www.mikrocontroller.net

Forum: PC Hard- und Software Access Point ohne WPA Verschlüsselung noch sinnvoll einsetzbar?


Autor: Guido C. (guidoanalog)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

ich habe hier noch einen "Wireless Access Point" des Herstellers ALLNET 
vom Typ "ALL0275+". Leider unterstützt das Gerät nur WEP Verschlüsselung 
und keine WPA Verschlüsselung. Kann man ein derartiges Gerät noch 
sinnvoll einsetzen oder ist das eher ein Gerät zum Ausschlachten?

Mit freundlichen Grüßen
Guido

: Verschoben durch Admin
Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Man kann das Ding schon sinnvoll einsetzen, wenn denn die sich damit 
verbindenen Clients wiederum ihren Netzwerkverkehr zusätzlich absichern, 
indem sie SSL-verschlüsselte Verbindungen verwenden.

Allerdings wird so ein AP auch nicht besonders schnell sein (mehr als 54 
MBit/sec brutto dürfte nicht drin sein), so daß ein Ersatz auch aus 
Performancegründen in Erwägung gezogen werden kann.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. Firefly schrieb:
> Man kann das Ding schon sinnvoll einsetzen, wenn denn die sich damit
> verbindenen Clients wiederum ihren Netzwerkverkehr zusätzlich absichern,
> indem sie SSL-verschlüsselte Verbindungen verwenden.

Das schützt leider nicht vor Mißbrauch des Internet-Zugangs durch Dritte 
- z.B. Leute, die sich in fremde WLANs einhäcken, um darüber 
irgendwelche verbotenen Dinge zu tun.

Solche Router gehören leider in den Elektroschrott.

Autor: Иван S. (ivan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Solche Router gehören leider in den Elektroschrott.

Blödsinn, der Client muß sich doch nur gegenüber dem Netzwerk 
authentifizieren, das dürfte doch trivial zu Bewerkstelligen sein.

Iwan

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Das schützt leider nicht vor Mißbrauch des Internet-Zugangs durch Dritte

Doch, wenn der Internetzugang nur durch o.g. SSL-geschützte Verbindung 
erreichbar ist. Der AP selbst darf natürlich nicht mit dem Internet 
verbunden sein, sondern nur mit einem Ende eines Routers, der 
entsprechende SSL-geschützte Verbindungen zur Verfügung stellt.

So ein Ansatz wird in Hotel-Bezahl-Hotspots verwendet, die Verbindung 
zum AP ist dort sogar gänzlich unverschlüsselt, aber das Internet 
"sieht" man erst nach Angabe von Benutzerdaten auf einer Webseite, die 
vom eigentlichen Router zur Verfügung gestellt wird.

Autor: Peter Dannegger (peda)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Guido C. schrieb:
> Leider unterstützt das Gerät nur WEP Verschlüsselung
> und keine WPA Verschlüsselung.

Auch mit WEP ist das Netzwerk gesichert, d.h. ein Angreifer braucht 
kriminelle Energie, um sich da einzuklinken.

Meistens kann man aber noch zusätzliche Schutzmöglichkeiten aktivieren, 
z.B. daß nur erlaubte MAC-IDs verbunden werden und daß der Router still 
ist, solange er nicht angesprochen wird.
Dann muß ein Angreifer warten, bis Du die Verbindung herstellst und dann 
Deine MAC-ID faken.
Es sollte dann aber Verbindungsprobleme geben, wenn 2 Teilnehmer mit der 
gleichen MAC-ID zugreifen.

Wenn möglich, auch das Umkonfigurieren über WLAN ganz abschalten und nur 
über Ethernet zulassen.


Peter

Autor: J. K. (rooot)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Иван S. schrieb:
> Uhu Uhuhu schrieb:
>> Solche Router gehören leider in den Elektroschrott.
>
> Blödsinn, der Client muß sich doch nur gegenüber dem Netzwerk
> authentifizieren, das dürfte doch trivial zu Bewerkstelligen sein.
>
> Iwan

Ok, dann knack ich den WEP Code, hör 1x ab wie sich ein Client 
authentifiziert und plapper das dann nach > schon bin ich im Netz ;-)

Das ist jetzt ein bisschen übertrieben dargestellt, natürlich gibt es 
auch "sichere" Authentifizierungsmöglichkeiten. Aber wenn man um 20€ 
schon einen einfachen WPA2 fähigen Accesspoint bekommt, macht das die 
weitere Diskussion wohl sinnlos.

