WLAN bei Nichtgebrauch abschalten

Spatzi · 14. August 2008 um 17:24

Hallo,

bei uns wurde durch einen PC-Techniker ein WLan-Netzwerk eingerichtet.
Der Access-Point (Netgear Rangemax Wireless Access Point WPN802)
http://www.netgear.de/Produkte/Wireless/802_11g/WPN8…
ist an einem Router angeschlossen.

Bei meiner Frage, ob man den Access-Point, bei Nichtgebrauch ausschalten könnte, meinte er, dass bei längerer Sendungsunterbrechung Daten verloren gehen können.
Aus diesem Grund sollte man den Access-Point immer angeschlossen lassen.

Jetzt habe ich aber hier gelesen:
http://www.pcwelt.de/index.cfm?pid=1647&pk=40080&p=11
„Schließen Sie den Access Point deshalb an einer ausschaltbaren Steckerleiste an, damit Sie ihn komplett vom Netz trennen können, wenn Sie ihn nicht benötigen.“

http://www.bsi-fuer-buerger.de/wlan/wlantipps.htm
„Schalten Sie Ihr WLAN nur bei Gebrauch ein!
Einfach, aber effektiv: Wenn Sie nicht im WLAN aktiv sind, dann schalten Sie es ab – der beste Schutz gegen Eindringlinge.“

Was ist denn jetzt richtig?

Gruß
karin

Lorgarn_bd1220 · 14. August 2008 um 17:39

Bei meiner Frage, ob man den Access-Point, bei Nichtgebrauch
ausschalten könnte, meinte er, dass bei längerer
Sendungsunterbrechung Daten verloren gehen können.
Aus diesem Grund sollte man den Access-Point immer
angeschlossen lassen.

Dieser Punkt erschließt sich mir nicht. In wie fern, soll das Abschalten/ nichtvorhandensein das AP das kabelgebunden Netz beeinträchtigen. Oder übernimmt der AP auch aufgaben wie DHCP oder Nameservice?

Jetzt habe ich aber hier gelesen:
http://www.pcwelt.de/index.cfm?pid=1647&pk=40080&p=11
„Schließen Sie den Access Point deshalb an einer
ausschaltbaren Steckerleiste an, damit Sie ihn komplett vom
Netz trennen können, wenn Sie ihn nicht benötigen.“

http://www.bsi-fuer-buerger.de/wlan/wlantipps.htm
„Schalten Sie Ihr WLAN nur bei Gebrauch ein!
Einfach, aber effektiv: Wenn Sie nicht im WLAN aktiv sind,
dann schalten Sie es ab – der beste Schutz gegen
Eindringlinge.“

Der beste Schutz gegen Eindringlinge sind das verbergen der SSID, eine vernüftige Verschlüsselung (WPA-PSK) und optional noch eine schwarze Liste für fremde MAC-Adressen. Damit sollte man ruhig schlafen können. Wenn der Experte in Deinem Fall soetwas nicht gemacht hat, nacholen und den Experten wechseln. Natürlich ist es völlig richtig, daß niemand in dein WLAN eindringen kann, wenn es nicht existent ist, aber das kann kein Sicherheitskriterium sein, irgendwann möchte man es schließlich einmal benutzen. Es bei Nichtgebrauch auszuschalten, sollte aber keine fiesen Seiteneffekte haben.

PHvL · 14. August 2008 um 19:43

Hallo,

In wie fern, soll das Abschalten/ nichtvorhandensein das
AP das kabelgebunden Netz beeinträchtigen.

was ich mir vorstellen könnte ist, dass derjenige meint die Einstellungen des AP (insbesondere Schlüssel u. Ä.) könnten verloren gehen, wenn man diesen länger vom Strom trennt. Soetwas würde ich aber schon als Mangel des AP ansehen.

Der beste Schutz gegen Eindringlinge sind das verbergen der
SSID,

Das „verbergen“ der SSID bietet praktisch keinen Schutz. Tatsächlich wird sie ja nicht verborgen sondern lediglich nicht als Beacon ausgesendet.

Von der Verwendung derart kaputter „Sicherheits“-Funktionen ist grundsätzlich abzuraten, da sie bei nahezu Null Schutz nicht nur Funktionalität einschränken sondern auch ein falsches Sicherheitsgefühl hervorrufen.

eine vernüftige Verschlüsselung (WPA-PSK)

Heutzutage würde ich WPA2 empfehlen - ob man als Schlüssel eine guten (zufälligen, nicht erratbaren) PSK wählt oder dies anders löst ist aber unerheblich.

und optional noch eine schwarze Liste für fremde
MAC-Adressen.

