... aus aktuellem persönlichen Anlass von mir dieser Thread.

Nach wie vor gibt es hierzulande unzählige völlig offene/halboffene WLAN, und täglich werden es mehr statt weniger. Abgesehen vom mithören und ausspionieren, kommen auch noch jede Menge rechtlicher Probleme dazu, die einem Betreiber eines offenen Access-Pointes treffen können.


* * * * * * * * * * * * *


Nun, ich kam heute abend nach Hause, hab seit früh morgens mal wieder bei dem herrlichen Wetter im Revier nach dem Rechten geschaut, und kaum zur Haustür rein trafen mich aus vier Frauenaugen geradezu strafende Blicke. Was war geschehen?

Mein Schatz war mit ihrer besten Freundin heute gross am einkaufen. Zum Opfer viel den beiden Damen u.a. ein Sony Notebook in Lack-Rot (war wohl die Kaufentscheidung).
In festem Vertrauen darauf, da bei uns ja alles bestens eingerichtet ist und auch das WLAN vorzüglich funktioniert, beschlossen daraufhin die Damen bei einem Glas Wein, das neue schicke Teil gleich zu testen.

Selbstverständlich funktionierte das Internet bei dem neuen Notebook nicht. Weder über eingestecktem Ethernetkabel kam eine Verbindung ins www zustande, ebenso per Funk ging nichts. Der Schuldige war selbstverständlich sofort und ohne Nachfrage der Hausherr und Systemadministrator in Personalunion. Details des erfolgten Streitgespräches erspare ich euch hier ...

Was war geschehen, warum funktioniert mein Laptop und der meiner Frau problemlos, die PC's sowieso und andere, fremde Geräte "sehen" nicht mal das Funknetz und selbst per Kabel tut sich nichts?


* * * * * * * * * * * * *


1. WLAN-Router Namen geändert, starkes Passwort gesetzt
2. Remote Konfiguration abgeschaltet
3. WLAN Broadcast abgeschaltet
4. Whitelist der MAC-Adressen erstellt und MAC spoofing aktiviert
5. DHCP abgestellt
6. Default IP Range 192.168.1.x gegen 10.0.x.x geändert
7. Firewall aktiviert und im Detail Änderungen vorgenommen
8. WPA-PSK konfiguriert

... und wer leicht paranoid veranlagt ist was PC-Sicherheit betrifft und dem Deutschen Staat zutiefst misstraut, sollte auch die Router Software, wie sie beim Neuzustand drauf ist (falls das Teil hier gekauft wurde), gegen die meist original auf der Hersteller-Homepage erhältliche Software austauschen.;)



* * * * * * * * * * * * *

Nachdem ich nun binnen weniger Minuten am neuen schicken roten Freundinnen-Laptop und Router die entsprechenden Einträge vorgenommen hatte ... ping und schwups schon tat es tun.:]

Anschliessend folgte wieder eine Zwei gegen mich Anklage, warum und weshalb etc., woanders würde das auch ohne all diesen Blödsinn sofort funktionieren uswusf. ... Hiiiiiiiilfe

Habe WLAN auf fester IP, MAC-Filter und WPA-PSK und dem Bewußtsein, dass es keine volle Sicherheit bietet. Dementsprechend sind manche Dinge, meiner Ansicht nach, über WLAN passe.

Ich habe ein WPA2 verschlüsseltes Netzwerk, das soll angeblich absolut sicher sein. :]

Ich habe ein WPA2 verschlüsseltes Netzwerk, das soll angeblich absolut sicher sein. :]

Soll Windows nicht angeblich absolut sicher sein? :)

Soll Windows nicht angeblich absolut sicher sein? :)

Ja, wenn man dran glaubt?! Für Andersdenkende hat sich Linux bewährt :]

Ich habe ein WPA2 verschlüsseltes Netzwerk, das soll angeblich absolut sicher sein. :]

... absolut sicher ist lediglich der Hungertod in Nordkorea, was mit diesem Thema wiederum absolut nichts zu tun hat.

