Wlan

Snej · 23. Mai 2007 um 08:13

Hallo,

habe den T-Com Router Speedport W700 V.
Ich habe nun WPA / WPA2 eingestellt. Meine Frage ist nun, ob nur WPA2 sicherer ist.
Weiterhin ist auf den Router eine individuelle SSID und ein PSK eingestellt. Sollte ich beides ändern, nur den PSK oder ist das so i.O.?

danke!

shuber2 · 23. Mai 2007 um 10:10

Mir sind keine Angriffe bekannt, die auf Schwachstellen von WPA/WPA2 selbst beruhen. Allerdings gilt immer, dass auch WPA2 nichts bringt, wenn das Passwort schwach ist. Insbesondere sollte es nicht das Passwort vom Werk sein. Auch sollte man die Standard-Regeln für sichere Passwörter beachten:

Lange Passwörter
Nicht nur Buchstaben, auch Zahlen und Sonderzeichen
Keine Wörter die auf Wörterbücher beruhen

Little_H · 23. Mai 2007 um 12:47

Hy,

Auch sollte man

die Standard-Regeln für sichere Passwörter beachten:

Lange Passwörter

Nicht nur Buchstaben, auch Zahlen und Sonderzeichen

Keine Wörter die auf Wörterbücher beruhen

Hier noch einige Zusätzliche Quellen:

http://aktuell.de.selfhtml.org/artikel/gedanken/pass…

http://www.gsi.de/informationen/services/security/pa…

gruß
h.

Fritze · 23. Mai 2007 um 17:18

Hallo,

Mir sind keine Angriffe bekannt, die auf Schwachstellen von
WPA/WPA2 selbst beruhen. Allerdings gilt immer, dass auch WPA2
nichts bringt, wenn das Passwort schwach ist.

Das trifft ja nur auf WPA2 in Verbindung mit einem sog. „pre shared
key“ zu. WPA2 EAP hat diese Schwäche generell nicht.

Es hat übrigens wenig Sinn besonders lange Passworte zu verlangen,
wenn die Entropie nicht stimmt. Ein komplett zufälliges 12 Zeichen
langes Passwort ist sicherer, als ein 30 Zeichen Passwort mit
geringer Entropie.

Daher sollte man sich bei WPA/WPA2 eines guten Passwortgenerators
bemühen, das Passwort muss ja nur einmal (bzw. zweimal zur
Verifizierung) pro Gerät eingegeben werden.

Menschen sind generell nur sehr schlecht dazu in der Lage, zufällige
Passworte zu erzeugen! Siehe dazu auch
http://csrc.nist.gov/publications/nistpubs/800-63/SP…,
Seite 46.

Passwortgeneratoren findet man viele.
https://www.grc.com/passwords.htm ist einer davon.

Gruß

Fritze

shuber2 · 24. Mai 2007 um 09:58

Hallo Fritze.

Stimme ich dir prinzipiell schon zu, aber:

Das trifft ja nur auf WPA2 in Verbindung mit einem sog. „pre
shared
key“ zu. WPA2 EAP hat diese Schwäche generell nicht.

Wieviele Privatanwender haben einen RADIUS-Server laufen? - Er verwendet das speedport w700V.

Es hat übrigens wenig Sinn besonders lange Passworte zu
verlangen,
wenn die Entropie nicht stimmt. Ein komplett zufälliges 12
Zeichen
langes Passwort ist sicherer, als ein 30 Zeichen Passwort mit
geringer Entropie.

Klar, aber 30 Zeichen zufällig sind besser als 12 Zeichen zufällig.

KoRn

Hajo_631101 · 24. Mai 2007 um 11:24

Hallo Snej,

also erstmal mache WPA2 an und lasse WPA aus. Dann nutze einen
PreShared Key der lang und aus Buchstaben (Groß und klein),
Zahlen und Sonderzeichen besteht. Keine zusammenhängenden
Wörter nutzen. Dann lasse dein WLAN nicht nach ausßen funken,
also wenns geht SSID nicht nach außen funken lassen. Dann noch
den MAC Filter an und feste IP vergeben. Dann biste auf einer
guten sicheren Seite.

Gruß
Hajo

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Fritze · 24. Mai 2007 um 11:41

Hallo

Klar, aber 30 Zeichen zufällig sind besser als 12 Zeichen
zufällig.

Aber 30 Zeichen „zufällig“ von einem Menschen ausgewählt sind
schlechter als 12 Zeichen wirklich zufällig ausgewählt.

