Wie sicher ist WLAN wirklich?

[ascer]

Hallo Community,



mich würde mal interessieren, wie sicher ein WLAN wirklich ist...
Die Möglichkeit die SSID zu verstecken z.B. täuscht zwar Sicherheit vor, aber wie ich schon vielfach gelesen habe, kann man mit verschiedenen Spoofing-Programmen "einfach" scannen, ob in der Luft ein WLAN rumschwirrt und mittels der Programmen dann auch mit etwas Zeitaufwand herausfinden, wie die SSID des WLANS ist.


Bleibt noch die WPA2-Verschlüsselung...ist die "einfach" zu knacken?
Wie kann man dort die Sicherheit erhöhen? Einfach ein langes Passwort verwenden?
Theoretisch müsste jemand doch mit einem entsprechendem Programm einfach nur mehrere Stunden das Funksignal des WLANs aufzeichnen, um dann genügend verschlüsselte Daten zu haben, damit er versuchen kann diese dann per BruteForce-Methode zu entschlüsseln?


Weiterhin könnte man natürlich am Router noch eine Mac-Filterung einsetzen, dass überhaupt nur bestimmte Mac-Adressen zugelassen werden...die Frage ist nur: kann man diese Mac-Adressen irgendwie auslesen?
Wie viele verschiedene Mac-Adressen gibt es maximal?
Denn Tools um Mac-Adressen softwareseitig zu faken oder gleich ganz zu ändern gibt's ja wie Sand am Meer im Internet...



Wie viel "Sicherheit" ist also tatsächlich letztenendes vorhanden?

Habt ihr vielleicht persönliche Erfahrungsberichte dazu? Wurde euer WLAN schonmal geknackt? Oder habt ihr selber versucht eurem eigenem WLAN mal einem "Sicherheitstest" zu unterziehen?



vielen Dank schonmal im vorraus für alle Antworten!

grüße,

ascer

 

[SubNatural]

Ja die SSID zu verstecken bringt nicht viel, da man mit Linux schön sniffen kann. WPA2 ist bisher ungeknackt, aber jemand hat es geschafft sich in die Box zu loggen und das Passwort auszulesen, daher ist es essentiell wichtig, das Passwort des Routers zu ändern.
Mac-Adressen lassen sich unter Windows mit der CMD und dem Befehl ipconfig /all herausfinden.
Also sich alleine auf Filterung der MAC-Adressen zu verlassen ist sicher fatal, aber dies in der Kombi mit WPA2 ist würde ich sagen unknackbar.

 

[flo36]

also WPA2 is schon sehr sicher und bis jetzt nicht geknackt. WEP gilt als veraltert.

Generell gilt, dass ein Passwort lange, verschiedene Buchstaben, Zahlen und Sonderzeichen usw. haben soll. Dann biste gegen Bruteforce ganz gut aufgestellt.

Da sich mit jeder Stelle die Anzahl der Versuche exponentiell steigert.

SSID ausblenden hat keinen Sinn.
MACs blockieren eher weniger, da man diese mit div. Programmen raussnifen kann.

 

[blablub1212]

mach dir auch nich so den kopf, private wlans sind vollkommen uninteressant. der aufwand einzubrechen ist einfach zu groß und es gibt zuviele offene wlans. ne kombination aus wpa2, macfilter und einer begrenzten anzahl an clients sollte dein wlan sauber halten ...

 

[ascer]

also ist eigentlich der einzige reale Schutz ein wirklich langes alphanumerisches Passwort in Verbindung mit einer WPA2-Verschlüsselung?!

 

[SubNatural]

Ich würde sagen, dass das der einzig nötige Schutz ist. Alles andere ist optional.
WPA2 ist bisher ungeknackt, also kann keiner rein und wenn man nicht gerade Gott oder Hallo als Passwort nutzt, ist das auch recht sicher(aber je außergewöhnlicher, desto sicherer)

 

[Vektor]

Mac-Addressen Filterung an sich, wenn richtig gemacht (also keine Bereichsfilter) dann ist sie sehr sicher. Mac Adressen haben IMO 48bit. Allerdings kann man davon schon einige ausschliessen usw. Das Problem ist, wer es schafft eine WPA2 Verschluesselung auszuhebel dem zeichnet ein MAC-Filter nur ein breites grinsen ins Gesicht

Privat reicht mit wpa2 auch ein 6 buchstaben passwort. Der Aufwand steht naemlich in keinerlei Relation zum nutzen (fuer den Angreifer).

 

[Blutschlumpf]

nö, der einzig reale Schutz ist ein Verzicht auf drahtlose Verbindungen jeder Art (also auch DECT, Handy, Funktastatur, Bluetooth, Infrarot).

WPA2 gilt als bisher nicht geknackt, das bedeutet nicht, dass es unknackbar ist oder nicht sogar schon geknackt wurde.
Wenn wir alle Pech haben finden die morgen ne Schwachstelle mit der man nen 128bit Key in 3 Sekunden knackt.
Nicht wahrscheinlich, aber ein "Restrisiko" bleibt wie man in der Energiebranche sagen würde.

 

[Affenkopp]

WPA2 reicht immer noch. Ich wohne in einem Ort mit ein paar Häusern und hatte mit einem Rechner Probleme bezüglich Verschlüsselung. Egal welche ch probiert habe, es klappte nichts (nur bei diesem Rechner).
Ich habe die Verschlüsselung dann deaktiviert, weil ich dachte, dass durch unseren Miniort eh nur Autos durchfahren. Wochen später schaute ich mal ins Protokoll des Routers und da wollten tatsächlich 3 Leute rein. Ich habe allerdings DHCP aktiviert und den Router so konfiguriert, dass niemand mehr eine IP bekommt. Nach dem Vorfall habe ich dann doch getüftelt bis WPA2 auch auf dem besagten Rechner lief. Das ist jetzt 2 Jahre her und seit dem war niemand mehr auf meinem Router...

 

[ascer]

Gibt es also sowas wie einen WPA2-MasterKey, der, wenn ein Mal geknackt, zur Aushebelung sämtlicher WPA2-Passwörter benutzt werden könnte?

@Affenkopp: Oha^^ interessant^^

 

[SubNatural]

Das ist aber nicht die Lösung des Problems. Man kann aber auch gerne 50m Kabel in den Garten legen bzw. mit dem Netbook per Kabel surfen.

 

[Felix#]

Die Kombination aus den 4 Sachen (Routerpasswort ändern, SSID verstecken, MAC-Filter & WPA2) bringt schon einen verhältnismäßig guten Schutz.
Wie schon jemand sagte, sind private Netzwerke normalerweise ziemlich uninteressant, vor allem derart "gesichert" ziemlich uninteressant ggü. anderen offenen WLANs im Umkreis.
Außerdem ist die Reichweite je nach Gebäude & Gelände ebenfalls recht begrenzt.

Es gibt ne gute andere Alternative für die paranoiden oder extrem sicherheitsliebenden User:
Einfach LAN-Kabel verlegen, sich mal mit Bohrhammer, Crimpen, Pinbelegungen & Auflegen beschäftigen.
Allerdings bleibt auch da dann noch die Unsicherheit Nr1, sowohl beim WLAN als auch LAN. Der eigentliche Zugang zum Internet... xD

 

[ika2k]

wir haben bei uns in der uni nur ein mac filter gehabt, damals habe ich mich in die mensa gesetzt - wireshark - smac - und go
Mac filter ist für die Katz
SSID verstecken eher unsicher, da man damit traffic erzeugen kann (hilft als dem Hacker)

Gutes PW und WPA2 ist mit handelsüblichen Mitteln dagegen bisher sicher...

 

[Yuuri]

Privat reicht mit wpa2 auch ein 6 buchstaben passwort. Der Aufwand steht naemlich in keinerlei Relation zum nutzen (fuer den Angreifer).

Bitte was? Eine 5870 berechnet ungefähr 2 Mrd. Schlüssel pro Sekunde. Ohne irgendwelche Einflüsse, wäre ich da in weniger als einer Sekunde durch. Mit verschiedenen Delays läge das Passwort wohl in maximal einer Woche offen und dann kann schön Schindluder getrieben werden (natürlich nur in Deutschland). Selbst mit einer stink normalen CPU wäre ein sechsstelliges Passwort fix geknackt.

 

[ascer]

Allerdings bleibt auch da dann noch die Unsicherheit Nr1, sowohl beim WLAN als auch LAN. Der eigentliche Zugang zum Internet... xD

Für sowas liebt der sehr paranoide Mensch dann ja Router mit Hardware-Firewall, einen dahintersitzenden Rechner mit Linux-Firewall, der als einziger den gesamten Verkehr zum eigentlichen Internet-Router routet^^

und hinzukommend bei jedem Client eine Hardware-Firewall + Softwarefirewall + Laufwerksverschlüsselung.

Sensible Daten legt man dann natürlich nur in eine extra mit AES 256bit verschlüsselte Datei ab und diese Datei selbst sollte dann natürlich möglichst ein Format haben, wie z.B. Microsoft OneNote, was die interne Verschlüsselung nochmals zulässt^^



EDIT: Gibt es denn bereits einen WPA2-Nachfolger?

&

EDIT2: Gibt es sowas wie einen WPA2-MasterKey, der, wenn ein Mal geknackt, zur Aushebelung sämtlicher WPA2-Passwörter benutzt werden könnte?
Oder warum spricht man immer von "WPA2 bisher ungeknackt"?

 

[KainerM]

Selbst verkabelte Verbindungen sind "abhörbar", wenn auch nur mit erheblichem Aufwand. Aber die Elektromagnetischen Emissionen sind in der Theorie abhörbar, und in gewissen Fällen wird das sogar gemacht. Ich hab mal in einem Pharmakonzern gearbeitet - das Gebäude war dermaßen abgeschottet, dass innen nichtmal ein Handy funktionierte, auch nicht am Fenster. Vorne draußen voller Empfang.

Allerdings sehe ich kaum Sinn in einer übertriebenen Verschlüsselung. Es ist für mich so eine Gratwanderung - einerseits mag ich meine Privatsphäre, andererseits habe ich nichts zu verstecken, dass den Aufwand einer groß angelegten Knackaktion wert wär. Den Aufwand, irgendwelche Bilder oder Dokumente auf meinem Rechner AES zu verschlüsseln mache ich mir absolut nicht.
Verschlüsselt sollte ein WLAN aufgrund der Gesetzeslage in Deutschland aber IMMER sein, da der Anschlussinhaber im Falle einer über ein unverschlüsseltes Netz durchgeführten Straftat mithaftet.

Besonders lustig ist dass diejenigen, die ihre Daten am besten schützen, weil das ja so wichtig ist, eine Kundenkarte bei den meisten Geschäften, Accounts bei Youtube, Facebook, Google, etc., Webblogs, Forenmitgliedschaften haben. Und über diese Dinge geben sie dann letzten Endes mehr preis, als Sie jemals vermutet hätten.

WPA2 bisher ungeknackt: es ist kein effizientes Verfahren bekannt, mit dem WPA2-schlüssel geknackt werden können. Die einzige als funktionierend anerkannte Methode ist Brute Force, und die dauert bei entprechend langen Kennwörtern schlicht "ewig".

mfg

 

[XimeX]

Hier noch paar infos zur WPA2 Verschlüsselung:
Um diese zu knacken können braucht es folgende dinge:
-) ausreichend mitgesniffte datenpakete
-) mitgesniffter handshake (verbindungsaufbau eines gerätes mit dem router)
-) das eigentliche passwort wissen bzw mit bruteforce alle möglichen passwörter auf die gesammelten daten+handshake anwenden

dazu ist aber zu sagen:
-man kann schlechte konfigurierte clients dazu bringen sich neu zu verbinden -> handshake rausbekommen
-wenn man ein ausreichend langes UND gutes passwort (nicht im wörterbuch, sonderzeichen etc) hat braucht man schon eine immense rechenleistung (ich rede hier von 50 grafikkarten oder mehr etc) um da in einer akzeptablen zeit einzubrechen (mit bruteforce)

daraus folgt -> WPA2 Verschlüsselung + GUTES Passwort = unknackbar
(mit heutigen mitteln in akzeptabler zeit+aufwand)

Es könnte halt sein das in Zukunft eine schwachstelle im Algorithmus gefunden wird damit die rechtenzeit um ein paar potenzen verringert wird aber sehr unwahrscheinlich


PS: Wenn du mal selbst versuchen willst dein WLAN zu knacken -> Linux + Aircrack


Edit: Nein es gibt nicht so etwas wie einen Masterkey wie bei der PS3 etc.
Und mir ist auch noch nichts von einem Nachfolger von WPA2 bekannt.

PPS: Google mal nach WPA2 + RADIUS Server. Vll befriedigt das deinen Sicherheitswahn xD

 

[Frader]

Bitte was? Eine 5870 berechnet ungefähr 2 Mrd. Schlüssel pro Sekunde. Ohne irgendwelche Einflüsse, wäre ich da in weniger als einer Sekunde durch.

Mag ja seindas die Karte so schnell rechnet, aber hast du evtl. schon mal daran gedacht wieviel IP-Packete(also Anfragen) du pro Sek. senden oder der Empfänger empfangen kannst?

Wenn wir jetzt mal von ganz normalen Otto-Normal-Router ausgehen ist die Bandbreite was das Ding verarbeiten kann ein Witz!

 

[XimeX]

Kommt draufan welche Methode man macht. Entweder mit PW ausprobieren. -> Hier ist der Router wirklich das bremsende
oder auf richtig knacken:
also mitsniffen (handshake,...) dann gehts rein um die rechenleistung des PC mit dem man es knacken will

 

[Affenkopp]

@Affenkopp: Oha^^ interessant^^

Das habe ich mir auch gedacht, denn aufgrund meiner Nachbarschaft (3 Häuser in denen nur Rentnr ohne Internet wohnen) war ich umso erstaunter.
Aber wahrschlich reichen schon Smartphones die ständig nach WLANs suchen, um darüber gratis zu surfen.
In unerem Kaff würde ich als Smartphonebesitzer gar niht auf die Idee kommen, nach einem WLan zu suchen. Ich bin schon froh, dass ich 3000er DSL haben kann.