Hallo,
ich habe vor, DSL anzuschaffen, und zwar hat mir die Telekom die Eumex 504 PC se zusammen mit dem T-Sinus 111 DSL ans Herz gelegt.
Nun habe ich neulich im Fernsehen einen Horrobericht gesehen, in dem gezeigt wurde, wie einfach jeder über einen Laptop sich bei einem einschleichen kann (Datenverfolgung, auf meine Kosten surfen, etc.) Ist da was bei obiger Kombination zu befürchten?
Danke für jeden Tipp.
Gedanken zur Sicherheit von wireless LAN
Hallo,
Nun habe ich neulich im Fernsehen einen Horrobericht gesehen,
in dem gezeigt wurde, wie einfach jeder über einen Laptop sich
bei einem einschleichen kann (Datenverfolgung, auf meine
Kosten surfen, etc.) Ist da was bei obiger Kombination zu
befürchten?
Das grundsätzliche Problem
wireless LAN oder wLAN zeichnet sich dadurch aus, daß es - wie der Name schon sagt - kabellos ist, also ein Funknetzwerk darstellt. Daraus ergibt sich, daß daran per se erstmal jeder dran teilnehmen kann, der in Reichweite dieses Funknetzwerkes ist und selbst mit einer wLAN-Karte ausgestattet ist.
Was bedeutet das?
Die Reichweite ist sehr unterschiedlich, grundsätzlich kann man wohl sagen, daß bei einem Netzwerk jeder, der in einem Auto vor dem Haus auf der Strasse sitzt, in Empfangsreichweite sitzt.
Solch eine Person hat also - zunächst auf Layer 1, also auf Hardware-Ebene - eine Verbindung mit Deinem Netzwerk. Bei einem Kabelnetzwerk wäre eine vergleichbare Situation, daß ein potentieller Angreifer sein Netzwerkkabel an einen freien Port in Deinem Hub gesteckt hat.
Nun kann diese Person auf Layer 2, also Verbindungs-Ebene eine Verbindung herstellen. Sie kann Daten mitlesen und Daten an andere Netzwerkknoten senden.
Zum Beispiel kann sie sich anschauen, welche IP-Adressen auf Layer 3, also Netzwerkebene bei Dir benutzt werden, sich eine freie aus diesem Netz (oder eine Benutzte, z.B. von Deinem Server) vergeben und fröhlich mitspielen - Deine Daten lesen, Deine Internetverbindung nutzen, Deine Rechner angreifen.
vermeintliche Schutzmaßnahmen
Den „Konstrukteuren“ von wLAN war diese Gefahr bewusst, deshalb haben sie einige Schutzmechanismen mit eingebaut. An erster Stelle ist hier zu nennen
WEP - wire equivalent privacy
WEP soll eine dem Kabelnetzwerk vergleichbare Sicherheit herstellen. Dazu wird Kryptographie eingesetzt, also Verschlüsselung. Leider wurde diese Verschlüsselung unbrauchbar implementiert - so werden von den 128 bzw. 64 Bits des Schlüssels lediglich 104 bzw 40 Bit tatsächlich als Schlüssel benutzt, die restlichen 24 bit gehen als „Initialisierungsvektor“ drauf, der vorhersehbar ist. Und damit nicht genug, nein, sogar der gesamte Schlüssel ist berechenbar. Dazu ist ein gewisser Aufwand notwendig, es gibt jedoch Programme, die einem diesen abnehmen, so daß die einzige Investition für den Angreifer Zeit und Rechenleistung ist - mit einem herkömmlichen Laptop kein Problem. WEP ist also kein wirklicher Schutz, zumal die Schlüssel (es gibt max. vier verschiedene pro Netzwerk) alle von Hand fest gespeichert werden müssen. Dann gibt es noch die sogen.
SSID
Das ist gewissermaßen der Netzwerkname - nur wer diesen kennt, darf mitfunken. Leider wird die SSID im Klartext übertragen, kann also von jedem erlauscht werden. Man kann zwar das „in-die-Welt-schreien“ der SSID durch den Access Point abstellen, aber mindestens, wenn sich ein Knoten neu anmeldet, muß er sie übertragen. Die Standardeinstellungen der Hersteller sind weithin bekannt. Aufwand für den Angreifer hier wieder: lediglich etwas Zeit.
