WPA knacken

M

Midian

Well-Known Member
Hallöchen,
ich habe eine kurze Frage zu WPA. Wir haben im Studentenwohnheim eine WG mit 8 Leuten. Insgesamt wohnen im Wohnheim über 100 Leute. Im Moment nutzen wir einen DSL3000 Anschluss, der per Kabel an die 8 Leute der WG verteilt wird.

Das Problem ist nun, dass uns das Studentenwerk vorschreibt, bzw. anweist, alle Kabel (wegen Brandschutz) zu entfernen. Als Alternative sollen wir WLAN nutzen. Die geringe Bandbreite (bei 54mbit) mit 8 Leuten, und die Tatsache, dass ich dann auf Telefon verzichten muss (VoIP mal abgesehn) lasse ich jetzt mal aussen vor.

Worum es mir geht ist die Sicherheit. Im Moment haben wir einen 54mbit AP in Benutzung (schon länger). Die Sendeleistung ist sehr gering eingestellt, in der hintersten Wohnung ist kein Empfang mehr. Der Grund ist einfach. Ich hatte die Leistung testweise mal hochgeschraubt, damit alle guten Empfang haben (sind etwa 4 Nutzer mit WLAN-Notebooks). Prompt kam vom Wohnheimblock gegenüber (Luftlinie ~ 100m) ein Typ, und meinte er will über unser WLan surfen, weil er keinen eigenen Anschluss hat, und bei uns super Empfang wäre. Habe die Leistung dann wieder runtergestellt...

Die Frage ist nun, sollte wir tatsächlich komplett auf WLAN umsteigen (müssen), und dementsprechend die Sendeleistung hochschrauben - wie sicher ist dann WPA? Ist WPA unknackbar, wenn ich ein sicheres 63 Zeichen Passwort nutze? Ich müsste prinzipiell davon ausgehen, dass etwa 100 Leute 24/7 bei uns Empfang haben. Reicht WPA als Schutz, oder besteht die Gefahr dass das WLAN geknackt wird?

Danke im voraus...
 
WPA sollte nicht so einfach zu knacken sein. Voraussetzung hierfür, ein langes Passwort inkl. Sonderzeichen. In wie weit es nun schon fortgeschritten ist das man auch WPA "im Handumdrehen knackt" kann ich nicht sagen, mein Kenntnisstand ist, so das PW sicher ist, dass es "nicht geht".
Anders sieht es da bei WLAN Treiber aus ;-)
http://www.heise.de/newsticker/meldung/76330
 
WPA2 ist unknackbar bzw. müsstest du ca. 10 Jahre mitsniffen und es müsste immer wer mit Volllast was hin und herschieben. Vorrausgesetzt natürlich keylaenge, etc...
 
JiYu schrieb:
WPA2 ist unknackbar bzw. müsstest du ca. 10 Jahre mitsniffen und es müsste immer wer mit Volllast was hin und herschieben. Vorrausgesetzt natürlich keylaenge, etc...
Zum Vergrößern anklicken....


WPA2 kann der AP nicht, nur WPA(1).
 
Midian schrieb:
......................
Die Frage ist nun, sollte wir tatsächlich komplett auf WLAN umsteigen (müssen), und dementsprechend die Sendeleistung hochschrauben - wie sicher ist dann WPA? Ist WPA unknackbar, wenn ich ein sicheres 63 Zeichen Passwort nutze? Ich müsste prinzipiell davon ausgehen, dass etwa 100 Leute 24/7 bei uns Empfang haben. Reicht WPA als Schutz, oder besteht die Gefahr dass das WLAN geknackt wird?
Zum Vergrößern anklicken....

Hallo Midian,

was mich immer stört sind Begriffe wie unknackbar oder absolut sicher usw.. usf...

Richtiger wäre hier die Formulierung beim jetzigen Stand der Entwicklung zu wählen, beschäftige mich schon länger mit der Thematik WLAN und den Sicherheitsmechanissmen zuerst hiess es WEP wäre der Bringer, dem ist aber wie wir mittlerweile wissen nicht so.

Dann kam WPA1 auch nicht mehr sicher, mittlerweile ist WPA2 angesagt frage mich in diesem Kontext wie lange es noch dauert bis auch dieser Standard geknackt wird.

Verweisse in diesem Zusammenhang auf meinen Thread vom 24.06.2006:
# Meldung in der IX WLAN-Treiber hacken im Vorbeifahren

http://www.bsdforen.de/showthread.php?p=133617#post133617

den ich wegen der aktuellen Geschenisse die hier auch schon ASG so treffend beschrieben hat (Mac-Book), gestern diesbezüglich geupdatet habe.

Rate Dir in diesem Zusammenhang mal die Seiten des BSI aufzusuchen:

http://www.bsi.de/literat/doc/wlan/index.htm

Dort findest Du wertvolle Informationen zu diesem Thema.

Eine weitere Seite zu diesem Komplex wäre Sicherheit in WLAN Netzwerken

http://www.dafu.de/rechts/wlan-security.html

Auch immer wieder gut die Seiten des CCC zu WLAN:

http://www.ccc.de/wlan/

Allerdings ist die Entwicklung hier in diesem Bereich derart rasant, das Sicherheitsaspekte das Problem haben hinterzuhinken.
Aber das ist ja nichts Neues kennen wir doch alle von der Virenproblemathik her.

Viele Grüsse Rudolf
 
Eveltuell könntest du ja IP Sec drüberlegen, dass soll einigermaßen sicher sein. (NetBSD<->NetBSD habe ich das sogar schon am laufen gehabt)
 
Bringt das Aussperren von MAC-Adressen etwas? Ich mein es ist zwar leicht diese zu ändern aber man muss sie ja erst mal wissen, oder?
 
Die kann man leicht raussniffen. Allerdings ist es eine weitere Hürde.

Jedenfalls ist ein VPN die sicherste Möglichkeit.
 
daiv schrieb:
Bringt das Aussperren von MAC-Adressen etwas? Ich mein es ist zwar leicht diese zu ändern aber man muss sie ja erst mal wissen, oder?
Zum Vergrößern anklicken....

Hallo daiv,

etwa so in der Art:
http://www.tomsnetworking.de/content/tipps_tricks/j2004a/workshop_wlan_mobile_security/page2.html

schon besser als garnichts, allerdings MAC-Filter sind eine zuverlässige Sicherheitsmassnahme, um ein (W-)LAN gegen Unbefugte abzusichern. Sie schützen jedoch nicht vor dem Ausspähen des Funkverkehrs.

gruss Rudolf
 
Was habt ihr den für einen Router? Falls nicht bastel dir nen Radius Server. Orinoco in den Rechner und ab gehts! Dann könnteste auch die Leitung z.b. auch Vermieten für nen paar Stunden ohne Stress den Key immer zu ändern!
 
Habe hier noch etwas interesantes zu diesem Themenkomplex gefunden:

<Warnung> Vorsicht Microsoft SupportSeite </Warnung>

Besonders lustig fand ich dort folgenden Satz:
Auch Anwendungen haben Fehler

Computer gibt es noch nicht so lange, wie zum Beispiel Automobile. Deswegen tauchen gerade in Programmen immer wieder Fehler auf, die auch ein Sicherheitsrisiko darstellen können.

Aber leset selber:

http://www.microsoft.com/germany/athome/artikel/in-verbindung/w-lan-sicherheit.mspx

gruss Rudolf :D
 
daiv schrieb:
Bringt das Aussperren von MAC-Adressen etwas?
Zum Vergrößern anklicken....

Nein.

Ich mein es ist zwar leicht diese zu ändern aber man muss sie ja erst mal wissen, oder?
Zum Vergrößern anklicken....

Dann spaziere ich halt mal ganz unauffaellig mit dem Zaurus in der Hosentasche an Deiner Wohnung vorbei, und schon habe ich die MAC-Adressen aller gerade benutzten WLAN-Devices.
 
Ohne WLAN-Verschlüsselung

Wenn man kein WPA2 mit AES128 bzw. AES256 zur Verfügung hat, kann man sich (angeblich) die Verschlüsselung auf WLAN-Ebene gleich sparen und nur VPN-Kommunikation erlauben (IPSEC oder OpenVPN böten sich hier an).

Das hat den Vorteil, dass man die WLAN Komponenten nicht mit besonderer Sorgfalt auswählen muß (damit alle auch wirklich mit WPA2 können), aber trotzdem ein sicheres Netz hat. Dann verlagert man die Komplexität halt in Richtung VPN. Dort sollte man natürlich ein sicheres Verfahren anwenden. IPSEC und OpenVPN mit Client-Zertifikaten und AES256 als Verschlüsselungsalgorithmus gelten derzeit als sicher. OpenVPN soll sogar mit Windows (2000/XP/2003) als Client einigermaßen einfach einzurichten sein (ich wollte das mal ausprobieren, in einer ruhigen Minute...).

Wichtig dabei ist nur, dass man das Netz so aufbaut, dass vom WLAN wirklich nur VPN-Traffic erlaubt ist, sonst ist das natürlich nutzlos.

HTH & Ciao.
Markus Mann
];-)
 
Also hier mal mein Senf dazu:
MAC Filter bringt genau gar nichts, kann man bleiben lassen.
SSID nicht broadcasten ist der beste Schutz gegen Kindereien (imho).

WPA(1) reicht locker gegen die Nachbarn;
wieso sollte ich als böser Cracker ein WPA zerlegen, wenn genug andere unverschlüsselte Netze in der Nachbarschaft haben, oder nur WEP verwenden;
das rentiert einfach nicht.
Ausserdem hat da draussen kaum einer die richtige WiFi Hardware um WEP zu knacken;
alles panikmache, sorry.

Der total unwissenschaftliche,
garinger
 
garinger schrieb:
wieso sollte ich als böser Cracker ein WPA zerlegen, wenn genug andere unverschlüsselte Netze in der Nachbarschaft haben, oder nur WEP verwenden;
das rentiert einfach nicht.
Zum Vergrößern anklicken....
Weil es reizvoller ist als ein offenes Netz?

Aber ja, ich gebe Dir recht, oftmals wird das sicher alles überschätzt. In meiner Nachbarschaft jedenfalls gehen 99% der Bewohner davon aus, dass es sich bei WiFi um eine Minisalami im Taschenformat handelt.
 
Da wiederum befürchten viele wohl strafrechtliche Konsequenzen, die man so im privaten Umfeld nicht zu verfürchten hat. Ich zumindestens würde im kommerziellen Umfeld eher Admins vermuten, die eine Attacke auch entsprechend zurückverfolgen könnten.

Aber wie Du sicher schon merkst ... so richtig Ahnung hab ich davon auch nicht. Daraus folgere ich zwei Sachen:

1) Ich versuchs gar nicht erst.
2) Ich halt jetzt die Schnauze.

Gute Nacht!
 
ich wuerde an deiner stelle einfach ein netz mit wpa aufziehen.

und dann noch auf dem router openvpn mit draufballern.
wenn ihr nur acht leute seid, dann muesst ihr auch keine komplizierten x509-zertifikate erstellen, es reicht dann aus einfach nur eins zu bauen und das an alle zu verteilen.

selbst wenn die leute es dann schaffen sollten wpa zu knacken, haben die dann immer noch einen sicherheitslayer mehr vor sich.
 
Setzte ich VPN ein würde ich das WLAN gar nicht verschlüsseln.

Das erhöht blos den Overhead.
 
WEP (What on Earth is Privacy?) - wohl binnen sieben Sekunden geknackt.
WPA - mit einem Schlüssel mit 64 Stellen (um den gesamten Namensraum auszuschöpfen) gehen wohl noch, wenn man keine ambitionierte Informatikstudenten im Wohnheim mit wohnen hat..
Ich habe gute Erfahreungen mit WPA2 gemacht. (Selbst mein Telefon beherrscht es) Ne Fritzbox, die WPA2 kann ist für zirka 100 Euro zu haben. Mir wäre es das Geld jedenfalls wert. Eine VPN-Lösung wäre mir zu buckelig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben