WLAN Absicherung ausreichend?

hobby

hobby

#man women
Hallo zusammen!

Meine frage:

da ich keine lust und keine ressourcen habe, um mir für mein wlan einen RADIUS server zu basteln werde ich mein WLAN "nur" über WEP (128bit) und MAC Filter absichern.

Nun gibt ja es so schöne "wenig intelligente" Leute, die durch die Gegend fahren und mit ihren Laptop und den dazugehörigen Programmen, welche sie sich natürlich gezogen haben, um offene WLANs auszunutzen, bzw nicht offene -offen zu machen ;)
Wardriver...

Mal unabhängig von WEP..meint ihr ein MAC Filter ist sicher???

Noch eines: Wenn ich meinen ges. iNet verkerh über meinen BSD Server laufen lassen will, über einen Quid Proxy....dann würde ich jetzt den Router so einstellen, dass alle anfragen abgelehnt werden, AUSSER die MAC und IP vom Server, da ja dann alles durch den Proxy an den Router weitergeht...
Würde das gehen?


bye
-manuel
 
Ich würde sagen alles ist gleich unsicher. WEP ist bereits geknackt MAC Fälschen geht auch.

Erstmal solltest du deinen Bereich mal Ausleuchten ob du das überhaupt brauchst. Ist doch blödsinn 50% oder mehr (durch die Verschlüßelung) der Performance zu verschenken wenn die Funkglocke ggf garnicht bis zur Straße reicht.


Ergänzung: Die meisten meiner Funknetze sicher ich nur mit dem MAC-Filter ab
 
SierraX schrieb:
wenn die Funkglocke ggf garnicht bis zur Straße reicht.
Zum Vergrößern anklicken....

nein nein..das is das genau NICHT-Ziel *g*

Meine Tante und mein Onkel (auf der gegenüberligenden Str.seite) sollen genau da mit ans Netz ran...alles kein Problem...zumidenst rein technisch gesehn nicht.

Weiß einer, ob MAC Addressen leicht zu fäschen sind?

Das dumme ist ja, ich habe ausser SSID broatcast aus, 128bit WEP und MAC Filter gar keine andere Möglichkeit...

:-((((
 
Also mein Gateway beherrscht auch wpa und radius. MAC ist relativ einfach zu fälschen. Programme um eine MAC auszulesen gibt es zu hauf. Ich bin mir gerade nicht sicher ob die MAC bei jeder Aktion im Netzwerk übertragen wird oder bloß einmal bei der Anmeldung bin gerade erst am Anfang vom Heisebuch WLANs

Wenn du über die Straße mußt mit dem WLan überprüfe wie stark das Feld da drüben ist. Meist kannst du dann eh keine Verschlüßellung einsetzen weil das Netzwerk sonst zusammen bricht.
Denk auch mal darüber nach ob du vieleicht den Funkstrahl bündeln solltest oder kannst.
 
MAC fälschen sind nur wenige Zeilen in der Shell, WEP 128-Bit Verschlüsselung ist mit entsprechender Rechenleistung und Datenfluss auch in kurzer Zeit geknackt.

Ich kann Dir OpenVPN empfehlen, gibts für die meisten Betriebssysteme und ist schnell und einfach installiert und eingerichtet. Die Sicherheit ist für den Privatanwender dicke ausreichend.
 
Hi all,

mal eine Frage zum MAC-Filter. Es ist zwar einfach, die MAC der NIC zu ändern. Aber wie würde ein potenzieller Angreifer an eine gültige MAC-Adresse gelangen?
Zumal vorher mit WEP verschlüsselt würde.
Müßte lediglich der Verkehr abgehört werden?

cheers
 
verkehr mitloggen, wep knacken, log entschlüsseln, mac in ruhe raussuchen,
mac eintragen, wep eintragen, verbinden.
wenn dann noch ein dhcp läuft noch besser, ansonsten wieder ins log gucken, was für ip-bereiche genutzt werden.
dutzendfach praktiziert und bewährt :)

fertig.
 
Zuletzt bearbeitet:
Hi!

Den einzig brauchbaren Vorschlag den ich hier gelesen habe, ist der mittels OpenVPN
das Netz zu sichern.
Insbesondere stellt sich natürlich die Frage, wieviel Daten so über die "Strasse" gehen.
Wird das Netz nur sporadisch, so ca. 20-30 Minuten, bis 2-3 mal am Tag genutzt,
bist du mit dem WEP-Schlüssel (128-Bit) und MAC-Filter genügend gesichert.
Sollten es aber sensible Daten sein, tendiere ich zu OpenVPN.

