Guten Abend,

habe einen kleinen Text zur Prüfungsvorbereitung durch verschiedene Quelle zusammengefasst. Vielleicht könnte sich das mal jemand durchschauen und eventuell Verbesserungsvorschläge anbieten


1. AP:
Default: AP sendet SSID regelmäßig als BC. Client kann sich nur verbinden, wenn SSID bekannt ist.
Im geschäftlichen Bereich muss die SSID für „Roaming“ gesendet werden, im privaten jedoch nicht
Lösung: Rundsenden der SSID unterbinden, Standard-SSID mit einer komplexen ersetzen

2. MAC-Filter:
Geräte werden vom Router anhand ihrer MAC-Adresse identifiziert, jedoch müssen diese vorher im Router eingetragen werden. Jeder PC/Laptop hat eine einmalige MAC-Adresse, welche international einzigartig ist. Die Funktion welche vom Router eingeschaltet werden muss, heißt „MAC-Filter“

3. Verschlüsselung:
Es gibt mehrere Arten der Verschlüsselung (PSK). WEP, WPA und WPA2. WEP (ist am schnellsten zu entschlüsseln), WPA2 am schwierigsten. WEP (64/128 Bit) wird aufgrund der Sicherheit (schnell zu knacken) kaum noch angewandt und stellt somit die unsicherste Variante dar.

Momentan ist WPA2, wenn man eine komplexe Kombination bspw. aus gemischte Kombination aus Klein-/Großschreibung, Zahlen und Sonderzeichen als sicherstes Verfahren.

Es gibt drei Klassifikationen des WPA2, nämlich TKIP, AES und die Kombination aus diesen beiden. Jetzt gibt es aber ein Konflikt zwischen Sicherheit und Kompatibilität. Alle gängigen WLAN-Adapter kommen mit dem TKIP zurecht und wenige mit der Kombination. Im Gegenzug stellt die Kombination die sicherste Variante dar, TKIP hingegen ist nicht so sicher. Entsprechend der Kompatibilität sollte sich der Anwender entscheiden.

Auch wenn bei den aktuellen Routern ein WPA2-Schlüssel vorhanden ist, so sollte man diese in eine komplexe Verschlüsselung ändern.

Authentifizierungsverfahren? Das fehlt mir hier noch. Ansonsten sehr kompakt zusammen geschrieben

Das Wort Authentifizierungsverfahren mit Verschlüsselung ersetzen?

Ähm nein. Authentifizierung hat nichts mit Verschlüsselung zutun. Diese arbeiten zusammen, ist jedoch nicht austauschbar.
RADIUS & 802.1x & PSK sind die Stichworte zur Authentifizierung.
Im heimischen Gebrauch ist PSK [Pre-Shared-Key] gängig, z.B. bei WPA/WPA2. In Unternehmen wird die Authentifizierung über den IEEE 802.1x-Standard gelöst. Das bedeutet, es gibt einen oder mehrere RADIUS-Server, die die Authentifizierung der Endgeräte (in diesem Fall WLAN-Endgeräte) prüft, ob diese eine Berechtigung besitzen, Zugang in das Netzwerk zu erlangen.
Das Verfahren basiert und Zertifikaten.
Die Authentifizierung setzt auf die Verschlüsselung, im besten Fall die "neuste" und sicherste WPA2 auf.

Zitat von daawuud

1. AP:
Default: AP sendet SSID regelmäßig als BC. Client kann sich nur verbinden, wenn SSID bekannt ist.
Im geschäftlichen Bereich muss die SSID für „Roaming“ gesendet werden, im privaten jedoch nicht
Lösung: Rundsenden der SSID unterbinden, Standard-SSID mit einer komplexen ersetzen

So weit, so gut..
Aber drehen wir die Sichtweise mal um. Deine SSID ist nicht sichtbar, d.h. die Clients bekommen diese SSID händisch eingetragen. Somit suchen Sie in regelmäßigen Abständen doch nach dieser SSID - Folge: Die Pakete geben die SSID preis..
Außerdem ist eine verborgene SSID für Linux kein Problem..

edit: sorry, hab mich verlesen..

