Hallo zusammen,

meine Eltern haben vor sich ein neues WLAN mit WPS aufzubauen. Da ich jetzt z.B. diesen (http://www.heise.de/meldung/Massive-WLAN-Sicherheitsluecke-1401820.html) Bericht gelesen habe, bin ich etwas verunsichert und habe bei AVM (die Hardware soll von denen kommen) nachgefragt, wie ich mir dem Problem umgehen soll.

Als Antwort habe ich folgendes bekommen:

WPS bei FRITZ!Box sicher
In den Medien wird aktuell über eine Sicherheitslücke bei WPS berichtet. FRITZ!Box ist von der berichteten Lücke nicht betroffen, da WPS bei der FRITZ!Box nicht dauerhaft aktiviert ist.
Für den Verbindungsaufbau zu einem anderen WLAN-Gerät muss bei der FRITZ!Box WPS (Wi-Fi Protected Setup) durch den Anwender temporär aktiviert werden. Dies ist entweder über die WPS-Taste oder die Benutzeroberfläche der FRITZ!Box möglich. Anschließend kann innerhalb von zwei Minuten eine sichere Verbindung aufgebaut werden. Nach einem erfolgreichen Verbindungsaufbau oder nach Ablauf dieser zwei Minuten wird die WPS-Funktion der FRITZ!Box wieder automatisch deaktiviert. Versuchen mehrere Geräte gleichzeitig, eine WPS-Verbindung aufzubauen, wird WPS sofort deaktiviert. Damit ist ein Zugriff von außen auf die FRITZ!Box nicht möglich.
WPS vereinfacht herstellerübergreifend die Einrichtung verschlüsselter WLANs.

Quelle (http://www.avm.de/de/News/artikel/2011/FRITZBox_WPS.html?linkident=kurznotiert)

Stimmt das so? Oder ist das Hersteller-Wunschdenken?

Herzlichen Dank!

Grüße

Stimmt wohl so. Ehrlichgesagt kenne ich kein Gerät bei dem WPS daueraktiv wäre, da ist doch immer ein Zeitfenster bei. Jedenfalls bei den gängigen Geräten, scheinbar gibts wohl Ausnahmen aber bei AVM definitiv mit Zeitfenster.

Und wenn du gar zu skeptisch bist, einfach in der Konfiguration ausschalten und Zugangsdaten eben ganz altmodisch per Hand in die Geräte eingeben.

Bezugnehmend auf den Bericht stimmt das schon. Unabhängig davon sehe ich aber keinen Sinn in WPS, bzw worin dabei die Vereinfachung gegenüber dem Eintragen eines selbstgewählten Passworts auf allen Geräten besteht.

Naja, man muss halt nur ein Knöppsche drücke und sich ned durch das Konfigmenü durchlesen und selbst Daten eingeben.

Für Oma Frida und Opa Alfons macht das die Sache schon einfacher bzw. überhaupt erst machbar.

weil es geräte gibt die schlicht keine möglichkeit bieten die passwörter einzutragen
wlan musikplayer.. repeater.. dlan-wlan adapter.. wlan wetterstationen.. wlan fernbedienungen usw. usf.
außerdem hat sich ja gerade wps "durchgesetzt" weil es den benutzern auf einfachere weise das einbinden neuer geräte ermöglicht
das die pin basierte umsetzung fehlerhaft ist wurde nun festgestellt und wird sicherlich gefixt werden
alleine nur eine zeitsperre fürs erneute verbinden nach der formel n*s²
(wobei n die anzahl der fehlversuche ist und s eine gewisse zeitspanne)
erhöht die dauer des angriffs dermaßen das schon nur damit eine recht hohe hürde eingebaut würde
noch ohne die abweisung der pin zu ändern
deswegen sind es ja nur so wenige versuche die benötigt werden (11k)
wenn die abweisung der pin geändert würde und egal ob das erste byte korrekt ist oder nicht immer erst am ende erfolgen würde dann wäre das eine weitere hürde

und das sind zwei maßnahmen die halben laien in 5min einfallen die experten werden da sicherlich noch anderes finden können

und mal bezugnehmend auf den TE wieso sollte avm denn auf eine explizite frage eines kunden nach der sicherheit der geräte schlicht lügen?
sry aber irgendwie geht mir dann die paranoia doch etwas zu weit^^
(gerade bei so einem renomierten hersteller der nun wirklich viel zu vergeben hätte wenn er seine (wissenden) kunden anlügt)
zumal wps per push button (ob nun virtuell oder real am gerät) auch garnicht von der sicherheitslücke betroffen ist
(und das steht auch so in allen artikeln zum thema genau so drinn)

es wäre außerdem schön wenn alle gäste und weiterlesende NICHT die immer aktive wps anmeldung per pin (die betroffen ist) und die push button methode die nur für 2min aktiv ist verwechseln würden
so entstehen schnell wellen von angst und ablehnung die nur durch uninformiertheit im netz ausgelöst werden
schlicht weil einfach keiner begreift worum es geht
(besonders auf die oma und den opa mit dem button bezogen die ja nun gerade NICHT betroffen sind^^)

weil es geräte gibt die schlicht keine möglichkeit bieten die passwörter einzutragen
wlan musikplayer.. repeater.. dlan-wlan adapter.. wlan wetterstationen.. wlan fernbedienungen usw. usf.

