WG: [suse-laptop] Wlan Anmeldung und Password
Hi, Die einzige Möglichkeit ein W-Lan wirklich effizient abzusichern und eine sichere Datenverschlüssellung zu implementieren, ist auf IP Ebene! WEP kann man verbrennen (http://airsnort.shmoo.com/ probierts mal aus... macht fun *gg*), MAC Adressraumbeschränkung is auch fürn Eimer (á la MAC-Spoofing) und selbst beides zusammen erfordert nicht mehr als Zeit um es zu durchbrechen. Davon Abgesehen sind die Daten ja dann nicht sicher verschlüsselt! WPA ist schon ne Stufe sicherer, wird aber in Zukunft auch nicht lange standhalten können! Einzige Alternative wie gesagt eine Verschlüsselung über ein VPN (IP Ebene) und am besten eine Authentifizierung über Zertifikate! Dann könnt ihr euer W-LAN sperrangelweit offen lassen und es interessiert wenig ob wer euer W-LAN findet oder nicht! Er würde nicht mal euren (wirklichen!) IP-Adressbereich rausbekommen wenn das VPN Gateway in einem seperaten Netz liegt. Die Verschlüselung ist nicht mal mit aktuellen Großrechnern zu knacken.. und an Wardriving ist garnicht mehr zu denken! Eine einfache Lösung.. sauber und vor allem was die Benutzerkontrolle angeht optimal! Aber auch hier muss ich Philip recht geben! Wer keine Ahnung hat soll bloß die Finger davon lassen! Und das erst recht nicht an Endverbraucher (oder gar Firmen) als Dienstleistung anbieten! Ein schlecht eingerichtetes VPN ist schlimmer als eine dämliche WPA Verschlüsselung! Daniel
Hallo,
einfach mal WEP auswaehlen und eine der dortigen options aktivieren
ich könnte WEP keinem guten Gewissens empfehlen, der ein "sicheres" System _verkaufen_ will! Da kannste auch eine Bindfaden zum Hund-anleinen nehmen. (MAC Adressraumbeschränkung und WPA-PSK als Tipp)
Aber: wer nicht wirklich Ahung von Netzwerkadministration hat, sollte es vllt doch lieber lassen, geschweige denn das als Dienstleistung verkloppen. (Und ich zähle mich selber auch dazu!)
Gruß Philip Axer
On Thu, Dec 16, 2004 at 07:45:02AM +0100, Daniel Dewald wrote:
Hi, WPA ist schon ne Stufe sicherer, wird aber in Zukunft auch nicht lange standhalten können!
Echt? Kannst du dein Wissen mit uns mal teilen? Wie ist der Angriffsvektor und wo liegt die prinzipielle Schwachstelle von WPA? -- Stefan Seyfried
Hi, WPA ist schon ne Stufe sicherer, wird aber in Zukunft auch nicht lange standhalten können!
Echt? Kannst du dein Wissen mit uns mal teilen? Wie ist der Angriffsvektor und wo liegt die prinzipielle Schwachstelle von WPA? -- Stefan Seyfried
Hi, als Beispiel wäre da z.B. folgende Links zu nennen: http://www.golem.de/0311/28361.html http://www.heise.de/newsticker/meldung/53011 Das mag jetzt vielleicht aussehen wie ein Problem das nur Neulingen passiert, aber leider findet man solche Schwachstellen dann viel zu häufig in der Praxis. Und auch wenn dieses Problem nur ein kleines Übel darstellt könnte da durchaus noch mehr folgen. Mit VPN ist man definitif auf der sicheren Seite! mfg Daniel
On Sun, Dec 19, 2004 at 11:26:53PM +0100, Daniel Dewald wrote:
Echt? Kannst du dein Wissen mit uns mal teilen? Wie ist der Angriffsvektor und wo liegt die prinzipielle Schwachstelle von WPA? -- Stefan Seyfried
http://www.golem.de/0311/28361.html http://www.heise.de/newsticker/meldung/53011
Das mag jetzt vielleicht aussehen wie ein Problem das nur Neulingen passiert, aber leider findet man solche Schwachstellen dann viel zu häufig in der Praxis. Und auch wenn dieses Problem nur ein kleines Übel darstellt könnte da durchaus noch mehr folgen. Mit VPN ist man definitif auf der sicheren Seite!
Ok. Dann sage mir noch, welches VPN du denn verwenden würdest. Viele VPN-Implementierungen sind nämlich alles andere als sicher. Ausserdem muss es ja nicht WPA-PSK sein, auch Enterprise-WPA (oder wie das Teil genau heißt) ist WPA. Das Problem mit schlechten Passwörtern hast du bei jeder Verschlüsselungsart. Zertifikate müssen verwaltet und sicher (!) aufbewahrt werden, das ist ebenfalls nicht trivial. -- Stefan Seyfried
Hallo, soweit ich WPA (nicht WPA-PSK) verstanden habe, gibt es dort einen eigenständigen Server (Radius-Server) , der die Authentifikation managed! Wie auch bei PSK wird mit jedem Frame das Kennwort gewechselt aber es gibt nicht "einen" globalen Key (PreSharedKey) zur ersten Authentifikation! Diese Server sollen (hab ich selbst nur in einem Forum gelesen) wohl ziemlich aufwendig und teuer sein! WPA(-PSK) benutzt den selben Framecodierungs - Algorithmus wie WEP (aus Gründen der Kompatibilität zu alter hardware Entschlüßelung) wechselt aber wie gesagt bei jedem Frame das Passwort! BruteFore attacken sind so praktisch eh wirkungslos. Über nähere Infos wäre ich dankbar. Die Frage ist, was man machen will, wenn man eh nichts großartiges vor hat, und nur nicht möchte, dass der Nachbar mitsurft ist meiner Meinung nach MAC-Adressenbeschränkung und WEP schon sicher genug! Welcher 0815 Nachbar von nebenan überschreibt seine MAC Adresse um in ein anderes Netz zu kommen! Das haben die RTL bzw BILD Reporter der breiten Masse eh noch nicht vorgeführt, deswegen kanns auch keiner, bzw ist das unter Windows meines Wissens auch nicht sooo einfach möglich! (Bei mir hats nie geklappt) Wenn es um vertraulichere Daten geht macht doch einfach nen SSH Tunnel. Für Emails bin in die Uni etc. reichts allemal. oder scp oder dergleichen... Gruß Philip Axer
Ok. Dann sage mir noch, welches VPN du denn verwenden würdest. Viele VPN-Implementierungen sind nämlich alles andere als sicher. Ausserdem muss es ja nicht WPA-PSK sein, auch Enterprise-WPA (oder wie das Teil genau heißt) ist WPA. Das Problem mit schlechten Passwörtern hast du bei jeder Verschlüsselungsart. Zertifikate müssen verwaltet und sicher (!) aufbewahrt werden, das ist ebenfalls nicht trivial. -- Stefan Seyfried
Servus Leute! Ich möchte mit meinem PC, der eine PCI-Karte (von Belkin; Wireless) installiert hat, auch mit Linux über Funk ins Netz gehen.. Habe es schon mit Yast versucht, aber hat noch nicht geklappt.... Wisst ihr da etwaige Lösungen? (Nutze SUSE 9.0) lg stefan
Am Montag, 20. Dezember 2004 21:10 schrieb Stefan Rüdenauer:
Servus Leute!
Ich möchte mit meinem PC, der eine PCI-Karte (von Belkin; Wireless) installiert hat, auch mit Linux über Funk ins Netz gehen.. Habe es schon mit Yast versucht, aber hat noch nicht geklappt.... Wisst ihr da etwaige Lösungen? (Nutze SUSE 9.0) Stelle erst mal genau fest, was für ein Chip auf der Karte ist ( Hinwiese dazu gibt es auf http://www.linux-wlan.org/docs/wlan_adapters.html.gz). Dann google, ob es passende Linuxtreiber für diesen Chip gibt und besorg die aktuelle Version davon und binde sie ein. Wenn du keine Linuxtreiber findest besorge dir die aktuelle Version von ndiswrapper und binde damit den Windowstreiber ein.
participants (5)
-
Daniel Dewald
-
Markus Kossmann
-
Philip Axer
-
Stefan Rüdenauer
-
Stefan Seyfried