So liefert Dir das von mir angegebene Paper statistische Analyse von
Passwortlängen bei verschiedenen Passwortregeln (Auch Großbuchstaben
und Sonderzeichen z.B.) und die daraus resultierende Entropie.

Ein zufälliges 12 Zeichen Passwort hat demnach eine Entropie von 79,
ein 30 Zeichen „zufällig“ vom Menschen ausgewähltes Passwort *trotz*
der Regel „auch Großbuchstaben und Sonderzeichen müssen drin sein“
kommt auf eine Entropie von 52. Selbst ein 40 Zeichen Passwort ist
mit einer Entropie von 62 unter dem 12 Zeichen zufälligen Passwort!
Bereits 8 wirklich zufällige Zeichen haben eine höhere Entropie als
30 menschlich ausgewählte Zeichen. 52.7 vs. 52.

Die Regeln zur Passworterzeugung von Menschen sind daher größtenteils
kontraproduktiv, weil kaum ein Mehr an Entropie der Gefahr
gegenübersteht, dass sich Menschen ihr Passwort lieber auf ein PostIt
schreiben und in die Schublade legen.

Sinnvoller ist es da schon, die Anzahl der Versuche inzuschränken,
bis ein Account vorübergehend gesperrt wird. Das birgt allerdings
wieder die Gefahr eines DoS gegen die Passworteingabe.

Du siehst, die Entscheidung ist nicht wirklich einfach. Fest steht
aber, dass Menschen verdammt schlechte Zufallsgeneratoren sind

Gruß

Fritze

Fritze · 24. Mai 2007 um 11:49

Hallo Hajo,

also erstmal mache WPA2 an und lasse WPA aus. Dann nutze einen
PreShared Key der lang und aus Buchstaben (Groß und klein),
Zahlen und Sonderzeichen besteht. Keine zusammenhängenden
Wörter nutzen.

Zur sinnvollen Auswahl eines Passwortes habe ich ja bereits weiter
Unten was geschrieben.

Dann lasse dein WLAN nicht nach ausßen funken,

Was soll denn der Hinweis? Wenn ich mein WLAN nicht „nach außen
funken“ lasse, dann habe ich kein WLAN.

also wenns geht SSID nicht nach außen funken lassen.

Ach so. Keine SSID senden. Was genau soll das bringen? Das WLAN ist
mit oder ohne SSID für jedermann zu sehen, weil es nunmal „nach außen
funkt“.

Dann noch den MAC Filter an und feste IP vergeben. Dann biste auf
einer guten sicheren Seite.

Auch das ist eine bestenfalls als „Verschleierung“ zu bezeichnende
Maßnahme, weil nichts schneller zu fälschen ist, als eine MAC.

Mit anderen Worten: Wenn man WPA2 mit pre shared key betreibt, dann
sollte man ein wirklich zufälliges Passwort wählen und das war’s
dann.

Gruß

Fritze

Hajo_631101 · 25. Mai 2007 um 09:52

Hallo Fritze,

klar hattest du schon etwas über das Passwort geschrieben. Aber ich
wollte mal alles in einem Beitrag rein schreiben und nicht stückchen
weise.

Zu deinen Äußerungen warum man SSID versteckt, wie willst du an das
Netzwerk ran kommen, wenn du nicht die SSID des Netzwerkes hast? Denn
ohne die bekommst du zwar gezeigt das da eins ist, aber du hast kaum
Möglichkeiten was brauchbares zu nutzen, gerade wenn dann noch ein
AES-WPA2 Schlüssel verwendet wird. Und die MAC ist nur dazu da das
nur dieser PC mit der MAC auf den Router kommt. Klar kann man die MAC
ändern, aber auch das ist zusätzliche arbeit.

Vorallem sollte man alle Möglichkeiten nutzen die man hat um sein
Netzwerk zu sichern. Wenn man schon die Möglichkeiten hat sollte man
die auch nutzen.

Gruß
Hajo

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Fritze · 25. Mai 2007 um 13:14

Hallo,

Zu deinen Äußerungen warum man SSID versteckt, wie willst du
an das Netzwerk ran kommen, wenn du nicht die SSID des Netzwerkes
hast?

Die „versteckte“ SSID wird bei jedem Verbindungsaufbau mit einem legitimen Client übertragen. Schwups ist sie nicht mehr „versteckt“. Das macht Kismet z.B. automatisch für Dich. Genauso wie MAC Adresse rausfiltern und ggf. WEP keys „knacken“. Darum sind dies sinnlose Sicherheitsmaßnahmen.

Das einzig sinnvolle ist ein guter WPA2 PSK. Dann kannst Du Dir den Rest aber getrost schenken.

Gruß

Fritze