Auch MAC-Adress-Filter bieten keinen nennenswerten Schutz - zumal man ja für eine schwarze Liste die Adressen kennen muss, die einen angreifen werden.

–
PHvL

Hermann_Schaefer · 14. August 2008 um 21:46

Der beste Schutz gegen Eindringlinge sind das verbergen der
SSID, […] optional
noch eine schwarze Liste für fremde MAC-Adressen.

Das ist falsch. Im Gegenteil, daß verbergen der SSID ist sogar kontraproduktiv, daß sich Clients erst mal per Broadcast orientieren müssen und dabei bereits mehr Preis geben, als ein sinnloses Verbergen helfen würde. Sogar Microsoft spricht sich dagegen aus… was schon mal erstaunlich ist bei dem Laden… ^^
http://technet.microsoft.com/en-us/library/bb726942…
Das Whitelisting von MAC-Adressen ist ebenfalls sinnlos, denn die kann man fälschen.

Zum Thema des Fragenden:
Abschalten wegen Strom sparens - ja. Man sollte aber bedenken, daß häufiges Abschalten von Geräten deren Lebensdauer i.d.R. eher verringert als verlängert, daß Einschalten ist immer der größte „Stress“ für elektronische Geräte. Ansonsten darauf achten, daß bei Verschlüsselung WPA/PSK oder WPA2/PSK eingestellt ist und daß der PSK hinreichend lang ist, am besten sowas wie „ichb1ne1nt0llern3uerWLAN-APmitsuperVerschluesselung“. Naja, darf auch etwas kürzer sein, aber so um die mind. 14 Buchstaben und Zahlen gemischt. Keine Sonderzeichen oder Leerzeichen, macht nur Ärger.

Lorgarn_bd1220 · 15. August 2008 um 10:45

Das ist falsch. Im Gegenteil, daß verbergen der SSID ist sogar
kontraproduktiv, daß sich Clients erst mal per Broadcast
orientieren müssen und dabei bereits mehr Preis geben, als ein
sinnloses Verbergen helfen würde. Sogar Microsoft spricht sich
dagegen aus… was schon mal erstaunlich ist bei dem Laden… ^^
http://technet.microsoft.com/en-us/library/bb726942…

Sieh an, wieder was gelernt…

Das Whitelisting von MAC-Adressen ist ebenfalls sinnlos, denn
die kann man fälschen.

Ich habe Blacklisting geschrieben, dumm von mir. Allerdings ist das Fälschen der MAC Adresse nicht ganz so einfach. Sicherlich ist ein MAC Filter allein kein ausreichender Schutz, aber es schadet auch nicht ihn einzuschalten.

„ichb1ne1nt0llern3uerWLAN-APmitsuperVerschluesselung“. Naja,
darf auch etwas kürzer sein, aber so um die mind. 14

Ich dachte WPA2 baut aus dem Paßwort einen ich-weiß-grad-nicht-wie-langen-Bit Hash. Nicht menschenlesbare Paßwörter sind sind normalerweise gut und richtig aber wie hart muß das Paßwort für einen WPA2 Hash sein?

Hermann_Schaefer · 15. August 2008 um 13:09

Ich habe Blacklisting geschrieben, dumm von mir. Allerdings
ist das Fälschen der MAC Adresse nicht ganz so einfach.

Das kann jede „billige“ h4x0r-Software aus dem Internet. Die MAC-Adresse bei WLAN zu ändern ist sehr leicht - und bei LAN-Netzwerkkarten auch, daher ist jede Form von „Sicherheit“ bzgl. MAC trügerisch.

Ich dachte WPA2 baut aus dem Paßwort einen
ich-weiß-grad-nicht-wie-langen-Bit Hash. Nicht menschenlesbare
Paßwörter sind sind normalerweise gut und richtig aber wie
hart muß das Paßwort für einen WPA2 Hash sein?

Brute-Force-Attacken sind immer möglich, daher sollte man keine „Wörterbuch-Kennwörter“ verwenden. Ein guter Wert wäre so 12-14 Zeichen mit Zahlen drin, daß reicht dann sicherlich aus und macht Brute-Force selbst mit Hashtabellen unmöglich.

mabuse · 15. August 2008 um 16:48

Ich habe Blacklisting geschrieben, dumm von mir. Allerdings
ist das Fälschen der MAC Adresse nicht ganz so einfach.

