Sicheres WLAN mit WPA2 einrichten?

[rush2000]

Also kann ich davon ausgehen, dass mein jetztiges Netztwerk sicher ist, da ich WPA1 mit nem über 60 Stelligen PW und Mac Kontrolle hab?

Jep.

Ich denke mal auf das mit den MAC Adressen könntest du verzichten.

Auch Jep . Wird eh unverschlüsselt übertragen.

 

[cold[feetz]]

Na da bin ich aber beruhigt.

Anhang

 

[rush2000]

@cold[feetz]:
"Unallowed Access" heisst doch nur, dass die Schutzmechanismen greifen.
Also alles im grünen Bereich.

 

[mensa]

Hi, ich hab diese wirklich interessante Diskussion über Google gefunden und aufmerksam durchgelesen.

Das Ergebnis ist also, dass WPA2 mit AEs das zur Zeit sicherste darstellt, richtig?

Was wäre mit RADIUS? Was ist das genau und was würde das helfen? Wäre das noch sicherer?
Braucht man dafür wirklich einen Server, oder könnte diese Aufgabe nicht auch gleich der Linksys Router übernehmen?

 

[rush2000]

Das Ergebnis ist also, dass WPA2 mit AEs das zur Zeit sicherste darstellt, richtig?

Right .

Was wäre mit RADIUS? Was ist das genau und was würde das helfen? Wäre das noch sicherer?
Braucht man dafür wirklich einen Server, oder könnte diese Aufgabe nicht auch gleich der Linksys Router übernehmen?

RADIUS ist ein Protokol zur server-gestützten Authentifizierung. Eine Verschlüsselung muss man normalerweise extra dranhängen (z.B. PEAP, Anleitungen gibt es im Web zuhauf, meist auf Linux-Basis).

Du brauchst also i.d.R. einen Server, der einen RADIUS-Server am laufen hat. Diese Authentifizierungsmethode ist nicht sicherer, eher im Gegenteil. Da man sich im erhöhten Maße um die Sicherheit des Servers an sich kümmern muss und die überwiegende Mehrheit derartiger Implementierungen wahrscheinlich semiprofessionell stattfinden, wird sie teilweise sogar unsicherer.

Ein RADIUS-Server wird daher zumeist sinnvoll in Enterprise(Firmen)-Umgebungen eingesetzt. Hier findet man dann auch das entsprechende Know-How. Du hast eben bei einem PSK-Schlüssel immer das Problem, von ausscheidenden Mitarbeitern. Scheidet ein MA (kann ja auch ein externer sein, z.B. zur Projektunterstützung) aus, muss also der PSK immer wieder geändert werden, was schon bei 20-30 Mitarbeitern recht aufwendig ist, da jeder den Schlüssel ändern muss. Auch die kurzfristige Nutzung des WLAN durch irgend jemanden, der nur 2 oder 3 Tage die Nutzung benötigt, gestaltet sich als schwierig. Daher greift man hier zur server-basierten Authentifizierung. Hier wird dann für jeden Mitarbeiter eben ein Account eingerichtet, der beim Ausscheiden einfach wieder gelöscht werden kann.

Manche Router (und ich glaube, das waren die Linksys-Teile, kommt bei Linksys ja immer auf die Firmware an) haben einen kleinen RADIUS-Server bereits implementiert. Wie gut das ist, kann ich nicht beurteilen, da mir bisher kein deratiger Router zur Verfügung stand.

 

[lordZ]

War jetzt eine Woche nicht zu Hause und als ich gestern ins WLAN wollte hab ich bemerkt, dass ich es vor ner Woche aus Gewohnheitsgründen ausgeschaltet habe (hatte vor WPA nämlich bereits ein paar Tage WEP64 benutzt, aber immer nur wenn ichs mal ne Stunde gebraucht habe wurde es aktiviert).

Ist es jetzt mit WPA auch noch sinnvoll, das WLAN abzudrehen, wenns grad mal keiner braucht?

Noch ne Frage: Es gibt bei den WPA-Einstellungen auch die Option "Group Key Renewal" - ist standardmäßig auf 3600 seconds gestellt - was bedeutet das? Ist diese Einstellung in Ordnung?

Danke!

 

[Noxman]

Ausschalten brauchst du das WLAN bestenfalls nur aus Stromspargründen.

Gruss Nox

 

[lordZ]

Ok - also nicht aus Sicherheitsgründen?