... absolut sicher ist lediglich der Hungertod in Nordkorea, was mit diesem Thema wiederum absolut nichts zu tun hat.




todsicher ist auch die US Army :]

www.goarmy.com

(derzeit sterben sicher mehr Amerikaner in "sinnvollen" Friedensmissionen, als Nordkoreaner am Hunger)

1. Feste IP
2. Mac-Filter
3. WPA-EAP

Mein Router ist zu alt und verträgt sich nicht mit meinem Schlepptop.
Außerdem sitze ich sowieso meist am gleichen Platz und brauche sowieso mehrere Kabel für Netzteil, Drucker, externe HD usw. etc.pp.
Also kann ich auch gleich noch das Routerkabel einstecken.

WLAN benutze ich nur außerhalb wenn ich irgendwo im Hotel oder Flughafen wirklich dringend mal ans Netz muss.

WLAN benutze ich nur außerhalb wenn ich irgendwo im Hotel oder Flughafen wirklich dringend mal ans Netz muss.

Dito. Ansonsten würde ich auch mit ner Mac-Liste arbeiten.


Ethernet läuft über feste IP's, ist ja auch recht übersichtlich, dadurch fällt DHCP am Router weg. Upnp sowieso.

Dito. Ansonsten würde ich auch mit ner Mac-Liste arbeiten.


Ethernet läuft über feste IP's, ist ja auch recht übersichtlich, dadurch fällt DHCP am Router weg. Upnp sowieso.

Tja, seit ich gelegentlich mit JAP das als Proxy fungiert arbeite mag mein Router die eingetragene feste IP Adresse nicht, oder Vista mag sie nicht, konnte ich noch nicht wirklich rausfinden. Läßt man JAP, Vista und den Router frei spielen klappts in der Regel.

Hab gestern einen Kabarett Sketch gesehen, paßt wunderbar. So als Ausschnitt:

Manchmal benimmt mein Drucker sich wie ein Kleinkind:. "Ich seh den Computer nicht - ich seh den Computer nicht..." oder der Computer "ich seh den Drucker nicht - ich seh den Drucker nicht...."
Oder sie spielen vergnügt miteinander: "Alles in Ordnung lala ich bin bereit zum Drucken ...lalala" und drücke ich dann auf drucken :" ich bin bereit zum drucken..lalala...aber ich mag jetz grade nicht...lalala warum sag ich nicht lalala...usw. :D

Manchmal benimmt mein Drucker sich wie ein Kleinkind:. "Ich seh den Computer nicht - ich seh den Computer nicht..." oder der Computer "ich seh den Drucker nicht - ich seh den Drucker nicht...."
Oder sie spielen vergnügt miteinander: "Alles in Ordnung lala ich bin bereit zum Drucken ...lalala" und drücke ich dann auf drucken :" ich bin bereit zum drucken..lalala...aber ich mag jetz grade nicht...lalala warum sag ich nicht lalala...usw. :D

:)) Wer kennt das nicht. Ich hatte das Problem früher häufig mit DHCP. Mit festen IP's hatte sich das dann erledigt. Nur ab und zu will der eine PC vom anderen mal Login und PW.
Ich hatte auch mal so einen Drucker, der unbedingt reden wollte, so ein Billigschrott von Lexmark (die, wo die Nachfüllpatrone teurer ist, als der Drucker selbst), der brüllte dann mal das Haus mit "Druckvorgang gestartet" zusammen, weil ich vergessen hatte nach dem Genuss einer DVD die Lautstärke wieder zu reduzieren.

- Fixe IPs aus priv. Subnetz
- ssid broadcast abgeschaltet (relativ nutzlos)
- WPA2 encrypt.

Es ist übrigens ein Freizeitsport von mir, wenn ich unterwegs bin per WLAN nach E-Mails u.ä. zu schauen. Es gibt nette Tools.

Rotes Vaio ist so ziemlich das Peinlichste, was ich mir vorstellen kann.

Rotes Vaio ist so ziemlich das Peinlichste, was ich mir vorstellen kann.