Das kann jede „billige“ h4x0r-Software aus dem Internet. Die
MAC-Adresse bei WLAN zu ändern ist sehr leicht - und bei
LAN-Netzwerkkarten auch, daher ist jede Form von „Sicherheit“
bzgl. MAC trügerisch.

Na, dann rechnen wir doch mal nach . . .

Die MAC-Adresse besteht aus sechs Byte oder 48 Bits.
Damit gibt es 2^48 = rund 281 Billiarden denkbare Mac-Adressen.
Wenn ich mit Whitelisting nur zwei oder drei davon zulasse, dann kann ein potentieller Angreifer zwar mit geänderten Mac-Adressen arbeiten, braucht, wenn sein Rechner 100 Anfragen pro Sekunde schafft, um den ganzen Bereich durchzuprobieren, aber „nur“ 89.000 Jahre.

Selbst wenn man davon ausgeht, das er nstatistisch nur die Hälfte braucht, bis er einen Treffer hat und davon nochmal die Hälfte und nochmal die Hälfte und nochmal die Hälfte, weil man ja drei Macs freigegeben hat, ist die Zahl immer noch absolut utopisch.
Man muss halt nur verhindern, das die eigenen Rechner ihre Mac-Adresse im Klartext herumposaunen, dan ist Whitelisting ein bombensichere Sache.

Im Übrigen sollten wir doch mal die Kirche im Dorf lassen:

Wenn ein irgendjemand irgendwo ein Autoradio klauen will, dann bricht er sich doch nicht am ersten Auto, das er sieht, tiersich einen ab. Der geht die Strasse entlang und probiert jede Türe aus. Spätestens in der dritten Strasse findet er einen offenen Wagen, indem er sich bedienen kann.

Und genauso sieht’s doch auch bei W-LANs aus: Wenn irgendwo ein Script-Kiddie Unfug treiben will, dann greift er sich doch nciht gezielt ein Opfer raus. Der scannt die halbe Strasse und benutzt ein völlig ungeschütztes W-LAN, davon gibt’s mehr als genug.
Man muss sein W-LAN nicht Geheimdienst-Sicher machen, es reicht, wenn man sicherer ist, als die Nachbarn, dann hat man seine Ruhe.

Das gilt natürlich nur für Privat-Leute, bei denen slbst im Fall der Fälle nichts wirklich katastrophales gehschen sollte, bei Ärzten und Rechtsanwälten etc. sollten die Sicherheitsmaßnahmen natürlich schon ausgefeilter sein - aber die haben auch genug Kohle, sich mal für einen Tag einen richtigen Fachman ins Haus zu holen.

Schönes Wochenende euch allen!
mabuse

Hermann_Schaefer · 15. August 2008 um 21:20

Na, dann rechnen wir doch mal nach . . .

Fein, du kannst rechnen… ist zwar völlig egal, aber immehin.

Man muss halt nur verhindern, das die eigenen Rechner ihre
Mac-Adresse im Klartext herumposaunen

Und genau das geht nicht. Es gibt mehrere Methoden, die MACs der „erlaubten“ Rechner innerhalb von Sekunden zu finden.

dan ist Whitelisting
ein bombensichere Sache.

Nope. Das ARP/MAC war für so etwas nie gedacht und es funktioniert schlicht und einfach nicht.

Und genauso sieht’s doch auch bei W-LANs aus: Wenn irgendwo
ein Script-Kiddie Unfug treiben will, dann greift er sich doch
nciht gezielt ein Opfer raus. Der scannt die halbe Strasse und
benutzt ein völlig ungeschütztes W-LAN, davon gibt’s mehr als
genug.

Weißt du, ob es nicht eine Arztpraxis oder ein RA-Büro ist? Ob da Firmengeheimnisse drüber laufen?
Sorry, aber mit halbgaren Lösungen oder Security by Obscurity kommt man da nicht sehr weit.

Das gilt natürlich nur für Privat-Leute, bei denen slbst im
Fall der Fälle nichts wirklich katastrophales gehschen sollte,
bei Ärzten und Rechtsanwälten etc. sollten die
Sicherheitsmaßnahmen natürlich schon ausgefeilter sein - aber
die haben auch genug Kohle, sich mal für einen Tag einen
richtigen Fachman ins Haus zu holen.

