Sicheres WLAN mit WPA2 einrichten?

[rush2000]

Nun denn, habe mich jetzt auch noch mal ein wenig schlauer gemacht, was vlt. nicht unbedingt zum Verständnis beiträgt :

1.) Auch wenn ich mich wiederhole: AES ist von der Hardware abhängig. Eine Software gestützte Implementierung ist nur unter extremen Performanceverlusten möglich.

2.) Das ist jetzt neu: Lt. dem Standard muss WPA zertifizierte Hardware TKIP können, AES ist optional. Das heisst also: WPA1 Hardware kann eventl. bereits die Verschlüsselung per AES beherrschen. WPA2 zertifizierte Hardware muss AES können, hier ist TKIP optional.

3.) Die mixed Varianten erlauben sowohl WPA1-Clients als auch WPA2-Clients

4.) steht im Router nur "RADIUS" ist hiermit lediglich die Authentifizierung gemeint, es erfolgt also keine Verschlüsselung.

Wenn du also mit WPA2 Probleme hast, muss ich annehmen, dass deine clientseitige Hardware (WLAN-Karte) kein AES beherrscht bzw. der Patch für XP nicht installiert ist.

Welche Hardware/Karte hast du denn auf der Clientseite?

 

[lordZ]

Ich bin eigentlich nicht so scharf darauf, WPA2 zu benutzen, wenn WPA(1) tatsächlich nur durch Brute Force "geknackt" werden kann - das dürfte für uns hier sicher genug sein. 20-stelliges PW ist ja kein Problem!

Theoretisch sollte der Client aber keine Probleme mit WPA2 haben, es handelt sich um ein Acer Notebook der neuesten Generation und in der beiliegenden Netzwerk(WLAN)-Software ist auch die Möglichkeit auf WPA2 zu connecten standardmäßig aufgeführt. Nur hab ich mit dieser Software bis jetzt noch nicht viel getan und extra M$-Updates sind auch keine drauf (außer die Standard-Automatischen Updates). Ich werde das aber mal so lassen denn mir ist das zu Versuchszwecken so lieber.

Mir wärs halt sehr recht, wenn ich mal die paar WPA(1) Einstellungen meines Routers zu 100% begreife. Und da bin ich mir halt noch unsicher!

- WPA(1) mit TKIP - funzt mit den Client - alles klar!

- WPA(1) mit AES - funzt auch, d.h. der Client müsste generell (also ohne irgendwelche Updates) mit AES klarkommen! Aber warum geht dann mit WPA2 nix?

- WPA(1) mit TKIP&AES - funzt auch, aber kA was das jetzt genau ist? Bedeutet das vielleicht, dass sowohl Clients die NUR TKIP als auch Clients die AES beherrschen akzeptiert werden?

 

[rush2000]

- WPA(1) mit AES - funzt auch, d.h. der Client müsste generell (also ohne irgendwelche Updates) mit AES klarkommen! Aber warum geht dann mit WPA2 nix?

OK, dann scheint dein Client also sogar AES im WPA1 Modus zu beherrschen. AES ist erst nachträglich zu WPA1 hinzugekommen. Nämlich zu dem Zeitpunkt, als klar war, welcher Algorithmus für AES das Rennen macht (Rijndael).

Bei WPA2 gibt es natürlich nicht nur die Änderung der Standard-Verschlüsselung auf AES sondern noch einige Dinge mehr. Zum Beispiel wurde der 6-way handshake auf einen 4-way Handshake reduziert. es gibt noch 2,3 mehr Änderungen, die aber im Vergleich zu AES nicht bahnbrechend sind. Daher kann es schon sein, dass dein Client zwar AES in WPA1 beherrscht, mit WPA2 aber nix anfangen kann, ich persönlich würde die Patches installieren bzw. SP2. Dort sind die Patches enthalten. Wenn es damit nicht geht, kannst du sicher sein, dass deine Hardware kein WPA2 kann.

- WPA(1) mit TKIP&AES - funzt auch, aber kA was das jetzt genau ist? Bedeutet das vielleicht, dass sowohl Clients die NUR TKIP als auch Clients die AES beherrschen akzeptiert werden?

Genau, das. Und zwar im Sinne von WPA1.

 

[lordZ]

Hmmm ... also SP2 habe ich schon oben am Laptop! Werd jetzt einfach nochmal WPA2 versuchen vielleicht klappts ja. Aber soll ich jetzt defintiv AES und nicht TKIP verwenden wenn ich WPA2 einstelle?

 

[rush2000]

Aber soll ich jetzt defintiv AES und nicht TKIP verwenden wenn ich WPA2 einstelle?