MAC-Adressen-Filter
Viele Hersteller bieten die Möglichkeit, nur ausgewählte MAC-Adressen am (sendenden!) Verkehr teilhaben zu lassen. Leider müssen diese von Hand eingetragen werden, was mühsam ist, und sind ebenfalls von einem Angreifer leicht erlauschbar. Er muß nun lediglich eine der erlauschten MAC-Adressen seiner wLAN-Karte zuweisen, und schon ist er mit im Spiel. Aufwand: Quasi keiner.
FAZIT
Die standardmäßigen Schutzmaßnahmen greifen allesamt nicht. Ein Angreifer kann leicht das Netzwerk kompromittieren - was er dann an Schaden anrichten kann, hängt von der Konfiguration der Netzwerkknoten in diesem Netz ab, bei den üblichen Windows-Heimnetzen mit Standard-DSL-Router kann er leicht so ziemlich alles tun, was er will (Auch und gerade hier helfen Personal Firewalls quasi gar nicht!).
Also was tun?
Zum Glück _kann_ man sich schützen. Vorher allerdings sollte man sich überlegen, wie groß das Risiko tatsächlich ist - Wardriver (Szeneausdruck für wLAN-Cracker) sind eigentlich nicht so sehr an kleinen Privatnetzen interessiert, andererseits weiß man nicht, ob nicht in der Nachbarschaft doch ein Interessierter wohnt, der sich über einen gratis Internetzugang freut… An Schutzmöglichkeiten gibt es folgendes:
VPN - virtuelle private Netze
Wenn man ein VPN über das gesamte wLAN legt, kann man sicher den größten Teil der Risiken abfackeln, da VPNs idR funktionierende Kryptographie verwenden und sämtlichen Verkehr zuverlässig verschlüsseln. Das hat allerdings ein paar Nachteile: VPNs sind schwer einzurichten, und alle Geräte (auch der Router!) müssen sie unterstützen.
herstellerspezifische Mechanismen
Einige Hersteller (ich kenne mich da nur mit Cisco aus) haben eigene Mechanismen entwickelt, um die Probleme zu beheben, indem sie bspw. dynamische Schlüssel verwenden, starke Autentifizierungsmechanismen benutzen etc. Das hilft ohne Zweifel, allerdings sind diese Erweiterungen nicht Teil des Standards, funktionieren also nur, wenn man ausschliesslich Komponenten dieses Hersteller verwendet.
FAZIT
Man kann nur jedem raten, es den „bösen Buben“ so schwer wie möglich zu machen, also
und muß trotzdem damit leben, daß man trotz alldem nicht gefeiht ist vor erfolgreichen Angriffsversuchen. Echte Sicherheit ist nur mit echtem Aufwand (von Zeit, Wissen, Geld) zu erreichen, der sich für die meisten Privatleute nicht lohnen wird.
Die einfache, schnelle, sichere und billige Lösung gibt es nicht.
Gruß,
Malte.
Hallo,
Nun habe ich neulich im Fernsehen einen Horrobericht gesehen,
in dem gezeigt wurde, wie einfach jeder über einen Laptop sich
bei einem einschleichen kann (Datenverfolgung, auf meine
Kosten surfen, etc.) Ist da was bei obiger Kombination zu
befürchten?
Wenn du dich nicht schützt, dann schon. Also WEP-Verschlüsselung und MAC-Authentifzierung sollten bei Privatleuten ohne wichtige Daten ausreichen, um gegen o.g. Dinge halbwegs sicher zu sein.
Mit etwas Aufwand ist aber ein Entschlüsseln deiner Daten möglich. Mit mehr Aufwand kannst du dich aber auch besser schützen.
Wenns geht, würde ich mir an deiner Stelle aber schauen, dass der Accesspoint WPA (Wi-Fi Protected Access) unterstützt, quasi den Nachfolger von WEP, dass würde dein Sicherheitsniveau schon mal drastisch steigern.
mfg
deconstruct
^^^Wär’ doch was für die FAQ!^^^ (o.T.)
