Wie mache ich mein WLAN sicherer?

Hallo,

habe eine Fritzbox 7141 auf die ich mit einem AVM Stick zugreife. Würde gerne das WLAN sicherer machen gegen Angriffe von außen.

Hatte schon ein paar Änderungen vorgenommen, die aber angeblich recht leicht auszuhebeln sind:

Änderung 1: SSID geändert und nicht mehr bekannt gegeben (NetStumbler findet es aber trotzdem noch)
Änderung 2: max. Sendeleistung auf 12% runter gesetzt und noch „Sendeleistung automatisch auf den tatsächlichen Bedarf verringern“ aktiviert.
Änderung 3: MAC-Address-Filter aktiviert (was angeblich auch nicht wirklich was bringen soll)

Änderung 1+3 habe ich wieder rückgängig gemacht, da es nichts bringen soll. Die verringerte Sendeleistung behalte ich aber bei

Habe noch den WPA2 Schlüssel von 16 Zahlen auf über 40 Zahlen/Buchstaben-Kombi mit Groß-und Kleinschreibung geändert.
Gleiches habe ich für den Zugriff auf die Fritzbox Oberfläche gemacht.

Gibt es noch etwas was man machen kann um die Sicherheit etwas höher zu schrauben? (außer Wlan abschalten und wieder das Lan-Kabel rausholen) :wink:

Gruß

Hi,

Habe noch den WPA2 Schlüssel von 16 Zahlen auf über 40
Zahlen/Buchstaben-Kombi mit Groß-und Kleinschreibung geändert.
Gleiches habe ich für den Zugriff auf die Fritzbox Oberfläche
gemacht.

Von den ersten drei Massnahmen ist die Verminderung der Sendestaerke vermutlich noch die sinnvollste.
Insgesamt sind diese drei Massnahmen und deine WPA2 Verschluesselung mit ordentlichem Passwort aber Lichtjahre auseinander was die Sicherheit betrifft.
Von daher geniesse die volle Sendestaerke und verlass dich auf WPA2.

Gruss
rantanplan

Änderung 1: SSID geändert und nicht mehr bekannt gegeben
(NetStumbler findet es aber trotzdem noch)

Klar, denn man kann die SSID nicht wirklich ganz abschalten. Außerdem ist das „verstecken“ der SSID eher kontraproduktiv. Wieder anschalten, aber eindeutige SSID wählen, also nicht „fritz“, sondern irgend etwas ungewöhnliches („hurz1984“ oder „lkjzuiasdmnb“ oder halt etwas, was man sich merken kann wie „meingenialeswlan“). Die SSID wird als Salt bei WPA verwendet, der Name spielt also für die Rainbow-Tables eine Rolle.

Änderung 2: max. Sendeleistung auf 12% runter gesetzt und noch
„Sendeleistung automatisch auf den tatsächlichen Bedarf
verringern“ aktiviert.

Freut die Umwelt und die Nachbarn (du störst weniger), aber wird nicht so viel bringen.

Änderung 3: MAC-Address-Filter aktiviert (was angeblich auch
nicht wirklich was bringen soll)

Bringt auch nichts. MAC-Adressen kann man fälschen.

Änderung 1+3 habe ich wieder rückgängig gemacht, da es nichts
bringen soll. Die verringerte Sendeleistung behalte ich aber
bei

Sinnvolle Entscheidung, aber ich würde auch die Sendeleistung wieder hochdrehen, es sei denn du brauchst es tatsächlich nicht. Eine verringerte Sendeleistung schont theoretisch das Gerät (Endstufe wird nicht so warm) und den Stromzähler.

Habe noch den WPA2 Schlüssel von 16 Zahlen auf über 40
Zahlen/Buchstaben-Kombi mit Groß-und Kleinschreibung geändert.

16 Wäre schon grade so ausreichend, die Schreibweise ist ziemlich wurscht. Bei mehr als 14 kann man brute-force-Angriffe weitgehend ausschließen, da helfen nur Rainbow-Tables, und bei denen ist es egal, ob man bunt gemischt Zahlen und Zeichen nimmt oder etwas, was man sich besser merken kann. Ein „sdfjh4rwhf29hfh92hohff928ojfo“ ist daher nicht sicherer als „dasistmeingeheimeswlankennwortzummerken“.

Gleiches habe ich für den Zugriff auf die Fritzbox Oberfläche
gemacht.

Gibt es noch etwas was man machen kann um die Sicherheit etwas
höher zu schrauben? (außer Wlan abschalten und wieder das
Lan-Kabel rausholen) :wink:

Nein.

Gibt es noch etwas was man machen kann um die Sicherheit etwas
höher zu schrauben? (außer Wlan abschalten und wieder das
Lan-Kabel rausholen) :wink:

Nein.

