[O.T.: WLAN und Sicherheit]
[Off Topic: hier geht es ja um Konnektivität, nicht Sicherheit]
@ WLAN-sicherheitsgeschädigte Leser von Computerbild, Chip und Co:
Ok, good, dann etwas präziser:
WLAN hat definitionsgemäß was mit Funk zu tun. Damit sich Geräte innerhalb einer Funkzelle/WLAN-Netz verständigen können, braucht das Kind immer einen Namen, eben die SSID.
Selbst wenn man „verstecken“ aktiviert, so ist die SSID eben nur „versteckt“ und das auch nur indem Sinne, dass man auf offener Flur deutlich erkennbar kein Leuchtschild hin hält mit „Bin da“, sondern mit „Bin unsichtbar“.
Der Stumbler findet tatsächlich „versteckte“ Netze, aber die SSID bleibt meistens … ähmm, versteckt/unbekannt/unbenannt - aber nicht unsichtbar eben, was technisch auch nicht geht.
Anders liegt die Sache mit ein bisschen Linux (muss nicht mal installiert sein, CD-Rom geht auch, zumindest mit ASUS-Notebook, HPs machen Probleme) und Kismet. Um es mal klartext zu formulieren, Kismet zeigt mir die noch so „versteckteste“ SSID im K L A R T E X T an - ohne Probleme. Was also in diesem Punkt „Sicherheit“ bringen kann, ist die Default-SSID zu ändern, damit nicht jeder sofort weiß, dass man mit einem Sinus- oder was weiß ich Router unterwegs ist. (Warum also nicht gleich ein bisschen Service für seine Mitmenschen betreiben und eine Kontaktadresse per SSID bekannt geben. Wenn Funkprobleme bestehen, man per DHCP quasi „gezwungen“ ist, in einem anderen Netz eingeloggt zu sein, … braucht es dann nur eine kurze Mail und eben keinen Erkundungsgang mit eingeschalteten und möglicherweise heißen Laptop, um eventuell vor einem größeren Wohnblock zu landen und eine Klingel-Orgie zu starten. Ja lacht nur, schon passiert …).
***
Soweit zum „mythischen“ Thema SSID und nun noch für alle Sicherheitsparanoiker eine kurze Sicherheitsanleitung in aufsteigender Reihenfolge:
WLAN ein, alles offen, DHCP ein = 100% unsicher (und leider immer noch sehr verbreitet).
SSID aus/versteckt (siehe wichard, siehe meiner einer)
DHCP aus, ich muss niemanden zwingen sich mit meinem Netz zu verbinden (Gut ich weiß, ist Arbeit und beim Thema WDS schwierig).
MAC-Adressfilter (well good, mar … es hält aber auch Niemanden auf, der sich seit Basic- und DOS-Zeiten mit dem Thema auseinandergesetzt hat. Nur soviel: MAC-Adressen sind nicht in Stein gemeißelt oder auf Platinen geschweißt und das Modifizierungs-Handwerk ist durchaus erlernbar!)
Kennwort für den Router (Jep, schon erstaunlich wie viele Router mit 0000, 1234, Hinz und Kunz [+Geburtsdatum] gesichert sind … und - bei den bisher beschriebenen Einstellungen -kommt man dann auf einmal nicht mehr auf seinen eigenen Router, so was?!)
So, jetzt ziehen wir den Schutzzaun mal wirklich höher mit einer WEP-Verschlüsselung. Ok, ich weiß „WEP ist geknackt“. Nur soviel, wer eine WEP-Verschlüsselung mit einem v e r n ü n f t i g e n Schlüssel knacken will, der muss auch heute noch gewaltige Klimmzüge veranstalten. (Habe zu Testzwecken ein kleines Offline-Netzwerk, alter Rechner und alter WLAN-Router laufen, habe trotz Ankündigungen aus meinem Bekanntenkreis noch keinen Besuch bekommen …) Im Übrigen steht die Häufigkeit der Meldung WEP sei geknackt, in einem krassen Missverhältnis zu Meldungen der Art wie „Betroffener berichtet über einen WEP-Hack“. Gehackte und WEP-geschützte WLAN-Betreiber also bitte mal melden und berichten, :huhu: !
So lange sich keine in meiner Umgebung melden, möchte ich also davon ausgehen, das WDS zwischen FBF und beispielsweise Sinus 1054 durchaus (noch) sicher ist.
Für den privaten Haushalt haben sich also Schutzzäune bewährt, echte Kostbarkeiten wie Firmengeheimnisse, Adressdatenbanken und … Familienfotos gehören aber hinter einen dicken Schutzwall. Der heißt zurzeit WPA, wenn man einen v e r n ü n f t i g e n Schlüssel benutzt!
Dabei ist CCMP/AES besser als TKIP/RC4 (ist eigentlich ein modifiziertes WEP). Anleitung siehe hier im Unterforum unter „Wichtig“; allerdings kann AES mit einigen WLAN-Clients zu Problemen führen.
Wer dann noch meint eine weitere Sicherung einbauen zu wollen, bitte, der muss sich mit Thema VPN mal auseinandersetzen.
Der ultimative WLAN-Sicherheitstipp ist natürlich WLAN aus (wobei man sicherlich darüber diskutieren kann, wie sicher ein Netzwerk über LAN ist.)
Soweit meine Sicherheits-Polemik …
***
@ wichard:
Noch ein schöner Vergleich ergibt sich aus meiner Schutzwall-Metapher. Diese ist vier Meter hoch und mindestens so dick, eine versteckte SSID wäre gerade mal die kleine Zierleiste obendrauf. Und ob ausgerechnet die einen Einbrecher aufhält …
[O.T., Ende]
@ wid@r:
Funzt WLAN oder funzt nicht?
Tot ziens
