WPA3 Router für WPA2 Endgeräte überflüssig?

Thinksurfer

Active member
Registriert
13 Juni 2007
Beiträge
599
Hallo.

Genau weiß ich es gar nicht, aber meine alten Schätzkens T430s, T460s und T530 werden keine WPA3 Karte eingebaut haben. So ganz steige ich da nicht durch. Lassen wir einfach mal der Paranoia freien Lauf. Ganz egal, ob meine Geräte max. WPA2 können, ist es dann nicht trotzdem besser, einen aktuellen WPA3 Router zu kaufen, um mögliche Neugierige von außen fernzuhalten? Sicher, der WPA3 Router wird sich nur per WPA2 mit den Geräten verbinden können, soviel weiß ich. Mir geht es mit dieser Anfrage um mögliche "WLAN-Angreifer" von außen.

Gruß
 
Solange Dein WPA2-Router noch problemlos funktioniert und keine nicht schließbaren Sicherheitslücken auftauchen, ist es nicht sinnvoll.
Nur weil ein Router zusätzlich auch WPA3 kann, wird WPA2 darüber nicht sicherer. Eventuell könnte es sogar noch unsicherer sein, denn jede zusätzliche Funktion bringt auch zusätzliche Fehler- oder Angriffsmöglichkeiten.
 
Schon klar, verstehe. Doch ich habe die Fritzbox 7272, die nur für 16 MBit Anschlüsse ausgelegt ist. Da sie zum einen Firmwaremäßig zu alt ist und ich meinen Vertrag auf 50 MBit aufstocken werde, muss ein neuer Router her, aber ich werde mir deine Hinweise durch den Kopf gehen lassen.
 
Ein neuer Router sollte dann natürlich WPA3-fähig sein. Aktuelle Fritz!Boxen sollten das aber (nahezu?) alle sein.
 
Bliebe noch eine letzte Frage übrig, die ich gar nicht auf der Rechnung hatte. Egal, welchen Router ich mir kaufe, die technische Abwärtskompatibilität in Punkto DSL Geschwindigkeit ist doch gegeben, oder? Nicht, das ich mir eine 7590 oder einen Speedport smart 3 kaufe und keiner von beiden passt zu meinem künftigen 50 MBit Vertrag. Zumal an meinem Hausanschluss auch nur theoretische 175 Mbit anliegen.
 
Die 7590 kann Supervectoring bis 250mbit, dass ist dann die Zukunftssichere Lösung. Würde ich auch dem Speedport vorziehen!
 
Ganz prinzipiell könnte viel WPA2 Hardware per Firmware- oder Treiberupdate auf WPA3 umgestellt werden, weil sich nur der Schlüsselaustausch geändert hat. Ein Blick in

netsh wlan show drivers

kann helfen. Viele HW Hersteller und auch MS liefern gerne mal ältere Treiberversionen aus. Da kann es helfen, sich direkt mal auf der Intelseite umzusehen.

Intel hat unter https://www.intel.com/content/www/us/en/support/articles/000054783/network-and-i-o/wireless.html eine Liste unterstützter Karten veröffentlicht - wobei ich das schon heftig finde, dass sie nichtmal die 8000er Karten nachgerüstet haben.
 
WLAN bekommst Du nur mit weitergehenden Maßnahmen wie einem Radiusserver o. ä. sicher.

Wenn Du keinen Overkill wie Windows Server etc. möchtest, ist freeradius unter Linux eine gute Lösung. Auch gibt es z. B. von Draytek Router mit integriertem Radiusserver, die sind auch weitergehender als die Fritzboxen zu konfigurieren und bieten etliche Sicherheitsfunktionen wie z. B. Vlans zu einem günstigeren Preis als die Teile von AVM.

Mit 802.1X kannst Du Deine alten Schätzchen unbesorgt und sicher betreiben solange Du nicht WEP oder WPS aktivierst.
 