Zitat von daawuud

1. AP:
Default: AP sendet SSID regelmäßig als BC. Client kann sich nur verbinden, wenn SSID bekannt ist.
Im geschäftlichen Bereich muss die SSID für „Roaming“ gesendet werden, im privaten jedoch nicht
Lösung: Rundsenden der SSID unterbinden, Standard-SSID mit einer komplexen ersetzen

SSID muss nicht sichtbar sein fürs Roaming .... geht auch mit Hidden SSID. Ich habe genug Kunden, die ihre SSID versteckt haben und deren Clients roamen. Der AP sendet trotzdem Beacon aus, nur ohne den Namen der SSID.

Zitat von Fl0

So weit, so gut..
Aber drehen wir die Sichtweise mal um. Deine SSID ist nicht sichtbar, d.h. die Clients bekommen diese SSID händisch eingetragen. Somit suchen Sie in regelmäßigen Abständen doch nach dieser SSID - Folge: Die Pakete geben die SSID preis..
Außerdem ist eine verborgene SSID für Linux kein Problem..

edit: sorry, hab mich verlesen..

Seit wann hat Windows ein Problem mit versteckter SSID? Das ist mir neu. Linux kann sowieso vieles besser Und recht hast du, dass die SSID ausgestrahlt wird, wenn sich ein Client verbindet. Jedoch braucht ein potentieller Angreifer auch einen Sniffer und muss im richtigen Moment mitschneiden.
Hidden SSID ist eine einfache, schnelle und umkomplizierte Lösung, sein heimisches WLAN zu "sichern". Es natürlich keine ultimative Lösung und vorallem ist eher als präventive Maßnahme anzusehen. Sicher wird dein WLAN nur durch ein starkes Authentifizierungsverfahren (EAP+ TLS/TTLS) in Verbindung mit einer starken Verschlüsselung (WPA2-AES .. mehr geht da nicht).
Es gibt auch EAP-Lösungen, die nicht auf Zertifikaten basieren, manche Access-Points haben dann einen Mini-RADIUS eingebaut, hier wird jedoch wieder mit Klar-Text-Passwörtern gearbeitet -> potentiell unsicher.
Daher, wenn man zuhause bereits einen kleinen Server hat, lohnt es sich noch einen RADIUS aufzusetzen. Dann bietet sich noch an, mit 2 SSID zu arbeiten. Eine private und eine für Gäste, die nur ins Internet darf, evtl über ein OTP oder ein Token. (gibt da nette Spielerein)

habs überarbeitet, bitte erneut um Kontrolle und Beachtung der roten Schrift

Sicherheitsmechanismen WLAN

AP:
Default: AP sendet SSID regelmäßig als BC. Client kann sich nur verbinden, wenn SSID bekannt ist.
Im geschäftlichen Bereich muss die SSID für „Roaming“ gesendet werden, im privaten jedoch nicht
Lösung: Rundsenden der SSID unterbinden, Standard-SSID mit einer komplexen ersetzen. Dieses Verfahren ist jedoch nicht Linux-tauglich (Begründung).

MAC-Filter:
Geräte werden vom Router anhand ihrer MAC-Adresse identifiziert, jedoch müssen diese vorher im Router eingetragen werden. Jeder PC/Laptop hat eine einmalige MAC-Adresse, welche international einzigartig ist. Die Funktion welche vom Router eingeschaltet werden muss, heißt „MAC-Filter“. Mittlerweile gibt es Software die eine MAC-Adresse als eine im AP eingetragene simulieren können, daher sollte jeder AP, auch über eine WLAN-Verschlüsselung (PSK) verfügen.

Verschlüsselung:
Es gibt mehrere Arten der Verschlüsselung(PSK). WEP, WPA und WPA2 für die Privatanwendung und bei Unternehmend wird die Authentifizierung IEEE 801.2x-Standard anhand RADIUS-Server genutzt.
WEP (ist am schnellsten zu entschlüsseln), WPA2 am schwierigsten. WEP (64/128 Bit) wird aufgrund verschiedener Schwachstellen kaum noch angewandt und stellt ebenso das unsicherste Verfahren dar.
WPA ist nicht so sicher wie WPA2 und dadurch in Hintergrund gerückt.
WPA2 ist momentan für den häuslichen Gebrauch, wenn man eine komplexe Kombination bspw. aus gemischte Kombination aus Klein-/Großschreibung, Zahlen und Sonderzeichen das sicherste PSK-Verfahren.
Es gibt drei Klassifikationen des WPA2, nämlich TKIP, AES und die Kombination aus diesen beiden. Jetzt gibt es aber ein Konflikt zwischen Sicherheit und Kompatibilität. Alle gängigen WLAN-Adapter kommen mit dem TKIP zurecht und wenige mit der Kombination. Im Gegenzug stellt die Kombination die sicherste Variante dar, TKIP hingegen ist nicht so sicher. Entsprechend der Kompatibilität sollte sich der Anwender entscheiden.Auch wenn bei den aktuellen Routern ein WPA2-Schlüssel vorhanden ist, so sollte man diese in eine komplexe Verschlüsselung ändern.
IEEE 802.1x basiert auf Zertifikaten und spiegelt das neuste und sicherste Authentifizierungsverfahren dar. Bei diesem Verfahren gibt es einen oder mehrere RADIUS-Server, welche die Authentifizierung der WLAN-Endgeräte prüft. Geprüft wird die Zugangsberechtigung der Geräte, ob sie in das Netzwerk dürfen.