(Wäre schade, wenn das im Archiv verschwindet)
Schöner Beitrag. Danke sehr.
Wenn man ein VPN über das gesamte wLAN legt, kann man sicher
den größten Teil der Risiken abfackeln, da VPNs idR
funktionierende Kryptographie verwenden und sämtlichen Verkehr
zuverlässig verschlüsseln. Das hat allerdings ein paar
Nachteile: VPNs sind schwer einzurichten, und alle Geräte
(auch der Router!) müssen sie unterstützen.
VPN ist doch letztendlich kaum machbar. Denn es hilft ja wenig,
entsprechendes Zeugs auf dem PC zu installieren, wenn man nicht eine
Gegenstelle hat, und zum normalen Surfen im Internet ist das nun mal
der eigene Router.
Welcher der handelsüblichen und bezahlbaren Soho-Router bietet denn
Mechanismen wie IPSec an? Meine alte Zyxel-Schüssel tut das
jedenfalls nicht, und wenn ich mir so die Produkte von Belkin oder
Dlink ansehe, dann kann ich da auch nichts Entsprechendes entdecken.
Sicherlich hat Cisco entsprechende Produkte, nur kostet schon eine
kleine PIX knappe 400 Dinger, und es ist dank IOS für jeden Anfänger
bestimmt eine wahre Freude, das Ding zu konfigurieren. Und es wäre
für mich schon spannend zu sehen, wie denn das mit meinem Mac zum
Laufen bekomme.
Also, VPN ja, aber wie? Sollte man sich vielleicht bei einem Provider
einen Squid einrichten und dort den VPN-Peer (FreeSwan oder so)
installieren? Ich glaube, das wäre wohl mit Kanonen auf Spatzen
geschossen, würde auch nur das HTTP abdecken und ist nicht nur für
Anfänger ein echter Klotz.
VPN hilft nur noch dann, wenn ich mindestens zwei Rechner habe, die
im eigenen LAN untereinander verschlüsselt kommunizieren sollen.
Das könnte ich mir noch gerade vorstellen.
Gleichzeitig schützt das alles nicht vor dem „Mitsurfen“ anderer
Buben (wenn wir mal von der PIX absehen, die wohl keiner von uns zu
Hause stehen hat). Zwar fällt das bei einer Flatrate nicht ins
Gewicht, aber wenn erstmal jemand anfängt, MyDoom.c oder Bilder mit
kleinen nackten Jungs über meinen Access Point zu verbreiten, dann
werde ich sicherlich nicht schlecht staunen, wenn die
Staatsanwaltschaft meinen Rechner einpackt und die BILD-
Zeitung meine Visage auf der Titelseite abdruckt…
Ich halte bislang wenig (besser: nix) von dem VPN-Vorschlag, weil ich
nicht sehe, wie man ihn praktisch umsetzen kann.
Stefan
Hallo,
abgesehen davon, das Deine Ausführungen (fast) richtig sind ist natürlich bei den Überlegungen zu beachten, das der Otto-Normalverbraucher bestimmt nicht den Aufwand betreiben mag, der hier angesprochen ist. Wenn es hiernach ginge würde das normale Tüerschloss an der Haustür auch nicht sicher sein, weil es auch leicht zu überwinden ist (hierzu gab es auch schon genug Fernsehberichte). Also dürfte man hier eigentlich auch nur mit einer Stahltür und vergitterten Fenstern leben 
WEP, Mac-Filterung und Abschalten des SSID-Broadcast ist für den Normalbenutzer mit einem kleinen Heimnetzwerk von 2-3 Rechnern imho ausreichend. Alles weitere ist natürlich besser aber auch eher für den technisch versierteren User geeignet.
Wardriver (Szeneausdruck für wLAN-Cracker) sind eigentlich
Stop. Hier ein Einwand! Wardriver haben nichts mit Crackern, Hackern oder sonstigen halbseidenen Computer Geeks und Nerds zu tun
Wardriver fallen eher in dieselbe Sparte wie Geocacher.
