WLAN Sicherheitsfrage
- Ersteller Radditz
- Erstellt am
Radditz
Admiral Special
Nabend Leute,
in naher Zukunft habe ich vor umzuziehen. Da dies nur ein Haus weiter ist, habe ich also beschlossen, dass die beiden Netzwerke miteinander verbunden werden sollen via WLAN. Nun, die Entfernung macht es leider unumgänglich, dass zwei Aussenantennen angebracht werden müssen und insgesamt drei Access Points hintereinander in Reihe eingesetzt werden. Leider sorgt die Art der Verbindung der APs (sei es nun Bridging via Pt(M)P oder Signalweiterleitung mit Repeater) dafür, dass zur Verschlüsselung nur WEP eingesetzt werden kann. Über diese Strecke gehen aber wichtige Firmendaten, darum hatte ich dazu nun zwei Ideen:
1.) Ich setzte AP1 als Access Point ein, während AP2 und AP3 jeweils Repeater sind und das Signal weiterleiten. Vorteil: In den Wohnungen existiert weiterhin eine offene WLAN-Abdeckung (offen im Sinne von, dass Verbindungen mit Notebooks möglich sind). Nachteil: Das Verbindung muss besser geschützt werden als mit WEP und dafür fiele mir nur VPN ein - das würde auf meiner Seite einen weiteren PC (VPN-Router) bedeuten, denn in der alten Wohnung kann ich hierfür den IPCop benutzen, der derzeit ins Internet routet.
2.) Ich verbinde AP1 mit AP2 (PtP), AP2 verbinde ich mit AP1 und AP3 (PtMP), und AP3 verbinde ich mit AP2 (PtP). Vorteil (bitte prüfen, ob ich damit recht habe): Keine weitere Absicherung des WLANs ist nötig, da die Point-to-Point-Verbindung alle Client-Verbindungen ablehnt, also das Funknetz nur noch für APs zum Zwecke der Verbindung der Wohnung gilt. Nachteil: Die WLAN-Abdeckung ist nicht mehr offen und um mit einem Notebook online gehen zu können, muss ich mir entweder einen Extra-AP besorgen, den ich dann mit WPA2 (oder so) betreiben kann, oder ich schliesse das Teil an das Kabelnetz an.
Mir geht es vornehmlich um das farblich markierte, da sonst Punkt 2 eh hinfällig ist, sollte ich damit unrecht haben. Ich stelle mir nämlich auch die Frage: Wenn PtP-Verbindungen bei APs verhindern, dass sich irgendein fremder WLAN-Adapter verbinden kann - wozu zur Hölle kann man die Verbindung trotzdem mit WEP verschlüsseln? Ist das nicht unsinnig?
.
EDIT :
.
Hm, folgende Überlegung kam mir grade in den Sinn: Im Bridging-Mode sind die ganzen einzelnen Access Points doch immernoch auffindbar samt MAC-Adresse, oder? Ich glaube, wenn ein findiger Linux-Mensch vorgefahren kommen würde mit seinem Laptop und sehen würde, dass dort drei Access Points sind, die nicht nur zufälligerweise alle auf Kanal 6 senden, alle die gleiche ESSID haben und obendrein in einem ähnlichen Bereich stehen, wäre das ziemlich auffällig.
Prinzipiell hätte er dann nichts weiter zu tun als die MAC-Adresse seines WLAN-Adapters auf eine der AP-MACs des Bridging-Modes zu fälschen, Software wie HostAP zu starten und dann darauf zu warten, dass sich aus irgendeinem Grund die Verbindung der APs kurz löst, damit er dann selbst mit seinem Laptop als AP getarnt in das Netzwerk einbrechen kann. Nun, dann stellt auch WEP kein Hindernis mehr dar, wenn er so weit gekommen ist. Gut, vorab müsste er noch wissen in welcher Konstellation die APs zueinander stehen, also ob sie sich alle via PtP erreichen oder ob einer sozusagen das Bindeglied mit PtMP darstellt... im Zweifelsfall kommt er nur in eines der beiden Netze, was schon schlimm genug wäre.
Zugegeben, das ist ein recht umständlicher Weg für einen möglichen Einbruch, aber es zeigt mir doch, dass diese Sache nicht absolut sicher ist. Hm, wenn mir jemand ein paar einfacher durchzuführende Argumente mitteilen kann, wie man in ein Funknetz von Access Points im Bridging-Mode einbrechen kann, gehe ich doch lieber auf die VPN-Lösung, auch wenn mir das in puncto Stromverbrauch missfällt.
Wie sieht's z.B. generell mit Mitlauschen aus? Die APs lassen zwar keine Clients rein, aber der (unverschlüsselte bzw. schlecht verschlüsselte) Datenverkehr dürfte vermutlich von einem Menschen mit Ahnung im Funkbereich mitgelesen werden können, oder?
in naher Zukunft habe ich vor umzuziehen. Da dies nur ein Haus weiter ist, habe ich also beschlossen, dass die beiden Netzwerke miteinander verbunden werden sollen via WLAN. Nun, die Entfernung macht es leider unumgänglich, dass zwei Aussenantennen angebracht werden müssen und insgesamt drei Access Points hintereinander in Reihe eingesetzt werden. Leider sorgt die Art der Verbindung der APs (sei es nun Bridging via Pt(M)P oder Signalweiterleitung mit Repeater) dafür, dass zur Verschlüsselung nur WEP eingesetzt werden kann. Über diese Strecke gehen aber wichtige Firmendaten, darum hatte ich dazu nun zwei Ideen:
1.) Ich setzte AP1 als Access Point ein, während AP2 und AP3 jeweils Repeater sind und das Signal weiterleiten. Vorteil: In den Wohnungen existiert weiterhin eine offene WLAN-Abdeckung (offen im Sinne von, dass Verbindungen mit Notebooks möglich sind). Nachteil: Das Verbindung muss besser geschützt werden als mit WEP und dafür fiele mir nur VPN ein - das würde auf meiner Seite einen weiteren PC (VPN-Router) bedeuten, denn in der alten Wohnung kann ich hierfür den IPCop benutzen, der derzeit ins Internet routet.
2.) Ich verbinde AP1 mit AP2 (PtP), AP2 verbinde ich mit AP1 und AP3 (PtMP), und AP3 verbinde ich mit AP2 (PtP). Vorteil (bitte prüfen, ob ich damit recht habe): Keine weitere Absicherung des WLANs ist nötig, da die Point-to-Point-Verbindung alle Client-Verbindungen ablehnt, also das Funknetz nur noch für APs zum Zwecke der Verbindung der Wohnung gilt. Nachteil: Die WLAN-Abdeckung ist nicht mehr offen und um mit einem Notebook online gehen zu können, muss ich mir entweder einen Extra-AP besorgen, den ich dann mit WPA2 (oder so) betreiben kann, oder ich schliesse das Teil an das Kabelnetz an.
Mir geht es vornehmlich um das farblich markierte, da sonst Punkt 2 eh hinfällig ist, sollte ich damit unrecht haben. Ich stelle mir nämlich auch die Frage: Wenn PtP-Verbindungen bei APs verhindern, dass sich irgendein fremder WLAN-Adapter verbinden kann - wozu zur Hölle kann man die Verbindung trotzdem mit WEP verschlüsseln? Ist das nicht unsinnig?
.
EDIT :
.
Hm, folgende Überlegung kam mir grade in den Sinn: Im Bridging-Mode sind die ganzen einzelnen Access Points doch immernoch auffindbar samt MAC-Adresse, oder? Ich glaube, wenn ein findiger Linux-Mensch vorgefahren kommen würde mit seinem Laptop und sehen würde, dass dort drei Access Points sind, die nicht nur zufälligerweise alle auf Kanal 6 senden, alle die gleiche ESSID haben und obendrein in einem ähnlichen Bereich stehen, wäre das ziemlich auffällig.