Also meine persönliche Erfahrung:
SSID verstecken bringt mehr Probleme mit sich, als dass es Sinn macht.

Mittels WLAN-Sniffer findet man das Netz so oder so. Von daher ist es kein wirklicher Schutz, sondern nur ein Pseudo-Schutz.

MAC-Adress-Filter bringt auch keine wirkliche Sicherheitssteigerung, da man MAC-Adressen innerhalb von wenigen Sekunden faken kann.

Beides hilft also nur gegen potentielle Angreifer, die quasi keine Ahnung davon haben, was sie da machen. Da der Schutz per entsprechender Verschlüsselung und Authentifizierung per RADIUS-Server eigentlich vollkommen ausreichend ist, würde ich normalerweise die beiden anderen "Schutzmechanismen" aus lassen, um mir daraus resultierende Probleme zu ersparen. (beim MAC-Adresse eintragen vertippt, dauerndes MAC-Adressen eintragen, wenn mal Gäste zu Besuch kommen, SSID falsch geschrieben, ...)

Zitat von dasfranky

Seit wann hat Windows ein Problem mit versteckter SSID?

Hat es? Ich weiß es nicht, hab ich nicht behauptet

Diverse ältere Windows Versionen haben oder hatten immer wieder Probleme mit WLANs mit versteckter SSID. ZUdem haben manche Smartphones / PDAs auch Probleme damit, oder aber die Einstellung ist komplizierter.
Vista macht z.B. recht oft Probleme mit versteckter SSID - vor allem, wenn die Hardware auch noch von unterschiedlichen Herstellern ist.

Zitat von Fl0

Hat es? Ich weiß es nicht, hab ich nicht behauptet

War eine Schlussfolgerung, da du "Linux hat damit kein Problem" geschrieben hattest :-)

Zitat von Crash2001

Diverse ältere Windows Versionen haben oder hatten immer wieder Probleme mit WLANs mit versteckter SSID. ZUdem haben manche Smartphones / PDAs auch Probleme damit, oder aber die Einstellung ist komplizierter.
Vista macht z.B. recht oft Probleme mit versteckter SSID - vor allem, wenn die Hardware auch noch von unterschiedlichen Herstellern ist.

Hatte noch mit keinen Probleme und versteckter SSID und ich hatte schon so einige Clients hier auf Arbeit ;-)

Entweder dann Glück gehabt mit den Hardwarekombinationen und Treibern, oder aber die Probleme treten nur bei bestimmten Konstellationen auf. MAg auch sein, dass bestimmte Access-Points / WLAN-Router einfach nur Probleme damit machen.

Habs erneut überarbeitet (das rot markierte), bitte um Kritik


Sicherheitsmechanismen WLAN

Es gibt mehrere Sicherheitsmechanismen
- Access Point [unsicher]
- Media Access Control-Filter [unsicher]
- Pre Shared Key (Verschlüsselung) [sicher]
- Authentification [in Kombination mit PSK sehr sicher]


AP:
Default: AP sendet SSID regelmäßig als BC. Client kann sich nur verbinden, wenn SSID bekannt ist.
Im geschäftlichen Bereich muss die SSID für „Roaming“ gesendet werden, im privaten jedoch nicht
Lösung: Rundsenden der SSID unterbinden, Standard-SSID mit einer komplexen ersetzen. Dieses Verfahren ist jedoch nicht Linux-tauglich (Begründung). Unsicher ist es dadurch, weil mittels WLAN-Sniffer das Gerät trotzdem gefunden werden kann. Übrigens hat das Verstecken der SSID Kompatibilitätsprobleme mit diversen Smartphones/PDAs, älteren Windows-Versionen und Abweichungen der WLAN-Komponenten Hersteller.


