jtsn schrieb:
Zitat:
Und die Sicherheit des Netzwerks lässt sich erhöhen, indem nur Geräten mit bestimmten MAC-Adressen der Zugang gewährt wird.
Das ist ebenso unrichtig. Erhöht die Sicherheit ungefähr genauso, wie nur Geräten mit bestimmten IP-Adressen Zugang zu gewähren.
Es erhöht die Sicherheit *gar nicht*. MAC-Filter sind eine administratorische, keine Sicherheitsmaßnahme. Mir fällt sogar ein (zugegeben leicht konstruiertes) Szenario ein, wo es sogar kontraproduktiv ist. Bei Einsatz von nur WEP mit eingeschaltetem MAC-Filter zwingt man den Angreifer, die MAC-Adresse zu spoofen. Einen Einbruch würde man also in den Router-Logs nicht mal bemerken, wenn es bereits zu spät ist, da die auftauchende MAC ja "legal" ist. Ist der MAC-Filter ausgeschaltet, besteht immerhin die "Hoffnung", dass der Eindringling aus Schlampigkeit vergisst die MAC zu spoofen und so Spuren hinterlässt. Dann sieht man zumindest im Nachhinein, dass da was war (was, zugegeben, ein schwacher Trost ist).
MAC-Adressen werden _immer_ (auch unter Einsatz von WPA2) im Klartext übertragen.
Ja. Es werden immer nur die reinen Nutzdaten verschlüsselt. Sämtliche beteiligten MAC-Adressen, die SSID und andere Verwaltungsinfos aus dem Header-Bereich der einzelnen Pakete werden nie verschlüsselt.
Eine weitere Möglichkeit, Angreifer auszusperren, ist es, das WLAN ein Stück weit unsichtbar zu machen. Dazu wird die Bekanntgabe der SSID deaktiviert.
Aussperren von Leuten, die zufällig mitsurfen könnten. »Angreifer« nicht.
Man kann das Netz nur unsichtbar machen, indem man den Stromstecker vom AP abzieht. SSID hiding ist wirklich ein saublöder Tipp. Auch das ist keine Sicherheitsmaßnahme. Schlimmer noch: Es provoziert Verbindungsprobleme und bringt gar Clients dazu, mehr von sich preiszugeben, als ihren Besitzern lieb ist.
Da das so laufende Netz zudem nicht mehr 802.11-kompatibel ist,
Das stimmt nicht. Lt. Spezifikation darf die SSID zwischen 0 und 32 Stellen lang sein. Das bedeutet, sie ist optional. Eine SSID mit der Länge 0 ist zwar unsinnig, aber dennoch standardkonform.
Ein guter WPA-PSK besteht aus 512 Bit Zufallsdaten (kann meist in hexadezimaler Form eingegeben werden).
Weiter oben bestehst du auf genaue Ausdrucksweise. :-)
Also: Eingegeben wird nicht der PSK, sondern die Passphrase, die bis zu 63 (ASCII) oder 64 (hexadezimal) Stellen lang sein darf. Durch 4.096-maligem Hashen der Passphrase, der SSID und der Länge der SSID wird der (im Übrigen 256 Bit lange) PSK gebildet, woraus weitere Schlüssel abgeleitet werden, mit denen erst die Nutzdaten der einzelnen Clients verschlüsselt werden.
Alle derzeit bekannten Angriffsmethoden auf WPA basieren auf der ESSID in Verbindung schwachen Paßwörtern.
Auch die Angriffsmethode "brute force" ist bekannt. Auch wenn sie bei ausreichend langer (>20 Zeichen) und kryptischer Passphrase mehr als nur aussichtslos ist.
Acht Zeichen, womöglichkeit nur Buchstaben, Ziffern und Sonderzeichen reichen dafür nicht.
ACK.
Wo möglich, empfiehlt sich die Verwendung von EAP.
Klar ist das besser, aber zumindest am Anfang eben auch aufwändiger (RADIUS aufsetzen, Zertifikate erzeugen, etc.). Für SOHO reicht (was die Sicherheit angeht) WPA(2) mit ausreichend langer und kryptischer Passphrase aus.
Gruß,
Calin