ComputerBase Menü
Aktuelles

Fragen zur Sicherheit bei WLANs

F

FX1

Lt. Junior Grade
Registriert
Aug. 2007
Beiträge
388
Hallo zusammen,

ich habe einige Fragen zur Sicherheit bei WLANs:

1. Wenn ich an meinem Notebook (Client) WLAN aktiviere (aber ohne aktive Verbindung zu einem WLAN), ist dann dieses Notebook bereits für Wardriver "sichtbar" bzw. findet man es während eines Scans?

2. Wie wichtig ist bei WPA2 die Passwort-Schlüssellänge? Wie sicher ist z.B. ein WPA2-Passwort, welches nur aus 6 Zahlen besteht?

3. Ist eine etwas "ungewöhnliche" IP-Adresse (z.B. 192.168.2.243) für einen WLAN-Access-Point sinnvoll? Oder findet ein Wardriver diese IP sowieso irgendwann heraus?

4. Angenommen man konfiguriert den WLAN-AP so, dass das Webinterface nur per LAN und nicht per WLAN erreichbar ist, bringt das einen echten Sicherheitsgewinn?

5. Und wie wichtig ist - neben dem sicheren Passwort - ein kryptischer Login-Name für das Webinterface des AccessPoints?

6. Verwendet man als FritzBox-User absichtlich einen irreführenden SSID-Name (z.B. TP-Link) - erhöht das die Sicherheit? Oder lässt sich der eigentliche Hersteller des WLAN-AP auch anders auslesen?

7. Erhöht ein VLAN bei einer WLAN-Bridge maßgeblich die Sicherheit?

Viele Grüße
FX1
 
Zu 1: Nein, dein Notebook wird nicht gefunden. Es sei denn, du richtest eine Adhoc-Verbindung ein (um z.B. zwei WLAN-Rechner direkt ohne Router zu verbinden), dann sendet dein Rechner auch eine SSID aus.

Zu 2: Sehr wichtig. Je länger der Schlüssel und je komplizierter der Schlüssel ist, um so schwerer lässt er sich durch die Bruteforce-Methode (also stupides Ausprobieren) rausfinden. Ein guter WPA2-Key besteht aus mindestens 25 Stellen und sollte Klein- und Großbuchstaben sowie Ziffern enthalten. Sonderzeichen gehen auch, aber können zu Problemen mit machen WLAN-Clienten führen.

Zu 3: Da die IP-Adressen in jedem Datenpaket hinterlegt sind, was durch das WLAN übertragen wird, findet jeder halbwegs schlaue Hacker die IP des Routers raus.

Zu 4: Es bringt zumindest einen kleinen Sicherheitsvorteil.

Zu 5: Auf einer Skala von 1 (unwichtig) bis 10 (immens wichtig) würde ich sagen: Stufe 7 :-)

Zu 6: Keine Ahnung, aber anhand der MAC-Adresse des WLAN-Routers lässt sich der hersteller in der regel rausfinden.

Zu 7: Keine Ahnung.
 
Also wenn Du den Router/Ap nur per LAN ansprechen kannst solltest Du das auch so machen.
Was die Schlüssel länge angeht ab 11 Zeichen mit Groß- Kleinschreibung, Zahlen und Sonderzeichen ist sehr sicher.
Den SSID namen nicht Broadcasten - anzeigen lassen - bring auch ein wenig mehr Sicherheit.
Wenn jemand in dein WLAN eindringen will, schafft er es auch, früher oder später.
 
DerHoschi schrieb:
Wenn jemand in dein WLAN eindringen will, schafft er es auch, früher oder später.
Zum Vergrößern anklicken....
Ja, nur bei einem langen zufallsgenerierten Passwort reden wir von ein paar Jahren ;)
WPA2 verschlüsselt mit AES, und das wurde noch nie geknackt. Somit ist das Wlan-Netzwerk so sicher, wie das verwendete Passwort.

Alle anderen Sicherheitsmaßnahmen (MAC-Filter, SSID verstecken, etc.) sind im Vergleich zu einem sicheren Passwort vernachlässigbar ...
 
Hi,

Den SSID namen nicht Broadcasten - anzeigen lassen - bring auch ein wenig mehr Sicherheit.
Zum Vergrößern anklicken....

Negativ :) Das hilft nur, wenn der Angreifer keine Ahnung hat. Für "vernünftige Software" ist die SSID trotz allem binnen einer Sekunde wieder sichtbar.

Wenn jemand in dein WLAN eindringen will, schafft er es auch, früher oder später.
Zum Vergrößern anklicken....

