WEP und WPA2

[Herr Sin]

Und wie lange braucht man nun um ein 63-stelliges aus Buchstaben, Zahlen und Sonderzeichen bestehendes WPA2 Passwort zu knacken?

Meiner Meinung nach geht es genau daraum. Und zwar ein WPA2-Passwort zu verwenden. Aber Terminal meint, dass es genügen würde MAC-Adressen zu filtern:

Es ist schon so echt schwer in ein Offenes WLAN ernsthaft einzudringen und Schaden anzurichten wenn man den Zugriff auf bestimmte Mac-Adressen beschränkt,...

Und ich bin der Meinung (weil selber erlebt), dass man MAC-Adressen vortäuschen kann und dass man mit WPA2 zusätzlich den Zugang erschweren kann.

 

[ahuebenett]

Ich wollte mit diesem Thread ein kleines bisschen sticheln und ein kleines bisschen meine Verwunderung über einen (vermeintlichen) Sicherheitswahn ausdrücken.

Du solltest auf jeden Fall dein WLAN weiterhin nur mit WEP verschlüsseln - ich will den "anderen" den Spaß ja nicht verderben :-*.

 

[usneoides]

Leute, kommt alle mal wieder ein bisschen runter. Ich wollte mit diesem Thread ein kleines bisschen sticheln und ein kleines bisschen meine Verwunderung über einen (vermeintlichen) Sicherheitswahn ausdrücken. Mehr nicht. Ich wollte nicht dazu verleiten, sich gegenseitig einen x-fach höheren Geek/Freak/Pro-Level zu bestätigen oder abzusprechen. Ist alles in Ordnung, ich weiß um die möglichen Risiken, habe für mich persönliche eine Entscheidung getroffen und dieser Thread bietet genügend Denkanstöße für alle, die vielleicht vor einer ähnlichen Frage stehen werden. Zumindest solange es noch kein WPA3 oder WEP2007 gibt.

Das klingt vernünftig. Informiert euch, trefft eine Entscheidung, aber kommt nicht angeweint, wenn es die falsche war.
Apropos: welche Programme wofür zu gebrauchen sind, kann sogar ein bösartiger Schwachkopf mit ein paar halbwegs clever gewählten Google-Suchen rausfinden...

Beste Grüße, Peter

 

[skywalker]

meine 2 cents dazu :

1. mac adressen zu manipulieren ist nun wirklich nichts neues mehr und bietet absolut keinen schutz.
2. die ssid abzuschalten bietet ebenfalls keinen schutz
3. lediglich wpa und wpa2 gelten derzeit als noch nicht so ohne weiteres knackbar, wobei es allerdings tools für wörterbuchattacken auf wpa gibt.
hier empfiehlt sich also irgendetwas in der richtung kjhAO(/&RT8o7fwsFZWtftzf829;8
und zwar möglichst lang.
4. tools zum knacken von wlans laufen mittlerweile auch auf pda's...

und last but not least wird meistens angeführt, das es ja bei einem auf dem rechner nichts zu holen gäbe, keine passworte etc.
alles möglicherweise richtig.... aber spätestens wenn ein fremder die eigene internetverbindung für illegale aktionen nutzt (filesharing, kinderpornografie, etc) und es dann tatsächlich aufgrund dessen zu ernsthaften problemen mit unserem rechtssystem kommt hat man ein echtes problem.

letzten endes ist jeder auch hier wie im "richtigen leben" dafür verantwortlich was er tut. wer seine wohnung generell nicht abschliesst und bisher damit gut gefahren ist darf nicht meckern wenn doch mal was passiert.

 

[codeseven]

Es stimmt schon, dass weder das Ausblenden der SSID, noch ein MAC-Adressenfilter ein wirklicher Schutz ist.

Doch ich denke mir das so: Mein WLAN ist durch WPA, MAC-Filter, verstrecken der SSID geschützt. Keiner der Computer im Netz hat irgend eine Freigabe, höchstens temporär mein iBook ab und zu für den Datenaustausch.

Wenn sich jemand in mein WLAN einloggen möchte, bitte schön. Aber hier steht Aufwand und Ertrag für den Eindringlich in keinem Verhältnis.