Naja, Du könntest die ganze WPA2 Verschlüsselung weglassen und das ganze funkgestützte Netz durch nen VPN Tunnel verschlüsseln. Aber das lohnt sich in dem Fall meiner Meinung nach nicht. WPA2 ist hinreichend genug sicher, daß der Threadersteller ruhig schlafan kann.

Hallo

In der Regel reicht es wenn du den Mac filter an macht und mindestens eine WPA bzw WPA2 verschlüsselung benutzt.

Denn wer macht sich denn die mühe und versucht genau dein Wlan zu hacken?

Im Normalfall niemand.

Jeder der wirklich böse Absichten verfolgt wird sich einfach an nen Hotspot in der Stadt setzen und dort seine Daten sammeln wo er sie einfach so oft sogar unverschlüsselt sammeln kann.

Gruß Andi

Danke für die vielen Antworten! Ihr habt mir geholfen und ich schlaf nun auch wieder etwas ruhiger! :wink:

Viele Grüße

Huhu!

In der Regel reicht es wenn du den Mac filter an macht und
mindestens eine WPA bzw WPA2 verschlüsselung benutzt.

Mac-Adressen-Filterung läßt sich sogar einfacher aushebeln als WEP-Verschlüsselung.
Mittels z.B. Kismet oder Aircrack-NG braucht man dafür ungefähr 30 Sekunden.
(http://de.wikipedia.org/wiki/Kismet_(Sniffer)
http://de.wikipedia.org/wiki/Aircrack)

Stichwort MAC-Spoofing.
(http://de.wikipedia.org/wiki/MAC-Filter#MAC-Spoofing)

Mit dem MAC-Filter hälst du niemanden davon ab, dein Netzwerk zu benutzen, du nervst höchstens Gäste, die „mal eben kurz“ in dein W-LAN wollen.
Und wenn jemand die Rechenpower hat, deine WPA-Verschlüsselung zu knacken, dann entlockt ihm der MAC-Filter höchstens ein müdes Lächeln.

Viele Grüße!
Ph.

Rein theoretisch:

wie groß müsste denn die Rechenpower in etwa sein um WPA2 zu knacken?
Ist soviel Rechenpower für Ottonormalverbraucher überhaupt finanzierbar? Ich gehe mal davon aus, dass hier in unmittelbarer Reichweite niemand wohnt, der so eine Power auch nur annäherend hat. Von daher denke ich brauche ich mir darüber keine Gedanken zu machen, oder?

wie groß müsste denn die Rechenpower in etwa sein um WPA2 zu
knacken?

Von 1 Sekunde bis viele viele Jahre mit einem Großrechnerverbund… ^^

Die Sicherheit von WPA/WPA2 hängt von 2 Faktoren ab: Der Länge des Kennwortes und der SSID. Es gibt vorberechnete sog. Rainbow-tables für Kennwörter bis AFAIR 14 Stellen und ca. 1000 gängige SSIDs. Damit kann mit _relativ_ schnell eine Verschlüsselung knacken - aber: So eine Rainbow-Table hat mal schnell viele viele Gigabyte - und wenn die nicht im Arbeitsspeicher liegt, dauert das ganze erheblich länger. Das kann bis 50GB RAM-Bedarf gehen…
Bei sehr geringen Schlüssellängen (so bis 8 Stellen) und eine SSID wie „WLAN“ dürfte aber ein gängiges Laptop ausreichen.
Ist die SSID ungewöhnlich, und damit nicht vorberechnet, hilft nur Brute-Force. Auch mit CUDA-Clustern je nach Schlüssellänge viele Jahre. Auf der sicheren Seite ist man (noch) mit Schlüssellängen >20 Buchstaben und einer einzigartigen SSID, daran rechnet sich auch ein Großrechnercluster noch tot.

Ist soviel Rechenpower für Ottonormalverbraucher überhaupt
finanzierbar?

Mit Hilfe von GPUs (Graphikkarten) kann man das ganze sehr beschleunigen, kurze Schlüssellängen sind also durchaus ein Risiko.

Ich gehe mal davon aus, dass hier in
unmittelbarer Reichweite niemand wohnt, der so eine Power auch
nur annäherend hat. Von daher denke ich brauche ich mir
darüber keine Gedanken zu machen, oder?

Nur bei ausreichender Schlüssellänge.

Sollte ich dann als SSiD anstatt etwas einfachem wie z.B. „WLAN“ lieber sowas nehmen:

„nfurhgehzezghre879565jnkhg7erhBVGFTVI8hdfnfguh“

?

Hi,

Die Sicherheit von WPA/WPA2 hängt von 2 Faktoren ab: Der Länge
des Kennwortes und der SSID. Es gibt vorberechnete sog.
Rainbow-tables für Kennwörter bis AFAIR 14 Stellen und ca.
1000 gängige SSIDs.

das sind aber Dictionary Attacken und nicht alle moeglichen 14 Stellen Passwoerter oder?

Gruss
rantanplan

Sollte ich dann als SSiD anstatt etwas einfachem wie z.B.
„WLAN“ lieber sowas nehmen:

„nfurhgehzezghre879565jnkhg7erhBVGFTVI8hdfnfguh“

Nein, die darf schon gern menschenlesbar bleiben, nur eben eher einzigartig. ‚WLAN‘ wird es oft geben ‚elcolombianos_krasses_wlan‘ eher selten.

das sind aber Dictionary Attacken und nicht alle moeglichen 14
Stellen Passwoerter oder?

Rainbowtables sind was anderes als Dictionary Attacken:
http://de.wikipedia.org/wiki/Rainbow_table

das sind aber Dictionary Attacken und nicht alle moeglichen 14
Stellen Passwoerter oder?

Nein, daß sind… nennen wir es mal geschickte Abkürzungen über _alle_ möglichen Passwörter. Daher ist ein „chaotisches“ Kennwort auch nicht sicherer als ein einfach zu merkendes, es spielt keine Rolle.
Nachteil: Diese Vorberechnung _dauert_. Und zwar so lange, wie eine „normale“ Brute-Force-Attacke. Und da die SSID als Salt verwendet wird, gilt eine solche Tabelle auch nur für eine bestimmte SSID.
Man kann sich aus diversen Quellen vorberechnete RT runterladen, diese wurden mit Clustern und distributed computing über Monate berechnet, teilweise auch mit Spezialrechnern und mit Hilfe con GPU-Clustern. Sie helfen aber halt nur bis zu AFAIR 14 Stellen und einer der rund 1000 berechneten SSIDs.

Nein, die darf schon gern menschenlesbar bleiben, nur eben
eher einzigartig. ‚WLAN‘ wird es oft geben
‚elcolombianos_krasses_wlan‘ eher selten.

Jo, das wird gerne auch von „Admins“ unglücklich gemacht. Ein Kennwort muss nicht unmerkbar sein, nur lang genug. Und für eine SSID gilt das gleiche, Hauptsache nicht „normal“.

Man sollte allerdings dabei auch erwähnen, daß es erste Schritte gibt, WPA gänzlich auszuhebeln, nur WPA2 gilt noch als unberührt sicher. Noch ist WPA aber für Privatanwender ausreichend sicher, die denkbare und rechenintensive Entschlüsselung einzelner Datenpakete ist eher ein theoretisches Risiko. Wer kann, sollte aber schon mal auf WPA2 wechseln.

Hallo,

Hallo

Änderung 1: SSID geändert und nicht mehr bekannt gegeben
(NetStumbler findet es aber trotzdem noch)

„SSID verstecken“ bedeutet, dass dein Router seinen Namen nicht nennt und auch nur dann sendet, wenn ein Gerät im Netzwerk aktiv ist. Das heißt, wenn alle deine Rechner aus sind, dann ist dein Router wirklich versteckt, aber ansonsten kann man dich schon finden. Bringt also nur was, wenn du nicht zu Hause bist…

Änderung 2: max. Sendeleistung auf 12% runter gesetzt und noch
„Sendeleistung automatisch auf den tatsächlichen Bedarf
verringern“ aktiviert.

Wenn dein Router „leiser“ ist, dann muss dafür dein Rechner mehr schreien, heißt: dein Router braucht weniger Strom, dein Rechner aber mehr. Und es kann nervig werden, wenn du mal ein Gerät anschaffst, dass eine kleine/schwache Antenne hat oder einer deiner Gäste hat so ein Gerät.

Änderung 3: MAC-Address-Filter aktiviert (was angeblich auch
nicht wirklich was bringen soll)

Wie bereits genannt, bringt nichts.

Habe noch den WPA2 Schlüssel von 16 Zahlen auf über 40
Zahlen/Buchstaben-Kombi mit Groß-und Kleinschreibung geändert.
Gleiches habe ich für den Zugriff auf die Fritzbox Oberfläche
gemacht.

Mehr als 20 Zeichen sind nicht notwendig und die Chance, dass dein Netz (zumal es ja andere leichtere Netze in deiner Umgebung geben wird) gehackt wird, ist wirklich gering.

Gibt es noch etwas was man machen kann um die Sicherheit etwas
höher zu schrauben? (außer Wlan abschalten und wieder das
Lan-Kabel rausholen) :wink:

Ein 5 GHz n-WLAN-Netz bringt insofern ein Stück mehr Sicherheit, weil heute noch zu wenig Leute eine n-WLAN Karte in ihrem Rechner besitzen. Allerdings musst du dir dann auch so eine Karte kaufen, falls du keine hast.

Gruß pcfreak92