So What?

Mal ganz im ernst, einfach nur WPA aufs WLAN, das macht doch hauptsächlich der Privatnutzer - In einem Unternehmen, zumindest wenn der Chef-ITler ein wenig ahnung hat, wird unterhalb des WLANs ein VPN liegen, das den Zugriff aufs Firmennetz gewährt. Dann kann man sich in der Regel auch WPA sparen(auch wenn WPA als zusätzlicher Schutz nicht schaden kann).

Eben, abgesehen davon kann auch der Privatanwender noch etwas mehr als nur eine WPA-Verschlüsselung einrichten. Wie z.B. den DHCP Server ausschalten und vor allen eine MAC-Verwaltung verwenden um nur Geräte zuzulassen die auch wirklich bei ihm im Haus stehen.

nachdem man allerdings bei WLAN-Karten die MAC-Adresse einfach fälschen kann, bringt ein MAC-Filter auch nur pseudo-Sicherheit...

... und den DHCP Server ausschalten stammt ja wohl aus "Die 100 besten WLAN-Tricks" aus der ComputerBILD.

Bloody schrieb:
--------------------------------------------------------------------------------
> Eben, abgesehen davon kann auch der Privatanwender noch etwas mehr als nur
> eine WPA-Verschlüsselung einrichten. Wie z.B. den DHCP Server ausschalten
> und vor allen eine MAC-Verwaltung verwenden um nur Geräte zuzulassen die
> auch wirklich bei ihm im Haus stehen.

Wer die Verschlüsselung von WPA2 umgehen kann, für den wird wohl weder ein fehlender DHCP-Server noch ein Mac-filter ein problem darstellen...

Was der Chef-IT'ler von WLAN hält ist zweitrangig wenn die Erbsenzähler die Segnungen der modernen Technnik unbedingt nutzen möchten. Was meinst Du wieviele Selbstdarsteller auf einem irgendeinem Chefposten unbedingt schneidige Apple Produkte einsetzen wollen, die sich mit dem Rest der Infrastruktur beissen und der IT-Abteilung Kopfschmerzen & unnötige Arbeit bereiten?


Unabhängig von der aktuellen Lücke besteht der Fehler bei WLAN schon darin, auch den phyischen Schutz der Daten zu verzichten. Ein Kabel ist eben doch besser zu kontrollieren als Funkwellen.

WLAN Warrior schrieb:
--------------------------------------------------------------------------------
> Was der Chef-IT'ler von WLAN hält ist zweitrangig wenn die Erbsenzähler die
> Segnungen der modernen Technnik unbedingt nutzen möchten. Was meinst Du
> wieviele Selbstdarsteller auf einem irgendeinem Chefposten unbedingt
> schneidige Apple Produkte einsetzen wollen, die sich mit dem Rest der
> Infrastruktur beissen und der IT-Abteilung Kopfschmerzen & unnötige Arbeit
> bereiten?
>
> Unabhängig von der aktuellen Lücke besteht der Fehler bei WLAN schon darin,
> auch den phyischen Schutz der Daten zu verzichten. Ein Kabel ist eben doch
> besser zu kontrollieren als Funkwellen.

full ACK

irgendwersonst schrieb:
--------------------------------------------------------------------------------
> WLAN Warrior schrieb:
> ---------------------------------------------------------------------------
> -----
> > Was der Chef-IT'ler von WLAN hält ist zweitrangig wenn die Erbsenzähler
> die
> > Segnungen der modernen Technnik unbedingt nutzen möchten. Was meinst Du
> > wieviele Selbstdarsteller auf einem irgendeinem Chefposten unbedingt
> > schneidige Apple Produkte einsetzen wollen, die sich mit dem Rest der
> > Infrastruktur beissen und der IT-Abteilung Kopfschmerzen & unnötige
> Arbeit
> > bereiten?
> >
> >
> > Unabhängig von der aktuellen Lücke besteht der Fehler bei WLAN schon
> darin,
> > auch den phyischen Schutz der Daten zu verzichten. Ein Kabel ist eben
> doch
> > besser zu kontrollieren als Funkwellen.
>
> full ACK

Das ist nur ein Teil der Wahrheit. Gerade in der Industrie gibt es eben situationen, bei denen man nicht auf verkabelte technologie aufsetzen kann.