Man ist nur auf der Suche nach netzen um Sie zu kartografieren. Weiter nichts!
weitere Infos:
http://wardriving.agssucks.com/docs/ethik_wardriving…
http://www.wlanhacker.de/wardriving.html
http://www.wardriving.ch/html/zweck.html
http://www.wardriving-forum.de
- die SSID nicht auf dem Standardwert zu lassen
s.o. : SSID-Broadcast abschalten.
- die Schlüssel regelmäßig zu ändern
Ich nehme an der WEP-Schlüssel
Die einfache, schnelle, sichere und billige Lösung gibt es
nicht.
Naja, eigentlich doch: Sobald man aus dem Haus geht einfach ausschalten! Spart Ärger und obendrein noch Strom
Gruß
h.
[FAQ:1349] Wie sicher ist mein wireless LAN?
Hallo Malte,
ich habe mir erlaubt, Deinen Artikel als Basis für die erste wLAN FAQ zu nehmen:
Wie sicher ist mein wireless LAN (wLAN)? [FAQ:1349]
@All:
Da ich in Bezug auf wLAN nur wenig eigene Erfahrungen habe, bin ich hier für FAQ-Material besonders dankbar. Ergänzungen, Korrekturen, Anregungen sind also sehr willkommen!
CU
Markus
Schöner Beitrag. Danke sehr.
In der Tat.
VPN ist doch letztendlich kaum machbar. Denn es hilft ja wenig,
entsprechendes Zeugs auf dem PC zu installieren, wenn man nicht eine
Gegenstelle hat, und zum normalen Surfen im Internet ist das nun mal
der eigene Router.Welcher der handelsüblichen und bezahlbaren Soho-Router bietet denn
Mechanismen wie IPSec an? Meine alte Zyxel-Schüssel tut das
jedenfalls nicht, und wenn ich mir so die Produkte von Belkin oder
Dlink ansehe, dann kann ich da auch nichts Entsprechendes entdecken.
Ich kenne auch keinen.
Sicherlich hat Cisco entsprechende Produkte, nur kostet schon eine
kleine PIX knappe 400 Dinger, und es ist dank IOS für jeden Anfänger
bestimmt eine wahre Freude, das Ding zu konfigurieren. Und es wäre
für mich schon spannend zu sehen, wie denn das mit meinem Mac zum
Laufen bekomme.
Was hast Du auch so exotische hardware… (SCNR .
Also, VPN ja, aber wie? Sollte man sich vielleicht bei einem Provider
einen Squid einrichten und dort den VPN-Peer (FreeSwan oder so)
installieren? Ich glaube, das wäre wohl mit Kanonen auf Spatzen
geschossen, würde auch nur das HTTP abdecken und ist nicht nur für
Anfänger ein echter Klotz.
Wie waere es, wenn die provider VPN anbieten wuerden. Insbesondere die, die WLAN mit verkaufen wollen. Dann staende das VPN vom Endnutzer bis zum gateway bein provider. Die Administration waere auch dem provider ueberlassen, der sich (hoffentlich) mit sowas auskennt. Weiterer Vorteil: handelsuebliche Funkhardware.
VPN hilft nur noch dann, wenn ich mindestens zwei Rechner habe, die
im eigenen LAN untereinander verschlüsselt kommunizieren sollen.
Das könnte ich mir noch gerade vorstellen.
Richtig, das VPN muss mindestens vom uplink bis in den eigenen Rechner reichen.
Gleichzeitig schützt das alles nicht vor dem „Mitsurfen“ anderer
Buben.
Doch: wenn vom VPN gateway alle unautorisierten Verbindungsversuche weggeworfen/speziell behandelt werden.
Ich halte bislang wenig (besser: nix) von dem VPN-Vorschlag, weil ich
nicht sehe, wie man ihn praktisch umsetzen kann.
Und statt dessen? Augen zu und machen lassen? Ich kann ja Deine Kritikpunkte durchaus verstehen, aber WEP ist nun mal nicht mehr als obfuscation. 500MB traffic gehen heutzutage innerhalb einer Woche ueber einen durchschnittlichen filesharing uplink. Und einmal die Woche rumrennen und die keys auf dem AP und allen clients aendern… Du weisst, wie gut das beim normalen Enduser funktionieren wird.
Ich halte es fuer sinnvoller, auf die Unzulaenglichkeiten der derzeit gebraeuchlichen Verschluesselungsmethoden hinzuweisen. Mittlerweile hab ich ja zunehmend auch die Medien ueberzeugt , vielleicht spricht es sich auch mal bis zu den providern bzw. AP-Herstellern rum, dass Sicherheit ein absatzsteigerndes feature sein koennte. Schliesslich liegt es auch in ihrem Interesse, Schwarzsurfer auszusperren, weil ihnen so Kunden entgehen. Moeglichkeiten, sowas anzubieten existieren (zumindest bei den providern), muessen eigentlich ‚nur‘ noch implementiert werden.
Gruss vom Frank.
VPM at home?
Hallo
Ich halte bislang wenig (besser: nix) von dem VPN-Vorschlag,
weil ich
nicht sehe, wie man ihn praktisch umsetzen kann.
Wenn Du mindestens einen drahtgebundenen rechner hast, kannst Du sowas wie CIPE aufsetzen. So als Beispiel.
Das kannst Du auch mit nur drahtlosen Kisten machen, um untereinander Windows-Shares zu teilen. Der Internet-Traffic läuft weider unverschlüsselt (oder kaumverschlüsselt), aber der ist ohnehin prinzipiell öffentlich. Nur gegen unbefugte Nutzung taugt das ohne einen festen Rechner noch nicht.
Gruß,
Sebastian
Hallo,
Wenns geht, würde ich mir an deiner Stelle aber schauen, dass
der Accesspoint WPA (Wi-Fi Protected Access) unterstützt,
quasi den Nachfolger von WEP, dass würde dein
Sicherheitsniveau schon mal drastisch steigern.
Magst Du nicht kurz erklären, was WPA ist und was es tut? Ich weiß das nämlich nicht (ist ne Weile her, daß ich mich mit wLAN beschäftigt habe) und Marcus könnte das bestimmt in die FAQ mit einbauen.
Gruß,
Malte.
Hallo,
abgesehen davon, das Deine Ausführungen (fast) richtig sind
ist natürlich bei den Überlegungen zu beachten, das der
Otto-Normalverbraucher bestimmt nicht den Aufwand betreiben
mag, der hier angesprochen ist.
Naja, genau das ist ja auch mein Fazit…
WEP, Mac-Filterung und Abschalten des SSID-Broadcast ist für
den Normalbenutzer mit einem kleinen Heimnetzwerk von 2-3
Rechnern imho ausreichend.
Naja, inwiefern ausreichend? Diese drei bieten keinen Schutz!
Wardriver (Szeneausdruck für wLAN-Cracker) sind eigentlich
Stop. Hier ein Einwand! Wardriver haben nichts mit Crackern,
Hackern oder sonstigen halbseidenen Computer Geeks und Nerds
zu tun
Stop. Hier ein Einwand! Hacker haben nichts mit „halbseiden“ zu tun. Sie sind „kreativ“.
Grüße,
Malte.
Hallo,
VPN ist doch letztendlich kaum machbar. Denn es hilft ja wenig,
entsprechendes Zeugs auf dem PC zu installieren, wenn man
nicht eine Gegenstelle hat, und zum normalen Surfen im Internet ist das
nun mal der eigene Router.
Ja, bei mir mein Desktop-PC. Der kann - theoretisch - auch wLAN und VPN.
Aber es stimmt schon…
Welcher der handelsüblichen und bezahlbaren Soho-Router bietet
denn Mechanismen wie IPSec an? Meine alte Zyxel-Schüssel tut das
jedenfalls nicht, und wenn ich mir so die Produkte von Belkin
oder Dlink ansehe, dann kann ich da auch nichts Entsprechendes
entdecken.
Ich auch nicht 
Sicherlich hat Cisco entsprechende Produkte, nur kostet schon
eine kleine PIX knappe 400 Dinger, und es ist dank IOS für jeden
Anfänger bestimmt eine wahre Freude, das Ding zu konfigurieren.