Wenn WPA2, dann mit AES. TKIP ist zwar soweit sicher, die Frage ist allerdings wie lange noch. Es gibt ein paar Schwachstellen die TKIP angreifbar machen. Ob diese Angriffe zum Erfolg führen ist jedoch eine andere Frage. Derzeit lautet die Antwort darauf: Nein.

AES ist eben Standard im WPA2, TKIP dagegen ist optional, d.h. die Hardware muss es nicht beherrschen. Bei WPA1 ist es genau anders herum.

 

[lordZ]

Hab jetzt nochmal getestet:

WPA funzt sowohl mit TKIP, als auch mit AES.
WPA2 funzt WEDER mit TKIP, NOCH mit AES.
- und das finde ich einfach sehr sonderbar, denn eigentlich sollte WPA1 mit AES dann auch nicht funzen.

Was mir jedenfalls aufgefallen ist: Benutzt man WPA1 wird dies vom Windows richtig erkannt:



Benutzt man allerdings WPA2 (bzw. benutze ICH ) WPA2 dann steht da nix mehr von WPA oder so dabei.

Ich werde jetzt dann jedenfalls noch diese Acer Software testen, mal schauen!

/edit:
So hab jetzt die Acer Software am Start und damit gibts auch mit WPA2 keine Probleme. Allerdings gibts da so viele Einstellungsmöglicheiten, wäre gut wenn du mich da evt. auch noch bissl aufklären könntest. Werde später mal dazu was fragen, jetzt muss ich aber mal arbeiten.

 

[rush2000]

WPA2 funzt WEDER mit TKIP, NOCH mit AES.
- und das finde ich einfach sehr sonderbar, denn eigentlich sollte WPA1 mit AES dann auch nicht funzen.

Doch das kann schon sein. WPA2 ist NICHT gleich WPA1 + AES (siehe mein Post von gestern Abend 20.31 Uhr)

 

[lordZ]

Jop - schon klar, habe deinen entsprechenden Post aufmerksam genug gelesen, aber ich finde es trotzdem sonderbar, dass ein Hardwarehersteller AES ermöglicht, aber kein WPA2, denn von AES zu vollständigem WPA2 wäre der Schritt sicher nicht mehr so groß denke ich mal.
Außerdem mit der Acer Software funzt es ja dann, deshalb wunderts mich auch dass es mit XP+SP2 alleine nicht klappt.

 

[rush2000]

Sorry, dachte bis jetzt, dass WPA2 mit SP2 unterstützt wird. Ist aber offenbar doch nicht der Fall. Schau mal hier:

http://www.microsoft.com/downloads/...4D-E7C1-48D6-95EE-1459234F4483&displaylang=de

http://support.microsoft.com/default.aspx?scid=kb;de;893357

 

[lordZ]

Aha OK - Danke!

Habs mir mal gezogen und werd es zum Test installieren, aber schlussendlich werde ich dann wohl doch "nur" WPA verwenden (um Kompatibilität mit anderen eventuellen Clients, sprich älteren Laptops, sicherzustellen).

Mal so ne Frage am Rande: Was muss man machen um sich so gut mit dieser Materie auszukennen wie du?

 

[rush2000]

Aha OK - Danke!
Mal so ne Frage am Rande: Was muss man machen um sich so gut mit dieser Materie auszukennen wie du?

Danke für die Blumen .

1.) Wirtschaftsinformatik studieren.
2.) Dipl. Arbeit über die Materie schreiben bzw. geschrieben haben
3.) Artikel in Fachzeitschriften schreiben (in der kommenen Linux-Intern kommt einer über WLAN-Sicherheit)
4.) verdammt viel Recherche
5.) viel Zeit haben
6.) ein bisschen Freaky sein
7.) und zu guter letzt eine Freundin haben die das alles mitmacht, damit man auch mal Abstand gewinnt.

 

[Noxman]

So, ich auch mal wieder da!

Als reiner Anwender habe ich natürlich nicht die "technische" Erfahrung wie rush2000. Ich brauchte bei meinem Samsung Laptop mit Intel BG2200er WLAN Karte aber nur das Intel PROSet statt der Windows XP eigenen Software zum Einsatz zu bringen und schon habe ich WPA2 einsetzen können.

Gruss Nox

 

[lordZ]

Aha gut zu wissen!

Hier noch ne kleine Frage zum Screenshot warum steht da nix bei Verschlüsselung?

Und wenn ich jetzt meine endgültige Wahl treffen will: Der beste Kompromiss zwischen Sicherheit und Kompatibilität auch mit etwas älteren Clients wird wohl WPA mit TKIP und einem entsprechend sicheren PW sein, oder? uu132uh44laa512laa1024

 

[rush2000]

Hier noch ne kleine Frage zum Screenshot warum steht da nix bei Verschlüsselung?