Das ist sicherlich richtig, aber dort kann man automatisert über WPA eine VPN-Verbindung legen. Solche Einrichtungen sind meist intergrierte Systeme, die auch nicht so einen hohen Diebstahlrisiko ausgesetzt sind wie Laptops oder Smartphones.

Das sieht aber der Chef mit dem noblen Macbook nicht ein, der will das alles sofort und ohne einen einzigen zusätzlichen Mausklick direkt funktioniert, den Code von einem Token abtippen oder ein Passwort einzugeben empfindet er als Belästigung. Er rafft eben nicht das jede Sicherheitsschicht eine individuelle Authentifizierung braucht.

Der Krampf fängt schon damit an dass Passwörter von Mailaccounts mit denen der OS-Accounts verlinkt sind - dann kann man auch gleich auf das Passwort im Mailclient verzichten.

WLAN Warrior schrieb:
--------------------------------------------------------------------------------
> Was meinst Du wieviele Selbstdarsteller auf einem irgendeinem Chefposten unbedingt
> schneidige Apple Produkte einsetzen wollen, die sich mit dem Rest der
> Infrastruktur beissen und der IT-Abteilung Kopfschmerzen & unnötige Arbeit
> bereiten?
zu viele, tagtäglich kommen sie mit neuen forderungen was sie mit ihren iPhones - ja sogar iPods - alles tun wollen... :/
> Ein Kabel ist eben doch besser zu kontrollieren als Funkwellen.
also das denke ich nicht! definitiv nicht, in der realen welt ist eine WLAN sicherer als ein LAN, davon bin ich überzeugt. für WLAN werden - in größeren unternehmen, kleine klitschen mal außen vor gelassen - vernünftigerweise zertifikate an die vertrauenswürdigen rechner verteilt, zusätzlich zu einer verschlüsselung. das heißt ein gast kann selbst mit passwort überhaupt nicht ins WLAN gelangen, wohingegen er jederzeit das mitgebrachte kabel zücken und am nächstbesten port im wartezimmer\konferenzraum\etc anschließen kann. eine grundsätzliche verschlüsselung des traffics findet aus kostengründen in der praxis so gut wie nie statt, internes VPN würde schließlich unsummen an rechenzeit an allen ecken und enden verbraten. WLAN ist bei korrekter implementierung sicherer oder mindestens so sicher wie LAN.

Das ist doch alles Geplänkel, im Grunde ist es eine Designfrage, Kabel kann man physisch konrtollieren, Funkwellen nicht.

Wenn der Gast im Warteraum seinen Laptop einstöpselt dann muss eben die Dose dort abgeklemmt werden oder die Empfangsdame auf sowas ein Auge haben. Bei WLAN kann er aber selbst auf dem Klo oder im Treppenhaus potentiell noch Zugriff auf das Netz bekommen - ohne dass es irgendeine Kontrolle gäbe.

Sicher kann man den Schmerz durch VPNs mindern - aber eben nicht gänzlich beseitigen.

Sicherheit fängt auf der untersten Ebene an, und das ist numal die physische. Alles darübergelegte in den oberen Schichten sind Krücken.

WLAN Warrior schrieb:
--------------------------------------------------------------------------------
> ... und den DHCP Server ausschalten stammt ja wohl aus "Die 100 besten
> WLAN-Tricks" aus der ComputerBILD.

Aber in der Computerbild steht doch auch dass die SSID auszuschalten das WLAN schützt... *scnr*

Bouncy schrieb:
--------------------------------------------------------------------------------
> WLAN Warrior schrieb:
> ---------------------------------------------------------------------------
> -----
> > Was meinst Du wieviele Selbstdarsteller auf einem irgendeinem Chefposten
> unbedingt
> > schneidige Apple Produkte einsetzen wollen, die sich mit dem Rest der
> > Infrastruktur beissen und der IT-Abteilung Kopfschmerzen & unnötige
> Arbeit
> > bereiten?
> zu viele, tagtäglich kommen sie mit neuen forderungen was sie mit ihren
> iPhones - ja sogar iPods - alles tun wollen... :/
> > Ein Kabel ist eben doch besser zu kontrollieren als Funkwellen.
> also das denke ich nicht! definitiv nicht, in der realen welt ist eine WLAN
> sicherer als ein LAN, davon bin ich überzeugt. für WLAN werden - in
> größeren unternehmen, kleine klitschen mal außen vor gelassen -
> vernünftigerweise zertifikate an die vertrauenswürdigen rechner verteilt,
> zusätzlich zu einer verschlüsselung. das heißt ein gast kann selbst mit
> passwort überhaupt nicht ins WLAN gelangen, wohingegen er jederzeit das
> mitgebrachte kabel zücken und am nächstbesten port im
> wartezimmer\konferenzraum\etc anschließen kann. eine grundsätzliche
> verschlüsselung des traffics findet aus kostengründen in der praxis so gut
> wie nie statt, internes VPN würde schließlich unsummen an rechenzeit an
> allen ecken und enden verbraten. WLAN ist bei korrekter implementierung
> sicherer oder mindestens so sicher wie LAN.


