Ich hab mal ein paar fragen zu wlan sicherheit:
1. Wenn mann den ap auf bestimmt mac addressen spert, bringt das was oder gibt es tools mit denen man sehn kann, was für mac adressen die einegloggten wlan karten haben und dann die mac für seine karte emulieren?
2. wenn wep verschlüsselung an ist, heißt das dann das man sich nur an melden kann, wenn man den wep code kann oder dass die daten übertragung nicht abgefangen werden kann?
3. ich hab mal bissel gegooglet zu dem thema und es wir immer gesagt es soll eine firewall zwischen wlan und lan geschaltet werden, was genau würde die denn machen?

der ap soll speziäl dazu genutzt werden um eine nb in eine netztwerk einzubinden in dem vertaulich daten freigegeben sind, die der benutzer am nb aber auch braucht. was kann da noch gemacht werden um die daten gegen ausstehende zu schützen? (daten leigen auf einem win2k server, der domain und dhcp server ist)

es muss doch irgendwer was über wlan sichertheit wissen oder stellen alle ihr tollen ap-router zu hause auf und die nachbarschaft freut sich über freigegebene daten und dsl flat... ?

*Doppelpost*

Original geschrieben von Zadran
Ich hab mal ein paar fragen zu wlan sicherheit:
1. Wenn mann den ap auf bestimmt mac addressen spert, bringt das was oder gibt es tools mit denen man sehn kann, was für mac adressen die einegloggten wlan karten haben und dann die mac für seine karte emulieren?


Die MAC Adresse der Clients die den AP nutzen, solltest du mit diversen Tools ziemlich problemlos heraus bekommen.

Auch ein faken deiner eigenen MAC Adresse ist möglich!

Original geschrieben von Zadran
2. wenn wep verschlüsselung an ist, heißt das dann das man sich nur an melden kann, wenn man den wep code kann oder dass die daten übertragung nicht abgefangen werden kann?


Bei aktivierter WEP Verschlüsslung wird sämtlicher Datenverkehr der über das WLAN läuft verschlüsselt. Den entssprechenden Key zu knacken ist relativ schwierig aber auch nicht unmöglich. ;) Für den Normalfall sollte ein 128-Bit-iger Schlüssel jedoch ausreichenden Schutz bieten.

Original geschrieben von Zadran
3. ich hab mal bissel gegooglet zu dem thema und es wir immer gesagt es soll eine firewall zwischen wlan und lan geschaltet werden, was genau würde die denn machen?


Es kommt immer darauf an was du machen möchtest!
Wenn es dir an genügend Kleingeld jedoch nicht mangelt wäre eine Firewall mit Session Authentication sicherlich sehr zweckmäßig.

Original geschrieben von Zadran
der ap soll speziäl dazu genutzt werden um eine nb in eine netztwerk einzubinden in dem vertaulich daten freigegeben sind, die der benutzer am nb aber auch braucht. was kann da noch gemacht werden um die daten gegen ausstehende zu schützen? (daten leigen auf einem win2k server, der domain und dhcp server ist)

Wichtige Schritte bei der Access Point Konfiguration:

- SSID Broadcast deaktiviern / default SSID ändern
- WEP aktivieren!! (Schlüssel in bestimmten intervallen wechseln)
- DHCP des APs deaktivieren und statische IPs vergeben
- evtl. festen IP-Bereich festlegen
- MAC Filterung aktivieren


- Windows 2000 Gast-Account deaktivieren, Zugriff auf Daten nur mit Passwort-Authentifizierung!
- Daten evtl. zusätzlich verschlüsseln

- Verbindung von NB zu W2K Rechner mit SSH Tunneln


MfG

also das wirklich sichere wird wohl nur eine firewall sein.
heißt Session Authentication, dass ich mich jedes mal mit name und pass an der firewall anmeldem muss, um weiter in das normale lan zukommen?

kannst mir da was billigest empfehlen (muss ja sonst nicht viel können...) ?

Original geschrieben von Zadran
also das wirklich sichere wird wohl nur eine firewall sein.



Ist die Frage wie sicher es wirklich sein muss! Oben genannte Maßnahmen sollten (wenn es sich nicht wirklich um Top-Secret Material handelt) ausreichend sein.

Schau dir nochmal das an (SSH Tunnel, 1. Beitrag):

http://zedv.physik.fu-berlin.de/de/dokumentation/user/bilderbuch/sshd_win/

Oder was für Dienste sollen auf dem Win2k Rechner laufen?!