Sicher, deshalb ja: Ohne Geld, Zeit und Knowledge => No Security
Und es wäre für mich schon spannend zu sehen, wie denn das mit meinem Mac
zum Laufen bekomme.
Hm, mit dem Cisco VPN Client für Mac OS?
VPN hilft nur noch dann, wenn ich mindestens zwei Rechner
habe, die im eigenen LAN untereinander verschlüsselt kommunizieren
sollen. Das könnte ich mir noch gerade vorstellen.
Ist es so selten, daß „die Leute“ eben keinen Router benutzen, sondern so Sachen wie ICS oder ein Linux-Gateway? Damit kann man sowas sehr hübsch machen.
Gleichzeitig schützt das alles nicht vor dem „Mitsurfen“
anderer Buben (wenn wir mal von der PIX absehen, die wohl keiner von
uns zu Hause stehen hat).
Die anderen Gateway-Lösungen schützen da genauso vor - nur der SOHO-Router halt nicht.
Ich halte bislang wenig (besser: nix) von dem VPN-Vorschlag,
weil ich nicht sehe, wie man ihn praktisch umsetzen kann.
In jedem Szenario, in dem ein PC den Internetzugang zur Verfügung stellt, geht das.
Natürlich nur mit Zeit und Wissen - eher keine Alternative für den DIN-Internetsurfer, aber eine, die erwähnt werden sollte.
Gruß,
Malte
(der tatsächlich mal ne PIX zu Hause stehen hatte, bevor er Unix entdeckt hat )
Hy,
WEP, Mac-Filterung und Abschalten des SSID-Broadcast ist für
den Normalbenutzer mit einem kleinen Heimnetzwerk von 2-3
Rechnern imho ausreichend.Naja, inwiefern ausreichend? Diese drei bieten keinen Schutz!
Diese bieten genausoviel Schutz wie ein normales Schloss an der Haustür. Natürlich nicht gegen Script Kiddies vor dem Haus. Aber das Stop-Schild ist eindeutig rechtlich gesetzt.
Wardriver (Szeneausdruck für wLAN-Cracker) sind eigentlich
Stop. Hier ein Einwand! Wardriver haben nichts mit Crackern,
Hackern oder sonstigen halbseidenen Computer Geeks und Nerds
zu tunStop. Hier ein Einwand! Hacker haben nichts mit „halbseiden“
zu tun. Sie sind „kreativ“.
Hallo, Malte: Da steht „oder“
Jaja, ich weiss: http://people.freenet.de/Mescalin/HackersManifest.txt
Gruß
h.
Dokumentation
Hallo,
das solltest Du Dir mal gut durchlesen:
http://www.bsi.bund.de/literat/doc/wlan/wlan.pdf
Gruß
Achim
WPA
Hallo,
Magst Du nicht kurz erklären, was WPA ist und was es tut? Ich
weiß das nämlich nicht (ist ne Weile her, daß ich mich mit
wLAN beschäftigt habe) und Marcus könnte das bestimmt in die
FAQ mit einbauen.
WPA ist praktisch der Nachfolger/Erweiterer von WEP. Basieren tut es auf dem Entwurf des IEEE 802.11i Standards (der zwar noch nicht final ist, aber beide werden kompatbel sein).
WPA bietet gegenüber WEP einige drastische Verbesserungen in Sachen Sicherheit, so dass die Schwächen von WEP ausgebügelt wurden:
Genauer ist das ganze z.B. hier zu finden:
http://www.wi-fiplanet.com/tutorials/article.php/214…
mfg
deconstruct
Wenns geht, würde ich mir an deiner Stelle aber schauen, dass
der Accesspoint WPA (Wi-Fi Protected Access) unterstützt,
quasi den Nachfolger von WEP, dass würde dein
Sicherheitsniveau schon mal drastisch steigern.
Habe das T-Sinus 111 DSL gekauft, gerade WEIL es WPA unterstützt. Läuft bei mir auch unter Linux, allerdings NICHT mit der Original-Karte (Sinus 111 card) von der Telekom, weil der Linuxant Driverloader benötigt wird (und der unterstützt nur Cardbus-Karten). Habe eine ASUS WL-100g.
MfG F. Kiendl