Prinzipiell hätte er dann nichts weiter zu tun als die MAC-Adresse seines WLAN-Adapters auf eine der AP-MACs des Bridging-Modes zu fälschen, Software wie HostAP zu starten und dann darauf zu warten, dass sich aus irgendeinem Grund die Verbindung der APs kurz löst, damit er dann selbst mit seinem Laptop als AP getarnt in das Netzwerk einbrechen kann. Nun, dann stellt auch WEP kein Hindernis mehr dar, wenn er so weit gekommen ist. Gut, vorab müsste er noch wissen in welcher Konstellation die APs zueinander stehen, also ob sie sich alle via PtP erreichen oder ob einer sozusagen das Bindeglied mit PtMP darstellt... im Zweifelsfall kommt er nur in eines der beiden Netze, was schon schlimm genug wäre.
Zugegeben, das ist ein recht umständlicher Weg für einen möglichen Einbruch, aber es zeigt mir doch, dass diese Sache nicht absolut sicher ist. Hm, wenn mir jemand ein paar einfacher durchzuführende Argumente mitteilen kann, wie man in ein Funknetz von Access Points im Bridging-Mode einbrechen kann, gehe ich doch lieber auf die VPN-Lösung, auch wenn mir das in puncto Stromverbrauch missfällt.
Wie sieht's z.B. generell mit Mitlauschen aus? Die APs lassen zwar keine Clients rein, aber der (unverschlüsselte bzw. schlecht verschlüsselte) Datenverkehr dürfte vermutlich von einem Menschen mit Ahnung im Funkbereich mitgelesen werden können, oder?
Zuletzt bearbeitet:
Afaik ist doch WEP geknackt und mit Tools aus dem Zwischennetz in kürzester Zeit decodiert. Also wahrlich nix für Firmendaten.
Besteht Sichtverbindung? Ich denke hier an stärkere Antenne, sodass man es direkt und mit WPA2 realisieren kann. Oder aber professionelle Lösungen wie Richtfunk o.ä. - da kann dir sicherlich ein Systemhaus in deiner Nähe besser helfen.
>kq
Besteht Sichtverbindung? Ich denke hier an stärkere Antenne, sodass man es direkt und mit WPA2 realisieren kann. Oder aber professionelle Lösungen wie Richtfunk o.ä. - da kann dir sicherlich ein Systemhaus in deiner Nähe besser helfen.
>kq
Radditz
Admiral Special
Hm, du verstehst das Problem nicht ganz. Es geht um den Bridging-Modus. Der Modus ist dafür da, dass zwei kabelgebundene Netze via Funk miteinander verbunden werden können - die Verbindung von Clients, die mit dieser AP-Konstellation nichts am Hut haben (und auch selbst kein AP sind), ist normal nicht möglich. Man darf sich das Ganze als eine Art Kabel-Ersatz vorstellen.
Mir stellt sich daher nur die Frage: Warum kann es trotzdem verschlüsselt werden? Ist das nicht sinnfrei, weil niemand Zugriff auf dieses WLAN bekommt? Oder sind oben genannte Szenarien so wahrscheinlich, dass ein Schutz des WLANs - auch im Bridging-Mode - absolute Pflicht ist?
Btw: Als Verschlüsselung ist nur WEP möglich, da keine dynamisch verteilten Schlüssel vergeben werden können in diesem Modus. Seit kurzem ist auch WPA2 möglich, dies allerdings nur bei wenigen Herstellern und auch dort nur mit exakt derselben Hardware und bestimmten Firmwareversionen - dafür sind meine APs zu alt.
Ich frage nicht nur aus Neugier, sondern weil ich wissen muss, ob ich das Ganze zusätzlich mit einem VPN absichern sollte oder ob das zu übertrieben ist.
Mir stellt sich daher nur die Frage: Warum kann es trotzdem verschlüsselt werden? Ist das nicht sinnfrei, weil niemand Zugriff auf dieses WLAN bekommt? Oder sind oben genannte Szenarien so wahrscheinlich, dass ein Schutz des WLANs - auch im Bridging-Mode - absolute Pflicht ist?
Btw: Als Verschlüsselung ist nur WEP möglich, da keine dynamisch verteilten Schlüssel vergeben werden können in diesem Modus. Seit kurzem ist auch WPA2 möglich, dies allerdings nur bei wenigen Herstellern und auch dort nur mit exakt derselben Hardware und bestimmten Firmwareversionen - dafür sind meine APs zu alt.