MfG
Jürgen

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter Dannegger schrieb:
> Auch mit WEP ist das Netzwerk gesichert, d.h. ein Angreifer braucht
> kriminelle Energie, um sich da einzuklinken.

Das ist zwar formaljuristisch korrekt, aber der Aufwand, um WEP zu 
knacken, ist derartig gering, daß man sich nicht auf diesen 
formaljuristischen Standpunkt verlassen sollte.

Missbraucht jemand den Zugang, fällt der Missbrauch auf den 
Zugangsbetreiber zurück - daher ist tunlichst dafür zu sorgen, daß 
Missbrauch nicht möglich ist. Und MAC-Listen in Kombination mit WEP sind 
nicht mehr Schutz als ein sehr einfaches Buntbartschloss.

Im Gegensatz zum Buntbartschloss, bei dem man das Gekratze daran hören 
könnte, bekommt man den Einsteiger aus der Nachbarschaft nicht mit, der 
das eigene WEP-"verschlüsselte" Netzwerk munter mitnutzt.

Wenn der darüber "interessante" Dinge anstellt, wie z.B. irgendwelche 
Filesharing-Aktivitäten, für die sich "Rechteverwerter" interessieren, 
dann hat man als Betreiber des WEP-AP ganz große Probleme.

Also: Entweder das WEP-Gerät durch ein WPA2-verschlüsselndes Gerät 
ersetzen, oder aber es nicht in Umgebungen einsetzen, in denen ein 
Eindringling Schaden anrichten könnte.

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
J. K. schrieb:
> Ok, dann knack ich den WEP Code, hör 1x ab wie sich ein Client
> authentifiziert und plapper das dann nach > schon bin ich im Netz ;-)

Dann mach das mal, wenn die eigentliche Authentifizierung über SSL 
läuft. Wenn Du das so einfach nachbilden könntest, dürften Dich 
bezahl-Hotspots auch vor keinerlei Hindernisse stellen.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter Dannegger schrieb:
> Auch mit WEP ist das Netzwerk gesichert, d.h. ein Angreifer braucht
> kriminelle Energie, um sich da einzuklinken.

Genau - was glaubst du, was die Burschen haben, die unzureichend 
verschlüsselte WLAN-Accesspoint/Router-Kombinationen knacken. Die 
WEP-Verschlüsselung knacken kann mit dem entsprechenden Programm jeder 
Depp.

Иван S. schrieb:
> Blödsinn, der Client muß sich doch nur gegenüber dem Netzwerk
> authentifizieren, das dürfte doch trivial zu Bewerkstelligen sein.

WEP verschlüsselt nur den Verkehr über das WLAN. Wenn das direkt am 
DSL-Router hängt, wie das sehr weit verbreitet ist, dann kann man durch 
knacken der Verschlüsselung unbemerkt Zugang zum Internet bekommen und 
dann eben auch krumme Dinger machen, die für den Anschlußinhaber böse 
Folgen haben können - bis hin zur Durchsuchung durch die Herren des 
Morgengrauens incl. Beschlagnahme der Hardware.

Aber wer sowas riskieren will, der kann sich natürlich die paar Euros 
für ein WPA-WLAN sparen.

Autor: Иван S. (ivan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Иван S. schrieb:
>> Uhu Uhuhu schrieb:
>>> Solche Router gehören leider in den Elektroschrott.
>> Blödsinn, der Client muß sich doch nur gegenüber dem Netzwerk
>> authentifizieren, das dürfte doch trivial zu Bewerkstelligen sein.
> WEP verschlüsselt nur den Verkehr über das WLAN. Wenn das direkt am
> DSL-Router hängt, wie das sehr weit verbreitet ist, dann kann man durch
> knacken der Verschlüsselung unbemerkt Zugang zum Internet bekommen...

Wenn, hätte und würde. Was genau hast Du nicht verstanden, als ich von 
Authentifizierung sprach? Falls ich mich erst gegenüber dem Netz 
authetifizieren muß, damit meine Pakte überhaupt geroutet werden, dann 
ist meine Verschlüsselung auf den untersten Schichten doch irrelevant.

Iwan

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Иван S. schrieb:
> Falls ich mich erst gegenüber dem Netz
> authetifizieren muß, damit meine Pakte überhaupt geroutet werden, dann
> ist meine Verschlüsselung auf den untersten Schichten doch irrelevant.

Wenn, hätte, würde und falls.

Ich muß mich über mein WLAN nicht authentifizieren - es reicht, wenn der 
Rechner den Schlüssel kennt und wenn das Ding nur WEP-verschlüsselt ist, 
dann bekommt man den sehr leicht raus.

Der springende Punkt ist, ob das WLAN direkt mit dem Web verbunden ist, 
oder nicht. Ersteres ist bei Router/Accesspoint-Kombinationen 
üblicherweise der Fall, denn die werden von den Accessprovidern als 
drahtlose Verlängerung des DSL-Zugangs angeboten.

Autor: Иван S. (ivan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Иван S. schrieb:
>> Falls ich mich erst gegenüber dem Netz
>> authetifizieren muß, damit meine Pakte überhaupt geroutet werden, dann
>> ist meine Verschlüsselung auf den untersten Schichten doch irrelevant.
>
> Wenn, hätte, würde und falls.
>
> Ich muß mich über mein WLAN nicht authentifizieren - es reicht, wenn der
> Rechner den Schlüssel kennt und wenn das Ding nur WEP-verschlüsselt ist,
> dann bekommt man den sehr leicht raus.
>
> Der springende Punkt ist, ob das WLAN direkt mit dem Web verbunden ist,
> oder nicht. Ersteres ist bei Router/Accesspoint-Kombinationen
> üblicherweise der Fall, denn die werden von den Accessprovidern als
> drahtlose Verlängerung des DSL-Zugangs angeboten.

JFTR: Im OP wurde gefragt, ob ein Wireless-AP, welcher keine sichere 
Verschlüsselung beherrscht, noch irgendwie sinnvoll einsetzbar sei. Du 
hattest daraufhin behauptet, daß dies nicht der Fall sei (Zitat: 
Elektroschrott). Von mir und Anderen wurde jedoch darauf hingewiesen, 
daß das Gerät mit einem entsprechendem Setup sehr wohl tauglich und 
brauchbar sei. Und nun kommst Du wieder damit, daß die im AP vorhandene 
Verschlüsselung bei Betrieb im standarmäßigem Deppensetup nicht 
hinreichend sei?

Verarschen kann ich mich auch selbst, ich klinke mich daher mangels 
echter Diskussionsbereitschaft an dieser Stelle aus.

Gute Nacht, Iwan

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Иван S. schrieb:
> Verarschen kann ich mich auch selbst, ich klinke mich daher mangels
> echter Diskussionsbereitschaft an dieser Stelle aus.

Wie üblich. Kraft Selbstherrlichkeit weißt du, was ein ALL0275+ ist, 
ohne extra nachsehen zu müssen.

Autor: Michael H. (michael_h45)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu, zeig einmal ein bisschen Größe und gestehs ein... du liegst falsch.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Michael H. schrieb:
> Uhu, zeig einmal ein bisschen Größe und gestehs ein... du liegst falsch.

Lies, was Rufus oben geschrieben hat: Wenn der AP Verbindung zum 
Internet hat, dann wäre WEP die einzige Hürde.

Um den Internetzugang per SSL in einem schlecht- oder unverschlüsselten 
WLAN per ssl zu schützen, braucht man einen Gateway zur Verbindung des 
Teilnetzes, an dem das WLAN hängt mit dem DSL-Zugang, der ssl kann.

Dann nimmt man aber besser gleich einen ordentlich verschlüsselnden 
Router mit WLAN.

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Um den Internetzugang per SSL in einem schlecht- oder unverschlüsselten
> WLAN per ssl zu schützen, braucht man einen Gateway zur Verbindung des
> Teilnetzes, an dem das WLAN hängt mit dem DSL-Zugang, der ssl kann.
>
> Dann nimmt man aber besser gleich einen ordentlich verschlüsselnden
> Router mit WLAN.

Wie ich bereits beschrieben habe, gibt es Szenarien, in denen man das 
eben nicht tut -- Bezahl-Hotspots o.ä.

Da ist so ein AP völlig ausreichend.

Ihr braucht Euch also gar nicht gegenseitig anzustinken, denn Ihr habt 
beide sowohl Recht als auch Unrecht, und zwar gleichermaßen.

a) Als Privat-Router für direkten Internetzugang ist das Ding absolut 
ungeeignet. Ab in die Tonne.

b) In anderen Szenarien, wie z.B. dem Zugang zu einem (harmlosen) oder 
andersweitig gut geschützten internetlosen Netzwerk oder in 
Zusammenarbeit mit einem authentifizierenden Router kann so ein Ding 
noch genutzt werden.

c) Technisch ist das Gerät wegen der niedrigen WLAN-Datenrate (brutto 54 
MBit) uninteressant.

Damit sollte die Diskussion beendet werden können.

Autor: Guido C. (guidoanalog)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

vielen Dank für Eure Beträge. Ich denke Rufus hat die Quintessenz der 
Diskussion bereits gut zusammengefasst.

Wie ich lese ist für mich, mit meiner Standard "daheim" Infrastruktur, 
der Access Point wohl nicht mehr sinnvoll einsetzbar. Das einzige 
Szenario, das ich mir noch vorstellen könnte wäre, wenn ich den Acces 
Point an meinen Drucker anschließe und auf der Gegenseite einen 
Wlan-USB-Stick einsetze. Die Verbindung zwischen dem USB-Stick und der 
Netzwerkkarte des Druckers müsste dann allerdings mittels z. B. IPSec 
abgesichert werden. Ich wage allerdings zu bezweifeln, dass ein 
günstiger USB-Stick bzw. die Netzwerkkarte des Druckers IPSec 
unterstützt. Hier stellt sich natürlich auch die Frage, ob sich der 
Aufwand lohnt.

Mit freundlichen Grüßen
Guido

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Guido C. schrieb:
> Die Verbindung zwischen dem USB-Stick und der
> Netzwerkkarte des Druckers müsste dann allerdings mittels z. B. IPSec
> abgesichert werden.

... wenn Du verhindern willst, daß jemand anderes Deinen Drucker nutzt, 
ja.

Guido C. schrieb:
> Ich wage allerdings zu bezweifeln, dass ein
> günstiger USB-Stick bzw. die Netzwerkkarte des Druckers IPSec
> unterstützt.

Der USB-Stick ist nicht das Problem, das macht ja der Netzwerkstack des 
Rechners, in dem der drinsteckt. Der Drucker aber wird das Problem sein.

Autor: Icke ®. (49636b65)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. Firefly schrieb:

> daß jemand anderes Deinen Drucker nutzt,

Hehe, das wäre ja 'ne ganz neue Idee, um Werbung unter die Leute zu 
bringen...

Autor: Guido C. (guidoanalog)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

Rufus Τ. Firefly schrieb:
> Der USB-Stick ist nicht das Problem, das macht ja der Netzwerkstack des
> Rechners, in dem der drinsteckt. Der Drucker aber wird das Problem sein.

Danke für den Hinweis. Dann werde ich einmal im Handbuch nachschlagen, 
ob der Netzwerkadapter meines Druckers IPsec unterstützt. Ich denke 
jedoch, dem ist eher nicht so.

Mit freundlichen Grüßen
Guido

Autor: Guido C. (guidoanalog)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Icke ®. schrieb:
> Hehe, das wäre ja 'ne ganz neue Idee, um Werbung unter die Leute zu
> bringen...

Neiiiiiin, nicht noch mehr Spam.

Mit freundlichen Grüßen
Guido

Autor: Frank B. (frank501)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gestern im Ausgabeschat meines Druckers:

"Papiersparen mit den Drucklösungen von IQ. Damit Ihr Drucker nicht zur 
Spamschleuder wird"

SCNR

Autor: Atmi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Guido C. schrieb:
> ich habe hier noch einen "Wireless Access Point" des Herstellers ALLNET
> vom Typ "ALL0275+". Leider unterstützt das Gerät nur WEP Verschlüsselung
> und keine WPA Verschlüsselung. Kann man ein derartiges Gerät noch
> sinnvoll einsetzen oder ist das eher ein Gerät zum Ausschlachten?

Direkt an einen Linux-Router auf dem OpenVPN laeuft und alles bis auf 
diesen Dienst abregeln.. Schon hat man ein prima HotSpot fuer eine 
schlecht ausgeleuchtete Bereiche.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.