 

[rush2000]

Ist es jetzt mit WPA auch noch sinnvoll, das WLAN abzudrehen, wenns grad mal keiner braucht?

Sehe ich im Prinzip genauso wie Noxman. Wobei in meinen Augen eine Stromersparnis nur durch Deaktivierung des WLAN eher fragwürdig ist. Wenn Ersparnis, dann den gesamten Router abschalten.

Noch ne Frage: Es gibt bei den WPA-Einstellungen auch die Option "Group Key Renewal" - ist standardmäßig auf 3600 seconds gestellt - was bedeutet das? Ist diese Einstellung in Ordnung?

Bei WPA gibt es nur noch einen statischen Key und das ist der PSK. Der wird aber nur für den Handshake verwendet. Danach kümmert sich der Rekeying Mechanismus um das regelmäßige Neuerstellen der Schlüssel. 60 Minuten ist OK, da der Initialisierungsvektor von WEP um 24Bit auf 48Bit verlängert wurde. Wiederholungen sind daher in 60 Minuten sehr unwahrscheinlich. Man kann das Intervall bis auf 99999sec hochsetzen, was Performance bringen soll. Ich weiss aber nicht, was dabei aufwendig sein soll, jede Std. neue Schlüssel zu erzeugen. Daher halte ich das hochsetzen für etwas überzogen und obendrein auch für recht unsicher (Vermutung).

 

[lordZ]

OK - Danke!

 

[faBul0us]

Hallo


ich würde auch gerne eine WPA-RADIUS Lösung bei mir im Unternehmen machen. Habe einen WRT54GL und ein Freeradius läuft hier auch schon. Leider weiß ich nicht wie ich das auf dem Radius einrichte. Kann mir das jemand mal erklähren bzw. einen Link geben wo das steht. Am besten auf Deutsch :-)

MFG

 

[rush2000]

ich würde auch gerne eine WPA-RADIUS Lösung bei mir im Unternehmen machen. Habe einen WRT54GL und ein Freeradius läuft hier auch schon.

Da wirst du dich wohl mal ein wenig durch die freeradius-Docu kämpfen müssen.

Hier eine Anleitung, wie du bei Win2000 den Radius-Server nutzt:
http://www.windowsnetworking.com/kb...adiustoauthenticatewireless802.1xclients.html

 

[privacy]

Fand die ganzen Ausführungen sehr interessant und bedanke mich schonmal für die vielen neuen Infos. Nun würde ich doch noch gerne wissen, wie einfach es ist ein MAC Adresse zu faken? (funktioniert es über spezielle Karten, die per FW eine MAC Adresse zugewiesen haben?)

Gruß Denis

 

[Noxman]

Die MAC Adresse kann man afaik unter Linux mit einem einfachen Programm ändern, bei Windows bin ich mir nicht so sicher. Genauere Infos kannst du bei rush2000 erfragen.

Gruss Nox

 

[privacy]

Ok die Aussage reicht mir dann eigentlich schon. Naja für die Kids, die keine Ahnung haben ist es trotzdem eine kleine Barriere.

Gruß Denis

 

[Noxman]

Das auf jedenfall! Ein wenig Ahnung muss man schon mitbringen.

Gruss Nox

 

[bobSE]

Für das ändern der MAC-Adresse unter Unix/Linux reicht ein einzelner Konsolenbefehl. Der MAC-Filter ist deswegen aber nicht nutzlos, für den Nachbarn von nebenan stellt auch der ein Hindernis dar.

 

[The Prophet]

Auch unter Windows stellt es keine Hürde da. Viele karten erlauben das sogar über den Gerätemanager.

 

[geo2810]

hallo

bin zufällig auf diesen thread gestoßen

echt gute info die ich da bekommen habe

DANKE

habe nun meinen router und den wlan-pc verbunden

am Router (WRT54GL - Wireless-G - Broadband-Router) WEP2 (TKIP+ASO) und

am wlan usbstick (WUSB54GC - Wireless-G - Kompakt-USB-Adapter) WEP2 (TKIP) eingestellt

im netz auf dieser seite http://darkvoice.dyndns.org/wlankeygen/

so einen key erzeugt

Keytype: wpa hex 64
Charset: 0123456789ABCDEF
Keylength: 64
No repeat: 10

und alles funktioniert besten
ich bin voll und ganz zufrieden

der tread war goldeswert

nun hoffe ich das ich mit dieser konfig gut geschützt bin

lg
geo