Ich frage nicht nur aus Neugier, sondern weil ich wissen muss, ob ich das Ganze zusätzlich mit einem VPN absichern sollte oder ob das zu übertrieben ist.
^^ Der threadsteller versteht nicht ganz, das gerade im AP Modus es super einfach ist seine doch sehr sehr billiger WEP verschlüsselung zu knacken.
Sobald du egal wie irgendwie mit Wlan sendest kann es man es sehen und angreifen.
Wie weit soll den deine Entfernung sein
Ich übertrage ~ 10km mit WPA2 da ich mein Inet auch von zu Hause hole, das etwas weiter Weg ist. Dazu braucht man einen Umgebauten Router (DD-WRT mehr Sendeleistung) und eine schicke größere Wimo Antenne Richtigstrahl. Dann reichen evtl 2 Router.
Und also minimum sollte man WPA haben. aber selbst bei der Entfernugn geht WPA2 ohne Probleme.
WPA2 geht doch bei so vielen Routern selbst imm AP.
Ansonsten freunde dich mit einem Buffelo 54S und DD-WRT an.
Sobald du egal wie irgendwie mit Wlan sendest kann es man es sehen und angreifen.
Wie weit soll den deine Entfernung sein
Ich übertrage ~ 10km mit WPA2 da ich mein Inet auch von zu Hause hole, das etwas weiter Weg ist. Dazu braucht man einen Umgebauten Router (DD-WRT mehr Sendeleistung) und eine schicke größere Wimo Antenne Richtigstrahl. Dann reichen evtl 2 Router.
Und also minimum sollte man WPA haben. aber selbst bei der Entfernugn geht WPA2 ohne Probleme.
WPA2 geht doch bei so vielen Routern selbst imm AP.
Ansonsten freunde dich mit einem Buffelo 54S und DD-WRT an.
Zuletzt bearbeitet:
G
Gast29012019_2
Guest
Naja, das Problem ist einfach das selbst bei Markengeräten z.b Linksys Game B-Adapter haben ja mal richtig viel gekostet nur WEP können. Damit habe ich ohne Kabel die Playstation 2 mit meinem Netzwerk verbunden. Aber das ist ja nicht mehr sicher, und einen Noxon 1 kann man auch gleich mit entsorgen, da der auch nur WEP kann. Aber ist die Schuld der Hersteller, nen alten Compaq W-200-W-Lan Adapter der deutlich älter ist als die beiden Sachen kann zumindest WPA-PSK TKIP verschlüsseln. Aber damals dachte man wohl, man könnte WEP nicht so schnell knacken, und dann so einfach noch. Mac Adressen + SSID verstecken bringt ebenfalls nichts.
Ich würde die APs entsorgen und welche holen womit man sicher eine W-Lan Verbindung herstellen kann. Zudem gibts ja noch ext. Verstärker von 100mw bis glaube 1000mw das sollte ebenfalls reichen, um eine Verbindung über eine sehr lange Strecke zu ermöglichen, zwischen 2 Routern z.b
Ich würde die APs entsorgen und welche holen womit man sicher eine W-Lan Verbindung herstellen kann. Zudem gibts ja noch ext. Verstärker von 100mw bis glaube 1000mw das sollte ebenfalls reichen, um eine Verbindung über eine sehr lange Strecke zu ermöglichen, zwischen 2 Routern z.b
^^ 100mW ist die EU gesetzlich legale Höchstgrenze, jedoch kann man illegal 250mW haben . 1W kann man kaufen ist aber nicht gestattet.
wie wäre denn ein Firmware Flash?? Und was hast du für ural Router
.
wie wäre denn ein Firmware Flash?? Und was hast du für ural Router
.
G
Gast29012019_2
Guest
^^ 100mW ist die EU gesetzlich legale Höchstgrenze, jedoch kann man illegal 250mW haben . 1W kann man kaufen ist aber nicht gestattet.
wie wäre denn ein Firmware Flash?? Und was hast du für ural Router
Mit welcher Leistung läuft den dein Router modifiziert, ich denke wohl über 100mw oder nicht ?