MAC-Filter:
Geräte werden vom Router anhand ihrer MAC-Adresse identifiziert, jedoch müssen diese vorher im Router eingetragen werden. Jeder PC/Laptop hat eine einmalige MAC-Adresse, welche international einzigartig ist. Die Funktion welche vom Router eingeschaltet werden muss, heißt „MAC-Filter“. Mittlerweile gibt es Software die eine MAC-Adresse als eine im AP eingetragene simulieren können, daher sollte jeder AP, auch über eine WLAN-Verschlüsselung (PSK) verfügen. Auch die MAC-Adresse ist unsicher, da sie mit bestimmten Applikationen gefaked werden.


PSK:
Es gibt mehrere Arten des PSK:
- Wired Equivalent Privacy
- Wi-Fi Protected Access und
- Wi-Fi Protected Access 2

# WEP ist am schnellsten zu entschlüsseln, WPA2 am schwierigsten unter den PSKs. WEP (64/128 Bit) wird aufgrund verschiedener Schwachstellen kaum noch angewandt und stellt ebenso das unsicherste Verfahren dar.
# WPA ist nicht so sicher wie WPA2 und dadurch in Hintergrund gerückt.
# WPA 2 ist momentan für den häuslichen Gebrauch, wenn man eine komplexe Kombination bspw. gemischte Kombination aus Klein-/Großschreibung, Zahlen und Sonderzeichen das sicherste PSK-Verfahren.

Es gibt drei Klassifikationen des WPA2, nämlich TKIP, AES und die Kombination aus diesen beiden. Jetzt gibt es aber ein Konflikt zwischen Sicherheit und Kompatibilität. Alle gängigen WLAN-Adapter kommen mit dem TKIP zurecht und wenige mit der Kombination. Im Gegenzug stellt die Kombination die sicherste Variante dar, TKIP hingegen ist nicht so sicher. Entsprechend der Kompatibilität sollte sich der Anwender entscheiden. Auch wenn bei den aktuellen Routern ein WPA2-Schlüssel vorhanden ist, so sollte man diese in eine komplexe Verschlüsselung ändern.


Authentification
IEEE 802.1x kommt überwiegend in Unternehmen zur Anwendung. Es basiert auf Zertifikaten und spiegelt das neueste und sicherste Sicherheitsmechanismus dar. Bei diesem Verfahren gibt es einen oder mehrere RADIUS-Server, welche die Authentifizierung der WLAN-Endgeräte prüft. Geprüft wird die Zugangsberechtigung der Geräte, ob sie in das Netzwerk dürfen.

Empfohlen wird die Anwendung von PSK und Authentification in Kombination

"Access Point" ist doch kein Sicherheitsmechanismus, sondern der "Sicherheitsmechanismus", den du dort meinst ist die "Unterdrückung der SSID".
UNterdrückung der SSID ist linuxtauglich. Keine Ahnung, wie du darauf kommst, dass es nicht linuxtauglich wäre.



Also dass MAC-Adressen einmalig sind, wird zwar immer behauptet, stimmt aber nicht wirklich. Die Wahrscheinlichkeit, dass die gleiche MAC-Adresse im selben Unternehmen auftaucht ist nur sehr gering (natürlich bei steigender Größe des Unternehmens aber auch immer größer - vor allem, wenn fast ausschliesslich ein oder zwei Hersteller verwendet werden).

Es kann durchaus sein, dass der "MAC-Adressen-Block" eines Herstellers "aufgebraucht" ist, und er dann einfach wieder von vorne beginnt mit der Vergabe der MAC-Adressen. Wäre jedenfalls nicht das erste Mal, dass MAC-Adressen doppelt vorhanden sind bei einem großen Unternehmen. Von den 48 Bit der MAC-Adresse sind 24 Bit die Herstellerkennung. Die 24 Bit danach kann der Hersteller nach Belieben vergeben, was 16.777.216 Möglichkeiten entspricht. Aber irgendwann sind die halt auch aufgebraucht, auch wenn man von "einmaligen" MAC-Adressen spricht...

Ok vielen Dank für deine Verbesserung, jetzt aber die final-version für alle (hoffe das diesmal alles soweit passt)


Sicherheitsmechanismen WLAN

Es gibt mehrere Sicherheitsmechanismen
- 1 Unterdrückung der SSID [unsicher]
- 2 Media Access Control-Filter [unsicher]
- 3 Pre Shared Key (Verschlüsselung) [sicher]
- 4 Authentification [in Kombination mit PSK sehr sicher]


1 Unterdrückung der SSID
-> Default: AP sendet SSID regelmäßig als Broadcast (broadcasting). Client kann sich nur verbinden, wenn SSID bekannt ist.
Im geschäftlichen Bereich muss die SSID für „Roaming“ gesendet werden, im privaten jedoch nicht
-> Lösung: Rundsenden der SSID unterbinden, Standard-SSID mit einer komplexen ersetzen. Unsicher ist es dadurch, weil mittels WLAN-Sniffer das Gerät trotzdem gefunden werden kann. Übrigens hat das Verstecken der SSID Kompatibilitätsprobleme mit diversen Smartphones/PDAs, älteren Windows-Versionen und bei Abweichung der WLAN-Komponenten Hersteller.


2 MAC-Filter
Geräte werden vom Router anhand ihrer MAC-Adresse (sie sind fast einmalig) identifiziert, jedoch müssen diese vorher im Router eingetragen werden. Die Funktion welche vom Router eingeschaltet werden muss, heißt „MAC-Filter“. Mittlerweile gibt es Software die eine MAC-Adresse als eine im AP eingetragene simulieren können, daher sollte jeder AP, auch über eine WLAN-Verschlüsselung (PSK) verfügen. Auch die MAC-Adresse ist unsicher, da sie mit bestimmten Applikationen gefaked werden kann.


3 PSK
Es gibt mehrere Arten des PSK:
- Wired Equivalent Privacy
- Wi-Fi Protected Access und
- Wi-Fi Protected Access 2

-WEP ist am schnellsten zu entschlüsseln, WPA2 am schwierigsten unter den PSKs. -

# WEP (64/128 Bit) wird aufgrund verschiedener Schwachstellen kaum noch angewandt und stellt ebenso das unsicherste PSK-Verfahren dar.
# WPA ist nicht so sicher wie WPA2 und dadurch in Hintergrund gerückt.
# WPA 2 ist momentan für den häuslichen Gebrauch, wenn man eine komplexe Kombination bspw. gemischte Kombination aus Klein-/Großschreibung, Zahlen und Sonderzeichen das sicherste PSK-Verfahren.

Es gibt drei Klassifikationen des WPA2, nämlich TKIP, AES und die Kombination aus diesen beiden. Jetzt gibt es aber ein Konflikt zwischen Sicherheit und Kompatibilität. Alle gängigen WLAN-Adapter kommen mit dem TKIP zurecht und wenige mit der Kombination. Im Gegenzug stellt die Kombination die sicherste Variante dar, TKIP hingegen ist nicht so sicher. Entsprechend der Kompatibilität sollte sich der Anwender entscheiden. Auch wenn bei den aktuellen Routern ein WPA2-Schlüssel vorhanden ist, so sollte man diese in eine komplexe Verschlüsselung ändern.


4 Authentification
IEEE 802.1x kommt überwiegend in Unternehmen zur Anwendung. Es basiert auf Zertifikaten und spiegelt das neueste und sicherste Sicherheitsmechanismus dar. Bei diesem Verfahren gibt es einen oder mehrere RADIUS-Server, welche die Authentifizierung der WLAN-Endgeräte prüft. Geprüft wird die Zugangsberechtigung der Geräte, ob sie in das Netzwerk dürfen.

Empfohlen wird die Anwendung von PSK und Authentification in Kombination


Sicherheitseinstellungen eines neuen WLAN-Routers
# Vergabe eines starken Router-Passworts
# Aktuelle Firmware verwenden
# Remotezugriff deaktivieren (falls nicht in Verwendung)
# Einen Backup der Konfigurationen erstellen
# Router-FW einschalten
# FW-Software installieren
# FW-SW regelmäßig updaten (oder autom. Update einschalten)
# PSK regelmäßig wechseln


Weitere Schutzmaßnahmen im Allgemeinen für jeden Anwender
# OS regelmäßig updaten
# Log-Dateien regelmäßig auf unbekannte MAC-Adresse überprüfen
# Verwendung von Intrusion Detection System bei LANs
# Verwendung von NAT
# Optimierung des AP-Aufstellorts
# AP deaktivieren bei Nichtbenutzung