Echt?

https://shop.sonystyle-europe.com/SonyStyle/catalog/setCurrentItem/(isQuery=yes&xcm=PCM_b2ccrmstandard&query=*VGNCR3**&layout=15_108_60_57_109_113&uiarea=2&ctype=catalogQuery&bc_search=strue&next=seeItem&carea=%24ROOT&citem=46721B05127E00AAE10080002BC29B8647186A1C586D 0076020000002BC29B74)/.do

- Fixe IPs aus priv. Subnetz
- ssid broadcast abgeschaltet (relativ nutzlos)
- WPA2 encrypt.

Es ist übrigens ein Freizeitsport von mir, wenn ich unterwegs bin per WLAN nach E-Mails u.ä. zu schauen. Es gibt nette Tools.

Rotes Vaio ist so ziemlich das Peinlichste, was ich mir vorstellen kann.

Ich hab nur Vaios. Ich mag die Displays. Auch das auf dem Tisch vom Tower PC.
Allerdings schwarze. Das hier grade mit Carbongehäuse. VGN-SZ5XWN/C.
Klein, süß, leicht.

Jeder kennt doch diese haufenweise Berichte über die Möglichkeit ein W-LAN zu hacken oder sich dort einzuklinken.
Die einen sagen mit einer vernünftigen 256Bit-verschlüsselung ist das nicht mehr möglich, ich sage aber man braucht die noch nichteinmal - ausserdem kann mein Router eh nur 128Bit...

Nun, hier aber 2 Dinge vorweg, man schränkt sich durch die Methode doch etwas ein, zumindest was die problemlose integration von weiteren Usern im Netzwerk betrifft.
Zum anderen kommt es eben auf die verwendete Hardware an.

Im Prinzip besteht die einfachste und gleich die wirkungsvollste Art der Einschränkung von Fremdzugriffen darin, die mögliche Host-Anzahl auf ein Minimum zu reduzieren. - wenn man nun mit Hilfe der Subnetmaske die möglichen IP-Addressen auf 4 begrenzt, so können lediglich 2 Geräte mit einander komunizieren, denn eine Adresse ist die Netzmaske, die andere der Broadcast, dazwischen bleiben also nur noch 2 Adressen übrig.
in diesem Fall schaut die Subnetmaske folgenderweise aus: 255.255.255.252

Im Normalfall haben die meisten Leute nicht extra einen Accesspoint zu Hause sondern nutzen den Router mit W-LAN funktion.

Wenn nun für W-LAN und das integrierte Switch 2 verschiedene IP-Netze vergeben werden, stellt die obere Möglichkeit kein Problem dar, da im normalen Kabelnetzwerk die normale 254-Host Version (255.255.255.0) verwendet wird.

Wenn allerdings diese Möglichkeit nicht besteht, so sollte man prüfen wieviele Geräte man denn betreibt, und dementsprechend die IP-Addresse eingrenzen.
Subnetmasken kann man sich hier ausrechnen lassen.

Eine weitere Möglichkeit wäre dann noch die MAC-Addressen Verifizierung, da jede MAC-Addresse (bis auf eine kleine Ausnahme) nur ein einziges mal auf der Welt vorkommt - somit kann man mit dieser Funktion eben nur bekannten MAC-Addressen den Zugriff per W-LAN erlauben.

Somit braucht man keine großartige Verschlüsselung und hat doch ein effektiv geschütztes Netzwerk.
Vom Einrichten her ist es auch kein größerer Aufwand, als wenn man die Schlüssel eintippen muss.

Ich habe leider nur einen Router der Kabel-und W-LAN mit einer IP besetzt, aber trotzdem verwende ich die 2-Addressenmethode: -> Da ich mit dem Laptop nicht aufs Netzwerk zugreiffen muss, sondern lediglich ins Internet möchte, betreibe ich den 2. Router am 1.
Dazu habe ich den WAN-Port des W-LAN Routers in einen normalen Kabelanschluss am Haus-Router angeschlossen - da der Hausrouter auch DHCP-Server ist, erkennt der W-LAN Router den Haus-Router nun als ISP, und sagt mir dann fälschlicherweise, dass ich eine 100Mbit Internetanbindung habe, naja über WAN stimmt das ja - so hab ich zwar Hausintern eine Stelle mehr im Routing, aber dafür ein getrenntes und sicheres W-LAN, und bei den heutigen Hardwarepreisen ist auch das nicht mehr das Thema.