Gute Frage . Da sollte eigentlich TKIP stehen. Da aber TKIP in WPA verbindlich ist, glaub ich nicht daran, dass er zwar per WPA/PSK authentifiziert und schliesslich nicht verschlüsselt. Wenn eine Hardware WPA beherrscht, dann mit TKIP (oder AES). Ich gehe daher davon aus, dass es ein Anzeigefehler in der Software ist.

Und wenn ich jetzt meine endgültige Wahl treffen will: Der beste Kompromiss zwischen Sicherheit und Kompatibilität auch mit etwas älteren Clients wird wohl WPA mit TKIP und einem entsprechend sicheren PW sein, oder? uu132uh44laa512laa1024

Aufgrund deines sehr guten Routers brauchst du gar keinen Kompromiss zu schliessen. Du kannst auch diesen TKIP & AES Mode nehmen. Dann kannst du deinen Client mit AES auf den Router schicken und fremde, ältere Clients, die nur TKIP beherrschen, können auch connecten.

PS: uuhuuh lala

 

[lordZ]

Aufgrund deines sehr guten Routers brauchst du gar keinen Kompromiss zu schliessen. Du kannst auch diesen TKIP & AES Mode nehmen. Dann kannst du deinen Client mit AES auf den Router schicken und fremde, ältere Clients, die nur TKIP beherrschen, können auch connecten.

Das hört sich natürlich sehr attraktiv an, aber ist AES+TKIP denn sicherer als TKIP-only? Wenn ich AES+TKIP aktiviere dann habe ich ja erst wieder die "Schwachstellen" von TKIP drinnen, also kann ich auch gleich TKIP-only verwenden?
Ich denk mal ich hab da irgendwas noch nicht so ganz verstanden!

 

[rush2000]

Nur dass da keine Zweifel aufkommen: TKIP ist (derzeit) sicher. AES ist sicherer .
Warum sollte man also den Clients, die AES bereits in WPA1 können, die Möglichkeit nehmen, AES zu benutzen?

 

[lordZ]

Warum sollte man also den Clients, die AES bereits in WPA1 können, die Möglichkeit nehmen, AES zu benutzen?

Ok - ist klar!

Aber nur aus Verständniszwecken: Ein eventueller "Angriff" auf das WLAN ist doch nur Sache zwischen dem Accesspoint/Router und dem Client des Angreifers, oder? Somit dürfte die Routereinstellung TKIP&AES grundsätzlich nicht sicherer sein als TKIP-only?

/edit: Ich möchte nochmal einbringen, dass ich es toll finde, dass ich es auch wiedermal mit Leutz zu tun haben darf, die wirklich wissen, von was sie reden! Das hat Sinn! Echt souverän!!

 

[rush2000]

Ok - ist klar!
Aber nur aus Verständniszwecken: Ein eventueller "Angriff" auf das WLAN ist doch nur Sache zwischen dem Accesspoint/Router und dem Client des Angreifers, oder?

Nicht ganz. Die Angriffe auf WEP basieren zum Beispiel auf der Erzeugung von Traffic zwischen deinem Client und dem Router. Ohne rechtmäßig angemeldeten Client funktionieren die Angriffe auf WEP nicht. Der Traffic wird dann gesnifft.
Auch der Dictionary Angriff auf WPA snifft den Handshake zwischen dir und dem Router und versucht dann durch Brute Force des PW zu knacken. Das Angriffsziel ist also fast immer ein rechtmäßig angemeldeter Client (Du). Wenn du mehr über die Angriffe auf WEP und WPA erfahren möchtest, kauf die nächste "LINUX Intern". Da kommt der entsprechende Beitrag.

Somit dürfte die Routereinstellung TKIP&AES grundsätzlich nicht sicherer sein als TKIP-only?

Sie ist sicherer, da die Clients, die AES in WPA1 beherrschen auch per AES connecten können. Aber wie bereits gesagt, wir reden hier von sicher und noch sicherer .

Ich möchte nochmal einbringen, dass ich es toll finde, dass ich es auch wiedermal mit Leutz zu tun haben darf, die wirklich wissen, von was sie reden! Das hat Sinn! Echt souverän!!

Nochmal danke für die Blumen . Auch ich habe im Laufe unserer "Unterhaltung" noch ein wenig hinzugelernt.

 

[cold[feetz]]

Also kann ich davon ausgehen, dass mein jetztiges Netztwerk sicher ist, da ich WPA1 mit nem über 60 Stelligen PW und Mac Kontrolle hab?

Ich denke mal damit bin ich zwar nicht so sicher wie mit WPA2 aber immerhin aircrackproofed

 

[lordZ]

Ich denke mal auf das mit den MAC Adressen könntest du verzichten.