Rein zum Verständnis und zur Beseitigung der hier gezeichneten Horrorszenarien.
Die meisten Angreifer (ca.95%) lassen von einem verschlüsselten Netz ab, da der
Zeitaufwand den Schlüssel zu ermitteln, in keinem Verhältnis steht zum erwarteten
Ergebnis.
Du musst ca. 3-5 Giga an Daten loggen, um mit Airsnort und Konsorten nur annähernd
in den Bereich des möglichen Schlüssel zu kommen.
D.h. das dein Angreifer ca. 5 Std. und mehr vor deiner Türe stehen muss und du über
den ganzen Zeitraum Daten hin -und hertransferierst.
MAC-Adressen fälschen, dazu empfehle ich die Manpages von ifconfig, oder wiconfig.

Möchtest du dich da näher informieren, google bitte mal nach wardriver-berlin,
dort wirst du einen interessanten thread finden, der genau dieses Thema behandelt.

Rein zum Selbstverständnis, besorge dir das Prog - Ettercap- und -Ethereal-, damit
werden dir viele Sachen um einiges klarer.

Wenn ich so Sachen lese, wie schnell mal geknackt, dann kann das nur von Leuten
kommen, die da mal was drüber gelesen haben, es aber nie praktiziert haben (Knallzeugen und Wichtigtuer) ;-)

Gruss M.
 
danke für eure meinungen und mühe!

ich werde es wohl wirklich bei einer 128bit verschlüsselung belassen mit mac filter.
um an 3-5 GB traffic zu kommen, müsste die person bei meiner einstellung mit max 1Mbit/s schon exakt 6,66h - 11,11h auf der strasse rumhocken ;-))))

habe jetzt in der c´t gelesen, dass es, sofern man sein netz mittels bspw. wep, abgesichert hat, jedes eindringen illegal ist...
andersrum, bei einem offenem netz, ist das eindringen und die benutzung nicht illegal...das einzige was einem vorgeworfen werden kann, ist, dass man für die zeit des surfens ein nutzungsentgeld bezahlen muss *g*


@ ArchangeluS :
Ja War-driving..war-walking und was weiß ich alles...ich vergleiche 80% der foren ntuzer bei denen mit script kiddies...keine ahnung von nichts....osi 7 schichten noch niemals gehört..aber sich mal dumm und einfach "netstumbler" saugen und coool durch die gegend fahren ähm pardon: surfen meine ich ;-)
 
hobby schrieb:
Nun gibt ja es so schöne "wenig intelligente" Leute, die durch die Gegend fahren und mit ihren Laptop und den dazugehörigen Programmen, welche sie sich natürlich gezogen haben, um offene WLANs auszunutzen, bzw nicht offene -offen zu machen ;)
Wardriver...
Zum Vergrößern anklicken....

Da halte ich gegen. In meiner Gegend gibt es leider kein DSL und ich muss mir die teuren Call-by-Call Tarife antun, um meine Systeme einigermaßen aktuell zu halten. Da kommt es sehr gelegen, wenn jemand sein DSL mit Flatrate auf die ganze Straße brüllt. Versteht mich nicht falsch, ich verändere / klaue / kopiere keine privaten Daten, ich nutze es lediglich als kostenlosen Internetzugang und auch nur dann, wenn ich mir sicher bin, dass mein unfreiwilliger Provider eine Flatrate hat. Somit entstehen ihm keine Kosten.
Wenn ich auf sehr sensible Daten stoße, drucke ich auch schonmal eine Mitteilung mit einem Hinweis auf die Unsicherheit dieses WLAN aus und stecke sie in den Briefkasten.

ArchangeluS schrieb:
Den einzig brauchbaren Vorschlag den ich hier gelesen habe, ist der mittels OpenVPN das Netz zu sichern.
Insbesondere stellt sich natürlich die Frage, wieviel Daten so über die "Strasse" gehen. Wird das Netz nur sporadisch, so ca. 20-30 Minuten, bis 2-3 mal am Tag genutzt,
bist du mit dem WEP-Schlüssel (128-Bit) und MAC-Filter genügend gesichert.
Sollten es aber sensible Daten sein, tendiere ich zu OpenVPN.
Zum Vergrößern anklicken....

Dem stimme ich zu, aber gab es nicht noch eine Möglichkeit automatisch alle 5 min. den Schlüssel zu wechseln? Ich meine mal sowas gelesen zu haben.
 
xenobyte schrieb:
Da halte ich gegen. In meiner Gegend gibt es leider kein DSL und ich muss mir die teuren Call-by-Call Tarife antun, um meine Systeme einigermaßen aktuell zu halten. Da kommt es sehr gelegen, wenn jemand sein DSL mit Flatrate auf die ganze Straße brüllt. .
Zum Vergrößern anklicken....

erm, wieso kannst du kein adsl haben, aber dein nachbar schon???

ich verstehe dich nicht falsch...finde es aber alleine schon moralisch nicht ok.
muss jeder für sich selbst entscheiden...
dann gehe doch lieber zu dem nachbarn...biete ihm an kostenlos sein netz sicherer zu machen...und frage ihn im gegenzug ob du gegen eine pauschale immer bei ihm mitsurfen kannst...



bin da jetzt nicht so ganz im bilde, aber das mit dem autm. wechseln der keys is die geschichte mit radius server usw....meine ich.
 
hobby schrieb:
erm, wieso kannst du kein adsl haben, aber dein nachbar schon???
Zum Vergrößern anklicken....

