einzubrechen, ist das Abschalten des SSID Broadcasts. Dann finden die meisten Tools WLANs nämlich nicht mehr, und der Angreifer wird in vielen Fällen einfach nach anderen, noch ungesicherten Netzen suchen. Trotzdem ist es ratsam, einen schwer zu erratenden Netzwerk-Namen zu vergeben. Genau so, wie es bei Passworten sinnvoll ist. Denn ein Tool kann leicht mal ein paar tausend "Standard"-Netzwerk-Namen durchprobieren...
• Im Access-Point kann man eine White-List der zulässigen MAC- Adressen anlegen. Netzwerkkarten mit anderen Adressen können sich dann nicht anmelden. Aber ggf. den Verkehr noch mithören.
• Ein weiteres Mittel gegen "Schwarz-Surfer": IP-Adressen nicht automatisch per DHCP vergeben lassen, sondern explizit festlegen.
In der Ausgabe 13/2004 der c't wurden in drei Artikeln die Angriffspunkte gegen schlecht gesicherte WLAN-Router und die wichtigsten Maßnahmen zur Verbesserung der Sicherheit ausführlich vorgestellt.
WEP (Wired Equivalent Privacy; die auf RC4 basierende Verschlüsselung von Karten nach dem 802.11-Standard) kann nicht als sicher betrachtet werden. Nach einigen theoretischen Attacken auf WEP erbrachten im August 2001 Mitarbeiter der AT&T Labs den Nachweis, dass WEP unsicher ist (PDF-Datei). Der 128-Bit-Schlüssel kann schon durch eine passive Analyse des Funk-Datenverkehrs ermittelt werden.
Mit WPA sieht es bei schwachen Passwörtern nicht wesentlich besser aus. Das TinyPEAP-Team stellte November 2004 einen WPA-Cracker online. Er sucht den PMK (Pairwise Master Key), der bei der WPA-Authentifizierung ausgetauscht wird. Weitere Details schildert ein Artikel auf heise Security: "Angriffe auf WPA - Schwache Passwörter gefährden Wi-Fi Protected Access".
Mit der Software NetStumbler kann man WLAN's detektieren, die man dann mit anderen Tools analysieren kann. Es gibt Leute, die durch die Gegend fahren und nach nicht oder schlecht geschützten WLANs suchen. Sogenannte War-Driver. Es ist erstaunlich, wie viele ungeschützte WLANs man (in Städten) mit einfachen Mitteln findet.

Einige Begriffe rund um WLAN-Security:
•ACL - Access-Control-List; Liste, in der die für ein Netzwerk zugelassenen MAC-Adressen gespeichert sind; jedes Firmen-Netz sollte sie verwenden, aber auch für private Router sind sie sinnvoll...
• DMZ - Demilitarized Zone
• EAP - Extensible Authentication Protocol
• Kerberos - ein Authentifizierungs-Verfahren
• LEAP - Lightwight-EAP; proprietäre Lösung für 802.1x WLAN-Sicherheit von Cisco; benutzt MIC (Message-Integrity-Check) um das Verfälschen von Nachrichten zu verhindern; WLAN-Client und Access-Point müssen sich gegenseitig authentifizieren, dadurch werden Man-in-the-Middle-Angriffe verhindert
• PMK - Pairwise Master Key; wird bei der WPA-Authentifizierung ausgetauscht
• SSID - Service-Set-ID; Name des WLAN-Netzwerks, z.B. "any"
• TKIP - Temporal Key Integrity Protocol; Protokoll zur Verbesserung der Sicherheit in WLANs
• WEP - Wired Equivalent Privacy; die auf RC4 basierende Verschlüsselung von Karten nach dem 802.11-Standard
• WPA - Wi-Fi Protected Access; die Wi-Fi Alliance plant, mit WPA den bekannt unsicheren Standard WEP abzulösen.

Fazit:
Schaltet die SSID ab und man sieht euren W-Lan nicht mehr.
Jede weitere Sicherheitsänderung erschwert es den Angreifer.
Ein Angreifer wird sich immer den einfachsten W-Lan suchen und das sind fast 50 % in Deutschland.
Schwierig wird es erst dann, wenn jemand gezielt bei euch in den geschützten Bereich eindringen will. Dieses ist eine Strafrechtliche Handlung.
Beachtet:
Es gibt keinen sicheren, nicht anzugreifenden W-Lan, besonders nicht wenn dieser 24 Stunden, 365 Tage im Jahr auf Sendung ist.

Marc

Hallo Marc,
der Beitrag ist toll erstellt. Da steckt offensichtlich viel Fachwissen dahinter.
Hat jeder W-Lan ?
Oder muß man da einen Dongel am Rechner dafür haben ?
Woran kann ich erkennen, ob meiner gesichert ist ?
Gruß Thomas

Danke Marc,

der Artikel ist sehr informativ. Insbesondere der Hinweis auf das Standardkennwort ist nicht zu verachten. Das trifft nicht nur auf W-Lan Geräte zu, sondern auch für normale Router und Anrufbeantworter.

Dazu mal eine Episode:
Als wir uns einen Anrufbeantworter zulegten, gefiel meinen Eltern dieser Blechsekretär. Natürlich kauften sie sich dasselbe Modell.
Einige Wochen später waren sie wieder bei mir zu Besuch. Also hab ich das Telefon laut gestellt und in der Bedienungsanleitung nachgeschlagen: "Die voreingestellte Pin lautet 8456. Bitte ändern Sie diese sofort nach Inbetriebnahme!" Die PIN habe ich eingegeben und meine Eltern konnten einen soeben eingegangenen Anruf per Fernabfrage abhören, mit längeren Gesichtern als normal.


Pfiffikus,
dem die PIN dieses Gertes momentan nicht bekannt ist

Hallo zusammen,

bei mir war das Netzwerk mit W-lan bis vor kurzen auch noch ungesichert.
Da bei uns in der Umgebung nur ältere Leute wohnen habe ich mir auch nichts dabei gedacht.
Zumindest nicht daran gedacht das von denen einer W-Lan Internet habe könnte.
Erst als mich mein NAchbar(gut in die 70) fragte ob ich ein ungeschütztes W-Lan Netzwerk am laufen hätte wurde ich stutzig und habe die Geschichte sofort verschlüsselt.

Gruß Heiko

Hi zusammen,

also bei mir ist es auch gesichert...wenn ich mich nicht ganz irre, sind die neuen Geräte vom Werk aus mittlwerweile verschlüsselt.

_________________
Grüße Thorsten

Hi,

ich habe einen AVM Fritz Router mit Wlan. Dieser ist als einer der wenigen und ersten mir bekannten ab Werk verschlüsselt gewesen.

Allerdings nutze ich dieses Wlan nicht und habe es ausgeschalten.

Unverschlüsselt hatte ich ihn aber nie am laufen.

Ich habe bei mir im Haus alles mit Lan Kabeln gespickt und so hoffe ich, dass ich die nächsten 20 Jahre versorgt bin und dadurch eine sichere Leitung habe.

Sämtliche Geräte, die mit Pin oder Zugangscode gekauft werden werden direkt nach Aufstellen geändert.

Gruß Bernd

_________________
Teich 30 m³, Polypond Compactfilteranlage, 40 W UVC, 2 x 33 m³ EP Pumpen | IH 10 m³, TF, Oxidome, Helix, HP 25 m³ Pumpe

Hallo Thomas

Nein, nicht jeder hat einen W-Lan. Es ist zur Zeit große Mode, bei einem DSL-Anschluss auch einen W-Lan Router mit zu bestellen.
Ob du einen hast, das siehst du, wenn du über Funk Arbeitest, das heißt, dein Rechner ist nicht mit einem Kabel an das Internet angeschlossen.
Oder dein Internetanschluss hat eine kleine Antenne. Der Rechner muss natürlich auch über einem Funkempfänger verfügen.

Wenn du einen W-Lan hast, dann kannst du in der Konfiguration des Gerätes nachlesen, ob und welche Sicherungen eingestellt sind.
Wenn du weitere Fragen hast, dann schreibe mir eine PN. Dann können wir deine Konfiguration im Einzelnen einmal durchsprechen.
Schöne Grüße Marc.

Anzeige:

_________________
Wenn du einen Monat lang ein werbefreies Forum willst, klicke hier und überweise mir 100 Taler!
Wenn du mich im Koi-Schnack etwas fragen möchtest, klicke hier!

Hallo zusammen....

es gibt sichere WLAN´s...alle WLAN´s die über eine VPN (Virtuel Private Network) Verbindung gesichert werden!!!!!!!!

Alle Tips die Marc gegeben haben stimmen zwar...totzdem sind die WLans auch be Beachtung des Hinweise recht schnell zu hacken!!!!
Bei Verwendung WEP 128 ca 10minuten bei WPA dauert es im MOment noch etwas länger....aber auch das geht unter 1 Std!!!!!!

Also==>
Sichere WLAN´s nur mit VPN zu schaffen!!!!

Grüsse
Koi_Fan

_________________
Teich:
Volumen des Teiches 61,5m³ davon Filtervolumen 10m³,Filtersystem: Patronenfilter 104m Patronen, 500L Kaldness zeitweise belüftet, 2x Linn 01 Rohrpumpe ca 50m³/Std.,Vortex mit 1,9m Durchmesser mit SiFi V mit Seerose UP-90, 3xBA, 1xSkimmer,4x Wasserzulauf DN100, Teichtiefe 2,5m,Oberfläche ca 25m², IKS-Pondpilot C (Temperatur,PH,Sauerstoff,Luftdruck,Pegel), Sauerstoffkonzentrator Weinmann Oxymat3, Amalgam UVC Lampe 130W (40W UV Leistung), Ozonisator Sander C200

Wau!:shock:

Wap so schnell?? Selbst bei wechselner Verschlüsselung? Womit, mit welchen Prog?
Würde ich gerne mal in meinem Netz nachstellen.
VPN, na ja ich habe bereits 2 laufen. Das bedeutet 2 verschiedene Profiele, da sie sich nicht miteinander vertragen.
Marc

Gibt es das auch in deutsch ?
Oder soll ich lieber bei meinen Dächern bleiben und nicht solche Fragen stellen ?
Gruß Lothar