WEP und WPA2

[m00gy]

Ihr Lieben,

gerade stolperte ich wieder über einen Thread, indem deutlich gemacht wurde, dass die WEP-Verschlüsselung eigentlich nichts taugt und man besser auf WPA2 umsteigen solle. Nun habe ich mal eine bewusst naiv gestellte Frage an Euch:

Was bringt mir WPA2?

Ich weiß, dass diese Art der Verschlüsselung sicherer sein soll. Okay. Ich gehe also davon aus, dass der Funkverkehr damit nicht mehr so leicht entschlüsselt werden kann. Okay.

Aber:
Seht ihr wirklich eine AKUTE Gefahr, dass all überall Menschen mit Laptops, Networkstumblern und -sniffern sitzen um meinen WLAN Verkehr, der sowieso nur knapp 50m um mein Haus drumherum zu empfangen ist, zu entschlüssen? Um vielleicht meine Mails mit zu lesen? Oder meine PIN und TAN vom Onlinebanking mit zu bekommen?

Ich hab so ein bisschen das Gefühl, dass dieses "sicher, sicher, sicher muss es sein" so ein ganz kleines bisschen Panikmache ist. Oder lieg ich da grundverkehrt und sollte noch heute abend mein Netz von WEP auf WPA2 umstellen?

Belehret mich, ihr Apfeltalker.

Grüße,
m00gy

 

[DerOwie]

Also ich würde sagen, man sollte das Beste nutzen, was zur Verfügung steht.
Ob jetzt so viele umherirren und sich in Netze einhacken wollen, sei mal dahingestellt, da es auch sicher eine Standortfrage ist.

Wenn ich aber bei einer Freundin (dörfliche Gegend) das W-LAN einrichte und schon dabei ohne Hintergedanken das "W-LAN Familie Meier" zu Gesicht bekomme, sollte einem das schon Lehre genug sein. OK, hier war die SSID-Übertragung an, aber das ist ja auch kein großes Problem mehr für "die Bösen".

Fazit:
Umstellen, wenn die Hardware kompatibel ist (was eigentlich kein Problem sein sollte). Bei mir ist es leider der Nintendo DS, der nicht mit WPA2 funkt...wenn, muss ich hier halt mal kurz umstellen.

 

[Soul Monkey]

WEP gilt ja nicht umsonst als unsicher, ich würde da schon auf WPA oder gleich WPA2 umstellen.

In meinem Umfeld gibt es zwar laut Coconut Wi-Fi keine anderen WLANs, aber man weiß ja nie, ich habe Interesse daran das meine Privatsphäre auch privat bleibt und auch keiner auf meine Kosten im Internet surft.

Lesenwertes zum Thema gibt es auch bei Wikipedia WPA2 und WEP

 

[ahuebenett]

WEP hat eine eklatante Design-Schwäche die dazu führt, daß durch passives "mitlauschen" des Traffics eines WLANs der Schlüssel ermittelt werden kann. Der Aufwand hierfür ist extrem gering - der Erfolg garantiert (nach wenigen Stunden/Tagen) - und der Schaden auf deiner Seite nach Mißbrauch unter Umständen sehr hoch. Du siehst, die dringende Empfehlung, auf WPA/WPA2 umzustellen hat nichts mit Panikmache zu tun.

 

[Terminal]

Ja, ich gebe @m00gy mehr als etwas Recht. Der Industrie liegt es schwer im Magen, daß sie das WLAN-Funknetz so billig an ihre Nutzer abgeben müssen. Nun will man seiner eigenen Kundschaft mit Angstmache und Panikveranstalte das gute Gefühl von Kabelfreiheit miesmachen (man gönnt ja sonst niemandem was).