Wer sagt, dass es sich dabei um meinen Nachbarn handelt?! Ich fahre ein Weilchen mit dem Auto rum....

bin da jetzt nicht so ganz im bilde, aber das mit dem autm. wechseln der keys is die geschichte mit radius server usw....meine ich.
Zum Vergrößern anklicken....

Ich bin der Meinung, dass es speziell dafür eine ressourcenschonende Alternativlösung gab. Ich schau nochmal, ob ich den Link finde....
 
selber auch seit kurzem mit WLAN online...
- WEP 128 verschlüsselung
- statische IPs, also kein DHCP
- nur die festgelegten IPs dürfen surfen

sollte meiner meinung nach reichen um alles "normale" fernzuhalten.
 
@stevil
wie hast du das gemacht das nur bestimmte adressen ins netz kommen?
oder hast du in pf einfach nur die adressen eingetragen die dürfen und den rest geblockt?
 
ach du hast ein hardware router. dann hab ich das falsch verstanden, weil ich dacht das du einen access point mit fbsd gemacht hast.

sorry
 
deudsch ihst schwäär

ich hatte eben grade, genau in DIESEM moment, einen "geistes"blitz.... *g*
wie wäre denn folgendes:

gehen wir davon aus, dass entw. mein HW Router alle Pakte abweist, ausser vom server ODER mein server auch router ist...

nun mache ich WEP und SSID broadcast aus...MAC Filter an...und (jetzt kommts):

- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
jeder surfer bekommt einen samba account zum anmelden; der squid wird so konfiguriert, dass NUR(!) pakete von samba-users angenommen werden.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - -

dann sollte doch keiner (der nicht authentifiziert ist) mehr was mit meinem wlan anfangen können, oder???
 
Zuletzt bearbeitet:
Was hindert denn jmd der den Verkehr lange genug gesnifft hat sich als dein Server auszugeben? Wenn du eh nen Server hast setz doch FreeRadius ein...
 
balu schrieb:
Was hindert denn jmd der den Verkehr lange genug gesnifft hat sich als dein Server auszugeben? Wenn du eh nen Server hast setz doch FreeRadius ein...
Zum Vergrößern anklicken....

dann dürfte aber nicht gehen, da der server natürlich eingeschaltet ist, würde einen address konflikt geben und dann müsste er es irgendwie schaffen übers wlan vonna strasse aus den server auszuschalten.

radius habe ich auch schon drüber nachgedacht....allerdings weiß ich nicht, ob das dann gänzlich meine rar vorhandene performance überlastet (PII 266, 64MB SDRAM)
des weiteren sind nicht alle geräte (APs und WLAN NICs) radius kompatibel glaube ich.
 
hobby schrieb:
dann dürfte aber nicht gehen, da der server natürlich eingeschaltet ist, würde einen address konflikt geben und dann müsste er es irgendwie schaffen übers wlan vonna strasse aus den server auszuschalten.

radius habe ich auch schon drüber nachgedacht....allerdings weiß ich nicht, ob das dann gänzlich meine rar vorhandene performance überlastet (PII 266, 64MB SDRAM)
des weiteren sind nicht alle geräte (APs und WLAN NICs) radius kompatibel glaube ich.
Zum Vergrößern anklicken....

Wieso Adressenkonflikt, dürfte es imo nicht geben. Es kann im WLAN ja jeder alles empfangen, dh ist Spoofen relativ einfach. Angenommen der Atter surft auf www.microsoft.com bekommt dein Server davon Replys wird sie aber verwerfen...

Das einzig seltsame dürfte sein das in deinen Logs dein Server mit dem IE auf www.microsoft.com surft ;)

Für den AP sind ja dein Server und der Atter ein und derselbe Rechner, zumindest wenn IP und MAC gleich sind.
 
aber er könnte doch gar nciht auf www.ich-bin-ein-url.de surfen,...wie auch?

er müsste als gateway ja die ip vom server nehmen....der würde doch dann aber sehen, dass er kein smb-user ist...

(wenn wir davon ausgehen, dass ich kein HW Router habe und mein Server dieses tut)

dann könnte man ja, in meinem bsp., sagen, ein HW router ist ein sicherheitsrisiko...ich denke ich werde meinen server wirklich noch routen lassen müssen, auch wenn es wirklich total unnötig (!) performance schluckt,da ich ja einen HW router habe...
aber sonst sehe ich da keine lösung (abgesehn vom radius)
 
Wenn du deinen Server als AP nutzt geht es, oder wenn der Server per Kabel am AP dranhängt.

Haben Server und AP ne WLAN Verbindung wie ich es erst verstanden habe geht es imo nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben