Bei einem reinen W-LAN hast du natürlich recht.
Ich war die ganze Zeit bei
da ich ein heterogenes Netz bevorzugen würde. Arbeitsstationen mit festen Standorten bekommen auch eine feste Kabelverbindung - und die belauscht du dann auch nicht. W-LAN nur zusätzlich für mobile Geräte.
Habe ich beides schon was zu gesagt, daß es dennoch möglich ist, ich schreibe das jetzt nicht nochmal.
Ich habe das immer nur zusätzlich empfohlen.
Und das stimmt eben nicht. Du sagst ‚Naja, auf WPA2 allein verlasse ich micht nicht. Wenn bei mir was schief geht, habe ich ja immerhin meine Windowsfreigaben eingeschränkt.‘
Nunja, wäre für mich zusätzlich. Wie würdest du denn
„zusätzlich“ definieren?
Etwas was in irgendeinerweise meine Kommunikation schützt. Windowsfreigaben sind nicht 100% der Kommunikation in Deinem Netz (schätze ich mal). Habe ich aber auch schon gesagt, daß man SÄMTLICHE nicht End-zu-End verschlüsselte Kommunikation mitbekommen kann in dem Fall. Schreibe ich auch nicht nochmal auf.
Aber das hilft Dir nicht, wenn ein Bössewicht dann SÄMMTLICHEN Traffic in Deinem Netz mitschneiden kann, Deine E-Mails mitliest oder sonstige Dienste entführt.
Unbestritten (in einem reinen W-LAN bzw. bei Rechnern, die per
W-LAN ans LAN engebunden sind) - bleibt die Frage nach dem
Sinn/Gefährungspotential. Um meine email mitzulesen gäbe es
auch noch andere Möglichkeiten. Daher läuft email bei mir nur
verschlüsselt.
Natürlich kann er meine Up- und Downloads mitschneiden,
außerdem meine aufgerufenen Webseiten. Das würde mir nicht
gefallen, aber ich kann da jetzt erst mal keinen unmittelbaren
Schaden erkennen. Außer bei meinem eBay-Passwort, aber das
wird ja auch verschlüsselt übertragen.
Wurde Dir an anderer Stelle mit dem Amazonbeispiel gesagt, daß man dir die Session ID klauen kann.
Ächz.
Sorry, aber dafür fehlen mir jetzt sowohl Zeit als auch
Nerven.
Mag sein, das das naiv klingt, aber ich geh schon davon aus,
das die gängigen Sicherheitsmaßnahmen der
Freigaben/Zugriffsberechtigungen unter Windows gegen sowas
dicht sind. Denn andernfalls könnte sich jeder
interessierte und halbwegs begabte (bzw.
weiterbildungsbereite) Mitarbeiter mit einem Firmen-Laptop in
einem W-LAN Zugriff auf die Buchhaltungsdaten oder die Daten
der Forschungsabteilung beschaffen. Und in Anbetracht der
Anzahl der weltweit installierten Windowsnetze wäre das schon
mehrfach ein Thema bei den einschlägigen
Webseiten/RTL-Explosiv-Formaten etc. gewesen.
Tja, ich habe in solchen Angelegenheiten viel Zeit. Und von der Webseite von Mircosoft Germany…
http://www.microsoft.com/germany/technet/itsolutions…
…habe ich folgenden Absatz:
Bevor eine Zugriffssteuerung greifen kann, muss die Authentifizierung erfolgreich durchlaufen werden. Dieser Authentifizierungsprozess existiert seit den frühesten LDAP-Versionen.
In der Terminologie von LDAP spricht man von einer Bindung an das Verzeichnis. Benötigte Parameter für eine Bindung sind der Benutzername in Form eines DN und ein Passwort (Credential). Zur Erfüllung verschiedener Ansprüche an die Sicherheitsstufen gibt es folgende grobe Einteilung der Authentifizierung:
•
Keine Authentifizierung wird beispielsweise verwendet bei öffentlich lesbaren Verzeichnissen. Durch Übergabe eines leeren Benutzernamens und eines leeren Passwortes kann ein LDAP-Client eine anonyme Anmeldung erfragen.
•
Bei der normalen Authentifizierung (Basic Authentication) wird der Benutzer durch den Benutzernamen in Form eines DNs und ein Klartext-Passwort gegenüber dem Verzeichnisdienst identifiziert. Diese Variante bietet keinen Schutz gegen das Abhören und den Missbrauch der übermittelten Daten im Netzwerk.
•
Die sichere Authentifizierung bietet durch die Implementierung von SASL (Simple Authentication and Security Layer, RFC 2222) ein erweiterbares Framework zur Authentifizierung. Verschiedene Sicherheitsmethoden wie Kerberos, S/Key oder SSL/TLS (Secure Sockets Layer/Transport Layer Security) lassen sich einbinden. Bei Verwendung entsprechender Sicherheitsmodule wie beispielsweise SSL ist eine beidseitige verschlüsselte Authentifizierung mit anschließendem verschlüsselten Datenverkehr möglich. Bei Sicherheitsmethoden, die auf Public-/Private-Key-Algorithmen basieren, lassen sich die benötigten Zertifikate sinnvollerweise im LDAP-Verzeichnis ablegen.
Im folgenden werden noch weiter Verschlüsselungsmöglichkeiten erwähnt, wie z.B. Kerberos. Das heiß man KANN es verschlüsseln, das ist es aber von allein nicht. Du bist dran…
Nein. Du sagst, daß es Dir nichts macht, wenn jemand in dein WLAN eindringt, weil Du ja Deine Windowsfreigaben nicht für alle offen hast. Was darüberhinaus da noch dranhängt
Was hängt noch dran?
Also, außer email und webzugriffe?
Alles was es in Deinem LAN an Diensten gibt.
und daß es aus der Position eben relativ leicht ist, an Deine gesicherten Freigaben heranzukommen übersiehst Du aber.
Das wäre ein absolutes Verbot von W-LAN in allen
(Windows?)-Firmen-Netzen, weil jeder Mitarbeiter könnte, wenn
er nur wollte. Wie gesagt, das glaube ich erst bei
Beweis. Und dann würde ich noch in der gleichen Minute die
Antenne des Routers abreissen.
Mitarbeiter in Firmen sind etwas anderes, als fremde von der Straße. Netzwerke in Firmen, genügen anderen Ansprüchen, als ein Heimnetzwerk. Jedenfalls ab einer Firmengröße, vom Mittelstand reden wir mal nicht, da ist das alles eher behelfsmäßig.
Aber ich lasse Dich mal in Deiner eigenen kleinen Welt, meine Argumentation nochmal zu wiederholen ist mir zu müßig.