Das ist ja egal, da drückt man halt am Router das Knöppsche und dann verbinden die sich und paar Minuten später ist das Fenster wieder zu und nix geht mehr.

Aber einen Router anzubieten, bei dem man WPS ned auschalten kann bzw. bei dem das dauernd aktiv ist und nicht nur in einem kleinen Zeitfenster, ist schon ein starkes Stück.

Kennt jemand ein konkretes Gerät das betroffen ist?

In diesem Artikel wird auf die verschiedenen WPS Verfahren eingegangen, und klargestellt, welches genau von dem Exploit betroffen ist:

http://www.stern.de/digital/computer/fehlerhafte-wps-funktion-sicherheitsluecke-betrifft-millionen-wlan-router-1768196.html

Unter den betroffenen Routern befinden sich der US-Stelle zufolge Geräte von Belkin, Buffalo, D-Link, Linksys, Netgear, Technicolor, TP-Link und ZyXEL. Der von Stefan Viehböck unter die Lupe genommene Router Netgear WGR614v10 verschließe sich zwar nach einer nicht näher beschriebenen Anzahl von Attacken, die Phasen seien jedoch nicht lang genug, um einen Angriff gänzlich unmöglich zu machen.
http://www.onlinekosten.de/news/artikel/46365/0/WLAN-Router-WPS-birgt-Sicherheitsluecke
Gut, dass die Hersteller ihren Namen meist nicht in die SSID schreiben...

Unabhängig davon sehe ich aber keinen Sinn in WPS, bzw worin dabei die Vereinfachung gegenüber dem Eintragen eines selbstgewählten Passworts auf allen Geräten besteht.

Weil man eben den selbst gewählten Schlüssel nicht auf allen Geräten eingeben, sondern nur jeweils einmal einen Knopf drücken muss, damit sich ein Gerät nach dem Anderen den Schlüssel abholen kann.

Außerdem gibt es - wie StarGoose schon sagte - bei diversen Geräten Probleme, weil eine Passworteingabe nicht vorgesehen ist oder bestimmte Sonderzeichen nicht verarbeitet/eingegeben werden können. Oder der Vorgang zumindest äußerst umständlich ist. Auf einem Smartphone gebe ich z.B. nur sehr ungern meinen WLAN-Schlüssel von Hand ein...

Wenn jemand den Sinn darin nicht sieht, muss ich direkt vermuten, dass derjenige keine sicheren Passwörter verwendet.

Ich danke euch für eure Antworten - damit können meine Eltern ja getrost zur Fritzbox greifen.


Gut, dass die Hersteller ihren Namen meist nicht in die SSID schreiben...

Naja...ich hab heute einen neuen WLAN-Drucker in Betrieb genommen und der hat mir sofort meinen Router als WPS-tauglich angezeigt (WPS ist in der Software aus) - wenn das schon ein popliger Drucker kann, dann kann das im Zweifel jedes andere Gerät auch.

Grüße

Weil man eben den selbst gewählten Schlüssel nicht auf allen Geräten eingeben, sondern nur jeweils einmal einen Knopf drücken muss, damit sich ein Gerät nach dem Anderen den Schlüssel abholen kann.
Ok, wenn das Eingeben eines Passworts als erwähnenswerte Schwierigkeit aufgefasst wird, dann ist das eine Erleichterung. Konsequenterweise verwendet man dann auch Schuhe mit Klettverschluss, um der Schwierigkeit des Schnürsenkelbindens zu entgehen.

Wenn jemand den Sinn darin nicht sieht, muss ich direkt vermuten, dass derjenige keine sicheren Passwörter verwendet.Passwörter im Stile von "Mein Telefon hat 27! Tasten" sind nicht unsicher und selbst auf einem Smartphone in Sekunden reingehackt. Mit einem bisschen längeren Passwort lässt sich sogar problemlos die bei WPA-PSK höchstmögliche Entropie erreichen.

ja ja ja setzen sechs

lesen -> verstehen -> differenzieren
wenn du wenigstens die bisherigen beiträge gelesen hättest und den artikel aber nein.. einfach vorm schlafen gehn noch bissel rumtrollen müssen^^
mann mann
und dann noch sinnlose vergleiche anstellen ^^