Aaahh… nu kommt ja doch die Erkenntnis, daß Firmen etc. ein etwas höheres Bedürfniss haben könnten. Aber du wirst lachen, auch ich als Privatmann habe keine Lust, daß meine Steuererklärung oder Briefe an die Krankenkasse im Internet landen. Es kostet nicht mal ein paar Klicks mehr, ein WLAN so abzusichern, daß es beiden Anforderungen entspricht. Wozu also unnötig schlampen??

Spatzi · 15. August 2008 um 22:37

Hallo, Lorgarn

Bei meiner Frage, ob man den Access-Point, bei Nichtgebrauch
ausschalten könnte, meinte er, dass bei längerer
Sendungsunterbrechung Daten verloren gehen können.
Aus diesem Grund sollte man den Access-Point immer
angeschlossen lassen.

Dieser Punkt erschließt sich mir nicht. In wie fern, soll das
Abschalten/ nichtvorhandensein das AP das kabelgebunden Netz
beeinträchtigen. Oder übernimmt der AP auch aufgaben wie DHCP
oder Nameservice?

nun, er hat ja nicht gesagt, dass Daten beim Router verloren gehen können.
Bei uns ist früher (ohne Access-Pont) öfter mal die Internetverbindung ausgefallen, daraufhin wurde uns geraten, dann die Stromversorgung des Routers kurz zu unterbrechen und wieder herzustellen, weil sich ein Router auch mal „verschlucken“ könnte, bzw. weil sich der Router dann neue „Adressdaten“ holen würde - und das hat funktioniert.
Bei einem Stromausfall muss das ja genauso funktionieren.

Sorry, wenn ich mich so laienhaft ausdrücke, aber ich bin Laie.

Allerdings war und ist der (Haupt-)Router immer eingeschaltet (ausser bei kurzfristigem Stromausfall).
An diesem (Haupt-)Router hängen zwei, mittels Kabel verbundene Computer.

Der AP (ich nehme an, dass das die Abkürzung von Accesss-Point ist), ist mit einem Kabel an den (Haupt-)Router angeschlossen.

WLAN wird nur für ein Notebook verwendet.

Der beste Schutz gegen Eindringlinge sind das verbergen der
SSID, eine vernüftige Verschlüsselung (WPA-PSK) und optional
noch eine schwarze Liste für fremde MAC-Adressen. Damit sollte
man ruhig schlafen können. Wenn der Experte in Deinem Fall
soetwas nicht gemacht hat, nacholen und den Experten wechseln.

Unser Experte ist bei einem kleinen örtlichen Unternehmen angestellt, dessen Leistungen wir seit mehreren Jahren, zu unserer Zufriedenheit, als Privatkunden in Anspruch nehmen.
Mir wurde auch erklärt, dass die gewählte WLAN-Verschlüsselung relativ unknackbar wäre.

Natürlich ist es völlig richtig, daß niemand in dein WLAN
eindringen kann, wenn es nicht existent ist, aber das kann
kein Sicherheitskriterium sein, irgendwann möchte man es
schließlich einmal benutzen. Es bei Nichtgebrauch
auszuschalten, sollte aber keine fiesen Seiteneffekte haben.

Mich interessierte beim „Abschalten des AP“, eigentlich nicht so sehr die Sicherheit, sondern warum dann Daten verloren gehen können.
Allerdings frage ich mich jetzt auch, ob und weshalb, beim Trennen des (Haupt-)Routers von der Stromversorgung, Daten verloren gehen können.

Auf jeden Fall schon mal Danke!

Gruß
karin

Spatzi · 15. August 2008 um 23:01

Hallo, Hermann

Zum Thema des Fragenden:
Abschalten wegen Strom sparens - ja.

soll das heissen, dass keine Daten beim Abschalten verloren gehen können?

Man sollte aber bedenken,
daß häufiges Abschalten von Geräten deren Lebensdauer i.d.R.
eher verringert als verlängert, daß Einschalten ist immer der
größte „Stress“ für elektronische Geräte.