Mein Router ist zwar von 2004, aber nicht irgend ein billig Teil wenn du verstehst was ich meine. Besser als konventionelle Router ist er schon, hatte davor nen kleinen Netgear RP irgendwas, damit war ich ganz ung gar nicht zufrieden, wie auch mit SMC etc und das 54er W-Lan reicht mir auch. Als DSL-Modem läuft ja hier eine Fritz-Box Fon, ohne W-Lan. Die neuste FW ist da bereits drauf, ob es auch modifizierte für den gibt k.a
Allerdings im Fall der Fritz Box 7173 mal einen gescheiten USB-Pintserver haben, und mehr Funktionen bieten. Aber vor mehr als 3,5Jahren gabs ja sowas nicht. Wenngleich man da erstmal nen vernüftigen Antennenanschluß braucht.
Zuletzt bearbeitet:
über 
die Frage ich nicht wie alt der Router ist, sondern was er kann, bzw was für eine Software drauf ist. Wie gesagt die Hersteller Software ist meist abgespeckt bzw benutzer freundlich gemacht.
Siehe der Siemens SE505 ist ural, aber läuft mit DD-WRT v23 richtig gut als Verteiler.
die Frage ich nicht wie alt der Router ist, sondern was er kann, bzw was für eine Software drauf ist. Wie gesagt die Hersteller Software ist meist abgespeckt bzw benutzer freundlich gemacht.
Siehe der Siemens SE505 ist ural, aber läuft mit DD-WRT v23 richtig gut als Verteiler.
Zuletzt bearbeitet:
Radditz
Admiral Special
Bevor ich jetzt wieder teuer drei APs einkaufe, stelle ich lieber zu dem bereits vorhandenen VPN-Router eine weitere Büchse in der anderen Wohnung auf und hab Ruhe. VPN macht auch die (leistungsfressende) Verschlüsselung der Router unwichtig. Es handelt sich bei den APs übrigens um Conceptronic C54APT, die mit DWL-2100AP-Firmware (v. 2.01) geflasht worden sind.
Es geht hierbei übrigens nicht um 10 km, sondern um ca. 30 METER. Da muss also nix verstärkt werden, das ist ja auch nicht das Problem. Nichtsdestotrotz führt die Strecke dabei an einigen Wohnhäusern vorbei und daher ist absichern unumgänglich. Und ja, ich habe durchaus verstanden, dass der Datenverkehr mitgeschnitten werden kann.
Es geht hierbei übrigens nicht um 10 km, sondern um ca. 30 METER. Da muss also nix verstärkt werden, das ist ja auch nicht das Problem. Nichtsdestotrotz führt die Strecke dabei an einigen Wohnhäusern vorbei und daher ist absichern unumgänglich. Und ja, ich habe durchaus verstanden, dass der Datenverkehr mitgeschnitten werden kann.
G
Gast29012019_2
Guest
über
die Frage ich nicht wie alt der Router ist, sondern was er kann, bzw was für eine Software drauf ist. Wie gesagt die Hersteller Software ist meist abgespeckt bzw benutzer freundlich gemacht.
Siehe der Siemens SE505 ist ural, aber läuft mit DD-WRT v23 richtig gut als Verteiler.
Welche Software auf dem Router ist, kann ich dir nicht sagen. Allerdings bietet die Software sehr viel Einstellmöglichkeiten und ist komplizierter zu verwalten als ein FritzBox Teil.
Mehr zu dem Teil hier ..........
http://www.netgear.de/Privat/Wireless/802_11g/FWG114P/index.html
Software ist in english, das ganze auf deutsch wäre sicherlich besser.
G
Gast29012019_2
Guest
na ist doch nicht schlecht.
Sollte ja reichen.
Nur seine Leistung, naja.
Gut, dafür das man heute schon 266MHz+ Risc CPU und bis zu 64MB-Speicher haben kann, ist er mit seinen 166MHz und 8MB etwas mager. Für den gibts auch kein DD-WRT Update, sondern nur für ein bestimmten neueren Netgear Router.