Es ist schon so echt schwer in ein Offenes WLAN ernsthaft einzudringen und Schaden anzurichten wenn man den Zugriff auf bestimmte Mac-Adressen beschränkt, die Station (SSID) unsichtbar läßt und öfter mal eine komplette NETSTAT anschaut. Mit diesem Netzwerk kann kein Fremder wirklich was anfangen, weil er kann auf keinen anderen Rechner im WLAN zugreifen und auch nicht die Internetverbindung unerlaubt mitnutzen.

Und wer es wirklich ernst meint einzudringen und Datenströme mitzulesen, für den ist WEP oder auch WPA2 kein Hindernis, der schafft es auch so. Dazu benötigt man übrigens hochsensible Technik die nicht billig ist. Und ein Laptop reicht dafür bei weitem nicht aus. Ein Kleintransporter wird dazu mindestens benötigt wenn man einigermaßen unentdeckt bleiben will. Und den kann man ja nun wirklich auf Dauer nicht übersehen.

 

[ahuebenett]

@Terminal

Sorry, aber deine beschriebenen "Sicherungsmaßnahmen" sind vollkommen nutzlos und innerhalb von Sekunden "überwunden" (wenn man überhaupt davon sprechen kann.

Access List auf Basis von MAC Adresse: ein Angreifer kann ermitteln, welche MAC Adressen mit deinem WLAN verbunden sind. Er braucht nur die MAC seiner Netzwerkkarte in eine erlaubte zu ändern.

"Unsichtbare SSID": jede WLAN Scansoftware zeigt diese SSIDs an.

Es ist im übrigen keinerlei Spezialhardware notwendig - lediglich kostenlose Software (z.B Aircrack) und ein handelsübliches Notebook.

 

[Terminal]

Ja, und genau solche Leute wie du haben nicht die geringste Ahnung davon.

Kann doch, geht doch, brau doch bloß - wenn ich das schon höre. Mach es doch, aber wenn du davor stehst, kannst du es genauso wenig wie ich. Ändere doch mal eine Hardwareadresse der Netzwerkkarte, das geht nicht ohne Lötkolben und etwas Glück muß man auch noch dabei haben.

Und nur das pure Feststellen des Ortes eines WLAN-Netzwerkes und die Anzeige im Airport-Menü bedeutet noch nicht daß man darauf zugreifen kann. Selbst wenn du einen anderen Rechner im Netz anwählst, mußt du dich immer noch als Nutzer am Rechner anmelden. Weiterhin muß auch noch Personal File Sharing oder Windows Sharing aktiviert sein und die Firewall offen.

Aber ich streite mich hier nicht um ungelegte Eier. Ich weiß, daß sich bei mir kein Fremder ins WLAN einklinken und Schaden anrichten kann. Da bin ich mir völlig sicher.

 

[ahuebenett]

Im Gegensatz zu dir weiß ich allerdings wovon ich rede. Deine peinliche Anmaßung, meine Kentnisse beurteilen zu wollen lassen wir einmal außen vor.
Natürlich benötigt man keinen Lötkolben, um die MAC Adresse einer Netzwerkkarte zu ändern und dein 3. Absatz zeigt, daß du überhaupt nichts verstanden hast. Steck nur weiter den Kopf in den Sand - viel Glück dabei... nur behalte deine "guten" Ratschläge bitte für dich.

 

[m00gy]

WEP hat eine eklatante Design-Schwäche die dazu führt, daß durch passives "mitlauschen" des Traffics eines WLANs der Schlüssel ermittelt werden kann. Der Aufwand hierfür ist extrem gering - der Erfolg garantiert (nach wenigen Stunden/Tagen) - und der Schaden auf deiner Seite nach Mißbrauch unter Umständen sehr hoch. Du siehst, die dringende Empfehlung, auf WPA/WPA2 umzustellen hat nichts mit Panikmache zu tun.