Was sich jedoch nur in der Berufswelt ausnutzen lässt...für Privatpersonen ist LAN sicherer als WLAN...denn diese haben für gewöhnlich keinen "Warteraum" oder irgendwas vergleichbares, welches einen Extraanschluss besitzt.
Unrechtmäßige Benutzer müssten somit schon (physisch) einbrechen, um ein LAN einer Privatperson nutzen zu können.

antares schrieb:
--------------------------------------------------------------------------------
> irgendwersonst schrieb:
> ---------------------------------------------------------------------------
> -----
> > WLAN Warrior schrieb:
> >
> ---------------------------------------------------------------------------
>
> > -----
> > > Was der Chef-IT'ler von WLAN hält ist zweitrangig wenn die
> Erbsenzähler
> > die
> > > Segnungen der modernen Technnik unbedingt nutzen möchten. Was meinst
> Du
> > > wieviele Selbstdarsteller auf einem irgendeinem Chefposten unbedingt
> > > schneidige Apple Produkte einsetzen wollen, die sich mit dem Rest der
> > > Infrastruktur beissen und der IT-Abteilung Kopfschmerzen & unnötige
> > Arbeit
> > > bereiten?
> > >
> > >
> > > Unabhängig von der aktuellen Lücke besteht der Fehler bei WLAN schon
> > darin,
> > > auch den phyischen Schutz der Daten zu verzichten. Ein Kabel ist eben
> > doch
> > > besser zu kontrollieren als Funkwellen.
> >
> > full ACK
>
> Das ist nur ein Teil der Wahrheit. Gerade in der Industrie gibt es eben
> situationen, bei denen man nicht auf verkabelte technologie aufsetzen kann.

Ja. Genau. Bei UnterseeInternetGlasfaserKabeln.
Ansonsten sollte es eigentlich funktionieren.
Rohrpostsysteme werden auch immer noch unterschätzt.
Wer den Film Brazil von Terry Gilliam kennt weiß heute das ein Rohrpostsystem zwischen den Parteien viel unmut in der Bevölkerung verhindern hätte können. In dem man das System zum Platzen bringt anstelle eines Rücktritts. >.<

Guckt euch den Film ruhig mal an.

~d3wd

~d3wd

WLAN Warrior schrieb:
--------------------------------------------------------------------------------
> Das ist doch alles Geplänkel, im Grunde ist es eine Designfrage, Kabel kann
> man physisch konrtollieren, Funkwellen nicht.
>
> Wenn der Gast im Warteraum seinen Laptop einstöpselt dann muss eben die
> Dose dort abgeklemmt werden oder die Empfangsdame auf sowas ein Auge haben.
> Bei WLAN kann er aber selbst auf dem Klo oder im Treppenhaus potentiell
> noch Zugriff auf das Netz bekommen - ohne dass es irgendeine Kontrolle
> gäbe.
geh' mal in der realen welt in ein reales unternehmen und schau dir an wo überall LAN-dosen sind - dass man auf dem klo eine findet ist nichtmal so abwegig. andererseits wenn man unbedingt will dann schottet man das klo eben gegen funkwellen.
aber da ich noch nie von einem angriff auf zertifikatsbasierte WLANs gehört habe würde ich weiterhin diese methode bevorzugen als die "sicherheit" der empfangsdame zu überlassen, die den kunden auf schritt und tritt beim warten im meetingraum beobachtet.
> Sicher kann man den Schmerz durch VPNs mindern - aber eben nicht gänzlich
> beseitigen.
warum? wie viele funktionierende angriffsmethoden auf interne VPNs gibt es denn?
> Sicherheit fängt auf der untersten Ebene an, und das ist numal die
> physische. Alles darübergelegte in den oberen Schichten sind Krücken.
bücherwissen...

Wenn es ein Unternehmen nicht schafft ins Sachen kabelgebundener LAN Zugänge Sicherheit walten zu lassen wird es das auch in Sachen WLAN nicht schaffen.

Der Trick des Hole196-Exploits scheint ja gerade zu sein dass über WLAN an Datenpakete rankommt, auf die man bei ARP-Routing nie Zugriff hätte. Ja, es gibt MAC Spoofing, auf das im Prinzip dasselbe zutrifft - überwacht man es nicht, bekommt man es nicht einfach nicht mit, das protokollkonform ist.

Es ist auch unerheblich ob es Angriffe auf zertifikatbasierte WLAN gab oder nicht. Ist die erste Nuß geknackt, der physiche Zugang, dann geht es eben auf die nächste Ebene.

Ich lasse doch auch nicht meine Haustüre offen stehen nur weil ich einen scharfen Hund im Garten habe. Dabei ist es egal ob das in Büchern steht oder nicht. Eine Aussage ist wahr oder unwahr, unabhängig von ihrer Quelle.

Ist das jetzt ein Systemangriff oder ein möglicher Datenabgriff?!

~d3wd

ich konfiguriere Access Points (und Wireless Switches etc) und führe Funkmessungen für Industrieunternehmen durch. Eine Funkverbindung ist zwingend notwendig ! Wie sollen denn die Daten aus dem Lagerbereich, stichwort Intralogistik, erfasst und an den Server geschickt werden? Es werden mobile Datenerfassungssysteme wie z.B. Motorola MC9090 eingesetzt, Barcodes werden abgescannt und per WLAN an den AP übertragen. In kleineren Firmen ist dies evtl. mit Batch-Geräten möglich, die nach der Datenerfassung in das Cradle gesteckt werden und dann erst die Daten per Kabel über einen PC übertragen. Die meisten Stapler haben doch schon Funkterminals wie z.B. LXE VX9 oder ältere Symbol VRC Terminals installiert. Diese Funknetzwerke sind auch für Hacker idR recht uninteressant, da hier nur Lagerbestände o.ä. abgegriffen werden können. Die Netze sind von den anderen Firmennetzen getrennt und einige Firmen setzen auch Radius Server mit Zertifikaten ein, jedoch meiner Erfahrung nach viel zu wenige. In Büros/ Abteilungen sollten imho nur Kabelverbindungen eingesetzt werden.

WLAN Warrior schrieb:
--------------------------------------------------------------------------------
> Wenn es ein Unternehmen nicht schafft ins Sachen kabelgebundener LAN
> Zugänge Sicherheit walten zu lassen wird es das auch in Sachen WLAN nicht
> schaffen.
das eine hat mit dem anderen überhaupt nichts zu tun, oder denkst du deine ach-so-verlässliche empfangsdame die das LAN bewacht ist auch für das WLAN zuständig?
> Der Trick des Hole196-Exploits scheint ja gerade zu sein dass über WLAN an
> Datenpakete rankommt, auf die man bei ARP-Routing nie Zugriff hätte. Ja, es
> gibt MAC Spoofing, auf das im Prinzip dasselbe zutrifft - überwacht man es
> nicht, bekommt man es nicht einfach nicht mit, das protokollkonform ist.
quark, mac spoofing *kopfschüttel*
> Es ist auch unerheblich ob es Angriffe auf zertifikatbasierte WLAN gab oder
> nicht. Ist die erste Nuß geknackt, der physiche Zugang, dann geht es eben
> auf die nächste Ebene.
ja. kabel rein, ebene geknackt. bei WLAN stößt man allerdings erstmal auf heute unüberwindbare hindernisse, bei kabel stehen scheunentore offen. was gibt es also da zu diskutieren?
> Ich lasse doch auch nicht meine Haustüre offen stehen nur weil ich einen
> scharfen Hund im Garten habe. Dabei ist es egal ob das in Büchern steht
> oder nicht. Eine Aussage ist wahr oder unwahr, unabhängig von ihrer Quelle.
wußte ich es doch, bücherwissen und keine erfahrung. die praxis ist und bleibt, dass man an netzwerkdosen viel leichter rankommt als die sicherheit eines WLANs zu knacken - und wenn du weiterdiskutieren willst dann bringe bitte jetzt und hier einen beleg, dass vernünftig gesicherte WLANs überhaupt in angemessener zeit knackbar sind. paranoide fantastereien zählen nicht.

Du hast selbstverständlich mit allem Recht - und ich liege auf ganzer Eben falsch.