Somit bin ich für meinen Gebrauch sehr gut gewappnet.

Gruss codeseven

 

[ATOC]

Zur allgemeinen Aufklärung über WPA/WPA2 mal ein Zitat von heise security:

"Mit brauchbaren Passphrasen kann man auch WPA-PSK als sicher ansehen, denn bislang ist kein Erfolg versprechender, direkter Angriff auf die per Funk fließenden chiffrierten Daten bekannt. Der von WEP bekannte Angriff auf schwache Schlüssel mit Airsnort oder ähnlichen Tools läuft bei WPA wegen des doppelt so langen Intialization Vectors ins Leere: Einer Schätzung zufolge müsste man selbst in einem mit 500 MBit/s funkenden WLAN von übermorgen erst nach rund 200 Jahren den Schlüssel erneuern."

Voraussetzung ist wie gesagt ein "brauchbarer" PSK, also nicht etwa "hundkatzemaus" sondern etwa sowas wie "7vh/.GnSO$97S%tsaEAh(661sEps=s3saqSEBO§es_dee"

 

[thumax]

Leute, kommt alle mal wieder ein bisschen runter. Ich wollte mit diesem Thread ein kleines bisschen sticheln und ein kleines bisschen meine Verwunderung über einen (vermeintlichen) Sicherheitswahn ausdrücken. Mehr nicht. Ich wollte nicht dazu verleiten, sich gegenseitig einen x-fach höheren Geek/Freak/Pro-Level zu bestätigen oder abzusprechen. Ist alles in Ordnung, ich weiß um die möglichen Risiken, habe für mich persönliche eine Entscheidung getroffen und dieser Thread bietet genügend Denkanstöße für alle, die vielleicht vor einer ähnlichen Frage stehen werden. Zumindest solange es noch kein WPA3 oder WEP2007 gibt.

Bis dahin lade ich Euch alle ein auf ein schönes, dickes Ding.

Der Mann hat recht: nehmt doch nicht alles immer so bierernst.

 

[Felix]

Hallo,

ich hab jetzt nicht alles hier gelesen.
Aber: Für WEP Passworthack gibt es mitlerweilen jede Menge frei verfügbare Software. MAC Adressen ändern ist in wenigen Sekunden gemacht. Mithorchen der Macadressen, die Zugang auf ein Netz haben ist kein Problem.
Auch WPA und WPA2 sind knackbar - es dauert halt ein vielfaches an Zeit wie bei WEP (Es sei den, dass Standardpasswort des Routers wurde nicht geändert)

Und was kann man jetzt in so einem WLAN machen:
Sämtlichen Netzwerkverkehr mithören:
E-Mail, html, ftp, ichat, .. sind unverschlüsselt und können klartext mitgelesen werden
Sogar für VoIP (! ist auch unverschlüsselt) gibt es Software, die Gespräche mitschneidet und als mp3 exportiert.

Wem das alles nichts ausmacht braucht auch nicht die drei Klicks investieren um sein Netzwerk anständig zu sichern.

Größtes Problem ist tatsächlich, dass entsprechende Sniffer Software frei verfügbar ist und wirklich gut funktioniert.

Aber an die Kabelfetischisten: Im normalen Kabel Lan ist nichts verschlüsselt. Hier ist es sogar noch einfacher zum Beispiel in einem größerem Firmennetz/Uni etc. (ohne Portsecurity - aber wer hat das schon) Daten mitzulauschen. Mittels ARP Spoofing läßt sich fast jede Zieladresse (z.B. zum Proxy, Mailserver, DNS Server, ...) in einem geswitchtem Netz über den eigenen Laptop umbiegen und so der Datenverkehr mitschneiden.