Ich frage mich halt, was ich als Privatmann WIRKLICH zu verstecken habe. Und wer ein ECHTES Interesse daran haben sollte, meinen WLAN Verkehr mit zu hören/lesen. Es mag für Firmen und Institutionen einen berechtigten Wunsch nach größtmöglicher Sicherheit geben, aber solange in meinem Garten nicht 10 Skriptkiddies sitzen, fühle ich mich mit WEP weiterhin ganz wohl.

 

[Herr Sin]

Ändere doch mal eine Hardwareadresse der Netzwerkkarte, das geht nicht ohne Lötkolben und etwas Glück muß man auch noch dabei haben.

Ich hatte mit meinem allerersten WLAN.Netzwerk als "Sicherheit" angegeben, dass nur meine MAC-Adresse zugreifen darf. Der Rest war ungeschützt - also kein WEP oder WPA. Es hat nicht lange gedauert, da hat einer aus der WG zwei Stock über mir meine MAC-Adresse geklaut und sich bei mir eingeloggt.

 

[Herr Sin]

Ich frage mich halt, was ich als Privatmann WIRKLICH zu verstecken habe.

Sämtliche Passwörter und Zugangsdaten. Die sollten eigentlich niemand etwas angehen.

 

[ahuebenett]

Ich frage mich halt, was ich als Privatmann WIRKLICH zu verstecken habe. Und wer ein ECHTES Interesse daran haben sollte, meinen WLAN Verkehr mit zu hören/lesen. Es mag für Firmen und Institutionen einen berechtigten Wunsch nach größtmöglicher Sicherheit geben, aber solange in meinem Garten nicht 10 Skriptkiddies sitzen, fühle ich mich mit WEP weiterhin ganz wohl.

Mal ganz ehrlich - würdest du alle deine Passwörter, Kreditkarteninformationen, eMails auf einem Flugblatt in deiner Straße verteilen? Und du hast kein Problem damit, wenn jemand über dein Internet Account (solltest du einen Router haben) surft und möglicherweise strafrechtlich relevante Aktionen durchführt für die du dann den Kopf hinhalten mußt? Immer daran denken, daß Funkwellen nicht an der Grenze deines Gartens halt machen.

Und mal ganz ehrlich: was genau ist so kompliziert daran, auf WPA umzustellen?

 

[m00gy]

Die Funkwellen machen tatsächlich ziemlich genau an der Grenze meines Gartens halt. Das liegt aber wohl an der Größe meines Gartens

Von WEP auf WPA umzustellen ist eigentlich nicht kompliziert, ich kann es aber nicht nutzen, weil die Fritzbox, die Airport Express, WDS und WPA2 momentan (noch?) nicht zusammen funktionieren. Deshalb ist das Netz weiterhin WEP-geschützt. Es sind in den letzten 4 Wochen um mich herum allerdings zwei weitere Netze aufgetaucht, weshalb ich aus Interferenzgründen bereits den Kanal des WLANs umgestellt habe. Im Zuge dessen kam mir halt die Frage, ob ich mich mit WEP nun einem unnötigen Sicherheitsrisiko ausgetezt habe, oder ob ich noch beruhigt weitersurfen kann.

In meinem speziellen Fall (ich wohne auf dem Land, es gibt in unserer Straße keinen Durchgangsverkehr) scheint es mir so zu sein, dass das Risiko eines Wardrivers oder WEP-Crackers so gering ist, dass ich mir noch keine all zu großen Sorgen machen muss.

Würde ich in einer Studentenstadt wohnen mit lauter Informatiker-WGs um mich herum, würde ich wahrscheinlich etwas anders denken, schätze ich.

Mein Fazit:
Wenn WPA und WDS irgendwann zusammen funzen, werde ich sofort umsteigen. Bis dahin muss ich mir aber wohl keine grauen Haare wachsen lassen.