Rotes Vaio ist so ziemlich das Peinlichste, was ich mir vorstellen kann.

... ich mir auch,

Auf Frauen scheinen grosse und knallbunte Notebooks jedoch eine magische Anziehungskraft zu besitzen.

http://img227.imageshack.us/img227/747/41jh3wsbnalaa280pk5.jpg

http://img227.imageshack.us/img227/747/41jh3wsbnalaa280pk5.jpg

... igendwie passt es zu Dir :))

... igendwie passt es zu Dir :))




Denk sowas nicht von mir. Ich habe natürlich das Modell "Ken" in hellblau. :D

bevor schäuble seinen "wir müssen auf alle rechner sehen können" auftritt hatte, haben ja alle großen provider im vorfeld ohne ende w-lan modems und router unter das volk gerieben.

was für eine reizende symbiose, oder?

ich wußte ja schon vor jahren das alle schlüssel ob nun 64 oder 128 bit längst knackbar waren.

es gibt tools die schnüffeln den schlüssel ganz locker aus. je nach dem kann das zwischen 2-5 stunden dauern und man hat den schlüssel. kommt auf den trafic an den der zielrechner hat. viel trafic = 2 stunden und wenig = 5 stunden.

wir dürfen auch nicht vergessen wer das internet quasi erfunden hat mit seinen protokollen. wofür es einst gedacht war und weswegen es NIE wirklich sicher sein kann.

das internet wurde von der NSA entwickelt und alle windowsversionen sind in kooperation NSA/Gates entwickelt worden.

das internet wurde von der NSA entwickelt und alle windowsversionen sind in kooperation NSA/Gates entwickelt worden.

Falsch, das war Al Gore (http://www.sethf.com/gore/). Weiß doch jeder.

Das Internet, von dem keine "Windowsversion" existiert, wurde als ARPANET im Auftrag des US-Militärs entwickelt. Das Protokoll TCP/IP wurde sehr wesentlich von amerikanischen Universitäten mitentwickelt (insb. Berkeley).

Dessen Windows-Implementierung basiert sehr wesentlich auf dem Stack von BSD. Die NSA-Verschwurbelung spielt bei Opensource-Betriebssystemen, die jedermann kostenlos zur Verfügung hätte, natürlich keine Rolle.

WLAN ist Scheisse. Luft war seit jeher ein schlechter Leiter.


----

- Fixe IPs aus priv. Subnetz
- ssid broadcast abgeschaltet (relativ nutzlos)
- WPA2 encrypt.

Es ist übrigens ein Freizeitsport von mir, wenn ich unterwegs bin per WLAN nach E-Mails u.ä. zu schauen. Es gibt nette Tools.

Rotes Vaio ist so ziemlich das Peinlichste, was ich mir vorstellen kann.

Eine gute Bekannte von mir trägt es passend zum Auto(!) in pink. Ich würds nicht glauben, wenn ich es nicht selbst bezahlt hätte (und wenn es sich um eine andere Person als sie gehandelt hätte).

WLAN ist Scheisse. Luft war seit jeher ein schlechter Leiter.


----

Stimmt! Wer je nach dem Fensterln ins Leere getreten ist, weiß : Luft ist eine schlechte Leiter! :D

bevor schäuble seinen "wir müssen auf alle rechner sehen können" auftritt hatte, haben ja alle großen provider im vorfeld ohne ende w-lan modems und router unter das volk gerieben.

was für eine reizende symbiose, oder?

ich wußte ja schon vor jahren das alle schlüssel ob nun 64 oder 128 bit längst knackbar waren.

es gibt tools die schnüffeln den schlüssel ganz locker aus. je nach dem kann das zwischen 2-5 stunden dauern und man hat den schlüssel. kommt auf den trafic an den der zielrechner hat. viel trafic = 2 stunden und wenig = 5 stunden.

wir dürfen auch nicht vergessen wer das internet quasi erfunden hat mit seinen protokollen. wofür es einst gedacht war und weswegen es NIE wirklich sicher sein kann.

das internet wurde von der NSA entwickelt und alle windowsversionen sind in kooperation NSA/Gates entwickelt worden.

