WPA2 - wie erreiche ich max. Sicherheit ?

[madmax2010]

paranoischen Gründe surfe ich ausschließlich per LAN oder DLAN.

Mach mal DLAN aus. Das strahlt weiter als WLAN unnd nicht alle adapter verschluesseln.

Und kauf mal einen neuen Router. Knapp 10 Jahre alt und bekommt keine Sicherheitspatches mher: https://en.wikipedia.org/wiki/Comparison_of_Fritz!Box_devices

 

[hanse987]

Vor was hast du den eigentlich Angst?

- Router ist über das Supportende hinaus.

- DLAN kann wenns blöd läuft auch beim Nachbarn ankommen.

 

[DarkInterceptor]

Die Tabelle ist mit jedem Tag mehr Mumpitz. Denn es geht jeden Tag schneller.

damit hast du schon recht. aber bis die 4 milliarden jahre auf ein sinnvolles maß gekürzt sind, vergeht noch so viel zeit und das wird von uns keiner erleben.

 

[Salamimander]

Keine Lust alles zu lesen, aber:

WPA —> Off (Also kein Mixed Mode)
WPA2 —> PMF on (kann und wird Probleme machen, also testen)
Falls machbar: WPA3 only.

Habe daheim:
WPA3 im eigenen VLAN (Da hängt alles drin was geht, primär Laptops und Handys)
WPA2/3 Mixed im eigenen VLAN (und das 2x, einmal für IOT Zeugs, 1x für alles das kein WPA3 kann)

 

[PhillyGran]

Sendeleistung reduzieren sorgt dafür dass Geräte mehr Strahlen um die Datenrate zu halten, macht den Akku theoretisch schneller leer, bringt quasi nichts, oder täusche ich mich da? 🤔

Ob du dich täuscht? Ich wünschte es mir, denn warum sonst sollte man die Sendeleistung reduzieren?

in bezug auf die realität bist du, vor dem rechner, die sicherheit für deinen rechner, mit deinem verhalten

So neu ist das Thema eh nicht, ich weiß. Aber ich als LAN Surfer bin da schon seit vielen Jahren nicht mehr up to date. Soll heißen, was genau meinst du mit meinem Verhalten? Ich habe für Vorschläge ein sehr offenes Ohr.

du solltest einen Kanal manuell auswählen können. bei mir z.b. ist es Kanal 6, der fix eingestellt ist. bei Problemen switche ich auf 10

Das geht leider nicht, denn alle Nutzer um mich herum haben anscheinend den Autokanal eingestellt. Dann wäre ich ständig am switchen. Mit Kanal 1 zum ausprobieren hat es ja auch nicht geklappt.

Was befürchtest Du denn?

Ganz salopp gesagt, dass jemand über meine Fritbox Zugriff auf mein Surfverhalten bekommt, emails lesen kann etc.

Vielleicht noch eine Anmerkung, dann muss ich Eier suchen gehen und komme später wieder. 👍

Unter dem Punkt "WLAN-Zugang auf die bekannten WLAN-Geräte beschränken" ist nur das Tablett meiner Frau aufgeführt. Bedeutet das, dass kein anderes WLAN auf meine FB zugreifen kann?

 

[Engaged]

Keine Ahnung warum man das sollte, kenne kein der das macht!

 

[Spiczek]

Würde ich aber nur machen wenn keine allways on Geräte wie smart Home Kram etc im Haushalt sind!

Wieso nicht? Das sie in dem Zeitraum nicht funktionieren ist klar. Aber sowie WLAN wieder da ist, sollte doch wieder alles gut sein, oder nicht?

Auch wenn @bender_ mich gleich wieder rüffelt aber auch wenn es stetig bessere Technik gibt, müsste doch die Zeit ganz unten rechts erstmal zu schaffen sein, oder nicht? Besonders, wenn da die Tabelle nur ein 16 stelliges Passwort als Maximum annimmt und da schon knapp 7,2 Mrd Jahre benötigt. Oder wie ist deine Aussage zu verstehen?

Grüße

 

[bender_]

Wieso sollte ich?
Ich hab die Tabelle schließlich verlinkt um genau das auszusagen, was Du nochmals in Prosa verfasst hast.
Ich hab nur nicht damit gerechnet, dass es hier Mitglieder gibt, die diese einfache Aussage offenbar nicht verstanden haben. 🤷‍♂️

 

[Ggrutz79]

Die wichtigsten Dinge die verhindern das ein Angreifer an das WLAN passwort kommt:

• WPA2 PSK(=Preschared Keys)
• Und ein so langes Passwort was man auch nicht erraten kann wenn man mehrere Milliarden Versuche durchspielt.
• WPS abschalten da viele Router dies nicht richtig implementiert haben und man ggf. den Schlüssel eraten kann.

Wichtig wäre noch folgendes:

• Schutz vor der KRACK Attacke entweder deine Geräte sind alle neuer (Software von 2018) oder du hast die möglichkeit "wpa_disable_eapol_key_retries=1" zu setzen
• Schutz vor Deauthentification Atacke bei der ein Angreifer das WLAN Gerät abmeldet. Leider kenn ich momentan den Name der Option

Optional

• Als cipher nur CCMP ohne TKIP (Nicht wirklich entscheidend, bei der Kombi WPA TKIP ist wohl möglich den Schlüsselstream zu generieren und dadurch Korrekt verschlüsselte Packete zu bauen)
• Eigene induviduelle ESSID das macht es schwieriger Passwörter durchzuprobieren, aber dein Passwort ist hoffenlich sowieso lang genug

Lasse so ein Unfug wie Netzwerk verstecken oder MAC access list die bieten keinen Schutz machen einem aber das Leben schwer

 

[DarkInterceptor]

Ganz salopp gesagt, dass jemand über meine Fritbox Zugriff auf mein Surfverhalten bekommt, emails lesen kann etc.

welches OS nutzt du? welchen Browser? welche VPN und Firewall?

stell DIR doch einfach die frage "Wie wichtig bin ich denn?" und wenn du zum schluss kommst das du und dein surfverhalten milliarden euro pro jahr bringen, dann mach was das es keiner sieht. wenn du zum schluss kommst das du unwichtig bist, dann lass den mist wie er ist. WPA2 und ein gutes PW reicht eigentlich aus und wenn einer meint er müsste gerade dich ausspionieren, dann macht der das mit und ohne verschlüsselung.

du hast doch sicherlich auch ein smartphone oder? dann wissen "die" doch eh imemr wo du wann bist. also mal den aluhut absetzen und die paranoia drosseln, da kaum einer von uns hier im forum so wichtig ist das es sich lohnt einen gewissen aufwand zu betreiben.

 

[areiland]

@DarkInterceptor
Vor allem müsste ein potentieller Angreifer dann auch die SSID seines Wlans eindeutig ihm zuordnen können. Sonst fischt derjenige nämlich im Trüben und kann nur auf gut Glück versuchen herauszufinden, welche SSID zu welchem Haushalt gehört. Manche tun das natürlich, dass sie ihrem Wlan eine personalisierte SSID verpassen, vermeidet man das und hat auch einen starken Netzwerkschlüssel, dann geht die Gefahr gezielter Angriffe gegen Null. Es sei denn natürlich, dass man das einzige Wlan weit und breit betreibt.

 

[chrigu]

Ganz salopp gesagt, dass jemand über meine Fritbox Zugriff auf mein Surfverhalten bekommt, emails lesen kann etc.



Unter dem Punkt "WLAN-Zugang auf die bekannten WLAN-Geräte beschränken" ist nur das Tablett meiner Frau aufgeführt. Bedeutet das, dass kein anderes WLAN auf meine FB zugreifen kann?

wieso sollte sich jemand Mühe machen die fritzbox zu hacken, wenn dein surfverhalten im Browser selber schon dank Cookies/Fingerprint/DNS und noch weitere trackmöglichkeiten legal abgegriffen werden kann?
——
Richtig, kein anderes Gerät kann ohne wpa2 passwort in dein wlan

 

[0-8-15 User]

@chrigu, es ging um die liebe Nachbarschaft und da macht es schon Sinn, sich wenigstens ein wenig mit dem Thema WiFi-Sicherheit auseinanderzusetzen. Bei einem Uralt-Router mit aktiviertem WPS ist das WiFi-Passwort in 5 Minuten geknackt.

@DarkInterceptor, Richtantenne aufs Fenster ausrichten und die Sache ist erledigt.

 

[PhillyGran]

Das hat aber nichts mit Sicherheit zu tun. Damit WPA2 sicher ist muss man vor allem ein langes, zufälliges Passwort setzen.

Wenn man diese Sachen richtig macht sollte WLAN sicher genug für den Hausgebrauch sein.

Mehr als WPA2 habe ich auch nicht.

Nur WPA2 mit AES zulassen.
Langes PW mit einer Mischung Klein- und Großbuchstaben, Zahlen und Sonderzeichen verwenden.

Auch kein AES. Kann sein, dass ich das weiter unten noch mal schreibe, hab` ja einiges zitiert. Ja, worum geht es? Ich bin eine reine Privatperson, ohne industrielle Geheimnisse, möchte aber nicht, dass jemand mitkriegt, auf welchen Seiten ich mich so herumtreibe.

und wenn, wäre das so schlimm, ohne den sehr langen Key der Fritzbox kommt er und kein anderer doch eh nicht in den WLAN Netz hinein

Ich hab` natürlich auch zu dem Thema bereits im Vorfeld gegoogelt, dass man z.B. keine typischen Zahlenfolgen wie 123456 eingeben solle oder Geburtstage. Das scheinen wirklich viele zu machen.

Beim Tablet und Nootbook kannst Du es speichern, musst es aber nicht.

Ich find` bei meinem Samsung TAB A7 noch nicht mal unter WLAN Einstellungen das PW wieder. Keine Ahnung, wo das ist. Mit Smartphones zusammen mit dem QR Code scheint es zu funktionieren, so einige Google Treffer.

"Auto" Kanal hat eigentlich nix mit Sicherheit zu tun.

Gut. 👍

Du machst dir Gedanken über WLAN, das mit ausreichend sicherem Passwort praktisch nicht zu knacken ist, hängst aber gleichzeitig einen Router der seit 5 Jahren keine Updates mehr gesehen hat direkt ins Internet?

Muss man nicht verstehen

Leute wie du sind mir die Liebsten. Du kennst den Begriff Empathie noch nicht mal aus dem Kreuzworträtsel. Du muss doch gemerkt haben, dass ich von tuten und blasen keine Ahnung habe, auf neutrale Hilfe angewiesen bin. Zum Glück gehörst du zur Minderheit, aber fachlich hast du natürlich recht.

Und kauf mal einen neuen Router. Knapp 10 Jahre alt und bekommt keine Sicherheitspatches mher:

Ich weiß, das hier ist eine lange Geschichte, aber man kommt Beispielsweise mit einem alten VW Käfer genauso ans Ziel wie mit dem neuesten Golf. Die Hinweise bzgl. eines Neukaufs gehen trotzdem nicht ungehört an mir vorbei, aber ich kapier einfach nicht, was an meinem Router so alt sein soll. Ist er für jede Software, trotz WPA2 und einem 20 stelligen Passwort mit allen nur erdenklichen Buchstaben, Zahlen und Sonderzeichen trotzdem offen, wie ein Scheunentor? Anders gefragt, schaffen es diese sogenannten Passwort Finder innerhalb kürzester Zeit auch mein schwieriges PW zu knacken, oder geht es gar nicht um das PW sonder um dieses WPA2, 3 mit oder ohne AES?

- DLAN kann wenns blöd läuft auch beim Nachbarn ankommen.

Okayyyy, gut zu wissen, danke für den Tipp.

WPA —> Off (Also kein Mixed Mode)
WPA2 —> PMF on (kann und wird Probleme machen, also testen)
Falls machbar: WPA3 only.

PMF sagt mir gerade nichts. WPA3 ist anscheinend in der Tat das Maß der aktuellen Dinge.

Die wichtigsten Dinge die verhindern das ein Angreifer an das WLAN passwort kommt:

• WPA2 PSK(=Preschared Keys)
• Und ein so langes Passwort was man auch nicht erraten kann wenn man mehrere Milliarden Versuche durchspielt.

Ja, wie gesagt. PSK habe ich nicht. Und wenn alles auf PSK als absolutes Minimum heraus läuft, dann rückt eine Neuanschaffung immer näher.

welches OS nutzt du? welchen Browser? welche VPN und Firewall?

stell DIR doch einfach die frage "Wie wichtig bin ich denn?"

Linux, Firefox, VPN kenne ich nicht, hab` gerade erst danach gegoogelt, keine Firewall. Hatte ich mal unter Windows. Ich bin nicht wichtig, nur nur mein Surfverhalten ist Privatsache.

du hast doch sicherlich auch ein smartphone oder?

NEIN

wieso sollte sich jemand Mühe machen die fritzbox zu hacken, wenn dein surfverhalten im Browser selber schon dank Cookies/Fingerprint/DNS und noch weitere trackmöglichkeiten legal abgegriffen werden kann?

Sorry, konnte dir fachlich nicht ganz folgen. Ich weiß zwar, dass meine Daten erfasst werden, egal wo ich drauf klicke. Ein klein wenig kann ich zwar mit NoScript und einem Werbeblocker gegensteuern, aber der Rest ist mir egal. Es geht mir ausschließlich um meine unmittelbaren Nachbarn.

Bei einem Uralt-Router mit aktiviertem WPS ist das WiFi-Passwort in 5 Minuten geknackt.

Tja, man guckt den Leuten nur vor`n Kopp. Die zur Rechten sind 60 Jahre alt, haben eine jüngere Tochter. Deren WLAN kommt bei mir am stärksten rein. Um die Hälfte weniger Sendeleistung kommt von jüngeren Leuten. Aber wir hatten die Frage noch nicht gänzlich geklärt, bringt die Reduzierung der Sendeleistung auf die niedrigste Stufe etwas? Engaged war sich da nicht ganz sicher. Die AVM Leute haben diese Option doch nicht ohne Grund untergebracht.

 

[chrigu]

Wenn man den Router nicht ans offene Fenster stellt, wo der Nachbar die wps Taste bequem drücken kann, ist die Wahrscheinlichkeit gering, dass dieser böse Nachbar ins wlan Netz einloggen kann. Ausser der beitragssteller benutzt wpa2/3 mit dem Passwort Admin,1234, 0815, PhillyGran, 2021, usw.

 

[0-8-15 User]

was an meinem Router so alt sein soll

Die Software und wenn Sicherheitslücken ungepatcht bleiben, hilft auch kein starkes Passwort mehr.

bringt die Reduzierung der Sendeleistung auf die niedrigste Stufe etwas?

Ein Angreifer wird sich davon nicht abhalten lassen, aber es erhöht den Aufwand unter Umständen. Ich würde die Sendeleistung gerade soweit reduzieren, dass überall dort, wo du WLAN brauchst, noch eine ausreichend gute Verbindung zustande kommt (mit dem Tablet durch Haus laufen und fortlaufend Speedtests machen). Die Nachbarn werden es dir danken (oder auch nicht), weil du dann deren WLAN weniger störst.

 

[cartridge_case]

möchte aber nicht, dass jemand mitkriegt, auf welchen Seiten ich mich so herumtreibe

Das hat doch aber nix mit WLAN zu tun. Weißt du, dass es LAN-Adapter für ein Tablet gibt?

 

[0-8-15 User]

Das hat doch aber nix mit WLAN zu tun.

Wenn der Nachbar das WLAN Passwort kennt, dann schon.

 

[areiland]

bringt die Reduzierung der Sendeleistung auf die niedrigste Stufe etwas?

Nicht wenn Du viele benachbarte Wlans hast, die Deinen Sender an die Wand drücken können. Dann erreichst Du nämlich mit der Reduzierung der Sendeleistung nur, dass Du Dein Wlan nicht mehr ausreichend stabil empfangen kannst und ständige Abbrüche hast. Hier muss immer ganz genau getestet werden, was machbar ist.

 

[Salamimander]

PMF = Protected Management Frames. WPA2/3 Mixed Mode Optional und WPA3 Pflicht