Aber wer interessiert sich schon für deine eMails, iChats oder Websites, die du besuchst...

ciao
Felix

 

[Felix]

@Terminal
Hi Terminal,
du hast eine Seite zur Eindeutigkeit der MAC Adresse gepostet.
So eindeutig wie sie sein sollte ist sie leider überhaupt nicht. Vor allem Billiganbieter von Routern und Karten verwenden nur eine einzige Nummer für sämtliche Geräte.
Die Mac Adresse wird (vielleicht aus Kostengründen) schon lange nicht mehr fest in das ROM (wenn ein festet ROM überhaupt vorhanden ist) gebrannt.

cu
Felix

 

[thumax]

Auch WPA und WPA2 sind knackbar - es dauert halt ein vielfaches an Zeit wie bei WEP (Es sei den, dass Standardpasswort des Routers wurde nicht geändert)

Das klingt interessant. Wie wird die Sache durch ein Standardpasswort beschleunigt?

 

[Felix]

Das klingt interessant. Wie wird die Sache durch ein Standardpasswort beschleunigt?

Ich denke das kommt auf Google an wie lange es dauert z.B. für einen Medion Wlan Router die Default Passwörter zu finden.

 

[thumax]

Schon, aber was bringt mir das Passwort zur Routerverwaltung, wenn ich noch nicht im Netz bin?

 

[ATOC]

Wenn das Routerpasswort noch im Auslieferungszustand ist, dann ist das Netz wahrscheinlich sowieso offen...

Aber die Default-keys für die Verschlüsselung waren bei meinen Routern eigentlich immer zufällig generiert und komplex, wenn man die verschlüsselung denn aktiviert.

 

[thumax]

Genau so kenne ich das auch. Aber liefert außer AVM noch jemand mit zufälligem Default-Key und aktivierter Verschlüsselung aus?

 

[Victance]

ich hoffe, dass meine frage hier einigermaßen hineinpasst!
bisher habe ich immer wpa verwendet! allerdings habe ich mir nun einen repeater gekauft, da das wlan netz bereits ein stockwerk tiefer unseres hauses schon nur noch schwankenden empfang hat bzw nur an wenigen stellen... meine firtzbox sagt das die repeater/wds funktion und wpa2 nur mit einer weiteren fritz box möglich ist! nun habe ich allerdings einen ganz normalen repeater von belkin!
daher ist mir die frage gekommen, ob ich mir nun ins eigene knie schieße, da ich ja auf wep umstellen muss damit der repeater funktioniert!
zu meiner wohnsituation noch: ich wohne ein wenig außerhalb, unser haus steht in der mitte alle weiteren häuser stehen mit mindestens 20-30 meter abstand zu unserem, der abstand besteht nur aus gärten... unser haus steht quasi auf einer "insel" die nachbarn drum herum sind alles gute bekannte....
langt es also wenn ich bei der fritz box die option wähle, keine neuen netzwerkgeräte zulassen aktiviere, das wlan wep verschlüssle und die ssid ausblende?
eine weitere frage habe ich auch noch: ist bei wep dieser 23 stellige schlüssel das neue kennwort?
ich hoffe ich werde nun nicht von den ganzen freaks auseinander genommen...
schon mal danke..

 

[m00gy]

Victance, genau diese Situation hat meinen Post ja ausgelöst: Zusammen mit WDS und einem Repeater funktioniert nur WEP. Du wirst also, genau wie ich, auch auf WEP "downgraden" müssen.

Meine Situation hier ist ähnlich wie bei Dir:
Ich habe die SSID allerdings eingeblendet, habe ein 128Bit WEP Kennwort und in der Fritzbox "keine weiteren Netzwerkgeräte zulassen" aktiviert. Bisher ist bei mir niemand ins Netz eingedrungen. Oder, um es genau zu sagen: Bisher habe ich nicht bemerkt, dass jemand in mein Netz eingedrungen wäre.

Die ganzen (berechtigten) Gründen für WPA2 hin oder her, solange man ein WDS aufsetzen möchte, scheint es nur mit WEP zu gehen, es sei denn, man hat zwei identische (Fritz)boxen...

 

[Victance]

naja ich denk mal ich werds einfach mit wep machen, weil so einfach wie alle sagen is es dann denk ich doch nicht! und es fällt schon ein wenig auf wenn jemand unser grundstück betretet, außerdem bellt mein hund immer wenn fremde die sackgasse hinterkommen

 

[skywalker]

, es sei denn, man hat zwei identische (Fritz)boxen...

zwei fritzboxen reichen... müssen nicht identisch sein. eine sl reicht vollkommen.