 

[usneoides]

Wenn man zu den Menschen gehört, deren Rechner und Router Tag und Nacht laufen ("Uptime-Giganten"), dann möchte man vielleicht nicht, dass jemand den geliebten Rechner für illegale Aktivitäten nutzt, evtl. unter Verwendung auf dem Rechner gefundener Passwörter etc... Wer einen Volumentarif hat, will die Gigabytes vielleicht selber verballern...
Ein Warwalk durch Jena weist auf 1 km Strecke etwa 25 WLANs auf (Maximum acht gleichzeitig!, Material: ein PB, coconut WiFi, KisMAC, MacStumbler), von denen ein paar völlig offen waren, und von den anderen sind einige ziemlich schwach gesichert. Jede Untersuchung darüber, welche Passwörter Nutzer vergeben, hat im Ranking immer "123456", "12345678" und "Passwort" bzw "password" ziemlich vorne stehen.

Also: ich denke WLAN-Sicherheit muss sein, wer sich nicht darum kümmeert, darf wenn etwas passiert ist, nicht jammern.

Gruß, Peter

 

[Fersy]

unterstuetzt eigentlich osx wpa2 ??

 

[Herr Sin]

In meinem speziellen Fall (ich wohne auf dem Land, es gibt in unserer Straße keinen Durchgangsverkehr) scheint es mir so zu sein, dass das Risiko eines Wardrivers oder WEP-Crackers so gering ist, dass ich mir noch keine all zu großen Sorgen machen muss.

Die Eltern meiner Freundin wohnen auch auf dem Land. Am Ende der Straße. Kurz hinterm Haus fängt der Wald an. Irgedwann war ich mit dem Laptop dort. Airport nicht ausgeschalten (vergessen) und plötzlich finde ich ein unverschlüsseltes Netz. Ab dem Zeitpunkt surften die Eltern über das offene Netzwerk.

Muss ja nicht immer ein Wardriver sein. Es reicht der Nachbar.

 

[Herr Sin]

unterstuetzt eigentlich osx wpa2 ??

Reicht das als Antwort:

OS X 10.4.6

 

[DerOwie]

Von WEP auf WPA umzustellen ist eigentlich nicht kompliziert, ich kann es aber nicht nutzen, weil die Fritzbox, die Airport Express, WDS und WPA2 momentan (noch?) nicht zusammen funktionieren. Deshalb ist das Netz weiterhin WEP-geschützt. Es sind in den letzten 4 Wochen um mich herum allerdings zwei weitere Netze aufgetaucht, weshalb ich aus Interferenzgründen bereits den Kanal des WLANs umgestellt habe. Im Zuge dessen kam mir halt die Frage, ob ich mich mit WEP nun einem unnötigen Sicherheitsrisiko ausgetezt habe, oder ob ich noch beruhigt weitersurfen
[...]
Mein Fazit:
Wenn WPA und WDS irgendwann zusammen funzen, werde ich sofort umsteigen. Bis dahin muss ich mir aber wohl keine grauen Haare wachsen lassen.

Nochmal: Hast du die neueste Firmware auf der FritzBox?
Bis vor kurzem funktionierte nämlich WPA2 auch nicht mit AirPort, seit einigen Monaten jetzt schon. Vielleicht ist das bei den anderen Geräten auch so?
Einfach mal probieren.

 

[m00gy]

Mit der letzten Firmware funktionierte bei mir zwar WPA2, dafür funktionierte Bonjour aber nicht mehr. Somit konnte ich die Airport Express zwar im WDS nutzen, der integierte Printserver war aber nicht mehr zu erreichen.

Es gibt aber wohl inzwischen eine neue Beta (nach der momentan offiziellen Version der FW), in der Bonjour wieder funktionieren soll.

Ich warte also momentan auf die nächste, offizielle Firmware für meine FB7050, wenn dann WPA2, WDS und Bonjour laufen, sollte einem Umstieg nichts mehr im Wege stehen.

 

[cws]

Auf den alten Airportkarten (11 Mbit) gibt es kein WPA2, damit ist das Thema in meinem Netzwerk erledigt. - Leider