Aber um mal die Frage der Leistung aufzugreifen, gibt es Anwendungen, oder Profile die eine stärkere Hardware im Router benötigen. Habe mich damit jedenfalls nicht wirklich mit beschäftigt.
Ich habe da halt nur 2 Rechner dran, die nur ins Netz gehen per DSL-16K @ 12Mbit. Ein bißchen Netzwerk und gut. Bei einem anderen Kollegen das gleiche, momentan DSL 2K bis auf den 3 Kollegen. Er selbst macht sehr viel Filesharing per Lan, wärend bald 3 zusätzliche Rechner per W-Lan ins Netz gehen, momentan 2 W-Lan PCs mit DSL-16K.
Gut beim 2 wird noch der sehr lahme Printserver benutzt, für VoIP wird das Alice Modem bzw. FritzBox genutzt. Für reinen I-Net wählt sich der Netgear Router sep. per PPPOE ein. Mehr braucht der Router nicht zu tun.
Ansonsten laufen die recht stabil, und werden nicht heiß. Siemens SE 551 = Kochplatte, wie es ebend nicht sein sollte *g*
Aber insgeheim würde mich interessieren wie die Fritz Boxen z.b 7170/7173 technisch ausgestattet sind, habe da bisher auf die schnelle nichts gefunden.
Zuletzt bearbeitet:
kann mic mit denn Fritzboxen nicht wirklich anfreunden.
Wenn man zu Leuten kommt die Probleme mit ihrem Router haben ist es eine Fritzbox.
Daher.
DD-WRT = Dresden WRT läuft nur auf Router mit bestimmten Chipsätzen und Linux.
Die Broadcom haben meist 200MHZ und SE505 8MB Buffelo 54S 16MB , WHT54 32MB.
Man kann mit der Software auch 240MHZ einstellen, neuere 108mbit Router gehen auch DD-WRT und haben z.b. schon 240MHZ serie.
kannst dich ja unter dd-wrt belesen, gibt auch nen gutes Wiki.
Und man kann z.b. die Router mit RAM erweitern. Ist auch nicht schlecht.
Das Problem was ich bei Standart Router bzw langsamen Router immer sehe ist, dass diese nicht viele Verbindungen öfnen können und somit immer langsamer werden.
Siehe z.b. ne WG mit 4 PC, 2machen evtl Filesharing und 2 wollen zocken, kannste vergessen. Meist können die 2 sauger noch nichtmal anstämdig z.b. Emule , Verbindungen aufbauen.
Das Problem hat man mit so einem Umgebauten nicht mehr so, ok da geht auch nur 4096 Verbindungen (v24, nicht v23)aber es ist merkbar mehr flüssigkeit in der Verbindung.
Wenn man zu Leuten kommt die Probleme mit ihrem Router haben ist es eine Fritzbox.
Daher.
DD-WRT = Dresden WRT läuft nur auf Router mit bestimmten Chipsätzen und Linux.
Die Broadcom haben meist 200MHZ und SE505 8MB Buffelo 54S 16MB , WHT54 32MB.
Man kann mit der Software auch 240MHZ einstellen, neuere 108mbit Router gehen auch DD-WRT und haben z.b. schon 240MHZ serie.
kannst dich ja unter dd-wrt belesen, gibt auch nen gutes Wiki.
Und man kann z.b. die Router mit RAM erweitern. Ist auch nicht schlecht.
Das Problem was ich bei Standart Router bzw langsamen Router immer sehe ist, dass diese nicht viele Verbindungen öfnen können und somit immer langsamer werden.
Siehe z.b. ne WG mit 4 PC, 2machen evtl Filesharing und 2 wollen zocken, kannste vergessen. Meist können die 2 sauger noch nichtmal anstämdig z.b. Emule , Verbindungen aufbauen.
Das Problem hat man mit so einem Umgebauten nicht mehr so, ok da geht auch nur 4096 Verbindungen (v24, nicht v23)aber es ist merkbar mehr flüssigkeit in der Verbindung.
Zuletzt bearbeitet:
G
Gast29012019_2
Guest
Meiner kann nur 2048, aber als ich den damals kaufte betraf das nur die teuren Modelle. Andere Marken/Router machten z.t nicht so viel.
