WPA2 - wie erreiche ich max. Sicherheit ?

[PhillyGran]

Wenn man den Router nicht ans offene Fenster stellt, wo der Nachbar die wps Taste bequem drücken kann, ist die Wahrscheinlichkeit gering, dass dieser böse Nachbar ins wlan Netz einloggen kann. Ausser der beitragssteller benutzt wpa2/3 mit dem Passwort Admin,1234, 0815, PhillyGran, 2021, usw.

Klingt nachvollziehbar.

Ich würde die Sendeleistung gerade soweit reduzieren, dass überall dort, wo du WLAN brauchst, noch eine ausreichend gute Verbindung zustande kommt

Ich bin am Minimum der Leistung angelangt und habe noch eine gute Verbindung.

Nicht wenn Du viele benachbarte Wlans hast, die Deinen Sender an die Wand drücken können. Dann erreichst Du nämlich mit der Reduzierung der Sendeleistung nur, dass Du Dein Wlan nicht mehr ausreichend stabil empfangen kannst und ständige Abbrüche hast. Hier muss immer ganz genau getestet werden, was machbar ist.

Mehrfachzitate, in denen meine eigenen Postings drin stehen, kann ich noch nicht. Du hast meine Frage zur Sendeleistung zitiert: Nun, was du schreibst, kann ich bestätigen. Es kommen zwar weniger fremde Router rein, aber immer noch ne Hand voll.

Im übrigen habe ich bereits meine Fühler nach einer 7490 ausgestreckt. Auch ein Youngtimer, aber zu WPA3 fähig. Denn ich darf nicht vergessen, meine Notebooks sind auch nicht mehr die Jüngsten. Was mein Lenovo T430s implementiert hat, weiß ich gar nicht, ob überhaupt WPA2. Daher werde ich es immer per LAN betreiben, aber mein "Neueres", ein T460s verfügt über WPA2-PSK. Weiterhin habe ich hier gelesen,

https://praxistipps.chip.de/wpa2-ccmp-bedeutung-und-sicherheit-des-netzwerk-standards_51810

dass vor 4 Jahren WPA2 ccmp das Maß aller Dinge war und das "kann" meine 7272 auch. Irgendwann ist alles überholt, auch WPA3.

Das hat doch aber nix mit WLAN zu tun. Weißt du, dass es LAN-Adapter für ein Tablet gibt?

Meine Frau würde mich killen. Das Tablet ist für sie und möchte unter keinen Umständen mehr ans Kabel gebunden sein.

Was das andere betrifft: "möchte aber nicht, dass jemand mitkriegt, auf welchen Seiten ich mich so herumtreibe" und deine zitierte Antwort.

Niiiiiiicht??????? Aber genau das war der Grund für meine Anfrage. Nicht sauer sein, aber was ist denn dann der Grund für die Verschlüsselung, bzw. was will man damit erreichen? Google sagt, dass übertragene Daten vor Unbefugten und Mitlesern geschützt werden sollen. Was denn für Daten? Die einzigen Daten, die ich übertrage, sind emails.

 

[areiland]

Nun, was du schreibst, kann ich bestätigen. Es kommen zwar weniger fremde Router rein, aber immer noch ne Hand voll.

Du hast das nicht verstanden! Die Reduzierung der Sendeleistung hat nichts mit der Empfangsleistung zu tun. Wenn Du die Sendeleistung Deines Routers herabsetzt, dann kann es passieren, dass andere Wlans Deines sogar in unmittelbarer Umgebung zum Router überstrahlen, was die Verbindungsqualität Deiner Wlan Verbindung erheblich stören wird. Das wird passieren, wenn unmittelbar unter, über, links und rechts von Dir Router mit voller Sendeleistung auf den 2,4 und 5 Ghz Frequenzen senden, während Du die eigene Sendeleistung zurückgefahren hast, weil Du glaubst dadurch einen Sicherheitsgewinn zu haben.

Dann bricht Dir ruckzuck Dein eigenes Wlan zusammen, weil Deine Sendeleistung nicht mehr ausreicht, um ein stabiles Wlan aufrecht zu erhalten.

 

[Engaged]

Solange du kein wpa3 only Netzwerk hast bringt es dir nichts außer verschiedene Nachteile, im Mischbetrieb (wie bei Fritzbox) kann außerdem jemand der wpa2 hacken kann hust deine clients auch zum downgrade der Verschlüsselung zwingen, und auch wpa3 selbst hat schon bevor verbreitet Schwachstellen die man hacken kann hust!

https://www.infopoint-security.de/d...wachstellen-im-wpa3-wlan-standard-auf/a19732/

 

[Spiczek]

Dann bricht Dir ruckzuck Dein eigenes Wlan zusammen, weil Deine Sendeleistung nicht mehr ausreicht, um ein stabiles Wlan aufrecht zu erhalten.

@ PhillyGran das wird beim profanen surfen vllt nicht auffallen, oder beim email check. Aber deine bessere Hälfte wird den zweiten Grund finden, dich zu killen, wenn ihre YT Videos ständig stocken!

Ein 7490 würde ich auch nicht mehr anschaffen, auch wenn die günstig zu haben ist. Du stehst in ziemlich kurzer Zeit wieder vor dem Problem der veralteten Firmware.
Außerdem würde die xx90er Reihe für dich zu viele Funktionen haben, die du nicht brauchst. Schau nach einer 7530, die reicht locker für dich aus und ist günstig zu haben.

Grüße

 

[surftheweb]

hab nicht alle Beiträge gelesen, aber ich erlaube mir ERGÄNZEND zu den bereits geposteten Beiträgen meine eigene Routerkonfig hier zu posten, ist für Dich viell.auch interessant da Du ja so Wörter wie paranoid verwendet hast :-)) und für alle anderen die in Routerkonfigurtation nicht so durchlblicken. Wurde vor kurzem erst von einem Bekannten nach Routerkonfiguration gefragt, worauf ich ihm dieses Script schrieb in etwa, dann kann ich es auch gleich hier rein stellen:

Zur Routerkonfiguration würde ich folgendes empfehlen:

ich habe auch eine Fritzbox und die folgendermassen konfiguriert

Routerpasswort, um auf die Oberfläche zu gelangen, ist bei mir 32-stellig, also die maximale Länge, die die Fritzbox ermöglicht.

WLAN WPA2-Passwort ist bei mir ebenfalls ein mindestesns 30-stelliges Passwort. Man kann sich einen schönen Satz ausdenken, den jeder leicht verstehen und aufnehmen kann.

Nun zu den einzelnen Einstellungen, die ich bei meinem Router vorgenommen habe, dies mag nur EINE mögliche Routerkonfiguration sein, aber eine imho sichere:

- Diagnose- und Wartungsdaten nicht ermitteln lassen

- Fritzbox nicht automatisch nach Updates suchen und bzw. diese nicht automatisch installieren lassen

Unter Filter / Listen /

weiter unten unter Globale Filtereinstellungen (oder ähnlich) die vier Filter aktivieren

• Stealth Mode
• Emailfilter über Port 25 aktiv
• Teredo Filter
• WPAD Filter

Unter Freigaben / Fritzboxdienste folgende Punkte deaktiveren:

• Internetzugriff auf die Fritzbox über HTTP
• Internetzugriff auf Speichermedium über FTP/FTPS

Telefonie / Anschlußeinstellungen
folgende Einstellungen aktivieren

- Nutzung von Internettelefonie aus dem Heimnetz unterbinden (Filter für SIP Pakete, insbesondere zum Schutz vor Schadsoftware)

- Anzahl der ausgehenden Anrufe ins Ausland begrenzen

Heimnetz / Netzwerk / Heimnetzfreigaben
Folgende Features deaktivieren:

• UpnP
• Zugriff auf Anwendungen zulassen, zB von Browser Addons oder Smartphone

USB Speicher / Geräte & Heimnetzfreigaben
Folgende Features deaktivieren:

• Speicher bzw. NAS Funktion des Routers
• USB Fernanschluß deaktivieren

Mediaserver / Einstellungen

- Medienserver deaktiveren

System / Update / Autoupdate
Folgendes Feature deaktivieren:

- Updates dürfen ohne Anmeldung von anderen Geräten aus dem Heimnetz angestoßen werden

Auch wenn ich jetzt bestimmt etwas vergessen habe, ist das oben doch das Wesentliche. WPS und Gastzugang natürlich wie bereits geschrieben ebenfalls deaktiviert halten.

Es geht ja ständig durch die Portale im Internet, wann AVM neue Firmwareversionen für die einzelnen Fritzboxen veröffentlich.

Manche Funktionen werden in der Fritzboxoberfläche erst sichtbar, wenn man die erweiterte Ansicht aktiviert.

Ergänzung (4. April 2021)

ich lerne gerne dazu

wie kann man die Sicherheit der Fritzbox noch weiter hochschrauben, um sie vor Angriffen / Zugriffen von außen her noch besser zu schützen ? Ganz im Sinne des Threaderstellers für "maximale Sicherheit".

 

[Revali]

wie kann man die Sicherheit der Fritzbox noch weiter hochschrauben, um sie vor Angriffen / Zugriffen von außen her noch besser zu schützen ? Ganz im Sinne des Threaderstellers für "maximale Sicherheit".

Internet kündigen und Router wegwerfen?

 

[0-8-15 User]

Wenn man den Router nicht ans offene Fenster stellt, wo der Nachbar die wps Taste bequem drücken kann, ist die Wahrscheinlichkeit gering, dass dieser böse Nachbar ins wlan Netz einloggen kann.

Bei der WPS Sicherheitslücke von der wir her reden, war kein physischer Zugang nötig, um sie auszunutzen.

 

[areiland]

@0-8-15 User
WPS kann man bei eigentlich allen Routern auch ganz deaktivieren. Hab ich auf meinen Routern auch immer aus und aktiviere es höchstens temporär, um z.B. mal schnell einen Drucker ins Wlan zu integrieren.

 

[0-8-15 User]

WPS kann man bei eigentlich allen Routern auch ganz deaktivieren

Siehe:

In some devices, disabling WPS in the user interface does not result in the feature actually being disabled

 

[BeBur]

DLAN Schon aus geschaltet? Das wäre die erste Maßnahme.
Router muss selbstredend entsorgt werden. Auch die PCs müssen noch mit Updates versorgt werden, welches Windows läuft da drauf? Zur Auswahl stehen Win 8 und 10.
Passwörter lang und keine Namen, Telefonnummern, Lieblingsserie oder ähnliches.
Router automatisch Updaten lassen, auch Windows Updates immer direkt installieren, Browser auch auf dem neusten Stand halten.

Das sind die Maßnahmen, die Nachbarn und generell Menschen aus dem Netz raus halten und nicht irgendwelche Detail Dinger.

 

[surftheweb]

Internet kündigen und Router wegwerfen?

naja es gibt ja eine immer noch höhere Stufe.

von daher würde es mich schon interessieren, was die Spezialisten hier zu dem Thema noch zu sagen hätten..

 

[Engaged]

Pi hole als weitere Schutz Schicht, durch die vielen Blocklisten (Malware, Spam, Tracking, Werbung) wird die Sicherheit und Privatsphäre auf allen Geräten im Netzwerk erhöht, die Leitung stabiler* und schneller gemacht was DNS-Anfragen betrifft, das surferlebnis beschleunigt da nur noch sauberer Traffic durchkommt und Werbung und co gar nicht erst geladen wird, was auch Mobilgeräte beschleunigt da der Browser weniger Rendern muss und dadurch auch den Akku etwas schont, dazu können eigene DNS Server das Internet beschleunigen weil sie besser laufen als vom Provider, Downloads können unter Umständen schneller werden da Anbieter wie Google, open DNS, oder Cloud nine auf das nächstgelegene** CDN verweisen!

*Wie oft liest man auf IT News Seiten das es Probleme und Ausfälle gibt die darauf zurückzuführen sind, meistens betrifft es Vodafone und davon ist ca alle paar Monate zu lesen.

**ECS (Extended Client Subnet) defines a mechanism for recursive resolvers to send partial client IP address information to authoritative DNS name servers. Content Delivery Networks (CDNs) and latency-sensitive services use this to give geo-located responses when responding to name lookups coming through public DNS resolvers. Note that ECS may result in reduced privacy.

 

[BeBur]

naja es gibt ja eine immer noch höhere Stufe

Aktiviere das Auto Update der fritte. Du willst das Gerät so aktuell wie möglich halten, dagegen ist das Risiko durch diese Funktion weit geringer.
Alles deaktivieren was man nicht unbedingt braucht ist nicht kennt ist jedenfalls gut. Wenn jemand zu eingeschossen auf ein Einzelthema ist gerne ich jedoch stets, dass es ein Thema weit wichtigere Maßnahmen gäbe.

 

[Revali]

naja es gibt ja eine immer noch höhere Stufe.

von daher würde es mich schon interessieren, was die Spezialisten hier zu dem Thema noch zu sagen hätten..

Sicher gibt es die.. aber ich bezweifle dass dir die Antwort gefallen wird: Maximale Sicherheit wie du sie dir vorstellst gibt es nicht. Und es wird sie auch nie geben. Dafür ist IT und Elektronik nicht geschaffen.

Wer maximale Sicherheit will muss zurück in die Steinzeit oder ähnliches gehen, denn dort gab es so eine Technologie wie heute (noch) gar nicht.

 

[areiland]

Siehe:

Ich bitte Dich, das sollte nach zehn Jahren in allen seitdem verkauften Routern behoben sein. Und trotzdem angreifbare Leihgeräte haben die Provider inzwischen bestimmt gepatcht oder ausgetauscht.

Kann ja jeder nachsehen, ob er einen doch noch angreifbaren Router einsetzt: https://docs.google.com/spreadsheets/d/1uJE5YYSP-wHUu5-smIMTmJNu84XAviw-yyTmHyVGmT0/edit#gid=0.

 

[Revali]

Man kann die Geräte (hier: Router) so sicher machen sodass man selbst nicht mehr reinkommt. Aber was hätte man davon? Es schließt dennoch niemals menschliches Versagen aus, d.h. das größe Problem sitzt immer noch zwischen Stuhl und Gerät (oder Tastatur). Sich Sicherheitstechnisch nur auf das Gerät alleine zu verlassen ist etwas, was die meisten Menschen leider und dummerweise immer noch tun.

 

[0-8-15 User]

Ich bitte Dich, das sollte nach zehn Jahren in allen seitdem verkauften Routern behoben sein.

Ja, aber das Gerät, das der Fragesteller verwendet, ist eben alles andere als neu und darum ging es doch.

 

[bender_]

das Gerät, das der Fragesteller verwendet, ist eben alles andere als neu

Von 2013. EoS 2018 aber letzte FW 9/2019. Vermutlich gegen KRACK (deshalb haben jedenfalls so manche Fritzbox zu dem Datum noch ne FW untergeschoben bekommen).
Und natürlich kann man auch bei der 7272 WPS abschalten: https://service.avm.de/help/de/FRITZ-Box-7272-avm/015/hilfe_wlan_sicherheit_wps

Es geht hier schon lange nicht mehr darum dem TE zu helfen sondern seine HW künstlich unsicher zu diskutieren und theoretische Sicherheitslücken zu erfinden.

 

[surftheweb]

Sicher gibt es die.. aber ich bezweifle dass dir die Antwort gefallen wird: Maximale Sicherheit wie du sie dir vorstellst gibt es nicht. Und es wird sie auch nie geben. Dafür ist IT und Elektronik nicht geschaffen.Wer maximale Sicherheit will muss zurück in die Steinzeit oder ähnliches gehen, denn dort gab es so eine Technologie wie heute (noch) gar nicht.

es ist immer schön, wenn Menschen (die einen dazu noch überhaupt nicht kennen) meinen beliebig etwas unterstellen zu können oder zu müssen.

Ich sehe daran nichts schlechtes, wenn man bei einem Router einfach das deaktiviert, was man definitiv nicht benötigt. Man reduziert damit unnötige Angriffsflächen.

Das sollte für jeden halbwegs EDV technisch aufgeklärten Menschen in der heutigen Zeit nachvollziehbar sein und eine vernünftige und sinnvolle Maßnahme darstellen. Eine Massnahme die nicht sinnvoll ist zu ktitisieren, weil sie Schaden abwenden kann und das faktisch auch tut.

Nach dem Prinzip wie auch bei der Medikamenteneinnahme: So viel als nötig, aber so wenig wie möglich.

 

[Revali]

es ist immer schön, wenn Menschen (die einen dazu noch überhaupt nicht kennen) meinen beliebig etwas unterstellen zu können oder zu müssen.

Ich sehe daran nichts schlechtes, wenn man bei einem Router einfach das deaktiviert, was man definitiv nicht benötigt. Man reduziert damit unnötige Angriffsflächen.

Ich unterstelle dir nichts, aber deine Forderung nach maximaler Sicherheit ist jenseits jedweder Realität, nur du selbst willst es leider nicht wahrhaben.

Ja, es ist sinnvoll alles nicht benötigte zu deaktivieren. Aber maximale Sicherheit wie du sie willst gibt es halt nicht. Du kannst deinen Router wie Area 51 zumotten und trotzdem wird irgendwas durchkommen. Nicht zuletzt weil du vielleicht in einem Moment unaufmerksam bist, und das passiert meist schneller als man selbst glauben mag.

Solange das Problem zwischen Stuhl und Gerät sitzt ist die Diskussion sinnlos und demnach die Forderung nach maximaler Sicherheit reinste Fantasie.