Ansonsten darauf
achten, daß bei Verschlüsselung WPA/PSK oder WPA2/PSK
eingestellt ist und daß der PSK hinreichend lang ist, am
besten sowas wie
„ichb1ne1nt0llern3uerWLAN-APmitsuperVerschluesselung“. Naja,
darf auch etwas kürzer sein, aber so um die mind. 14
Buchstaben und Zahlen gemischt. Keine Sonderzeichen oder
Leerzeichen, macht nur Ärger.

Danke für deine Hinweise!
Da ich Laie bin, kann ich nicht nachschauen, wo und was bei der Verschlüsselung eingestellt ist.

Ansonsten verweise ich auf meine Antwort an Lorgarn:
/t/wlan-bei-nichtgebrauch-abschalten/4736720/9

Gruß
karin

Spatzi · 15. August 2008 um 23:16

Hallo, PHvL

In wie fern, soll das Abschalten/ nichtvorhandensein das
AP das kabelgebunden Netz beeinträchtigen.

was ich mir vorstellen könnte ist, dass derjenige meint die
Einstellungen des AP (insbesondere Schlüssel u. Ä.) könnten
verloren gehen, wenn man diesen länger vom Strom trennt.

Soetwas würde ich aber schon als Mangel des AP ansehen.

Warum wäre das, deiner Meinung nach, ein Mangel des Access-Points?

Gruß
karin

Hermann_Schaefer · 16. August 2008 um 23:28

Allerdings frage ich mich jetzt auch, ob und weshalb, beim
Trennen des (Haupt-)Routers von der Stromversorgung, Daten
verloren gehen können.

Vermutlich meinte er damit nicht eure Daten auf den Rechnern, sondern die Konfiguration es APs. Das ständige Ein- und Ausschalten vertragen die nicht immer, kaputt geht dabei aber nichts, nur muss das Gerät u.U. dann wieder neu konfiguriert werden (dauert wenige Minuten).
Die meisten Geräte vertragen Dauerbetrieb wesentlich besser als ständiges Ein- und Ausschalten, verbraten aber dann ständig Energie, die ungefähre Watt-Zahl sollte im Handbuch stehen.

Hermann_Schaefer · 16. August 2008 um 23:35

Soetwas würde ich aber schon als Mangel des AP ansehen.

Warum wäre das, deiner Meinung nach, ein Mangel des
Access-Points?

Theorie und Praxis…
Diese Geräte sichern ihre Einstellungen in einem Speicher, der auch ohne Strom seinen Inhalt behält - zumindest sollte. Es kommt immer wieder vor, daß Geräte nach dem Einschalten rumzicken und teilweise ihre komplette Konfiguration „vergessen“ haben, ist mir auch schon mit „edlen“ Ciscos passiert, also nicht unbedingt ein Merkmal von billig.
Das passiert aber eher sehr selten. Sollte es dann tatsächlich öfters passieren, wäre das Wort „Mangel“ aber durchaus passend.

Spatzi · 18. August 2008 um 15:40

Hallo, Hermann

Vermutlich meinte er damit nicht eure Daten auf den Rechnern,
sondern die Konfiguration es APs.

davon ging ich auch aus.

Das ständige Ein- und
Ausschalten vertragen die nicht immer, kaputt geht dabei aber
nichts, nur muss das Gerät u.U. dann wieder neu konfiguriert
werden (dauert wenige Minuten).

Für einen Profi dauert die Konfiguration vielleicht nur wenige Minuten, aber für einen Laien?
Kann man die bisherigen Einstellungen eigentlich irgendwie sichern?

Die meisten Geräte vertragen Dauerbetrieb wesentlich besser
als ständiges Ein- und Ausschalten, verbraten aber dann
ständig Energie, die ungefähre Watt-Zahl sollte im Handbuch
stehen.

Vielen Dank für deine Antworten, Hermann!

Gruß
karin

Spatzi · 18. August 2008 um 15:50

Hallo, Hermann

Diese Geräte sichern ihre Einstellungen in einem Speicher, der
auch ohne Strom seinen Inhalt behält - zumindest sollte. Es
kommt immer wieder vor, daß Geräte nach dem Einschalten
rumzicken und teilweise ihre komplette Konfiguration
„vergessen“ haben, ist mir auch schon mit „edlen“ Ciscos
passiert, also nicht unbedingt ein Merkmal von billig.
Das passiert aber eher sehr selten. Sollte es dann tatsächlich
öfters passieren, wäre das Wort „Mangel“ aber durchaus
passend.

deine Erklärungen sind sehr aufschlussreich!
Vielen Dank!

Gruß
karin