Original geschrieben von Zadran
heißt Session Authentication, dass ich mich jedes mal mit name und pass an der firewall anmeldem muss, um weiter in das normale lan zukommen?


Nein, dass wäre eine simple User Authentifizierung, reicht prinzipiell auch aus.

Session Authentication funktioniert noch ein wenig anders. Das ganze war auch mehr oder weniger ein flüchtiger Gedanke, ist eigentlich nicht zweckmäßig für dich und bezahlbar wahrscheinlich gleich gar nicht.


Original geschrieben von Zadran
kannst mir da was billigest empfehlen (muss ja sonst nicht viel können...) ?

Schwierig, die günstigste Variante wäre, sich selber eine Firewall unter Linux zu basteln. Oder evtl. o.g Geschichte mit SSH zu fahren.

Die sicherste und zugleich optimalste Lösung (denke ich) bietet dieses Teil von SonicWall:

http://www.sonicwall.de/_sohotzw.htm

Eine art LAN-WLAN VPN. Bin mir aber nicht sicher ob du 1200€ bei der Hand hast! :)


MfG

oder du besorgst dir ne vpn software und richtest ein vpn ein.

sozusagen kann die ip das accesspoints total anders sein als die des netzwerks. erst durch die vpn tunnelung des nb zum vpn server kannst du auf das eigentliche netz zugreifen. so macht bei mir die uni.

Original geschrieben von BNO
oder du besorgst dir ne vpn software und richtest ein vpn ein.

sozusagen kann die ip das accesspoints total anders sein als die des netzwerks. erst durch die vpn tunnelung des nb zum vpn server kannst du auf das eigentliche netz zugreifen. so macht bei mir die uni.

Jap, VPN Server/Firewall unter Linux sollte die wirklich preisgünstigste Variante darstellen.

http://www.mueller-ag.ch/linux/linux_fw_gw.htm


MfG

ich steig da jetzt nicht so ganz hinter.
also ich stell mir das so vor nb-->wlan/ap-->netzwerk-switch-->server mit daten.

das prob ist jetzt das das netzwerk nicht besonders geischtert ist weil es gar nicht mit i.net verbunden ist.



bei vpn und dem ssh tunel wird zwar eine sicher verbindung aufgebaut, aber es kann sich doch trozdem jeder noch am ap anmelden und dann auf das netzwerk zugreifen. (die benutzer nahmen und pw der domain sind nämlich recht einfach raus zubekommen).

ich dachte eigentlich das bei wlan-aps schon sperren eigenbaut sind das die nicht jeder benutzen kann. aber da das ja irgendwie nicht so ist muss wohl es wohl so gemacht werden: nb-->wlan/ap-->sperre-->netzwerk-switch-->server.

Original geschrieben von Zadran
bei vpn und dem ssh tunel wird zwar eine sicher verbindung aufgebaut, aber es kann sich doch trozdem jeder noch am ap anmelden und dann auf das netzwerk zugreifen.


So einfach ist es nun wirklich nicht. Mit o.g. Maßnahmen solltest zu 95% abgesichert sein (wer sollte sich denn auch die Mühe machen dein Netzwerk zu hacken?!)

Original geschrieben von Zadran
(die benutzer nahmen und pw der domain sind nämlich recht einfach raus zubekommen).


Dann änder die Passwörter doch?!


Original geschrieben von Zadran
ich dachte eigentlich das bei wlan-aps schon sperren eigenbaut sind das die nicht jeder benutzen kann. aber da das ja irgendwie nicht so ist muss wohl es wohl so gemacht werden: nb-->wlan/ap-->sperre-->netzwerk-switch-->server.



- SSID Broadcast deaktiviern / default SSID ändern
- WEP aktivieren!! (Schlüssel in bestimmten intervallen wechseln)
- DHCP des APs deaktivieren und statische IPs vergeben
- evtl. festen IP-Bereich festlegen
- MAC Filterung aktivieren



MfG

um wirklich sicherheit zu bekommen kann man mit vpn arbeiten!
aber ansonsten sind die stnadard maßnahmen für ein heimnetzwerk eigentlich ausreichend um den datenverkehr halbwegs zu sichern!

viel zum thema wlan stand in einem pc magazin! weiss jetzt gerade nich mehr welches!

aber was man auch machen kann wenn man den 802.11g standard hat die wep 104bit bzw. 128bit verschlüsselung nehmen. is sinnvoll! wobei man nie den schlüssel automatisch bereit stellen sollte sondern selber eingeben!!!