Nochmal negativ :) Mit entsprechenden Maßnahmen (sicheres Kennwort) ist es fast nicht mehr möglich, zeitnah in ein gesichertes WLAN zu kommen. Wenn er meinen 40-stelligen Schlüssel in 10 Jahren raushat kann er gerne wiederkommen und versuchen, sich damit anzumelden ;)

VG,
Mad
 
Ich habe einen Bekannten der tatsächlich aus Bequemlichkeitsgründen ein nur 6-stelliges WPA2-Passwort verwendet. Zudem besteht es nur aus Zahlen.
D.h. es sind "nur" 1 Mio. Versuche notwendig, um das Passwort herauszufinden?
Wie lange kann so etwas dauern?
 
Hi,

stastisch gesehen brauche ich sogar weniger, da es unwahrscheinlich ist, dass das Kennwort deines Bekannten die letzte Möglichkeit ist, die ich teste :)

Wenn es nur zahlen sind dauert das... bei 6 Stellen... weniger als eine Sekunde

Ich empfehle diese Seite dazu :)

VG,
Mad

@moodle ich brauche doch gar nicht entschlüsseln, ich kann doch einfach durchtesten :)

Rechengeschwindigkeit des Rechners (2096204400 Schlüssel pro Sekunde (Keys/sec))
Stellen: 6
Mögliche Kombinationen: 1000000

Nadelöhr wird eher der Router sein, der so viele Anfragen nicht beantworten kann :)

Aber sicher ist etwas anderes!
 
Zuletzt bearbeitet:
Mit nem mobilen i7 und einer GeForce 460 im Laptop mit GPU-Computing?
Kann man in ein paar Minuten schaffen, wenn ich mich recht erinnere . .
 
Eine Radeon 5970 schafft ca. 158.000 hashes pro Sekunde. Rechne es dir aus.
 
Falls der Angreifer annimmt, dass es nur Zahlen sind (und er weiß, dass es 6 Stellen hat), dann paar Sekunden/Minuten. Weiß er das aber net, gilt theoretisch der volle Zeichenraum als Grundlage.

Jedoch werden die Hacker so intelligent sein, mit einer sinnvollen Reihenfolge anfangen durchzutesten. Nur Zahlen wird sicherlich net das Letzte sein, was durchgeprüft wird.

Aber selbst bei 100 Stellen im Passwort und nem angenommenen Zeichenraum von 62 kann das Passwort theoretisch direkt beim ersten Versuch geknackt werden. Sichere Passwörter verschieben nur die Wahrscheinlichkeit und damit die erwartete Dauer einer Bruteforce-Identifizierung in den Bereich von Äonen. Absolute Sicherheit gibt es aber bei keinem Passwort.

edit: Wie hier schon erwähnt, kann man mit der maximal anzunehmenden Rechnleistung in unter einer Sekunde durch sein. Aber in den meisten Fällen dürften die Kapazitäten des Routers das ganze Vorhaben massiver einschränken. Da hilft auch alle Rechenleistung nix.

Da fällt mir ein... gibt es da eigentlich nen Router der nach, sagen wir mal, 10 mal falsch eingegebenem Passwort den Zutritt zum Wlan für ne Stunde sperrt, oder so? Die Zahlen sind ja mal nebensächlich, aber grundsätzlich sollte das doch leicht zu implementieren sein.
 
Zuletzt bearbeitet:
1sek.;) wenn er die 6 zahlen noch so anordnet 1,2,3,4,5,6:cool_alt:
 
Ah, nur Zahlen!?
Habe ich ganz überlesen.
Das hält vielleicht den Nachbarn ab, mehr nicht :lol:
 
Hi,

@N43

Punkt 2 und 3 bringen effektiv 0. Kann man auch abgeschaltet lassen, macht in der Regel nur einem selbst Ärger.

Und um Clients zu sehen muss ich doch nicht im selben Netz sein... der Router sieht doch auch Geräte die noch nicht im Netz sind bzw. umgekehrt :) Geräte, die noch nicht im Netz sind sehen den Router. Andernfalls könntest du ja unmöglich eine Netzwerkverbindung aufbauen :)

VG,
Mad
 
Zuerst muss man sich mit Router erfolgreich verbinden (?)... O_o
SSID verbergen ist gegen "möchtegern" Hacker sicher.
MAC-Filter -> MAC kann man zwar generieren lassen, aber dafür müsste man schon die passende MAC Adresse kennen...

Router ist auch mit Passwort geschützt... Hab vergessen das zu erwähnen.
Mit MAC-Filter habe ich keinen Ärger gehabt > funktioniert ohne Probleme...