Wenn Du keinen Overkill wie Windows Server etc. möchtest, ist freeradius unter Linux eine gute Lösung.
"kein Overkill" und einen RADIUS-Server im gleichen Satz? Wow :D

Mit 802.1X kannst Du Deine alten Schätzchen unbesorgt und sicher betreiben solange Du nicht WEP oder WPS aktivierst.

So weit ich weiß, gilt WPA2 auch heute noch als ausreichend sicher, so lange man ausreichend lange Passwörter einsetzt und Softwareupdates gegen die KRACK-Lücke eingespielt hat. Dafür muss man nicht gleich 802.1X und RADIUS einsetzen. Wobei eine Zuordnung von WLAN-Zugängen zu Benutzern natürlich schon Vorteile hat (man kann z.B. einzelne Benutzer rauswerfen, ohne das WLAN-Passwort ändern und damit alle Geräte neu anmelden zu müssen), aber viele Geräte können wiederum kein 802.1X (in der Regel nahezu kaum ein Smart-Home-Gerät wie Fernseher, Receiver, Mediaplayer, WLAN-Schalter/-Lampen, vernetzte Haushaltsgeräte, ...).
 
"kein Overkill" und einen RADIUS-Server im gleichen Satz? Wow
So unterschiedlich sind die Betrachtungsweisen.

Jemand der es darauf anlegt, ist innerhalb weniger Sekunden in jedem Wpa2 Netz. Das gilt genauso für Wpa3 und hat wenig mit der Schlüsselänge zu tun. Beschäftige Dich mal mit Man in the middle Angriffen die jedes Skriptkiddie via Pineapple o.ä. hinbekommt

Wie gesagt, es ist eine Frage des Anspruchs, aber WLAN ist unsicher und ohne zusätzliche Techniken nicht sicher zu bekommen.
 
Ahem, das klingt doch nach Hollywood Kreditkarte mit dem man jedes Schloss knackt.

Dass man bereit ist anfällige Standards aufzugeben sieht man ja bei WEP. Wäre WPA2 wirklich so löcherig, ich bin sicher der Markt wird dankbar die Gelegenheit aufgreifen, um neue Geräte in den Markt zu drücken.

Was Radius betrifft dürfte das auch viel damit zu tun haben womit man sich täglich beschäftigt. Ich wiederhole mich gerne aber für einen Mann mit einem Hammer ist jedes Problem ein Nagel. Ich bekenne mich ja auch schuldig wo jede zweite meiner Antworten rsync, robocopy, vpn und VM sind. :)

Ist es aber nicht einem täglich Brot, dann hat man eine Lernkurve vor sich die man erst nehmen muss.
 
Nachsatz: Smart-Home etc. gehört sowieso in ein eigenes VLAN, Du willst Deine Einkommensteuererklärung und Urlaubsfotos sicher nicht mit dem Netz teilen.

- - - Beitrag zusammengeführt - - -

Nachstehend ist beispielhaft zu sehen wie ein Radiusserver auf einem Draytekrouter eingerichtet wird. Wer eine Fritzbox in Betrieb nehmen kann, bekommt auch das hin. Meiner 74-jährigen Nachbarin traue ich es jedoch nicht zu.

https://www.draytek.com/support/knowledge-base/5146

Verstehe Eure Einwände nicht, habe auch nicht davon gesprochen, dass der Schlüssel so einfach zu knacken ist. Es geht um die Technik als solche die ohne zusätzliche Absicherung unsicher, weil umgehbar ist. Und um das umzusetzen muss kein APT kommen sondern es reicht eine Kali- oder Parrotinstallation mit der jeder Wannabee Unfug treiben kann.

P.S. @Gummiente Kann sein, dass Draytek mein rsync ist, die Geräte sind jedenfalls jeder Fritzbox in Sachen Kofigurierbarkeit, Sicherheit und nicht zuletzt Preis/Leistung überlegen. Openwrt und Opnsense wären auch noch ein Möglichkeit aber dann doch lieber einen Windowsserver nicht war cuco ;-)
 
Jemand der es darauf anlegt, ist innerhalb weniger Sekunden in jedem Wpa2 Netz. Das gilt genauso für Wpa3 und hat wenig mit der Schlüsselänge zu tun.
Dafür hätte ich gerne mal Quellen. Ich habe schon einiges an Zeit in Experimente mit der Sicherheit von WLAN gesteckt. Ja, WEP ließ sich wirklich schnell knacken mit "aircrack", aber auch das war noch eine Sache von Minuten bis Stunden, je nach Router-Gegenstelle und Fähigkeiten der eigenen Hardware. In Sekunden lief das nie. (Wobei die Experimente schon ein paar Jahre her sind - aber gut, über die Sicherheit von WEP brauchen wir uns auch nicht zu unterhalten.) Bei WPA sah das anders aus. Da man den Schlüssel nur Brute-forcen kann, war das nie in Sekunden oder Minuten erledigt. Stunden oder Tage waren bei entsprechender Hardware und entsprechend kurzem Passwort drin. Ab 8 Zeichen fing es an, wenig Spaß zu machen, bei 10 hört der in der Regel ganz auf und ab 12 Zeichen braucht man meist gar nicht mehr anfangen.

Also, zeig' mir doch mal, wie man bei WPA2 oder gar WPA3 in Sekunden drin ist!

Beschäftige Dich mal mit Man in the middle Angriffen die jedes Skriptkiddie via Pineapple o.ä. hinbekommt

Hast du dich mit sowas schon mal beschäfigt? Man in the Middle wird man auch mit dem Pineapple nicht so einfach. Und so wie ich das sehe, macht der Pineapple auch nichts anders, als z.B. ein Kali-Linux: WPA/WPA2-Handshake abfangen und dann bruteforcen. Damit bleibt es dabei: Die Sicherheit des WLANs hängt von der Qualität des Passworts ab.

Mit RADIUS-Authentifizierung wird das nicht besser oder schlechter. Genau genommen wird am Ende sogar die gleiche Verschlüsselung genutzt. Nicht umsonst heißen die Verfahren in "Langform" ja auch WPA2-PSK (Pre-Shared Key, für die Variante mit Passwort) und WPA2-Enterprise (für die Variante mit RADIUS, LDAP, o.ä.)

Wie gesagt, es ist eine Frage des Anspruchs, aber WLAN ist unsicher und ohne zusätzliche Techniken nicht sicher zu bekommen.
Und ich sage, dass diese Aussage absoluter Blödsinn ist. Aber du hast bestimmt eine Quelle, die diese Aussage belegt?

Ahem, das klingt doch nach Hollywood Kreditkarte mit dem man jedes Schloss knackt.
Das klingt beim hansmxxx wirklich so :D Aber meiner Erfahrung nach ist es auch bei WLAN genau so: Im Film sieht das ganz einfach aus, in echt ist es dann doch deutlich komplexer.

Dass man bereit ist anfällige Standards aufzugeben sieht man ja bei WEP. Wäre WPA2 wirklich so löcherig, ich bin sicher der Markt wird dankbar die Gelegenheit aufgreifen, um neue Geräte in den Markt zu drücken.
Richtig. Und ja, WPA2 hat kleinere Lücken, aber grundsätzlich ist das ein sicherer Standard.


Ist es aber nicht einem täglich Brot, dann hat man eine Lernkurve vor sich die man erst nehmen muss.
So ist es - und warum unnötigen Aufwand da reinstecken, wenn man keinen Vorteil daraus ziehen kann?

Nachsatz: Smart-Home etc. gehört sowieso in ein eigenes VLAN, Du willst Deine Einkommensteuererklärung und Urlaubsfotos sicher nicht mit dem Netz teilen.
Korrekt. Und bei WPA2-Enterprise kann man, je nach Router, die Geräte auch schon in entsprechende VLANs packen, wenn man sich mit einem entsprechenden Benutzer authentifiziert. Ändert aber dann wieder nichts daran, dass diese Geräte in der Regel gar kein WPA2-Enterprise sprechen.

Verstehe Eure Einwände nicht, habe auch nicht davon gesprochen, dass der Schlüssel so einfach zu knacken ist. Es geht um die Technik als solche die ohne zusätzliche Absicherung unsicher, weil umgehbar ist. Und um das umzusetzen muss kein APT kommen sondern es reicht eine Kali- oder Parrotinstallation mit der jeder Wannabee Unfug treiben kann.
Du widersprichst dir doch im gleichen Absatz. Jetzt ist das doch nicht so einfach zu knacken, aber dann ist das ganze ohne zusätzliche Absicherung umgehbar?
Und wie gesagt, mit WPA2-Enterprise wird das nicht wirklich sicherer, vorausgesetzt, die Qualität des Passworts bei WPA2-PSK stimmt.

Openwrt und Opnsense wären auch noch ein Möglichkeit aber dann doch lieber einen Windowsserver nicht war cuco ;-)
Windows-Server als Router-Betriebssystem? Oh Gott :D Einen RADIUS-Server und WPA2-Enterprise mit OpenWRT und pfSense habe ich aber schon mal eingerichtet. Geht ganz okay, ja. Habe ich aber inzwischen wieder abgeschaltet (RADIUS und WPA2-Enterprise, nicht OpenWRT oder pfSense). Hat halt wenig Nutzen gehabt...
 
Cucos Ton und Wortwahl treiben das hier in Richtung Eskalation. Das ist schade. Nach Feierabend erkläre und belege ich meinen Blödsinn.
 
Cucos Ton und Wortwahl treiben das hier in Richtung Eskalation.

Mitnichten, ;) denn ich hatte absolut keine Ahnung, worüber ihr redet. :rolleyes: Darum ist es mir gar nicht aufgefallen. Das ist wohl das Los eines Users, der den PC nur zum surfen nutzt und sich schon vor Stolz auf die Schulter geklopft hat, weil er lediglich die Provider Zugangsangaben ins Fritzbox Menü hatte eingeben können. :cool: Ich weiß ein bissschen mehr als die hier erwähnte 72 jährige Omma, und daher würde ich gerne noch mal auf diesen Punkt zu sprechen kommen.

WLAN bekommst Du nur mit weitergehenden Maßnahmen wie einem Radiusserver o. ä. sicher.

Das klingt ja höchst interessant. Heißt das mit einfachen Worten, auch ein gewöhnlicher Fritzbox Surfer könnte durchaus in der Lage sein, einen Draytek Router so zu konfigurieren, um das eigene WLAN sicherer zu machen? Sicherer hieße für mich, jeder Nachbar bekommt alle verfügbaren Netze in der näheren Umgebung angezeigt, incl. der WLAN Stärke in Prozent. Mein unmittelbarer Nachbar z.B. kommt mit 46 % rein. Hat dieser Radiusserver irgendetwas damit zu tun, dass mein Netzwerkname bei ihm erst gar nicht auftaucht?
 
Cucos Ton und Wortwahl treiben das hier in Richtung Eskalation.
Tut mir leid, das war nicht meine Absicht.

Aber wenn WPA2 und WPA3 so löchrig wären, dass man da wirklich "ohne zusätzliche Absicherung" "innerhalb weniger Sekunden in jedem WPA2 [und WPA3] Netz" wäre, würde das ganz andere Wellen schlagen.

Das ist schade. Nach Feierabend erkläre und belege ich meinen Blödsinn.
Ich bin ehrlich gespannt!

Das klingt ja höchst interessant. Heißt das mit einfachen Worten, auch ein gewöhnlicher Fritzbox Surfer könnte durchaus in der Lage sein, einen Draytek Router so zu konfigurieren, um das eigene WLAN sicherer zu machen?
Kommt drauf an. Wer bei Fritz!Box-Routern nur mit der Standardansicht arbeitet und seine Zugangsdaten für DSL und VoIP per Assistent einträgt, der braucht da wohl eine Ecke länger ;) Wer Fritz!Boxen dagegen ausschließlich in der erweiterten Ansicht bedient und auch weiß, was er da tut, bekommt in einfachen GUIs wie die von pfSense (und vermutlich auch auf einem Draytek-Router - habe ich selbst noch nie genutzt) auch in akzeptabler Zeit einen RADIUS-Server zusammengeklickt.

Sicherer hieße für mich, jeder Nachbar bekommt alle verfügbaren Netze in der näheren Umgebung angezeigt, incl. der WLAN Stärke in Prozent. Mein unmittelbarer Nachbar z.B. kommt mit 46 % rein.
Jeder in Reichweite kann dein Funknetz sehen. Selbst dann, wenn man die SSID auf "unsichtbar" schaltet, was einige Router ermöglichen. Sehr stark vereinfacht sieht es ungefähr so aus:
- sichtbare SSID: "Hallo, ich bin der Router mit der ID ab:cd:ef:00:11:22 und ich strahle das WLAN-Netz 'Hans-Peter' aus"
- unsichtbare SSID: "Hallo, ich bin der Router mit der ID ab:cd:ef:00:11:22 und ich strahle das WLAN-Netz 'Hans-Peter' aus, aber bitte sag' das nicht dem Nutzer und zeig' ihm nur 'versteckt' an!"
Das ist natürlich jetzt nicht ganz die Realität, aber das Sicherheitslevel bei der Anzeige der SSID ist ungefähr dort.

Hat dieser Radiusserver irgendetwas damit zu tun, dass mein Netzwerkname bei ihm erst gar nicht auftaucht?
Nein. Durch den RADIUS-Server und das Umkonfigurieren des WLANs von WPA2-PSK auf WPA2-Enterprise ändert sich nur eines: Die Art und Weise, wie man sich in dein Netz einloggt. Bei der PSK-Variante passiert das mit einem Passwort, das für alle Geräte gleich ist, bei der Enterprise-Variante gibst du stattdessen einen Benutzernamen und ein dazugehöriges Passwort ein.
 
Radius ist für das 0815 Heimnetz Overkill³. Vielleicht umgeht man dabei Probleme, die durch WPA2+kurze PWs entstehen, dafür produziert man sich n Haufen neue. Schon wegen der Komplexität. Bei einem vernünftig langen PW ist WPA2 auch heute noch sicher. Anders sieht es aus, wenn man nicht vertrauenswürdige Geräte o.ä. hat - aber dazu gibts das Gastnetz.

Wenn man WPA2 nicht traut bringt einem WPA2 Enterprise (aka: Radius) garnichts, weil das auf der HF Schnittstelle diesselben Verfahren anwendet. Das einzige, was dann hilft ist WPA3 (PSK oder Enterprise machen da keinen Unterschied) - oder gleich ein VPN.

VLANs sind ne völlig andere Sache. Wobei auch da meist die Unterscheidung "normale User" und "Gastnetz" ausreicht. Hausautomatisierung hat häufig noch nichtmal Ethernet - und wenn verhindert man eben mittels der Kindersicherung, dass die ins Internet können.

> Hat dieser Radiusserver irgendetwas damit zu tun, dass mein Netzwerkname bei ihm erst gar nicht auftaucht?
Nein. WPA Enterprise ermöglicht es nur, jedem Endgerät seinen eigenen Schlüssel zu verpassen. Meist wird als Authentifizierungsserver Radius verwendet. Die WLAN Stärke in Prozent sagt nur, wie stark das HF Signal reindröhnt. Für die Sicherheit ist das irrelevant, nur ist der Durchsatz für den Popo, wenn das zu stark auf den Kanälen reindröhnt, die dein WLAN verwendet.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben