Muss ich mein T23 fürs WLAN sicher machen?

[_EyeBeeM_]

Hallo,
in Kürze kommt uns DSL WLAN ins Haus.
Könnte mal bitte Jemand der Wichtigkeit nach beschreiben,
was man tun muss bzw. sollte, um sicherzustellen das damit kein Anderer Unfug mit treibt?
Benutze Win XP Pro ; ISP ist 1&1

Was mir so spontan einfällt:
1. Bringt SP2 Vorteile bzgl. Sicherheit?
2. Gibt es andere fixes seitens MS, die insatlliert werden sollten?
3. Ist WIN XP Pro selbst sicher genug?
oder sind evtl. Win EInstellungen vorzunehmen?
4. Sollten Zusatztools installiert werden (Wenn ja, welche)?
5. Gibts für den TP23 IBM/Lenovo software, die das sicher macht?
6. Gibts für die PCMCIA Karte von 3com eine software, die das sicher macht?

 

[meinked]

Hallo,

nur ein Beipiel, wie es kommen kann: Unser Handwerksmuseum benötigte einen neuen PC. Aus Einzelteilen wurde er zusammengebaut und zwecks Treiberupdates bei mir zu Hause ins Netzwerk eingbunden. (Per DSL waren die Treiber viel schneller heruntergeladen). Alles zusammen war er ca 30-45 Minuten "Online".
Als ich am nächsten Tag im Museum die ISDN-Karte testen wollte, wurde der PC mit einer Fehlermeldung sofort (und immer wieder, sobald er Online war) nach einigen Sekunden heruntergefahren und neu gestartet. Ich hatte mir in der kurzen Zeit so einen kleinen "Plagegeist" eingefangen. Ich selber war wirklich überrascht, wie schnell das ging! Seitdem hatte auch unser Museumskassenwart nichts mehr gegen die Ausgabe für eine Firewall und Virenscanner.

Ich persönlich bin sehr zufrieden mit dem GDATA Antivirenkit Professional. Das enthält einen Virenscanner (mit 2 Virenengines) und eine Firewall. Die Virendefinitionsdateien weden, wenn man will, sogar stündlich aktualisiert! Die Systemperformance geht kaum in die Knie und: Die Updates funktionieren, wenn einmal eingerichtet vollautomatisch - auch wenn man ohne Administratorrechte arbeitet!

Einige Windows XP Updates werden von den Virenscannern zwingend vorausgesetzt, damit alles einwandfrei funktioniert. Windows XP würde ich mit der eingebauten Updatefunktion aktualisieren (und aktuell halten), das funktioniert ziemlich stressfrei und geht mit DSL auch recht flott.

Bei WLAN drauf achten, dass nur mit Verschlüsselung gearbeitet wird, nach Möglichkeit mit WPA2, wenn das nicht alle Geräte können, zumindestens WPA. Die bei vielen PCMCIA-Karten und USB-Sticks noch weit verbreitete WEP-Verschlüsselung würde ich meiden (wenn die Geräte nichts anderes können, ist das für mich ein Grund, diese Geräte umzutauschen!), weil sie verhältnismäßig schnell geknackt werden kann (behaupten zumindest die Fachleute). Das Kennwort für die Verschlüsselung nicht zu kurz - und keine Namen, Worte oder dergleichen. Am sichersten ist ein Passwort wie "ghT45möa89qvp309uTJÄCmn".

Was ich persönlch auch sehr gut finde, wenn z. B. der DSL-Router die Möglichkeit bietet, WLAN einfach auszuschalten (per Schalter) und/oder zu bestimmten/einstellbaren Zeiten WLAN selber ausschaltet. Geräte von AVM können das (mitunter ist dazu nur ein Firmware-Update erforderlich). Was nicht in Betrieb ist, kann auch nicht gehackt werden )

Gruß
Detlef Meinke

Gruß
Detlef Meinke

 

[albula]

Hallo,
zu 1. + 2.: XP sollte man immer aktuell halten, also SP2 + Updates (Tipp: winboard.org hat z.B. alle fixes seit SP2 fertig gebündelt) :!:
damit ist dann zumindest die Microsoft Firewall drin (kann man von halten was man will, aber besser als nix; ein Grund für SP2!)
3. ist mehr für Philosophen (ich benutz' seit ich das T23 habe nur noch Linux )

4. zum Thema Virenscanner / Virenschild hat meinked ja schon ein schönes Beispiel gebracht. Wenn Du einen legal und kostenlos haben willst: Antivir: http://www.free-av.de/ nicht der allerbeste. (c't 26/2005 war nicht ganz zufrieden mit ihm mehr hier im Forum -> Suchen)

zu 6. / WLAN: siehe meinked :!: oder auch http://www.heise.de/mobil/artikel/50889

Christian

 

[katerkarlo]

Zusätzlich zur Hardwarefirewall des WLAN-Routers würde ich auf alle Fälle noch eine Softwarefirewall benutzen, so bekommst Du wenigstens mit, wenn die eine oder andere Anwendung nach Hause telefonieren will o.ä., z.B. Outpost gefällt mir da ganz gut, es gibt ne ältere Freewareversion als auch eine aktuelle kostenpflichtige Shareware http://www.agnitum.de/

Grüssle

 

[buschinski]

1-3: Ohne aktuelles XP SP2 brauchst Du gar nicht erst nach Sicherheit fragen.

Ansonsten:
- WLAN mit WPA verschlüsseln
- Guten Router mit eingebauter Firewall benutzen.
- Professionelles Antivirus-Programm benutzen (NOD32 oder Bitdefender)

Laß den Quatsch mit kostenlosen AV-Programmen. Es ist komplett am falschen Ende gespart. Habe erst kürzlich wieder zig Schädlinge von einem PC geputzt, der mit AntiVir "gesichert" war...

Grüße,

 

[tondie]

Original von buschinski


- WLAN mit WPA verschlüsseln

Wann ist eigentlich die Verschlüsselung wirklich notwendig?
Habe bei mir festgestellt, daß das Signal meiner Station --je nach der Richtung-- kaum mehr als 50 m weit aus dem Haus hinausgeht. Und da habe ich drei Nachbarn, eine computerfreie Rentnerin, dann eine Midlife family, wo die Eltern gerade Office und ein wenig Surfen verstehen, okej der Sohn könnte u.U. Hackgelüste haben.
Aus dem dritten Haus strahlt ständig das blaue Licht der Glotze, die geniessen halt DVB-T, also kaum Gefahr.
Dann sind natürlich die Straßen da, jemand könnte dort im dicken Konbi abhören und nicht nur umsonst surfen (mit gefakter MAC Adresse) sondern auch zu hacken versuchen. Doch was kriegt er raus? Die wirklich interessanten Sachen sind ohnehin auf keiner Maschine.

Weshalb also Verschlüsseln, das immer Performance kosten wird?

 

[unclejohn]

Natürlich musst du dein W- Lan nach außen hin absichern (Verschlüsselung, am besten WPA sonst WEP, Mac- Filter, SSID am besten auch verstecken). Schließlich bist du und nur du allein für alles verantwortlich, was über deinen Akkount so im Web gemacht wird. Wenn da sich jetzt einer Kinderpronos oder so zieht, wer ist dann der Schuldige zumindestens erstmal?! Richtig, du!
Mal ganz abgesehen davon, dass man sich halt in deine Rechner reinhacken kann!
cu

 

[enrico65]

Vollständige Sicherheit gibt es bei WLAN nicht, zumindest nicht mit vertretbarem Aufwand. WEP 128-Bit zu knacken braucht bei halbwegs aktueller Hardware etwa sechs Stunden Datensammeln und die gleiche Zeit zum Knacken. WPA incl. WPA2 ist nicht wesentlich sicherer. Wer ein paar Tage Zeit hat...

Reichweite: Mit einer Richtfunkantenne anstelle eines Rundstrahlers oder gar einer eingebauten Antenne kommt man schon erheblich weiter als 50m. Außerdem gibt es ganz bestimmte WLAN-Karten, bei denen man bestimmte Einstellungen hardwareseitig vornehmen kann, so daß auch die Empfangsleistung sowie Sendeleistung erheblich gesteigert werden können.
Grund der Absicherung: Es gibt da ein paar nette Programme, mit denen hat man ziemlich schnell auch Paßwörter geknackt, selbst SSL-Verbindungen sind nicht immer sicher (Version 1). Wer möchte denn schon gern, wenn ein anderer z.B. bei ebay groß auf seine Kosten einkauft??!!

Vorsicht ist die Mutter der Porzellankiste!

 

[unclejohn]

Original von enrico65

Vollständige Sicherheit gibt es bei WLAN nicht, zumindest nicht mit vertretbarem Aufwand. WEP 128-Bit zu knacken braucht bei halbwegs aktueller Hardware etwa sechs Stunden Datensammeln und die gleiche Zeit zum Knacken. WPA incl. WPA2 ist nicht wesentlich sicherer. Wer ein paar Tage Zeit hat...

Mag sein, aber dann muss er ja immer noch den Mac- Filter überwinden und die wenigsten Leute werden wohl stundenlang zeit haben, um dein Passwort zu knacken, aber die Leutchen, die sich mal eben einen Spaß erlauben wollen, werden damit gehindert.
cu

 

[Airborne]

Original von tondie


Wann ist eigentlich die Verschlüsselung wirklich notwendig?

IMMER! Es sei denn du bist ein kommunikativer Typ, teilst gerne Festplatte, Internet und private Daten mit anderen (fremden) Leuten.

@ eyeeam

Sicherheit bezieht sich hier auf schon reichlich benannte Verschlüsselung der Funkdaten, alles andere (Viren etc.) sind generelle Sicherheitsfragen.

Das (praktikable) Maximum ist:

- WPA Verschlüsselung
- SSID nicht sichtbar
- MAC-Filter gesetzt

Torsten

 

[enrico65]

@unclejohn: Neulich habe ich in der Zeitung gelesen, daß die Polizei in Neubrandenburg, einer kleinen Stadt, zwei Männer festgenommen hat, die mit einer Richtfunkantenne auf dem Pkw (dämlicher geht es schon fast nicht mehr!!!) durch die Gegend gefahren sind. Im Pkw befand sich hochmodernes Equipment. Die hatten also die Zeit und auch die kriminelle Energie.
Kürzlich hat mir ein Kollege erzählt, daß einer seiner Bekannten vor einer Anwaltskanzlei den Datenstrom "mitgehört" hat, um dann anschließend mit diesem beeindruckenden Nachweis den betroffenen Anwalt anzusprechen, um ihm seine Dienste in Sachen EDV-Sicherheit anzubieten. Hirnverbrannter geht's halt nimmer, ausgerechnet einen Anwalt! Um ein Haar wäre es da zu einer Strafanzeige gekommen. Der Kollege hatte aber auch die Zeit. Nun frage ich mich natürlich, wie viele Gauchos denn noch hier herumlaufen mit etwas dubioseren Absichten;-) Scheint jedenfalls kein Einzelfall zu sein. Die Script-Kiddies haben natürlich i.d.R. weder das Hintergrundwissen noch Zeit noch Verständnis, so was zu machen, da hast Du recht.
Zum MAC-Filter: Man kann heute bei jeder halbwegs modernen LAN-Karte die MAC-Adresse manipulieren, es sei denn, ich arbeite noch mit Uralt-ISA-Karten. Wenn ich auf Layer2 mitlausche, bekomme ich die MAC-Adresse der beteiligten Stationen auch mit. Dann ist es kein großes Problem, dem AP eine falsche MAC-Adresse vorzugaukeln.

@Airborne: Dem (praktikablen) Maximum würde ich noch einen anständigen Portknocker hinzufügen. Man kann ja noch viel machen, VPN etc.. Aber da wären wir schon wieder in einem Bereich, der jenseits eines kleinen Privat-LAN's liegt. Auf jeden Fall ist jedem zu raten, sich vor Einsatz einer solchen Sache die grundlegenden technischen Funktionsweisen anzueignen.

 

[tondie]

..all die hier erwähnten stories hörte ich irgendwann auch schon und machte zeitlang Entsprechendes.
Dann keimte in mir aber der Verdacht auf, ob ich nicht allmählich hysterisch werde und --vor allem-- ob ich nicht angefangen habe, den Anderen nur üble Absichten zu unterstellen. Ferner merkte ich, welchem Stress ich mich dabei aussetze.
Hernach überlegte ich, welchen maximalen Schaden mir ein Eindringling zuführen kann:
--weil ich kein illegales Zeugs auf der Maschine habe, isses im Prinzip wurscht, ob jemand meine Files, auch die Buchhaltung (die ja schließlich auch das FA jederzeit einsehen wollen kann), liest.
--fürs Banking müßte man TANs faken und auch das nur bis zu einem Hunnie, dann ist nämlich Sense an dem Tag;
--eBay? OK, jemand hackt mein account und ordert wer weiß was. Im Moment, wo man solche Auktion so machte, kriege ich es von eBay mitgeteilt. Da ich es sofort aufklären kann, droht zwar Mailerei, doch alle Beteiligten wissen sehr rasch, daß an der Sache was faul ist. Was sich auch dem so Geprellten klar machen läßt, zumal der Schaden sich höchstens auf ein Neu-Einstellen begrenzt.
--der Eindringling nutzt meinen Netzzugang um poltisch Unkoscheres, moralisch Verwerfliches zu verbreiten. Über Re-Lookup wird meine IP klar und ich krieg unangenehmen Besuch. Doch auch da kann ich bit für bit mit meinem Equipment die Unschuld nachweisen. Der einzig strittiger Punkt könnte werden, wenn man mir vorhält, ich hätte mein System zu wenig dicht gemacht. Doch ich habe auch keine Knarre da, wenn ein ganz gewöhnlicher Einbrecher auftauchte.

Keine Ahnung, wie es alles ausginge, doch jetzt weiter der Sicherung hinterherzuhecheln, die ohnehin --falls absichtlich gewollt-- professionell immer zu knacken ist, würde zuviel Energie schlucken

 

[enrico65]

Hi tonbie,

da muss ich Dir leider ganz energisch widersprechen: Es mag zwar finanziell für Dich der Schaden zunächst im Rahmen bleiben, aber es gibt ja noch eine ganze Reihe anderer Sachen, die man machen kann: Ich schleuse z.B. über ein rootkit einen Trojaner bei Dir ein, der nach Aktivierung als Spamschleuder wirkt. Dann kommen nicht nur - wie bei den politischen Sachen auch - die netten Herren, sondern Du kriegst eine Menge Ärger. Ist z.B. die spam-mail braunen Inhalts oder roten, ermittelt ganz schnell der Staatsschutz. Viel Spass - und vor allem: Wer zahlt Dir Deinen Verteidiger?
Du müsstest nachweisen, dass Dir das untergejubelt worden ist. Mach das bitte mal... Die haben Deine IP und Deinen Rechner...

Bei ebay das Gleiche: Du müsstest nachweisen, dass Du es nicht warst. Was bitte kannst Du aufklären? Gar nichts. Da kommen täglich mehrere, die sagen, sie hätten nichts gekauft. Aber: Deine IP ist gelistet, dummerweise stimmen auch die Passwörter. Der Anbieter will den Schaden, der ihm durch das erneute Einstellen entsteht, ersetzt haben. Von wem wohl??

Ich will hier keine Panikmache betreiben, aber man sollte keineswegs verharmlosen. Das hat mit Hysterie nichts zu tun. Lieber eine Sicherungsmassnahme zu viel als zu wenig.

 

[meinked]

Hallo,

zum Thema kriminelle Energie bezüglich WLAN und Hacken:

Ich habe mich in Hamburg, Frankfurt und Hannover in der Vergangenheit über damals für mich seltsame Symbole an Hauswänden, Zäunen und Türpforten gewundert. Ein Artikel in der c't vor eingien Monaten hat mich aufgeklärt. Es handelt sich um Hinweise zu WLAN-Spots (nennt sich "WarChalking"). Ich muß schon sagen, hat mich damals ganz schön erschreckt und dafür gesorgt mich mit dem Thema Sicherheit im/für WLAN intensiver zu beschäftigen.

Siehe auch folgenden Link (Kapitel 7):
http://www.it-academy.cc/content/article_browse.php?ID=593#1.

Mit freundlichen Grüßen
Detlef

 

[Airborne]

@ Tondie

Das klingt aber schon eher nach ner schweren Daseinskrise - und nicht nur nach schlampigem Umgang mit Daten.

Was mich an offenen Wlan's in meiner Nachbarschaft immer stört ist das irgendwann einer drauf aufmerksam werden wird. Dann schaut er sich die offenen Netze an und wird bald gelangweilt nach neuen Herausforderungen suchen. Und da kommt dann mein gut gesichertes Netz in's Spiel.... Deswegen hab ich auch 2 Nachbarn geholfen ihre Netze dicht zu machen.

@ enrico
ok, ist nee Möglichkeit. Ich hatte eher an die Bordmittel jedes Routers /Windows gedacht.

Torsten

 

[tondie]

Original von enrico65

Ich schleuse z.B. über ein rootkit einen Trojaner bei Dir ein, ...

..ich frage mich bloß, wie?
Du wirst kaum als admin an meine Maschinen rankommen; unklare, unbekannte Dateien landen --wenn überhaupt angenommen!-- im anderen System. OK, Du könntest etwa mozilla https(!) Seiten knacken und mir dann beim update etwas unterjubeln --ebenso aber zig Tausenden anderer Moz-usern.
Ich mache kein P2P und außer den paar ports, die ich für notwendig erachte (und weiß, welchem TCP-Verkehr sie dienen), scheint mir ein Angriff auch dann schwierig zu sein, wenn jemand am WLAN Router landet: schon die Tatsache, daß dessen DHCP Dienst deaktiviert ist, verlangt von dem Angreifer mehr als ein paar Klicks.

Airborne zeigt vermutlich mit seinem Hinweis: Dann schaut er sich die offenen Netze an und wird bald gelangweilt nach neuen Herausforderungen suchen, in eine zutreffende Richtung; werde es überlegen, doch daran, daß ich es generell satt habe, auch selbst überall nur Schurken, Übeltäter, Zerstörer und Schädiger zu sehen, und daher quasi ständig auf der Lauer zu sein, was etwas anderes ist, als aufmerksam zu beobachten was die Maschine tut, signalisiert, und ggf. besonnen zu reagieren.