Gegen "möchtegern" Leute hilft ja das schon :) MAC-Filter selbst benutze ich nicht, ist unnötig (bei mir zu Hause).
Evtl. nur, um den Leuten zu Hause den Zugang zu blockieren oder so, ka XD

P.S. Beste Methode den Zugang zu unterbieten -> Kabel rein
noch Bessere Methode -> gar keine Netzwerkverbindung xD
 
Zuletzt bearbeitet:
Die Mac-Adressen filtern/whitelisten bietet solange einen Vorteil, wie kein Gerät mit zugelassener Mac-Adresse im Netzwerk ist. In dem Fall bietet es schon eine Sicherheit. Ansonsten wohl eher weniger.

@ x.treme
Die Liste bezieht sich aber, wenn ich das richtig sehe, auch nur auf die Anzahl der maximal notwendigen Versuche und die dafür benötigte Zeit. Wenn ich mir die Sicherheit von PWs ansehen würde, würde ich noch nen Divisor festlegen, der mein gewünschtes Konfidenzniveau widerspiegelt.

Im simpelsten Fall also die Zahl der benötigten Versuche durch 1000 oder 10000 oder sowas dividieren. Denn die Wahrscheinlichkeit, dass das PW mit dem allerletzten Versuch geknackt wird ist wiederum so gering, dass der Wert absolut sinnfrei ist. Ich würde also die ganzen Werte immer mindestens halbieren, um wenigstens nen halbwegs aussagekräftiges Ergebnis zu haben.

Edit: Des Weiteren würde ich die Werte die da stehen sowieso net auf ne Bruteforce-Attacke auf nen Router anwenden. Ich glaube net, dass der 1 Mrd. Anfragen pro Sekunde abarbeiten kann ;)

Edit 2: Ah ok, das mit den Mac-Adressen wusste ich net. Hab mich nie so genau mit WLAN beschäftigt, da ich eh kein Freund davon bin :) Dachte immer, dass die nur dann abgefangen werden können, wenn auch ein Gerät mit der erlaubten Mac-Adresse im Netzwerk aktiv ist und man die daher ableiten kann. Dass der Router die einfach so durch die Gegend schickt, hätte ich net gedacht.

Mit den Sonderzeichen... naja, steht halt im Exponent ;) Deswegen würde ja theoretisch schon ein Sonderzeichen langen, da damit grundsätzlich ein erweiterter Raum getestet werden müsste. Nun könnte man die Sonderzeichen zwar einzeln "intelligent" durchgehen, das bringt aber bei gegebner Zeichenlänge des PWs auch netmehr den ausschlaggebenden Vorteil. Aber das schweift langsam bissel zu weit vom Thema ab ^^
 
Zuletzt bearbeitet:
Ja, das sollte die maximale Dauer sein ;)
Interessant ist dabei vor allem, wie stark sich die Dauer erhöht, wenn man noch Sonderzeichen verwendet ....

Die MAC-Adressen werden im Netzwerk unverschlüsselt übertragen und lassen sich so leicht abfangen.
Selbst wenn gerade kein Gerät im Netzwerk aktiv ist: Alleine 24 der 48 Bits sind die Herstellerkennung - diese lässt sich noch ganz gut erraten ^^

Man könnte natürlich sich noch per VPN verbinden, und alle anderen Ports/IPs im Router sperren, wenn man noch mehr Sicherheit haben will ...
 
Zuletzt bearbeitet:
Ich habe festgestellt, das man z.B. mittels DD-WRT-Webinterface auch WLAN Clients scannen kann, die nicht mit einem WLAN verbunden sind.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

CPU_Held
Denver Smartwatch Fragen zur Sicherheit bei connect zu Google Fit
Antworten
5
Aufrufe
1.031
CPU_Held
CPU_Held
M
Sicherheit eines WLAN Routers beim Online Banking ? Besser LAN verwenden?
Antworten
13
Aufrufe
1.497
h00bi
h00bi
M
Passwort-Sicherheit bei WLAN-Outdoor-Kameras
Antworten
13
Aufrufe
1.493
CrazyT
CrazyT
E
Bitlocker mit/ohne PIN: Fragen zur Sicherheit und Login ohne Windows Kennwort
Antworten
9
Aufrufe
10.955
Masamune2
M
P
  • Gesperrt
WPA2 - wie erreiche ich max. Sicherheit ?
5 6 7
Antworten
123
Aufrufe
10.266
Wilhelm14
Wilhelm14
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz