Sicheres WLAN mit WPA2 einrichten?

[lordZ]

Hi Leutz!

Hab mir bereits vor längerer Zeit den Linksys WRT54G gekauft. Bis jetzt habe ich das WLAN nicht genützt, da die PCs hier nicht nur privat genützt werden und WEP ja bekanntlich unsicher ist. Habe nun gehört, dass WPA auch nicht mehr so sicher sein soll, wie ich gedacht habe, also hab ich mich noch nicht dazu entschließen können, das WLAN zu aktivieren.

Mit der neuen Firmware kann der Router nun aber anscheinend auch WPA2 und das soll ja sehr sicher sein.

WPA2 erfüllt die strengen Sicherheitsvorschriften für Datenaustausch in US-Behörden nach FIPS 140-2

---> kA was genau das heißt, hört sich aber gut an!

*********************************************************************​

Jedenfalls hab ich mit der neuen Firmware nun folgende Möglichkeiten:



Kann ich somit ein sicheres WLAN einrichten? Dass es nicht schadet ab und zu den Key zu wechseln ist mir schon klar, aber was könnt ihr mir generell darüber so sagen?

Die Notebooks die ins WLAN wollen müssen wahrscheinlich auch alle mit WPA2 zurechtkommen. Wie kann ich das sicherstellen (sind bei uns aber eh alles aktuelle Geräte).

THX für jede Hilfe!

lordZ

 

[lordZ]

PLZ Leutz, wäre echt super wenn mir jmd unter den Arm greifen könnte!

 

[André]

Wenn Du W-Lan nutzen solltest, nutze die Wep128 Bit Verschlüsselung in Verbindung mit einer MAC-Adresse, wenn Du auf Nummer sicher gehen magst.

Oder von was reden wir hier ?
/edit: In Verbindung mit den MAC Adressen (zur Freigabe) sollte keine Unsicherheit mehr da sein. Überprüfe das mal. Dann können nur bestimmte, Deine Mac-Addys zur Freigabe genutzt werden.

Oder magst Du bestimmte Freigaben ?

 

[lordZ]

Sorry, aber was du da schreibst ist zu 100% Blödsinn!

WEP und MAC Filter - unsicherer gehts doch garnicht! (mal abgesehen von offenem WLAN). Da wäre ich doch sogar mit WPA schon viel besser dran!

Ich habe um Hilfe bezüglich WPA2 gebeten!

 

[lordZ]

Kennt sich denn niemand mit WPA2 aus? Wäre echt über JEDE Hilfe dankbar!

 

[Noxman]

WPA2 ist nach heutigem Stand der Technik nicht knackbar!

Du solltest aber ein Passwort nicht kürzer als 23 Zeichen benutzen und das so kryptisch wie möglich wählen. Wenn du genauere Infos brauchst schreib mal rush2000 an. Der hat sich damit eingehend beschäftigt (Diplomarbeit und Artikel für Fachzeitschriften).

Gruss Nox

 

[lordZ]

Danke erstmal für den Tipp!

Dass ein PW so lang und so kryptisch wie möglich sein soll, ist auch klar, aber warum genau 23 Zeichen [min] - warum tuns nicht auch z.B. 19 Zeichen?

 

[Noxman]

Das fragst du bitte rush2000!

Soweit ich mich erinnere, ist ab der Grenze das Entschlüsseln nochmal komplizierter wegen der Länge des PWs. Oder so!

Gruss Nox

 

[lordZ]

Aha, hat also was mit Brute Force zu tun? Ich werd jetzt rush2000 mal ne PM schreiben!

 

[Noxman]

Hier hast du schon mal ein wenig Lektüre zu dem Thema.

Gruss Nox

 

[lordZ]

Das kenn ich zwar schon, aber trotzdem THX!!

Warst eigentlich du das (Nox) der die ursprünglichen Beiträge #2/3 gelöscht hat? - dann könntest nämlich die jetzigen Posts #3/4 auch direkt kicken! (btw: #2/5 sind ja eigentlich auch offtopic ^^)

 

[Noxman]

Jup! Die zwei Beiträge waren ja wirklich Off-off-Topic.

Post #3 bleibt als abschreckendes Beispiel wie man es nicht machen sollte stehen.

Gruss Nox

 

[rush2000]

Hi, habe leider erst heute die PM gelesen.

@Nox:

sag doch mal was.

@lordZ:

zunächst mal zu WPA allg.: WPA/PSK benutzt den von WEP bekannten RC4 Streamchiffre. Und der ist u.a. dafür verantwortlich, dass WEP eben recht unsicher ist. Allerdings sind einige Verbesserungen gegenüber WEP gemacht worden (z.B. 48Bit Initialisierungsvektor anstatt 24Bit, echte 128Bit Verschlüsselung, TKIP und MICHAEL-Algorithmus). Der einzige erfolgversprechende Angriff auf WPA/PSK ist derzeit ein Brute Force Angriff, der auf einem Dictionary basiert. Hier muss der Angreifer den WPA Handshake abfangen (er brauch also im Gegensatz zu WEP nur wenige Pakete). Das Passwort muss aber im Dictionary vorhanden sein, andernfalls hat der Angriff keinen Erfolg. Daher ist die Sicherheit von WPA primär abhängig von der Güte des Passworts. Die Empfehlungen von diversen Forschungseinrichtungen lauten eben die Passphrase mind. 20 Stellen lang zu machen. Natürlich reichen auch 18 oder 19 aus :-). Das Passwort sollte aber zusätzlich noch ein wenig verfremdet worden sein (Der20Sinn32des44Lebens). Will man ganz sicher gehen, darf das Passwort schlicht keinen Sinn machen (safkl4dfizfgu78dgf2g8fh438fddfh1). Dann hast du aber das Problem, dass du dir das Passwort selbst nicht merken kannst ;-).

WPA2 benutzt einen anderen Verschlüsselungsalgorithmus nämlich nicht mehr RC4 sondern AES. Dieser gilt derzeit als sicher. Leider wird WPA2 von vielerlei Hardware, sowohl auf Clientseite als auch auf der AP / Router-Seite nocht nicht unterstützt. Hier ist es aufgrund der erheblichen Unterschiede zu WEP auch nicht mit einen Firmwareupdate getan. Also schön darauf achten, dass WPA2 bereits auf der Verpackung angegeben ist.

Noch Fragen Kienzle? Dann meld dich einfach.

Mirko

 

[lordZ]

@Nox

Ok - in Ordnung was #3 angeht!

@rush2000

Erstmal DANKE für deine Antwort!

Bedeutet also - WPA(1) mit >20 Stellen PW reicht für meine Zwecke aus?

Was ich aber nicht ganz verstehe: Wenn WPA auch nur mit einem Brute Force Angriff entschlüsselt werden kann, wo liegt dann (in der Praxis) der Vorteil von WPA2? Mit einem Brute Force Angriff lässt sich ja im Prinzip ohnehin ALLES knacken (rein theoretisch).

Was Passwort merken angeht: Das ist doch nicht so tragisch, tippt ma eigentlich eh nur 1x beim Notebook ein und dann kann mans eigentlich eh vergessen, bis man halt mal das PW wechselt?

 

[rush2000]

Bedeutet also - WPA(1) mit >20 Stellen PW reicht für meine Zwecke aus?

Yo. Auch für kleinere Firmen würde das ausreichen, wenn die Mitarbeiter 100%ig vertrauenswürdig wären und es das Problem von ausscheidenden Mitarbeitern nicht gäbe.

Mit einem Brute Force Angriff lässt sich ja im Prinzip ohnehin ALLES knacken (rein theoretisch).

Bei WPA2 mit einem eben nicht vertretbaren Aufwand. Du kannst mit dem Handshake aufgrund des sicheren AES nix anfangen bzw. es würde einfach zu lange dauern, ihn zu knacken. Die Übertragung nach dem Handshake ist auch bei WPA(1) aufgrund der Erweiterungen zu WEP bereits sicher.

 

[lordZ]

Nochmals THX für deine souveränen Antworten!

Das hat mein Interesse aber weiter geweckt.

Hab mir jetzt mal die Möglichkeiten beim Router angeschaut:

Was WPA angeht gibts da ...

1.) WPA pre-shared Key

- TKIP oder AES oder TKIP&AES

2.) WPA RADIUS

- TKIP oder AES oder TKIP&AES
- Eingabe einer IP + Port notwendig

Ich habe jetzt mal WPA und TKIP gewählt. Am Laptop mit XP Pro / SP2 wird das WLAN als "Sicherheitsaktiviertes Drahtlosnetzwerk (WPA)" erkannt. Funktioniert eigentlich alles tadellos! Und wenn es für meine Zwecke reicht (privat + sehr kleine Firma, aber 100% vertrauenswürdige MA ), wäre ich auch absolut zufrieden.

Es gäbe beim Router allerdings auch WPA2 zur Wahl ...

pre-shared Key only / RADIUS only / pre-shared Key mixed / RADIUS mixed

Ich kann mich mit XP Pro / SP2 aber nicht mehr zu dem WLAN Verbinden. Das WLAN wird zwar als "Sicherheitsaktiviertes Drahtlosnetzwerk" erkannt, aber weder WPA noch WPA2 scheint auf. Ich denke aber, dass ich mit der den Laptop beiliegenden Acer-Software auch eine Verbindung mit dem WPA2-WLAN herstellen könnte. Diese Software macht aber auf mich einen sehr komplizierten Eindruck.

Also vielleicht kannst du mich ja noch bisschen aufklären was das mit den verschiedenen Möglichkeiten auf sich hat, und vor allem, was ich nun wirklich in Zukunft verwenden soll! Danke!

 

[rush2000]

Was WPA angeht gibts da ...

1.) WPA pre-shared Key

- TKIP oder AES oder TKIP&AES

TKIP (temporal key integrity protocol) in Verbindung mit AES ist das sicherste, was derzeit geht, genau das ist eben WPA2. Dein Client muss es aber auch beherrschen.

2.) WPA RADIUS

- TKIP oder AES oder TKIP&AES
- Eingabe einer IP + Port notwendig[/b]

-> Serverbasierte Verschlüsselung und Authentifizierung auch WPA Enterprise genannt. Hier brauchst du einen RADUIS-Server (daher die IP + Port).

Es gäbe beim Router allerdings auch WPA2 zur Wahl ...

pre-shared Key only / RADIUS only / pre-shared Key mixed / RADIUS mixed

Bei den mixed Varianten wird sowohl die WPA1 als auch die WPA2 Variante zugelassen, ob das wirklich funktioniert weiss ich nicht, möchte ich aber bezweifeln . Bei den only Varianten eben nur WPA2.

Ich kann mich mit XP Pro / SP2 aber nicht mehr zu dem WLAN Verbinden. Das WLAN wird zwar als "Sicherheitsaktiviertes Drahtlosnetzwerk" erkannt, aber weder WPA noch WPA2 scheint auf.

zumindest WPA1, also WPA pre-shared Key/TKIP sollte funktionieren, wenn du die Passphrase im Client auch eingibst. Darüberhinaus funktioniert WPA häufig nicht, wenn der SSID Broadcast disabled ist. Das ist nach meinen Erfahrungen vom Router abhängig. Mit meinem Netgear DG834GB funktioniert WPA nur mit SSID broadcast enabled, auch bei DLink scheint das der Fall. Die FritzBox WLAN dagegen kann es auch ohne.

Für WPA2 schau mal hier:

http://www.microsoft.com/downloads/...4d-e7c1-48d6-95ee-1459234f4483&DisplayLang=de

Wie bereits geschrieben, kann es aber sein, dass deine clientseitige Hardware kein WPA2 beherrscht.

 

[lordZ]

Jetzt bin ich etwas verwirrt ...

Du schreibst "WPA in Verbindung mit TKIP und AES" = "WPA2", aber warum ist diese Methode dann beim Router ausdrücklich unter WPA(1) aufgeführt? Wenn ich nun beim Router eben "WPA mit TKIP und AES" einstelle, funzt das beim Laptop einwandfrei (wird vom Windows als WPA erkannt).

Sobald ich beim Router allerdings "WPA2" einstelle, kann ich keine Verbindung mehr aufbauen, sonderbar, denn das dürfte ja kein Unterschied zu WPA(1)+TKIP&AES sein.

Und wenn WPA+TKIP+AES = WPA2, warum kann ich dann beim Router auch bei WPA2 die Möglichkeiten TKIP oder AES oder TKIP&AES auswählen?

Und von den "mixed" Varianten soll ich also generell die Finger lassen?

 

[rush2000]

Du schreibst "WPA in Verbindung mit TKIP und AES" = "WPA2", aber warum ist diese Methode dann beim Router ausdrücklich unter WPA(1) aufgeführt?

Puhh jetzt wird's complicated, sorry teilweise mein Fehler. AES ist eben die Verschlüsselung, die WPA1 zu WPA2 macht. TKIP hat eigentlich in WPA2 nix mehr zu suchen, da eben AES der Ersatz für TKIP ist. Der Mode in deinem Router, der mit "TKIP & AES" benannt ist, ist also offenbar für den WPA2 mixed Mode (obwohl er, wie du schreibst unter WPA1 steht). Offenbar ist dein Router ein wenig confused.

Sobald ich beim Router allerdings "WPA2" einstelle, kann ich keine Verbindung mehr aufbauen, sonderbar, denn das dürfte ja kein Unterschied zu WPA(1)+TKIP&AES sein.

Das kann auch an deinem Client liegen, weil er eventuell kein WPA2 beherrscht. Haste das WPA2-Patch für XP installiert? Poste mal einen aussagekräftigen Screenshot von deinem Router.

Und von den "mixed" Varianten soll ich also generell die Finger lassen?

Kann ich nicht beurteilen, da ich das noch nicht ausprobieren konnte . Mein Netgear Router hat solch weitreichende Einstellungen nicht.

 

[lordZ]

Also hier mal generell alle Möglichkeiten zur Verschlüsselung:



Und hier mal was es bei WPA(1) zur Auswahl gibt. Bei WPA2 sind es allerdings genau die selben Möglichkeiten!



Die Linksys Geräte sind ja dafür bekannt, dass man wirklich viele Einstellungsmöglichkeiten hat, naja ich hab jedenfalls ne brandneue Firmware oben die gibts noch nicht mal auf deutsch ....
Vorher war WPA2 noch nicht möglich!