Thema: Wie mache ich mein WLAN sicher?

[der.hobbit]

Hi,

auf der Basis dieses Beitrags mit unangemessener Sprache frage ich mich wieder einmal, wie man sein W-LAN halbwegs sicher machen kann.

Derzeit habe ich meine Sendestation so konfiguriert, dass sie eine WPA Verschlüsselung erwartet und dass sie nur die von mir eingetragenen Rechner (identifiziert anhand deren MAC Adresse) reinlässt.

Die Kiste selbst ist mit einem sicheren Passwort (nein, nicht "Pizza") versehen.

Reicht das? Was kann man mehr machen?

Ich hatte einige Zeit noch die Kennung unterdrückt (sozusagen auf unsichtbar gesetzt), dann hatte aber der Laptop teilweise Probleme, sich zu registrieren.

Wie habt ihr eure Station dichtgemacht?

[Boba Fett]

Was kann man mehr machen?

Einen Schalter dran machen und den Router nur laufen lassen, wenn Du ihn brauchst.
WLAN und DSL Router in separaten Geräten betreiben. (wenn gehackt, dann zunächst nur ein Gerät)

[8t88]

Sobald ich dazu komme:
-WPA 2 mit 64 Zeichen Passphrase
-MAC Filter
-Statische IP-Adressen, oder zumindest: IP Pro MAC-Adresse fest,
und den IP-Range auf die Anzahl der per MAC Registrierten Geräte beschränken.
-SSID Verstecken

[Ein]

Empfehle deine Wohnung mit Blechfolie auszutapezieren.

[Falcon]

wundert mich, daß es so einfach ist durch die ganzen Sicherungen zu kommen.
Hab da auch eine Frage, auf die mir noch niemand antworten konnte und ich mich mit dem Zeug auch nicht auskenne (kenne aber auch keine PC Cracks):

hab WinXP und die Verbindung über Windows eingestellt.
Dort gibt es das Feld Datenverschlüsselung (WEP eingestellt) und Netzwerkauthenzifizierung (WPA oder offen).

ist ersteres nur für das Passwort gedacht? Wozu ist die Netzwerkauthentifizierung?

[oliof]

WEP-Verschlüsselung ist keine. MAC-Filterung nutzt nix, weil man die ja fake'n kann. Und weil Datenpakete nunmal so in der Gegend rumfliegen, kann man auch rausfinden, welche MAC-Adressen es so gibt, die da rumfunken. SSID verstecken nützt auch nix, die schwirrt auch 'versteckt' mit in der Luft rum, nur dass da 'bitte nicht anzeigen' dransteht. Das ist halt das Problem bei drahtlos: Da gibts keinen Draht, den man vor unbereichtigtem Zugriff schützen kann. Die einzige Variante, das drahtlose Netz abzusichern ist, auf beiden Seiten(!) was zu haben, was die andere Seite kennen und akzeptieren muss, damit eine sinnvolle Verbindung zustande kommt. Da fallen mir gleich zwei Alternativen ein:

1. Zwischen WLAN-Router und DSL-Modem steht ein Rechner, der nur routet, was über eine VPN-Verbindung reinkommt. Einstieg hier für Linuxnasen, kann man aber auch mit Windows oder OS X (Server) machen.

2. 802.1x Authentifizierung und einem RADIUS-Server. Einstieg hier für Linuxnasen.

WPA2 ist nicht das Beste, was man machen kann, sondern das mindeste.

[Falcon]

okayyy.... ich weiss zwar nicht was grad abgeht aber habe WPA bei Netzwerkauthentifizierung angestellt (WPA2 gibts erst gar nicht), wodurch ich kein Passwort mehr selbst einstellen konnte (ausgegraut, automatisch zugewiesen). Damit bin ich gar nicht mehr ins Netz gekommen (wie sonst auch nie), musste also wieder auf Offen und WEP Verschlüsselung mit eigenem Passwort stellen.

jetzt kriege ich allerdings keine Verbindung mehr. Mein Status bei der Funkverbindung ist im Moment "nicht verbunden" während ich diese Zeilen abschicke.
ich liebe Windows.

[kirilow]

WPA2 ist nicht das Beste, was man machen kann, sondern das mindeste.

Na ja, das ist Ansichtssache. Wenn man das Netzwerk -- wie in der Ausgangsfrage -- sicher haben will, dann hast Du natürlich recht. Ansonsten empfehle ich Schneiers Plädoyer für offene WLan-Netzwerke.

Gruß
kirilow

[Falcon]

komischer Artikel. ich muss mich nicht in ein Auto setzen um drei Netzwerke meiner Nachbarn reinzubekommen, dafür hab ich aber große Probleme ein Café Netz zu kriegen.
Wenn illegal saugen, dann bequem von zu Hause 

die Sache mit der Verteidigung: Soweit ich es weiss, ist es egal ob man selber shice runterläd oder nicht. Schuld ist immer der Besitzer des WLan.

[oliof]

Grundsätzlich habe ich nichts gegen eine Netzallmende. In der Schweiz werde ich aber haftbar gemacht für Dinge, die über meinen Anschluß getätigt werden, wenn das Netz offen war.

In Deutschland macht sich nach einem Urteil von gestern oder vorgestern (auch) derjenige strafbar, der das offene Netz ohne Erlaubnis benutzt. Ich bin aber kein Rechtskundiger, deswegen weiß ich nicht, ob das Amtsgericht Wuppertal für andere Gegend wichtig ist

Das hat aber mit der ursprünglichen Frage des Threaderstellers nix zu tun. Dessen Frage habe ich nach bestem Wissen beantwortet.

[kirilow]

Das hat aber mit der ursprünglichen Frage des Threaderstellers nix zu tun. Dessen Frage habe ich nach bestem Wissen beantwortet.

Ja, das hast Du. Ich hatte auch versucht, das in meinem Post so auszudrücken. Nochmal: Haaralds Rat ist der richtige, ich würde noch hinzufügen, dass man, wenn man sicher sein will, sehr gut lange Passwörter beim Router für den Admin-Account festzulegen und sich informieren, ob die Firmware bekannte Sicherheitslücken hat.

Ich gestehe, Schneiers Artikel hier nur verlinkt zu haben, weil ich seinen Standpunkt ganz interessant fand. Für die Frage des Threaderstellers ist es zugegebenermaßen unwichtig. Also seht es als ungebürlichen Off-Topic-Beitrag an. 

Grüße
kirilow

[Bitpicker]

okayyy.... ich weiss zwar nicht was grad abgeht aber habe WPA bei Netzwerkauthentifizierung angestellt (WPA2 gibts erst gar nicht), wodurch ich kein Passwort mehr selbst einstellen konnte (ausgegraut, automatisch zugewiesen). Damit bin ich gar nicht mehr ins Netz gekommen (wie sonst auch nie), musste also wieder auf Offen und WEP Verschlüsselung mit eigenem Passwort stellen.

Wo hast du das eingestellt? Im Router oder in Windows?

Robin

[Falcon]

in Windows.
mittlerweile zeigt er die Verbindung auch wieder an (es muss vorher natürlich auch verbunden gewesen sein), wird wohl nur ien typischer Bug gewesen sein.

wie ich den Router einstellen muss, daß ich WPA anstellen kann muss ich erst noch herausfinden. Scheinbar ersetzt das ja die Passwortabfrage (denn ich kann mich in Windows ja nicht mehr mit Passwort einloggen wenn ich WPA aktiviere).

[Bitpicker]

Der Router muss auf WPA eingestellt sein, damit Windows sich mit WPA anmelden kann. Wahrscheinlich steht er noch auf WEP, vielleicht benutzt Windows trotz allem noch die WEP-Einstellungen. WEP ist geknackt und sollte keinesfalls mehr verwendet werden.

Der Router hat höchstwahrscheinlich eine Homepage, die du über den Browser erreichen kannst. Bei einer Fritz Box liegt diese unter 192.168.178.1 (im Browser als URL eingeben), bei den meisten anderen Herstellern unter 192.168.1.1 oder 192.168.2.1, im Zweifelsfall steht das in der Dokumentation. Du kannst auch in der DOS-Box den Befehl ipconfig eingeben, die IP-Adresse in der Gateway-Zeile sollte die des Routers sein.

Die meisten Router haben voreingestellte Passwörter; ich weiß nicht, ob dein Provider einen Automatismus eingerichtet hat, bei dem Soft- und Hardware schon von vornherein auf bestimmte Passwörter eingestellt sind, aber in letzter Zeit wurden sehr viele Router-Voreinstellungen als sehr schwach entlarvt, von daher sollte man auf jeden Fall eine eigene Pass-Phrase einstellen.

Robin

[Falcon]

ich weiss wie man in den router kommt, daß ist nicht das Problem.
eine WPA einstellung mir nur nicht aufgefallen. Ich schaue im Laufe des Tages nochmal rein.
danke für den hinweis.

ein passwort hab ich selber eingestellt. Mit Pass Phrase kann ich jetzt nicht viel anfangen.

[Crujach]

ein passwort hab ich selber eingestellt. Mit Pass Phrase kann ich jetzt nicht viel anfangen.

google: => Für ein Kennwort, welches aus mehreren Wörtern besteht und folglich eine größere Länge besitzt, sind die Bezeichnungen Kennwortsatz oder Kennsatz üblich, im Zusammenhang mit der Software PGP auch Mantra (engl.: passphrase).

[Falcon]

aber ist es nicht besser wenn die Zeichenfolge einfach zufällig ist? lang kann sie ja trotzdem sein.