Wir sind sicherer als ich befürchtet hatte. :)

Dessen Windows-Implementierung basiert sehr wesentlich auf dem Stack von BSD. Die NSA-Verschwurbelung spielt bei Opensource-Betriebssystemen, die jedermann kostenlos zur Verfügung hätte, natürlich keine Rolle.

... dann schau Dir mal SELinux (http://www.nsa.gov/selinux/) an :] Und bei den kleinen Teufeln sponsort die NSA das TrustedBSD Projekt ;)

Ja, kenne ich.

Sobald ich merke oder vermute, dass im Hintergrund irgendwelcher Netzwerk-"Traffic" läuft ohne dass ich selbst irgendwas am machen bin, knipse ich die Steckerleiste aus... No juice, no joy - gel Herr Schäuble? :hihi:

... dann schau Dir mal SELinux (http://www.nsa.gov/selinux/) an :] Und bei den kleinen Teufeln sponsort die NSA das TrustedBSD Projekt ;)






BSD - Bullshit demon? Shit, yeah!

Sobald ich merke oder vermute, dass im Hintergrund irgendwelcher Netzwerk-"Traffic" läuft ohne dass ich selbst irgendwas am machen bin, knipse ich die Steckerleiste aus... No juice, no joy - gel Herr Schäuble? :hihi:

... im Hintergrund läuft automatisch so einiges. Neben NTP fummelt der Mailserver rum etc.
Willst Du das verhindern?

bevor schäuble seinen "wir müssen auf alle rechner sehen können" auftritt hatte, haben ja alle großen provider im vorfeld ohne ende w-lan modems und router unter das volk gerieben.
was für eine reizende symbiose, oder?

... wird wohl andersrum gewesen sein. Das rollende Einsatzkommando hat lediglich diese Situation clever genutzt.


ich wußte ja schon vor jahren das alle schlüssel ob nun 64 oder 128 bit längst knackbar waren.
es gibt tools die schnüffeln den schlüssel ganz locker aus. je nach dem kann das zwischen 2-5 stunden dauern und man hat den schlüssel. kommt auf den trafic an den der zielrechner hat. viel trafic = 2 stunden und wenig = 5 stunden.


... mag bei dusseligen Passwörtern und dazu WEP zutreffen. Wenn harte Passwörter maximaler Länge mit WPA-PSK bzw. WPA2 benutzt werden, dauert die Entschlüsselung bei heutiger Rechnerkapazität mehr als 100 Jahre.

Leider sind >90% der WLAN User entweder zu sorglos oder zu dumm, diese Einstellungen vorzunehmen.

W- Was? Wer benutzt denn sowas? Beim Zocken gabs durch das WLan ständig Verbindungsabbrüche und da habe ich dann zur Brachialmethode gegriffen!
Löcher durch drei Wände, abgeschirmtes Kabel und gut ist! Ab und an wenn jemand bei mir ist und Laptop anschliessen will, schalte ich das WLan noch ein.

W- Was? Wer benutzt denn sowas? Beim Zocken gabs durch das WLan ständig Verbindungsabbrüche und da habe ich dann zur Brachialmethode gegriffen!
Löcher durch drei Wände, abgeschirmtes Kabel und gut ist! Ab und an wenn jemand bei mir ist und Laptop anschliessen will, schalte ich das WLan noch ein.

... als ich noch M$-XP-Pro auf meinem Laptop hatte, lag die WLAN-Verbindung vom Access-Point in meinem Arbeitszimmer bis ins Gartenhäusle bei sehr bescheidenen 35-40%.

Nach dem Wechsel zu Debian/Linux hat sich die Qualität, bei gleicher Hardware, gleichem Standort, auf 75-80% Leistungsstärke verbessert.

Hat jemand ähnliche Erfahrungen gemacht?

Ich habe ein WPA2 verschlüsseltes Netzwerk, das soll angeblich absolut sicher sein. :]


detto!

Mein WLAN-Router ist zwar schon etwas älter, aber ich habe folgende Maßnahmen zur Absicherung getroffen.

1.) Passwort gegen fremdes Einloggen im Setup.
2.) Port 80 Forwarding, um fremdes Einloggen von außen zu vermeiden.
3.) DHCP-Range auf zwei IP-Adresse begrenzt - auf eine ging leider nicht, sonst ohne DHCP
4.) Alias Namen auf ANY gesetzt, um WLAN-Router Hersteller zu verbergen.
5.) SSID auf ANY
6.) Authentication Type: Open System
7.) Broadcast SSID: Enabled - früher Disabled (nach Installation von SP2 konnte der PC den Router nicht mehr finden).
8.) Verschlüsselung WPA
9.) WPA Authentication Mode: PSK, 64 Zeichen
10.) WPA Unicast Cipher Suite: TKIP
11.) Feste MAC-Adresse

Mein WLAN-Router ist zwar schon etwas älter, aber ich habe folgende Maßnahmen zur Absicherung getroffen.

1.) Passwort gegen fremdes Einloggen im Setup.
2.) Port 80 Forwarding, um fremdes Einloggen von außen zu vermeiden.
3.) DHCP-Range auf zwei IP-Adresse begrenzt - auf eine ging leider nicht, sonst ohne DHCP
4.) Alias Namen auf ANY gesetzt, um WLAN-Router Hersteller zu verbergen.
5.) SSID auf ANY
6.) Authentication Type: Open System
7.) Broadcast SSID: Enabled - früher Disabled (nach Installation von SP2 konnte der PC den Router nicht mehr finden).
8.) Verschlüsselung WPA
9.) WPA Authentication Mode: PSK, 64 Zeichen
10.) WPA Unicast Cipher Suite: TKIP
11.) Feste MAC-Adresse

... liegt an der seit SP-2 integrierten sogenannten Firewall. Die Enstellungen selbiger solltest Du entsprechend anpassen. Danach funktioniert auch die Verbindung ohne offenem Broadcast wieder.

... liegt an der seit SP-2 integrierten sogenannten Firewall. Die Enstellungen selbiger solltest Du entsprechend anpassen. Danach funktioniert auch die Verbindung ohne offenem Broadcast wieder.




Selbst bei inaktiver Firewall stellt der PC keine Verbindung ohne SSID-Broadcast her.

Selbst bei inaktiver Firewall stellt der PC keine Verbindung ohne SSID-Broadcast her.

Hersteller deines Routers?

Hersteller deiner Wlan-Karte/Sticks?

Hersteller deines Routers?

Hersteller deiner Wlan-Karte/Sticks?

Acer,

Intel PRO/Wireless LAN 2100 3B

Acer,

Intel PRO/Wireless LAN 2100 3B

Den aktuellsten Treiber installiert?

Den aktuellsten Treiber installiert?

Selbstverständlich.

Selbstverständlich.

Dann fällt mir nur noch eine mögliche Fehlerquelle ein bzw. Lösung.

Wie konfigurierst du die Wlan-Verbindung, mit der Windows-Drahtlosnetzwerk-Konfiguration oder mit der Software von Intel.

Dann fällt mir nur noch eine mögliche Fehlerquelle ein bzw. Lösung.

Wie konfigurierst du die Wlan-Verbindung, mit der (1) Windows-Drahtlosnetzwerk-Konfiguration oder mit der Software von Intel.

(1) Könnte durchaus sein, daß Intel's SW Abhilfe schafft.

Das Problem scheint M$ bekannt zu sein. In Vista gibt es speziell dafür eine Option, nur benutze ich momentan XP.

Mehr hier:

Herstellen einer Verbindung mit Nicht-Broadcast-Drahtlosnetzwerken in Windows Vista

http://support.microsoft.com/kb/929661/de